云計算環境中用戶身份認證及訪問控制的探索與實踐

■文/遲文德

?

云計算環境中用戶身份認證及訪問控制的探索與實踐

■文/遲文德

摘 要：本文在云計算技術廣泛應用的背景下，結合在廣播媒體的應用場景和實踐經驗，針對云安全服務體系中的用戶身份認證和訪問控制等安全機制進行分析，思考并總結出了一些解決思路與建設構想。

關鍵詞：云計算；信息安全；身份認證；訪問控制

1.廣播媒體信息化建設的現狀和趨勢

隨著云計算技術、大數據的迅猛發展，不僅影響了整個互聯網產業，同時也對廣播媒體行業帶來了前所未有的巨大沖擊和深刻變革。在這場新技術革命的推動力的作用下，以云計算為核心概念和基礎架構，融合了分布式計算、網絡存儲、多媒體技術、虛擬化技術、負載均衡技術等，正在形成一整套新的廣播云平臺服務體系和運行模式［1］。

云計算的應用場景也迅速擴展到新聞節目采集、音頻素材傳輸、音頻稿件編輯、媒體資源管理、節目內容審核、公文合同流轉等多個業務系統和工作流程當中。各個業務系統不再像過去那樣單一、封閉運作，而是逐漸轉向多層次、多維度、立體化的溝通協作與信息交互，正在逐步形成全臺網絡信息一體化的新格局。

此外，隨著4G、WIFI等無線通信技術的廣泛使用，以筆記本電腦、智能手機等移動終端為信息載體的新媒體技術逐漸成為廣播媒體的新生力量。

所有這些發展趨勢都為傳統廣播媒體的生存帶來了極大的挑戰，同時也為其在信息化浪潮中尋求創新和發展空間帶來了機遇。

2.云平臺安全體系中存在的問題及對策

正是由于云計算平臺的諸多優點，搭建在其上的應用系統越來越多，云終端用戶數量也越來越多。同時，由于每增加一個系統都要配置一套相應的用戶訪問安全機制，用戶賬戶及其訪問權限的管理與控制也隨之變得越來越復雜。如果不解決由此帶來的安全隱患，將會使得廣播云服務平臺的應用擴展受到很大限制，最終會成為制約廣播媒體信息化發展的瓶頸。

首先，由于云環境下人員的流動性加大，固有的組織架構被打破，人員之間的角色分工不再是一成不變的。異地辦公成為許多廣播媒體從業者的工作常態，他們的工作性質往往具有跨系統、跨地域，跨網絡特征［2］。訪問者的身份驗證和賬戶管理成為云平臺安全體系中亟待解決的關鍵。

其次，由于云環境下網絡資源的分布性、動態性和虛擬化特性，隨時可能由于設備性能負載、存儲空間和網絡帶寬等因素而發生數據遷移，用戶無法確切得知他們的個人數據及訪問的應用系統資源被放到了哪里。并且，目前保護個人虛擬資產的法律法規并不健全，一旦造成用戶重要數據泄露將極大地削弱廣播云平臺的公信力和影響力。云服務平臺必須設計可靠的訪問規則和控制措施來保障其提供的服務是安全的和可信的。

因此，建立一套統一、完備且高效的用戶身份認證與訪問控制機制成為當前廣播云服務平臺安全體系建設的一項迫切要求。在云安全服務體系架構設計當中，身份認證和訪問控制是重要的兩個方面，既相對獨立又相互關聯，必須在云平臺建設的整個過程和運行周期內綜合考慮。

圖1　云安全服務體系中的身份認證與訪問控制

3.云安全服務體系中的身份認證機制

目前，在廣播云平臺中往往已經部署了很多在線應用系統，如新聞采編系統、媒資管理系統、數字音頻內容版權系統、即時通訊系統等，而其中的用戶賬號信息卻處于分離狀態，分散于各個業務系統內部。而在以云計算為核心的信息系統中，就是要建立統一的用戶信息資源管理中心，通過統一的注冊、登記、查詢和驗證方式，實現用戶賬戶信息統一管理及身份認證。

所謂身份認證（authentication），就是判斷一個用戶是否確如他所聲稱的身份的處理過程。最常用的身份認證方式是系統通過核對用戶輸入的用戶名稱和口令是否與系統中該用戶已登記的相應用戶名稱和口令完全一致，來判斷該用戶身份的真實性與合法性。復雜一些的身份認證方式則可能采用某種加密算法和通信協議，需要認證主體提供更多的身份信息（如指紋、特征碼等）來證明其身份，如kerberes。［3］根據不同的應用場景，廣播云平臺可以考慮采取以下幾種身份認證模式。

3.1USB-KEY+數字證書

在云環境下，網絡間諜軟件、病毒木馬、惡意網站等安全威脅日益嚴重，傳統的基于用戶名及口令的認證方式極容易受到攻擊和泄露。USBKEY屬于智能卡（Smart Card）設備，是一種用戶隨身攜帶的用于鑒別該用戶主體身份的電子器件。智能卡內部裝有IC集成電路和微處理器，可通過與用戶計算機終端的USB接口連接進行數據讀寫。為防止USB-KEY遺失或被竊，還可以要求用戶登錄時使用身份識別碼（PIN碼）進行雙因素驗證。數字證書（Digital Certificate）是標志用戶身份信息的一系列加密數據，它提供了一種在網絡上驗證實體身份的方式，由一個公開獨立的權威機構——證書授權（Certificate Authority，CA）中心發行，其作用類似于日常生活中的駕駛執照或身份證。數字證書通常包含公鑰、證書序列號、證書有效期以及CA的數字簽名。［4］通過USB-KEY可以生成并存儲由CA中心下發的包含其身份信息的數字證書。由于USB-KEY芯片具有的物理特性，保證了數字證書的安全讀寫。

當發送加密消息的實體（個人、公司或代表它們的應用程序服務器）向CA提交驗證申請后，CA向其發放一個包含了申請者公開密鑰和它的身份信息的加密數字證書，USB-KEY內置解密程序使用CA的公開密鑰來解開附接在消息上的數字證書，并驗證該證書確實由CA發放，從而發送應答消息以響應該請求。

數字證書的通用格式符合ITUT X.509國際標準，采用USB-KEY+數字證書保證了安全的四大要素，即：

信息傳輸的保密性；

信息交互雙方身份的確定性；

身份信息不可否認（不可抵賴）性；

數據的不可修改（防篡改）性。

目前，這種應用模式主要在新聞記者外出采訪場合或某些地方記者站回傳稿件資料時使用較多。

3.2動態口令卡（動態令牌）+ Radius認證

動態口令卡又稱為動態令牌，基于時間同步算法，也是一種由用戶隨身攜帶的電子密鑰。動態令牌口令由令牌內置晶振時鐘和種子密鑰通過偽隨機算法［5］生成，一般每分鐘改變一次，而且是一次性口令密碼（即密碼使用后立即失效，不能重復使用）。與USBKEY證書相比，其優勢主要在于：

無需下載設備驅動程序，用戶無須記憶口令密碼，使用非常方便；

無需與計算機終端進行物理連接和數據連接，不易損壞；

動態口令隨時間變化，不易被破解或泄露，安全性較高。

圖2　動態令牌+Radius認證

Radius是一種最常見的C/S方式UDP標準認證協議，主要用來對用戶進行認證、授權和計賬等服務（即AAA，Authentication，Authorization and Accounting）。基于Radius協議，可以實現用戶賬戶與動態令牌ID的捆綁，并在客戶端和應用服務間建立安全連接（PAP）和握手服務（CHAP）。

另外，最新研制開發的一種可用于智能手機客戶端的動態令牌，通過讀取Radius報文中的用戶手機號碼等屬性字段可以和短信認證方式相結合實現雙因素認證。

目前，這種方式主要用于WEB應用資源的遠程接入用戶的訪問。

3.3LDAP（或AD）+SSL/TLS認證

LDAP（Lightweight Directory Access Protocal）即輕量級目錄訪問協議［6］，它以樹狀結構存儲用戶身份信息，通過條目（ENTRY）、OU（Organization Unit）等屬性來表示某機構內部組織結構，如部門、人員等。同時OU還可以有子OU，用來表示更為細致的分類。AD（Active Directory）支持LDAP協議，同時提供用戶賬戶的編目、分類、存取以及對賬戶的增、刪、查、改等操作，截取其配置過程如圖3所示。

圖3　LDAP認證配置截圖

通過LDAP協議，可以實現整個用戶根目錄、目錄子樹、屬性集、符合特定過濾條件的用戶子集（用戶組）或單個特定用戶作為控制對象進行身份認證。

AD提供基于SSL/TLS［7］的安全通道服務，同時實現客戶端和服務器端身份的雙向驗證。SSL/TLS利用數據加密技術，如消息摘要算法、對稱加密算法、非對稱加密算法、數字簽名算法等，防止認證數據在傳輸過程中被截取或竊聽，該技術被廣泛用于基于WEB瀏覽器與服務器的用戶身份認證。

結合即時通訊系統功能，通過這種方式可以實現全臺員工賬戶信息同步和數據一致性。并且由于LDAP協議的跨平臺優勢和AD組織架構的安全通用性，可以最大程度地實現不同廣播應用系統用戶賬戶信息的整合與統一認證管理。

3.4合認證

對于安全性要求較高的應用場景，也可以采納多種認證相結合的方式，要求多種認證方式同時滿足或選擇其中一種作為主認證方式，其余為輔認證方式。

圖4　多種認證方式組合

4.云安全服務體系中的訪問控制機制

身份認證通常與訪問控制（anthorization）邏輯關聯，訪問控制是指一旦用戶的身份通過系統認證以后，云系統就要根據該用戶屬性特征及所屬組織結構來制定相應的訪問控制規則列表，以授權該用戶可以訪問哪些資源以及以何種方式操作（讀、寫、存儲、下載等）的問題。常見的訪問控制策略有自主訪問控制（DAC）、強制訪問控制（MAC）和基于角色的訪問控制（RBAC）［8］。

目前，云系統較多采用基于RBAC進行訪問控制，但由于廣播云平臺往往用戶組織關系及類型變化繁多，而傳統RBAC主要針對的是單個客體，因此需要擴展RBAC，主要涉及到用戶資源空間和相應用戶身份屬性間的角色映射關系。可依據用戶屬性自動映射到指定用戶（組），并通過與該用戶（組）所綁定的角色獲得對指定網絡資源的訪問授權。對于角色定義需要遵循以下幾個原則：

4.1任務角色分離原則

即防止系統中相互沖突的權限功能被分配給同一用戶。

4.2關聯最小原則

即應盡量減少不同用戶組（非繼承關系）之間的訪問權限交集，使得資源利用率達到最大化。

4.3策略繼承原則

即下層用戶（組）自動繼承上層用戶組的組屬性和角色定義，下層用戶（組）是上層用戶組的權限子集。

4.4不可見原則

即不在用戶角色訪問權限范圍內的資源對該用戶應是不可見的。

云系統管理員可根據角色定義及URL資源、C/S資源、IP資源等網絡資源類型，為不同用戶（組）分配不同粗細粒度的訪問權限及控制規則。

5.總結

為了更快適應當前云計算發展趨勢，必須加快廣播云平臺安全基礎體系建設步伐，加強并完善面向廣播新聞媒體業者的統一身份認證及訪問控制安全機制。這是一項長期而艱巨的系統工程，涉及多個技術領域，如密碼學、虛擬化技術、信息安全技術等。

必須將分散于各個應用系統的用戶賬戶資源集中管理起來，建立統一而獨立于用戶應用系統的集注冊、身份鑒定和證書管理等于一體的CA認證中心，才能制定面向全局應用的云安全策略。同樣，只有將用戶資源與網絡服務資源建立角色關聯并制定相應的訪問控制規則，才能充分發揮廣播云服務平臺的資源共享機能和靈活機動特性。

參考文獻

［1］ 羅軍舟，金嘉暉，宋愛波等.云計算體系架構與關鍵技術［J］.通信學報，2011，32（7）：3-18.

［2］ 沈傳寶.淺談廣電行業信息安全建設.現代電視技術，2010（3）：118-119.

［3］ 高傳善，毛迪林，曹袖.數據通信與計算機網絡（第2版）.北京：高等教育出版社，2004（12）：522-531.

［4］白妙青.云計算技術在廣播電視網中的應用［J］.現代電子技術，2013，36（11）：142-144.

［5］ 電力信息系統統一身份認證體系的建設研究［J］.信息網絡安全，2010 （01）：32-35.

［6］ 田燕，張新剛，梁晶晶等.基于身份認證和訪問控制的云安全管理平臺［J］.測控技術，2013，32（2）：97-99.

［7］ 劉東霖.SSL VPN 技術研究及仿真分析［J］.現代電子技術，2013，36 （13）：102-104.

［8］ 譚武征.云安全存儲解決方案［J］.信息安全與通信保密，2012（11）：147-149.

（作者單位：中央人民廣播電臺技術管理中心）

中圖分類號：TP37

文獻標識碼：A