基于混合云的数据流图越权访问检测算法

李娜， 董云卫， 景鸿理， 车天伟， 张玉臣

基于混合云的数据流图越权访问检测算法

李娜1， 董云卫1， 景鸿理2， 车天伟3， 张玉臣4

(1.西北工业大学计算机学院，陕西西安710129；2.北京天融信科技有限公司，北京100085；3.北京建投科信科技发展有限公司，北京100055；4.解放军信息工程大学，河南郑州450001)

通过对在私有云、公有云并存的混合云数据访问的研究，发现越权访问普遍存在，且对于数据安全存在很大的安全威胁。基于此情况，采取对状态、规则、自动机、系统资源等多要素在多级混合云环境下进行形式化描述；运用数据流图记录了不同状态的访问行为及其所造成的数据流动方向，设计了读操作和写操作访问合法性检测算法，并对其形式化进行描述，该算法可有效地检测混合云中越权访问违规操作，解决了现有模型对数据间接传递防护方面的不足。

混合云；授权控制；数据流图；违规访问

0　引言

在云平台、云计算应用日益推广，访问安全、数据安全成为云应用所要研究的热点问题。

在多级混合云环境中，数据的访问者可能来自不同等级的云系统中，不同等级云的访问控制方法存在差异，这势必会造成针对同一数据的访问控制策略和强度不一致问题。并且，目前的访问控制策略和方法通常只针对本地，不同云系统在进行信息共享时，无法实施某云或多云的安全策略，对用户的访问行为进行联合控制。更严重的是当低等级云中用户访问高等级云资源的时候，由于低等级云中的访问控制强度低于高等级云，会造成高等级云资源的保护强度降低。

在多级混合云中，访问控制策略通常只针对用户的单次访问行为，恶意用户间可以通过多次访问造成违法安全策略的数据流动，这种恶意行为在高等级(四级及以上)的云系统中要求必须防范[1-2]。但是，由于多级混合云中必然存在低等级的云，这给数据间接泄密的防护带来了巨大困难[3]。恶意用户可以通过低等级云用户轻易的绕开高等级云的安全措施[4-5]。特别是在云环境中，由于有云服务商直接访问的可能性存在，使得这种威胁进一步加大[6-9]。

针对以上分析，多级混合云系统必须根据数据共享时不同等级云的安全要求，调整访问控制策略，使整个云系统的访问控制策略统一和一致，以此建立一套完整的防护机制，避免数据间接泄密行为的发生。

1　符号定义

●R表示为访问请求集合。

●V表示为虚拟机。

●S＝{S1，S2，…}表示虚拟机内的用户。根据云系统的安全规则，用户应只允许访问虚拟机中的用户资源，不允许访问宿主机上的系统资源。

●O＝{o1，o2，...}表示用户所能访问到资源，注:不包括宿主机资源。

●OP＝{r，w，...}为用户对资源的访问操作，如读(r)、只写(w)，本文定义的操作为原子操作，不包括起草、审批等应用流程中的复合操作，复合操作可以由原子操作构成，如“编辑”由读和写构成。

●(访问控制矩阵):M:Mij∈OP。M为访问控制矩阵，用Mij表示，其中纵坐标j表示用户资源oj，行坐标i表示用户si，Mij的意思是si对的oj访问权限。若Mij＝{w}，则si对oj权限为“只写”。

定义2.1(数据流):

φ＝(x1，x2…，xt∈(X×X×…×X))，其中X∈S或O，且t≥2。

本文使用φ表示数据流。数据流至少包括2个元素，可记为x1→x2→…xt其中x1为数据流的起点，xt为数据流的结束点。在一条数据流φ中，相邻的元素之间构成了直接数据流向，如φ1＝(x1，x2，x3，x4)中，包含了三个直接数据流向:x1→x2、x2→x3、x3→x4。数据流φ中不相邻元素间构成间接数据流向，如φ1中包含了三个间接数据流向:x1→x3、x1→x4、x2→x4。

定义2.2(全局流图T):T＝(D，V，X，B)

其中，D表示宿主机；V表示虚拟机；X表示资源和用户的集合，X＝{S，O}，在全局流图T上表示为一个元素；B表示直接数据流向集合，B＝{b1，…，bn}，一个直接全局流图Γ上表示为一条有向边。

全局流图T记录了某个状态下，多级混合云中已经发生的访问行为所导致的数据流传递情况，如图1所示。

图1　全局流图T

2　算法设计

对于虚拟机Vi，用户为Si发起对虚拟机Vj，资源为Oi的访问X(为读r或写w)时，违规检测算法流程图如图2所示。

图2　违规检测算法

(1)判断用户为Si目标虚拟机Vj是经过信任、是已认证的用户或目标虚拟机，否则属于违规操作，退出系统操作。

(2)用户sj是子系统vj的合法用户，且非服务器管理员DM，且oj不是服务器资源DO，否则属于违规操作，退出系统操作。合法性写检测如图3所示。

图3　合法性写检测

(3)判断访问X是读操作，还是写操作，如果是写操作转到第(6)步。如果是读r操作，判断si和oj同属一个虚拟机，而且访问请求r在这个虚拟机的访问控制矩阵中。sj和oj分别属于不同的子系统，而且访问请求r分别在sj的虚拟机vi和oj的子系统vj的访问控制矩阵中，其中si'是si的映射对偶，vi为用户si'所在信息系统。如果不符合要求，则系统不做任何操作，拒绝该访问请求，退出系统操作。

该步骤主要用于检测直接违反各虚拟机访问控制策略的简单越权访问。写操作合法性检测步骤如图4所示。

图4　写操作合法性检测

(4)si的安全等级支配可能等于oj的安全等级。

该步骤主要用于检测数据从高安全级流向低安全级的跨级越权访问。

(5)继续判断，在全局流图T中包含(oj→si)的所有数据流φk中，若存在系统等级大于等于4级的节点，则在si后序方向的四级子系统vbm中有前方向的四级子系统vfm中存在策略在子系统v和v存在策略ij

该步骤主要用于检测间接违反各虚拟机访问控制策略的间接越权访问。

在全局流图T中，所有以(oj→si)为路径的数据流φk中，若流经的系统中有大于等于4级的信息系统，则在si后方向的四级子系统vbm中存在策略前方向的四级子系统vfm中存在策略

(6)若已经在oj→si全局流图T中出现，则读操作被允许执行，系统给出的响应为yes，后续状态仍然保持为当前状态；否则给出的响应为no，当前状态不发生变化。

(7)判断访问请求写操作w是否在该虚拟机的访问控制矩阵中。si和oj分别属于不同的虚拟机，而且访问请求w分别在si的虚拟机vi和oj的虚拟机vj的访问控制矩阵中。

(8)继续判断oj的安全等级支配可能等于si的安全等级，在全局流图T包含(si→oj)的所有数据流φk中，若存在系统等级大于等于4级的节点，则在si后序方向的四级子系统vbm中有r∈前方向的四级子系统vfm中存在策略

(9)若si→oj已经在全局流图T中出现，则该操作被允许执行，系统给出的响应为yes，后续状态仍然保持为当前状态。否则给出的响应为no，当前状态不发生变化。

3　结语

本文在基于多级混合云环境下，根据数据流向具有方向性的特性，利用数据流图，对虚拟机、用户、资源、访问行为进行形式化的描述，通过安全等级、系统等级和访问控制矩阵等作为综合约束条件，设计了多级混合云环境下的数据访问合法性检测算法，该算法可以对典型常见的简单、跨级、间接等违规操作进行形式化的检测，有效地避免了直接和间接的违规访问，提高了云环境下各种数据访问和安全策略的应用需求。

[1] 冯登国，张敏，张妍等.云计算安全研究[J].软件学报，2011，22(1):71-83.

[2] 李乔，郑啸云.云计算研究现状综述[J].计算机科学，2011，38(4):32-37.

[3] Pandey S，WU L，Guru M S，et al.A particle swarm optimization-based heuristic for scheduling workflow applications in cloud computing environments[C]//IEEE International Con-ference on Advanced Information Networking and Applications，2010:400-407.

[4] 姜政伟，赵文瑞，刘宇等.基于等级保护的云计算安全评估模型[J].计算机科学，2013，40(8):151-156.

[5] Duy T V，Sato Y，Inoguchi Y.Performance evaluation of a Green Scheduling Algorithm for energy savings in Cloud computing[C]//IEEEInternationalSymposiumonParallel＆DistributedProcessing，WorkshopsandPhdForum，2010:1-8.

[6] Puchinger J，Gunther R.Raid L.The multidimensional knapsack problem:structure and algorithms[J].Informs Journal on Computing，2010:250-265.

[7] 王超，陈性元.基于加权熵的访问控制策略安全性分析研究[J].电子学报，2013，41(1):47-51.

[8] Garg S K，Buyyanetwork R.CloudSim modeling parallel applications in cloud simulations[C]//IEEE International Conference on Utility and Cloud Computing，2011:105-113.

[9] WANG Chao，CHEN Xing-yuan，LI Na.An access control mode based on information flow graph[C]//Proceedings of the International Conference on Computational Intelligence and Security.Sanya，China，2011:998-1000.

Unauthorized Access Detection Algorithm of Data Flow Graph based on Hybrid Cloud

LI Na1，DONG Yun-wei1，JING Hong-li2，CHE Tian-wei3，ZHANG Yu-chen4
(1.School of Computer Science and Technology，Northwestern Polytechnical University，Xi’an Shaanxi 710072，China；2.Beijing Topsec Technology Co.Ltd.，Beijing 100085，China；3.Beijing Jianyin Investment Technology Development Co.，Ltd，Beijing 100055，China；4.PLA Information Engineering University，Zhengzhou Henan 450001，China)

The study of data access between private cloud and public cloud coexisting in hybrid cloud indicates the universal existence of unauthorized access and this unauthorized access constitutes a great threat to the data security.In view of the situation，the states，rules，automatic machines，system resources and other multiple elements are formally described，and by making use of data flow diagrams，the access behaviors of different states and the data flow direction are recorded，and again the access legitimacy detection algorithm of read and write operations is designed and the formal description also done.Experiment indicates that the algorithm can effectively detect unauthorized access of illegal operations in hybrid cloud and solve the deficiency of the existing model in data transmission protection.

hybrid cloud，authorization control，global flow graph，unauthorized access

TP393

A

1009-8054(2016)08-0091-04

∗2016-04-02

本文受国家高技术研究发展计划(863) (No.2011AA010105)，上海市可信计算重点实验室开发课题(No.07dz22304201304)资助

李 娜(1972—)，女，博士在读，主要研究方向为计算机软件工程、网络及信息安全；

董云卫(1968—)，男，博士，教授，计算机学会(CCF)会员，主要研究方向为嵌入式系统，软件工程、可信软件设计与验证；

景鸿理(1962—)，男，硕士，高工，主要研究方向为网络与信息安全；

车天伟(1971—)，男，博士，工程师，主要研究方向为计算机系统结构、网络与信息安全；

张玉臣(1975—)，男，博士，副教授，主要研究方向为网络与信息安全。■