申 石 岑榮偉 沈宇超 國 強

(國家信息中心信息與網(wǎng)絡(luò)安全部 北京 100045)

?

基于行為主動權(quán)限識別的安全身份認證技術(shù)

申 石 岑榮偉 沈宇超 國 強

(國家信息中心信息與網(wǎng)絡(luò)安全部 北京 100045)

(shsh@cei.gov.cn)

針對云計算環(huán)境下的身份認證方法進行研究，分析了主流認證方式存在的不足.結(jié)合行為與主動權(quán)限識別技術(shù)，提出更為準(zhǔn)確、安全身份認證方案.該方案可以實現(xiàn)基于行為的主動權(quán)限識別，自適應(yīng)選擇是否采用高強度安全認證，有效地防止黑客入侵，降低認證環(huán)節(jié)的安全威脅.

云計算；身份認證；大數(shù)據(jù)；權(quán)限識別；訪問控制

時下云計算、大數(shù)據(jù)、能力開放、掌上辦公等新技術(shù)、新業(yè)務(wù)、新模式的出現(xiàn)， 大量業(yè)務(wù)系統(tǒng)已經(jīng)或者即將遷入到云環(huán)境中，隨著云平臺的廣泛建設(shè)，云環(huán)境中如何進行安全認證已經(jīng)成為眾所關(guān)注之處.傳統(tǒng)IDM類產(chǎn)品采用賬號、密碼且單向認證的身份認證方式，身份鑒別方式單一.在云環(huán)境中的身份認證需要更為智能，因為云環(huán)境中包含了大量企業(yè)信息，一旦認證環(huán)節(jié)出現(xiàn)問題將會導(dǎo)致云中各個租戶的信息大量泄漏.

1 主要身份認證技術(shù)

身份認證主要是對實體進行某種形式的鑒別，對實體進行鑒別一般基于以下幾種形式:基于所知，如密鑰、口令等;基于所有，如智能卡、U盾等;基于某種特征，如人的語音、指紋等.

1.1 基于口令的認證

以口令作為驗證依據(jù)的認證技術(shù)是最簡單而又容易實現(xiàn)的，此種認證方法的應(yīng)用也較為廣泛.口令認證最大的特點是實現(xiàn)簡單、價格低廉、便于記憶且無須附加任何設(shè)備. 但與此同時，口令認證的安全性也存在較大風(fēng)險，因為為人們便于記憶多個口令會出現(xiàn)如口令簡單、重復(fù)等問題.攻擊者可通過口令猜測或窮舉攻擊等方法對口令進行破解入侵系統(tǒng)[1].

1.2 基于智能卡的認證

通過鑒別集成電路IC卡也是一種被采用較多的認證方式，IC智能卡具有較高的安全性，其硬件具有加密功能.IC智能卡中存有持卡人的個人信息，相同的個人信息也存于驗證服務(wù)器.認證過程中，持卡人輸入正確PIN碼，驗證成功后即可讀出卡中的秘密個人信息，之后該信息將與驗證服務(wù)器之間進行認證.但是這種方法要求有讀卡設(shè)備才能完成整個驗證，增加了硬件的成本[2].

1.3 基于實體特征的認證

特征鑒別具有普遍性、唯一性、穩(wěn)定性和可比性等特點，通過采集人的終生可靠的、獨一無二的生物特征作為鑒別依據(jù).此種技術(shù)方法通過傳感器采集用戶的生物信息，提取相應(yīng)特征，并將此與數(shù)據(jù)庫中的特征進行對比來實現(xiàn)身份的認證.目前可識別的生物特征包括掌紋、面部、視網(wǎng)膜、虹膜、聲紋、指紋等.雖然生物特征具有唯一性，但是，留在傳感器上的指紋和掌紋存在被盜取復(fù)制的可能；面部識別會受到表情、化妝、姿態(tài)等的影響；語音識別會受到環(huán)境、情緒、狀態(tài)等因素的影響.再加上識別設(shè)備成本高昂的問題，此種認證技術(shù)的應(yīng)用只處于小范圍推廣階段[3].

公鑰基礎(chǔ)設(shè)施PKI一般由認證權(quán)威機構(gòu)CA、注冊權(quán)威機構(gòu)RA、證書吊銷列表CRL和終端實體等部分組成.CA也稱數(shù)字證書管理中心，負責(zé)生成、發(fā)放和管理證書；RA又稱證書注冊中心，負責(zé)申請和審核數(shù)字證書.PKI 的核心部分是CA，數(shù)字證書是經(jīng)過CA簽名的包含有用戶個人信息和公鑰的數(shù)據(jù)體，它是CA認證的依據(jù).PKICA認證的鑒別機制具有很高的安全性，是目前應(yīng)用較為廣泛的認證方法.但是也存在著一些問題，比如，CA無法驗證一個用戶所提供信息的真實性，證書廢止與證書吊銷列表CRL存在刷新的時間差等.這些問題在技術(shù)上解決雖然容易，但是在具體實施過程中存在一定難度[4].

2 主流身份認證應(yīng)用

2.1 亞馬遜

亞馬遜所采用的身份認證系統(tǒng)稱為AWS IAM(AWS identity and access management)，在IAM中創(chuàng)建用戶并為他們分配數(shù)字證書或請求臨時數(shù)字證書，該認證系統(tǒng)中包括密鑰管理與流轉(zhuǎn)、臨時安全證書、多因素認證.亞馬遜平臺的認證特點在于AWS IAM已經(jīng)與EC2實例構(gòu)建了良好的兼容性，賬號創(chuàng)建與管理方面基于角色實現(xiàn).

2.2 阿里云

用戶登錄阿里云的官網(wǎng)進行用戶注冊或登錄操作時通過https協(xié)議進行，相應(yīng)地，阿里云對云服務(wù)用戶進行身份驗證通過AccessId和AccessKey安全加密.

阿里云的維護人員對系統(tǒng)的訪問經(jīng)過角色管理系統(tǒng)來定義和控制其訪問權(quán)限，每個維護人員都有自己的唯一身份，經(jīng)過動態(tài)令牌和數(shù)字證書雙因素認證后再通過SSH連接到安全代理后進行操作.

2.3 騰訊微信

微信用戶登錄一般有2種方式：一種是無需輸入密碼直接登錄；另一種是要求用戶輸入登錄名和密碼.

用戶分別輸入用戶名和密碼后，點擊登錄，完成登錄過程.IM服務(wù)器通過讀取用戶數(shù)據(jù)庫來驗證用戶的身份，如果驗證通過則會進行后續(xù)的信息交互，包括獲取用戶列表、新信息、設(shè)備信息更新等.

2.4 Apple Pay認證平臺

Apple Pay采用的是近場支付技術(shù)，當(dāng)用戶進行支付操作時，把手機靠近帶有近場支付技術(shù)標(biāo)志或Apple Pay標(biāo)志的POS機后，再用蘋果終端自帶的指紋識別完成驗證之后即可完成支付.

Apple Pay使用的是叫作“Tokenization”的技術(shù)，將關(guān)聯(lián)的銀行卡信息轉(zhuǎn)化為一個字符串(Token)存于手機或手表等智能終端中.當(dāng)用戶發(fā)起支付申請時，智能終端通過該Token生成一個隨機Token和一組動態(tài)安全碼發(fā)給銀行，銀行再通過Token服務(wù)將其還原成銀行卡從而回傳授權(quán)完成支付.

通過對上述平臺的分析，我們發(fā)現(xiàn)Apple Pay認證方式不適合電子政務(wù)環(huán)境的身份認證，而亞馬遜、阿里云的認證方式均為被動方式，需要終端用戶提供相應(yīng)的憑證，但無法主動判別終端用戶是否是真正的終端用戶，即無法判別“我就是我”.因此，需要一種增強型的認證方式，能夠主動判斷終端用戶身份的真實性.

3 一種系統(tǒng)安全身份認證技術(shù)方案

基于現(xiàn)有的技術(shù)，我們提出了一種新的身份認證解決方案，將賬號(account)管理、認證(authentication)管理、授權(quán)(authorization)管理和安全審計(audit)4項功能集成在一個云平臺當(dāng)中，如圖1所示：

圖1 平臺整體框架圖

3.1 統(tǒng)一認證門戶

門戶是應(yīng)用資源、系統(tǒng)資源的第1個登錄界面和集中訪問入口.針對普通用戶在對接管資源(應(yīng)用資源、系統(tǒng)資源)單點登錄時，支持對資源連通性探測，并給出友好提示，探測結(jié)果如網(wǎng)絡(luò)時延、服務(wù)器響應(yīng).門戶提供一種對資源(系統(tǒng)資源、應(yīng)用資源)的可用性探測功能，便于個人用戶自行完成單點登錄可用性探測.

3.2 賬號管理

系統(tǒng)根據(jù)規(guī)范要求實現(xiàn)從賬號全部綁定責(zé)任人管理，實現(xiàn)所有從賬號全部要綁定責(zé)任人.系統(tǒng)定期(周期可以設(shè)定)檢查無責(zé)任人的孤立從賬號情況，對存在的無責(zé)任人的孤立賬號給出提醒或告警.將大數(shù)據(jù)平臺的訪問賬號納入4A集中管理，包括賬號的增、刪、改、查等功能，同一自然人訪問任何接入的大數(shù)據(jù)平臺時，都可以使用固定的、唯一的賬號.這些賬號統(tǒng)一存儲在kerberos中.

3.3 認證管理

平臺支持終端和主賬號的綁定，限定主賬號只能在特定終端上登錄，實現(xiàn)MAC、硬盤序列號、CPU序列號等終端信息綁定.統(tǒng)一認證管理通過對大數(shù)據(jù)平臺標(biāo)準(zhǔn)API接口進行二次封裝，形成供運維人員使用的大數(shù)據(jù)平臺維護工作臺.用戶成功登錄大數(shù)據(jù)安全防護平臺后，在該工作臺便可看到其有權(quán)維護的大數(shù)據(jù)平臺，然后雙擊即可單點登錄到相應(yīng)的大數(shù)據(jù)平臺，從而進行正常的維護工作.

3.4 權(quán)限管理

授權(quán)管理為維護人員設(shè)置訪問大數(shù)據(jù)平臺時細粒度的操作權(quán)限.例如：支持Hadoop的文件、文件夾進行瀏覽、查看、上傳、下載、創(chuàng)建、刪除、重命名操作的安全控制.平臺支持管理員可以查看其管轄范圍內(nèi)人員的所有權(quán)限信息，提供分類查詢功能.

3.5 堡壘機批量單點登錄管理

用戶登錄4A門戶之后，支持批量單點登錄到主機資源.4A門戶接收用戶訪問主機的批量請求,認證成功后應(yīng)進行主機資源訪問控制鑒權(quán)，并按照實體級、應(yīng)用級和命令級別訪問控制策略直接批量登錄主機資源，不需要人工二次登錄認證.用戶可以針對多臺主機進行批量單點登錄，例如：CRT,SHELL.

批量單點登錄功能應(yīng)進行權(quán)限控制，對沒有配置批量單點登錄權(quán)限的主賬號，無法使用批量單點登錄功能.

3.6 大數(shù)據(jù)平臺訪問控制網(wǎng)關(guān)

大數(shù)據(jù)平臺訪問控制通過新增大數(shù)據(jù)網(wǎng)關(guān)，實現(xiàn)對大數(shù)據(jù)平臺鑒權(quán)控制.支持對大數(shù)據(jù)平臺中Hadoop,Hbase,Hive等組件的權(quán)限設(shè)置.審計管理會記錄用戶對生態(tài)系統(tǒng)的各種操作日志，并提供界面用于查詢，包括Hadoop日志、Hive日志、Hbase日志.

3.7 金庫模式管理

系統(tǒng)支持操作人對常用協(xié)同操作人的設(shè)置，觸發(fā)金庫后，常用協(xié)同操作人應(yīng)置頂顯示或默認選中.當(dāng)操作人進行金庫申請時，只能在限定的協(xié)同操作人范圍內(nèi)進行人員選擇，該協(xié)同操作人員的主賬號不能是被刪除或加鎖狀態(tài)，也不允許出現(xiàn)申請人自己審批自己的情況以及A,B2人互審的情況.

3.8 審計管理

審計管理員日常工作的主要內(nèi)容是通過功能權(quán)限和數(shù)據(jù)權(quán)限的控制，每個審計管理員只能使用分配給自己的功能和屬于自己的數(shù)據(jù)范圍的日志.日志統(tǒng)一查詢提供原始日志、標(biāo)準(zhǔn)日志、策略結(jié)果和報表數(shù)據(jù)統(tǒng)一查詢?nèi)肟?，本次按照?guī)范要求進行多條件查詢優(yōu)化.日志查詢提供基于日志屬性、標(biāo)準(zhǔn)化補全屬性的多條件組合.審計策略中心主要包括策略創(chuàng)建、策略修改、策略刪除、策略啟停、策略查詢等功能.

關(guān)鍵字分析根據(jù)策略要素對標(biāo)準(zhǔn)化日志或中間數(shù)據(jù)進行匹配和比較，以發(fā)現(xiàn)異常和違規(guī)行為，并通過預(yù)警策略進行預(yù)警提醒.關(guān)鍵字分析策略結(jié)果支持自動生成審計任務(wù)中的待審數(shù)據(jù).統(tǒng)計分析基于標(biāo)準(zhǔn)化日志或中間數(shù)據(jù)，通過統(tǒng)計分析策略按照審計主體、審計客體、審計動作中各屬性維度進行分組次數(shù)統(tǒng)計，統(tǒng)計結(jié)果與設(shè)定閾值進行分析比對，以發(fā)現(xiàn)異常違規(guī)行為，并進行預(yù)警提醒.統(tǒng)計分析策略結(jié)果支持自動生成審計任務(wù)中的待審數(shù)據(jù).

3.9 接口管理

對大數(shù)據(jù)平臺下的賬號進行集中管理，并支持Hadoop平臺的賬號管理、統(tǒng)一認證、授權(quán)管理與審計.平臺提供的所有接口都需要經(jīng)過賬號+口令認證才允許調(diào)用.如使用配置文件存儲接口認證賬號及口令，必須對其進行加密存儲.

4 基于主動權(quán)限識別的身份認證技術(shù)

為了主動判斷終端用戶身份的真實性，我們提出了一種基于Hadoop通過大數(shù)據(jù)分析識別云平臺中用戶的訪問習(xí)慣，構(gòu)建數(shù)據(jù)分析模型，通過行為對終端用戶身份進行鑒別，以鑒別結(jié)果作為判斷終端用戶的身份依據(jù).該方法通過人員檢索、行為檢索、時間檢索交叉關(guān)聯(lián)的方法，利用搜索技術(shù)對目前身份認證系統(tǒng)中云資源環(huán)境下各系統(tǒng)中不同類型、不同格式的日志進行關(guān)聯(lián)分析和匹配，通過長時間數(shù)據(jù)積累構(gòu)建個人訪問行為基線，積極主動判斷訪問者身份真實性.

采用的多類型日志關(guān)聯(lián)分析方法，主要分為日志采集、基于大數(shù)據(jù)存儲及建立索引、人員賬號檢索分析、行為檢索分析、時間檢索分析、關(guān)聯(lián)歸并六大關(guān)鍵步驟，其主要業(yè)務(wù)流程如圖2所示：

圖2 主動識別認證技術(shù)業(yè)務(wù)流程圖

首先，對云環(huán)境中的身份認證日志信息進行采集，采用監(jiān)視統(tǒng)一身份認證與審計的云平臺登錄賬號進行身份認證日志信息采集.把采集來的不同格式、不同類型的日志文件進行存儲處理，日志信息存儲不對采集來的日志作任何處理操作，采集來的日志文件按原有類型和格式進行保存.同時日志存儲處理不僅支持存儲在統(tǒng)一的磁盤陣列中，也同時支持分布式存儲在不同主機的硬盤中，并支持對日志信息的多線程讀寫控制.在完成日志文件存儲處理后，系統(tǒng)針對所采集的不同格式、不同類型的登錄日志文件建立文件索引記錄，通過該操作來構(gòu)建個人登錄行為分析模型.

然后，使用從賬號作為關(guān)鍵字，對所采集的不同類型、不同格式的日志信息進行全文檢索，在完成檢索操作輸出結(jié)果后，利用云系統(tǒng)中的主從賬號對應(yīng)關(guān)系來實現(xiàn)基于人員方面的日志關(guān)聯(lián)分析，把所采集的操作日志對應(yīng)到相關(guān)的操作人員(如圖3所示).使用IP地址、主機名稱、應(yīng)用系統(tǒng)訪問頻次、位置信息作為關(guān)鍵字，對所采集的不同類型、不同格式的日志信息進行全文檢索，來實現(xiàn)日志信息基于實體方面的日志關(guān)聯(lián)分析.再使用時間段、位置信息作為關(guān)鍵字，對新采集的不同類型、不同格式的登錄日志進行檢索，來實現(xiàn)登錄日志信息基于時間段、位置信息方面的日志關(guān)聯(lián)分析，并且還在該步驟中實現(xiàn)人員在不同時間內(nèi)對不同資源的操作日志進行基線建立，從而提升后續(xù)登錄行為分析的準(zhǔn)確性.

圖3 數(shù)據(jù)獲取示意圖

最后，對完成關(guān)聯(lián)匹配后的日志信息，進行登錄行為分析和建模，判別登錄者的登錄習(xí)慣，如登錄位置、登錄后訪問不同應(yīng)用系統(tǒng)的頻次、時間等等.通過登錄行為建模，與被動身份認證相結(jié)合，判別訪問者登錄的身份認證強度.

5 結(jié) 論

本方案通過大數(shù)據(jù)分析技術(shù)，構(gòu)建登錄行為分析并與云系統(tǒng)相結(jié)合，形成主動與被動相結(jié)合的身份認證方式，對登錄行為發(fā)生較大變化的訪問進行強認證，避免用戶信息被盜用造成的電子政務(wù)信息泄漏，有效地滿足了云計算環(huán)境下對訪問者進行安全身份認證的需求.

[1]聶元銘, 丘平. 網(wǎng)絡(luò)信息安全技術(shù)[M]. 北京: 科學(xué)出版社, 2001

[2]Gaskell G, Looi M. International egrating smart cards into authentication systems[C]Advances in Cryptology—EUROCRYPT’1995. Berlin: Spring, 1995: 271-281

[3]戚文靜, 張素, 于承新, 等. 幾種身份認證技術(shù)的比較及其發(fā)展方向[J]. 山東建筑工程學(xué)院學(xué)報, 2004 (2): 84-87

[4]肖凌, 李之棠. 公開密鑰基礎(chǔ)設(shè)施(PKI)結(jié)構(gòu)[J]. 計算機工程與應(yīng)用, 2002, 38(10): 137-139+251

申 石

碩士，工程師，主要研究方向為電子政務(wù)、信息安全.

shsh@cei.gov.cn

岑榮偉

博士，高級工程師，主要研究方向為網(wǎng)絡(luò)安全、電子認證技術(shù).

cenrw@cei.gov.cn

沈宇超

博士，高級工程師，主要研究方向為安全與電子認證技術(shù).

shenyc@cei.gov.cn

國 強

碩士，工程師，主要研究方向為信息安全、電子認證技術(shù).

guoqiang@cei.gov.cn

Application Technology of Electronic Authentication Based on USBKey in Domestic Operating System

Shen Shi, Cen Rongwei, Shen Yuchao, and Guo Qiang

(DepartmentofInformationandNetworkSecurity,StateInformationCenter,Beijing100045)

This paper researches on electronic authentication in cloud computing and analyzes the deficiencies of mainstream authentication methods. We propose a more accurate and secure authentication solution using behavior and active privileges recognition technology. This solution can implement behavior-based active privileges recognition and choose adaptively whether to use high-strength safety certification. It also prevents hacking effectively and reduces the threats on security Certification.

cloud computing; electronic authentication; large data; privileges recognition; access control

2016-05-29

電子政務(wù)云集成與應(yīng)用國家工程實驗室項目

TP309