中国指挥与控制学会会刊 
数据资源已经成为当今社会的重要资产,如何实现信息资源共享,并进行科学有效的访问控制和安全管理,是网络安全领域研究的热点和难点。当前较为常见的资源共享网络架构是对等网络(Peer-to-Peer,简称P2P)。P2P模式具有节点对等,去中心化,易拓展,资源利用率高,负载均衡,健壮性强等优点[1],每个加入网络的成员在提供资源的同时共享服务,支持网络快速创建和成员动态变更,并提供一个用于通信、任务管理和文档共享的基础平台。但是每个成员需要自己完成维护工作,安全性取决于其自身所采取的防护措施和访问控制策略,因此,P2P模式在服务提供和控制上存在明显的不足。
1 应用场景分析
随着应用场景愈加复杂,资源控制和用户访问权限处理所面临的新问题、新挑战不断凸显,其对网络服务快速创建、数据资源实时共享等要求越来越高。本文以三个在数据隔离、数据限制和快速组网方面要求较为突出的典型场景为例,对网络服务创建和资源共享需求进行分析。
1)数据隔离。假设三个不同政府的军事集团要组织一次小规模联合演习,需要临时合作,但是,没有一个军队完全信任其他军队的计算机网络,都希望能够隔离其自身网络之外的计算机、资源及访问操作,仅保留必需的通信。在这个场景中,每个网络只有一部分可以进行共享,在此将可以共享的网络部分称为动态域,那么,原有网络与动态域之间就需要实现严格的数据隔离。
2)数据限制。假设食品与药品管理局评估一种新药的效果,为完成对药物的彻底检查,需要与开发该药物的制药公司以及对该药物进行实验的医院合作。在这一合作中,信息限制极为关键,因为制药公司希望尽可能少地泄露其研发信息,而医院也不想泄露其实验信息,两个单位都不希望政府有任何非必要的网络访问权限。此外,制药公司也希望其提供的信息数据仅用于药物评估工作。
3)快速组网。假设两个大型企业或集团公司合并,完全整合两个截然不同的公司网络并建立信任关系,需要较长的时间,难以满足快速建网的工作需求,不便于公司合并工作的开展。因此,在公司合并的开始阶段,需要各公司的重要部门、机构首先开展合作,快速构建网络,进行联合,为公司合并初期所必需的交互和互操作创造条件。
2 中心域模型的基本思想
基于中心控制的动态域(简称中心域)的基本目标是将多个网络以可允许的、高度集成的方式快速整合,实现资源共享。模型的本质是基于成员域创建一个新域,即每个成员贡献自己的一部分,通过整合这些资源形成动态域,而不是简单地联合各个成员,核心思想如图1 所示。中心域模型采用不同于P2P分布式的模式构建网络,这使得域可以集中管理。基于中心域的资源共享方法可以迅速连通不同用户或成员的所有元素构建网络,根据不同原则和要求,实现网络中的数据、服务等资源共享,合理控制访问权限,解决不同用户或组织之间的互操作问题[6]。
基于中心控制的动态域由中心域管理员(CDA, Central Domain Administrator)管理。用户加入这个中心域后,要么向CDA提交包含适当信息的请求,CDA根据预定义的策略接受或拒绝请求,要么由CDA通过预先设计或脱机,获取必要信息,添加用户。成员域将其可以共享的资源复制或转移到中心域,通过对中心域管理员进行授权,实现对所有资源的中心控制,同时将资源切换到一个新域,增加了访问控制策略的灵活性。中心域模型的核心思想如图1 所示。
3 中心域的创建与配置
创建中心域的过程主要包括策略配置,创建中心域目录对象,建立身份验证机制。虽然现有技术支持自动创建共享域,但是,创建一个中心域所涉及的策略并不能完全自动配置和实现。
3.1 策略配置
一个动态域需要有效处理大量主体和成员,这对资源管理及用户交互控制策略提出了更高的要求。CDA必须根据中心域的特性,如任务背景、工作目标、使命与性质等,合理调整用户控制策略。例如,在公司合并场景中,动态域中的某些信息可以自由共享,因为这两家公司最终是要完全合并的,充分的共享会促进工作推进,而严格的安全策略可能会阻碍进展。然而,由不同军事集团参加的联合军演的场景中,两国政府短暂合并后又将分离,一种严格的安全防护策略就非常有必要了。
因为在P2P对等网络中没有新的域需要配置,在创建动态域时,P2P不需要权衡各成员的本地策略,策略仅由P2P的单个成员域管理员自行决定,所以,P2P采用的是分布式策略。而中心域模型在中心域中可封装策略,通过CDA对各成员贡献的资源进行控制,允许成员域保持本地策略,但策略必须在中心域的统一控制之下,这就增加了控制策略的自主性。
3.2 中心域目录对象
中心域创建者将查找、评估潜在成员所必需的信息以及用户加入中心域可能需要的信息(如中心域功能、可用资源类型、访问要求、指令格式等),将其放置到中心域目录对象(CDO, Community Directory Object)中,并发布在一个公共位置,如某个网站,用户可以通过访问CDO中所包含的信息向CDA提交加入请求。
3.3 身份验证机制
在不同任务背景下,域成员的身份验证有不同的要求。中心域模型通过发布全网统一的身份授权认证(CA, Community-Wide Authorization)来建立身份证明,完成成员资格验证。CA是中心域的一个基本部分,由CDA管理。CA应该脱离于单个成员,原因是如果CA依赖于某个成员域,那么,该域管理员将享有比其他成员更高的资源控制权限。P2P没有CA,因此,P2P要求每个成员域信任来自其他成员域的全部身份证书,其中包括未加入P2P网络的域成员的证书,这将产生潜在的安全漏洞。
4 资源和用户管理
4.1 资源管理
若要实现资源的网络共享,资源所有者首先通过移动、复制或直接将拥有资源的服务器加入中心域等方式,将资源放入中心域,如图2 所示。中心域中的资源可能仍然处于原所有者的控制之下,以避免CDA必须管理大量的网络资源。
为保证信息安全,每个成员域都要执行严格的访问控制和安全策略,因此,访问控制在资源共享中尤为重要。倘若继续使用每个成员域原有的严格的本地策略,难度将比制定一项统一的安全策略更大。此外,转移资源可以避免在中心域和其成员的原域之间建立复杂的信任关系。
资源的添加或删除可通过CDA迅速实现,并将添加的资源以不同权限分配给不同用户。基于中心域模型构建的网络采用中心控制模式,CDA拥有对所有用户和资源的最高控制权限,可以阻止资源原所有者从中心域中移除资源。但是在CDA的授权下,用户可以通过本地控制对资源进行删除或修改。是否移除资源可能取决于中心域本身,如公司合并,也可能依赖于成员域,如不同政府的军事集团的联合军演,在创建中心域时,需要设计不同的策略。
4.2 用户管理
用户通过向CDA发送加入请求,CDA基于特定机制(如在全网范围内的投票),对该请求进行评估,决定接受或拒绝。如果接受加入请求,那么,CDA将向新成员颁发身份验证凭证,并将其分配到相应的授权组。新用户将根据授权和网络的安全策略,获取对某些网络资源的访问权限。
中心域模型可以便捷地实现对用户的添加或删除。若要从网络中删除用户,CDA只需撤销其身份凭证,从服务器中删除用户索引,然后,资源所有者更新访问控制列表即可。结合不同应用场景,离开网络的用户可以同时移除原来其拥有的资源,也可以将原来拥有的资源继续保留在网络中供其他用户使用。如在多国军事集团联合军演情景下,资源所有者会在离开网络时,移除其共享的资源;然而,在其他情况下,这些资源可能被认为是网络功能中必不可少的部分,需要继续保留。
5 基于共识的中心域管理
基于共识的中心域管理(CBA, Consensus-based Administration)是控制网络和服务授权的一种有效方式。众所周知,在一个典型的系统中,通常由不同组件相互协作提供一些关键服务,当其中任何一个组件受到攻击或破坏时,服务将受到危害,甚至整个系统都将瘫痪,这也是当前网络攻击的一个重要手段。在采用基于共识的中心域管理(CBA)方式的条件下,当中心域中一定数量的实体达成一致时,整体就会采取行动;任何数量低于某个阈值的恶意用户(或被破坏的用户),都不会影响或破坏整个系统或服务。可见,基于CBA的网络系统容错能力更强,稳健性和鲁棒性也更好,对由于偶然事故或不正确配置引起的故障,拥有更强的健壮性。CBA尤其适用于规模庞大、成员众多且需要协议来执行操作的网络或系统。因为CBA便于融合多个独立的决策,通过一个安全框架为网络或系统做出综合决策。
基于共识管理的核心思想是提高系统容错能力和健壮性,即当系统或网络中出现一个单点故障或者系统中有少量组件受损或受到恶意攻击时,系统或网络整体仍然可以正常运行[7]。假设网络由n个单位或个体构成,设置阈值为t,只要受损或故障组件数量低于阈值t,网络仍可正常提供相关服务,不影响正常运行。但是,阈值t设置不能大于(n-1)/2,否则,网络中一旦出现两组规模相当的故障点或恶意组件,就无法形成一致决策,也无法达成共识并采取行动。
实现基于共识的管理的一个简单方法是使用阈值技术组合多个单独的密钥。n个服务器创建各自的公钥对,所有公钥的集合用作阈值方案的公钥。这种方法的问题是,每个签名或加密都需要一个大小与n成比例的密钥,该方法扩展性不好。此外,这种技术需要更改系统用户的签名和加密算法,对于现有系统存在实现难度。
基于以上考虑,对共享密钥的方法进行改进。在n个成员之间,任何t+1个正常成员都能计算一个有效的公共密钥,比如,可以采用基于离散对数的复数或使用t+1插值t次多项式的方法实现。该算法可用于CBA对中心域中的服务访问进行控制,决定是否授予或拒绝访问,加快了服务请求的授权速度,提高了时效性,为其成员用户关注更重要的决策创造了条件。
6 基于.NET的初步实现
.NET企业版服务器的动态目录管理(AD, Active Directory)和基于域的计算思想为创建动态域(DC, Dynamic Community)创造了很好的基础[8]。
创建动态目录(AD)管理就是DC的目录服务,其提供了一种组织和管理用户、计算机、站点、域、信任、服务和域控制器组织单元的方法。实体的管理也通过AD进行,允许添加、删除和修改策略。通过AD建立服务目录,DC可以为目录中列出的元素建立管理策略。
然后,建立系统审核策略,可完成从本地计算机到全域范围内的所有实体的审核。倘若出现安全事件,可通过记录相应的信息和数据,确定事件出现的原因和结果。通过对加入DC的成员进行审核,可以增加整体行为的健壮性和鲁棒性。一旦某个成员出现恶意行为,将对其进行记录,通过评估,视情采取相应措施。
最后,添加域名控制器来运行.NET服务器和AD。通过复制AD数据,提升AD的可靠性和效能;建立身份授权认证(CA),即从本地的自身授权认证到全域的完全授权认证。对于DC需要考虑很多因素和要求,但是,目前仍存在一些需求是.NET无法妥善处理和解决的。
7 结束语
随着网络应用的日益广泛,通过分析当前资源控制和用户访问权限处理所面临的新问题,本文提出了中心控制动态域模型,延续了从P2P网络的分布式共享到资源集成的发展趋势。中心域采用集中控制模式,通过对资源和服务进行移动或复制,将其从各自的贡献域分离出来,强化用户身份管理,采用基于共识的中心域管理,为网络资源整合共享以及数据管理提供了很好的框架。中心域模型在解决当前资源共享面临的快速组网、数据隔离、数据访问限制等新挑战等方面具有广泛应用场景。中心域模型在解决现实问题方面的具体应用,需要进一步研究和探索,也需要更多专家学者的共同努力。