基于回填算法的实验室云端访问安全监控仿真

王文立，陈 杰

(1. 华东理工大学，上海 200237；2. 云南民族大学，云南 昆明 650504)

1 引言

设置开放性实验室是提高科技资源使用率的重要渠道。特别是云计算的发展与互联网的普及，促进了实验室对用户的开放。通过云端平台，科研人员不需亲临现场即可实时获取实验数据。但由于实验室的推广范围不断扩大，云端安全访问问题日益严峻，尤其是对隐私数据的访问，已经成为用户较为关心的话题。在传统的实验室云端中，对于信息的保护措施较少，容易受到非法者的窃取与篡改，造成实验信息泄露，甚至经过篡改的数据大大影响实验效果，对科研人员带来一定损失。基于此，全力保障实验数据在云端的安全访问，是开放型实验室当前急需解决的问题之一。

访问安全监控是避免实验室数据泄漏的关键方法，能有效防止攻击人员入侵。现阶段，已有的监控策略包括如下几种：冯馨玥[1]等人提出基于动态策略学习的访问监控策略。采集并分析历史数据，自动学习平台状态与安全访问之间存在的关系，将其当作监控依据；实时监控平台状态，结合安全的监控策略不断调节监控区域，降低开销。石兆军[2]等人利用多源信息融合技术实现访问安全监控。探究常见的攻击路径与异常行为，了解当攻击行为发生时，用户端会出现的异常行为；对这些行为进行整合，采用多数据源信息融合方法构建监控模型，说明模型各部分功能，为安全访问技术提供有效借鉴。上述两种算法虽然可以对访问安全进行监控，但是忽略了云平台的开放性特征，无法保证资源有效利用。

为此，引入回填算法优化实验室数据分配顺序，以此提高资源利用率，同时考虑访问优先级[3]，确保云端稳的稳定性。将其作为前提，提出保护云端数据保密性与完整性的安全监控模型(Cloud Computing Access Control Security CCACSM)。此模型结合行为定义理论与云计算特征，根据角色、时间与状态等安全信息，解决了云端安全监控问题。

2 实验室云端数据生命周期分析

2.1 实验室云端服务类型划分

用户是否对云平台进行访问取决于云端提供服务的类型。将实验室云端提供的服务类型分为以下几种(如图1所示)：

图1 实验室云端服务

1)基础设施服务[4]：供应商会直接向用户提供实验室数据等信息，用户必须利用供应商提供的接口来完成资源储存等工作。

2)平台服务：供应商会提供软件开发所应用的

3)软件服务：指结合用户需求，在云设备上运行的应用程序。用户无法直接管控云设备，例如网络、操作系统等，必须结合授权访问相应程序。

2.2 云端数据生命周期

为优化实验室信息处理效果，将储存在云端中的信息生成到删除的全部过程共分为7个不同阶段，结合该过程考虑云端访问安全。

表1 实验室云端数据生命周期表

实验室云端的安全访问贯穿于云数据生命周期的所有阶段，在分析安全监控策略时，主要从访问控制角度实现云端数据的隐私保护。

3 基于回填算法的云端访问安全监控

3.1 实验室云端数据调度

访问安全监控方法不仅要保证实验室数据安全，还需具有较高的云端资源利用效率，确保云平台稳定运行，这是安全监控的基础。本文提出的回填算法可通过调度器[5]结合任务截止时间进行评分，综合分析优先级选取任务，对资源分配先后排序。

假设任务的时限评分参数表示为ta与tb，最长执行时间为WET；利用VM代表用户的资源需求量。结合上述条件获取任务在开始之前最大等待时间

(1)

(2)

综合考虑时间限制的回填算法执行程序如下

Sj={s1，…，sNj}

(3)

(4)

实验室资源代理需分析云端是否具备执行资源管理器任务的条件，且符合迭代过程中首个条件sj≠null。若数据中心具备足够大的资源需求量来完成首个任务，此时对Sj分配资源，并从等待队伍中剔除。若等待队列中没有需回填的任务，代理会时刻待命，直到队列中排在前列的资源准备就绪，完成实验室云端数据的调度。

3.2 基于CCACSM的访问安全监控模型构建

1)模型元素

CCACSM访问安全监控模型的主要元素包括用户、服务器、访问权限与行为特征等，具体的组成元素如下。

云用户集合

S={S1，S2，…，Sn}

(5)

式中，Si表示实验室云端中任意一个用户。

云端服务器集合

O={O1，O2，…，On}

(6)

式中，Oj代表云环境下任意一个服务器。

时态状态

T={T1，T2，…，Tn}

(7)

式中，Ti代表某个时态。

环境状态

E={E1，E2，…，En}

(8)

式中，Ei描述任意行为的环境。

2)状态变换规则

状态变换[6]的主要目的是确保云端每个状态都是安全的。在此安全监控模型中设立如下几点规则。

规则一：云端用户对服务器请求只读访问规则。当用户Si能够实现对服务器Oj的只读访问时，必须符合如下约束条件：Si的行为集中具备Oj的只读权限；Si的安全等级可以支配Oj的安全等级。

规则二：用户对服务器请求执行访问规则。若用户Si能够实现Oj的执行访问，此时需具备的条件是：Si行为集合内存在对Oj的执行权限。

规则三：用户请求改变原有安全级别。若用户Si能够使安全级别从Oj变换为f0，则需满足的条件为：Si必须属于可信用户，且其安全等级可以实现对f0的支配。

规则四：云端数据的保密度和完整程度发生冲突时的规则。若用户Si具有对服务器Oj的访问权限，但其完整度和保密度相互冲突，则需符合如下要求：Si与Oj的集合内均包括行为集合Ai的权限；

当(Ai，Aj)∈AH时，Aj属于Ai的高级行为，符合安全属性；

当(Aj，Ai)∈AH时，Ai属于Aj的高级行为，符合完整性要求。

当该模型同时满足安全性与完整性要求时，访问监控会划分成下述两个不同层次。

权限层[7]：允许相同等级的用户对实验室云端数据具备只读权限，级别较低的用户对高级别服务器具有最小权限。

行为层[8]：分为时态层与环境层，行为会随着时态与环境的变化而改变。不同位置都会对角色造成影响，不同事件的起始时间同样也影响着角色。

图2 安全监控模型示意图

3.3 安全监控策略与实现

云端的安全监控不仅要确保数据的安全性，还要具备一定开放性。利用上述模型，本文从以下几个角度实现实验室访问安全监控。

1)用户管理

云端用户数量与属性具有动态变化特征，为更好地对不同角色进行分类管理，将云端用户分为客体拥有者、服务器与云用户三种。再结合重要程度分为高、中、低不同级别，并将客体属性传输到服务器中，授予其管理权限，执行管理与维护功能。

2)任务管理

在安全监控模型中，通过任务将角色与权限形成关联。为便于任务管理，从不同角度实现任务分类。且为保证任务仅能在特殊环境下被特定用户执行，添加情景集合，其包括任务执行过程中环境、时间等状态。

3)约束管理

在相同时间内，为避免模型中用户之间发生冲突，需对用户、角色与会话三者之间设置约束条件。

针对用户约束：在某时段中，用户扮演的角色数量有限。

针对角色约束[9]：确保相同角色仅分配给特定用户。在相同时间内，存在冲突的角色无法分配到一个用户，特殊的角色有可能被激活，但也是在设置好的时段(ta，tb)内，且被激活次数是受到限制的，角色数量也是有限的。

针对会话约束[10]：在特殊时间段(tm，tn)内，用户能够激活的会话数量也是有限的，且每次会话过程中角色之间不允许出现冲突。

4)数据管理

在本地保存的数据能够获得局域网的保护，由于云端环境具备开放、共享等特征，导致云客体遭到较多访问威胁。所以针对数据定义不同安全级别来提高安全监控效果。

5)权限管理

对权限的管理需从下述两方面进行：

用户-服务器：在访问实验室云端时，权限通常是不断变化的，要结合实际需求调整安全级别，若监控到异常行为，则立即向下修改安全等级。若用户拥有的权限较低，无法满足访问需求，此时向上提出等级修改申请。

服务器-客体：客体拥有者会向服务器上传管理权限，实现客体与服务器两端的同步管理。减少服务器权限太大造成的安全隐患，提高监控能力。

按照上述安全监控策略，若在CCACSM模型中，管理员划分了k个安全级别(1，2，3，…，k)，并由高到低进行排序。服务器O的安全等级为f(O)(1≤f(O)≤k)，将用户S分为z个种类，任意用户之间的类型均不同。若每个种类所对应的安全级别表示为f(z)(1≤f(z)≤k)，则此种类型的用户安全级别为f(s)=f(z)。任务T′和用户之间具有对应关系。

基于用户与任务之间的对应关系，安全监控模型的实现过程如下。

步骤一：所有访问实验室云端的数据必须完成用户注册；

步骤二：注册后的用户需进一步认证，若没有通过认证则强制退出；完成认证的用户，云端需再次对其状态与环境进行判断，并结合E-T的区别分配用户对应权限；

步骤三：状态转换，满足转化规则的用户得到授权，即A=type(O，S)；

步骤四：云端服务器对获得授权的用户进行实时监控，若用户出现可疑行为，云端会及时预警，取消用户访问权限。

4 仿真结果分析

为测试本文方法的安全监控性能，利用具有随机特性的伪装数据参与测试，引入下述几种常见的访问攻击模式：扫描探测攻击、拒绝服务、非法访问与未授权远程访问。

假设攻击者向云端添加大量的伪装数据，与实验室云端原有数据混合在一起，利用文献[1]提出的基于动态策略学习的访问监控方法、文献[2]提出的基于多源信息融合技术的访问安全监控方法与本文安全监控方法对这些数据进行显态与伪态识别，识别结果分别如图3～图5所示。

图3 文献[1]方法识别效果

图4 文献[2]方法识别效果

图5 本文方法识别效果

由图3～图5能够看出，文献方法在安全监控过程中对于伪装数据访问无法在短时间内准确分辨出来，而本文方法能够精准将其定位在100s时间点上。这是因为本文制定了多项状态转换规则，当攻击者将伪态数据输入到云端时，会进行状态转化，若有其中一项不满足状态转换规则，则使其为伪态数据。因此从多个方面进行访问约束，大大提高了安全监控效果，有助于清楚区分数据的伪显状态，保护实验室云端不受攻击。

由于实验室云端安全监控不但要满足安全需求，还要具有较高的资源使用率，从而保证资源有效调度，从根本上维护平台安全，使实验室云端运行更加稳定。图6为不同方法的资源利用情况。

图6 不同方法的资源利用对比

由图6可知，对比传统方法，本文方法的资源利用率最高。原因是本文使用了回填方式，能够对任务优先级进行排序，综合考虑时间限制，使资源利用率达到最大化。通过合理调度满足云端运行要求，实现数据安全共享，有效解决共享与安全之间的矛盾。

5 结论

云计算具有规模大、开放性强等特征，但数据共享性与安全性之间易出现冲突。为此，本文先使用回填算法实现实验室云端资源合理调度，保证数据共享；再通过构建安全监控模型维护云端安全。仿真结果证明，该方法在监控过程中可有效识别出访问的伪数据，保证实验室云端资源的安全性，同时也能够提高资源利用率。但由于时间有限，该方法并没有在真实场景下应用，今后的工作方向是投入到真实环境中使用，使其发挥出真正作用。