CN110990858B - 一种基于分布式信息流控制的跨云资源共享系统及方法 - Google Patents

一种基于分布式信息流控制的跨云资源共享系统及方法 Download PDF

Info

Publication number
CN110990858B
CN110990858B CN201911269586.0A CN201911269586A CN110990858B CN 110990858 B CN110990858 B CN 110990858B CN 201911269586 A CN201911269586 A CN 201911269586A CN 110990858 B CN110990858 B CN 110990858B
Authority
CN
China
Prior art keywords
cloud
resource
information
data
log
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911269586.0A
Other languages
English (en)
Other versions
CN110990858A (zh
Inventor
金舒原
鲁金钿
陈浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sun Yat Sen University
Original Assignee
Sun Yat Sen University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sun Yat Sen University filed Critical Sun Yat Sen University
Priority to CN201911269586.0A priority Critical patent/CN110990858B/zh
Publication of CN110990858A publication Critical patent/CN110990858A/zh
Application granted granted Critical
Publication of CN110990858B publication Critical patent/CN110990858B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供的基于分布式信息控制的跨云资源共享系统及方法实现对云数据资源的细粒度跟踪及控制,从保密性和完整性方面严格保护共享数据的过程安全,系统开销小且不会造成额外的存储开销。

Description

一种基于分布式信息流控制的跨云资源共享系统及方法
技术领域
本发明涉及跨云资源共享领域,更具体地,涉及一种基于分布式信息流控制的跨云资源共享系统及方法。
背景技术
云计算作为一种新的计算模式,给人们生活带来了巨大变化,提供了诸多便利。但是,在复杂的网络和云环境下,使得大量用户数据面临各种安全威胁,其中用户隐私数据、敏感信息的泄露将对企业和个人造成不可接受的经济损失,这将严重阻碍云计算的快速发展。目前,对云数据隐私保护主要集中在云内的隐私保护,主要涉及的技术包括云身份认证、访问控制、安全隔离、虚拟化、信息流控制、安全计算及安全存储等方面,较少研究工作将这些技术应用到跨云的数据安全或资源共享方面,但是在当下越来越复杂的租户需求情形下,云间协同、云间服务组合模式变得越来越普遍,这数据安全性保护面临着更高的要求,即需要在跨云进行数据共享时保证数据的安全性。跨云的数据共享,目前研究工作主要集中在基于网络、基于硬件及基于密码学方法、基于安全协议、访问控制技术等方面。基于网络,主要方法有设计专用的VPN网络、可编程的网络平台等方法,VPN技术能很好保护数据的传输安全,但是不能保证所传输数据不包含恶意更改或被恶意攻击的数据资源;可编程的网络平台通过将制定的安全策略部署在平台上,在数据进行共享传输时在网关处检查数据的安全性以保证共享安全,但是在发生大量数据共享情形下将对网络设备带来严重的计算开销进而造成网络拥堵,影响传输效率和实时性。基于硬件,通过虚拟化技术对硬件资源进行改造成为独立的数据共享传输环境,但是该方法代价高昂,并不能普及适用。基于密码学方法,主要通过使用同态加密、分块加密等方法将目标数据进行加密然后进行传输,在数据接收方进行解密验证,但是该方法具有较大的计算复杂性和开销。基于安全协议的云间信息共享方案主要通过设计新的或使用现有的安全传输协议实现云间资源数据共享,其中涉及到的数字签名及非对称加密等技术在诸如密钥管理、密钥分发等方面存在不足,同时忽略了云联合身份管理方面。基于访问控制技术方面,主要采用了基于角色访问控制(RBAC)和基于属性(ABAC)的访问控制方法,将云服务使用者的属性或角色映射到目标云,进而实现数据资源共享功能,但是控制对象粒度较粗。
然而,分布式信息流控制(DIFC,Decentralized Information Flow Control)技术能从保密性和完整性方面以一定的安全策略保护数据端到端的安全,在保密性方面严格限制信息的流出,在完整性方面严格限制信息的流入,可以实现细粒度信息流动控制,且DIFC标记随着传输数据在实体之间传递,系统开销小且易于实现,因此DIFC能满足复杂云环境下日益增加的安全性需求。
发明内容
为了解决现有技术中的不足,本发明提供了一种基于分布式信息流控制的跨云资源共享系统及方法。
为解决上述技术问题,本发明的技术方案如下:
本发明第一方面提供一种基于分布式信息流控制的跨云资源共享系统,包括注册管理模块(RM,Registration Management)、数据管理模块(DM,Data Management)、身份认证模块(IM,Identification Management)、信息流控制模块(DIFC,DecentralizedInformation Flow Control)、日志数据库(LD,Logs Database)和日志审计模块;
所述的注册管理模块用于完成对资源请求云和资源提供云的信息注册;
所述的身份认证模块用于完成当资源共享时资源请求云(Cloud-R)和资源所属云(Cloud-P)的身份认证;
所述的数据管理模块用于存储云在注册时候提交的所拥有资源目录及数据映射关系,方便在根据资源请求云所发送的参数查询并确定资源所属云,进而辅助完成云身份认证;
所述的信息流控制模块用于对接收到的资源提供云的数据资源进行降密、认证的安全操作;然后,对数据进行标记或重新标记;若所接收的数据未被标记则对其使用保密性标记和完整性标记进行标记,若接收的是标记后的数据,则在降密、认证操作完成后对数据进行重新标记;最后,将数据资源及相应操作特权传递给资源请求云;
所述的日志数据库用于存储上述模块生成的日志信息;
所述的日志审计模块用于对日志数据库中的日志信息进行审计分析,进行行为安全预警和检测。
在一种优选方案中,所述的注册管理模块包括注册子模块、注销子模块及名单列表;
所述的注册子模块、注销子模块根据资源请求云的注册请求判断进行注册或删除操作;
所述的名单列表包括已注册列表(Registered list)、黑名单(black list)、白名单(white list),其中已注册列表存储已经注册过的云,其中包括资源请求云和资源所属云;黑名单存储不可信或恶意云的相关信息;白名单存储已成功注册的云的相关信息。
在一种优选方案中,所述的身份认证模块包括消息端点(message point)、令牌端点(token point)和授权端点(authorization point),
所述的消息端点用于消息的接收、解析、验证及生成
所述的令牌端点用于对令牌的处理,包括对令牌(token)的解析、验证及生成新的令牌;
所述的授权端点用于对权限信息进行解析、处理并对资源请求云进行安全授权。
在一种优选方案中,所述的信息流控制模块包括标记服务器(label server)、标记代理(label server)、安全级(security level)、DIFC规则(DIFC rules)及任务管理(task management);
所述的标记服务器用于统一生成标记并执行管理;
所述的标记代理用于向标记服务器请求标记、标签、查询以及删除的操作;
所述的安全级存储每个云的安全级别,根据云的详细信息对应生成一个安全值SV,并将安全级别表示成云名与安全级别的对应关系,安全级别的高低由SV值决定,SL值相同表明云间的安全级别相同;
所述的DIFC规则包括信息流动规则、标记变化规则、给予特权的标记变化规则、降密规则及认证规则;
所述的任务管理产生资源共享任务完成对资源的安全性操作并发送给资源请求云。
本发明第二方面一种基于分布式信息流控制的跨云资源共享方法,应用于上述的系统,包括以下步骤:
S1.资源请求云发起注册请求,请求消息通过网络平台转发到注册管理模块,注册管理模块对请求消息进行解析判断是否同意注册,若同意注册则执行注册操作并将资源请求云包含的资源信息存储到数据管理模块,同时生成的注册管理日志信息存储到日志数据库中;
S2.数据管理模块存储的资源请求云的资源信息以一定的数据结构存储并发送身份认证模块对所属资源请求云进行身份认证,同时将生成的数据管理日志存储到日志数据库中;
S3.当资源请求云的请求消息通过网络平台发送至身份认证模块,解析请求消息并根据解析结果对资源请求云进行验证,根据请求资源内容向数据管理模块发送查询资源所属云请求消息以确定资源所属云;数据管理模块将查询结果反馈给身份认证模块,完成对资源所属云的验证,并将执行身份认证和资源所属查询所生成的身份认证日志存储到日志数据库中;资源请求云和资源所属云身份通过验证提允许资源共享资源所属云将所请求的资源或服务数据发送至信息流控制模块,进入S4;否则不允许资源共享;
S4.信息流控制模块对接收到的的资源或者服务数据进行认证,若是数据是被资源所属云标记,则通过对该数据完整性标记添加相应完整性标签进行操作从而完成云数据的认证,若是提交的数据未被标记,则直接核验资源所属云身份以保证数据的合法性;
S5.若提交的数据是被标记的数据,则需要对数据进行重新标记,首先对已经标记的数据进行降密,即移除相应保密性标记,再将所有完整性标记移除,然后使用DIFC的保密性标记和完整性标记对其重新进行标记,若是提交的数据没有被标记,则直接使用DIFC保密性和完整性标记对其进行标记;其次,DIFC将已经被标记的云数据以及给Cloud-R授予的权限及权限生命周期一起反馈给Cloud-R;然后,DIFC将生成的日志信息信息发送至LD存储;
S6.日志审计模块对日志数据库中的日志信息进行审计,进行行为安全预警和检测。
在一种优选方案中,所述的注册管理模块包括注册、注销及名单列表,其中名单列表包括已注册名单、黑名单和白名单;所述的S1的具体步骤如下:
S11.资源请求云发送请求到注册管理模块,注册管理模块对请求消息进行解析,以判定请求类型;
S12.若消息类型为注册,则首先根据解析消息中地址参数向已注册列表发送地址查询消息判定该云是否已注册,若已经注册则将会把注册提示信息反馈给Cloud-R;若未注册过,则向黑名单请求云地址查询,进而判定该云是否为恶意云或不可信云,若云地址查询成功则不允许注册,将会把注册失败信息反馈给Cloud-R;若查询匹配失败则信任该云,允许其进行注册,进而执行注册步骤,并生成相应的日志信息,随后将注册结果反馈给资源请求云;
S13.若消息类型为注销,则首先根据解析消息中地址向已注册列表发送查询判定消息申请判定该云是否在注册列表中,然后根据查询判定消息判定是否继续执行注销操作,若继续执行注销操作则执行后将资源请求云的相关信息从已注册列表已注册列表中删除并更新该列表,并生成日志信息,随后将注销结果反馈给Cloud-R;
S14.将生成的日志信息存储到日志数据库中。
在一种优选方案中,所述的S3的具体步骤如下:
S31.Cloud-R向messages point发送资源请求消息,其中包含Cloud-R令牌token及所请求的资源信息
S32.Messages point首先对消息进行解析,然后根据Cloud-R提供的令牌token对其身份进行验证,接着根据请求资源信息向DM查询资源所属云Cloud-P后并向其发送请求身份认证消息;
S33.Cloud-P收到消息后首先验证DIFC的身份,验证成功后将自身的token及授权信息反馈给token point,然后token point验证Cloud-P提供的令牌token以验证Cloud-P身份并将授权信息转发给authorization point,其对授权信息进行保存后转发给messagepoint
S34.Messages point收到授权信息后将其和Cloud-R的身份认证结果一起反馈给Cloud-R,其根据收到的消息判定是否获得资源请求授权
S35.各组件生成的日志信息提交至LD进行存储。
在一种优选方案中,所述的S6的具体步骤如下:
S61.日志信息提纯(log information refinement)负责将原始日志数据进行精简以去除冗余信息,进而为日志分析审计提供较为准确的输入,使得日志分析在效率和准确率方面得以提升;
S62.日志分析(log analysis)接收提纯后的日志信息作为输入,然后使用相应的模型方法对日志进行分析审计,通过分析结果了解整个方案的运行状态及安全相关事件,进而实现对恶意行为的检测及功能预警的目标;
S63.分析结果存储(analysis results)和结果展示管理(Front-endmanagement)分别实现存储分析审计结果和呈现审计结果的功能,前者包含审计数据和预警消息的数据,后者将日志预警、日志查询及报告的信息呈现给管理员;
在一种优选方案中,所述的日志数据库将不同模块生成的日志存储在不用的分区。
现有技术相比,本发明技术方案的有益效果是:
本发明提供的基于分布式信息控制的跨云资源共享方法实现对云数据资源的细粒度跟踪及控制,从保密性和完整性方面严格保护共享数据的过程安全,系统开销小且不会造成额外的存储开销。
附图说明
图1为本发明提供的基于分布式信息流控制的跨云资源共享系统的架构图;
图2为实施例1中基于分布式信息流控制的跨云资源共享系统的注册管理模块的架构图;
图3为实施例1中基于分布式信息流控制的跨云资源共享系统的身份认证模块的架构图;
图4为实施例1中基于分布式信息流控制的跨云资源共享系统的数据管理模块中分类存储的示意图;
图5为实施例1中基于分布式信息流控制的跨云资源共享系统的数据管理模块中分类存储结构的架构图;
图6为实施例1中基于分布式信息流控制的跨云资源共享系统的信息流控制模块的架构图;
图7为实施例2中基于分布式信息流控制的跨云资源共享方法的流程图;
图8为实施例2中基于分布式信息流控制的跨云资源共享系统的日志审查的流程图。
具体实施方式
附图仅用于示例性说明,不能理解为对本专利的限制;
为了更好说明本实施例,附图某些部件会有省略、放大或缩小,并不代表实际产品的尺寸;
对于本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。
下面结合附图和实施例对本发明的技术方案做进一步的说明。
实施例1
本发明第一方面提供一种基于分布式信息流控制的跨云资源共享系统,如图1所示,包括注册管理模块、数据管理模块、身份认证模块、信息流控制模块、日志数据库和日志审计模块;
所述的注册管理模块用于完成对资源请求云和资源提供云的信息注册;
所述的身份认证模块用于完成当资源共享时资源请求云和资源提供云的身份认证;
所述的数据管理模块用于存储云在注册时候提交的所拥有资源目录及数据映射关系,方便在根据资源请求云所发送的参数查询并确定资源所属云,进而辅助完成云身份认证;
所述的信息流控制模块用于对接收到的资源提供云的数据资源进行降密、认证的安全操作;然后,对数据进行标记或重新标记;若所接收的数据未被标记则对其使用保密性标记和完整性标记进行标记,若接收的是标记后的数据,则在降密、认证操作完成后对数据进行重新标记;最后,将数据资源及相应操作特权传递给资源请求云;
所述的日志数据库用于存储上述模块生成的日志信息;
所述的日志审计模块用于对日志数据库中的日志信息进行审计分析,进行行为安全预警和检测。
在一种优选方案中,所述的注册管理模块包括注册子模块、注销子模块及名单列表,如图2所示;
所述的注册子模块、注销子模块根据资源请求云的注册请求判断进行注册或删除操作;
所述的名单列表包括已注册列表、黑名单、白名单,其中已注册列表存储已经注册过的云,其中包括资源请求云和资源所属云;黑名单存储不可信或恶意云的相关信息;白名单存储已成功注册的云的相关信息。
在一种优选方案中,所述的身份认证模块包括消息端点、令牌端点和授权端点,如图3所示;Cloud-R和Cloud-P身份角色在不同的情形下可以互换,即资源请求云也可以作为资源提供云,反之亦然;
所述的消息端点用于消息的接收、解析、验证及生成;
所述的令牌端点用于对令牌的处理,包括对token的解析、验证及生成新的令牌;
所述的授权端点用于对权限信息进行解析、处理并对资源请求云进行安全授权。
在一种优选方案中,所述的信息流控制模块包括标记服务器、标记代理、安全级、DIFC规则及任务管理,如图6所示;
所述的标记服务器用于统一生成标记并执行管理;
所述的标记代理用于向标记服务器请求标记、标签、查询以及删除的操作;
所述的安全级存储每个云的安全级别,根据云的详细信息对应生成一个安全值SV,并将安全级别表示成云名与安全级别的对应关系,安全级别的高低由SV值决定,SL值相同表明云间的安全级别相同;
所述的DIFC规则包括信息流动规则、标记变化规则、给予特权的标记变化规则、降密规则及认证规则;
所述的任务管理产生资源共享任务完成对资源的安全性操作并发送给资源请求云。
实施例2
本发明第二方面一种基于分布式信息流控制的跨云资源共享方法,应用于上述的系统,如图7,包括以下步骤:
S1.资源请求云发起注册请求,请求消息通过网络平台转发到注册管理模块,注册管理模块对请求消息进行解析判断是否同意注册,若同意注册则执行注册操作并将资源请求云包含的资源信息存储到数据管理模块,同时生成的注册管理日志信息存储到日志数据库中;
S2.数据管理模块存储的资源请求云的资源信息以一定的数据结构存储并发送身份认证模块对所属资源请求云进行身份认证,同时将生成的数据管理日志存储到日志数据库中;
S3.当资源请求云的请求消息通过网络平台发送至身份认证模块,解析请求消息并根据解析结果对资源请求云进行验证,根据请求资源内容向数据管理模块发送查询资源所属云的请求消息以确定资源所属云;数据管理模块将查询结果反馈给身份认证模块,完成对资源所属云的验证,并将执行身份认证和资源所属查询所生成的身份认证日志存储到日志数据库中;资源请求云和资源所属云身份通过验证提允许资源共享资源所属云将所请求的资源或服务数据发送至信息流控制模块,进入S4;否则不允许资源共享;
S4.信息流控制模块对接收到的的资源或者服务数据进行认证,若是数据是被资源所属云标记,则通过对该数据完整性标记添加相应完整性标签进行操作从而完成云数据的认证,若是提交的数据未被标记,则直接核验资源所属云身份以保证数据的合法性;
S5.若提交的数据是被标记的数据,则需要对数据进行重新标记,首先对已经标记的数据进行降密,即移除相应保密性标记,再将所有完整性标记移除,然后使用DIFC的保密性标记和完整性标记对其重新进行标记,若是提交的数据没有被标记,则直接使用DIFC保密性和完整性标记对其进行标记;其次,DIFC将已经被标记的云数据以及给Cloud-R授予的权限及权限生命周期一起反馈给Cloud-R;然后,DIFC将生成的日志信息信息发送至LD存储;
S6.日志审计模块对日志数据库中的日志信息进行审计,进行行为安全预警和检测。
在本实施例中,云资源信息主要以资源目录的形式存储,该部分对云在注册时候提交的云资源信息首先按照预定义的类别进行分类,其中预定义的类别有教育、商业及医院等,然后将它们按照类别进行存储,若注册云不属于预定义类别,则根据该注册云定义新类别,如图4“New_type”所示,再将相应资源目录存储到该类别下。
每个类别下的云资源均以一定的数据结构存储,该数据结构方便高效查询资源并确定所请求资源的所属云,资源存储结构以高校为例,如图5所示。
其中Unv.1表示注册的高校名,Schl.和Sev_dep.分别表示Unv.1下的学院和服务部门,Schl.下包含研究工作人员Resr.和学生Stu.,当然在实际情形中还会包含行政工作人员等,这根据云在注册时候提交的资源信息决定,Srv_dep.下包含行政管理人员ad.stf和其他人员othr.,然后各类下均包含信息记录info。当云资源信息发生更新时候,该结构可以根据云更新请求进行动态更新。类似的,商业、医院及银行等类别资源均按照一致的结构进行存储。
实施例3
本实施例提供的一种基于分布式信息流控制的跨云资源共享方法与实施例2一致,仅对各个步骤进行进一步的限定。
S1.资源请求云发起注册请求,请求消息通过网络平台转发到注册管理模块,注册管理模块对请求消息进行解析判断是否同意注册,若同意注册则执行注册操作并将资源请求云包含的资源信息存储到数据管理模块,同时生成的注册管理日志信息存储到日志数据库中;
S2.数据管理模块存储的资源请求云的资源信息以一定的数据结构存储并发送身份认证模块对所属资源请求云进行身份认证,同时将生成的数据管理日志存储到日志数据库中;
S3.当资源请求云的请求消息通过网络平台发送至身份认证模块,解析请求消息并根据解析结果对资源请求云进行验证,根据请求资源内容向数据管理模块发送查询资源所属云请求消息以确定资源所属云;数据管理模块将查询结果反馈给身份认证模块,完成对资源所属云的验证,并将执行身份认证和资源所属查询所生成的身份认证日志存储到日志数据库中;资源请求云和资源所属云身份通过验证提允许资源共享资源所属云将所请求的资源或服务数据发送至信息流控制模块,进入S4;否则不允许资源共享;
S4.信息流控制模块对接收到的的资源或者服务数据进行认证,若是数据是被资源所属云标记,则通过对该数据完整性标记添加相应完整性标签进行操作从而完成云数据的认证,若是提交的数据未被标记,则直接核验资源所属云身份以保证数据的合法性;
S5.若提交的数据是被标记的数据,则需要对数据进行重新标记,首先对已经标记的数据进行降密,即移除相应保密性标记,再将所有完整性标记移除,然后使用DIFC的保密性标记和完整性标记对其重新进行标记,若是提交的数据没有被标记,则直接使用DIFC保密性和完整性标记对其进行标记;其次,DIFC将已经被标记的云数据以及给Cloud-R授予的权限及权限生命周期一起反馈给Cloud-R;然后,DIFC将生成的日志信息信息发送至LD存储;
S6.日志审计模块对日志数据库中的日志信息进行审计,进行行为安全预警和检测。
在一种优选方案中,所述的注册管理模块包括注册、注销及名单列表,其中名单列表包括已注册名单、黑名单和白名单;所述的S1的具体步骤如下:
S11.资源请求云发送请求到注册管理模块,注册管理模块对请求消息进行解析,以判定请求类型;
S12.若消息类型为注册,则首先根据解析消息中地址参数向已注册列表发送地址查询消息判定该云是否已注册,若已经注册则将会把注册提示信息反馈给Cloud-R;若未注册过,则向黑名单请求云地址查询,进而判定该云是否为恶意云或不可信云,若云地址查询成功则不允许注册,将会把注册失败信息反馈给Cloud-R;若查询匹配失败则信任该云,允许其进行注册,进而执行注册步骤,并生成相应的日志信息,随后将注册结果反馈给资源请求云;
S13.若消息类型为注销,则首先根据解析消息中地址向已注册列表发送查询判定消息申请判定该云是否在注册列表中,然后根据查询判定消息判定是否继续执行注销操作,若继续执行注销操作则执行后将资源请求云的相关信息从已注册列表已注册列表中删除并更新该列表,并生成日志信息,随后将注销结果反馈给Cloud-R;
S14.将生成的日志信息存储到日志数据库中。
在一种优选方案中,所述的S3的具体步骤如下:
S31.Cloud-R向messages point发送资源请求消息,其中包含Cloud-R令牌token及所请求的资源信息
S32.Messages point首先对消息进行解析,然后根据Cloud-R提供的令牌token对其身份进行验证,接着根据请求资源信息向DM查询资源所属云Cloud-P后并向其发送请求身份认证消息;
S33.Cloud-P收到消息后首先验证DIFC的身份,验证成功后将自身的token及授权信息反馈给token point,然后token point验证Cloud-P提供的令牌token以验证Cloud-P身份并将授权信息转发给authorization point,其对授权信息进行保存后转发给messagepoint
S34.Messages point收到授权信息后将其和Cloud-R的身份认证结果一起反馈给Cloud-R,其根据收到的消息判定是否获得资源请求授权
S35.各组件生成的日志信息提交至LD进行存储。
在一种优选方案中,所述的S6的具体步骤如下,如图8所示:
S61.日志信息提纯负责将原始日志数据进行精简以去除冗余信息,进而为日志分析审计提供较为准确的输入,使得日志分析在效率和准确率方面得以提升;
S62.日志分析接收提纯后的日志信息作为输入,然后使用相应的模型方法对日志进行分析审计,通过分析结果了解整个方案的运行状态及安全相关事件,进而实现对恶意行为的检测及功能预警的目标;
S63.分析结果存储和结果展示管理分别实现存储分析审计结果和呈现审计结果的功能,前者包含审计数据和预警消息的数据,后者将日志预警、日志查询及报告的信息呈现给管理员;
在一种优选方案中,所述的日志数据库将不同模块生成的日志存储在不用的分区。
实施例4
本实施例对DIFC规则进行进一步的论述,本发明提供的DIFC规则基于DIFC模型,主要包括标签、标记、实体、安全环境、安全域、特权、标记变化、特权传递、实体创建、降密规则及认证规则等,此外还包括信息安全流动规则、标记变化规则及给予特权的标记变化等。
在DIFC模型中,标记label由标签Tag组成。一个单独的标签t不代表任何安全属性,只有当t被赋予了一定安全属性之后才具备一定的安全含义。一般来说,t被赋予的安全含义包括保密性和完整性,故标签t主要分为保密性标签tS和完整性标签tI,相应的,标记L也分为保密性标记LS和完整性标记LI
实体Entity包含客体Object、主体Subject,客体指的是具体的云资源数据,而主体指的是对云资源数据进行操作的对象。这里,客体指的是被共享的云资源数据,主体代表对该客体进行操作的对象,具体为涉及的资源拥有云Cloud-P、DIFC模块及其任务和资源请求云Cloud-R。主体M,即DIFC模块生成的任务的保密性标记和完整性标记分别为LS(M)和LI(M),若标签t∈LS(M),则主体M的输出对象包含标记t及其所标记的保密性数据;若t∈LI(M),则主体M的输入对象包含标记t及其所标记的完整性数据。
同一个安全域中存在一个或者多个具有相同安全环境的实体。不同的安全域具有不同的安全限制,具体表现在保密性和完整性两方面,在DIFC模型中信息只能在相同安全域中流动或者从低限制安全域,即低保密性和高完整性流向高限制安全域高保密级和低完整性,不能反向流动,一般情形下,应严格遵循“禁止向上读,禁止向下写”的规则。图9中,SA表示安全域,SL表示安全级别,实线箭头表示允许的信息流向,虚线箭头表示不允许的信息流向,SL1~SL3之间满足关系:SL1<SL2<SL3,即相应安全域SA1~SA3之间的安全限制依次增强。
特权privilege表示主体添加/删除标签的能力,分别P+和P-来表示。在该专利中,如若DIFC模块创建一个新的任务M,相应的将赋予任务M添加/删除标签t的特权,用P(M)表示。若标签
Figure GDA0003916515880000131
表示任务M具有添加标签t到自身保密性标记中的特权,相应的,任务M从自身保密性标记中移除标签t特权表示为
Figure GDA0003916515880000132
关于完整性,对于标签t,
Figure GDA0003916515880000133
Figure GDA0003916515880000134
分别表示任务M对标签t的添加/删除的特权。
每个实体的安全环境由该实体的保密性标记和完整性标记构成,在其安全环境下,实体具备对标签操作特权集,其包含四个特权,分别为对保密性标记的操作特权
Figure GDA0003916515880000135
Figure GDA0003916515880000136
和对完整性标签操作的特权
Figure GDA0003916515880000137
Figure GDA0003916515880000138
降密和认证。在实体E执行降密操作时,其需要具备对保密标签tS的删除特权即
Figure GDA0003916515880000139
进而删除保密性标签完成对数据的降密操作;在执行认证操作时,实体E需要具备对完整性标签tI的添加特权
Figure GDA00039165158800001310
进而添加完整性标签到原标记中完成对数据的认证操作。如图10中所示为Cloud-P为Cloud-R通过DIFC-ICDS提供资源数据,在Cloud-P中资源数据被保密性标记LS={c_p}和完整性标记LI={φ}标记,与图1中一致,实线箭头为允许的信息流动,虚线箭头为禁止的信息流向。
认证。Checker负责完成对资源数据的检查,即在接收到的资源数据的完整性标记LI={φ}上添加完整性标签che.进行认证,并输出到标记部分Re/labeling,其输入端只能接收被che.标记的数据,然后通过在资源数据的完整性标记LI={che.}中添加lab.标签发送数据给Cloud-R,其只接收被LI={che.,lab.}标记的资源数据。
降密。这里,假设Cloud-P的安全级高于Cloud-R的安全级。标记部分接收到被保密性标记LS={c_p}标记的秘密数据,首先将该标签c_p移除完成对该保密数据的降密,然后使用标记保密性标签c_r对该数据使用保密性标记LS={c_r}重新进行标记并输出给Cloud-R。
若实体E能对自身特权进行安全传递,则其对标签t的操作特权满足条件:
Figure GDA0003916515880000141
即该实体同时具有对保密性标记和完整性标记的添加和删除特权,才能对特权进行安全传递。
如果A实体可以创建B实体,该创建关系表示成
Figure GDA0003916515880000142
则B将继承A的安全环境,包括A具备的权限、保密级和完整性级别,如下所示:
Figure GDA0003916515880000143
信息安全流动规则。当信息从主体A流向主体B时候,信息流动过程表示为A→B,若要保证该过程是安全的,则应该满足以下规则:
Figure GDA0003916515880000144
该规则从保密性和完整性两方面严格限制了信息的流向,保密性标记限制了信息的流出,完整性规则限制了信息的流入,当且仅当同时满足保密性限制和完整性限制规则时候,信息流动过程A→B安全,不满足改规则则禁止信息流动。
图11中,假设实体E1~E3均对各自的资源用相应的保密性标记和完整性标记所标记,如图中{LS,LI},各自的保密性标记LS和完整性标记LI包含不同的保密性标记tS和完整性标记tI集合组成。其中,对于实体E1和E3,标记满足规则
Figure GDA0003916515880000145
但是不满足
Figure GDA0003916515880000146
所以信息流动E2→E3是不允许的,反之E3→E2也不允许;图11中信息流动E1→E2和E1→E3是允许的,因为E1→E2满足规则
Figure GDA0003916515880000147
同理E1→E3过程满足规则
Figure GDA0003916515880000148
标记变化规则。当主体对客体进行安全操作时候,如降密、认证等操作,其标记将发生变化,这个过程表示为
Figure GDA0003916515880000149
即从原标签L变化成标记L',这个过程涉及相应标签的添加或删除,应当遵循以下规则:
Figure GDA00039165158800001410
标记的变化涉及保密性标记和完整性标记变化,实体对其保密性标记添加或删除保密性标记{tS},则其标记变化过程为为
Figure GDA00039165158800001411
实体对完整性标记移除或添加完整性标签{tI},则其标记变化过程为
Figure GDA00039165158800001412
在一个实体内部,其具备对其标记和标签的全部操作能力,但是当信息在实体间流动过程中,信息接收方需要对信息进行安全操作,如降密或认证,就需要特定的权限来操作相应标记,因此制定了基于特权的标记变化规则:
Figure GDA0003916515880000151
规则(3)指出在信息在实体间流动时候,信息接收方对信息所带的标记进行操作需要具备相应的特权,分别对应于
Figure GDA0003916515880000152
Figure GDA0003916515880000153
遵循规则(3)的标记变化过程
Figure GDA0003916515880000154
是安全的。
附图中描述位置关系的用语仅用于示例性说明,不能理解为对本专利的限制;
显然,本发明的上述实施例仅仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。

Claims (9)

1.一种基于分布式信息流控制的跨云资源共享系统,其特征在于,包括注册管理模块、数据管理模块、身份认证模块、信息流控制模块、日志数据库和日志审计模块;
所述的注册管理模块用于完成对资源请求云和资源提供云的信息注册;
所述的身份认证模块用于完成当资源共享时资源请求云和资源所属云的身份认证;
所述的数据管理模块用于存储云在注册时候提交的所拥有资源目录及数据映射关系,方便在根据资源请求云所发送的参数查询并确定资源所属云,进而辅助完成云身份认证;
所述的信息流控制模块用于对接收到的资源提供云的数据资源进行降密、认证的安全操作;然后,对数据进行标记或重新标记;若所接收的数据未被标记则对其使用保密性标记和完整性标记进行标记,若接收的是标记后的数据,则在降密、认证操作完成后对数据进行重新标记;最后,将数据资源及相应操作特权传递给资源请求云;
所述的日志数据库用于存储所述注册管理模块、数据管理模块、身份认证模块和信息流控制模块生成的日志信息;
所述的日志审计模块用于对日志数据库中的日志信息进行审计分析,进行行为安全预警和检测。
2.根据权利要求1所述的基于分布式信息流控制的跨云资源共享系统,其特征在于,所述的注册管理模块包括注册子模块、注销子模块及名单列表;
所述的注册子模块、注销子模块根据资源请求云的注册请求判断进行注册或删除操作;
所述的名单列表包括已注册列表、黑名单、白名单,其中已注册列表存储已经注册过的云,其中包括资源请求云和资源所属云;黑名单存储不可信或恶意云的相关信息;白名单存储已成功注册的云的相关信息。
3.根据权利要求1所述的基于分布式信息流控制的跨云资源共享系统,其特征在于,所述的身份认证模块包括消息端点、令牌端点和授权端点,
所述的消息端点用于消息的接收、解析、验证及生成;
所述的令牌端点用于对令牌的处理,包括对令牌的解析、验证及生成新的令牌;
所述的授权端点用于对权限信息进行解析、处理并对资源请求云进行安全授权。
4.根据权利要求1所述的基于分布式信息流控制的跨云资源共享系统,其特征在于,所述的信息流控制模块包括标记服务器、标记代理、安全级、分布式信息流规则及任务管理;
所述的标记服务器用于统一生成标记并执行管理;
所述的标记代理用于向标记服务器请求标记和标签,以及请求标记查询以及标记删除的操作;
所述的安全级存储每个云的安全级别,根据云的详细信息对应生成一个安全值SV,并将安全级别表示成云名与安全级别的对应关系,安全级别的高低由SV值决定,SL值相同表明云间的安全级别相同;
所述的分布式信息流规则包括信息流动规则、标记变化规则、给予特权的标记变化规则、降密规则及认证规则;
所述的任务管理产生资源共享任务完成对资源的安全性操作并发送给资源请求云。
5.一种基于分布式信息流控制的跨云资源共享方法,应用于上述权利要求1-4任一项的系统,其特征在于,包括以下步骤:
S1.资源请求云发起注册请求,请求消息通过网络平台转发到注册管理模块,注册管理模块对请求消息进行解析判断是否同意注册,若同意注册则执行注册操作并将资源请求云包含的资源信息存储到数据管理模块,同时生成的注册管理日志信息存储到日志数据库中;
S2.数据管理模块存储的资源请求云的资源信息以一定的数据结构存储并发送身份认证模块对所属资源请求云进行身份认证,同时将生成的数据管理日志存储到日志数据库中;
S3.当资源请求云的请求消息通过网络平台发送至身份认证模块,解析请求消息并根据解析结果对资源请求云进行验证,根据请求资源内容向数据管理模块发送查询资源所属云请求消息以确定资源所属云;数据管理模块将查询结果反馈给身份认证模块,完成对资源所属云的验证,并将执行身份认证和资源所属查询所生成的身份认证日志存储到日志数据库中;若资源请求云和资源所属云身份通过验证,则提允许资源共享资源所属云将所请求的资源或服务数据发送至信息流控制模块,进入S4;否则不允许资源共享;
S4.信息流控制模块对接收到的资源或者服务数据进行认证,若是数据是被资源所属云标记,则通过对该数据的完整性标记添加相应完整性标签进行操作从而完成云数据的认证,若是提交的数据未被标记,则直接核验资源所属云身份以保证数据的合法性;
S5.若提交的数据是被标记的数据,则需要对数据进行重新标记,首先对已经标记的数据进行降密,即移除相应保密性标记,再将所有完整性标记移除,然后使用DIFC的保密性标记和完整性标记对其重新进行标记,若是提交的数据没有被标记,则直接使用DIFC保密性和完整性标记对其进行标记;其次,DIFC将已经被标记的云数据以及给资源请求云授予的权限及权限生命周期一起反馈给资源请求云;然后,DIFC将生成的日志信息发送至日志数据库存储;
S6.日志审计模块对日志数据库中的日志信息进行审计,进行行为安全预警和检测。
6.根据权利要求5所述的基于分布式信息流控制的跨云资源共享方法,其特征在于,所述的注册管理模块包括注册列表、注销列表及名单列表,其中名单列表包括已注册名单、黑名单和白名单;所述的S1的具体步骤如下:
S11.资源请求云发送请求到注册管理模块,注册管理模块对请求消息进行解析,以判定请求类型;
S12.若消息类型为sign up,则首先根据解析消息中地址参数向已注册列表发送地址查询消息判定该云是否已注册,若已经注册则将会把注册提示信息反馈给资源请求云;若未注册过,则向黑名单请求云地址查询,进而判定该云是否为恶意云或不可信云,若云地址查询成功则不允许注册,将会把注册失败信息反馈给资源请求云;若查询匹配失败则信任该云,允许其进行注册,进而执行注册步骤,并生成相应的日志信息,随后将注册结果反馈给资源请求云;
S13.若消息类型为delete,则首先根据解析消息中地址向已注册列表发送查询判定消息申请判定该云是否在注册列表中,然后根据查询判定消息判定是否继续执行注销操作,若继续执行注销操作则执行后将资源请求云的相关信息从已注册列表中删除并更新该列表,并生成日志信息,随后将注销结果反馈给资源请求云;
S14.将生成的日志信息存储到日志数据库中。
7.根据权利要求6所述的基于分布式信息流控制的跨云资源共享方法,其特征在于,所述的S3的具体步骤如下:
S31.资源请求云向消息端点发送资源请求消息,其中包含资源请求云令牌token及所请求的资源信息;
S32.消息端点首先对消息进行解析,然后根据资源请求云提供的令牌token对其身份进行验证,接着根据请求资源信息向数据管理模块查询资源所属云后并向其发送请求身份认证消息;
S33.资源所属云收到消息后首先验证信息流控制模块的身份,验证成功后将自身的令牌及授权信息反馈给令牌端点,然后令牌端点验证资源所属云提供的令牌以验证资源所属云身份并将授权信息转发给授权端点,其对授权信息进行保存后转发给消息端点;
S34.消息端点收到授权信息后将其和资源请求云的身份认证结果一起反馈给资源请求云,其根据收到的消息判定是否获得资源请求授权;
S35.各组件生成的日志信息提交至日志数据库进行存储。
8.根据权利要求7所述的基于分布式信息流控制的跨云资源共享方法,其特征在于,所述的S6的具体步骤如下:
S61.日志信息提纯负责将原始日志数据进行精简以去除冗余信息,进而为日志分析审计提供较为准确的输入,使得日志分析在效率和准确率方面得以提升;
S62.日志分析接收提纯后的日志信息作为输入,然后使用相应的模型方法对日志进行分析审计,通过分析结果了解整个方案的运行状态及安全相关事件,进而实现对恶意行为的检测及功能预警的目标;
S63.分析结果存储和结果展示管理分别实现存储分析审计结果和呈现审计结果的功能,前者包含审计数据和预警消息的数据,后者将日志预警、日志查询及报告的信息呈现给管理员。
9.根据权利要求5所述的基于分布式信息流控制的跨云资源共享方法,其特征在于,所述的日志数据库将不同模块生成的日志存储在不同的分区。
CN201911269586.0A 2019-12-11 2019-12-11 一种基于分布式信息流控制的跨云资源共享系统及方法 Active CN110990858B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911269586.0A CN110990858B (zh) 2019-12-11 2019-12-11 一种基于分布式信息流控制的跨云资源共享系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911269586.0A CN110990858B (zh) 2019-12-11 2019-12-11 一种基于分布式信息流控制的跨云资源共享系统及方法

Publications (2)

Publication Number Publication Date
CN110990858A CN110990858A (zh) 2020-04-10
CN110990858B true CN110990858B (zh) 2023-01-17

Family

ID=70092536

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911269586.0A Active CN110990858B (zh) 2019-12-11 2019-12-11 一种基于分布式信息流控制的跨云资源共享系统及方法

Country Status (1)

Country Link
CN (1) CN110990858B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111683056B (zh) * 2020-05-15 2021-11-02 中山大学 一种基于Linux安全模块的云平台间的信息流控制系统及方法
US20230370461A1 (en) * 2022-05-12 2023-11-16 Oracle International Corporation Intercloud service gateway
CN117150567B (zh) * 2023-10-31 2024-01-12 山东省国土空间数据和遥感技术研究院(山东省海域动态监视监测中心) 一种跨区域不动产数据共享系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106411895A (zh) * 2016-09-29 2017-02-15 中国科学院计算技术研究所 一种多粒度分布式信息流控制方法及系统
CN106407823A (zh) * 2016-09-26 2017-02-15 中国科学院计算技术研究所 一种多粒度多强度访问控制方法及系统
CN110378134A (zh) * 2019-07-08 2019-10-25 紫光云技术有限公司 一种基于标签的混合云信息保护和数据流转跟踪方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106407823A (zh) * 2016-09-26 2017-02-15 中国科学院计算技术研究所 一种多粒度多强度访问控制方法及系统
CN106411895A (zh) * 2016-09-29 2017-02-15 中国科学院计算技术研究所 一种多粒度分布式信息流控制方法及系统
CN110378134A (zh) * 2019-07-08 2019-10-25 紫光云技术有限公司 一种基于标签的混合云信息保护和数据流转跟踪方法

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
DIFC-AC:一种云计算中信息隐私性保护方法;叶志伟等;《计算机应用与软件》;20130315(第03期);全文 *
Information-Flow Control for Building Security and Privacy Preserving Hybrid Clouds;R.K.Shyamasundar et.al;《2016 IEEE 18th International Conference on High Performance Computing and Communications》;20161231;全文 *
基于DIFC的SaaS环境中动态数据保护应用方案;曾萍等;《北京电子科技学院学报》;20160615(第02期);全文 *
面向云计算的数据安全保护关键技术研究;刘婷婷;《中国博士学位论文全文数据库》;20140115(第01期);全文 *

Also Published As

Publication number Publication date
CN110990858A (zh) 2020-04-10

Similar Documents

Publication Publication Date Title
Hafiz et al. Growing a pattern language (for security)
US9576146B2 (en) Service oriented secure collaborative system for compartmented networks
Sattarova Feruza et al. IT security review: Privacy, protection, access control, assurance and system security
CN110990858B (zh) 一种基于分布式信息流控制的跨云资源共享系统及方法
CISSP Official (ISC) 2 guide to the CISSP CBK
CN109525570B (zh) 一种面向集团客户的数据分层安全访问控制方法
CN111726353A (zh) 基于数控系统的敏感数据分级保护方法及分级保护系统
US20100049974A1 (en) Method and apparatus for verification of information access in ict systems having multiple security dimensions and multiple security levels
US20090254392A1 (en) Method and system for enterprise network access control and management for government and corporate entities
Cissée et al. An agent-based approach for privacy-preserving recommender systems
CN106992988A (zh) 一种跨域匿名资源共享平台及其实现方法
Jakóbik Big data security
CN111526156A (zh) 基于大数据的安全云平台系统
Joshi et al. Security and privacy challenges of a digital government
Hemmati et al. Blockchain‐based internet of vehicles (BIoV): A systematic review of surveys and reviews
JP4805615B2 (ja) アクセス制御方法
Mumtaz et al. PDIS: A Service Layer for Privacy and Detecting Intrusions in Cloud Computing.
Zhang et al. Research on access control scheme of system wide information management based on attribute association
Lu et al. DIFCS: a secure cloud data sharing approach based on decentralized information flow control
Buecker et al. Enterprise security architecture using IBM Tivoli security solutions
Rodosek et al. MuSIC: An IT security architecture for inter-community clouds
Tilley et al. Report of the STEP'97 Workshop on Net-Centric Computing
Alrodhan et al. Information privacy in Saudi: A country-wide project
Voorhees et al. Software Design and Security
SRIKANTH et al. ENHANCING PERSONAL DATA SECURITY WITH A BLOCKCHAINBASED FRAMEWORK FEATURING FINE-GRAINED ACCESS CONTROL

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant