身份控制与云数据安全

身份管理概述

（1）定义

提供一种安全的方法和技术来确保正确的个体能够以正确的原因在正确的时间访问正确的资源。

（2）目的

让用户更方便和高效地建立其在IT环境中的身份，包括用户身份整个生命周期的自动化管理以及围绕用户身份管理的各种业务流程的自动化。

云平台常用认证方法

（1） [endif]API认证；（2）跨域认证；（3）多因素认证

常见认证算法

（1） [endif]SHA-1算法；（2）RSA算法；（3）HmacSHA1

SHA1算法具有以下几个特征

1.可以作用于一个最大长度不超过264位的数据块

2.产生一个固定长度的输出

3.对任意给定的x ,H(x计算相对容易，使得软件和硬件的实现可行。

4.对任意给定码h找到x满足H(x)=h在计算上是不可行的(单向性)。

5.对任意给定的数据块x而言.找到既满足H(y)=H(x).但y不等于x的y是非常困难的

6.找到任意数据对(x, y),满足H(x)=H(y)是计算不可行的

RSA算法

RSA作为公钥加密体系中最重要的加解密协议之一， 在1977年由罗纳德李维斯特、阿迪·萨莫尔和伦纳德·阿德曼一起提出，当时他们都在麻省理工学院工作，RSA算法的名字就来自他们三人行的首字母。RSA利用大整数因数分解的数学困难问题来设计，目前，除了暴力破解方式，还没有发现其他有效的破解方式。

HmacSHA1

HmacSHA1是一种安全的基于加密Hash函数和共享密钥的消息认证协议。他可以有效的防止数据在传输过程中被截获和篡改，维护了数据的完整性、可靠性和安全性。

Hmac主要应用在身份验证中，它的使用方法是这样的

(1)客户端发出登录请求

(2)服务器返回一个随机值，并在会话中记录这个随机值

(3)客户端将该随机值作为密钥，用户密码进行hmac运算，然后提交给服务器

(4)服务器读取用户数据库中的用户密码和步骤2中发送的随机值做与客户端一样的hmac运算， 然后与用户发送的结果比较，如果结果一致则验证用户合法

基于口令的认证

利用口令来确认用户的身份是当前常用的认证技术。系统通过用户输入的用户名和密码查找对应口令表里的内容，确认是否匹配，从而完成对用户的认证。这种认证方式存在口令容易遗忘、简单口令容易被攻破等问题。

基于挑战/应答的认证

在挑战/应答认证方式下，用户要求登录时，系统产生一个挑战信息发送给用户，用户根据这条信息连同自己的秘密口令产生一个口令字，输入这个口令字并发送给系统，从而完成一次登录过程。由于系统发送的挑战信息具有随机性,因此挑战/应答方式可以很好地抵抗重放攻击。

跨域认证协议

跨域认证的目的是允许用户访问跨多个域的多个服务器的资源，而不需要重新认证。也就是说，用户在一个Web站点登录，一旦通过认证，用户再次访问同信任域或者联盟的网络域时，不需要再次被认证就可以访问相应的资源。

多因素身份认证

多因素身份验证是一种安全系统，是为了验证一项交易的合理性而实行的多种身份验证，其目的是建立一个多层次的防御体系，使未经授权的人难以访问计算机系统或网络。

多因素身份认证包含如下几种认证方案

1.一次性密码

（1）挑战/应答机制；（2）时间同步机制

2.生物特征识别

（1）指纹识别；（2）声音识别；（3）虹膜识别

控制台登录

这种设计的安全性考虑在于控制台只是一个应用，没有权限获得用户秘密，并且给平台审计也带了新的要求，既能清楚区分一个操作是通过控制台触发还是用户直接通过SDK访问API

授权管理基本概念

授权管理概述

在云应用系统中，应建立统一的授权管理策略.以满足云计算多租户环境下复杂的用户授权管理需求.进而提高云应用系统的安全性。

用户

用户指的是在云计算环境中，购买并使用云服务商所提供服务或个人称为该云计算服务的用户。访问控制服务用户有两种身份类型:访问控制服务账户和访问控制服务角色。访问控制服务账户类型是一种实体身份类型,有确定的身份ID和身份凭证，通常与某个确定的人或应用程序一一对应。

角色

角色分为两类:教科书式角色和RAM角色。教科书式角色(或传统意义上的角色)是指一组权限集合；RAM角色不同于教科书式角色，它是一种虚拟用户(或影子账号)，这种虚拟用户有确定身份，也可以被赋予一组权限，但它没有确定的身份认证密钥。

资源

资源是云服务呈现给用户与之交互的对象实体的一种抽象，在云环境下主要是指存储桶或对象、虚拟机实例等。

权限

权限是允许(Allow)或拒绝(Deny) 一个用户对某种资源执行某中操作的权利。这里所说的操作分为两大类:资源管控操作和资源使用操作。

授权策略

授权策略是描述权限集的一种简单语言规范。访问控制支持两种类型的授权策略:云平台管理的系统访问策略和客户管理的自定义访问策略。

统一授权管理

统一授权管理分为两个部分: 一是面向主题( 即用户)的授权管理；二是面向客体(即系统资源)的授权管理

访问策略语言

常见的策略有如下几种:

1.ASL策略:是基于逻辑的策略语言，具有较强计算力允许推理。

2.PDL策略:基本格式是event-conditions-action.它主要应用于基于策略的网络管理。

3.Selinux策略: 支持多种策略模型，可以自由定义策略，给某个类型分配权限。

4.Ponder策略:是一种声明结构性的策略语言，支持策略类型的定义和实例化。

ACL访问控制机制

ACL (访问控制列表)，是一个用作访问控制的列表。ACL作为文件的一部分存储，只要文件在，ACL就在。其主要是由访问控制项(ACE)组成，每个ACE就是一条是否允许访问的规则。

自主访问控制机制

自主访问控制机制(DAC )机制是UNIX操作系统在其文件系统中引入的安全机制，沿用至今仍然不失其先进性。这种访问控制机制是一种二维结构。

能力机制

能力机制是linux发现DAC不足后，添加到Linux内核中的控制机制，这种机制凌驾于DAC之上。Linux内核中的task_ _struct结构中设置了cap_ effictive、 cap_ inheritable和cap_ permitted三个字段，每个字段是一个32位的无符号整数， 其中每一位控制一个权限

 

强制访问控制机制

强制访问控制(MAC)机制可以大大弱化root用户的权限。在MAC机制下，系统中的所有组件都被划分为主体和客体，并且都配置某种安全上下文，也就是常说的标签。

基于角色的访问控制

基于角色的访问控制(RBAC)就是用户通过角色与权限进行关联。简单的说，一个用户拥有若干角色，每一个角色拥有若干权限。这样就构造出“用户-角色-权限”的授权模型。

数据安全生命周期

1.数据创建；2.数据销毁；3.数据存储；

4.数据归档；5.数据使用；6.数据共享

云安全数据存在的挑战

1.数据安全:要确保数据的保密性、完整性、可用性、真实性、授权、认证和不可抵赖性。

2.数据存放位置:必须保证所有的数据(包括副本和备份)存储在合同、服务水平协议和法规允许的地理位置。

3.数据删除或者持久性:数据必须被彻底有效的出去才能视为销毁，因此必须具备一种可用的技术，全面和有效的定位云计算数据、擦除/销毁数据.并保证数据已经完全消除或者使其无法恢复。

4.不同客户数据的混合:数据(尤其是保密/敏感数据)不能在使用、存储或传输过程中。在没有任何补偿控制的情况下与其他客户数据混合。数据的混合在数据安全和地缘位置等方面增加了挑战。

5.数据备份和数据恢复重建:必须保证数据可用，云数据备份和云恢复计划必须到位和有效.以防止数据丢失、意外的数据覆盖和破坏。不能随便假定云模式的数据肯定有备份并可恢复。

6.数据发现:由于法律系统持续关注电子证据发现,云服务提供和数据拥有者需要把重点放在发现数据并确保法律和监管当局要求的所有数据可被找回。

7．数据聚合和推理:数据在云端时，会有新增的数据汇总和推理的方面的担心，可能会导致违反敏感和机密资料的保密性。

数据采集安全

1.云平台数据的源头众多、数据多样、数据增长速度快.大数据采集的可信性是一个重要关注点。其面临的安全威胁之一是数据被伪造或刻意制造,如电商交易的虚假评论、互联网应用中的数据伪造或粉饰，有可能诱导人们在分析数据时得出错误结论.影响用户的决策判断力。

2.数据真实性分析技术类似于数据清洗和数据预处理,可以作为数据融合的基础。针对大数据的海量特征.利用大数据分析技术(包括机器学习和深度学习技术)，通过构建数据分类模型，可以获得更高的识别准确率

3.云数据主要是分布式地存储在大数据平台(Hadoop)中，采用云存储技术，以多副本、多节点、分布式的形式存储各类数据。数据的集中存储和滥用增加了被非法入侵和数据被泄露的风险。因此.如何保障大数据存储安全一直是重点研究的问题。针对数据的存储安全，目前主要关注的是数据加密以及磁盘存储的安全性。

 

数据使用和共享安全

数据安全访问控制

访问控制是实现数据安全共享的重要技术手段，大数据及大数据应用的诸多新特征使传统访问控制在授权管理、策略描述、细粒度控制、隐私保护、实施架构等方面都面临严峻挑战。

数据共享安全

1.针对数据共享安全问题提出一种面向云存储的文件跨部门使用的自我保护体系结构。

2.在信息流的安全控制方面. Krohn等人，提出了分散信息流安全控制方法.以控制应用程序和外部世界之间的数据流动。

数据丢失

数据丢失会对客户业务造成巨大影响，而在云服务中，用户数据都存放在云中，这也会增加用户对这一安全隐患的忧虑。本章将介绍数据的备份和恢复相关技术，以应对数据丢失带来的安全威胁

 

数据备份

飓风、地震、海啸、火灾等自然灾害以及电脑病毒、黑客攻击等带来的意外，已让无数企业因数据丢失而遭受沉重打击。数据是企业最宝贵的资产，是企业生存的基础，也是企业核心竞争力的重要组成部分，一旦丢失，其后果可能是灾难性的，甚至会引发社会性问题，所以云数据的安全、备份和容灾就显得尤为重要。

四种类型:本地备份、异地热备、异地互备、云备份

本地备份

本地备份只在本地进行数据备份，并且被备份的数据磁带只在本地保存，没有送往异地容灾能力最弱。

异地热备

异地热备是指在异地建立一个热备份点，通过网络进行数据备份。也就是说，通过网络以同步或异步方式，把主站点的数据备份到备份站点。备份站点一般只备份数据，不承担业务。

异地备份

异地互备方案与异地热备方案类似，不同的是主、从系统不是固定的，而是互为对方的备份系统。这两个数据中心系统分別建立在相隔较远的地方，它们都处于工作状态，并进行相互数据备份。当某个数据中心发生灾难时，另一个数据中心能够接替其工作。

云备份

基于云的一种容灾备份方式是采用“ 两朵云”设计，即主数据中心部署的“生产云”为客户提供业务系统平台。容灾中心部署一套独立的“容灾云”，为“生产云”提供数据级容灾保护。

备份加密

随着云计算特别是公有云的兴起，企业需要不断加强数据的云端加密保护。首先，数据存储安全性的角度来看，备份数据如果在存储介质上以明文方式存放，容易被黑客攻击造成数据外泄。其次，从备份数据传输安全性的角度来看，备份数据如果在网络以明文方式传输，容易通过数据包截取等手段造成备份数据泄露。

IT容灾VS备份

主要有如下因素:

1、面向的场景不同:灾难场景和日常场景

2、目标有区别:业务连续Vs数据恢复

3、技术方案不同，但逐步走向融合

数据容灾

对于IT而言，数据容灾系统就是为计算机信息系统提供的一个能应付各种灾难的环境如果计算机系统遭受火灾、水灾、地震、战争等不可抗拒的自然灾准以及计算机犯罪、计算机病毒、掉电、网络/通信失败、硬件/软件错误和人为操作错误等人为灾难时

一个完善的容灾系统甚至还能提供不间断的应用服务(即应用容灾)

两地三中心备份

两地三中心，两地是指同城、异地，三中心是指生产中心、同城容灾中心、异地容灾中心。结合近年国内出现的大范围自然灾害，以同城双中心加异地灾备中心的“两地三中心”的灾备模式也随之出现，这一方案兼具高可用性和灾难备份的能力。