公安云混搭架构下的数据安全增强技术研究

　　公安云(警务云)是基于私有云的技术架构,部署在公安专网用于支撑公安业务应用的专用云基础设施、 云平台和云应用的统称。 公安云是结合公安领域数据和业务特点,以结构化数据为核心的特殊私有云。因此其在具备云计算技术优点的同时, 也不可避免地存在一些共有的安全问题。

　　近些年, 互联网云计算数据中心的建设在飞速发展,很多大型公司都投入了大量人力财力建设自己的云计算数据中心,为用户提供多种服务。但安全事件时有发生,包括谷歌邮箱、 微软云计算平台、 亚马逊云数据中心等都发生过较严重的安全事件, 不断暴露出各种安全问题, 致使用户遭受损失。

　　公安云与互联网云计算数据中心相似的技术架构,也必然存在各种数据安全问题,特别是公安领域数据的敏感性使该问题更加突出。 因此公安云混搭架构下的数据安全增强技术研究具有重要意义。

　　一、 现存问题和需求分析

　　目前在公安云混搭架构中MPP数据库和Hadoop系统都存在安全漏洞。 其中MPP数据库缺乏强化身份认证、 数据存储加密、 自主访问控制、 安全标记与强制访问控制、数据完整性保护、 安全审计、 用户权限三权分立等安全防护功能。

　　Hadoop的安全漏洞有以下几点:

　　(1)访问控制机制不健全。 DataNode上缺少安全访问控制机制, 导致可以不经过认证授权就直接访问DateNode, 并读取数据块内的信息, 甚至改写DateNode节点上的数据。 在JobTracker节点上用户可以修改或删除其他用户的作业而不会受到任何限制。

　　(2) 数据存储和传输过程缺乏加密机制。 数据在Hadoop集群中传输和存储没有经过加解密的处理, 从而导致在传输过程中容易被盗取以。 在介质丢失、 维修、 黑客恶意攻击等意外情况下, 数据非常容易外泄。

　　(3)用户与服务器缺乏有效的安全认证机制。由于用户进入Hadoop集群没有认证,因此任何用户都可以进入集群, 访问HDFS或者Map/Reduce集群。 这就导致恶意攻击者可以轻松对Hadoop进行攻击,包括修改JobTracker状态、 篡改数据、 恶意提交作业等。 同时Hadoop对DataNode和TaskTracker也缺乏有效的认证机制,黑客可以利用此漏洞任意伪装成合法服务器,接收NameNode和JobTracker发布的数据, 这就导致了数据泄露団。

　　二、总体架构

　　本文通过对MPP数据库和Hadoop系统的安全增强研究, 形成混搭架构的数据安全框架, 如图1所示。

　　图1 公安云混搭架构安全总体框架图

　　(一)统一安全数据访问接口

　　基于混搭架构实现统一安全数据访问接口, 使云应用通过统一访问接口快捷访问数据资源, 同时采用了高强度的SSL通讯加密机制来保证数据传输的安全, 并对安全访问控制提供了方便易用的封装接口。

　　(ニ)MPP数据库集群

　　MPP数据库的安全增强是在原有数据库基础上, 增加安全功能组件形成完备的安全机制, 实现的安全功能包括强化身份认证、 数据存储加密、 自主访问控制、 安全标记与强制访问控制、 数据完整性保护、 安全审计、 用户权限三权分立等。

　　(三)Hadoop集群

　　Hadoop系统针对目前存在的安全漏洞, 如访问控制机制不健全、 数据存储过程缺乏加密机制、 用户与服务器缺乏有效的安全认证机制等, 通过增强Hadoop系统的身份认证、 访问控制及数据存储加密等机制, 提升Hadoop系统的整体安全性。

　　图2 MPP安全数据集群安全增强总体架构图

　　三、 技术路线及关键技术

　　(一)MPP数据库安全增强技术途径

　　MPP数据库的安全增强遵循GBT 20271-2006《信息安全技术 信息系统通用安全技术要求》 和GBT 20273-2006《信息安全技术数据库管理系统安全技术要求》的技术要求, 采用访问控制安全策略、 数据加密存储等技术。 其中访问控制安全策略包括强制访问控制、三权分立、用户标记鉴别、 多租户数据隔离、 安全审计等安全功能。

　　图3 安全数据库集群管理系统各集群节点架构设计示意图

       1.访问控制安全策略的实现方式

　　通过在MPP数据库的Cluster集群服务子系统增加认证处理、访问控制(强制访问控制、自主访问控制)、三权分立、 租户管理、 安全审计、 加密存储等安全功能实现对MPP数据库的集群服务层的安全增强。 在MPP数据库的Node数据节点增加认证处理、 强制访问控制、 三权分立、多租户数据隔离、 安全审计、 加密存储等安全功能实现Node数据节点的安全增强。

　　2.数据加密存储的实现方式在MPP安全数据库集群中数据分为用户数据和系统信息(主要包括用户身份信息、用户密码信息、权限配置信息、控制配置信息、审计信息等)问

　　对于这两种性质的数据也根据其存储方式的不同采用不同的加密实现策略,具体如下:

　　(1)用户数据采用以页为加密单元,每次加解密都针对数据库系统中的一页来完成。 解密后的数据被存入数据缓冲区中,使用完毕后会被系统清零,保证了数据在内存中的安全。

　　(2)MPP数据库中的系统信息(主要包括用户身份信息、用户密码信息、权限配置信息、控制配置信息、审计信息等)采用的是以记录为加解密单元,即操作时,会对每条记录进行一次加(解)密,且记录只会在请求时以明文形式出现, 其他情况都以密文形式存在。

　　(二)Hadoop系统安全增强技术途径

　　针对Hadoop系统存在的安全漏洞,通过增加应用授权和存储加密等安全功能实现对Hadoop系统的安全增强。1.Hadoop系统应用授权的实现方式

　　Hadoop系统采用Apache Ranger进行授权管理,Ranger定义了“用户-资源-权限” 这三者间的关系,对Hadoop生态系统组件进行细粒度的权限访问控制。 其主要由以下三个组件构成:

　　(1)AdminServer:RESTFUL形式提供策略的增删改查接口;

　　(2)AgentPlugin:嵌入到各系统执行流程中,定期从AdminServer拉取策略, 根据策略执行访问决策树, 并且定期记录访问审计;

　　(3) UserSync: 定期从LDAP/File中加载用户, 上报给AdminServer。

　　图4 Ranger架构和原理

　　2.Hadoop系统存储加密的实现方株式

　　Hadoop系统的密钥管理, 采用非对称加密算法RSA对AES密钥进行加密, 而后将其存储在数据节点中。 客户端负责生成RSA密钥对,并且存放其中的私钥,公钥则被主节点存储在元数据中。 客户端在初始化时生成RSA密钥对,然后公钥被上传到主节点中。 当客户端请求主节点创建一个文件时,主节点发回一个含有数据节点链表和客户端RSA公钥的元数据。 对每个文件块,客户端从管道中发送公钥到第一个数据节点而后将数据块分包上传。 在接收到新的块后数据节点生成一个AES会话密钥用于加密数据块文件,而之前的RSA公钥则用来加密这个AES会话密钥。,最终,加密后的文件块和加密后的AES密钥分别独立存储在数据节点的本地磁盘中。 后续的数据节点则通过管道接收加密后的文件块信息。

　　图5带有加解密功能的HDFS架构图

　　(三)统一安全认证技术途径

　　在公安云混搭架构下,采用Kerberos用户认证管理机制作为统一的安全认证机制,对MPP数据库与Hadoop生态系统进行用户身份认证。

　　在MPP数据库中,通过在所有节点部署Kerberos客户端,实现基于Kerberos的认证机制。其部署过程如下:

　　(1)在MPP数据库所有节点上安装Kerberos客户端,并将Kerberos客户端配置文由KDC服务器复制到所有节点上的/etc目录下;

　　(2)将Kerberos认证密钥文件keytab复制到所有MPP节点指定目录;

　　(3)将HTTPS的CA根证书文件追加到所有节点的根证书文件中。

　　在Hadoop中,用户通过了Kerberos认证,便可访问Hadoop的资源。以HDFS服务为例,通过Kerberos认证访问HDFS服务的过程如下:

　　(1)用户请求KDC服务器的票证授予服务TGS的HDFS服务认证,并提交用户的票证TGT;

　　(2)在TGS验证用户的票证TGT,提供HDFS服务票证,用HDFS服务的密钥进行加密;

　　(3)用户提交HDFS服务票证到NameNode,并通过HDFS服务的密钥进行解密后验证。

　　图6 Kerberos认证过程(四)统一数据访问接口技术途径

　　统一安全数据访问接口在标准的云数据管理接口的基础上,采用高强度的SSL通讯加密机制来保证数据传输的安全,并对安全访问控制提供封装接口。

　　1.统一查询接口

　　即云数据管理接口(CDMI),该接口通过面向分布式存储系统的扩展AP|(分布式文件系统用户接口)、JDBC、ODBC,ADO.NET,C-API, RESTFUL API等接口形式,对结构化数据、半结构化数据和非结构化存储资源进行统一的管理。

　　2.统一加载接口

　　(1)面向分布式存储系统的扩展AP|(分布式文件系统用户接口):主要为上层应用提供批量加载非结构化数据的功能,同时提供扫描、过滤、索引和预处理等功能;

　　(2)半结构化数据加载接口:主要为上层应用提供批量加载半结构化数据的功能;

　　(3)结构化数据加载接口:主要为上层应用提供批量加载结构化数据的功能。

　　四、实现和验证

　　本文探讨的安全增强相关技术采用成熟可行的技术路径,从而保证混搭架构下数据安全增强的可行性。 MPP数据库安全增强相关技术遵循国家信息安全等级保护制度相关技术要求和技术实现路径,已通过科技成果鉴定,并获得国家发改委“2011年度信息安全专项”的产业化支持,并在“国家电网信通部全业务数据中心项目”等得到落地应用。相关安全增强技术,已经在“中国移动浙江公司大数据平台三期”项目中得到落地应用。

　　在公安领域,本文探讨的安全增强技术已在某市公安局警务云建设中通过可行性论证,并将逐步进行技术验证实施。

　　五、结语

　　混搭架构下的安全增强技术研究成果可广泛应用于在建和已部署的公安云(警务云),通过部署安全组件的形式增强公安云数据安全防护能力,为警综、多侦联动、情报分析、社会治理、高清视频监控等存在亿级别大数据实体关联查询场景提供数据安全支撑。

作者：刘冰
编辑：广翰楼