云計(jì)算訪問控制技術(shù)研究

◆龍全波

（貴州電子科技職業(yè)學(xué)院 貴州 550025）

云計(jì)算訪問控制技術(shù)研究

◆龍全波

（貴州電子科技職業(yè)學(xué)院 貴州 550025）

在網(wǎng)絡(luò)技術(shù)不斷發(fā)展的今天，云計(jì)算也在飛速發(fā)展中。現(xiàn)今，各行各業(yè)都普遍認(rèn)識(shí)到云儲(chǔ)存模式的應(yīng)用。伴隨著互聯(lián)網(wǎng)協(xié)同工作的提高和信息共享的發(fā)展，云存儲(chǔ)的環(huán)境也愈發(fā)重要。當(dāng)前云存儲(chǔ)所遇到的主要問題是用戶數(shù)量的劇增和資源數(shù)量的急劇擴(kuò)大，在此環(huán)境下，異構(gòu)的訪問控制策略系統(tǒng)不容忽視。所以，在此類情況下，統(tǒng)一協(xié)調(diào)是訪問控制策略的必要環(huán)節(jié)，而其中資源的整合以及資源的調(diào)節(jié)工作便成為重中之重。基于此，本文將以云存儲(chǔ)中訪問控制策略的合成方案為研究目標(biāo)，探討云存儲(chǔ)中訪問控制技術(shù)的發(fā)展和規(guī)劃。

云存儲(chǔ)；訪問控制；資源整合

0 引言

現(xiàn)階段，云計(jì)算已經(jīng)不再是稀罕名詞，而是任何領(lǐng)域和行業(yè)都會(huì)接觸的一種技術(shù)。云計(jì)算的環(huán)境安全也受到人們的廣泛關(guān)注。云計(jì)算的主要作用是將大量的軟件資源、存儲(chǔ)資源和計(jì)算機(jī)資源集中在一起，從而形成了一個(gè)虛擬的IT資源共享平臺(tái)，并且它的規(guī)模是十分巨大的，還具有共享功能。在云計(jì)算發(fā)展的同時(shí)，云存儲(chǔ)也越來越受到關(guān)注，其安全問題也隨之而來。本文對(duì)云計(jì)算中控制訪問技術(shù)進(jìn)行研究，探討其控制訪問方法。

1 控制訪問原理

1.1 傳統(tǒng)的訪問控制技術(shù)

自上世紀(jì)70年代以來，各個(gè)大型主機(jī)系統(tǒng)的共享數(shù)據(jù)需要共享分析，所以云計(jì)算也就隨之產(chǎn)生，起初的目的是為了管理數(shù)據(jù)授權(quán)訪問的權(quán)限需要，形成了最初的訪問控制，最初也僅僅只是將用戶身份進(jìn)行鑒別，然后通過特殊的控制渠道準(zhǔn)許用戶進(jìn)入或限制用戶訪問數(shù)據(jù)信息，并劃定訪問權(quán)限和范圍。這種訪問技術(shù)可以很好地防止非法用戶的侵入，防止其破壞現(xiàn)有的信息共享系統(tǒng)和信息組成。這是訪問控制最初的作用：（1）通過訪問控制保護(hù)用戶的資源信息，防止非法用戶進(jìn)入竊取用戶資源、瀏覽用戶信息。（2）在合法用戶間創(chuàng)立一個(gè)共享平臺(tái)，使受到保護(hù)的信息資源能夠讓合法用戶進(jìn)行訪問。（3）對(duì)合法用戶進(jìn)行權(quán)限控制，防止其篡改正常的訪問系統(tǒng)，使非法用戶不擁有授權(quán)進(jìn)行訪問。隨著計(jì)算機(jī)技術(shù)不斷發(fā)展，這種控制權(quán)限被越來越多地受到應(yīng)用。

1.2 RBAC96訪問控制模式

基于角色的訪問控制模型來對(duì)用戶、角色以及權(quán)限三者之間的復(fù)雜關(guān)系進(jìn)行了表述，并且可以有效解決傳統(tǒng)訪問控制過程之中所存在的主體難以與特定實(shí)體進(jìn)行靈活捆綁這一問題。該訪問控制模式還能夠有效體現(xiàn)出主體的靈活授權(quán)，因此是一種經(jīng)典的訪問控制模型。此外，RBAC96作為RBAC模型的基礎(chǔ)，之后的所有RBAC模型都是在其基礎(chǔ)上發(fā)展而來的。

在RBAC模型之中，授權(quán)指的是將這些客體的存取訪問權(quán)限在可靠的控制之下連同相關(guān)操作一起提供給這些角色所代表的用戶們，而在該控制模型還能夠借助于授權(quán)的管理模式，來同時(shí)給予一個(gè)角色多個(gè)權(quán)限，而同一權(quán)限也可以授予多個(gè)角色。隨著近年來我國(guó)控制訪問技術(shù)的不斷發(fā)展，相關(guān)研究人員在原有RBAC的基礎(chǔ)上提出了諸多的擴(kuò)展模型，其中比較常見的有基于任務(wù)的訪問控制模型、基于事態(tài)模型的云計(jì)算訪問控制等等，借助于這些模型都能夠從不同的層面上來有效解決系統(tǒng)中訪問控制的問題，并可以確保整個(gè)信息訪問的安全性與可控性。而隨著云計(jì)算的不斷發(fā)展，這些擴(kuò)展的訪問控制模型也被廣泛應(yīng)用于云計(jì)算這一環(huán)境中，并且也取得了良好的應(yīng)用效果。

1.3 訪問控制語言的描述

在訪問控制技術(shù)的發(fā)展以及工程實(shí)踐過程中，現(xiàn)階段出現(xiàn)了許多語言能夠?qū)τ脩舻脑L問以及授權(quán)管理過程進(jìn)行高效的描述，這些語言也能夠作為訪問控制理論以及工程實(shí)踐之間的橋梁，從而取得至關(guān)重要的作用。現(xiàn)階段主要有三種語言能夠?qū)υ朴?jì)算中的訪問控制進(jìn)行有效描述，其功能也具有一定的差異性，具體如下：

（1）安全斷言標(biāo)記語言（SAML）：該語言是基于XML的標(biāo)準(zhǔn)，并應(yīng)用于不同安全與之間的交換認(rèn)證以及授權(quán)數(shù)據(jù)，SAML標(biāo)準(zhǔn)可以對(duì)身份提供者以及服務(wù)提供者來提供以下幾個(gè)方面的功能：進(jìn)行認(rèn)證申明，并且確保用戶已經(jīng)通過了認(rèn)證，多應(yīng)用于單點(diǎn)登錄的過程中；進(jìn)行屬性申明，并有效表明某一個(gè)Subject的屬性；進(jìn)行授權(quán)申明，來確保某一個(gè)資源其所需權(quán)限。

（2）服務(wù)供應(yīng)標(biāo)記語言：該語言在基于XML的標(biāo)準(zhǔn)下，進(jìn)行創(chuàng)建用戶賬號(hào)的服務(wù)請(qǐng)求以及處理與用戶賬號(hào)服務(wù)相關(guān)的服用請(qǐng)求，其主要目的有兩種：進(jìn)行自動(dòng)化IT的合理配置，運(yùn)用標(biāo)準(zhǔn)化的配置工作，能夠使得封裝配置系統(tǒng)其安全與審計(jì)的需求得到有效滿足；實(shí)現(xiàn)不同系統(tǒng)之間的可操作性。

（3）可擴(kuò)展訪問控制標(biāo)記語言：該語言是基于XML上的一種策略語言以及控制決策請(qǐng)求/響應(yīng)語言，并且能夠?qū)eb服務(wù)進(jìn)行有效控制訪問，并可以為XACML提供處理復(fù)雜策略與幾何規(guī)則的功能，因此適用于一些大型云計(jì)算平臺(tái)的訪問控制工作。

2 云計(jì)算環(huán)境下訪問控制過程中存在的一些問題

現(xiàn)階段云計(jì)算環(huán)境在進(jìn)行訪問控制的過程中依舊存在著諸多的問題。

架構(gòu)方面：①傳統(tǒng)的訪問控制在適用范圍與控制手段方面已經(jīng)難以滿足云計(jì)算架構(gòu)的具體要求。而隨著虛擬技術(shù)的出現(xiàn)，使得云計(jì)算環(huán)境下的訪問控制技術(shù)也從傳統(tǒng)的用戶授權(quán)朝著虛擬資源的安全訪問方面進(jìn)行發(fā)展，并導(dǎo)致其適用的范圍以及控制的手段得到了較大程度的增加。②現(xiàn)階段訪問控制分散式管理以及云計(jì)算環(huán)境下集中管理的需求之間還存在著一定的矛盾。③開放動(dòng)態(tài)下的訪問控制策略對(duì)于云安全管理也提出了一定的挑戰(zhàn)。

機(jī)制方面：①目前在用戶們進(jìn)行跨域訪問資源的過程中，對(duì)于相互授權(quán)以及資源共享等問題還沒有得到有效解決。②在云計(jì)算過程中，其虛擬資源與底層完全急性隔離的機(jī)制也會(huì)使得其隱蔽通道更不容易被發(fā)現(xiàn)。③現(xiàn)階段在云計(jì)算環(huán)境下，其信任問題也會(huì)直接決定并影響到訪問控制。

模型方面：①傳統(tǒng)的訪問控制模型已經(jīng)難以滿足現(xiàn)階段云計(jì)算的架構(gòu)需求。②隨著云計(jì)算的不斷發(fā)展，角色的權(quán)限關(guān)系也變得越加復(fù)雜，用戶之間的變動(dòng)更加頻繁，這導(dǎo)致了在很多的應(yīng)用場(chǎng)景之中，其用戶對(duì)數(shù)據(jù)的訪問需要具備選擇性并且被高度區(qū)分。

3 云計(jì)算環(huán)境下的訪問控制研究

3.1 云計(jì)算訪問控制模型

通過建立一種安全的訪問控制模型，就能夠使得用戶們借助于訪問控制模型也得到一定的權(quán)限，并借此來進(jìn)行相關(guān)數(shù)據(jù)的有效訪問。但是現(xiàn)階段對(duì)于云計(jì)算訪問控制模型的研究還剛剛起步，因此根據(jù)具體訪問控制模型的不同，將其分為了基于任務(wù)的訪問控制模型、基于屬性的訪問控制模型、基于UCON的訪問控制模型以及基于BLP的云計(jì)算訪問控制模型這四種。

3.2 基于ABE密碼機(jī)制的云計(jì)算訪問控制模型研究

密碼機(jī)制其本質(zhì)是通過進(jìn)行數(shù)據(jù)的加密，來讓一些具備密鑰的授權(quán)人員進(jìn)行密文的解密工作，借助于密碼機(jī)制的訪問控制技術(shù)還能夠在服務(wù)器端不可信這一環(huán)境下來確保數(shù)據(jù)自身的機(jī)密性，而數(shù)據(jù)的所有者也可以在相關(guān)數(shù)據(jù)的存儲(chǔ)之前就對(duì)其進(jìn)行加密，并借此來控制用戶們對(duì)該資源的訪問控制。現(xiàn)階段ABE作為一種常見的密碼機(jī)制，其在云計(jì)算中也得到了較為廣泛的應(yīng)用，借助于這種密碼機(jī)制能夠使數(shù)據(jù)提供者擁有良好的數(shù)據(jù)控制權(quán)。

4 結(jié)束語

云計(jì)算中的訪問控制問題是現(xiàn)階段安全領(lǐng)域中最為重要的問題之一，其研究也受到了學(xué)術(shù)界以及工業(yè)界的廣泛關(guān)注，近年來也取得了一定的進(jìn)展，但是仍舊存在著一定的問題。本文就云計(jì)算環(huán)境下的訪問控制體系框架進(jìn)行分析，并且就云計(jì)算訪問控制過程中的問題進(jìn)行了全面闡述，希望能夠?qū)罄m(xù)研究者提供一定程度的幫助。

[1]黃毅，李肯立等.一種面向云計(jì)算的任務(wù)-角色訪問控制模型[J].計(jì)算機(jī)應(yīng)用研究，2013.

[2]王小威，趙一鳴等.一種基于任務(wù)角色的云計(jì)算訪問控制模型[J].計(jì)算機(jī)工程，2012.