云計算環境下的IAM研究

黃翔++張媛媛

摘要：隨著云計算的推廣和普及，云安全問題日益凸顯，而有效進行用戶身份和訪問控制管理是保障云服務順利開展的前提。本文分析云計算平臺下IAM（Identity and Access Management，身份和訪問控制）的特點和存在問題，調研各大廠商針對問題相應的技術解決方案和目前研究的主要方向，最后對未來研究進行展望。

關鍵詞：云安全 身份和訪問控制 云計算

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2016）12-0115-02

隨著移動互聯網技術的快速發展，云計算越來越普及，已初步形成規模化產業，而與此同時安全問題日益凸顯。2016年9月雅虎爆出史上最嚴重數據泄露，近5億用戶的賬戶信息于2014年被盜，而之前，過1億的LinkedIn成員泄露密碼泄露后，Facebook創始人馬克·扎克伯格的Twitter賬戶被黑。在云計算環境下，從用戶將數據上傳到云服務器開始，就失去了對數據的控制能力，數據是否安全、工作任務是否順利完成都是未知數，因此有效地進行用戶身份和訪問控制是保障云服務順利開展的前提條件。

1 IAM

IAM是保障合理的訪問能順利進行而非法的訪問能被拒絕的主要措施，對于Paas（平臺即服務）、Saas（軟件即服務）、Iaas（基礎設施即服務）任何一種云服務都是不可或缺的。通常IAM會經過認證、授權、訪問、數據供應、監控審計等步驟。認證即確認用戶的身份，包括不同的云服務提供商、企業內部用戶、企業服務對象等；授權分兩方面，一方面云服務提供商將自身所提供資源的權限授予給通過認證的用戶，另一方面通過認證的用戶將自己上傳資源的訪問權限授予給其他可訪問的用戶；訪問即根據訪問控制模型，設定并實施訪問策略，對各種數據請求進行審核；數據供應即為通過認證的用戶提供數據傳輸或其它服務；監控審計即對整個服務過程進行實時記錄，發現問題及時預警并提出解決方案。

2 云計算IAM

傳統企業信息系統一般部署在企業內部，軟件、計算機、網絡、交換機都在管理員的完全掌控下，即在可控信任域的范圍內，并且可以通過設置防火墻、IDS建立保護屏障，與外界隔離開，在此種情況下進行身份和訪問控制管理都相對而言比較簡單。但如果將部分數據或業務移動到公有云，保護屏障已失去作用，可控信任域消失，企業對數據資源的控制權缺失；尤其在實時業務中所需資源是動態變化的，使得身份和訪問控制更為復雜，具有其自身的特點：

2.1 身份供應跨區域，隱私難保護

傳統企業信息系統的用戶身份由人事部門來提供，權限也相應明晰，一旦發生變化可以及時進行同步處理。而在公有云的環境下，對于企業用戶而言，云端和企業都需要身份供應，若由企業實現則存在用戶認證跨區域的問題，若有云端供應商提供，隱私數據又很難得到保障。而對個人用戶而言，由于是多個用戶共用軟硬件資源，身份信息泄露較為容易，隱私保護難落到實處。

2.2 多種認證方式并存

傳統企業信息系統由于業務資源在可信任區域內部，同時具有防火墻、IDS等的保護，故認證方式多為“用戶名+密碼”即可滿足需求。而在云計算環境下，移動互聯網技術廣泛運用，人們隨時隨地都可以通過移動終端接入云端，享受快捷服務，與此同時簡單的“用戶名+密碼”的認證方式遠遠不夠。信息系統至少會有2個工作域，分別是企業本身、云服務提供商。普遍的情況是云服務提供商為企業提供認證服務，而身份認證則會由購買了云服務的企業來進行，不同業務安全級別不同，認證力度也各不相同，強認證、委托認證是常用的手段，這其中可信、可管是關鍵。

2.3 訪問授權缺乏通用的模型

訪問控制模型是訪問授權的依據，以往的訪問控制模型能否運用到云計算環境下有待于進一步檢驗。而所提供的云服務IaaS、PaaS和SaaS都有各自的特點，探索何種訪問控制模型適用于何種服務有待于進一步深入研究。目前的難點是云端信息、企業相關信息的同步問題。

2.4 身份聯合

云計算環境下，企業業務開展通常會涉及到多個服務提供商，每個廠商都有自己的一套身份供應、認證、授權、訪問控制的方式方法，此種情況下，建立統一標準進行身份聯合是簡化用戶訪問的有效措施。

3 各大廠商的技術解決方案

3.1 身份供應策略

目前的工業標準是SPML（Service Provisioning Markup Language，服務供應標記語言），用于實現合作企業間信息交換。云服務提供商通過提供SPML適配器、SPML網關來支持SPML。通常情況下，新用戶信息通過SAML令牌傳遞給云服務提供商，而服務提供商從令牌中提取屬性信息，建立SPML消息，處理身份供應請求，即將用戶信息填入到數據庫中去。

3.2 身份認證策略

公有云通常是多個用戶共用軟硬件設備，這種方式決定了身份認證需采用強認證方式。在具體實施過程中，可以由云服務提供商來負責認證，或外包給IDaas（ID as a Service，云身份服務）提供商，還可以由企業自身來完成，但這需要云服務提供相應的支持。目前較為典型的身份認證方式：S3（Amazon Simple Storage Service）身份認證、基于OAuth的跨域身份認證。

S3身份認證：S3是亞馬遜提供的云存儲服務。當新用戶注冊時，會被分配給Access Key ID（20位的字符串）和Secret Access Key（40位字符串），Access Key ID用來唯一的標識用戶，Secret Access Key用來驗證用戶請求是否合法。身份認證采用基于HMAC-SHAI數字簽名的認證算法，其核心在于采用HMAC-SHAI消息認證協議，利用散列函數來驗證數據是否完整，利用密鑰共享、消息認證碼是否一致來驗證數據是否真實，用戶端和服務端的行為如下：

用戶端：生成服務請求，輸入訪問密鑰，計算消息散列值，計算認證碼，發送服務請求及認證碼

服務端：接收服務請求及認證碼、提取訪問密鑰、查詢訪問密鑰、計算消息散列值、計算認證碼、驗證認證碼

基于OAuth跨域身份認證：OAuth是支持跨域訪問的協議，允許用戶將存儲在私有云中的資源共享給其他用戶而不會暴露身份信息。它提供了安全進行數據發布和交換的方式，同時也提供了保證自身信息安全的前提下訪問其他云數據的可能，應用廣泛。

3.3 訪問授權策略

訪問控制模型是進行訪問控制的依據，目前在企業中主要采用的有三種訪問模型：

①MAC（Mandatory Access Control）：強制訪問控制，適用于基于信息種類來進行的訪問；

②RBAC（Role Based Access Control）：基于角色的訪問控制，適用于事務處理和非Web的服務；

③DAC（Discretionary Access Control）：自主訪問控制，適用于非結構化數據的訪問，或是云服務提供商提供的Web服務。

目前基于上述模型典型的訪問授權方式有：基于XACML（eXtensible Access Control Markup Language，可擴展控制標記語言）的訪問控制、Windows Azure訪問控制。

基于XACML的訪問授權：XACML打破了特定應用授權模型的局限，適用于不同應用，是通用的、基于XML的訪問控制語言，提供訪問授權方法、執行策略的授權標準。

Windows Azure訪問控制：Windows Azure是微軟公司的云平臺，主要采用NET訪問控制服務，即利用令牌和身份標識轉換引擎來實現訪問控制。具體過程：用戶通過瀏覽器提供SAML（Security Assertion Markup Language）令牌（傳輸身份信息），.NET訪問控制服務端會根據規則STS（Security Token Service，安全令牌服務），創建新的SAML，并向用戶返回新的SAML令牌，用戶將新SAML令牌提交給應用程序，應用程序端使用新SAML令牌決定用戶權限。

3.4 身份聯合策略

目前進行身份聯合主要有兩種方式，一種是由IDaaS來統一管理，另一種是企業內部建立IdP（Identity Provider，身份供應機構）。基于IDaaS進行身份聯合，可以不改變企業原有信息系統結構，當企業身份目錄和身份管理提供的云端同步時即可實現訪問，缺點是不知道實現細節，存在IDaas是否可信的問題。基于IdP的身份聯合則是在改造現有身份管理系統的基礎上進行，保證了身份管理與企業內部訪問控制策略的一致，而無需擔心可信安全問題。

4 目前研究

IAM是云計算安全的核心，目前的研究主要集中訪問控制模型、基于ABE密碼體制的訪問控制、多租戶和虛擬化訪問控制。

云訪問控制模型：主要在傳統訪問控制模型基礎上進行改進，讓它更適用于云計算環境。Jung Y等在RBAC基礎上提出自適應訪問控制模型，會自動計算服務成本并且根據與預算的比對情況進行角色轉換；林果園等結合BLP模型和Biba模型的特點，除了保證數據的保密性和完整性外，還增加權限、行為上的訪問控制；Chandran S M等提出唯一激活集解決混雜角色的權限查詢問題。Bertino E等擴展TRBAC模型解決角色、用戶臨時依賴問題。

基于ABE（Attribute based Encryption，基于屬性的加密算法）密碼的訪問控制：基本觀點是認為密文和私鑰分別與屬性存在關聯，當密文屬性和私鑰屬性相匹配時用戶解密。Yu S等采用代理重加密方法，既提高重加密的效率又防止數據泄露；陳丹偉等將用戶域劃分，私人域采用CP-ABE，公共域采用分級的CP-ABE分別進行訪問控制。

多租戶和虛擬化訪問控制：主要通過多租戶的隔離、hypervisor實現虛擬機的訪問控制。Li XY等提出將云服務提供商和租戶權責分離；Tang等將多租戶認證系統與RBAC模型相結合；Yang等提出RB-MTAC（基于角色的多租戶訪問控制）；Lucian P等提出基于hypervisor的多租戶訪問控制機制。能根據通信狀況動態調節訪問控制策略。

5 未來研究方向

云計算由于自身的特點，安全方面還有許多問題尚待解決，結合云計算的需求和現有的IAM技術來看，未來IAM可能在標準化、密文的訪問控制、訪問控制服務化、跨云訪問、身份供應自動化、細粒度訪問控制等方面有更深入的發展。

參考文獻

[1]馮登國，張敏，張妍，等.云計算安全研究[J].軟件學報，2011，22（1）：71- 83.

[2]陳丹偉，邵菊，樊曉唯，等.基于 MAH-ABE 的云計算隱私保護訪問控制[J].電子學報，2014，42（4）：821-827.

[3]林果園，賀珊，黃皓，等.基于行為的云計算訪問控制安全模型[J].通信學報，2013，33（3）：59-66.

[4]馮朝勝，秦志光，袁丁，等.云計算環境下訪問控制關鍵技術[J].電子學報，2015，43（2）：312-319.