云計(jì)算訪問(wèn)控制技術(shù)研究進(jìn)展

熊達(dá)鵬， 陳 亮， 王 鵬， 鄒 鵬， 鮑俊雷(. 裝備學(xué)院 復(fù)雜電子系統(tǒng)仿真實(shí)驗(yàn)室, 北京 046； . 中國(guó)衛(wèi)星海上測(cè)控部， 江蘇 無(wú)錫 443 )

云計(jì)算訪問(wèn)控制技術(shù)研究進(jìn)展

熊達(dá)鵬1， 陳 亮1， 王 鵬1， 鄒 鵬1， 鮑俊雷2
(1. 裝備學(xué)院 復(fù)雜電子系統(tǒng)仿真實(shí)驗(yàn)室, 北京 101416； 2. 中國(guó)衛(wèi)星海上測(cè)控部， 江蘇 無(wú)錫 214431 )

云計(jì)算訪問(wèn)控制技術(shù)是近年來(lái)云計(jì)算安全領(lǐng)域研究的熱點(diǎn)，其目標(biāo)是有效保證云計(jì)算資源不被非法訪問(wèn)和使用。以訪問(wèn)控制理論為指導(dǎo)，針對(duì)云計(jì)算自身的特點(diǎn)，運(yùn)用文獻(xiàn)調(diào)研和比較研究法，從訪問(wèn)控制理論、學(xué)術(shù)界研究現(xiàn)狀和工業(yè)界實(shí)踐進(jìn)展3個(gè)方面詳細(xì)介紹了當(dāng)前云計(jì)算訪問(wèn)控制技術(shù)的國(guó)內(nèi)外發(fā)展現(xiàn)狀。分析了云訪問(wèn)控制技術(shù)在虛擬化、分布式等方面的新特性，以及當(dāng)前云訪問(wèn)控制方法在應(yīng)用場(chǎng)景中存在的問(wèn)題；對(duì)當(dāng)前云計(jì)算訪問(wèn)控制模型設(shè)計(jì)、策略安全性分析、策略一致性分析等關(guān)鍵技術(shù)中的熱點(diǎn)問(wèn)題進(jìn)行了研究，并展望了云訪問(wèn)控制發(fā)展趨勢(shì)。

云計(jì)算；訪問(wèn)控制；安全性分析；策略沖突

訪問(wèn)控制是保護(hù)信息系統(tǒng)資源安全的關(guān)鍵技術(shù)，旨在限制非授權(quán)用戶訪問(wèn)系統(tǒng)及防止授權(quán)用戶非法訪問(wèn)信息資源。它通過(guò)定義系統(tǒng)的主體對(duì)客體的服務(wù)權(quán)限，控制哪些主體(如人、進(jìn)程、機(jī)器等)能夠訪問(wèn)系統(tǒng)中的哪些資源，確保系統(tǒng)資源不被越權(quán)訪問(wèn)或使用[1]。訪問(wèn)控制技術(shù)歷經(jīng)五十余年的發(fā)展，在理論研究、實(shí)現(xiàn)方法及技術(shù)應(yīng)用等方面都取得了很大的發(fā)展。

云計(jì)算作為一種基于資源共享的計(jì)算模式，需針對(duì)越權(quán)使用資源采取強(qiáng)有力的防御措施，因此對(duì)訪問(wèn)控制技術(shù)依賴程度更高。然而，云計(jì)算具有大規(guī)模、分布式、虛擬化和彈性化等復(fù)雜信息系統(tǒng)特性，傳統(tǒng)的訪問(wèn)控制技術(shù)在云計(jì)算中遇到了新的挑戰(zhàn)。因此，提升云計(jì)算環(huán)境下訪問(wèn)控制的靈活性、可用性，增強(qiáng)云管理系統(tǒng)對(duì)用戶的認(rèn)證、授權(quán)與管理能力，尤其是對(duì)細(xì)粒度的用戶資源控制，已成為國(guó)內(nèi)外云計(jì)算安全領(lǐng)域的研究熱點(diǎn)。

1 訪問(wèn)控制技術(shù)概述

定義(訪問(wèn)控制三要素)：訪問(wèn)控制3個(gè)基本要素包括主體、客體和控制策略，采用三元組I=(S→O,P)進(jìn)行表示。其中,S表示主體(Subject)，即提出請(qǐng)求或要求的實(shí)體，是動(dòng)作的發(fā)起者，主體可以是某個(gè)用戶，也可以是用戶啟動(dòng)的進(jìn)程、服務(wù)和設(shè)備；O是客體(Object)，指接受其他實(shí)體訪問(wèn)的被動(dòng)實(shí)體，凡是可以被操作的信息、資源、對(duì)象都可以被認(rèn)為是客體[2]；控制策略P(Policy)是主體對(duì)客體的訪問(wèn)規(guī)則集。

訪問(wèn)控制是主體根據(jù)某些控制策略或權(quán)限對(duì)客體本身或其他資源進(jìn)行不同的授權(quán)訪問(wèn)[3]2。具體來(lái)說(shuō)，通過(guò)某種顯式的約定來(lái)授權(quán)或限制主體對(duì)客體的訪問(wèn)能力和范圍，從而防止非法用戶訪問(wèn)系統(tǒng)或合法用戶對(duì)系統(tǒng)資源的非法訪問(wèn)。訪問(wèn)控制的工作機(jī)制如圖1所示。

圖1 訪問(wèn)控制工作機(jī)制

訪問(wèn)控制的目的是為了限制訪問(wèn)主體對(duì)訪問(wèn)客體的訪問(wèn)權(quán)限，從而使信息資源在合法范圍內(nèi)被訪問(wèn)。為了達(dá)到上述目的，訪問(wèn)控制需要完成以下2項(xiàng)任務(wù)：(1)識(shí)別和確認(rèn)訪問(wèn)系統(tǒng)的用戶；(2)決定該用戶可以對(duì)某一系統(tǒng)資源進(jìn)行何種類型的訪問(wèn)。訪問(wèn)控制技術(shù)通常用于系統(tǒng)管理員控制用戶對(duì)服務(wù)器、文件、數(shù)據(jù)等資源的訪問(wèn)，保證信息系統(tǒng)資源受控地、合法地使用。

2 云計(jì)算訪問(wèn)控制技術(shù)研究現(xiàn)狀

訪問(wèn)控制問(wèn)題的研究起源于20世紀(jì)60年代末，五十多年來(lái)研究者們做了大量卓有成效的工作，研發(fā)出許多有代表性的策略、模型和機(jī)制。同時(shí)，云計(jì)算訪問(wèn)控制作為保障云安全的核心技術(shù)受到越來(lái)越多的關(guān)注。

2.1 訪問(wèn)控制模型介紹

訪問(wèn)控制模型(Access Control Models)是對(duì)主-客體訪問(wèn)規(guī)則集及其作用方式的一種形式化表示方法，用于描述系統(tǒng)安全。隨著IT技術(shù)高速發(fā)展，訪問(wèn)控制技術(shù)應(yīng)用領(lǐng)域逐漸擴(kuò)大，具有代表性的模型不斷涌現(xiàn)。

1) 自主訪問(wèn)控制(Discretionary Access Control，DAC)是一種基于用戶身份和訪問(wèn)規(guī)則的訪問(wèn)控制模型，擁有訪問(wèn)權(quán)限的主體能夠自主地將訪問(wèn)權(quán)轉(zhuǎn)讓給其他主體而不需要經(jīng)過(guò)管理員允許。這種自主性滿足了用戶個(gè)人的安全要求，提高了授權(quán)管理的靈活性。但是因?yàn)橘Y源管理權(quán)以個(gè)人意志為轉(zhuǎn)移，所以對(duì)系統(tǒng)安全集中管控是不利的，尤其當(dāng)用戶數(shù)量和管理資源非常龐大時(shí)，DAC將會(huì)效率低下難以控制。DAC優(yōu)點(diǎn)是授權(quán)靈活、較為直觀及容易實(shí)現(xiàn)，缺點(diǎn)是在復(fù)雜系統(tǒng)中存在開銷過(guò)大、效率低下的問(wèn)題。

2) 強(qiáng)制訪問(wèn)控制(Mandatory Access Control，MAC)是一種多級(jí)訪問(wèn)控制模型。MAC是基于系統(tǒng)權(quán)威(如安全管理員)制定的訪問(wèn)規(guī)則來(lái)進(jìn)行控制。在MAC中，用戶和客體資源都預(yù)先被管理員賦予一定的安全級(jí)別，訪問(wèn)主體只能訪問(wèn)到不超過(guò)自身安全等級(jí)的客體資源，遵循“不上讀”和“不下寫”的基本原則。MAC主要用于多層次安全級(jí)別的政府和軍方應(yīng)用當(dāng)中。MAC優(yōu)點(diǎn)是可控程度高、保密性強(qiáng)，缺點(diǎn)是不滿足最小特權(quán)原則，系統(tǒng)開銷較大，靈活性差，規(guī)則制定嚴(yán)格且缺乏彈性。

3) 基于角色的訪問(wèn)控制(Role-based Access Control，RBAC)[4]，在用戶(User)和訪問(wèn)權(quán)限(Permission)之間引入角色(Role)作為中間代理層，所有的權(quán)限是通過(guò)Role授予而不是直接分配給User或Group。管理員只需要為用戶分配相應(yīng)的角色，即可賦予用戶該角色對(duì)應(yīng)的所有操作權(quán)限。這簡(jiǎn)化了權(quán)限分配和管理的過(guò)程，實(shí)現(xiàn)了用戶與訪問(wèn)權(quán)限的邏輯分離。RBAC及其擴(kuò)展模型現(xiàn)已發(fā)展得比較成熟，在許多大型系統(tǒng)中得以應(yīng)用。RBAC的優(yōu)點(diǎn)是簡(jiǎn)化了權(quán)限管理，能靈活地表達(dá)和實(shí)現(xiàn)系統(tǒng)安全策略，實(shí)用性強(qiáng)；缺點(diǎn)是RBAC模型是一種較粗粒度的約束，不滿足最小特權(quán)原則。

4) 基于任務(wù)的訪問(wèn)控制(Task-based Access Control，TBAC)[5]以任務(wù)(活動(dòng))為中心，從工作流中的任務(wù)角度建模，根據(jù)任務(wù)執(zhí)行狀態(tài)對(duì)權(quán)限進(jìn)行實(shí)時(shí)、動(dòng)態(tài)的管理。在TBAC中，對(duì)象的訪問(wèn)權(quán)限控制并不是靜止不變的，而是隨著執(zhí)行任務(wù)的上下文環(huán)境發(fā)生變化，因此TBAC是一種主動(dòng)安全模型[3]2。TBAC比較適合在工作流、分布式處理和多點(diǎn)管理系統(tǒng)中使用。TBAC的優(yōu)點(diǎn)是可主動(dòng)授權(quán)，能根據(jù)任務(wù)狀態(tài)動(dòng)態(tài)調(diào)整權(quán)限，缺點(diǎn)是配置比較煩瑣。

5)基于屬性的訪問(wèn)控制(Attribute-based Access Control，ABAC)是一種對(duì)相關(guān)實(shí)體(如主體、客體、權(quán)限、環(huán)境)的屬性建模來(lái)描述授權(quán)和訪問(wèn)控制約束的模型。ABAC能夠?qū)?shí)體的屬性作為建模對(duì)象，具有足夠靈活的描述能力，常常作為一種統(tǒng)一訪問(wèn)控制框與其他訪問(wèn)控制模型結(jié)合使用。ABAC的優(yōu)點(diǎn)是表示能力強(qiáng)，易于擴(kuò)展，可與其他訪問(wèn)控制模型相結(jié)合；缺點(diǎn)是所有要素均是以屬性形式進(jìn)行描述，而屬性關(guān)系不容易描述。

表1對(duì)典型訪問(wèn)控制模型的特點(diǎn)及應(yīng)用進(jìn)行了歸納和對(duì)比。

表1 訪問(wèn)控制模型對(duì)比

2.2 云計(jì)算訪問(wèn)控制技術(shù)現(xiàn)狀

2.2.1 云平臺(tái)中訪問(wèn)控制應(yīng)用現(xiàn)狀

目前，國(guó)內(nèi)外云計(jì)算服務(wù)提供商在云平臺(tái)訪問(wèn)控制技術(shù)上進(jìn)行了大量的嘗試和實(shí)踐。如亞馬遜 S3云平臺(tái)采用“訪問(wèn)控制表(Access Control List，ACL)”“存儲(chǔ)桶策略”和“查詢字符串認(rèn)證”授權(quán)方式；微軟 Windows Azure云平臺(tái)采用密鑰對(duì)身份驗(yàn)證、訪問(wèn)角色授權(quán)；谷歌Google Storage云平臺(tái)采用訪問(wèn)控制表；阿里云平臺(tái)采用訪問(wèn)控制表、capability的訪問(wèn)控制策略。

1) OpenStack云平臺(tái)。OpenStack是最具有代表性的開源云計(jì)算平臺(tái)。OpenStack的訪問(wèn)控制(OpenStack Access Control，OSAC)是通過(guò)Keystone組件的認(rèn)證授權(quán)來(lái)實(shí)現(xiàn)的，Keystone負(fù)責(zé)提供認(rèn)證和管理用戶、賬號(hào)和角色信息、授權(quán)服務(wù)。OSAC的核心是擴(kuò)展改進(jìn)的基于角色的訪問(wèn)控制模型，包括用戶分配(User Assignment,UA)，組分配(Group Assignment,GA)和權(quán)限分配(Permission Assignment,PA)；Keystone驗(yàn)證用戶身份并提供token，同時(shí)為用戶分配角色，而角色代表一組可以訪問(wèn)的資源權(quán)限，因此所有用戶都可以通過(guò)角色來(lái)獲得授權(quán)。

2) AWS云平臺(tái)。Amazon Web Services(AWS)是亞馬遜公司旗下云計(jì)算服務(wù)平臺(tái)。AWS是通過(guò)編寫訪問(wèn)策略向他人(AWS賬戶和用戶)授予執(zhí)行資源操作的權(quán)限，其訪問(wèn)策略主要分為基于資源的策略和基于用戶的策略。基于資源的策略是將訪問(wèn)授權(quán)與資源(存儲(chǔ)桶和對(duì)象)相關(guān)聯(lián)，包括“存儲(chǔ)桶”策略和訪問(wèn)控制列表 (ACL)。存儲(chǔ)桶策略和ACL都是采用XML架構(gòu)來(lái)描述被授權(quán)者和所授予權(quán)限的對(duì)應(yīng)關(guān)系?；谟脩舻牟呗詣t是使用Identity and Access Management (IAM) 來(lái)管理對(duì)Amazon S3資源的訪問(wèn)權(quán)限，IAM通過(guò)附加訪問(wèn)策略分配相應(yīng)的安全憑證給用戶以及管理他們的權(quán)限，并授予他們對(duì)AWS 資源的訪問(wèn)權(quán)限[6]。

3) Hadoop云平臺(tái)。Hadoop是Apache基金會(huì)旗下的開源云平臺(tái)項(xiàng)目，是IaaS云平臺(tái)的典型代表。當(dāng)前，Hadoop訪問(wèn)控制分為2級(jí)，其中Service Level Authorization為初始授權(quán)，用于保證用戶在預(yù)先配置以及授權(quán)的前提下訪問(wèn)服務(wù)，具體來(lái)說(shuō)是通過(guò)XML描述的ACL來(lái)實(shí)現(xiàn)[7]；另一級(jí)包括Access Control Job Queues和DFS Permission，前者在Job調(diào)度策略層之上控制mapred隊(duì)列的權(quán)限，后者控制用戶訪問(wèn)文件的權(quán)限。

4) 阿里云平臺(tái)。阿里云是阿里巴巴集團(tuán)于2009年創(chuàng)立的云計(jì)算品牌，是目前國(guó)內(nèi)占有市場(chǎng)份額最高的云計(jì)算平臺(tái)。阿里云采用集中式方案RAM (Resource Access Management)為客戶提供用戶身份管理與訪問(wèn)控制服務(wù)，其核心功能主要包括用戶身份管理和授權(quán)管理[8]。為了方便管理權(quán)限和用戶，RAM引入了群組(Group)和角色(Role)的概念。子用戶加入群組后，即擁有了所在群組的所有權(quán)限。角色機(jī)制可以解決臨時(shí)用戶的一次性授權(quán)問(wèn)題，臨時(shí)用戶扮演角色后即擁有了角色對(duì)應(yīng)的權(quán)限。用戶通過(guò)授權(quán)獲得秘鑰之后即可訪問(wèn)相應(yīng)資源。

總體而言，當(dāng)前商用云平臺(tái)大多依然采用傳統(tǒng)訪問(wèn)控制技術(shù)，針對(duì)云計(jì)算環(huán)境訪問(wèn)控制技術(shù)的研究仍處于探索階段，如適用于分布式計(jì)算場(chǎng)景、多域場(chǎng)景、多租戶場(chǎng)景等典型云計(jì)算環(huán)境的訪問(wèn)控制策略研究仍然比較薄弱。

2.2.2 云訪問(wèn)控制技術(shù)存在的問(wèn)題

鑒于云計(jì)算不同于傳統(tǒng)信息系統(tǒng)的特性，云計(jì)算訪問(wèn)控制面臨著許多新的問(wèn)題：(1) 云計(jì)算模式下用戶不能完全控制自己的資源，這使得傳統(tǒng)計(jì)算模式下由可信邊界保護(hù)起來(lái)的“安全域”不再成立，云環(huán)境下“多域”訪問(wèn)控制矛盾凸顯；(2) 由于云端需要根據(jù)服務(wù)的運(yùn)行狀態(tài)來(lái)實(shí)時(shí)調(diào)整資源供給，資源訪問(wèn)一直處于動(dòng)態(tài)變化之中，這種變化使訪問(wèn)控制變得困難；(3) 云環(huán)境中各類服務(wù)可能會(huì)跨越多個(gè)安全域進(jìn)行資源訪問(wèn)，如果不能消除域間身份管理和控制方法的差異性,就會(huì)出現(xiàn)不兼容問(wèn)題；(4) 云計(jì)算的基礎(chǔ)是虛擬化，虛擬資源與底層硬件完全隔離的機(jī)制使得隱蔽通道更不易被發(fā)現(xiàn)，云訪問(wèn)控制需要從實(shí)體授權(quán)擴(kuò)展到虛擬資源；(5) 傳統(tǒng)訪問(wèn)控制的分散式管理模式和云計(jì)算環(huán)境集中管理的需求之間存在矛盾；(6) 傳統(tǒng)訪問(wèn)控制模型定義的主體和客體在云中已經(jīng)發(fā)生了變化，傳統(tǒng)訪問(wèn)控制模型無(wú)法適應(yīng)云計(jì)算以多租戶為核心、大數(shù)據(jù)為基礎(chǔ)的新模式；(7) 云計(jì)算模式下角色層次眾多，用戶角色變動(dòng)頻繁，權(quán)限的分配與傳統(tǒng)計(jì)算模式有較大區(qū)別；(8) 云用戶對(duì)數(shù)據(jù)安全的信任問(wèn)題一直無(wú)法回避，這給云服務(wù)提供商實(shí)施訪問(wèn)控制帶來(lái)約束。

綜上所述，由于云計(jì)算本身具有虛擬化和彈性化等技術(shù)特性，云訪問(wèn)控制在動(dòng)態(tài)性、開放性和靈活性方面有著更高的要求，因此傳統(tǒng)的訪問(wèn)控制方法已經(jīng)很難滿足云計(jì)算平臺(tái)的安全需求。研發(fā)適用于云計(jì)算環(huán)境的訪問(wèn)控制技術(shù)，是云計(jì)算安全研究領(lǐng)域亟待解決的問(wèn)題。

3 云計(jì)算訪問(wèn)控制關(guān)鍵技術(shù)研究展望

3.1云訪問(wèn)控制未來(lái)研究趨勢(shì)

從當(dāng)前云訪問(wèn)控制技術(shù)研究的前沿來(lái)看，云訪問(wèn)控制的未來(lái)研究將重點(diǎn)關(guān)注以下方面：

1) 標(biāo)準(zhǔn)化。云計(jì)算訪問(wèn)控制缺乏統(tǒng)一的技術(shù)標(biāo)準(zhǔn)和行業(yè)規(guī)范。目前云服務(wù)提供商大都采用傳統(tǒng)訪問(wèn)控制技術(shù)標(biāo)準(zhǔn)作為參考標(biāo)準(zhǔn)，各自遵循的標(biāo)準(zhǔn)往往不同，不利于標(biāo)準(zhǔn)化組織實(shí)施監(jiān)管。未來(lái)應(yīng)當(dāng)從以下幾個(gè)方面逐步統(tǒng)一云訪問(wèn)控制標(biāo)準(zhǔn)：統(tǒng)一云訪問(wèn)控制的概念、定義及內(nèi)容，制定跨域互操作、權(quán)限遷移之間的接口標(biāo)準(zhǔn)，制定訪問(wèn)控制對(duì)象、行為、規(guī)則等各種策略描述的格式規(guī)范，制定訪問(wèn)控制機(jī)制開發(fā)接口規(guī)范。

2) 細(xì)粒度的訪問(wèn)控制。已有的云訪問(wèn)控制大多是基于用戶身份，權(quán)限粒度約束不夠細(xì)化方式，導(dǎo)致用戶權(quán)限樹過(guò)寬卻不深，樹的層次不分明。這種粗粒度控制不滿足訪問(wèn)控制最小特權(quán)原則，給本來(lái)就是多租戶環(huán)境的云環(huán)境帶來(lái)安全隱患。因此，在設(shè)計(jì)訪問(wèn)控制策略時(shí)應(yīng)考慮更多的用戶屬性，研究基于屬性的加密(Attribute-based Encryption,ABE)這樣的細(xì)粒度訪問(wèn)控制方式。

3) 動(dòng)態(tài)的訪問(wèn)控制。云計(jì)算環(huán)境中云用戶、云資源和網(wǎng)絡(luò)環(huán)境都是時(shí)刻處于動(dòng)態(tài)變化中，傳統(tǒng)的靜態(tài)的、集中的訪問(wèn)控制技術(shù)無(wú)法滿足云計(jì)算的動(dòng)態(tài)性和安全性需求。因此，需要根據(jù)時(shí)間、空間狀態(tài)等上下文信息，研究包括基于任務(wù)、基于時(shí)態(tài)、基于空間等考慮上下文信息的狀態(tài)轉(zhuǎn)換方法，以及基于時(shí)限控制、基于公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure,PKI)等動(dòng)態(tài)授權(quán)方法。

4) 跨域授權(quán)。云計(jì)算具有多安全域的特征，各個(gè)云應(yīng)用可能屬于不同的安全管理域，且相互間存在跨域訪問(wèn)資源的需求。需要研究跨域互操作的授權(quán)方式，在保證不破壞本安全域自治性的前提下安全高效地實(shí)現(xiàn)資源訪問(wèn)。在跨域策略合成方面，需要研究域間策略合成時(shí)可能存在的策略沖突檢測(cè)以及消解的問(wèn)題。

3.2 云訪問(wèn)控制關(guān)鍵技術(shù)研究展望

云計(jì)算面臨大量訪問(wèn)控制難題，特別是細(xì)粒度的訪問(wèn)控制、動(dòng)態(tài)的訪問(wèn)控制和多域訪問(wèn)控制問(wèn)題并沒(méi)有得到有效解決。主要研究點(diǎn)集中在云計(jì)算環(huán)境下訪問(wèn)控制模型設(shè)計(jì)、訪問(wèn)控制策略安全性分析、訪問(wèn)控制策略一致性分析等方面。

3.2.1 面向云計(jì)算的訪問(wèn)控制技術(shù)

目前，對(duì)云訪問(wèn)控制模型的研究剛剛起步，面向云計(jì)算的訪問(wèn)控制模型都是在傳統(tǒng)訪問(wèn)控制模型基礎(chǔ)上進(jìn)行改進(jìn)，使其更適用于云計(jì)算環(huán)境。

1) 權(quán)限屬性動(dòng)態(tài)化的云訪問(wèn)控制技術(shù)。在云計(jì)算環(huán)境中尤其是公有云環(huán)境中，由于云用戶的數(shù)量巨大，對(duì)云資源/服務(wù)的需求具有不確定性，而且需要隨著應(yīng)用狀態(tài)實(shí)時(shí)調(diào)整權(quán)限，這要求對(duì)云用戶權(quán)限的授予和取消是動(dòng)態(tài)變化的。為了適應(yīng)這種動(dòng)態(tài)變化的權(quán)限控制需求，研究者們通常在基于角色[9]、基于信任[10]、基于任務(wù)[11]、基于屬性[12]等幾種擴(kuò)展性比較好的訪問(wèn)控制模型的基礎(chǔ)上進(jìn)行拓展改進(jìn)，使其具備動(dòng)態(tài)調(diào)整權(quán)限的能力。

2) 面向虛擬化及多租戶的云訪問(wèn)控制技術(shù)。云計(jì)算是基于虛擬化技術(shù)的計(jì)算模式，虛擬化技術(shù)有良好的隔離性，但是虛擬機(jī)間的通信以及物理資源共享給云訪問(wèn)控制帶來(lái)新的挑戰(zhàn)。同時(shí)云計(jì)算是多租戶模式的，多個(gè)租戶通過(guò)虛擬技術(shù)寄宿在同一個(gè)物理宿主機(jī)上，有可能通過(guò)虛擬機(jī)側(cè)通道產(chǎn)生攻擊行為。目前，對(duì)虛擬化及多租戶訪問(wèn)控制的研究，主要集中在通過(guò)hypervisor實(shí)現(xiàn)虛擬機(jī)的訪問(wèn)控制對(duì)多租戶的隔離上。

3) 面向多域的云訪問(wèn)控制技術(shù)。云計(jì)算環(huán)境是由各個(gè)自治域構(gòu)成的虛擬組織構(gòu)成，用戶和資源處于不同的自治域中。自治域內(nèi)通常有獨(dú)立的訪問(wèn)控制策略，同時(shí)域間有相互訪問(wèn)資源的需求，這就需要有相應(yīng)的訪問(wèn)控制模型來(lái)協(xié)調(diào)、管理這些跨域互操作。面向多域的訪問(wèn)控制技術(shù)常常由基于信任[13]、基于屬性[14]等訪問(wèn)控制模型發(fā)展而來(lái)。

云計(jì)算的復(fù)雜性給云訪問(wèn)控制技術(shù)提出了挑戰(zhàn)，面向云的訪問(wèn)控制研究及其模型設(shè)計(jì)還有很大的提升空間?；趥鹘y(tǒng)訪問(wèn)控制模型改進(jìn)而來(lái)的云訪問(wèn)控制技術(shù)在一定程度上解決了部分問(wèn)題，但是為了匹配云計(jì)算的高速發(fā)展，在動(dòng)態(tài)授權(quán)、虛擬化、多租戶、多域等方面還有待進(jìn)一步研究。

3.2.2 訪問(wèn)控制策略安全性分析技術(shù)研究

訪問(wèn)控制策略的安全性分析是訪問(wèn)控制策略設(shè)計(jì)流程中必要的一個(gè)環(huán)節(jié)，旨在通過(guò)分析證明所設(shè)計(jì)的策略不會(huì)存在權(quán)限泄露的情況。如果訪問(wèn)控制模型被證明是安全的，而訪問(wèn)控制機(jī)制又正確地實(shí)現(xiàn)了這個(gè)模型，那么我們可以判定這套訪問(wèn)控制系統(tǒng)是安全的。

1) 基于邏輯推導(dǎo)的分析方法?；谶壿嬐茖?dǎo)的定性分析方法主要分為基于定理推理、基于數(shù)學(xué)模型和基于量化分析的證明方法。其中，基于定理推理的分析方法[15]，通過(guò)推導(dǎo)安全公理來(lái)證明代表訪問(wèn)控制模型的根公理是正確的，這種方法實(shí)際上難以找到能夠全面代表模型安全性的根公理；基于數(shù)學(xué)模型的分析方法[16]，用數(shù)學(xué)模型(如“格”)代替訪問(wèn)控制策略來(lái)證明訪問(wèn)控制的安全性，這種方法的缺陷是所采用的數(shù)學(xué)模型通常僅能證明安全性的部分特性；基于量化分析的分析方法[17]，利用信息熵等可以量化的標(biāo)準(zhǔn)來(lái)度量訪問(wèn)控制模型的安全等級(jí)，這種方法具有較強(qiáng)的可操作性，但是無(wú)法全面評(píng)估模型的安全性。

2) 基于狀態(tài)空間推理的分析方法。基于狀態(tài)空間推理的訪問(wèn)控制安全性方法[18]，是查找整個(gè)訪問(wèn)控制策略的狀態(tài)空間以檢測(cè)是否存在沖突的規(guī)則項(xiàng)。首先，對(duì)訪問(wèn)控制策略的執(zhí)行規(guī)則進(jìn)行形式化定義。其次，用狀態(tài)空間來(lái)記錄用戶狀態(tài)轉(zhuǎn)移的過(guò)程，對(duì)應(yīng)訪問(wèn)控制策略的可達(dá)狀態(tài)和路徑。最后，用智能規(guī)劃等邏輯分析方法證明某一時(shí)刻的用戶狀態(tài)是否安全。

目前，訪問(wèn)控制策略安全性分析都是針對(duì)特定的策略進(jìn)行的特定分析，不存在統(tǒng)一通用的方法。常見的安全分析思路是針對(duì)特定策略，證明自定義的幾個(gè)安全定理不具有可推廣性?；跔顟B(tài)空間推理的分析方法，在證明的完備性和通用性方面有一定優(yōu)勢(shì)，是未來(lái)訪問(wèn)控制安全性分析的重要發(fā)展方向。

3.2.3 訪問(wèn)控制策略一致性分析技術(shù)研究

策略沖突(Policy Conflict)是指2條或者多條策略由于所表達(dá)的規(guī)則內(nèi)容不一致，從而導(dǎo)致在被執(zhí)行時(shí)產(chǎn)生矛盾的情況。云環(huán)境中跨域互操作行為很普遍，建立新的互操作可能導(dǎo)致全局的安全策略和各自治域的局部安全策略之間的不一致，從而帶來(lái)安全隱患。當(dāng)策略發(fā)生沖突時(shí)，管理系統(tǒng)將無(wú)法執(zhí)行正確的操作，過(guò)多的策略沖突會(huì)大大降低系統(tǒng)效率，甚至影響系統(tǒng)正常運(yùn)行。訪問(wèn)控制策略一致性分析技術(shù)的目標(biāo)就是發(fā)現(xiàn)各種潛在的策略沖突，并針對(duì)各種類型的沖突提供解決方案。

1) 訪問(wèn)控制策略沖突檢測(cè)技術(shù)。訪問(wèn)控制策略沖突檢測(cè)總體分為靜態(tài)沖突檢測(cè)方法和動(dòng)態(tài)沖突檢測(cè)方法。早期針對(duì)模態(tài)沖突以及全局檢測(cè)的方法屬于靜態(tài)沖突檢測(cè)方法，存在效率較低、實(shí)時(shí)性和可擴(kuò)展性不強(qiáng)的問(wèn)題。在全局檢測(cè)方法的基礎(chǔ)上發(fā)展出最小化檢測(cè)方法，僅考察與互操作相關(guān)聯(lián)的信息，在一定程度上提高了沖突檢測(cè)的效率，但是不具備完備性。此外，還有基于優(yōu)先級(jí)方法的檢測(cè)方法[19]、基于語(yǔ)義沖突驗(yàn)證的檢測(cè)方法[20]等，這些方法在一定條件下具有優(yōu)勢(shì)，但存在計(jì)算開銷較大的弊端。因此，當(dāng)前訪問(wèn)控制策略沖突檢測(cè)方法會(huì)根據(jù)不同的應(yīng)用場(chǎng)景在檢測(cè)準(zhǔn)確性和計(jì)算效率之間平衡取舍。云計(jì)算環(huán)境中訪問(wèn)主體、客體數(shù)量龐大，訪問(wèn)控制策略復(fù)雜度高，域間交互頻繁。以上因素導(dǎo)致云訪問(wèn)控制策略沖突檢測(cè)技術(shù)更加復(fù)雜，目前針對(duì)云訪問(wèn)控制的策略沖突檢測(cè)技術(shù)主要集中在動(dòng)態(tài)檢測(cè)方法和多域檢測(cè)方法。

2) 訪問(wèn)控制策略沖突消解技術(shù)。與策略沖突檢測(cè)方法相對(duì)應(yīng)，策略沖突消解的方法也有多種。按照消解過(guò)程所處的階段可以分為2類：(1) 創(chuàng)建策略前檢測(cè)消除；(2) 在執(zhí)行策略的過(guò)程中檢測(cè)消除。第一類是最直接的方法，即改變策略的條件、動(dòng)作等屬性，使其不再產(chǎn)生沖突。但這種方法需要在制定策略階段預(yù)先發(fā)現(xiàn)沖突，這往往比較困難。第二類是在系統(tǒng)運(yùn)行時(shí)實(shí)時(shí)判定沖突并中止沖突策略執(zhí)行，這類方法較為方便實(shí)用。當(dāng)沖突已經(jīng)發(fā)生時(shí)，需要專門的消解方法，亦即對(duì)策略的信任和協(xié)商過(guò)程。代表性的研究成果包括基于優(yōu)先級(jí)[21]、基于有向圖模型[22]、基于規(guī)則狀態(tài)推理[23]的沖突消解方法等。

綜上所述，策略沖突消解的方法往往與沖突檢測(cè)方法配合使用，這在很大程度上需要根據(jù)應(yīng)用場(chǎng)景的特點(diǎn)來(lái)開發(fā)合適的策略沖突消解方法。目前各大云運(yùn)營(yíng)商采用的訪問(wèn)控制機(jī)制差別各異，針對(duì)訪問(wèn)控制策略沖突消解方面的研究還處在發(fā)現(xiàn)問(wèn)題臨時(shí)補(bǔ)救的階段，如何在云計(jì)算環(huán)境下進(jìn)行訪問(wèn)控制策略沖突的檢測(cè)與消解仍需進(jìn)一步研究。

4 結(jié) 束 語(yǔ)

云計(jì)算訪問(wèn)控制技術(shù)能夠有效保護(hù)云計(jì)算資源，在云計(jì)算安全防護(hù)中得到廣泛應(yīng)用，然而云計(jì)算自身具有的虛擬化、分布式、多租戶等特性給訪問(wèn)控制技術(shù)帶來(lái)了挑戰(zhàn)。本文對(duì)云計(jì)算訪問(wèn)控制技術(shù)的國(guó)內(nèi)外研究進(jìn)展做了詳細(xì)闡述，介紹了當(dāng)前云訪問(wèn)控制技術(shù)在理論研究和商業(yè)應(yīng)用方面的現(xiàn)狀，并從云計(jì)算自身特征出發(fā)分析了當(dāng)前云訪問(wèn)控制技術(shù)存在的不足。目前，國(guó)內(nèi)外對(duì)于云計(jì)算訪問(wèn)控制技術(shù)的研究還處于試驗(yàn)探索階段，未來(lái)應(yīng)進(jìn)一步開展云訪問(wèn)控制模型設(shè)計(jì)、訪問(wèn)控制策略安全性分析和一致性分析等關(guān)鍵技術(shù)的研究。

References)

[1]徐云峰.訪問(wèn)控制[M].武漢: 武漢大學(xué)出版社,2014：38-38.

[2] 韓道軍,高潔,翟浩良,等.訪問(wèn)控制模型研究進(jìn)展[J].計(jì)算機(jī)科學(xué),2010,37(11):29-33.

[3] 王鳳英.訪問(wèn)控制原理與實(shí)踐[M].北京: 北京郵電大學(xué)出版社,2010.

[4] 尹剛,王懷民,滕猛.基于角色的訪問(wèn)控制[J].計(jì)算機(jī)科學(xué),2002,29(3):69-71.

[5] 鄧集波,洪帆.基于任務(wù)的訪問(wèn)控制模型[J].軟件學(xué)報(bào),2003,14(1):76-82.

[6] Amazon開發(fā)人員.Amazon web services API文檔：訪問(wèn)管理概述[EB/OL].(2006-03-01)[2016-11-12].http://docs.aws.amazon.com/zh_cn/AmazonS3/latest/dev/access-control-overview.html.

[7] Hadoop官網(wǎng).Apache hadoop 2.7.3.hadoop in secure mode [EB/OL].(2016-08-18)[2016-11-12].http://hadoop.apache.org/docs/r2.7.3/hadoop-project-dist/hadoop-common/SecureMode.html

[8] 阿里云開發(fā)人員.阿里云幫助文檔:訪問(wèn)控制[EB/OL].(2016-11-12)[2016-11-23].https://help.aliyun.com/product/28625.html?spm=5176.doc28645.3.1.DKFz1e

[9] LUO J,WANG H,GONG X,et al.A novel role-based access control model in cloud environments[J].International Journal of Computational Intelligence Systems,2016,9(1):1-9.

[10] RAY I.Trust-based access control for secure cloud computing[M]//HAN K J，CHOI B Y，SONG S.High Performance Cloud Auditing and Applications.New York：Springer,2014:189-213.

[11] YOUNIS Y A,KIFAYAT K,MERABTI M.An access control model for cloud computing[J].Journal of Information Security & Applications,2014,19(1):45-60.

[12] ZOU J S,ZHANG Y S,GAO Y.Research of ABAC model based on usage control under cloud environment[J].Application Research of Computers,2014(12)：178-180；185.

[13] 別玉玉,林果園.云計(jì)算中基于信任的多域訪問(wèn)控制策略[J].信息安全與技術(shù),2012,3(10):39-45.

[14] 王靜宇,馮黎曉.一種面向云計(jì)算環(huán)境的屬性訪問(wèn)控制模型[J].中南大學(xué)學(xué)報(bào)(自然科學(xué)版),2015(6):2090-2097.

[15] LI N,TRIPUNITARA M V.Security analysis in role-based access control[J].Acm Transactions on Information & System Security,2006,9(4):391-420.

[16] 林柏鋼.格擴(kuò)展的信息系統(tǒng)安全域模型分析[J].通信學(xué)報(bào),2009(增刊1):9-14.

[17] 胡俊,沈昌祥,張興.一種BLP模型的量化分析方法[J].小型微型計(jì)算機(jī)系統(tǒng),2009,30(8):1605-1610.

[18] 劉強(qiáng).基于角色的訪問(wèn)控制技術(shù)[M].廣州：華南理工大學(xué)出版社,2010：55-60.

[19] LUPU E C,SLOMAN M.Conflicts in policy-based distributed systems management[J].Software Engineering IEEE Transactions on,1999,25(6):852-869.

[20] CHOLVY L,CUPPENS F.Analyzing consistency of security policies[C]//IEEE Symposium on Security & Privacy.[S.l.]:IEEE,1997:103-112.

[21] 魯劍鋒,閆軒,彭浩,等.一種優(yōu)化的策略不一致性沖突消解方法[J].華中科技大學(xué)學(xué)報(bào)(自然科學(xué)版),2014(11):111-116.

[22] 姚鍵,茅兵,謝立,等.一種基于有向圖模型的安全策略沖突檢測(cè)方法[J].計(jì)算機(jī)研究與發(fā)展,2005,42(7):1108-1114.

[23] KARAT J,KARAT C M,BERTINO E,et al.Policy framework for security and privacy management[J].IBM Journal of Research & Development,2009,53(2):1-14.

(編輯：李江濤)

Research Progress on Access Control Technology in Cloud Computing

XIONG Dapeng1， CHEN Liang1， WANG Peng1， ZOU Peng1， BAO Junlei2

(1. Science and Technology on Complex Electronic System Simulation Laboratory, Equipment Academy, Beijing 101416, China; 2. China Satellite Maritime Tracking and Controling Department, Wuxi Jiangsu 214431, China)

Cloud computing access control technology is a highlight of cloud computing security research field these years. This technology aims to effectively ensure that cloud computing resources will not be illegally accessed and used. Based on access control theory, aiming at the features of cloud computing, with literature research and comparative research methods, the paper introduces the current situation of cloud computing access control technology in detail from the aspects of access control theory, academic research status and industry practice progress. The paper also analyzes the new features of cloud access control technology in virtualization and distribution, and the existing problems in the application scenario of cloud access control method. Besides, the paper discusses some highlights of current cloud computing access control model design, strategy security analysis, policy consistency analysis and other key technologies, and forecasts the development trend of cloud access control.

cloud computing; access control; security analysis; policy conflicts

2016-12-03

熊達(dá)鵬(1987—)，男，博士研究生，主要研究方向?yàn)樾畔踩?。xiongdapeng@outlook.com 鄒 鵬，男，教授，博士生導(dǎo)師。