◆龍全波

（貴州電子科技職業(yè)學院 貴州 550025）

云計算訪問控制技術(shù)研究

◆龍全波

（貴州電子科技職業(yè)學院 貴州 550025）

在網(wǎng)絡(luò)技術(shù)不斷發(fā)展的今天，云計算也在飛速發(fā)展中。現(xiàn)今，各行各業(yè)都普遍認識到云儲存模式的應(yīng)用。伴隨著互聯(lián)網(wǎng)協(xié)同工作的提高和信息共享的發(fā)展，云存儲的環(huán)境也愈發(fā)重要。當前云存儲所遇到的主要問題是用戶數(shù)量的劇增和資源數(shù)量的急劇擴大，在此環(huán)境下，異構(gòu)的訪問控制策略系統(tǒng)不容忽視。所以，在此類情況下，統(tǒng)一協(xié)調(diào)是訪問控制策略的必要環(huán)節(jié)，而其中資源的整合以及資源的調(diào)節(jié)工作便成為重中之重。基于此，本文將以云存儲中訪問控制策略的合成方案為研究目標，探討云存儲中訪問控制技術(shù)的發(fā)展和規(guī)劃。

云存儲；訪問控制；資源整合

0 引言

現(xiàn)階段，云計算已經(jīng)不再是稀罕名詞，而是任何領(lǐng)域和行業(yè)都會接觸的一種技術(shù)。云計算的環(huán)境安全也受到人們的廣泛關(guān)注。云計算的主要作用是將大量的軟件資源、存儲資源和計算機資源集中在一起，從而形成了一個虛擬的IT資源共享平臺，并且它的規(guī)模是十分巨大的，還具有共享功能。在云計算發(fā)展的同時，云存儲也越來越受到關(guān)注，其安全問題也隨之而來。本文對云計算中控制訪問技術(shù)進行研究，探討其控制訪問方法。

1 控制訪問原理

1.1 傳統(tǒng)的訪問控制技術(shù)

自上世紀70年代以來，各個大型主機系統(tǒng)的共享數(shù)據(jù)需要共享分析，所以云計算也就隨之產(chǎn)生，起初的目的是為了管理數(shù)據(jù)授權(quán)訪問的權(quán)限需要，形成了最初的訪問控制，最初也僅僅只是將用戶身份進行鑒別，然后通過特殊的控制渠道準許用戶進入或限制用戶訪問數(shù)據(jù)信息，并劃定訪問權(quán)限和范圍。這種訪問技術(shù)可以很好地防止非法用戶的侵入，防止其破壞現(xiàn)有的信息共享系統(tǒng)和信息組成。這是訪問控制最初的作用：（1）通過訪問控制保護用戶的資源信息，防止非法用戶進入竊取用戶資源、瀏覽用戶信息。（2）在合法用戶間創(chuàng)立一個共享平臺，使受到保護的信息資源能夠讓合法用戶進行訪問。（3）對合法用戶進行權(quán)限控制，防止其篡改正常的訪問系統(tǒng)，使非法用戶不擁有授權(quán)進行訪問。隨著計算機技術(shù)不斷發(fā)展，這種控制權(quán)限被越來越多地受到應(yīng)用。

1.2 RBAC96訪問控制模式

基于角色的訪問控制模型來對用戶、角色以及權(quán)限三者之間的復雜關(guān)系進行了表述，并且可以有效解決傳統(tǒng)訪問控制過程之中所存在的主體難以與特定實體進行靈活捆綁這一問題。該訪問控制模式還能夠有效體現(xiàn)出主體的靈活授權(quán)，因此是一種經(jīng)典的訪問控制模型。此外，RBAC96作為RBAC模型的基礎(chǔ)，之后的所有RBAC模型都是在其基礎(chǔ)上發(fā)展而來的。

在RBAC模型之中，授權(quán)指的是將這些客體的存取訪問權(quán)限在可靠的控制之下連同相關(guān)操作一起提供給這些角色所代表的用戶們，而在該控制模型還能夠借助于授權(quán)的管理模式，來同時給予一個角色多個權(quán)限，而同一權(quán)限也可以授予多個角色。隨著近年來我國控制訪問技術(shù)的不斷發(fā)展，相關(guān)研究人員在原有RBAC的基礎(chǔ)上提出了諸多的擴展模型，其中比較常見的有基于任務(wù)的訪問控制模型、基于事態(tài)模型的云計算訪問控制等等，借助于這些模型都能夠從不同的層面上來有效解決系統(tǒng)中訪問控制的問題，并可以確保整個信息訪問的安全性與可控性。而隨著云計算的不斷發(fā)展，這些擴展的訪問控制模型也被廣泛應(yīng)用于云計算這一環(huán)境中，并且也取得了良好的應(yīng)用效果。

1.3 訪問控制語言的描述

在訪問控制技術(shù)的發(fā)展以及工程實踐過程中，現(xiàn)階段出現(xiàn)了許多語言能夠?qū)τ脩舻脑L問以及授權(quán)管理過程進行高效的描述，這些語言也能夠作為訪問控制理論以及工程實踐之間的橋梁，從而取得至關(guān)重要的作用。現(xiàn)階段主要有三種語言能夠?qū)υ朴嬎阒械脑L問控制進行有效描述，其功能也具有一定的差異性，具體如下：

（1）安全斷言標記語言（SAML）：該語言是基于XML的標準，并應(yīng)用于不同安全與之間的交換認證以及授權(quán)數(shù)據(jù)，SAML標準可以對身份提供者以及服務(wù)提供者來提供以下幾個方面的功能：進行認證申明，并且確保用戶已經(jīng)通過了認證，多應(yīng)用于單點登錄的過程中；進行屬性申明，并有效表明某一個Subject的屬性；進行授權(quán)申明，來確保某一個資源其所需權(quán)限。

（2）服務(wù)供應(yīng)標記語言：該語言在基于XML的標準下，進行創(chuàng)建用戶賬號的服務(wù)請求以及處理與用戶賬號服務(wù)相關(guān)的服用請求，其主要目的有兩種：進行自動化IT的合理配置，運用標準化的配置工作，能夠使得封裝配置系統(tǒng)其安全與審計的需求得到有效滿足；實現(xiàn)不同系統(tǒng)之間的可操作性。

（3）可擴展訪問控制標記語言：該語言是基于XML上的一種策略語言以及控制決策請求/響應(yīng)語言，并且能夠?qū)eb服務(wù)進行有效控制訪問，并可以為XACML提供處理復雜策略與幾何規(guī)則的功能，因此適用于一些大型云計算平臺的訪問控制工作。

2 云計算環(huán)境下訪問控制過程中存在的一些問題

現(xiàn)階段云計算環(huán)境在進行訪問控制的過程中依舊存在著諸多的問題。

架構(gòu)方面：①傳統(tǒng)的訪問控制在適用范圍與控制手段方面已經(jīng)難以滿足云計算架構(gòu)的具體要求。而隨著虛擬技術(shù)的出現(xiàn)，使得云計算環(huán)境下的訪問控制技術(shù)也從傳統(tǒng)的用戶授權(quán)朝著虛擬資源的安全訪問方面進行發(fā)展，并導致其適用的范圍以及控制的手段得到了較大程度的增加。②現(xiàn)階段訪問控制分散式管理以及云計算環(huán)境下集中管理的需求之間還存在著一定的矛盾。③開放動態(tài)下的訪問控制策略對于云安全管理也提出了一定的挑戰(zhàn)。

機制方面：①目前在用戶們進行跨域訪問資源的過程中，對于相互授權(quán)以及資源共享等問題還沒有得到有效解決。②在云計算過程中，其虛擬資源與底層完全急性隔離的機制也會使得其隱蔽通道更不容易被發(fā)現(xiàn)。③現(xiàn)階段在云計算環(huán)境下，其信任問題也會直接決定并影響到訪問控制。

模型方面：①傳統(tǒng)的訪問控制模型已經(jīng)難以滿足現(xiàn)階段云計算的架構(gòu)需求。②隨著云計算的不斷發(fā)展，角色的權(quán)限關(guān)系也變得越加復雜，用戶之間的變動更加頻繁，這導致了在很多的應(yīng)用場景之中，其用戶對數(shù)據(jù)的訪問需要具備選擇性并且被高度區(qū)分。

3 云計算環(huán)境下的訪問控制研究

3.1 云計算訪問控制模型

通過建立一種安全的訪問控制模型，就能夠使得用戶們借助于訪問控制模型也得到一定的權(quán)限，并借此來進行相關(guān)數(shù)據(jù)的有效訪問。但是現(xiàn)階段對于云計算訪問控制模型的研究還剛剛起步，因此根據(jù)具體訪問控制模型的不同，將其分為了基于任務(wù)的訪問控制模型、基于屬性的訪問控制模型、基于UCON的訪問控制模型以及基于BLP的云計算訪問控制模型這四種。

3.2 基于ABE密碼機制的云計算訪問控制模型研究

密碼機制其本質(zhì)是通過進行數(shù)據(jù)的加密，來讓一些具備密鑰的授權(quán)人員進行密文的解密工作，借助于密碼機制的訪問控制技術(shù)還能夠在服務(wù)器端不可信這一環(huán)境下來確保數(shù)據(jù)自身的機密性，而數(shù)據(jù)的所有者也可以在相關(guān)數(shù)據(jù)的存儲之前就對其進行加密，并借此來控制用戶們對該資源的訪問控制?，F(xiàn)階段ABE作為一種常見的密碼機制，其在云計算中也得到了較為廣泛的應(yīng)用，借助于這種密碼機制能夠使數(shù)據(jù)提供者擁有良好的數(shù)據(jù)控制權(quán)。

4 結(jié)束語

云計算中的訪問控制問題是現(xiàn)階段安全領(lǐng)域中最為重要的問題之一，其研究也受到了學術(shù)界以及工業(yè)界的廣泛關(guān)注，近年來也取得了一定的進展，但是仍舊存在著一定的問題。本文就云計算環(huán)境下的訪問控制體系框架進行分析，并且就云計算訪問控制過程中的問題進行了全面闡述，希望能夠?qū)罄m(xù)研究者提供一定程度的幫助。

[1]黃毅，李肯立等.一種面向云計算的任務(wù)-角色訪問控制模型[J].計算機應(yīng)用研究，2013.

[2]王小威，趙一鳴等.一種基于任務(wù)角色的云計算訪問控制模型[J].計算機工程，2012.