黃翔++張媛媛

摘要：隨著云計(jì)算的推廣和普及，云安全問(wèn)題日益凸顯，而有效進(jìn)行用戶(hù)身份和訪問(wèn)控制管理是保障云服務(wù)順利開(kāi)展的前提。本文分析云計(jì)算平臺(tái)下IAM（Identity and Access Management，身份和訪問(wèn)控制）的特點(diǎn)和存在問(wèn)題，調(diào)研各大廠商針對(duì)問(wèn)題相應(yīng)的技術(shù)解決方案和目前研究的主要方向，最后對(duì)未來(lái)研究進(jìn)行展望。

關(guān)鍵詞：云安全 身份和訪問(wèn)控制 云計(jì)算

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2016）12-0115-02

隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，云計(jì)算越來(lái)越普及，已初步形成規(guī)?；a(chǎn)業(yè)，而與此同時(shí)安全問(wèn)題日益凸顯。2016年9月雅虎爆出史上最嚴(yán)重?cái)?shù)據(jù)泄露，近5億用戶(hù)的賬戶(hù)信息于2014年被盜，而之前，過(guò)1億的LinkedIn成員泄露密碼泄露后，F(xiàn)acebook創(chuàng)始人馬克·扎克伯格的Twitter賬戶(hù)被黑。在云計(jì)算環(huán)境下，從用戶(hù)將數(shù)據(jù)上傳到云服務(wù)器開(kāi)始，就失去了對(duì)數(shù)據(jù)的控制能力，數(shù)據(jù)是否安全、工作任務(wù)是否順利完成都是未知數(shù)，因此有效地進(jìn)行用戶(hù)身份和訪問(wèn)控制是保障云服務(wù)順利開(kāi)展的前提條件。

1 IAM

IAM是保障合理的訪問(wèn)能順利進(jìn)行而非法的訪問(wèn)能被拒絕的主要措施，對(duì)于Paas（平臺(tái)即服務(wù)）、Saas（軟件即服務(wù)）、Iaas（基礎(chǔ)設(shè)施即服務(wù)）任何一種云服務(wù)都是不可或缺的。通常IAM會(huì)經(jīng)過(guò)認(rèn)證、授權(quán)、訪問(wèn)、數(shù)據(jù)供應(yīng)、監(jiān)控審計(jì)等步驟。認(rèn)證即確認(rèn)用戶(hù)的身份，包括不同的云服務(wù)提供商、企業(yè)內(nèi)部用戶(hù)、企業(yè)服務(wù)對(duì)象等；授權(quán)分兩方面，一方面云服務(wù)提供商將自身所提供資源的權(quán)限授予給通過(guò)認(rèn)證的用戶(hù)，另一方面通過(guò)認(rèn)證的用戶(hù)將自己上傳資源的訪問(wèn)權(quán)限授予給其他可訪問(wèn)的用戶(hù)；訪問(wèn)即根據(jù)訪問(wèn)控制模型，設(shè)定并實(shí)施訪問(wèn)策略，對(duì)各種數(shù)據(jù)請(qǐng)求進(jìn)行審核；數(shù)據(jù)供應(yīng)即為通過(guò)認(rèn)證的用戶(hù)提供數(shù)據(jù)傳輸或其它服務(wù)；監(jiān)控審計(jì)即對(duì)整個(gè)服務(wù)過(guò)程進(jìn)行實(shí)時(shí)記錄，發(fā)現(xiàn)問(wèn)題及時(shí)預(yù)警并提出解決方案。

2 云計(jì)算IAM

傳統(tǒng)企業(yè)信息系統(tǒng)一般部署在企業(yè)內(nèi)部，軟件、計(jì)算機(jī)、網(wǎng)絡(luò)、交換機(jī)都在管理員的完全掌控下，即在可控信任域的范圍內(nèi)，并且可以通過(guò)設(shè)置防火墻、IDS建立保護(hù)屏障，與外界隔離開(kāi)，在此種情況下進(jìn)行身份和訪問(wèn)控制管理都相對(duì)而言比較簡(jiǎn)單。但如果將部分?jǐn)?shù)據(jù)或業(yè)務(wù)移動(dòng)到公有云，保護(hù)屏障已失去作用，可控信任域消失，企業(yè)對(duì)數(shù)據(jù)資源的控制權(quán)缺失；尤其在實(shí)時(shí)業(yè)務(wù)中所需資源是動(dòng)態(tài)變化的，使得身份和訪問(wèn)控制更為復(fù)雜，具有其自身的特點(diǎn)：

2.1 身份供應(yīng)跨區(qū)域，隱私難保護(hù)

傳統(tǒng)企業(yè)信息系統(tǒng)的用戶(hù)身份由人事部門(mén)來(lái)提供，權(quán)限也相應(yīng)明晰，一旦發(fā)生變化可以及時(shí)進(jìn)行同步處理。而在公有云的環(huán)境下，對(duì)于企業(yè)用戶(hù)而言，云端和企業(yè)都需要身份供應(yīng)，若由企業(yè)實(shí)現(xiàn)則存在用戶(hù)認(rèn)證跨區(qū)域的問(wèn)題，若有云端供應(yīng)商提供，隱私數(shù)據(jù)又很難得到保障。而對(duì)個(gè)人用戶(hù)而言，由于是多個(gè)用戶(hù)共用軟硬件資源，身份信息泄露較為容易，隱私保護(hù)難落到實(shí)處。

2.2 多種認(rèn)證方式并存

傳統(tǒng)企業(yè)信息系統(tǒng)由于業(yè)務(wù)資源在可信任區(qū)域內(nèi)部，同時(shí)具有防火墻、IDS等的保護(hù)，故認(rèn)證方式多為“用戶(hù)名+密碼”即可滿(mǎn)足需求。而在云計(jì)算環(huán)境下，移動(dòng)互聯(lián)網(wǎng)技術(shù)廣泛運(yùn)用，人們隨時(shí)隨地都可以通過(guò)移動(dòng)終端接入云端，享受快捷服務(wù)，與此同時(shí)簡(jiǎn)單的“用戶(hù)名+密碼”的認(rèn)證方式遠(yuǎn)遠(yuǎn)不夠。信息系統(tǒng)至少會(huì)有2個(gè)工作域，分別是企業(yè)本身、云服務(wù)提供商。普遍的情況是云服務(wù)提供商為企業(yè)提供認(rèn)證服務(wù)，而身份認(rèn)證則會(huì)由購(gòu)買(mǎi)了云服務(wù)的企業(yè)來(lái)進(jìn)行，不同業(yè)務(wù)安全級(jí)別不同，認(rèn)證力度也各不相同，強(qiáng)認(rèn)證、委托認(rèn)證是常用的手段，這其中可信、可管是關(guān)鍵。

2.3 訪問(wèn)授權(quán)缺乏通用的模型

訪問(wèn)控制模型是訪問(wèn)授權(quán)的依據(jù)，以往的訪問(wèn)控制模型能否運(yùn)用到云計(jì)算環(huán)境下有待于進(jìn)一步檢驗(yàn)。而所提供的云服務(wù)IaaS、PaaS和SaaS都有各自的特點(diǎn)，探索何種訪問(wèn)控制模型適用于何種服務(wù)有待于進(jìn)一步深入研究。目前的難點(diǎn)是云端信息、企業(yè)相關(guān)信息的同步問(wèn)題。

2.4 身份聯(lián)合

云計(jì)算環(huán)境下，企業(yè)業(yè)務(wù)開(kāi)展通常會(huì)涉及到多個(gè)服務(wù)提供商，每個(gè)廠商都有自己的一套身份供應(yīng)、認(rèn)證、授權(quán)、訪問(wèn)控制的方式方法，此種情況下，建立統(tǒng)一標(biāo)準(zhǔn)進(jìn)行身份聯(lián)合是簡(jiǎn)化用戶(hù)訪問(wèn)的有效措施。

3 各大廠商的技術(shù)解決方案

3.1 身份供應(yīng)策略

目前的工業(yè)標(biāo)準(zhǔn)是SPML（Service Provisioning Markup Language，服務(wù)供應(yīng)標(biāo)記語(yǔ)言），用于實(shí)現(xiàn)合作企業(yè)間信息交換。云服務(wù)提供商通過(guò)提供SPML適配器、SPML網(wǎng)關(guān)來(lái)支持SPML。通常情況下，新用戶(hù)信息通過(guò)SAML令牌傳遞給云服務(wù)提供商，而服務(wù)提供商從令牌中提取屬性信息，建立SPML消息，處理身份供應(yīng)請(qǐng)求，即將用戶(hù)信息填入到數(shù)據(jù)庫(kù)中去。

3.2 身份認(rèn)證策略

公有云通常是多個(gè)用戶(hù)共用軟硬件設(shè)備，這種方式?jīng)Q定了身份認(rèn)證需采用強(qiáng)認(rèn)證方式。在具體實(shí)施過(guò)程中，可以由云服務(wù)提供商來(lái)負(fù)責(zé)認(rèn)證，或外包給IDaas（ID as a Service，云身份服務(wù)）提供商，還可以由企業(yè)自身來(lái)完成，但這需要云服務(wù)提供相應(yīng)的支持。目前較為典型的身份認(rèn)證方式：S3（Amazon Simple Storage Service）身份認(rèn)證、基于OAuth的跨域身份認(rèn)證。

S3身份認(rèn)證：S3是亞馬遜提供的云存儲(chǔ)服務(wù)。當(dāng)新用戶(hù)注冊(cè)時(shí)，會(huì)被分配給Access Key ID（20位的字符串）和Secret Access Key（40位字符串），Access Key ID用來(lái)唯一的標(biāo)識(shí)用戶(hù)，Secret Access Key用來(lái)驗(yàn)證用戶(hù)請(qǐng)求是否合法。身份認(rèn)證采用基于HMAC-SHAI數(shù)字簽名的認(rèn)證算法，其核心在于采用HMAC-SHAI消息認(rèn)證協(xié)議，利用散列函數(shù)來(lái)驗(yàn)證數(shù)據(jù)是否完整，利用密鑰共享、消息認(rèn)證碼是否一致來(lái)驗(yàn)證數(shù)據(jù)是否真實(shí)，用戶(hù)端和服務(wù)端的行為如下：

用戶(hù)端：生成服務(wù)請(qǐng)求，輸入訪問(wèn)密鑰，計(jì)算消息散列值，計(jì)算認(rèn)證碼，發(fā)送服務(wù)請(qǐng)求及認(rèn)證碼

服務(wù)端：接收服務(wù)請(qǐng)求及認(rèn)證碼、提取訪問(wèn)密鑰、查詢(xún)?cè)L問(wèn)密鑰、計(jì)算消息散列值、計(jì)算認(rèn)證碼、驗(yàn)證認(rèn)證碼

基于OAuth跨域身份認(rèn)證：OAuth是支持跨域訪問(wèn)的協(xié)議，允許用戶(hù)將存儲(chǔ)在私有云中的資源共享給其他用戶(hù)而不會(huì)暴露身份信息。它提供了安全進(jìn)行數(shù)據(jù)發(fā)布和交換的方式，同時(shí)也提供了保證自身信息安全的前提下訪問(wèn)其他云數(shù)據(jù)的可能，應(yīng)用廣泛。

3.3 訪問(wèn)授權(quán)策略

訪問(wèn)控制模型是進(jìn)行訪問(wèn)控制的依據(jù)，目前在企業(yè)中主要采用的有三種訪問(wèn)模型：

①M(fèi)AC（Mandatory Access Control）：強(qiáng)制訪問(wèn)控制，適用于基于信息種類(lèi)來(lái)進(jìn)行的訪問(wèn)；

②RBAC（Role Based Access Control）：基于角色的訪問(wèn)控制，適用于事務(wù)處理和非Web的服務(wù)；

③DAC（Discretionary Access Control）：自主訪問(wèn)控制，適用于非結(jié)構(gòu)化數(shù)據(jù)的訪問(wèn)，或是云服務(wù)提供商提供的Web服務(wù)。

目前基于上述模型典型的訪問(wèn)授權(quán)方式有：基于XACML（eXtensible Access Control Markup Language，可擴(kuò)展控制標(biāo)記語(yǔ)言）的訪問(wèn)控制、Windows Azure訪問(wèn)控制。

基于XACML的訪問(wèn)授權(quán)：XACML打破了特定應(yīng)用授權(quán)模型的局限，適用于不同應(yīng)用，是通用的、基于XML的訪問(wèn)控制語(yǔ)言，提供訪問(wèn)授權(quán)方法、執(zhí)行策略的授權(quán)標(biāo)準(zhǔn)。

Windows Azure訪問(wèn)控制：Windows Azure是微軟公司的云平臺(tái)，主要采用NET訪問(wèn)控制服務(wù)，即利用令牌和身份標(biāo)識(shí)轉(zhuǎn)換引擎來(lái)實(shí)現(xiàn)訪問(wèn)控制。具體過(guò)程：用戶(hù)通過(guò)瀏覽器提供SAML（Security Assertion Markup Language）令牌（傳輸身份信息），.NET訪問(wèn)控制服務(wù)端會(huì)根據(jù)規(guī)則STS（Security Token Service，安全令牌服務(wù)），創(chuàng)建新的SAML，并向用戶(hù)返回新的SAML令牌，用戶(hù)將新SAML令牌提交給應(yīng)用程序，應(yīng)用程序端使用新SAML令牌決定用戶(hù)權(quán)限。

3.4 身份聯(lián)合策略

目前進(jìn)行身份聯(lián)合主要有兩種方式，一種是由IDaaS來(lái)統(tǒng)一管理，另一種是企業(yè)內(nèi)部建立IdP（Identity Provider，身份供應(yīng)機(jī)構(gòu)）?；贗DaaS進(jìn)行身份聯(lián)合，可以不改變企業(yè)原有信息系統(tǒng)結(jié)構(gòu)，當(dāng)企業(yè)身份目錄和身份管理提供的云端同步時(shí)即可實(shí)現(xiàn)訪問(wèn)，缺點(diǎn)是不知道實(shí)現(xiàn)細(xì)節(jié)，存在IDaas是否可信的問(wèn)題?；贗dP的身份聯(lián)合則是在改造現(xiàn)有身份管理系統(tǒng)的基礎(chǔ)上進(jìn)行，保證了身份管理與企業(yè)內(nèi)部訪問(wèn)控制策略的一致，而無(wú)需擔(dān)心可信安全問(wèn)題。

4 目前研究

IAM是云計(jì)算安全的核心，目前的研究主要集中訪問(wèn)控制模型、基于ABE密碼體制的訪問(wèn)控制、多租戶(hù)和虛擬化訪問(wèn)控制。

云訪問(wèn)控制模型：主要在傳統(tǒng)訪問(wèn)控制模型基礎(chǔ)上進(jìn)行改進(jìn)，讓它更適用于云計(jì)算環(huán)境。Jung Y等在RBAC基礎(chǔ)上提出自適應(yīng)訪問(wèn)控制模型，會(huì)自動(dòng)計(jì)算服務(wù)成本并且根據(jù)與預(yù)算的比對(duì)情況進(jìn)行角色轉(zhuǎn)換；林果園等結(jié)合BLP模型和Biba模型的特點(diǎn)，除了保證數(shù)據(jù)的保密性和完整性外，還增加權(quán)限、行為上的訪問(wèn)控制；Chandran S M等提出唯一激活集解決混雜角色的權(quán)限查詢(xún)問(wèn)題。Bertino E等擴(kuò)展TRBAC模型解決角色、用戶(hù)臨時(shí)依賴(lài)問(wèn)題。

基于ABE（Attribute based Encryption，基于屬性的加密算法）密碼的訪問(wèn)控制：基本觀點(diǎn)是認(rèn)為密文和私鑰分別與屬性存在關(guān)聯(lián)，當(dāng)密文屬性和私鑰屬性相匹配時(shí)用戶(hù)解密。Yu S等采用代理重加密方法，既提高重加密的效率又防止數(shù)據(jù)泄露；陳丹偉等將用戶(hù)域劃分，私人域采用CP-ABE，公共域采用分級(jí)的CP-ABE分別進(jìn)行訪問(wèn)控制。

多租戶(hù)和虛擬化訪問(wèn)控制：主要通過(guò)多租戶(hù)的隔離、hypervisor實(shí)現(xiàn)虛擬機(jī)的訪問(wèn)控制。Li XY等提出將云服務(wù)提供商和租戶(hù)權(quán)責(zé)分離；Tang等將多租戶(hù)認(rèn)證系統(tǒng)與RBAC模型相結(jié)合；Yang等提出RB-MTAC（基于角色的多租戶(hù)訪問(wèn)控制）；Lucian P等提出基于hypervisor的多租戶(hù)訪問(wèn)控制機(jī)制。能根據(jù)通信狀況動(dòng)態(tài)調(diào)節(jié)訪問(wèn)控制策略。

5 未來(lái)研究方向

云計(jì)算由于自身的特點(diǎn)，安全方面還有許多問(wèn)題尚待解決，結(jié)合云計(jì)算的需求和現(xiàn)有的IAM技術(shù)來(lái)看，未來(lái)IAM可能在標(biāo)準(zhǔn)化、密文的訪問(wèn)控制、訪問(wèn)控制服務(wù)化、跨云訪問(wèn)、身份供應(yīng)自動(dòng)化、細(xì)粒度訪問(wèn)控制等方面有更深入的發(fā)展。

參考文獻(xiàn)

[1]馮登國(guó)，張敏，張妍，等.云計(jì)算安全研究[J].軟件學(xué)報(bào)，2011，22（1）：71- 83.

[2]陳丹偉，邵菊，樊曉唯，等.基于 MAH-ABE 的云計(jì)算隱私保護(hù)訪問(wèn)控制[J].電子學(xué)報(bào)，2014，42（4）：821-827.

[3]林果園，賀珊，黃皓，等.基于行為的云計(jì)算訪問(wèn)控制安全模型[J].通信學(xué)報(bào)，2013，33（3）：59-66.

[4]馮朝勝，秦志光，袁丁，等.云計(jì)算環(huán)境下訪問(wèn)控制關(guān)鍵技術(shù)[J].電子學(xué)報(bào)，2015，43（2）：312-319.