熊達鵬， 陳 亮， 王 鵬， 鄒 鵬， 鮑俊雷(. 裝備學院 復雜電子系統(tǒng)仿真實驗室, 北京 046； . 中國衛(wèi)星海上測控部， 江蘇 無錫 443 )

云計算訪問控制技術研究進展

熊達鵬1， 陳 亮1， 王 鵬1， 鄒 鵬1， 鮑俊雷2
(1. 裝備學院 復雜電子系統(tǒng)仿真實驗室, 北京 101416； 2. 中國衛(wèi)星海上測控部， 江蘇 無錫 214431 )

云計算訪問控制技術是近年來云計算安全領域研究的熱點，其目標是有效保證云計算資源不被非法訪問和使用。以訪問控制理論為指導，針對云計算自身的特點，運用文獻調研和比較研究法，從訪問控制理論、學術界研究現狀和工業(yè)界實踐進展3個方面詳細介紹了當前云計算訪問控制技術的國內外發(fā)展現狀。分析了云訪問控制技術在虛擬化、分布式等方面的新特性，以及當前云訪問控制方法在應用場景中存在的問題；對當前云計算訪問控制模型設計、策略安全性分析、策略一致性分析等關鍵技術中的熱點問題進行了研究，并展望了云訪問控制發(fā)展趨勢。

云計算；訪問控制；安全性分析；策略沖突

訪問控制是保護信息系統(tǒng)資源安全的關鍵技術，旨在限制非授權用戶訪問系統(tǒng)及防止授權用戶非法訪問信息資源。它通過定義系統(tǒng)的主體對客體的服務權限，控制哪些主體(如人、進程、機器等)能夠訪問系統(tǒng)中的哪些資源，確保系統(tǒng)資源不被越權訪問或使用[1]。訪問控制技術歷經五十余年的發(fā)展，在理論研究、實現方法及技術應用等方面都取得了很大的發(fā)展。

云計算作為一種基于資源共享的計算模式，需針對越權使用資源采取強有力的防御措施，因此對訪問控制技術依賴程度更高。然而，云計算具有大規(guī)模、分布式、虛擬化和彈性化等復雜信息系統(tǒng)特性，傳統(tǒng)的訪問控制技術在云計算中遇到了新的挑戰(zhàn)。因此，提升云計算環(huán)境下訪問控制的靈活性、可用性，增強云管理系統(tǒng)對用戶的認證、授權與管理能力，尤其是對細粒度的用戶資源控制，已成為國內外云計算安全領域的研究熱點。

1 訪問控制技術概述

定義(訪問控制三要素)：訪問控制3個基本要素包括主體、客體和控制策略，采用三元組I=(S→O,P)進行表示。其中,S表示主體(Subject)，即提出請求或要求的實體，是動作的發(fā)起者，主體可以是某個用戶，也可以是用戶啟動的進程、服務和設備；O是客體(Object)，指接受其他實體訪問的被動實體，凡是可以被操作的信息、資源、對象都可以被認為是客體[2]；控制策略P(Policy)是主體對客體的訪問規(guī)則集。

訪問控制是主體根據某些控制策略或權限對客體本身或其他資源進行不同的授權訪問[3]2。具體來說，通過某種顯式的約定來授權或限制主體對客體的訪問能力和范圍，從而防止非法用戶訪問系統(tǒng)或合法用戶對系統(tǒng)資源的非法訪問。訪問控制的工作機制如圖1所示。

圖1 訪問控制工作機制

訪問控制的目的是為了限制訪問主體對訪問客體的訪問權限，從而使信息資源在合法范圍內被訪問。為了達到上述目的，訪問控制需要完成以下2項任務：(1)識別和確認訪問系統(tǒng)的用戶；(2)決定該用戶可以對某一系統(tǒng)資源進行何種類型的訪問。訪問控制技術通常用于系統(tǒng)管理員控制用戶對服務器、文件、數據等資源的訪問，保證信息系統(tǒng)資源受控地、合法地使用。

2 云計算訪問控制技術研究現狀

訪問控制問題的研究起源于20世紀60年代末，五十多年來研究者們做了大量卓有成效的工作，研發(fā)出許多有代表性的策略、模型和機制。同時，云計算訪問控制作為保障云安全的核心技術受到越來越多的關注。

2.1 訪問控制模型介紹

訪問控制模型(Access Control Models)是對主-客體訪問規(guī)則集及其作用方式的一種形式化表示方法，用于描述系統(tǒng)安全。隨著IT技術高速發(fā)展，訪問控制技術應用領域逐漸擴大，具有代表性的模型不斷涌現。

1) 自主訪問控制(Discretionary Access Control，DAC)是一種基于用戶身份和訪問規(guī)則的訪問控制模型，擁有訪問權限的主體能夠自主地將訪問權轉讓給其他主體而不需要經過管理員允許。這種自主性滿足了用戶個人的安全要求，提高了授權管理的靈活性。但是因為資源管理權以個人意志為轉移，所以對系統(tǒng)安全集中管控是不利的，尤其當用戶數量和管理資源非常龐大時，DAC將會效率低下難以控制。DAC優(yōu)點是授權靈活、較為直觀及容易實現，缺點是在復雜系統(tǒng)中存在開銷過大、效率低下的問題。

2) 強制訪問控制(Mandatory Access Control，MAC)是一種多級訪問控制模型。MAC是基于系統(tǒng)權威(如安全管理員)制定的訪問規(guī)則來進行控制。在MAC中，用戶和客體資源都預先被管理員賦予一定的安全級別，訪問主體只能訪問到不超過自身安全等級的客體資源，遵循“不上讀”和“不下寫”的基本原則。MAC主要用于多層次安全級別的政府和軍方應用當中。MAC優(yōu)點是可控程度高、保密性強，缺點是不滿足最小特權原則，系統(tǒng)開銷較大，靈活性差，規(guī)則制定嚴格且缺乏彈性。

3) 基于角色的訪問控制(Role-based Access Control，RBAC)[4]，在用戶(User)和訪問權限(Permission)之間引入角色(Role)作為中間代理層，所有的權限是通過Role授予而不是直接分配給User或Group。管理員只需要為用戶分配相應的角色，即可賦予用戶該角色對應的所有操作權限。這簡化了權限分配和管理的過程，實現了用戶與訪問權限的邏輯分離。RBAC及其擴展模型現已發(fā)展得比較成熟，在許多大型系統(tǒng)中得以應用。RBAC的優(yōu)點是簡化了權限管理，能靈活地表達和實現系統(tǒng)安全策略，實用性強；缺點是RBAC模型是一種較粗粒度的約束，不滿足最小特權原則。

4) 基于任務的訪問控制(Task-based Access Control，TBAC)[5]以任務(活動)為中心，從工作流中的任務角度建模，根據任務執(zhí)行狀態(tài)對權限進行實時、動態(tài)的管理。在TBAC中，對象的訪問權限控制并不是靜止不變的，而是隨著執(zhí)行任務的上下文環(huán)境發(fā)生變化，因此TBAC是一種主動安全模型[3]2。TBAC比較適合在工作流、分布式處理和多點管理系統(tǒng)中使用。TBAC的優(yōu)點是可主動授權，能根據任務狀態(tài)動態(tài)調整權限，缺點是配置比較煩瑣。

5)基于屬性的訪問控制(Attribute-based Access Control，ABAC)是一種對相關實體(如主體、客體、權限、環(huán)境)的屬性建模來描述授權和訪問控制約束的模型。ABAC能夠將實體的屬性作為建模對象，具有足夠靈活的描述能力，常常作為一種統(tǒng)一訪問控制框與其他訪問控制模型結合使用。ABAC的優(yōu)點是表示能力強，易于擴展，可與其他訪問控制模型相結合；缺點是所有要素均是以屬性形式進行描述，而屬性關系不容易描述。

表1對典型訪問控制模型的特點及應用進行了歸納和對比。

表1 訪問控制模型對比

2.2 云計算訪問控制技術現狀

2.2.1 云平臺中訪問控制應用現狀

目前，國內外云計算服務提供商在云平臺訪問控制技術上進行了大量的嘗試和實踐。如亞馬遜 S3云平臺采用“訪問控制表(Access Control List，ACL)”“存儲桶策略”和“查詢字符串認證”授權方式；微軟 Windows Azure云平臺采用密鑰對身份驗證、訪問角色授權；谷歌Google Storage云平臺采用訪問控制表；阿里云平臺采用訪問控制表、capability的訪問控制策略。

1) OpenStack云平臺。OpenStack是最具有代表性的開源云計算平臺。OpenStack的訪問控制(OpenStack Access Control，OSAC)是通過Keystone組件的認證授權來實現的，Keystone負責提供認證和管理用戶、賬號和角色信息、授權服務。OSAC的核心是擴展改進的基于角色的訪問控制模型，包括用戶分配(User Assignment,UA)，組分配(Group Assignment,GA)和權限分配(Permission Assignment,PA)；Keystone驗證用戶身份并提供token，同時為用戶分配角色，而角色代表一組可以訪問的資源權限，因此所有用戶都可以通過角色來獲得授權。

2) AWS云平臺。Amazon Web Services(AWS)是亞馬遜公司旗下云計算服務平臺。AWS是通過編寫訪問策略向他人(AWS賬戶和用戶)授予執(zhí)行資源操作的權限，其訪問策略主要分為基于資源的策略和基于用戶的策略?；谫Y源的策略是將訪問授權與資源(存儲桶和對象)相關聯，包括“存儲桶”策略和訪問控制列表 (ACL)。存儲桶策略和ACL都是采用XML架構來描述被授權者和所授予權限的對應關系?；谟脩舻牟呗詣t是使用Identity and Access Management (IAM) 來管理對Amazon S3資源的訪問權限，IAM通過附加訪問策略分配相應的安全憑證給用戶以及管理他們的權限，并授予他們對AWS 資源的訪問權限[6]。

3) Hadoop云平臺。Hadoop是Apache基金會旗下的開源云平臺項目，是IaaS云平臺的典型代表。當前，Hadoop訪問控制分為2級，其中Service Level Authorization為初始授權，用于保證用戶在預先配置以及授權的前提下訪問服務，具體來說是通過XML描述的ACL來實現[7]；另一級包括Access Control Job Queues和DFS Permission，前者在Job調度策略層之上控制mapred隊列的權限，后者控制用戶訪問文件的權限。

4) 阿里云平臺。阿里云是阿里巴巴集團于2009年創(chuàng)立的云計算品牌，是目前國內占有市場份額最高的云計算平臺。阿里云采用集中式方案RAM (Resource Access Management)為客戶提供用戶身份管理與訪問控制服務，其核心功能主要包括用戶身份管理和授權管理[8]。為了方便管理權限和用戶，RAM引入了群組(Group)和角色(Role)的概念。子用戶加入群組后，即擁有了所在群組的所有權限。角色機制可以解決臨時用戶的一次性授權問題，臨時用戶扮演角色后即擁有了角色對應的權限。用戶通過授權獲得秘鑰之后即可訪問相應資源。

總體而言，當前商用云平臺大多依然采用傳統(tǒng)訪問控制技術，針對云計算環(huán)境訪問控制技術的研究仍處于探索階段，如適用于分布式計算場景、多域場景、多租戶場景等典型云計算環(huán)境的訪問控制策略研究仍然比較薄弱。

2.2.2 云訪問控制技術存在的問題

鑒于云計算不同于傳統(tǒng)信息系統(tǒng)的特性，云計算訪問控制面臨著許多新的問題：(1) 云計算模式下用戶不能完全控制自己的資源，這使得傳統(tǒng)計算模式下由可信邊界保護起來的“安全域”不再成立，云環(huán)境下“多域”訪問控制矛盾凸顯；(2) 由于云端需要根據服務的運行狀態(tài)來實時調整資源供給，資源訪問一直處于動態(tài)變化之中，這種變化使訪問控制變得困難；(3) 云環(huán)境中各類服務可能會跨越多個安全域進行資源訪問，如果不能消除域間身份管理和控制方法的差異性,就會出現不兼容問題；(4) 云計算的基礎是虛擬化，虛擬資源與底層硬件完全隔離的機制使得隱蔽通道更不易被發(fā)現，云訪問控制需要從實體授權擴展到虛擬資源；(5) 傳統(tǒng)訪問控制的分散式管理模式和云計算環(huán)境集中管理的需求之間存在矛盾；(6) 傳統(tǒng)訪問控制模型定義的主體和客體在云中已經發(fā)生了變化，傳統(tǒng)訪問控制模型無法適應云計算以多租戶為核心、大數據為基礎的新模式；(7) 云計算模式下角色層次眾多，用戶角色變動頻繁，權限的分配與傳統(tǒng)計算模式有較大區(qū)別；(8) 云用戶對數據安全的信任問題一直無法回避，這給云服務提供商實施訪問控制帶來約束。

綜上所述，由于云計算本身具有虛擬化和彈性化等技術特性，云訪問控制在動態(tài)性、開放性和靈活性方面有著更高的要求，因此傳統(tǒng)的訪問控制方法已經很難滿足云計算平臺的安全需求。研發(fā)適用于云計算環(huán)境的訪問控制技術，是云計算安全研究領域亟待解決的問題。

3 云計算訪問控制關鍵技術研究展望

3.1云訪問控制未來研究趨勢

從當前云訪問控制技術研究的前沿來看，云訪問控制的未來研究將重點關注以下方面：

1) 標準化。云計算訪問控制缺乏統(tǒng)一的技術標準和行業(yè)規(guī)范。目前云服務提供商大都采用傳統(tǒng)訪問控制技術標準作為參考標準，各自遵循的標準往往不同，不利于標準化組織實施監(jiān)管。未來應當從以下幾個方面逐步統(tǒng)一云訪問控制標準：統(tǒng)一云訪問控制的概念、定義及內容，制定跨域互操作、權限遷移之間的接口標準，制定訪問控制對象、行為、規(guī)則等各種策略描述的格式規(guī)范，制定訪問控制機制開發(fā)接口規(guī)范。

2) 細粒度的訪問控制。已有的云訪問控制大多是基于用戶身份，權限粒度約束不夠細化方式，導致用戶權限樹過寬卻不深，樹的層次不分明。這種粗粒度控制不滿足訪問控制最小特權原則，給本來就是多租戶環(huán)境的云環(huán)境帶來安全隱患。因此，在設計訪問控制策略時應考慮更多的用戶屬性，研究基于屬性的加密(Attribute-based Encryption,ABE)這樣的細粒度訪問控制方式。

3) 動態(tài)的訪問控制。云計算環(huán)境中云用戶、云資源和網絡環(huán)境都是時刻處于動態(tài)變化中，傳統(tǒng)的靜態(tài)的、集中的訪問控制技術無法滿足云計算的動態(tài)性和安全性需求。因此，需要根據時間、空間狀態(tài)等上下文信息，研究包括基于任務、基于時態(tài)、基于空間等考慮上下文信息的狀態(tài)轉換方法，以及基于時限控制、基于公鑰基礎設施(Public Key Infrastructure,PKI)等動態(tài)授權方法。

4) 跨域授權。云計算具有多安全域的特征，各個云應用可能屬于不同的安全管理域，且相互間存在跨域訪問資源的需求。需要研究跨域互操作的授權方式，在保證不破壞本安全域自治性的前提下安全高效地實現資源訪問。在跨域策略合成方面，需要研究域間策略合成時可能存在的策略沖突檢測以及消解的問題。

3.2 云訪問控制關鍵技術研究展望

云計算面臨大量訪問控制難題，特別是細粒度的訪問控制、動態(tài)的訪問控制和多域訪問控制問題并沒有得到有效解決。主要研究點集中在云計算環(huán)境下訪問控制模型設計、訪問控制策略安全性分析、訪問控制策略一致性分析等方面。

3.2.1 面向云計算的訪問控制技術

目前，對云訪問控制模型的研究剛剛起步，面向云計算的訪問控制模型都是在傳統(tǒng)訪問控制模型基礎上進行改進，使其更適用于云計算環(huán)境。

1) 權限屬性動態(tài)化的云訪問控制技術。在云計算環(huán)境中尤其是公有云環(huán)境中，由于云用戶的數量巨大，對云資源/服務的需求具有不確定性，而且需要隨著應用狀態(tài)實時調整權限，這要求對云用戶權限的授予和取消是動態(tài)變化的。為了適應這種動態(tài)變化的權限控制需求，研究者們通常在基于角色[9]、基于信任[10]、基于任務[11]、基于屬性[12]等幾種擴展性比較好的訪問控制模型的基礎上進行拓展改進，使其具備動態(tài)調整權限的能力。

2) 面向虛擬化及多租戶的云訪問控制技術。云計算是基于虛擬化技術的計算模式，虛擬化技術有良好的隔離性，但是虛擬機間的通信以及物理資源共享給云訪問控制帶來新的挑戰(zhàn)。同時云計算是多租戶模式的，多個租戶通過虛擬技術寄宿在同一個物理宿主機上，有可能通過虛擬機側通道產生攻擊行為。目前，對虛擬化及多租戶訪問控制的研究，主要集中在通過hypervisor實現虛擬機的訪問控制對多租戶的隔離上。

3) 面向多域的云訪問控制技術。云計算環(huán)境是由各個自治域構成的虛擬組織構成，用戶和資源處于不同的自治域中。自治域內通常有獨立的訪問控制策略，同時域間有相互訪問資源的需求，這就需要有相應的訪問控制模型來協調、管理這些跨域互操作。面向多域的訪問控制技術常常由基于信任[13]、基于屬性[14]等訪問控制模型發(fā)展而來。

云計算的復雜性給云訪問控制技術提出了挑戰(zhàn)，面向云的訪問控制研究及其模型設計還有很大的提升空間?；趥鹘y(tǒng)訪問控制模型改進而來的云訪問控制技術在一定程度上解決了部分問題，但是為了匹配云計算的高速發(fā)展，在動態(tài)授權、虛擬化、多租戶、多域等方面還有待進一步研究。

3.2.2 訪問控制策略安全性分析技術研究

訪問控制策略的安全性分析是訪問控制策略設計流程中必要的一個環(huán)節(jié)，旨在通過分析證明所設計的策略不會存在權限泄露的情況。如果訪問控制模型被證明是安全的，而訪問控制機制又正確地實現了這個模型，那么我們可以判定這套訪問控制系統(tǒng)是安全的。

1) 基于邏輯推導的分析方法?；谶壿嬐茖У亩ㄐ苑治龇椒ㄖ饕譃榛诙ɡ硗评怼⒒跀祵W模型和基于量化分析的證明方法。其中，基于定理推理的分析方法[15]，通過推導安全公理來證明代表訪問控制模型的根公理是正確的，這種方法實際上難以找到能夠全面代表模型安全性的根公理；基于數學模型的分析方法[16]，用數學模型(如“格”)代替訪問控制策略來證明訪問控制的安全性，這種方法的缺陷是所采用的數學模型通常僅能證明安全性的部分特性；基于量化分析的分析方法[17]，利用信息熵等可以量化的標準來度量訪問控制模型的安全等級，這種方法具有較強的可操作性，但是無法全面評估模型的安全性。

2) 基于狀態(tài)空間推理的分析方法?；跔顟B(tài)空間推理的訪問控制安全性方法[18]，是查找整個訪問控制策略的狀態(tài)空間以檢測是否存在沖突的規(guī)則項。首先，對訪問控制策略的執(zhí)行規(guī)則進行形式化定義。其次，用狀態(tài)空間來記錄用戶狀態(tài)轉移的過程，對應訪問控制策略的可達狀態(tài)和路徑。最后，用智能規(guī)劃等邏輯分析方法證明某一時刻的用戶狀態(tài)是否安全。

目前，訪問控制策略安全性分析都是針對特定的策略進行的特定分析，不存在統(tǒng)一通用的方法。常見的安全分析思路是針對特定策略，證明自定義的幾個安全定理不具有可推廣性?；跔顟B(tài)空間推理的分析方法，在證明的完備性和通用性方面有一定優(yōu)勢，是未來訪問控制安全性分析的重要發(fā)展方向。

3.2.3 訪問控制策略一致性分析技術研究

策略沖突(Policy Conflict)是指2條或者多條策略由于所表達的規(guī)則內容不一致，從而導致在被執(zhí)行時產生矛盾的情況。云環(huán)境中跨域互操作行為很普遍，建立新的互操作可能導致全局的安全策略和各自治域的局部安全策略之間的不一致，從而帶來安全隱患。當策略發(fā)生沖突時，管理系統(tǒng)將無法執(zhí)行正確的操作，過多的策略沖突會大大降低系統(tǒng)效率，甚至影響系統(tǒng)正常運行。訪問控制策略一致性分析技術的目標就是發(fā)現各種潛在的策略沖突，并針對各種類型的沖突提供解決方案。

1) 訪問控制策略沖突檢測技術。訪問控制策略沖突檢測總體分為靜態(tài)沖突檢測方法和動態(tài)沖突檢測方法。早期針對模態(tài)沖突以及全局檢測的方法屬于靜態(tài)沖突檢測方法，存在效率較低、實時性和可擴展性不強的問題。在全局檢測方法的基礎上發(fā)展出最小化檢測方法，僅考察與互操作相關聯的信息，在一定程度上提高了沖突檢測的效率，但是不具備完備性。此外，還有基于優(yōu)先級方法的檢測方法[19]、基于語義沖突驗證的檢測方法[20]等，這些方法在一定條件下具有優(yōu)勢，但存在計算開銷較大的弊端。因此，當前訪問控制策略沖突檢測方法會根據不同的應用場景在檢測準確性和計算效率之間平衡取舍。云計算環(huán)境中訪問主體、客體數量龐大，訪問控制策略復雜度高，域間交互頻繁。以上因素導致云訪問控制策略沖突檢測技術更加復雜，目前針對云訪問控制的策略沖突檢測技術主要集中在動態(tài)檢測方法和多域檢測方法。

2) 訪問控制策略沖突消解技術。與策略沖突檢測方法相對應，策略沖突消解的方法也有多種。按照消解過程所處的階段可以分為2類：(1) 創(chuàng)建策略前檢測消除；(2) 在執(zhí)行策略的過程中檢測消除。第一類是最直接的方法，即改變策略的條件、動作等屬性，使其不再產生沖突。但這種方法需要在制定策略階段預先發(fā)現沖突，這往往比較困難。第二類是在系統(tǒng)運行時實時判定沖突并中止沖突策略執(zhí)行，這類方法較為方便實用。當沖突已經發(fā)生時，需要專門的消解方法，亦即對策略的信任和協商過程。代表性的研究成果包括基于優(yōu)先級[21]、基于有向圖模型[22]、基于規(guī)則狀態(tài)推理[23]的沖突消解方法等。

綜上所述，策略沖突消解的方法往往與沖突檢測方法配合使用，這在很大程度上需要根據應用場景的特點來開發(fā)合適的策略沖突消解方法。目前各大云運營商采用的訪問控制機制差別各異，針對訪問控制策略沖突消解方面的研究還處在發(fā)現問題臨時補救的階段，如何在云計算環(huán)境下進行訪問控制策略沖突的檢測與消解仍需進一步研究。

4 結 束 語

云計算訪問控制技術能夠有效保護云計算資源，在云計算安全防護中得到廣泛應用，然而云計算自身具有的虛擬化、分布式、多租戶等特性給訪問控制技術帶來了挑戰(zhàn)。本文對云計算訪問控制技術的國內外研究進展做了詳細闡述，介紹了當前云訪問控制技術在理論研究和商業(yè)應用方面的現狀，并從云計算自身特征出發(fā)分析了當前云訪問控制技術存在的不足。目前，國內外對于云計算訪問控制技術的研究還處于試驗探索階段，未來應進一步開展云訪問控制模型設計、訪問控制策略安全性分析和一致性分析等關鍵技術的研究。

References)

[1]徐云峰.訪問控制[M].武漢: 武漢大學出版社,2014：38-38.

[2] 韓道軍,高潔,翟浩良,等.訪問控制模型研究進展[J].計算機科學,2010,37(11):29-33.

[3] 王鳳英.訪問控制原理與實踐[M].北京: 北京郵電大學出版社,2010.

[4] 尹剛,王懷民,滕猛.基于角色的訪問控制[J].計算機科學,2002,29(3):69-71.

[5] 鄧集波,洪帆.基于任務的訪問控制模型[J].軟件學報,2003,14(1):76-82.

[6] Amazon開發(fā)人員.Amazon web services API文檔：訪問管理概述[EB/OL].(2006-03-01)[2016-11-12].http://docs.aws.amazon.com/zh_cn/AmazonS3/latest/dev/access-control-overview.html.

[7] Hadoop官網.Apache hadoop 2.7.3.hadoop in secure mode [EB/OL].(2016-08-18)[2016-11-12].http://hadoop.apache.org/docs/r2.7.3/hadoop-project-dist/hadoop-common/SecureMode.html

[8] 阿里云開發(fā)人員.阿里云幫助文檔:訪問控制[EB/OL].(2016-11-12)[2016-11-23].https://help.aliyun.com/product/28625.html?spm=5176.doc28645.3.1.DKFz1e

[9] LUO J,WANG H,GONG X,et al.A novel role-based access control model in cloud environments[J].International Journal of Computational Intelligence Systems,2016,9(1):1-9.

[10] RAY I.Trust-based access control for secure cloud computing[M]//HAN K J，CHOI B Y，SONG S.High Performance Cloud Auditing and Applications.New York：Springer,2014:189-213.

[11] YOUNIS Y A,KIFAYAT K,MERABTI M.An access control model for cloud computing[J].Journal of Information Security & Applications,2014,19(1):45-60.

[12] ZOU J S,ZHANG Y S,GAO Y.Research of ABAC model based on usage control under cloud environment[J].Application Research of Computers,2014(12)：178-180；185.

[13] 別玉玉,林果園.云計算中基于信任的多域訪問控制策略[J].信息安全與技術,2012,3(10):39-45.

[14] 王靜宇,馮黎曉.一種面向云計算環(huán)境的屬性訪問控制模型[J].中南大學學報(自然科學版),2015(6):2090-2097.

[15] LI N,TRIPUNITARA M V.Security analysis in role-based access control[J].Acm Transactions on Information & System Security,2006,9(4):391-420.

[16] 林柏鋼.格擴展的信息系統(tǒng)安全域模型分析[J].通信學報,2009(增刊1):9-14.

[17] 胡俊,沈昌祥,張興.一種BLP模型的量化分析方法[J].小型微型計算機系統(tǒng),2009,30(8):1605-1610.

[18] 劉強.基于角色的訪問控制技術[M].廣州：華南理工大學出版社,2010：55-60.

[19] LUPU E C,SLOMAN M.Conflicts in policy-based distributed systems management[J].Software Engineering IEEE Transactions on,1999,25(6):852-869.

[20] CHOLVY L,CUPPENS F.Analyzing consistency of security policies[C]//IEEE Symposium on Security & Privacy.[S.l.]:IEEE,1997:103-112.

[21] 魯劍鋒,閆軒,彭浩,等.一種優(yōu)化的策略不一致性沖突消解方法[J].華中科技大學學報(自然科學版),2014(11):111-116.

[22] 姚鍵,茅兵,謝立,等.一種基于有向圖模型的安全策略沖突檢測方法[J].計算機研究與發(fā)展,2005,42(7):1108-1114.

[23] KARAT J,KARAT C M,BERTINO E,et al.Policy framework for security and privacy management[J].IBM Journal of Research & Development,2009,53(2):1-14.

(編輯：李江濤)

Research Progress on Access Control Technology in Cloud Computing

XIONG Dapeng1， CHEN Liang1， WANG Peng1， ZOU Peng1， BAO Junlei2

(1. Science and Technology on Complex Electronic System Simulation Laboratory, Equipment Academy, Beijing 101416, China; 2. China Satellite Maritime Tracking and Controling Department, Wuxi Jiangsu 214431, China)

Cloud computing access control technology is a highlight of cloud computing security research field these years. This technology aims to effectively ensure that cloud computing resources will not be illegally accessed and used. Based on access control theory, aiming at the features of cloud computing, with literature research and comparative research methods, the paper introduces the current situation of cloud computing access control technology in detail from the aspects of access control theory, academic research status and industry practice progress. The paper also analyzes the new features of cloud access control technology in virtualization and distribution, and the existing problems in the application scenario of cloud access control method. Besides, the paper discusses some highlights of current cloud computing access control model design, strategy security analysis, policy consistency analysis and other key technologies, and forecasts the development trend of cloud access control.

cloud computing; access control; security analysis; policy conflicts

2016-12-03

熊達鵬(1987—)，男，博士研究生，主要研究方向為信息安全。xiongdapeng@outlook.com 鄒 鵬，男，教授，博士生導師。