◎劉賽娥

云計(jì)算訪問控制技術(shù)的運(yùn)用及論述

◎劉賽娥

云計(jì)算訪問控制技術(shù)在最近幾年的發(fā)展過程中成為了云計(jì)算安全領(lǐng)域所研究的熱點(diǎn)，這一訪問控制技術(shù)的運(yùn)用在一定程度上保證了其資源部不被非法使用。本文對(duì)云計(jì)算訪問控制技術(shù)的運(yùn)用予以了相關(guān)的論述。

云計(jì)算訪問控制技術(shù)的現(xiàn)狀

現(xiàn)階段，大部分云計(jì)算服務(wù)的提供商在云臺(tái)訪問控制技術(shù)上予以了大膽的嘗試以及大量的實(shí)踐。諸如，亞馬遜S3平臺(tái)所使用的訪問控制表以及存儲(chǔ)桶策略；微軟云平臺(tái)所使用運(yùn)用密鑰來實(shí)現(xiàn)對(duì)身份的驗(yàn)證；谷歌云平臺(tái)所使用的訪問控制表以及阿里云平臺(tái)所使用的訪問控制策略等等。我們所說的AWS云平臺(tái)指的就是采用編寫訪問這一方法達(dá)到訪問他人執(zhí)行資源的操作權(quán)限，在這平臺(tái)運(yùn)行中所依據(jù)的就是資源策略和用戶策略。在這里需要強(qiáng)調(diào)的是資源策略是指將訪問授權(quán)同資源實(shí)現(xiàn)有機(jī)的結(jié)合，從而構(gòu)建出被授權(quán)者和授權(quán)者之間的對(duì)應(yīng)關(guān)系。而用戶策略是指通過對(duì)IAM的管理來實(shí)現(xiàn)對(duì)Amazon S3資源的訪問，IAM在一定程度上采用附加訪問這一策略實(shí)現(xiàn)了對(duì)用戶安全憑證的分配，同時(shí)對(duì)其自身的權(quán)限予以管理，并授予其對(duì)AWS這一資源的訪問權(quán)限。

云計(jì)算訪問控制技術(shù)存在的問題

由于云計(jì)算自身具有不同的特性，同傳統(tǒng)的信息系統(tǒng)相比，其在訪問控制方面則要面臨著一些新的問題：第一，在云計(jì)算的模式下用戶對(duì)于自身的資源不能予以更好的控制，這在一定程度上也就導(dǎo)致從可信邊界所形成的安全領(lǐng)域不復(fù)存在，同時(shí)也使得云計(jì)算下訪問控制方面“多域”矛盾日益凸顯；第二，在云端運(yùn)行的過程中其需要以服務(wù)的運(yùn)行狀態(tài)來對(duì)自身的資源供給予以一定的調(diào)節(jié)，而資源訪問所呈現(xiàn)的狀態(tài)一直都是動(dòng)態(tài)變化的，因此也就導(dǎo)致了訪問控制具有一定的困難性；第三，云計(jì)算中所涉及到的所有服務(wù)從一定程度上講都需要實(shí)現(xiàn)對(duì)多個(gè)安全領(lǐng)域予以跨越，從而實(shí)現(xiàn)對(duì)資源的訪問，但是在這一訪問過程中，如果不能對(duì)區(qū)域間身份管理和控制方法之間存在的差異予以消除，那么就會(huì)導(dǎo)致不兼容這一問題的出現(xiàn)；第四，在云計(jì)算中所要依據(jù)的基礎(chǔ)就是虛擬化，而虛擬資源和底層硬件之間所實(shí)行的完全隔離這一機(jī)制在一定程度上使得隱蔽這一通道不容易被發(fā)現(xiàn)，進(jìn)而也就決定了云計(jì)算訪問控制要實(shí)現(xiàn)實(shí)體授權(quán)到虛擬資源的過渡。

云計(jì)算訪問控制技術(shù)的應(yīng)用方法

通過權(quán)限屬性所具有的動(dòng)態(tài)化特征實(shí)現(xiàn)對(duì)云計(jì)算訪問控制技術(shù)的應(yīng)用。在當(dāng)前的云計(jì)算環(huán)境中，特別是具有公有性質(zhì)的云環(huán)境中，因有著巨大的云用戶量，所以也就不能夠確定云資源方面的需求，同時(shí)要根據(jù)其呈現(xiàn)出的應(yīng)用狀態(tài)予以實(shí)時(shí)的動(dòng)態(tài)調(diào)整，這在一定程度上也就要求了云用戶在權(quán)限方面的授予和取消呈現(xiàn)的是一種動(dòng)態(tài)的變化。要想更好的適應(yīng)這種變化，具需要做到以角色為基礎(chǔ)、以信任為基礎(chǔ)、以屬性為基礎(chǔ)等多種具有擴(kuò)展性能的且具有相對(duì)較好的訪問控制模型，并對(duì)其予以適當(dāng)?shù)恼{(diào)整予以改進(jìn)，使其能夠在調(diào)整權(quán)限的方面具有一定的動(dòng)態(tài)性。

采用面向虛擬化以及多租戶的云計(jì)算訪問控制技術(shù)。我們所說的云計(jì)算主要是以虛擬化的技術(shù)來作為計(jì)算模式的基礎(chǔ)的，這種虛擬化的技術(shù)在一定程度上有著較強(qiáng)的隔離性能。除此之外，云計(jì)算所呈現(xiàn)的模式是一種多租戶的形式，這種形式主要是將多個(gè)租戶采用一定的虛擬技術(shù)將其發(fā)那個(gè)在一個(gè)物理宿主機(jī)上，其有著極大的可能性來實(shí)現(xiàn)攻擊行為。截至到目前，針對(duì)此方面的訪問控制的研究主要是運(yùn)用hypervisor這一技術(shù)實(shí)現(xiàn)的。

面向多域的云計(jì)算訪問控制技術(shù)。在云計(jì)算的環(huán)境中，其立足于各個(gè)自治域，并以此為基礎(chǔ)構(gòu)成虛擬組織，同時(shí)用戶和資源所處的自治域也大不相同。在自治域中往往都是采用具有獨(dú)立性質(zhì)的訪問控制方法，并在同一時(shí)間段內(nèi)域間也能夠?qū)崿F(xiàn)對(duì)資源的相互訪問這一追求，因此這也就要求了能夠用對(duì)應(yīng)的訪問控制模型來對(duì)不同的域間實(shí)現(xiàn)更好的協(xié)調(diào)以及管理。這種多域的云計(jì)算控制技術(shù)一般情況下都是在以信任為基礎(chǔ)和以屬性為基礎(chǔ)的訪問控制模型下演變過來的。

云計(jì)算自身所具有的復(fù)雜性在一定程度上為訪問控制技術(shù)帶來了難度，但是于此同時(shí)面向多域的云計(jì)算訪問控制技術(shù)在研究和設(shè)計(jì)模型方面還有很大的發(fā)展空間。所以立足于傳統(tǒng)訪問控制模型為基礎(chǔ)的改善后的云計(jì)算訪問控制技術(shù)更合理有效的解決了這一過程中所存在的問題。除此之外，要想更好的適應(yīng)云計(jì)算的發(fā)展，還要予以動(dòng)態(tài)授權(quán)方面、虛擬化方面更多的創(chuàng)新發(fā)展。

結(jié)語(yǔ)

云計(jì)算訪問控制技術(shù)問題在其安全領(lǐng)域是亟待解決的問題，因?yàn)樵朴?jì)算訪問控制技術(shù)從某種意義上講能夠更好地保護(hù)云計(jì)算資源不受侵害，在云計(jì)算的安全防護(hù)中也能夠得到更廣泛的應(yīng)用。當(dāng)前國(guó)內(nèi)的一些對(duì)云計(jì)算訪問控制技術(shù)運(yùn)用的研究還處于探索發(fā)展階段，因此在未來的發(fā)展過程中還需要對(duì)其予以更近一步的分析，對(duì)云計(jì)算訪問控制模型的設(shè)計(jì)方面以及訪問控制技術(shù)方面所具有的安全性能都能夠予以更為深刻的研究。

云南國(guó)土資源職業(yè)學(xué)院）