劉素嬌

摘 要：訪問控制是保證信息安全領(lǐng)域的重要技術(shù)和安全保障，一方面保證用戶的合法訪問，另外一方面拒絕合法用戶的越權(quán)操作。面對(duì)紛繁復(fù)雜而又龐大的云平臺(tái)來說，其訪問控制機(jī)制應(yīng)該是多級(jí)化安全策略的、動(dòng)態(tài)的、自適應(yīng)的、具備細(xì)粒度的訪問控制和對(duì)象化管理等多個(gè)特征，因此云的安全控制策略應(yīng)該是合成的、綜合性的訪問控制機(jī)制，才能保證云端數(shù)據(jù)的安全。

關(guān)鍵詞：云 訪問控制 控制策略

中圖分類號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1003-9082（2018）06-000-01

一、訪問控制機(jī)制

目前的訪問控制機(jī)制主要有傳統(tǒng)的訪問控制機(jī)制、基于角色的訪問控制機(jī)制和基于信任的訪問控制機(jī)制。傳統(tǒng)訪問控制機(jī)制又可以分為自主訪問控制機(jī)制和強(qiáng)制訪問控制機(jī)制（如軍方）。

二、自主訪問控制技術(shù)

自主訪問控制機(jī)制中自主性主要是指客體所有者依據(jù)對(duì)安全策略的正確理解或意愿可以將對(duì)客體的訪問權(quán)限授予其他用戶、撤銷或收回，授權(quán)用戶也可以將權(quán)限轉(zhuǎn)移給其他用戶。自主訪問控制是一種靈活的數(shù)據(jù)訪問形式，應(yīng)用環(huán)境比較廣泛，如商業(yè)系統(tǒng)。但其安全性不高，隨著資源訪問權(quán)限的用戶轉(zhuǎn)移和權(quán)限的傳遞，有可能造成被非法用戶繞過從而安全性被削弱，并且權(quán)限管理比較復(fù)雜，不利于統(tǒng)一管理，不適用于對(duì)安全性要求高的復(fù)雜網(wǎng)絡(luò)。

三、強(qiáng)制訪問控制技術(shù)

強(qiáng)制訪問控制是一種多級(jí)安全的強(qiáng)制控制策略，特點(diǎn)是主客體的安全等級(jí)是分離的，由授權(quán)機(jī)構(gòu)或系統(tǒng)管理員分配主體屬性的可信級(jí)別和客體屬性的信息敏感度。用戶不能改變主體的可信級(jí)別、訪問權(quán)限和客體資源的安全級(jí)別，這些安全級(jí)別是預(yù)先強(qiáng)制分配的。不同用戶級(jí)別的用戶依據(jù)擁有的權(quán)限按照資源的安全級(jí)別進(jìn)行訪問。強(qiáng)制訪問控制實(shí)行對(duì)權(quán)限實(shí)行嚴(yán)格集中控制，主要適用于對(duì)安全級(jí)別要求高的環(huán)境，如軍方。強(qiáng)制訪問控制由于管理過于嚴(yán)格和集中，使得管理工作量巨大、不靈活，不太適用于用戶數(shù)量多、資源種類多的通用或大型系統(tǒng)。

四、基于角色的訪問控制

基于角色的訪問控制主要引進(jìn)了角色的概念。角色是用戶和權(quán)限之間的代理層，代表著他們之間的訪問權(quán)限關(guān)系。通過對(duì)角色的授予訪問權(quán)限來代替對(duì)用戶或組的授權(quán)。基于角色的訪問控制依據(jù)用戶在系統(tǒng)中扮演的角色，按照相應(yīng)的角色權(quán)限執(zhí)行相應(yīng)的資源操作，方便管理，同時(shí)按照最小特權(quán)的標(biāo)準(zhǔn)，用戶擁有了執(zhí)行特定任務(wù)的權(quán)限，又不至于權(quán)限過大而削弱系統(tǒng)的安全性。基于角色的訪問控制機(jī)制通過靜態(tài)的對(duì)角色賦予權(quán)限，用戶獲得相應(yīng)的角色后具有了相應(yīng)的資源訪問權(quán)限，這種機(jī)制動(dòng)態(tài)性比較差，執(zhí)行效率不高，另外有關(guān)角色模型和算法很多都處于研究階段，真正運(yùn)用到實(shí)踐中還比較困難[1]。

以上介紹的三種控制機(jī)制比較適用于封閉的網(wǎng)絡(luò)環(huán)境，由于云環(huán)境下的實(shí)體的頻繁交互和資源的不確定性，傳統(tǒng)的訪問控制不能保證用戶獲得的資源是真實(shí)安全的以及被細(xì)粒度授權(quán)。客體身份的合法性和服務(wù)者提供者所提供資源的安全性都是傳統(tǒng)訪問控制機(jī)制面臨的挑戰(zhàn)。云計(jì)算是面向多用戶和跨域訪問問題，使得只依靠傳統(tǒng)訪問機(jī)制是不能保證系統(tǒng)安全最大化需求的。一個(gè)系統(tǒng)的安全策略機(jī)制是多種訪問控制機(jī)制或多種控制策略的綜合使用。

五、云的訪問控制

1.云數(shù)據(jù)訪問控制面臨的問題

由于云計(jì)算及云存儲(chǔ)的開放性、數(shù)據(jù)的托管狀態(tài)、數(shù)據(jù)安全的多極化管理等特點(diǎn)，使得云數(shù)據(jù)安全面臨必須要解決云端資源的安全性、用戶的合法性、用戶的合法性操作以及數(shù)據(jù)的隱私安全等問題。要解決以上問題，云訪問控制研究除了需要確保云端資源、服務(wù)被合法的用戶所獲取并使用之外，同時(shí)需要兼顧隱私保護(hù)、安全創(chuàng)建、可信自毀等問題。因此，云端數(shù)據(jù)訪問控制面臨的挑戰(zhàn)主要體現(xiàn)在如下幾個(gè)方面：

1.1數(shù)據(jù)的可用性，體現(xiàn)在用戶可以隨時(shí)隨地以各種型號(hào)的終端設(shè)備、不同的訪問方式訪問云資源，這在方便用戶使用云資源的同時(shí)，也使得資源的訪問具有隨機(jī)性和不可控的問題。另外云數(shù)據(jù)的多要素化、安全管理的多極化特點(diǎn)，即云訪問控制需要解決多要素和多級(jí)管理的問題。

1.2云數(shù)據(jù)種類的多樣化：云數(shù)據(jù)種類繁多，包含了圖形圖像、音視頻、文本等。有些資源要求具備細(xì)粒度的訪問控制及資源訪問控制權(quán)限的對(duì)象化管理。一般情況下數(shù)據(jù)先進(jìn)行加密然后上傳到云端；同時(shí)數(shù)據(jù)的創(chuàng)建應(yīng)與訪問控制條件及權(quán)限的細(xì)粒度描述相結(jié)合。

1.3訪問策略應(yīng)該是動(dòng)態(tài)的、多變的，應(yīng)與資源的生命周期（創(chuàng)建、傳輸、訪問及使用、銷毀）相結(jié)合，資源處于不同生命周期的階段所對(duì)應(yīng)的訪問控制策略、訪問權(quán)限、面向的用戶是不同的。用戶訪問的隨機(jī)性、多要素與多級(jí)管理相結(jié)合，要求云計(jì)算的訪問控制策略應(yīng)具備結(jié)合數(shù)據(jù)的生命周期并具有動(dòng)態(tài)自適應(yīng)的特點(diǎn)[2]。

1.4由于云環(huán)境的開放性和共享性，使得每個(gè)云應(yīng)用都有一定的安全管理域，每個(gè)安全域管理著自己的資源和用戶。當(dāng)用戶進(jìn)行跨域訪問資源時(shí)，必須進(jìn)行域邊界的認(rèn)證服務(wù)，有必要對(duì)用戶進(jìn)行統(tǒng)一身份認(rèn)證管理。在進(jìn)行跨域的資源訪問中，由于每個(gè)安全管理域都有適合自己的訪問控制策略，對(duì)資源的跨域共享和保護(hù)時(shí)應(yīng)遵循一個(gè)公共的、雙方都認(rèn)同的安全策略。所以云安全的訪問控制策略應(yīng)該是多個(gè)策略的合成，合成的新策略既要保障自身的安全性又不能違背又要集成原來每個(gè)安全管理域的訪問控制策略[3]。

1.5用戶和云服務(wù)提供商之間的不信任：用戶把數(shù)據(jù)交給云服務(wù)商進(jìn)行管理，擁有權(quán)和管理權(quán)已經(jīng)分離，用戶和服務(wù)器不在同一可信區(qū)域。用戶以租戶的形式對(duì)服務(wù)器進(jìn)行訪問，用戶對(duì)云服務(wù)提供商（服務(wù)器）不是完全信任或者數(shù)據(jù)的安全性對(duì)于用戶來說是不可控的，用戶數(shù)據(jù)有可能被內(nèi)部員工非法泄露、篡改和竊取。另外用戶在獲得合法身份后做的非法操作或發(fā)起的攻擊和破壞行為都將對(duì)云平臺(tái)造成嚴(yán)重威脅。對(duì)于云的訪問控制有必要引入信任機(jī)制的概念，以增強(qiáng)云的安全性、可靠性。

綜合以上云訪問控制的要求，云訪問控制機(jī)制應(yīng)是多級(jí)化安全策略、動(dòng)態(tài)的、自適應(yīng)的、具備細(xì)粒度的訪問控制和對(duì)象化管理等多個(gè)特征，因此云的安全控制策略應(yīng)該是合成的、綜合性的訪問控制機(jī)制，只有這樣才能保證云端數(shù)據(jù)的安全。

六、云訪問控制機(jī)制

面對(duì)云環(huán)境的開放性和共享性，使得傳統(tǒng)的安全控制策略已不能解決云安全面臨的問題，目前云訪問控制面臨的關(guān)鍵問題是，怎樣把多種傳統(tǒng)控制機(jī)制和各種安全控制授權(quán)策略語言標(biāo)準(zhǔn)擴(kuò)展后運(yùn)用到云環(huán)境中。對(duì)于云的訪問控制機(jī)制，學(xué)術(shù)界主要從以下幾個(gè)方面進(jìn)行研究：基于身份的、基于屬性的、基于加密的、多級(jí)安全以及面向分布式和跨域的等。

基于身份的云訪問控制機(jī)制在保證云安全的同時(shí)，主要解決分布式開放網(wǎng)絡(luò)中細(xì)粒度的訪問，但隨著云平臺(tái)的發(fā)展和混合訪問控制的整合勢(shì)必對(duì)基于身份的訪問控制帶來新的挑戰(zhàn)?；趯傩缘氖窃诨谏矸莸脑L問控制的基礎(chǔ)上的進(jìn)一步延伸和發(fā)展，在保證已有優(yōu)勢(shì)的同時(shí)，還能解決不同云場(chǎng)景下的訪問控制機(jī)制，有很重要的理論和研究意義[4]。

密碼學(xué)通過指定算法和密鑰對(duì)數(shù)據(jù)進(jìn)行加密處理實(shí)現(xiàn)數(shù)據(jù)機(jī)密性的保護(hù)，通過加密的數(shù)據(jù)以密文的形式保存在云服務(wù)器中能夠與基于策略的訪問控制機(jī)制實(shí)現(xiàn)互補(bǔ)。基于密碼算法的訪問控制機(jī)制應(yīng)運(yùn)而生。

多級(jí)安全訪問控制機(jī)制目前研究的有基于行為的多級(jí)安全訪問控制模型，主要解決的是上下文的信息中時(shí)間狀態(tài)和環(huán)境狀態(tài)（空間狀態(tài)）等的缺失?？梢詫鹘y(tǒng)的安全訪問控制（自主安全控制和強(qiáng)制安全控制機(jī)制）模型與ABAC（基于行為的）訪問控制模型相結(jié)合，并定義了模型中行為的多級(jí)安全屬性；對(duì)于用戶權(quán)限隨時(shí)隨地有可能發(fā)生變化的動(dòng)態(tài)伸縮需求，將用戶的讀寫請(qǐng)求進(jìn)行安全細(xì)化，定義了行為的讀、寫安全級(jí)別，通過行為屬性映射函數(shù)實(shí)現(xiàn)主體在特定時(shí)空狀態(tài)下訪問請(qǐng)求行為的安全屬性獲取，并定義了安全規(guī)則，從而保證動(dòng)態(tài)調(diào)整的時(shí)空要求；基于行為的多級(jí)安全訪問控制模型比傳統(tǒng)的BLP具有更強(qiáng)的靈活性和時(shí)空特征。

在面向分布式和域的訪問控制模型中，在分布式系統(tǒng)中有多個(gè)域，每個(gè)域都有客戶、服務(wù)器、域安全管理器和外域安全管理器。協(xié)同工作和跨域訪問更是分布式系統(tǒng)中常見的操作和重要特征。因此基于此模型，出現(xiàn)了分布式基于角色的訪問控制模型、基于域的訪問控制模型和使用控制模型來解決多域間的訪問和分散管理者之間協(xié)同工作的問題[5]。

參考文獻(xiàn)

[1]樊超.云計(jì)算環(huán)境下基于標(biāo)識(shí)的用戶身份認(rèn)證技術(shù)研究[D].州.廣東工業(yè)大學(xué).2014.24-28.

[2]蘇铓.面向云計(jì)算的訪問控制技術(shù)研究. [D].西安.安電子科技大學(xué).2014.21-22

[3]馮登國(guó)，張敏，張妍等.云計(jì)算安全研究[J].軟件學(xué)報(bào). 2011，22（1）：78-82.

[4]涂山山.云計(jì)算環(huán)境中訪問控制的機(jī)制和關(guān)鍵技術(shù)研究[D].北京.北京郵電大學(xué)，2014： 47-55.

[5]蘇铓.面向云計(jì)算的訪問控制技術(shù)研究. [D].西安.安電子科技大學(xué).2014.23-24