王金寶

摘 要：進入新時期后，云計算發(fā)展迅速，但同時，也暴露出來了嚴重的云安全問題。而訪問技術(shù)是云安全問題的關(guān)鍵，通過訪問控制技術(shù)的實施，可以有效限制用戶訪問數(shù)據(jù)，促使信息資源使用合法性得到保證。本文簡要分析了云計算訪問控制技術(shù)，希望能夠提供一些有價值的參考意見。

關(guān)鍵詞：云計算;訪問控制技術(shù);研究綜述

在云計算發(fā)展中，非常重要的一個問題是訪問控制。如果向云服務(wù)提供商外包數(shù)據(jù)處理、數(shù)據(jù)存儲等工作，那么數(shù)據(jù)所有者就無法有效掌控數(shù)據(jù)，這樣云服務(wù)提供商就很容易非法訪問數(shù)據(jù)。此外，研究發(fā)現(xiàn)，在云計算中經(jīng)常使用到虛擬化和多租戶技術(shù)，以便達到動態(tài)伸縮資源的目的。但是，在虛擬化技術(shù)的支持下，很多用戶可以對硬件資源進行共享，也就是在一張數(shù)據(jù)表上存儲不同的用戶數(shù)據(jù)，僅僅借助于標簽進行隔離，在這種情況下，很容易有非法訪問出現(xiàn)。

1 云計算訪問控制技術(shù)概述

訪問控制技術(shù)于上個世紀七十年代出現(xiàn)，其主要目標是滿足主服務(wù)器上的數(shù)據(jù)訪問授權(quán)需求，通過有效辨別訪問者的身份，來對訪問者數(shù)據(jù)訪問區(qū)域進行限定，以此來保密重要數(shù)據(jù)，避免主服務(wù)器的正常運行受到非法入侵的不良影響。經(jīng)過不斷發(fā)展，傳統(tǒng)訪問控制技術(shù)逐步發(fā)展為自主訪問控制、強制訪問控制、角色訪問控制等多種類型。

2 云計算時代下計算和存儲模式的變化

調(diào)查研究發(fā)現(xiàn)，進入云計算時代后，在較大程度上改變了存儲模式和計算模式。具體來講，可以從這些方面進行分析：首先，用戶無法對資源有效控制;用戶、云平臺之間的信任不夠。其次，先進技術(shù)的運用，改變了數(shù)據(jù)安全域。再次，通過多租戶技術(shù)的運用，對訪問主體進行了重新界定。最后，虛擬化技術(shù)的運用，導(dǎo)致數(shù)據(jù)資料很容易被同一物理設(shè)備所竊取。在這種情況下，就需要深入研究訪問控制技術(shù)，保護云計算環(huán)境下的數(shù)據(jù)安全。

3 云計算環(huán)境下訪問控制面臨的問題

調(diào)查發(fā)現(xiàn)，在過去的計算機模式下，通常在企業(yè)內(nèi)部部署信息系統(tǒng)的軟件和硬件，企業(yè)信息系統(tǒng)管理人員控制著內(nèi)部網(wǎng)絡(luò)，且能對內(nèi)部所有IT資源有效控制。而如果在云端上放置業(yè)務(wù)，那么就會在更大的域中存儲信息系統(tǒng)各項業(yè)務(wù)。在這種情況下，企業(yè)只能夠?qū)Σ豢尚庞虿糠挚刂?，無法有效控制云域，在訪問控制過程中很容易出現(xiàn)問題。

3.1 身份供應(yīng)

在過去的模式下，企業(yè)內(nèi)部用戶身份信息由企業(yè)內(nèi)部人員所供應(yīng)，本過程不超出系統(tǒng)可信任邊界，因此可以較為便捷的實現(xiàn)身份供應(yīng)。而如果引入了云服務(wù)，就會增加不同域身份供應(yīng)的難度。如果身份供應(yīng)同時由云域和企業(yè)域共同提供，那么就無法實現(xiàn)身份信息同步;而如果身份信息由云所提供，這樣就很容易出現(xiàn)用戶數(shù)據(jù)被非法訪問的問題。因為云環(huán)境在身份供應(yīng)中采用的方式為自主供應(yīng)，這樣就很容易泄露用戶隱私信息。

3.2 認證

過去在認證中，通常將用戶名和口令的方式運用過來。實踐研究表明，本種方式的安全性不夠，可信域內(nèi)部容易出現(xiàn)威脅。系統(tǒng)均在可信任邊界內(nèi)工作，具有一定的安全性，但是如果將終端設(shè)備接入進來，安全性就得不到保證。針對這種情況，需要將安全性更高的多因子認證方式運用過來，且根據(jù)安全級別的差異，將不同力度的認證方式運用過來。在系統(tǒng)內(nèi)部引入云服務(wù)后，為了保護隱私，大部分企業(yè)不會將用戶基本身份信息提供給云服務(wù)提供商，那么用戶身份就無法被云計算供應(yīng)商所確認，由購買云服務(wù)的企業(yè)開展認證服務(wù)，這樣在用戶身份認證時，就會有一系列問題出現(xiàn)。

3.3 訪問授權(quán)

要想促使訪問授權(quán)的目的得到實現(xiàn)，就需要對訪問控制模型合理選擇，但是因為云計算的局限性，部分模型無法有效應(yīng)用。在這種情況下，就需要充分考慮哪種訪問控制模型可以運用到云環(huán)境中，云服務(wù)提供商應(yīng)該對訪問控制模型如何選擇等。在具體實踐中，如果將策略決定點、執(zhí)行點布置于云端或云服務(wù)提供商處，這樣就需要同步云端用戶信息和其他企業(yè)信息，實現(xiàn)難度較大。但是如果無法實現(xiàn)，就會影響到正常的訪問授權(quán)。而如果將執(zhí)行點布置于云端，雖然信息遠程同步的問題得到了有效解決，但是卻分離了授權(quán)和應(yīng)用，出現(xiàn)了新的問題。

3.4 身份聯(lián)合

研究發(fā)現(xiàn)，在云環(huán)境下，服務(wù)訪問的實現(xiàn)涉及到的域較多，且不同的域在認證方式、身份供應(yīng)方式等方面存在著較大的差異，不同域需要不同的訪問控制方式，這樣就需要對身份管理、訪問控制的方式進行統(tǒng)一，否則系統(tǒng)不兼容問題就很容易出現(xiàn)，影響到用戶訪問?；谶@種情況，需要深入研究身份聯(lián)合技術(shù)。目前，云環(huán)境下的身份標準還沒有得到統(tǒng)一制定，云服務(wù)提供商、企業(yè)采用不同的標準，那么就在較大程度上增加了身份聯(lián)合的難度。

4 云計算訪問控制技術(shù)

在研究云計算訪問控制技術(shù)時，需要將諸多方面的因素納入考慮范圍，除了要考慮訪問控制物理資源和虛擬資源，還需要有效保護底層資源，避免不法人員惡意竊取信息流和數(shù)據(jù)等，同時，還需要靈活多樣的設(shè)計訪問控制。

4.1 云身份供應(yīng)

云身份供應(yīng)標準尚未制定出來時，云服務(wù)供應(yīng)商需要積極遵循服務(wù)供應(yīng)標記語言，以此來保證合作企業(yè)之間能夠有效交換用戶信息、資源信息和服務(wù)信息。一般情況下，可以利用兩種方式來實現(xiàn)這個目的：首先是將適用性較強的連接器、適配器等提供給用戶;其次是將SPML網(wǎng)關(guān)提供給用戶。只要支持SPML，那么云服務(wù)供應(yīng)商可以將身份供應(yīng)方面的服務(wù)實時提供給新用戶，云服務(wù)供應(yīng)商借助于SAML令牌，提供新用戶信息，且在信息數(shù)據(jù)庫中添加用戶信息，以便對定制方案中存在的問題有效解決和完善。

4.2 云認證

因為多租戶技術(shù)的運用，導(dǎo)致需要將強認證方式給運用過來，如果由云端提供強認證，那么認證服務(wù)就需要由云服務(wù)提供商所實施;結(jié)合實際的情況，也可以向云身份供應(yīng)商外包認證服務(wù)。如果認證服務(wù)由企業(yè)所提供，那么云服務(wù)供應(yīng)商就要從技術(shù)等多個角度提供支持，促進認證委托等工作的順利開展。借助于開放標準，企業(yè)可以將強認證有效實施下去，或者將云認證服務(wù)內(nèi)置于平臺中?；谠朴嬎愕囊?，需要企業(yè)提供認證服務(wù)。在具體實踐中，相應(yīng)的工作人員在身份認證服務(wù)實施中，可以借助于專用網(wǎng)VPN來實現(xiàn)。

4.3 云訪問協(xié)議

現(xiàn)階段，自主訪問控制、角色訪問控制、強制訪問控制等是信息系統(tǒng)實施訪問控制的主要模型。研究發(fā)現(xiàn)，在自主訪問控制模型中可以有效適用非結(jié)構(gòu)化數(shù)據(jù)，一般情況下，要綜合運用事物處理服務(wù)和角色訪問控制模型。

4.4 云身份聯(lián)合

研究發(fā)現(xiàn)，目前有多種方式可以實現(xiàn)身份聯(lián)合，如企業(yè)將身份供應(yīng)機構(gòu)ID構(gòu)建起來，或者專門供應(yīng)商對IDAAS等統(tǒng)一構(gòu)建。需要注意的是，在構(gòu)建云身份聯(lián)合模型時，首先要對身份管理機構(gòu)進行構(gòu)建，且機構(gòu)的權(quán)威性較強;其次，對用戶基本屬性合理確定;最后，要對身份供應(yīng)機構(gòu)合理設(shè)定，且云服務(wù)提供商的訪問需要被有機支持。

5 結(jié)語

綜上所述，在云計算發(fā)展過程中，非常關(guān)鍵的內(nèi)容即為云計算訪問控制，其研究成果會直接影響到我國信息化整體建設(shè)成效。需要注意的是，云計算訪問控制除了要深入研究技術(shù)，還需要結(jié)合實際情況，不斷完善行業(yè)標準，提升其標準化程度。

參考文獻：

[1]戚斌.云計算訪問控制技術(shù)研究綜述[J].中國新通信，2017，3（10）：123-125.

[2]李亞奇.云計算訪問控制技術(shù)研究綜述[J].信息與電腦，2016，4（11）：88-90.

[3]王子豪.云計算環(huán)境中訪問控制研究綜述[J].電子世界，2016，3（14）：244-245.