摘 要：進入新時期后，云計算發(fā)展迅速，但同時暴露出來了嚴重的云安全問題.而訪問技術(shù)是云安全問題的關(guān)鍵，通過訪問控制技術(shù)的實施，可以有效限制用戶訪問數(shù)據(jù)，促使信息資源使用合法性得到保證.本文簡要分析了云計算訪問控制技術(shù)，希望能夠提供一些有價值的參考意見.

關(guān)鍵詞：云計算;訪問控制技術(shù);研究綜述

中圖分類號：TP393.08? 文獻標識碼：A? 文章編號：1673-260X（2019）10-0038-03

在云計算發(fā)展中，非常重要的一個問題是訪問控制.如果向云服務(wù)提供商外包數(shù)據(jù)處理、數(shù)據(jù)存儲等工作，那么數(shù)據(jù)所有者就無法有效掌控數(shù)據(jù)，這樣云服務(wù)提供商就很容易非法訪問數(shù)據(jù).此外，研究發(fā)現(xiàn)，在云計算中經(jīng)常使用到虛擬化和多租戶技術(shù)，以便達到動態(tài)伸縮資源的目的.但是，在虛擬化技術(shù)的支持下，很多用戶可以對硬件資源進行共享，也就是在一張數(shù)據(jù)表上存儲不同的用戶數(shù)據(jù)，僅僅借助于標簽進行隔離，在這種情況下，很容易有非法訪問出現(xiàn).如何應(yīng)對這些問題，就要深入了解當前訪問控制技術(shù)的核心，才能做到最大化的精準控制[1].

1 云計算訪問控制技術(shù)概述

訪問控制技術(shù)于20世紀70年代出現(xiàn)，其主要目標是滿足主服務(wù)器上的數(shù)據(jù)訪問授權(quán)需求，通過有效辨別訪問者的身份，來對訪問者數(shù)據(jù)訪問區(qū)域進行限定，以此來保密重要數(shù)據(jù)，避免主服務(wù)器的正常運行受到非法入侵的不良影響.是對主體訪問課題的能力或權(quán)限的限制，主要包括物理的訪問控制、邏輯的訪問控制和管理的訪問控制.經(jīng)過不斷發(fā)展，傳統(tǒng)訪問控制技術(shù)逐步發(fā)展為自主訪問控制、強制訪問控制、角色訪問控制等多種類型.同時隨著信息技術(shù)的發(fā)展，云計算技術(shù)的內(nèi)存虛擬化、內(nèi)存熱遷移、CPU虛擬化和CPU熱遷移技術(shù)的個性，最大化、最高效化的利用有限資源，從根本上提高資源的利用率包括硬件資源、軟件資源以及數(shù)據(jù)資源[2].

2 云計算時代下計算和存儲模式的變化

調(diào)查研究發(fā)現(xiàn)，進入云計算時代后，在較大程度上改變了存儲模式和計算模式，區(qū)塊鏈通過將點對點傳輸、分布式數(shù)據(jù)存儲、共識機制、加密算法等技術(shù)進行集成，具有不可篡改、可追溯、去中心化等特性，這些特性使得區(qū)塊鏈非常適合用于對可信數(shù)據(jù)進行存儲和共享，以及分布式存儲的使用IPScan、Nas盤、磁盤陣列的使用，提供了大容量、高速度、高效率的存儲服務(wù)[3].具體來講，可以從這些方面進行分析：首先，用戶無法對資源有效控制;用戶、云平臺之間的信任不夠.其次，先進技術(shù)的運用，改變了數(shù)據(jù)安全域.再次，通過多租戶技術(shù)的運用，對訪問主體進行了重新界定.最后，虛擬化技術(shù)的運用，導(dǎo)致數(shù)據(jù)資料很容易被同一物理設(shè)備所竊取.在這種情況下，就需要深入研究訪問控制技術(shù)，保護云計算環(huán)境下的數(shù)據(jù)安全.

3 云計算環(huán)境下訪問控制面臨的問題

調(diào)查發(fā)現(xiàn)，在過去的計算機模式下，通常在企業(yè)內(nèi)部部署信息系統(tǒng)的軟件和硬件，企業(yè)信息系統(tǒng)管理人員控制著內(nèi)部網(wǎng)絡(luò)，且能對內(nèi)部所有IT資源有效控制.而如果在云端上放置業(yè)務(wù)，那么就會在更大的域中存儲信息系統(tǒng)各項業(yè)務(wù)，同時多租戶、多系統(tǒng)、多資源共享，高并發(fā)的使用有限資源來提高資源利用率，從而節(jié)省成本，這無形為控制帶來了很大的壓力，因為這些系統(tǒng)往往要在同一系統(tǒng)或者同一硬盤或者其他硬件資源上運行，相互交錯的情況是非常多的，例如內(nèi)存復(fù)用技術(shù)中的內(nèi)存氣泡、內(nèi)存虛擬化等技術(shù)的使用.在這種情況下，企業(yè)只能夠?qū)Σ豢尚庞虿糠挚刂?，無法有效控制云域，在訪問控制過程中很容易出現(xiàn)問題.一旦出現(xiàn)問題將會造成不可挽回的損失.在云計算相關(guān)研究中，數(shù)據(jù)安全訪問控制技術(shù)是極具挑戰(zhàn)性的問題.為保護個人數(shù)據(jù)的安全，可通過數(shù)據(jù)密鑰應(yīng)對相關(guān)問題.具體而言，基于對稱加密、非對稱加密等方面的密文檢索方法被提出，這些技術(shù)的應(yīng)用保證了數(shù)據(jù)的私密性，使數(shù)據(jù)以密文形式存儲于云端，又不影響密文的檢索和計算.控信任域的消失和多租戶環(huán)境的出現(xiàn)，導(dǎo)致云計算環(huán)境下訪問控制在諸多關(guān)鍵技術(shù)上都面臨新的嚴峻挑戰(zhàn).該文從身份供應(yīng)、身份認證、訪問控制、身份聯(lián)合和單點登錄等各個方面[4].

3.1 身份供應(yīng)

在過去的模式下，企業(yè)內(nèi)部用戶身份信息由企業(yè)內(nèi)部人員所供應(yīng)，本過程不超出系統(tǒng)可信任邊界，因此可以較為便捷的實現(xiàn)身份供應(yīng).即傳統(tǒng)注入式的用戶認證信息，基本保障的用戶隱私的控制，其中包含云實體集合、信任、信任條件、安全域內(nèi)信任度、信任評估值、服務(wù)滿意度、直接信任度、跨安全域信任度等.以信任條件為例，當某實體信任度滿足某一信任條件時，實體信任另一實體，反之不信任.信任條件通常為設(shè)定的信任閾值，當信任度大于或等于閾值時信任，反之不信任.而如果引入了云服務(wù)，就會增加不同域身份供應(yīng)的難度，多用戶共存的情況，引入數(shù)據(jù)庫角色存儲和權(quán)限問題，無形中增加了隱患.如果身份供應(yīng)同時由云域和企業(yè)域共同提供，那么就無法實現(xiàn)身份信息同步;而如果身份信息由云所提供，這樣就很容易出現(xiàn)用戶數(shù)據(jù)被非法訪問的問題.因為云環(huán)境在身份供應(yīng)中采用的方式為自主供應(yīng)，這樣就很容易泄露用戶隱私信息.

3.2 認證

過去在認證中，通常將用戶名和口令的方式運用過來.實踐研究表明，本種方式的安全性不夠，可信域內(nèi)部容易出現(xiàn)威脅.系統(tǒng)均在可信任邊界內(nèi)工作，具有一定的安全性，但是如果將終端設(shè)備接入進來，安全性就得不到保證.針對這種情況，需要將安全性更高的多因子認證方式運用過來，且根據(jù)安全級別的差異，將不同力度的認證方式運用過來，例如企業(yè)認證雖然沒有后續(xù)聯(lián)網(wǎng)認證，但也防范了某些行為，身份證的實名認證體系、手機認證體系、微信認證體系、郵箱認證體系、人像識別認證體系、指紋認證體系、語音認證體系等新形勢下層數(shù)不窮的認證體系.但是在系統(tǒng)內(nèi)部引入云服務(wù)后，為了保護隱私，大部分企業(yè)不會將用戶基本身份信息提供給云服務(wù)提供商，那么用戶身份就無法被云計算供應(yīng)商所確認，由購買云服務(wù)的企業(yè)開展認證服務(wù)，這樣在用戶身份認證時，就會有一系列問題出現(xiàn).

3.3 訪問授權(quán)

屬性授權(quán)管理機構(gòu)或云服務(wù)提供商的安全性需創(chuàng)設(shè)要以param為輸入的模擬器算法CSimS2P，KeyGen和模擬對手，CSimS2P調(diào)用對手系數(shù)，輸入安全雙方計算模擬器獲取結(jié)果.若對手判斷與其交互的是模擬器，則可以判斷對手輸入的數(shù)據(jù)不是真實的，違反了安全協(xié)議.要想促使訪問授權(quán)的目的得到實現(xiàn)，就需要對訪問控制模型合理選擇，但是因為云計算的局限性，部分模型無法有效應(yīng)用.在這種情況下，就需要充分考慮哪種訪問控制模型可以運用到云環(huán)境中，云服務(wù)提供商應(yīng)該對訪問控制模型如何選擇等.在具體實踐中，如果將策略決定點、執(zhí)行點布置于云端或云服務(wù)提供商處，這樣就需要同步云端用戶信息和其他企業(yè)信息，實現(xiàn)難度較大.但是如果無法實現(xiàn)，就會影響到正常的訪問授權(quán).而如果將執(zhí)行點布置于云端，雖然信息遠程同步的問題得到了有效解決，但是卻分離了授權(quán)和應(yīng)用，出現(xiàn)了新的問題.

3.4 身份聯(lián)合

研究發(fā)現(xiàn)，在云環(huán)境下，服務(wù)訪問的實現(xiàn)涉及的域較多，且不同的域在認證方式、身份供應(yīng)方式等方面存在著較大的差異，不同域需要不同的訪問控制方式，這樣就需要對身份管理、訪問控制的方式進行統(tǒng)一，否則系統(tǒng)不兼容問題就很容易出現(xiàn)，影響到用戶訪問.基于這種情況，需要深入研究身份聯(lián)合技術(shù).目前，云環(huán)境下的身份標準還沒有得到統(tǒng)一制定，云服務(wù)提供商、企業(yè)采用不同的標準，那么就在較大程度上增加了身份聯(lián)合的難度.

4 云計算訪問控制技術(shù)的模塊設(shè)計

在研究云計算訪問控制技術(shù)時，需要將諸多方面的因素納入考慮范圍，除了要考慮訪問控制物理資源和虛擬資源，還需要有效保護底層資源，避免不法人員惡意竊取信息流和數(shù)據(jù)等，同時，還需要靈活多樣的設(shè)計訪問控制[5].云計算訪問控制技術(shù)的模塊設(shè)計如圖1所示.

4.1 云身份供應(yīng)

云身份供應(yīng)標準尚未制定出來時，云服務(wù)供應(yīng)商需要積極遵循服務(wù)供應(yīng)標記語言，以此來保證合作企業(yè)之間能夠有效交換用戶信息、資源信息和服務(wù)信息.一般情況下，可以利用兩種方式來實現(xiàn)這個目的：首先是將適用性較強的連接器、適配器等提供給用戶;其次是將SPML網(wǎng)關(guān)提供給用戶.只要支持SPML，那么云服務(wù)供應(yīng)商可以將身份供應(yīng)方面的服務(wù)實時提供給新用戶，云服務(wù)供應(yīng)商借助于SAML令牌，提供新用戶信息，且在信息數(shù)據(jù)庫中添加用戶信息，以便對定制方案中存在的問題有效解決和完善.這樣的做法也只是權(quán)宜之計，從安全本身而言，其不具備統(tǒng)一性和高保密性.

4.2 云認證

因為多租戶技術(shù)的運用，導(dǎo)致需要將強認證方式給運用過來，如果由云端提供強認證，那么認證服務(wù)就需要由云服務(wù)提供商所實施;結(jié)合實際的情況，也可以向云身份供應(yīng)商外包認證服務(wù).如果認證服務(wù)由企業(yè)所提供，那么云服務(wù)供應(yīng)商就要從技術(shù)等多個角度提供支持，促進認證委托等工作的順利開展.借助于開放標準，企業(yè)可以將強認證有效實施下去，或者將云認證服務(wù)內(nèi)置于平臺中.基于云計算的要求，需要企業(yè)提供認證服務(wù).在具體實踐中，相應(yīng)的工作人員在身份認證服務(wù)實施中，可以借助于專用網(wǎng)VPN來實現(xiàn).這樣一來雖然實現(xiàn)了云認證，同時把云計算縮小的一定的范圍內(nèi)，非常不利于后續(xù)云計算的快速發(fā)展.

4.3 云訪問協(xié)議

現(xiàn)階段，自主訪問控制、角色訪問控制、強制訪問控制等是信息系統(tǒng)實施訪問控制的主要模型，具體的有HTTP/HTTPS協(xié)議、RDP協(xié)議、PCoIP協(xié)議、HDⅩ/ICA協(xié)議、SPICE協(xié)議、RFB協(xié)議、Ⅹ協(xié)議及HP RGS等.研究發(fā)現(xiàn)，在自主訪問控制模型中可以有效適用非結(jié)構(gòu)化數(shù)據(jù)，一般情況下，要綜合運用事物處理服務(wù)和角色訪問控制模型[6].

4.4 云身份聯(lián)合

研究發(fā)現(xiàn)，目前有多種方式可以實現(xiàn)身份聯(lián)合，如企業(yè)將身份供應(yīng)機構(gòu)ID構(gòu)建起來，或者專門供應(yīng)商對IDAAS等統(tǒng)一構(gòu)建.需要注意的是，在構(gòu)建云身份聯(lián)合模型時，首先要對身份管理機構(gòu)進行構(gòu)建，且機構(gòu)的權(quán)威性較強;其次，對用戶基本屬性合理確定;最后，要對身份供應(yīng)機構(gòu)合理設(shè)定，且云服務(wù)提供商的訪問需要被有機支持.

5 結(jié)語

綜上所述，在云計算發(fā)展過程中，非常關(guān)鍵的內(nèi)容即為云計算訪問控制，其研究成果會直接影響到我國信息化整體建設(shè)成效.需要注意的是，云計算訪問控制除了要深入研究技術(shù)，還需要結(jié)合實際情況，不斷完善行業(yè)標準，提升其標準化程度.

參考文獻：

〔1〕丁倩，張嫻靜.計算機信息技術(shù)數(shù)據(jù)的安全漏洞及加密技術(shù)研究[J].赤峰學(xué)院學(xué)報（自然科學(xué)版），2019（05）：43-45.

〔2〕陸丹.試論基于云計算的網(wǎng)絡(luò)數(shù)據(jù)容災(zāi)關(guān)鍵技術(shù)[J].電子世界，2019（15）：110-112+116.

〔3〕付盼晴，褚含冰.網(wǎng)絡(luò)安全分析中的大數(shù)據(jù)技術(shù)應(yīng)用[J].赤峰學(xué)院學(xué)報（自然科學(xué)版），2019（03）：54-56.

〔4〕姚迎樂.云計算在高校數(shù)字檔案館管理中的應(yīng)用[J].洛陽師范學(xué)院學(xué)報，2019（8）：34-37.

〔5〕張嫻靜.干擾在電子通信中產(chǎn)生的原因以及相應(yīng)控制措施研究[J].赤峰學(xué)院學(xué)報（自然科學(xué)版），2018（09）：108-109.

〔6〕楊文娟.大數(shù)據(jù)云計算環(huán)境下的數(shù)據(jù)安全[J].電子技術(shù)與軟件工程，2019（15）：187+190.