鄭永芹 廣州城建職業(yè)學院

近幾年，云計算技術的出現(xiàn)，已經(jīng)改變了傳統(tǒng)信息存儲的方式，將網(wǎng)絡資源進行整合，形成海量的模擬存儲空間。用戶通過使用云計算首先會支付一筆費用，這樣有利于用戶在云服務使用中獲得更多的資源，僅僅需要少量的管理操作就可以得到想要的服務。因為用戶資源都是存儲在云端，就會存在一定的安全問題。因此，在使用過程中，應該對數(shù)據(jù)信息進行有效的安全監(jiān)控，在逐漸的研究中，訪問控制信息安全技術是最新研制的技術，可以保證信息的安全性與完整性，保證信息不會被泄密。傳統(tǒng)訪問控制的方法，存在很多不同的模型，基于云計算環(huán)境背景下需要提出更高的安全問題，需要對傳統(tǒng)的方法進行調(diào)整與更新。

一、云計算訪問控制研究現(xiàn)狀分析

訪問控制就是主體對客體訪問權限的控制度，主體在授權之后就可以讓客體進行訪問，進而獲得訪問權限，從而取得客體的基本信息內(nèi)容。目前，在市面上使用最多的技術就是基本訪問控制技術，其中最主要的特點就是利用角色的方式獲得權限內(nèi)容，角色存在不同點其中具有的權限也不相同，這樣給用戶賦予的角色也存在一定的不同，這樣的方式就會改變用戶的權限，但是這個環(huán)節(jié)中，約束條件的類型存在固定狀態(tài)同時數(shù)量也有限，不能根據(jù)實際環(huán)境情況給出相對應的策略，導致整個系統(tǒng)的安全性存在一定的問題，防御能力不強。

每一個單數(shù)據(jù)中心內(nèi)部的數(shù)據(jù)訪問刨除在外，多個數(shù)據(jù)中心都會存在大量的數(shù)據(jù)訪問需求，這些數(shù)據(jù)中心會按照區(qū)域情況進行詳細部署，導致上級數(shù)據(jù)中心與下級數(shù)據(jù)中心進行大量的信息通信功能。應該怎樣保證多個數(shù)據(jù)中心之間數(shù)控訪問的安全性，是目前系統(tǒng)運行中需要解決的問題。

二、認證角度解析授權訪問的方法

在多級數(shù)控中心之間的數(shù)控訪問中，為了提升安全保障工作，提出了一種需要身份認證的授權方法，詳細的流程如圖一所示。

在使用過程中，用戶通過客戶端將訪問請求發(fā)送到距離最近的下級數(shù)控中心，下級數(shù)據(jù)中心會受到用戶的訪問信息與請求，會進入到消息總線環(huán)節(jié)，然后傳遞給訪問控制模塊，這個模塊會開展工作，尋找角色-權限數(shù)據(jù)庫的信息，進而判斷該用戶是否可以訪問上級數(shù)據(jù)中心，審核之后將結果發(fā)送到消息總線。

如果這個用戶具有相對應的權限，消息總線都會收到信息提醒，將用戶具有的訪問權限發(fā)送到角色模板中，處理角色分派模塊，這時需要將訪問請求的消息重新規(guī)劃成為角色請求消息，將這個消息發(fā)送到最近的上級數(shù)據(jù)中心，當上級數(shù)據(jù)中心接收到這個消息之后，消息中心會給出一個結論，將處理結果發(fā)送給授權訪問控制模塊，進而進行全面的驗證工作。

當授權訪問控制模塊接收到請求之后，會根據(jù)數(shù)據(jù)庫中驗證的方法進行身份驗證。當驗證通過之后，證書服務器會結合上級數(shù)據(jù)中心頒發(fā)的證書內(nèi)容給出相對應的評價，進而獲取該用戶需要訪問的角色內(nèi)容，將這些信息記錄到一張臨時證書上面。之后在由證書服務器進行簽名工作，在上面覆蓋上自己的信息，最后將這個制作好的臨時證書給用戶發(fā)送過去。

在用戶收到臨時證書之后，會向一級數(shù)據(jù)中心提交帶有臨時證書的訪問請求，在以及數(shù)控中心接受到信息請求之后，需要用密碼進行解密，需要判定中心服務器中是否帶有固定的簽名，如果用戶身份信息認證通過之后，用戶就具有訪問以及數(shù)據(jù)中心的權限，進而獲取更多的數(shù)據(jù)與信息。

在圖一中顯示的授權有效區(qū)域就是一個存在的概念問題，通過這個標準確定臨時證書的有效范圍，在一級數(shù)據(jù)中心中可以修改或者通過撤資的方式授權有效區(qū)域。

三、云計算中訪問控制方法的優(yōu)缺點

云計算技術應用之后，已經(jīng)打破了傳統(tǒng)物理邊界的限制問題，構成一個虛擬的資源圣地，通過共享的方式提供給租戶，不存在物理的區(qū)分，通過邏輯分析方式劃分實現(xiàn)管理工作，這樣的特點導致云計算系統(tǒng)在安全問題上存在很大的復雜性。根據(jù)上述背景描述下，云計算的訪問控制環(huán)節(jié)需要注意幾個關鍵問題，第一，訪問控制模型需要適應環(huán)節(jié)的變化狀態(tài)。第二，管理制度需要具有跨越式的差異性，保證每一個邏輯區(qū)域都制定符合自己的控制策略，將訪問控制策略進行有效地協(xié)調(diào)。第三，提供發(fā)現(xiàn)安全漏洞的制度，降低區(qū)域間的安全風險問題。以下內(nèi)容是對系統(tǒng)訪問控制的優(yōu)缺點進行分析，進而彌補云計算實施的不足之處。

(一）自主訪問控制

自主訪問控制模型在應用中比較靈活，針對相同的一個客體，可以讓不同的主體進行訪問權限的審核，主體可以自主管理客體的權限，進而將這種權限轉給其他主體。正是因為這種靈活的自主性，導致權限管理過程缺少嚴格性，出現(xiàn)權限轉移的情況，嚴重降低資源的保護能力，在訪問過程中可能會遭到木馬的攻擊。云計算環(huán)境下，自主訪問控制具有靈活的特點，單這一點是不夠的，權限在轉移過程中，無法保證其他用戶的合法性，在虛擬資源中，如果非常重要的信息資源讓非法用戶共享了，就會造成很大的安全事故，另外，自主訪問控制不適合云環(huán)境的動態(tài)效果。

(二）強制訪問控制

在強制訪問過程中，會給訪問主體與客體分別標注不同種類的安全特性，系統(tǒng)會針對主體與客體的安全屬性，進而決定主體與客體的訪問權限。這種訪問控制模式，將信息單向的流動性進行控制，阻止一些未通過授權用戶的進入，可以實現(xiàn)安全系統(tǒng)的全新模式，例如軍隊中經(jīng)常會使用這樣的訪問控制方法。但是這種方法的使用缺少必要的靈活性，安全屬性不容易分配，因此在訪問過程中不會進行輕易的改變，此外，在安全管理過程中，不適合使用這種分布的方式。

(三）基于云計算環(huán)境下的改進模型

云計算環(huán)境背景下，對傳統(tǒng)的訪問模式進行一定的完善，會客服其中的不足，符合云計算的安全要求。服務端通過對客戶的分析進行角色分配，在分配過程中采取權限分類過程，進而提出云計算的任務內(nèi)容就是角色模型，將傳統(tǒng)的模型進行改進與完善，改善客體特征中存在的不足之處，大大提升客體的訪問效率。

四、結論

綜上所述，云計算的方式改變了傳統(tǒng)信息架構模式，對信息發(fā)展來說是一項深刻的變革方式，給行業(yè)發(fā)展帶來巨大的商業(yè)利益與效果，其中安全問題已經(jīng)成為阻礙他們發(fā)展的唯一難題。云計算中的訪問控制研究技術在大環(huán)境背景下實施，需要作出必要的改進，進而需要適應云計算環(huán)境的生存特點，制定出更多的安全閥訪問方式，保證云端數(shù)據(jù)信息的安全。