云計算訪問控制技術研究

◆龍全波

（貴州電子科技職業學院 貴州 550025）

云計算訪問控制技術研究

◆龍全波

（貴州電子科技職業學院 貴州 550025）

在網絡技術不斷發展的今天，云計算也在飛速發展中。現今，各行各業都普遍認識到云儲存模式的應用。伴隨著互聯網協同工作的提高和信息共享的發展，云存儲的環境也愈發重要。當前云存儲所遇到的主要問題是用戶數量的劇增和資源數量的急劇擴大，在此環境下，異構的訪問控制策略系統不容忽視。所以，在此類情況下，統一協調是訪問控制策略的必要環節，而其中資源的整合以及資源的調節工作便成為重中之重。基于此，本文將以云存儲中訪問控制策略的合成方案為研究目標，探討云存儲中訪問控制技術的發展和規劃。

云存儲；訪問控制；資源整合

0 引言

現階段，云計算已經不再是稀罕名詞，而是任何領域和行業都會接觸的一種技術。云計算的環境安全也受到人們的廣泛關注。云計算的主要作用是將大量的軟件資源、存儲資源和計算機資源集中在一起，從而形成了一個虛擬的IT資源共享平臺，并且它的規模是十分巨大的，還具有共享功能。在云計算發展的同時，云存儲也越來越受到關注，其安全問題也隨之而來。本文對云計算中控制訪問技術進行研究，探討其控制訪問方法。

1 控制訪問原理

1.1 傳統的訪問控制技術

自上世紀70年代以來，各個大型主機系統的共享數據需要共享分析，所以云計算也就隨之產生，起初的目的是為了管理數據授權訪問的權限需要，形成了最初的訪問控制，最初也僅僅只是將用戶身份進行鑒別，然后通過特殊的控制渠道準許用戶進入或限制用戶訪問數據信息，并劃定訪問權限和范圍。這種訪問技術可以很好地防止非法用戶的侵入，防止其破壞現有的信息共享系統和信息組成。這是訪問控制最初的作用：（1）通過訪問控制保護用戶的資源信息，防止非法用戶進入竊取用戶資源、瀏覽用戶信息。（2）在合法用戶間創立一個共享平臺，使受到保護的信息資源能夠讓合法用戶進行訪問。（3）對合法用戶進行權限控制，防止其篡改正常的訪問系統，使非法用戶不擁有授權進行訪問。隨著計算機技術不斷發展，這種控制權限被越來越多地受到應用。

1.2 RBAC96訪問控制模式

基于角色的訪問控制模型來對用戶、角色以及權限三者之間的復雜關系進行了表述，并且可以有效解決傳統訪問控制過程之中所存在的主體難以與特定實體進行靈活捆綁這一問題。該訪問控制模式還能夠有效體現出主體的靈活授權，因此是一種經典的訪問控制模型。此外，RBAC96作為RBAC模型的基礎，之后的所有RBAC模型都是在其基礎上發展而來的。

在RBAC模型之中，授權指的是將這些客體的存取訪問權限在可靠的控制之下連同相關操作一起提供給這些角色所代表的用戶們，而在該控制模型還能夠借助于授權的管理模式，來同時給予一個角色多個權限，而同一權限也可以授予多個角色。隨著近年來我國控制訪問技術的不斷發展，相關研究人員在原有RBAC的基礎上提出了諸多的擴展模型，其中比較常見的有基于任務的訪問控制模型、基于事態模型的云計算訪問控制等等，借助于這些模型都能夠從不同的層面上來有效解決系統中訪問控制的問題，并可以確保整個信息訪問的安全性與可控性。而隨著云計算的不斷發展，這些擴展的訪問控制模型也被廣泛應用于云計算這一環境中，并且也取得了良好的應用效果。

1.3 訪問控制語言的描述

在訪問控制技術的發展以及工程實踐過程中，現階段出現了許多語言能夠對用戶的訪問以及授權管理過程進行高效的描述，這些語言也能夠作為訪問控制理論以及工程實踐之間的橋梁，從而取得至關重要的作用。現階段主要有三種語言能夠對云計算中的訪問控制進行有效描述，其功能也具有一定的差異性，具體如下：

（1）安全斷言標記語言（SAML）：該語言是基于XML的標準，并應用于不同安全與之間的交換認證以及授權數據，SAML標準可以對身份提供者以及服務提供者來提供以下幾個方面的功能：進行認證申明，并且確保用戶已經通過了認證，多應用于單點登錄的過程中；進行屬性申明，并有效表明某一個Subject的屬性；進行授權申明，來確保某一個資源其所需權限。

（2）服務供應標記語言：該語言在基于XML的標準下，進行創建用戶賬號的服務請求以及處理與用戶賬號服務相關的服用請求，其主要目的有兩種：進行自動化IT的合理配置，運用標準化的配置工作，能夠使得封裝配置系統其安全與審計的需求得到有效滿足；實現不同系統之間的可操作性。

（3）可擴展訪問控制標記語言：該語言是基于XML上的一種策略語言以及控制決策請求/響應語言，并且能夠對Web服務進行有效控制訪問，并可以為XACML提供處理復雜策略與幾何規則的功能，因此適用于一些大型云計算平臺的訪問控制工作。

2 云計算環境下訪問控制過程中存在的一些問題

現階段云計算環境在進行訪問控制的過程中依舊存在著諸多的問題。

架構方面：①傳統的訪問控制在適用范圍與控制手段方面已經難以滿足云計算架構的具體要求。而隨著虛擬技術的出現，使得云計算環境下的訪問控制技術也從傳統的用戶授權朝著虛擬資源的安全訪問方面進行發展，并導致其適用的范圍以及控制的手段得到了較大程度的增加。②現階段訪問控制分散式管理以及云計算環境下集中管理的需求之間還存在著一定的矛盾。③開放動態下的訪問控制策略對于云安全管理也提出了一定的挑戰。

機制方面：①目前在用戶們進行跨域訪問資源的過程中，對于相互授權以及資源共享等問題還沒有得到有效解決。②在云計算過程中，其虛擬資源與底層完全急性隔離的機制也會使得其隱蔽通道更不容易被發現。③現階段在云計算環境下，其信任問題也會直接決定并影響到訪問控制。

模型方面：①傳統的訪問控制模型已經難以滿足現階段云計算的架構需求。②隨著云計算的不斷發展，角色的權限關系也變得越加復雜，用戶之間的變動更加頻繁，這導致了在很多的應用場景之中，其用戶對數據的訪問需要具備選擇性并且被高度區分。

3 云計算環境下的訪問控制研究

3.1 云計算訪問控制模型

通過建立一種安全的訪問控制模型，就能夠使得用戶們借助于訪問控制模型也得到一定的權限，并借此來進行相關數據的有效訪問。但是現階段對于云計算訪問控制模型的研究還剛剛起步，因此根據具體訪問控制模型的不同，將其分為了基于任務的訪問控制模型、基于屬性的訪問控制模型、基于UCON的訪問控制模型以及基于BLP的云計算訪問控制模型這四種。

3.2 基于ABE密碼機制的云計算訪問控制模型研究

密碼機制其本質是通過進行數據的加密，來讓一些具備密鑰的授權人員進行密文的解密工作，借助于密碼機制的訪問控制技術還能夠在服務器端不可信這一環境下來確保數據自身的機密性，而數據的所有者也可以在相關數據的存儲之前就對其進行加密，并借此來控制用戶們對該資源的訪問控制。現階段ABE作為一種常見的密碼機制，其在云計算中也得到了較為廣泛的應用，借助于這種密碼機制能夠使數據提供者擁有良好的數據控制權。

4 結束語

云計算中的訪問控制問題是現階段安全領域中最為重要的問題之一，其研究也受到了學術界以及工業界的廣泛關注，近年來也取得了一定的進展，但是仍舊存在著一定的問題。本文就云計算環境下的訪問控制體系框架進行分析，并且就云計算訪問控制過程中的問題進行了全面闡述，希望能夠對后續研究者提供一定程度的幫助。

[1]黃毅，李肯立等.一種面向云計算的任務-角色訪問控制模型[J].計算機應用研究，2013.

[2]王小威，趙一鳴等.一種基于任務角色的云計算訪問控制模型[J].計算機工程，2012.