云計(jì)算訪問控制技術(shù)研究進(jìn)展

熊達(dá)鵬， 陳 亮， 王 鵬， 鄒 鵬， 鮑俊雷(. 裝備學(xué)院 復(fù)雜電子系統(tǒng)仿真實(shí)驗(yàn)室, 北京 046； . 中國(guó)衛(wèi)星海上測(cè)控部， 江蘇 無錫 443 )

云計(jì)算訪問控制技術(shù)研究進(jìn)展

熊達(dá)鵬1， 陳 亮1， 王 鵬1， 鄒 鵬1， 鮑俊雷2
(1. 裝備學(xué)院 復(fù)雜電子系統(tǒng)仿真實(shí)驗(yàn)室, 北京 101416； 2. 中國(guó)衛(wèi)星海上測(cè)控部， 江蘇 無錫 214431 )

云計(jì)算訪問控制技術(shù)是近年來云計(jì)算安全領(lǐng)域研究的熱點(diǎn)，其目標(biāo)是有效保證云計(jì)算資源不被非法訪問和使用。以訪問控制理論為指導(dǎo)，針對(duì)云計(jì)算自身的特點(diǎn)，運(yùn)用文獻(xiàn)調(diào)研和比較研究法，從訪問控制理論、學(xué)術(shù)界研究現(xiàn)狀和工業(yè)界實(shí)踐進(jìn)展3個(gè)方面詳細(xì)介紹了當(dāng)前云計(jì)算訪問控制技術(shù)的國(guó)內(nèi)外發(fā)展現(xiàn)狀。分析了云訪問控制技術(shù)在虛擬化、分布式等方面的新特性，以及當(dāng)前云訪問控制方法在應(yīng)用場(chǎng)景中存在的問題；對(duì)當(dāng)前云計(jì)算訪問控制模型設(shè)計(jì)、策略安全性分析、策略一致性分析等關(guān)鍵技術(shù)中的熱點(diǎn)問題進(jìn)行了研究，并展望了云訪問控制發(fā)展趨勢(shì)。

云計(jì)算；訪問控制；安全性分析；策略沖突

訪問控制是保護(hù)信息系統(tǒng)資源安全的關(guān)鍵技術(shù)，旨在限制非授權(quán)用戶訪問系統(tǒng)及防止授權(quán)用戶非法訪問信息資源。它通過定義系統(tǒng)的主體對(duì)客體的服務(wù)權(quán)限，控制哪些主體(如人、進(jìn)程、機(jī)器等)能夠訪問系統(tǒng)中的哪些資源，確保系統(tǒng)資源不被越權(quán)訪問或使用[1]。訪問控制技術(shù)歷經(jīng)五十余年的發(fā)展，在理論研究、實(shí)現(xiàn)方法及技術(shù)應(yīng)用等方面都取得了很大的發(fā)展。

云計(jì)算作為一種基于資源共享的計(jì)算模式，需針對(duì)越權(quán)使用資源采取強(qiáng)有力的防御措施，因此對(duì)訪問控制技術(shù)依賴程度更高。然而，云計(jì)算具有大規(guī)模、分布式、虛擬化和彈性化等復(fù)雜信息系統(tǒng)特性，傳統(tǒng)的訪問控制技術(shù)在云計(jì)算中遇到了新的挑戰(zhàn)。因此，提升云計(jì)算環(huán)境下訪問控制的靈活性、可用性，增強(qiáng)云管理系統(tǒng)對(duì)用戶的認(rèn)證、授權(quán)與管理能力，尤其是對(duì)細(xì)粒度的用戶資源控制，已成為國(guó)內(nèi)外云計(jì)算安全領(lǐng)域的研究熱點(diǎn)。

1 訪問控制技術(shù)概述

定義(訪問控制三要素)：訪問控制3個(gè)基本要素包括主體、客體和控制策略，采用三元組I=(S→O,P)進(jìn)行表示。其中,S表示主體(Subject)，即提出請(qǐng)求或要求的實(shí)體，是動(dòng)作的發(fā)起者，主體可以是某個(gè)用戶，也可以是用戶啟動(dòng)的進(jìn)程、服務(wù)和設(shè)備；O是客體(Object)，指接受其他實(shí)體訪問的被動(dòng)實(shí)體，凡是可以被操作的信息、資源、對(duì)象都可以被認(rèn)為是客體[2]；控制策略P(Policy)是主體對(duì)客體的訪問規(guī)則集。

訪問控制是主體根據(jù)某些控制策略或權(quán)限對(duì)客體本身或其他資源進(jìn)行不同的授權(quán)訪問[3]2。具體來說，通過某種顯式的約定來授權(quán)或限制主體對(duì)客體的訪問能力和范圍，從而防止非法用戶訪問系統(tǒng)或合法用戶對(duì)系統(tǒng)資源的非法訪問。訪問控制的工作機(jī)制如圖1所示。

圖1 訪問控制工作機(jī)制

訪問控制的目的是為了限制訪問主體對(duì)訪問客體的訪問權(quán)限，從而使信息資源在合法范圍內(nèi)被訪問。為了達(dá)到上述目的，訪問控制需要完成以下2項(xiàng)任務(wù)：(1)識(shí)別和確認(rèn)訪問系統(tǒng)的用戶；(2)決定該用戶可以對(duì)某一系統(tǒng)資源進(jìn)行何種類型的訪問。訪問控制技術(shù)通常用于系統(tǒng)管理員控制用戶對(duì)服務(wù)器、文件、數(shù)據(jù)等資源的訪問，保證信息系統(tǒng)資源受控地、合法地使用。

2 云計(jì)算訪問控制技術(shù)研究現(xiàn)狀

訪問控制問題的研究起源于20世紀(jì)60年代末，五十多年來研究者們做了大量卓有成效的工作，研發(fā)出許多有代表性的策略、模型和機(jī)制。同時(shí)，云計(jì)算訪問控制作為保障云安全的核心技術(shù)受到越來越多的關(guān)注。

2.1 訪問控制模型介紹

訪問控制模型(Access Control Models)是對(duì)主-客體訪問規(guī)則集及其作用方式的一種形式化表示方法，用于描述系統(tǒng)安全。隨著IT技術(shù)高速發(fā)展，訪問控制技術(shù)應(yīng)用領(lǐng)域逐漸擴(kuò)大，具有代表性的模型不斷涌現(xiàn)。

1) 自主訪問控制(Discretionary Access Control，DAC)是一種基于用戶身份和訪問規(guī)則的訪問控制模型，擁有訪問權(quán)限的主體能夠自主地將訪問權(quán)轉(zhuǎn)讓給其他主體而不需要經(jīng)過管理員允許。這種自主性滿足了用戶個(gè)人的安全要求，提高了授權(quán)管理的靈活性。但是因?yàn)橘Y源管理權(quán)以個(gè)人意志為轉(zhuǎn)移，所以對(duì)系統(tǒng)安全集中管控是不利的，尤其當(dāng)用戶數(shù)量和管理資源非常龐大時(shí)，DAC將會(huì)效率低下難以控制。DAC優(yōu)點(diǎn)是授權(quán)靈活、較為直觀及容易實(shí)現(xiàn)，缺點(diǎn)是在復(fù)雜系統(tǒng)中存在開銷過大、效率低下的問題。

2) 強(qiáng)制訪問控制(Mandatory Access Control，MAC)是一種多級(jí)訪問控制模型。MAC是基于系統(tǒng)權(quán)威(如安全管理員)制定的訪問規(guī)則來進(jìn)行控制。在MAC中，用戶和客體資源都預(yù)先被管理員賦予一定的安全級(jí)別，訪問主體只能訪問到不超過自身安全等級(jí)的客體資源，遵循“不上讀”和“不下寫”的基本原則。MAC主要用于多層次安全級(jí)別的政府和軍方應(yīng)用當(dāng)中。MAC優(yōu)點(diǎn)是可控程度高、保密性強(qiáng)，缺點(diǎn)是不滿足最小特權(quán)原則，系統(tǒng)開銷較大，靈活性差，規(guī)則制定嚴(yán)格且缺乏彈性。

3) 基于角色的訪問控制(Role-based Access Control，RBAC)[4]，在用戶(User)和訪問權(quán)限(Permission)之間引入角色(Role)作為中間代理層，所有的權(quán)限是通過Role授予而不是直接分配給User或Group。管理員只需要為用戶分配相應(yīng)的角色，即可賦予用戶該角色對(duì)應(yīng)的所有操作權(quán)限。這簡(jiǎn)化了權(quán)限分配和管理的過程，實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯分離。RBAC及其擴(kuò)展模型現(xiàn)已發(fā)展得比較成熟，在許多大型系統(tǒng)中得以應(yīng)用。RBAC的優(yōu)點(diǎn)是簡(jiǎn)化了權(quán)限管理，能靈活地表達(dá)和實(shí)現(xiàn)系統(tǒng)安全策略，實(shí)用性強(qiáng)；缺點(diǎn)是RBAC模型是一種較粗粒度的約束，不滿足最小特權(quán)原則。

4) 基于任務(wù)的訪問控制(Task-based Access Control，TBAC)[5]以任務(wù)(活動(dòng))為中心，從工作流中的任務(wù)角度建模，根據(jù)任務(wù)執(zhí)行狀態(tài)對(duì)權(quán)限進(jìn)行實(shí)時(shí)、動(dòng)態(tài)的管理。在TBAC中，對(duì)象的訪問權(quán)限控制并不是靜止不變的，而是隨著執(zhí)行任務(wù)的上下文環(huán)境發(fā)生變化，因此TBAC是一種主動(dòng)安全模型[3]2。TBAC比較適合在工作流、分布式處理和多點(diǎn)管理系統(tǒng)中使用。TBAC的優(yōu)點(diǎn)是可主動(dòng)授權(quán)，能根據(jù)任務(wù)狀態(tài)動(dòng)態(tài)調(diào)整權(quán)限，缺點(diǎn)是配置比較煩瑣。

5)基于屬性的訪問控制(Attribute-based Access Control，ABAC)是一種對(duì)相關(guān)實(shí)體(如主體、客體、權(quán)限、環(huán)境)的屬性建模來描述授權(quán)和訪問控制約束的模型。ABAC能夠?qū)?shí)體的屬性作為建模對(duì)象，具有足夠靈活的描述能力，常常作為一種統(tǒng)一訪問控制框與其他訪問控制模型結(jié)合使用。ABAC的優(yōu)點(diǎn)是表示能力強(qiáng)，易于擴(kuò)展，可與其他訪問控制模型相結(jié)合；缺點(diǎn)是所有要素均是以屬性形式進(jìn)行描述，而屬性關(guān)系不容易描述。

表1對(duì)典型訪問控制模型的特點(diǎn)及應(yīng)用進(jìn)行了歸納和對(duì)比。

表1 訪問控制模型對(duì)比

2.2 云計(jì)算訪問控制技術(shù)現(xiàn)狀

2.2.1 云平臺(tái)中訪問控制應(yīng)用現(xiàn)狀

目前，國(guó)內(nèi)外云計(jì)算服務(wù)提供商在云平臺(tái)訪問控制技術(shù)上進(jìn)行了大量的嘗試和實(shí)踐。如亞馬遜 S3云平臺(tái)采用“訪問控制表(Access Control List，ACL)”“存儲(chǔ)桶策略”和“查詢字符串認(rèn)證”授權(quán)方式；微軟 Windows Azure云平臺(tái)采用密鑰對(duì)身份驗(yàn)證、訪問角色授權(quán)；谷歌Google Storage云平臺(tái)采用訪問控制表；阿里云平臺(tái)采用訪問控制表、capability的訪問控制策略。

1) OpenStack云平臺(tái)。OpenStack是最具有代表性的開源云計(jì)算平臺(tái)。OpenStack的訪問控制(OpenStack Access Control，OSAC)是通過Keystone組件的認(rèn)證授權(quán)來實(shí)現(xiàn)的，Keystone負(fù)責(zé)提供認(rèn)證和管理用戶、賬號(hào)和角色信息、授權(quán)服務(wù)。OSAC的核心是擴(kuò)展改進(jìn)的基于角色的訪問控制模型，包括用戶分配(User Assignment,UA)，組分配(Group Assignment,GA)和權(quán)限分配(Permission Assignment,PA)；Keystone驗(yàn)證用戶身份并提供token，同時(shí)為用戶分配角色，而角色代表一組可以訪問的資源權(quán)限，因此所有用戶都可以通過角色來獲得授權(quán)。

2) AWS云平臺(tái)。Amazon Web Services(AWS)是亞馬遜公司旗下云計(jì)算服務(wù)平臺(tái)。AWS是通過編寫訪問策略向他人(AWS賬戶和用戶)授予執(zhí)行資源操作的權(quán)限，其訪問策略主要分為基于資源的策略和基于用戶的策略。基于資源的策略是將訪問授權(quán)與資源(存儲(chǔ)桶和對(duì)象)相關(guān)聯(lián)，包括“存儲(chǔ)桶”策略和訪問控制列表 (ACL)。存儲(chǔ)桶策略和ACL都是采用XML架構(gòu)來描述被授權(quán)者和所授予權(quán)限的對(duì)應(yīng)關(guān)系。基于用戶的策略則是使用Identity and Access Management (IAM) 來管理對(duì)Amazon S3資源的訪問權(quán)限，IAM通過附加訪問策略分配相應(yīng)的安全憑證給用戶以及管理他們的權(quán)限，并授予他們對(duì)AWS 資源的訪問權(quán)限[6]。

3) Hadoop云平臺(tái)。Hadoop是Apache基金會(huì)旗下的開源云平臺(tái)項(xiàng)目，是IaaS云平臺(tái)的典型代表。當(dāng)前，Hadoop訪問控制分為2級(jí)，其中Service Level Authorization為初始授權(quán)，用于保證用戶在預(yù)先配置以及授權(quán)的前提下訪問服務(wù)，具體來說是通過XML描述的ACL來實(shí)現(xiàn)[7]；另一級(jí)包括Access Control Job Queues和DFS Permission，前者在Job調(diào)度策略層之上控制mapred隊(duì)列的權(quán)限，后者控制用戶訪問文件的權(quán)限。

4) 阿里云平臺(tái)。阿里云是阿里巴巴集團(tuán)于2009年創(chuàng)立的云計(jì)算品牌，是目前國(guó)內(nèi)占有市場(chǎng)份額最高的云計(jì)算平臺(tái)。阿里云采用集中式方案RAM (Resource Access Management)為客戶提供用戶身份管理與訪問控制服務(wù)，其核心功能主要包括用戶身份管理和授權(quán)管理[8]。為了方便管理權(quán)限和用戶，RAM引入了群組(Group)和角色(Role)的概念。子用戶加入群組后，即擁有了所在群組的所有權(quán)限。角色機(jī)制可以解決臨時(shí)用戶的一次性授權(quán)問題，臨時(shí)用戶扮演角色后即擁有了角色對(duì)應(yīng)的權(quán)限。用戶通過授權(quán)獲得秘鑰之后即可訪問相應(yīng)資源。

總體而言，當(dāng)前商用云平臺(tái)大多依然采用傳統(tǒng)訪問控制技術(shù)，針對(duì)云計(jì)算環(huán)境訪問控制技術(shù)的研究仍處于探索階段，如適用于分布式計(jì)算場(chǎng)景、多域場(chǎng)景、多租戶場(chǎng)景等典型云計(jì)算環(huán)境的訪問控制策略研究仍然比較薄弱。

2.2.2 云訪問控制技術(shù)存在的問題

鑒于云計(jì)算不同于傳統(tǒng)信息系統(tǒng)的特性，云計(jì)算訪問控制面臨著許多新的問題：(1) 云計(jì)算模式下用戶不能完全控制自己的資源，這使得傳統(tǒng)計(jì)算模式下由可信邊界保護(hù)起來的“安全域”不再成立，云環(huán)境下“多域”訪問控制矛盾凸顯；(2) 由于云端需要根據(jù)服務(wù)的運(yùn)行狀態(tài)來實(shí)時(shí)調(diào)整資源供給，資源訪問一直處于動(dòng)態(tài)變化之中，這種變化使訪問控制變得困難；(3) 云環(huán)境中各類服務(wù)可能會(huì)跨越多個(gè)安全域進(jìn)行資源訪問，如果不能消除域間身份管理和控制方法的差異性,就會(huì)出現(xiàn)不兼容問題；(4) 云計(jì)算的基礎(chǔ)是虛擬化，虛擬資源與底層硬件完全隔離的機(jī)制使得隱蔽通道更不易被發(fā)現(xiàn)，云訪問控制需要從實(shí)體授權(quán)擴(kuò)展到虛擬資源；(5) 傳統(tǒng)訪問控制的分散式管理模式和云計(jì)算環(huán)境集中管理的需求之間存在矛盾；(6) 傳統(tǒng)訪問控制模型定義的主體和客體在云中已經(jīng)發(fā)生了變化，傳統(tǒng)訪問控制模型無法適應(yīng)云計(jì)算以多租戶為核心、大數(shù)據(jù)為基礎(chǔ)的新模式；(7) 云計(jì)算模式下角色層次眾多，用戶角色變動(dòng)頻繁，權(quán)限的分配與傳統(tǒng)計(jì)算模式有較大區(qū)別；(8) 云用戶對(duì)數(shù)據(jù)安全的信任問題一直無法回避，這給云服務(wù)提供商實(shí)施訪問控制帶來約束。

綜上所述，由于云計(jì)算本身具有虛擬化和彈性化等技術(shù)特性，云訪問控制在動(dòng)態(tài)性、開放性和靈活性方面有著更高的要求，因此傳統(tǒng)的訪問控制方法已經(jīng)很難滿足云計(jì)算平臺(tái)的安全需求。研發(fā)適用于云計(jì)算環(huán)境的訪問控制技術(shù)，是云計(jì)算安全研究領(lǐng)域亟待解決的問題。

3 云計(jì)算訪問控制關(guān)鍵技術(shù)研究展望

3.1云訪問控制未來研究趨勢(shì)

從當(dāng)前云訪問控制技術(shù)研究的前沿來看，云訪問控制的未來研究將重點(diǎn)關(guān)注以下方面：

1) 標(biāo)準(zhǔn)化。云計(jì)算訪問控制缺乏統(tǒng)一的技術(shù)標(biāo)準(zhǔn)和行業(yè)規(guī)范。目前云服務(wù)提供商大都采用傳統(tǒng)訪問控制技術(shù)標(biāo)準(zhǔn)作為參考標(biāo)準(zhǔn)，各自遵循的標(biāo)準(zhǔn)往往不同，不利于標(biāo)準(zhǔn)化組織實(shí)施監(jiān)管。未來應(yīng)當(dāng)從以下幾個(gè)方面逐步統(tǒng)一云訪問控制標(biāo)準(zhǔn)：統(tǒng)一云訪問控制的概念、定義及內(nèi)容，制定跨域互操作、權(quán)限遷移之間的接口標(biāo)準(zhǔn)，制定訪問控制對(duì)象、行為、規(guī)則等各種策略描述的格式規(guī)范，制定訪問控制機(jī)制開發(fā)接口規(guī)范。

2) 細(xì)粒度的訪問控制。已有的云訪問控制大多是基于用戶身份，權(quán)限粒度約束不夠細(xì)化方式，導(dǎo)致用戶權(quán)限樹過寬卻不深，樹的層次不分明。這種粗粒度控制不滿足訪問控制最小特權(quán)原則，給本來就是多租戶環(huán)境的云環(huán)境帶來安全隱患。因此，在設(shè)計(jì)訪問控制策略時(shí)應(yīng)考慮更多的用戶屬性，研究基于屬性的加密(Attribute-based Encryption,ABE)這樣的細(xì)粒度訪問控制方式。

3) 動(dòng)態(tài)的訪問控制。云計(jì)算環(huán)境中云用戶、云資源和網(wǎng)絡(luò)環(huán)境都是時(shí)刻處于動(dòng)態(tài)變化中，傳統(tǒng)的靜態(tài)的、集中的訪問控制技術(shù)無法滿足云計(jì)算的動(dòng)態(tài)性和安全性需求。因此，需要根據(jù)時(shí)間、空間狀態(tài)等上下文信息，研究包括基于任務(wù)、基于時(shí)態(tài)、基于空間等考慮上下文信息的狀態(tài)轉(zhuǎn)換方法，以及基于時(shí)限控制、基于公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure,PKI)等動(dòng)態(tài)授權(quán)方法。

4) 跨域授權(quán)。云計(jì)算具有多安全域的特征，各個(gè)云應(yīng)用可能屬于不同的安全管理域，且相互間存在跨域訪問資源的需求。需要研究跨域互操作的授權(quán)方式，在保證不破壞本安全域自治性的前提下安全高效地實(shí)現(xiàn)資源訪問。在跨域策略合成方面，需要研究域間策略合成時(shí)可能存在的策略沖突檢測(cè)以及消解的問題。

3.2 云訪問控制關(guān)鍵技術(shù)研究展望

云計(jì)算面臨大量訪問控制難題，特別是細(xì)粒度的訪問控制、動(dòng)態(tài)的訪問控制和多域訪問控制問題并沒有得到有效解決。主要研究點(diǎn)集中在云計(jì)算環(huán)境下訪問控制模型設(shè)計(jì)、訪問控制策略安全性分析、訪問控制策略一致性分析等方面。

3.2.1 面向云計(jì)算的訪問控制技術(shù)

目前，對(duì)云訪問控制模型的研究剛剛起步，面向云計(jì)算的訪問控制模型都是在傳統(tǒng)訪問控制模型基礎(chǔ)上進(jìn)行改進(jìn)，使其更適用于云計(jì)算環(huán)境。

1) 權(quán)限屬性動(dòng)態(tài)化的云訪問控制技術(shù)。在云計(jì)算環(huán)境中尤其是公有云環(huán)境中，由于云用戶的數(shù)量巨大，對(duì)云資源/服務(wù)的需求具有不確定性，而且需要隨著應(yīng)用狀態(tài)實(shí)時(shí)調(diào)整權(quán)限，這要求對(duì)云用戶權(quán)限的授予和取消是動(dòng)態(tài)變化的。為了適應(yīng)這種動(dòng)態(tài)變化的權(quán)限控制需求，研究者們通常在基于角色[9]、基于信任[10]、基于任務(wù)[11]、基于屬性[12]等幾種擴(kuò)展性比較好的訪問控制模型的基礎(chǔ)上進(jìn)行拓展改進(jìn)，使其具備動(dòng)態(tài)調(diào)整權(quán)限的能力。

2) 面向虛擬化及多租戶的云訪問控制技術(shù)。云計(jì)算是基于虛擬化技術(shù)的計(jì)算模式，虛擬化技術(shù)有良好的隔離性，但是虛擬機(jī)間的通信以及物理資源共享給云訪問控制帶來新的挑戰(zhàn)。同時(shí)云計(jì)算是多租戶模式的，多個(gè)租戶通過虛擬技術(shù)寄宿在同一個(gè)物理宿主機(jī)上，有可能通過虛擬機(jī)側(cè)通道產(chǎn)生攻擊行為。目前，對(duì)虛擬化及多租戶訪問控制的研究，主要集中在通過hypervisor實(shí)現(xiàn)虛擬機(jī)的訪問控制對(duì)多租戶的隔離上。

3) 面向多域的云訪問控制技術(shù)。云計(jì)算環(huán)境是由各個(gè)自治域構(gòu)成的虛擬組織構(gòu)成，用戶和資源處于不同的自治域中。自治域內(nèi)通常有獨(dú)立的訪問控制策略，同時(shí)域間有相互訪問資源的需求，這就需要有相應(yīng)的訪問控制模型來協(xié)調(diào)、管理這些跨域互操作。面向多域的訪問控制技術(shù)常常由基于信任[13]、基于屬性[14]等訪問控制模型發(fā)展而來。

云計(jì)算的復(fù)雜性給云訪問控制技術(shù)提出了挑戰(zhàn)，面向云的訪問控制研究及其模型設(shè)計(jì)還有很大的提升空間。基于傳統(tǒng)訪問控制模型改進(jìn)而來的云訪問控制技術(shù)在一定程度上解決了部分問題，但是為了匹配云計(jì)算的高速發(fā)展，在動(dòng)態(tài)授權(quán)、虛擬化、多租戶、多域等方面還有待進(jìn)一步研究。

3.2.2 訪問控制策略安全性分析技術(shù)研究

訪問控制策略的安全性分析是訪問控制策略設(shè)計(jì)流程中必要的一個(gè)環(huán)節(jié)，旨在通過分析證明所設(shè)計(jì)的策略不會(huì)存在權(quán)限泄露的情況。如果訪問控制模型被證明是安全的，而訪問控制機(jī)制又正確地實(shí)現(xiàn)了這個(gè)模型，那么我們可以判定這套訪問控制系統(tǒng)是安全的。

1) 基于邏輯推導(dǎo)的分析方法。基于邏輯推導(dǎo)的定性分析方法主要分為基于定理推理、基于數(shù)學(xué)模型和基于量化分析的證明方法。其中，基于定理推理的分析方法[15]，通過推導(dǎo)安全公理來證明代表訪問控制模型的根公理是正確的，這種方法實(shí)際上難以找到能夠全面代表模型安全性的根公理；基于數(shù)學(xué)模型的分析方法[16]，用數(shù)學(xué)模型(如“格”)代替訪問控制策略來證明訪問控制的安全性，這種方法的缺陷是所采用的數(shù)學(xué)模型通常僅能證明安全性的部分特性；基于量化分析的分析方法[17]，利用信息熵等可以量化的標(biāo)準(zhǔn)來度量訪問控制模型的安全等級(jí)，這種方法具有較強(qiáng)的可操作性，但是無法全面評(píng)估模型的安全性。

2) 基于狀態(tài)空間推理的分析方法。基于狀態(tài)空間推理的訪問控制安全性方法[18]，是查找整個(gè)訪問控制策略的狀態(tài)空間以檢測(cè)是否存在沖突的規(guī)則項(xiàng)。首先，對(duì)訪問控制策略的執(zhí)行規(guī)則進(jìn)行形式化定義。其次，用狀態(tài)空間來記錄用戶狀態(tài)轉(zhuǎn)移的過程，對(duì)應(yīng)訪問控制策略的可達(dá)狀態(tài)和路徑。最后，用智能規(guī)劃等邏輯分析方法證明某一時(shí)刻的用戶狀態(tài)是否安全。

目前，訪問控制策略安全性分析都是針對(duì)特定的策略進(jìn)行的特定分析，不存在統(tǒng)一通用的方法。常見的安全分析思路是針對(duì)特定策略，證明自定義的幾個(gè)安全定理不具有可推廣性。基于狀態(tài)空間推理的分析方法，在證明的完備性和通用性方面有一定優(yōu)勢(shì)，是未來訪問控制安全性分析的重要發(fā)展方向。

3.2.3 訪問控制策略一致性分析技術(shù)研究

策略沖突(Policy Conflict)是指2條或者多條策略由于所表達(dá)的規(guī)則內(nèi)容不一致，從而導(dǎo)致在被執(zhí)行時(shí)產(chǎn)生矛盾的情況。云環(huán)境中跨域互操作行為很普遍，建立新的互操作可能導(dǎo)致全局的安全策略和各自治域的局部安全策略之間的不一致，從而帶來安全隱患。當(dāng)策略發(fā)生沖突時(shí)，管理系統(tǒng)將無法執(zhí)行正確的操作，過多的策略沖突會(huì)大大降低系統(tǒng)效率，甚至影響系統(tǒng)正常運(yùn)行。訪問控制策略一致性分析技術(shù)的目標(biāo)就是發(fā)現(xiàn)各種潛在的策略沖突，并針對(duì)各種類型的沖突提供解決方案。

1) 訪問控制策略沖突檢測(cè)技術(shù)。訪問控制策略沖突檢測(cè)總體分為靜態(tài)沖突檢測(cè)方法和動(dòng)態(tài)沖突檢測(cè)方法。早期針對(duì)模態(tài)沖突以及全局檢測(cè)的方法屬于靜態(tài)沖突檢測(cè)方法，存在效率較低、實(shí)時(shí)性和可擴(kuò)展性不強(qiáng)的問題。在全局檢測(cè)方法的基礎(chǔ)上發(fā)展出最小化檢測(cè)方法，僅考察與互操作相關(guān)聯(lián)的信息，在一定程度上提高了沖突檢測(cè)的效率，但是不具備完備性。此外，還有基于優(yōu)先級(jí)方法的檢測(cè)方法[19]、基于語義沖突驗(yàn)證的檢測(cè)方法[20]等，這些方法在一定條件下具有優(yōu)勢(shì)，但存在計(jì)算開銷較大的弊端。因此，當(dāng)前訪問控制策略沖突檢測(cè)方法會(huì)根據(jù)不同的應(yīng)用場(chǎng)景在檢測(cè)準(zhǔn)確性和計(jì)算效率之間平衡取舍。云計(jì)算環(huán)境中訪問主體、客體數(shù)量龐大，訪問控制策略復(fù)雜度高，域間交互頻繁。以上因素導(dǎo)致云訪問控制策略沖突檢測(cè)技術(shù)更加復(fù)雜，目前針對(duì)云訪問控制的策略沖突檢測(cè)技術(shù)主要集中在動(dòng)態(tài)檢測(cè)方法和多域檢測(cè)方法。

2) 訪問控制策略沖突消解技術(shù)。與策略沖突檢測(cè)方法相對(duì)應(yīng)，策略沖突消解的方法也有多種。按照消解過程所處的階段可以分為2類：(1) 創(chuàng)建策略前檢測(cè)消除；(2) 在執(zhí)行策略的過程中檢測(cè)消除。第一類是最直接的方法，即改變策略的條件、動(dòng)作等屬性，使其不再產(chǎn)生沖突。但這種方法需要在制定策略階段預(yù)先發(fā)現(xiàn)沖突，這往往比較困難。第二類是在系統(tǒng)運(yùn)行時(shí)實(shí)時(shí)判定沖突并中止沖突策略執(zhí)行，這類方法較為方便實(shí)用。當(dāng)沖突已經(jīng)發(fā)生時(shí)，需要專門的消解方法，亦即對(duì)策略的信任和協(xié)商過程。代表性的研究成果包括基于優(yōu)先級(jí)[21]、基于有向圖模型[22]、基于規(guī)則狀態(tài)推理[23]的沖突消解方法等。

綜上所述，策略沖突消解的方法往往與沖突檢測(cè)方法配合使用，這在很大程度上需要根據(jù)應(yīng)用場(chǎng)景的特點(diǎn)來開發(fā)合適的策略沖突消解方法。目前各大云運(yùn)營(yíng)商采用的訪問控制機(jī)制差別各異，針對(duì)訪問控制策略沖突消解方面的研究還處在發(fā)現(xiàn)問題臨時(shí)補(bǔ)救的階段，如何在云計(jì)算環(huán)境下進(jìn)行訪問控制策略沖突的檢測(cè)與消解仍需進(jìn)一步研究。

4 結(jié) 束 語

云計(jì)算訪問控制技術(shù)能夠有效保護(hù)云計(jì)算資源，在云計(jì)算安全防護(hù)中得到廣泛應(yīng)用，然而云計(jì)算自身具有的虛擬化、分布式、多租戶等特性給訪問控制技術(shù)帶來了挑戰(zhàn)。本文對(duì)云計(jì)算訪問控制技術(shù)的國(guó)內(nèi)外研究進(jìn)展做了詳細(xì)闡述，介紹了當(dāng)前云訪問控制技術(shù)在理論研究和商業(yè)應(yīng)用方面的現(xiàn)狀，并從云計(jì)算自身特征出發(fā)分析了當(dāng)前云訪問控制技術(shù)存在的不足。目前，國(guó)內(nèi)外對(duì)于云計(jì)算訪問控制技術(shù)的研究還處于試驗(yàn)探索階段，未來應(yīng)進(jìn)一步開展云訪問控制模型設(shè)計(jì)、訪問控制策略安全性分析和一致性分析等關(guān)鍵技術(shù)的研究。

References)

[1]徐云峰.訪問控制[M].武漢: 武漢大學(xué)出版社,2014：38-38.

[2] 韓道軍,高潔,翟浩良,等.訪問控制模型研究進(jìn)展[J].計(jì)算機(jī)科學(xué),2010,37(11):29-33.

[3] 王鳳英.訪問控制原理與實(shí)踐[M].北京: 北京郵電大學(xué)出版社,2010.

[4] 尹剛,王懷民,滕猛.基于角色的訪問控制[J].計(jì)算機(jī)科學(xué),2002,29(3):69-71.

[5] 鄧集波,洪帆.基于任務(wù)的訪問控制模型[J].軟件學(xué)報(bào),2003,14(1):76-82.

[6] Amazon開發(fā)人員.Amazon web services API文檔：訪問管理概述[EB/OL].(2006-03-01)[2016-11-12].http://docs.aws.amazon.com/zh_cn/AmazonS3/latest/dev/access-control-overview.html.

[7] Hadoop官網(wǎng).Apache hadoop 2.7.3.hadoop in secure mode [EB/OL].(2016-08-18)[2016-11-12].http://hadoop.apache.org/docs/r2.7.3/hadoop-project-dist/hadoop-common/SecureMode.html

[8] 阿里云開發(fā)人員.阿里云幫助文檔:訪問控制[EB/OL].(2016-11-12)[2016-11-23].https://help.aliyun.com/product/28625.html?spm=5176.doc28645.3.1.DKFz1e

[9] LUO J,WANG H,GONG X,et al.A novel role-based access control model in cloud environments[J].International Journal of Computational Intelligence Systems,2016,9(1):1-9.

[10] RAY I.Trust-based access control for secure cloud computing[M]//HAN K J，CHOI B Y，SONG S.High Performance Cloud Auditing and Applications.New York：Springer,2014:189-213.

[11] YOUNIS Y A,KIFAYAT K,MERABTI M.An access control model for cloud computing[J].Journal of Information Security & Applications,2014,19(1):45-60.

[12] ZOU J S,ZHANG Y S,GAO Y.Research of ABAC model based on usage control under cloud environment[J].Application Research of Computers,2014(12)：178-180；185.

[13] 別玉玉,林果園.云計(jì)算中基于信任的多域訪問控制策略[J].信息安全與技術(shù),2012,3(10):39-45.

[14] 王靜宇,馮黎曉.一種面向云計(jì)算環(huán)境的屬性訪問控制模型[J].中南大學(xué)學(xué)報(bào)(自然科學(xué)版),2015(6):2090-2097.

[15] LI N,TRIPUNITARA M V.Security analysis in role-based access control[J].Acm Transactions on Information & System Security,2006,9(4):391-420.

[16] 林柏鋼.格擴(kuò)展的信息系統(tǒng)安全域模型分析[J].通信學(xué)報(bào),2009(增刊1):9-14.

[17] 胡俊,沈昌祥,張興.一種BLP模型的量化分析方法[J].小型微型計(jì)算機(jī)系統(tǒng),2009,30(8):1605-1610.

[18] 劉強(qiáng).基于角色的訪問控制技術(shù)[M].廣州：華南理工大學(xué)出版社,2010：55-60.

[19] LUPU E C,SLOMAN M.Conflicts in policy-based distributed systems management[J].Software Engineering IEEE Transactions on,1999,25(6):852-869.

[20] CHOLVY L,CUPPENS F.Analyzing consistency of security policies[C]//IEEE Symposium on Security & Privacy.[S.l.]:IEEE,1997:103-112.

[21] 魯劍鋒,閆軒,彭浩,等.一種優(yōu)化的策略不一致性沖突消解方法[J].華中科技大學(xué)學(xué)報(bào)(自然科學(xué)版),2014(11):111-116.

[22] 姚鍵,茅兵,謝立,等.一種基于有向圖模型的安全策略沖突檢測(cè)方法[J].計(jì)算機(jī)研究與發(fā)展,2005,42(7):1108-1114.

[23] KARAT J,KARAT C M,BERTINO E,et al.Policy framework for security and privacy management[J].IBM Journal of Research & Development,2009,53(2):1-14.

(編輯：李江濤)

Research Progress on Access Control Technology in Cloud Computing

XIONG Dapeng1， CHEN Liang1， WANG Peng1， ZOU Peng1， BAO Junlei2

(1. Science and Technology on Complex Electronic System Simulation Laboratory, Equipment Academy, Beijing 101416, China; 2. China Satellite Maritime Tracking and Controling Department, Wuxi Jiangsu 214431, China)

Cloud computing access control technology is a highlight of cloud computing security research field these years. This technology aims to effectively ensure that cloud computing resources will not be illegally accessed and used. Based on access control theory, aiming at the features of cloud computing, with literature research and comparative research methods, the paper introduces the current situation of cloud computing access control technology in detail from the aspects of access control theory, academic research status and industry practice progress. The paper also analyzes the new features of cloud access control technology in virtualization and distribution, and the existing problems in the application scenario of cloud access control method. Besides, the paper discusses some highlights of current cloud computing access control model design, strategy security analysis, policy consistency analysis and other key technologies, and forecasts the development trend of cloud access control.

cloud computing; access control; security analysis; policy conflicts

2016-12-03

熊達(dá)鵬(1987—)，男，博士研究生，主要研究方向?yàn)樾畔踩iongdapeng@outlook.com 鄒 鵬，男，教授，博士生導(dǎo)師。