云計算訪問控制技術研究綜述

王金寶

摘 要：進入新時期后，云計算發展迅速，但同時，也暴露出來了嚴重的云安全問題。而訪問技術是云安全問題的關鍵，通過訪問控制技術的實施，可以有效限制用戶訪問數據，促使信息資源使用合法性得到保證。本文簡要分析了云計算訪問控制技術，希望能夠提供一些有價值的參考意見。

關鍵詞：云計算;訪問控制技術;研究綜述

在云計算發展中，非常重要的一個問題是訪問控制。如果向云服務提供商外包數據處理、數據存儲等工作，那么數據所有者就無法有效掌控數據，這樣云服務提供商就很容易非法訪問數據。此外，研究發現，在云計算中經常使用到虛擬化和多租戶技術，以便達到動態伸縮資源的目的。但是，在虛擬化技術的支持下，很多用戶可以對硬件資源進行共享，也就是在一張數據表上存儲不同的用戶數據，僅僅借助于標簽進行隔離，在這種情況下，很容易有非法訪問出現。

1 云計算訪問控制技術概述

訪問控制技術于上個世紀七十年代出現，其主要目標是滿足主服務器上的數據訪問授權需求，通過有效辨別訪問者的身份，來對訪問者數據訪問區域進行限定，以此來保密重要數據，避免主服務器的正常運行受到非法入侵的不良影響。經過不斷發展，傳統訪問控制技術逐步發展為自主訪問控制、強制訪問控制、角色訪問控制等多種類型。

2 云計算時代下計算和存儲模式的變化

調查研究發現，進入云計算時代后，在較大程度上改變了存儲模式和計算模式。具體來講，可以從這些方面進行分析：首先，用戶無法對資源有效控制;用戶、云平臺之間的信任不夠。其次，先進技術的運用，改變了數據安全域。再次，通過多租戶技術的運用，對訪問主體進行了重新界定。最后，虛擬化技術的運用，導致數據資料很容易被同一物理設備所竊取。在這種情況下，就需要深入研究訪問控制技術，保護云計算環境下的數據安全。

3 云計算環境下訪問控制面臨的問題

調查發現，在過去的計算機模式下，通常在企業內部部署信息系統的軟件和硬件，企業信息系統管理人員控制著內部網絡，且能對內部所有IT資源有效控制。而如果在云端上放置業務，那么就會在更大的域中存儲信息系統各項業務。在這種情況下，企業只能夠對不可信域部分控制，無法有效控制云域，在訪問控制過程中很容易出現問題。

3.1 身份供應

在過去的模式下，企業內部用戶身份信息由企業內部人員所供應，本過程不超出系統可信任邊界，因此可以較為便捷的實現身份供應。而如果引入了云服務，就會增加不同域身份供應的難度。如果身份供應同時由云域和企業域共同提供，那么就無法實現身份信息同步;而如果身份信息由云所提供，這樣就很容易出現用戶數據被非法訪問的問題。因為云環境在身份供應中采用的方式為自主供應，這樣就很容易泄露用戶隱私信息。

3.2 認證

過去在認證中，通常將用戶名和口令的方式運用過來。實踐研究表明，本種方式的安全性不夠，可信域內部容易出現威脅。系統均在可信任邊界內工作，具有一定的安全性，但是如果將終端設備接入進來，安全性就得不到保證。針對這種情況，需要將安全性更高的多因子認證方式運用過來，且根據安全級別的差異，將不同力度的認證方式運用過來。在系統內部引入云服務后，為了保護隱私，大部分企業不會將用戶基本身份信息提供給云服務提供商，那么用戶身份就無法被云計算供應商所確認，由購買云服務的企業開展認證服務，這樣在用戶身份認證時，就會有一系列問題出現。

3.3 訪問授權

要想促使訪問授權的目的得到實現，就需要對訪問控制模型合理選擇，但是因為云計算的局限性，部分模型無法有效應用。在這種情況下，就需要充分考慮哪種訪問控制模型可以運用到云環境中，云服務提供商應該對訪問控制模型如何選擇等。在具體實踐中，如果將策略決定點、執行點布置于云端或云服務提供商處，這樣就需要同步云端用戶信息和其他企業信息，實現難度較大。但是如果無法實現，就會影響到正常的訪問授權。而如果將執行點布置于云端，雖然信息遠程同步的問題得到了有效解決，但是卻分離了授權和應用，出現了新的問題。

3.4 身份聯合

研究發現，在云環境下，服務訪問的實現涉及到的域較多，且不同的域在認證方式、身份供應方式等方面存在著較大的差異，不同域需要不同的訪問控制方式，這樣就需要對身份管理、訪問控制的方式進行統一，否則系統不兼容問題就很容易出現，影響到用戶訪問。基于這種情況，需要深入研究身份聯合技術。目前，云環境下的身份標準還沒有得到統一制定，云服務提供商、企業采用不同的標準，那么就在較大程度上增加了身份聯合的難度。

4 云計算訪問控制技術

在研究云計算訪問控制技術時，需要將諸多方面的因素納入考慮范圍，除了要考慮訪問控制物理資源和虛擬資源，還需要有效保護底層資源，避免不法人員惡意竊取信息流和數據等，同時，還需要靈活多樣的設計訪問控制。

4.1 云身份供應

云身份供應標準尚未制定出來時，云服務供應商需要積極遵循服務供應標記語言，以此來保證合作企業之間能夠有效交換用戶信息、資源信息和服務信息。一般情況下，可以利用兩種方式來實現這個目的：首先是將適用性較強的連接器、適配器等提供給用戶;其次是將SPML網關提供給用戶。只要支持SPML，那么云服務供應商可以將身份供應方面的服務實時提供給新用戶，云服務供應商借助于SAML令牌，提供新用戶信息，且在信息數據庫中添加用戶信息，以便對定制方案中存在的問題有效解決和完善。

4.2 云認證

因為多租戶技術的運用，導致需要將強認證方式給運用過來，如果由云端提供強認證，那么認證服務就需要由云服務提供商所實施;結合實際的情況，也可以向云身份供應商外包認證服務。如果認證服務由企業所提供，那么云服務供應商就要從技術等多個角度提供支持，促進認證委托等工作的順利開展。借助于開放標準，企業可以將強認證有效實施下去，或者將云認證服務內置于平臺中。基于云計算的要求，需要企業提供認證服務。在具體實踐中，相應的工作人員在身份認證服務實施中，可以借助于專用網VPN來實現。

4.3 云訪問協議

現階段，自主訪問控制、角色訪問控制、強制訪問控制等是信息系統實施訪問控制的主要模型。研究發現，在自主訪問控制模型中可以有效適用非結構化數據，一般情況下，要綜合運用事物處理服務和角色訪問控制模型。

4.4 云身份聯合

研究發現，目前有多種方式可以實現身份聯合，如企業將身份供應機構ID構建起來，或者專門供應商對IDAAS等統一構建。需要注意的是，在構建云身份聯合模型時，首先要對身份管理機構進行構建，且機構的權威性較強;其次，對用戶基本屬性合理確定;最后，要對身份供應機構合理設定，且云服務提供商的訪問需要被有機支持。

5 結語

綜上所述，在云計算發展過程中，非常關鍵的內容即為云計算訪問控制，其研究成果會直接影響到我國信息化整體建設成效。需要注意的是，云計算訪問控制除了要深入研究技術，還需要結合實際情況，不斷完善行業標準，提升其標準化程度。

參考文獻：

[1]戚斌.云計算訪問控制技術研究綜述[J].中國新通信，2017，3（10）：123-125.

[2]李亞奇.云計算訪問控制技術研究綜述[J].信息與電腦，2016，4（11）：88-90.

[3]王子豪.云計算環境中訪問控制研究綜述[J].電子世界，2016，3（14）：244-245.