關于云計算數據中心訪問控制方法研究

鄭永芹 廣州城建職業學院

近幾年，云計算技術的出現，已經改變了傳統信息存儲的方式，將網絡資源進行整合，形成海量的模擬存儲空間。用戶通過使用云計算首先會支付一筆費用，這樣有利于用戶在云服務使用中獲得更多的資源，僅僅需要少量的管理操作就可以得到想要的服務。因為用戶資源都是存儲在云端，就會存在一定的安全問題。因此，在使用過程中，應該對數據信息進行有效的安全監控，在逐漸的研究中，訪問控制信息安全技術是最新研制的技術，可以保證信息的安全性與完整性，保證信息不會被泄密。傳統訪問控制的方法，存在很多不同的模型，基于云計算環境背景下需要提出更高的安全問題，需要對傳統的方法進行調整與更新。

一、云計算訪問控制研究現狀分析

訪問控制就是主體對客體訪問權限的控制度，主體在授權之后就可以讓客體進行訪問，進而獲得訪問權限，從而取得客體的基本信息內容。目前，在市面上使用最多的技術就是基本訪問控制技術，其中最主要的特點就是利用角色的方式獲得權限內容，角色存在不同點其中具有的權限也不相同，這樣給用戶賦予的角色也存在一定的不同，這樣的方式就會改變用戶的權限，但是這個環節中，約束條件的類型存在固定狀態同時數量也有限，不能根據實際環境情況給出相對應的策略，導致整個系統的安全性存在一定的問題，防御能力不強。

每一個單數據中心內部的數據訪問刨除在外，多個數據中心都會存在大量的數據訪問需求，這些數據中心會按照區域情況進行詳細部署，導致上級數據中心與下級數據中心進行大量的信息通信功能。應該怎樣保證多個數據中心之間數控訪問的安全性，是目前系統運行中需要解決的問題。

二、認證角度解析授權訪問的方法

在多級數控中心之間的數控訪問中，為了提升安全保障工作，提出了一種需要身份認證的授權方法，詳細的流程如圖一所示。

在使用過程中，用戶通過客戶端將訪問請求發送到距離最近的下級數控中心，下級數據中心會受到用戶的訪問信息與請求，會進入到消息總線環節，然后傳遞給訪問控制模塊，這個模塊會開展工作，尋找角色-權限數據庫的信息，進而判斷該用戶是否可以訪問上級數據中心，審核之后將結果發送到消息總線。

如果這個用戶具有相對應的權限，消息總線都會收到信息提醒，將用戶具有的訪問權限發送到角色模板中，處理角色分派模塊，這時需要將訪問請求的消息重新規劃成為角色請求消息，將這個消息發送到最近的上級數據中心，當上級數據中心接收到這個消息之后，消息中心會給出一個結論，將處理結果發送給授權訪問控制模塊，進而進行全面的驗證工作。

當授權訪問控制模塊接收到請求之后，會根據數據庫中驗證的方法進行身份驗證。當驗證通過之后，證書服務器會結合上級數據中心頒發的證書內容給出相對應的評價，進而獲取該用戶需要訪問的角色內容，將這些信息記錄到一張臨時證書上面。之后在由證書服務器進行簽名工作，在上面覆蓋上自己的信息，最后將這個制作好的臨時證書給用戶發送過去。

在用戶收到臨時證書之后，會向一級數據中心提交帶有臨時證書的訪問請求，在以及數控中心接受到信息請求之后，需要用密碼進行解密，需要判定中心服務器中是否帶有固定的簽名，如果用戶身份信息認證通過之后，用戶就具有訪問以及數據中心的權限，進而獲取更多的數據與信息。

在圖一中顯示的授權有效區域就是一個存在的概念問題，通過這個標準確定臨時證書的有效范圍，在一級數據中心中可以修改或者通過撤資的方式授權有效區域。

三、云計算中訪問控制方法的優缺點

云計算技術應用之后，已經打破了傳統物理邊界的限制問題，構成一個虛擬的資源圣地，通過共享的方式提供給租戶，不存在物理的區分，通過邏輯分析方式劃分實現管理工作，這樣的特點導致云計算系統在安全問題上存在很大的復雜性。根據上述背景描述下，云計算的訪問控制環節需要注意幾個關鍵問題，第一，訪問控制模型需要適應環節的變化狀態。第二，管理制度需要具有跨越式的差異性，保證每一個邏輯區域都制定符合自己的控制策略，將訪問控制策略進行有效地協調。第三，提供發現安全漏洞的制度，降低區域間的安全風險問題。以下內容是對系統訪問控制的優缺點進行分析，進而彌補云計算實施的不足之處。

(一）自主訪問控制

自主訪問控制模型在應用中比較靈活，針對相同的一個客體，可以讓不同的主體進行訪問權限的審核，主體可以自主管理客體的權限，進而將這種權限轉給其他主體。正是因為這種靈活的自主性，導致權限管理過程缺少嚴格性，出現權限轉移的情況，嚴重降低資源的保護能力，在訪問過程中可能會遭到木馬的攻擊。云計算環境下，自主訪問控制具有靈活的特點，單這一點是不夠的，權限在轉移過程中，無法保證其他用戶的合法性，在虛擬資源中，如果非常重要的信息資源讓非法用戶共享了，就會造成很大的安全事故，另外，自主訪問控制不適合云環境的動態效果。

(二）強制訪問控制

在強制訪問過程中，會給訪問主體與客體分別標注不同種類的安全特性，系統會針對主體與客體的安全屬性，進而決定主體與客體的訪問權限。這種訪問控制模式，將信息單向的流動性進行控制，阻止一些未通過授權用戶的進入，可以實現安全系統的全新模式，例如軍隊中經常會使用這樣的訪問控制方法。但是這種方法的使用缺少必要的靈活性，安全屬性不容易分配，因此在訪問過程中不會進行輕易的改變，此外，在安全管理過程中，不適合使用這種分布的方式。

(三）基于云計算環境下的改進模型

云計算環境背景下，對傳統的訪問模式進行一定的完善，會客服其中的不足，符合云計算的安全要求。服務端通過對客戶的分析進行角色分配，在分配過程中采取權限分類過程，進而提出云計算的任務內容就是角色模型，將傳統的模型進行改進與完善，改善客體特征中存在的不足之處，大大提升客體的訪問效率。

四、結論

綜上所述，云計算的方式改變了傳統信息架構模式，對信息發展來說是一項深刻的變革方式，給行業發展帶來巨大的商業利益與效果，其中安全問題已經成為阻礙他們發展的唯一難題。云計算中的訪問控制研究技術在大環境背景下實施，需要作出必要的改進，進而需要適應云計算環境的生存特點，制定出更多的安全閥訪問方式，保證云端數據信息的安全。