云计算访问控制技术研究

2017-03-10龙全波

网络安全技术与应用 2017年9期

关键词：计算环境访问控制资源

◆龙全波

（贵州电子科技职业学院贵州 550025）

云计算访问控制技术研究

◆龙全波

（贵州电子科技职业学院贵州 550025）

在网络技术不断发展的今天，云计算也在飞速发展中。现今，各行各业都普遍认识到云储存模式的应用。伴随着互联网协同工作的提高和信息共享的发展，云存储的环境也愈发重要。当前云存储所遇到的主要问题是用户数量的剧增和资源数量的急剧扩大，在此环境下，异构的访问控制策略系统不容忽视。所以，在此类情况下，统一协调是访问控制策略的必要环节，而其中资源的整合以及资源的调节工作便成为重中之重。基于此，本文将以云存储中访问控制策略的合成方案为研究目标，探讨云存储中访问控制技术的发展和规划。

云存储；访问控制；资源整合

0 引言

现阶段，云计算已经不再是稀罕名词，而是任何领域和行业都会接触的一种技术。云计算的环境安全也受到人们的广泛关注。云计算的主要作用是将大量的软件资源、存储资源和计算机资源集中在一起，从而形成了一个虚拟的IT资源共享平台，并且它的规模是十分巨大的，还具有共享功能。在云计算发展的同时，云存储也越来越受到关注，其安全问题也随之而来。本文对云计算中控制访问技术进行研究，探讨其控制访问方法。

1 控制访问原理

1.1 传统的访问控制技术

自上世纪70年代以来，各个大型主机系统的共享数据需要共享分析，所以云计算也就随之产生，起初的目的是为了管理数据授权访问的权限需要，形成了最初的访问控制，最初也仅仅只是将用户身份进行鉴别，然后通过特殊的控制渠道准许用户进入或限制用户访问数据信息，并划定访问权限和范围。这种访问技术可以很好地防止非法用户的侵入，防止其破坏现有的信息共享系统和信息组成。这是访问控制最初的作用：（1）通过访问控制保护用户的资源信息，防止非法用户进入窃取用户资源、浏览用户信息。（2）在合法用户间创立一个共享平台，使受到保护的信息资源能够让合法用户进行访问。（3）对合法用户进行权限控制，防止其篡改正常的访问系统，使非法用户不拥有授权进行访问。随着计算机技术不断发展，这种控制权限被越来越多地受到应用。

1.2 RBAC96访问控制模式

基于角色的访问控制模型来对用户、角色以及权限三者之间的复杂关系进行了表述，并且可以有效解决传统访问控制过程之中所存在的主体难以与特定实体进行灵活捆绑这一问题。该访问控制模式还能够有效体现出主体的灵活授权，因此是一种经典的访问控制模型。此外，RBAC96作为RBAC模型的基础，之后的所有RBAC模型都是在其基础上发展而来的。

在RBAC模型之中，授权指的是将这些客体的存取访问权限在可靠的控制之下连同相关操作一起提供给这些角色所代表的用户们，而在该控制模型还能够借助于授权的管理模式，来同时给予一个角色多个权限，而同一权限也可以授予多个角色。随着近年来我国控制访问技术的不断发展，相关研究人员在原有RBAC的基础上提出了诸多的扩展模型，其中比较常见的有基于任务的访问控制模型、基于事态模型的云计算访问控制等等，借助于这些模型都能够从不同的层面上来有效解决系统中访问控制的问题，并可以确保整个信息访问的安全性与可控性。而随着云计算的不断发展，这些扩展的访问控制模型也被广泛应用于云计算这一环境中，并且也取得了良好的应用效果。

1.3 访问控制语言的描述

在访问控制技术的发展以及工程实践过程中，现阶段出现了许多语言能够对用户的访问以及授权管理过程进行高效的描述，这些语言也能够作为访问控制理论以及工程实践之间的桥梁，从而取得至关重要的作用。现阶段主要有三种语言能够对云计算中的访问控制进行有效描述，其功能也具有一定的差异性，具体如下：

（1）安全断言标记语言（SAML）：该语言是基于XML的标准，并应用于不同安全与之间的交换认证以及授权数据，SAML标准可以对身份提供者以及服务提供者来提供以下几个方面的功能：进行认证申明，并且确保用户已经通过了认证，多应用于单点登录的过程中；进行属性申明，并有效表明某一个Subject的属性；进行授权申明，来确保某一个资源其所需权限。

（2）服务供应标记语言：该语言在基于XML的标准下，进行创建用户账号的服务请求以及处理与用户账号服务相关的服用请求，其主要目的有两种：进行自动化IT的合理配置，运用标准化的配置工作，能够使得封装配置系统其安全与审计的需求得到有效满足；实现不同系统之间的可操作性。

（3）可扩展访问控制标记语言：该语言是基于XML上的一种策略语言以及控制决策请求/响应语言，并且能够对Web服务进行有效控制访问，并可以为XACML提供处理复杂策略与几何规则的功能，因此适用于一些大型云计算平台的访问控制工作。

2 云计算环境下访问控制过程中存在的一些问题

现阶段云计算环境在进行访问控制的过程中依旧存在着诸多的问题。

架构方面：①传统的访问控制在适用范围与控制手段方面已经难以满足云计算架构的具体要求。而随着虚拟技术的出现，使得云计算环境下的访问控制技术也从传统的用户授权朝着虚拟资源的安全访问方面进行发展，并导致其适用的范围以及控制的手段得到了较大程度的增加。②现阶段访问控制分散式管理以及云计算环境下集中管理的需求之间还存在着一定的矛盾。③开放动态下的访问控制策略对于云安全管理也提出了一定的挑战。

机制方面：①目前在用户们进行跨域访问资源的过程中，对于相互授权以及资源共享等问题还没有得到有效解决。②在云计算过程中，其虚拟资源与底层完全急性隔离的机制也会使得其隐蔽通道更不容易被发现。③现阶段在云计算环境下，其信任问题也会直接决定并影响到访问控制。

模型方面：①传统的访问控制模型已经难以满足现阶段云计算的架构需求。②随着云计算的不断发展，角色的权限关系也变得越加复杂，用户之间的变动更加频繁，这导致了在很多的应用场景之中，其用户对数据的访问需要具备选择性并且被高度区分。

3 云计算环境下的访问控制研究

3.1 云计算访问控制模型

通过建立一种安全的访问控制模型，就能够使得用户们借助于访问控制模型也得到一定的权限，并借此来进行相关数据的有效访问。但是现阶段对于云计算访问控制模型的研究还刚刚起步，因此根据具体访问控制模型的不同，将其分为了基于任务的访问控制模型、基于属性的访问控制模型、基于UCON的访问控制模型以及基于BLP的云计算访问控制模型这四种。

3.2 基于ABE密码机制的云计算访问控制模型研究

密码机制其本质是通过进行数据的加密，来让一些具备密钥的授权人员进行密文的解密工作，借助于密码机制的访问控制技术还能够在服务器端不可信这一环境下来确保数据自身的机密性，而数据的所有者也可以在相关数据的存储之前就对其进行加密，并借此来控制用户们对该资源的访问控制。现阶段ABE作为一种常见的密码机制，其在云计算中也得到了较为广泛的应用，借助于这种密码机制能够使数据提供者拥有良好的数据控制权。