云计算访问控制技术研究综述

2019-09-10褚含冰

赤峰学院学报·自然科学版 2019年10期

摘要：进入新时期后，云计算发展迅速，但同时暴露出来了严重的云安全问题.而访问技术是云安全问题的关键，通过访问控制技术的实施，可以有效限制用户访问数据，促使信息资源使用合法性得到保证.本文简要分析了云计算访问控制技术，希望能够提供一些有价值的参考意见.

关键词：云计算;访问控制技术;研究综述

中图分类号：TP393.08 文献标识码：A 文章编号：1673-260X（2019）10-0038-03

在云计算发展中，非常重要的一个问题是访问控制.如果向云服务提供商外包数据处理、数据存储等工作，那么数据所有者就无法有效掌控数据，这样云服务提供商就很容易非法访问数据.此外，研究发现，在云计算中经常使用到虚拟化和多租户技术，以便达到动态伸缩资源的目的.但是，在虚拟化技术的支持下，很多用户可以对硬件资源进行共享，也就是在一张数据表上存储不同的用户数据，仅仅借助于标签进行隔离，在这种情况下，很容易有非法访问出现.如何应对这些问题，就要深入了解当前访问控制技术的核心，才能做到最大化的精准控制[1].

1 云计算访问控制技术概述

访问控制技术于20世纪70年代出现，其主要目标是满足主服务器上的数据访问授权需求，通过有效辨别访问者的身份，来对访问者数据访问区域进行限定，以此来保密重要数据，避免主服务器的正常运行受到非法入侵的不良影响.是对主体访问课题的能力或权限的限制，主要包括物理的访问控制、逻辑的访问控制和管理的访问控制.经过不断发展，传统访问控制技术逐步发展为自主访问控制、强制访问控制、角色访问控制等多种类型.同时随着信息技术的发展，云计算技术的内存虚拟化、内存热迁移、CPU虚拟化和CPU热迁移技术的个性，最大化、最高效化的利用有限资源，从根本上提高资源的利用率包括硬件资源、软件资源以及数据资源[2].

2 云计算时代下计算和存储模式的变化

调查研究发现，进入云计算时代后，在较大程度上改变了存储模式和计算模式，区块链通过将点对点传输、分布式数据存储、共识机制、加密算法等技术进行集成，具有不可篡改、可追溯、去中心化等特性，这些特性使得区块链非常适合用于对可信数据进行存储和共享，以及分布式存储的使用IPScan、Nas盘、磁盘阵列的使用，提供了大容量、高速度、高效率的存储服务[3].具体来讲，可以从这些方面进行分析：首先，用户无法对资源有效控制;用户、云平台之间的信任不够.其次，先进技术的运用，改变了数据安全域.再次，通过多租户技术的运用，对访问主体进行了重新界定.最后，虚拟化技术的运用，导致数据资料很容易被同一物理设备所窃取.在这种情况下，就需要深入研究访问控制技术，保护云计算环境下的数据安全.

3 云计算环境下访问控制面临的问题

调查发现，在过去的计算机模式下，通常在企业内部部署信息系统的软件和硬件，企业信息系统管理人员控制着内部网络，且能对内部所有IT资源有效控制.而如果在云端上放置业务，那么就会在更大的域中存储信息系统各项业务，同时多租户、多系统、多资源共享，高并发的使用有限资源来提高资源利用率，从而节省成本，这无形为控制带来了很大的压力，因为这些系统往往要在同一系统或者同一硬盘或者其他硬件资源上运行，相互交错的情况是非常多的，例如内存复用技术中的内存气泡、内存虚拟化等技术的使用.在这种情况下，企业只能够对不可信域部分控制，无法有效控制云域，在访问控制过程中很容易出现问题.一旦出现问题将会造成不可挽回的损失.在云計算相关研究中，数据安全访问控制技术是极具挑战性的问题.为保护个人数据的安全，可通过数据密钥应对相关问题.具体而言，基于对称加密、非对称加密等方面的密文检索方法被提出，这些技术的应用保证了数据的私密性，使数据以密文形式存储于云端，又不影响密文的检索和计算.控信任域的消失和多租户环境的出现，导致云计算环境下访问控制在诸多关键技术上都面临新的严峻挑战.该文从身份供应、身份认证、访问控制、身份联合和单点登录等各个方面[4].

3.1 身份供应

在过去的模式下，企业内部用户身份信息由企业内部人员所供应，本过程不超出系统可信任边界，因此可以较为便捷的实现身份供应.即传统注入式的用户认证信息，基本保障的用户隐私的控制，其中包含云实体集合、信任、信任条件、安全域内信任度、信任评估值、服务满意度、直接信任度、跨安全域信任度等.以信任条件为例，当某实体信任度满足某一信任条件时，实体信任另一实体，反之不信任.信任条件通常为设定的信任阈值，当信任度大于或等于阈值时信任，反之不信任.而如果引入了云服务，就会增加不同域身份供应的难度，多用户共存的情况，引入数据库角色存储和权限问题，无形中增加了隐患.如果身份供应同时由云域和企业域共同提供，那么就无法实现身份信息同步;而如果身份信息由云所提供，这样就很容易出现用户数据被非法访问的问题.因为云环境在身份供应中采用的方式为自主供应，这样就很容易泄露用户隐私信息.

3.2 认证

过去在认证中，通常将用户名和口令的方式运用过来.实践研究表明，本种方式的安全性不够，可信域内部容易出现威胁.系统均在可信任边界内工作，具有一定的安全性，但是如果将终端设备接入进来，安全性就得不到保证.针对这种情况，需要将安全性更高的多因子认证方式运用过来，且根据安全级别的差异，将不同力度的认证方式运用过来，例如企业认证虽然没有后续联网认证，但也防范了某些行为，身份证的实名认证体系、手机认证体系、微信认证体系、邮箱认证体系、人像识别认证体系、指纹认证体系、语音认证体系等新形势下层数不穷的认证体系.但是在系统内部引入云服务后，为了保护隐私，大部分企业不会将用户基本身份信息提供给云服务提供商，那么用户身份就无法被云计算供应商所确认，由购买云服务的企业开展认证服务，这样在用户身份认证时，就会有一系列问题出现.

3.3 访问授权

属性授权管理机构或云服务提供商的安全性需创设要以param为输入的模拟器算法CSimS2P，KeyGen和模拟对手，CSimS2P调用对手系数，输入安全双方计算模拟器获取结果.若对手判断与其交互的是模拟器，则可以判断对手输入的数据不是真实的，违反了安全协议.要想促使访问授权的目的得到实现，就需要对访问控制模型合理选择，但是因为云计算的局限性，部分模型无法有效应用.在这种情况下，就需要充分考虑哪种访问控制模型可以运用到云环境中，云服务提供商应该对访问控制模型如何选择等.在具体实践中，如果将策略决定点、执行点布置于云端或云服务提供商处，这样就需要同步云端用户信息和其他企业信息，实现难度较大.但是如果无法实现，就会影响到正常的访问授权.而如果将执行点布置于云端，虽然信息远程同步的问题得到了有效解决，但是却分离了授权和应用，出现了新的问题.

3.4 身份联合

研究发现，在云环境下，服务访问的实现涉及的域较多，且不同的域在认证方式、身份供应方式等方面存在着较大的差异，不同域需要不同的访问控制方式，这样就需要对身份管理、访问控制的方式进行统一，否则系统不兼容问题就很容易出现，影响到用户访问.基于这种情况，需要深入研究身份联合技术.目前，云环境下的身份標准还没有得到统一制定，云服务提供商、企业采用不同的标准，那么就在较大程度上增加了身份联合的难度.

4 云计算访问控制技术的模块设计

在研究云计算访问控制技术时，需要将诸多方面的因素纳入考虑范围，除了要考虑访问控制物理资源和虚拟资源，还需要有效保护底层资源，避免不法人员恶意窃取信息流和数据等，同时，还需要灵活多样的设计访问控制[5].云计算访问控制技术的模块设计如图1所示.

4.1 云身份供应

云身份供应标准尚未制定出来时，云服务供应商需要积极遵循服务供应标记语言，以此来保证合作企业之间能够有效交换用户信息、资源信息和服务信息.一般情况下，可以利用两种方式来实现这个目的：首先是将适用性较强的连接器、适配器等提供给用户;其次是将SPML网关提供给用户.只要支持SPML，那么云服务供应商可以将身份供应方面的服务实时提供给新用户，云服务供应商借助于SAML令牌，提供新用户信息，且在信息数据库中添加用户信息，以便对定制方案中存在的问题有效解决和完善.这样的做法也只是权宜之计，从安全本身而言，其不具备统一性和高保密性.

4.2 云认证

因为多租户技术的运用，导致需要将强认证方式给运用过来，如果由云端提供强认证，那么认证服务就需要由云服务提供商所实施;结合实际的情况，也可以向云身份供应商外包认证服务.如果认证服务由企业所提供，那么云服务供应商就要从技术等多个角度提供支持，促进认证委托等工作的顺利开展.借助于开放标准，企业可以将强认证有效实施下去，或者将云认证服务内置于平台中.基于云计算的要求，需要企业提供认证服务.在具体实践中，相应的工作人员在身份认证服务实施中，可以借助于专用网VPN来实现.这样一来虽然实现了云认证，同时把云计算缩小的一定的范围内，非常不利于后续云计算的快速发展.

4.3 云访问协议

现阶段，自主访问控制、角色访问控制、强制访问控制等是信息系统实施访问控制的主要模型，具体的有HTTP/HTTPS协议、RDP协议、PCoIP协议、HDⅩ/ICA协议、SPICE协议、RFB协议、Ⅹ协议及HP RGS等.研究发现，在自主访问控制模型中可以有效适用非结构化数据，一般情况下，要综合运用事物处理服务和角色访问控制模型[6].

4.4 云身份联合

研究发现，目前有多种方式可以实现身份联合，如企业将身份供应机构ID构建起来，或者专门供应商对IDAAS等统一构建.需要注意的是，在构建云身份联合模型时，首先要对身份管理机构进行构建，且机构的权威性较强;其次，对用户基本属性合理确定;最后，要对身份供应机构合理设定，且云服务提供商的访问需要被有机支持.

5 结语

综上所述，在云计算发展过程中，非常关键的内容即为云计算访问控制，其研究成果会直接影响到我国信息化整体建设成效.需要注意的是，云计算访问控制除了要深入研究技术，还需要结合实际情况，不断完善行业标准，提升其标准化程度.

参考文献：

〔1〕丁倩，张娴静.计算机信息技术数据的安全漏洞及加密技术研究[J].赤峰学院学报（自然科学版），2019（05）：43-45.

〔2〕陆丹.试论基于云计算的网络数据容灾关键技术[J].电子世界，2019（15）：110-112+116.

〔3〕付盼晴，褚含冰.网络安全分析中的大数据技术应用[J].赤峰学院学报（自然科学版），2019（03）：54-56.

〔4〕姚迎乐.云计算在高校数字档案馆管理中的应用[J].洛阳师范学院学报，2019（8）：34-37.

〔5〕张娴静.干扰在电子通信中产生的原因以及相应控制措施研究[J].赤峰学院学报（自然科学版），2018（09）：108-109.

〔6〕杨文娟.大数据云计算环境下的数据安全[J].电子技术与软件工程，2019（15）：187+190.