计算机论文：云计算访问控制技术研究综述

　　计算机论文：云计算访问控制技术研究综述

　　摘要：随着云计算的出现，很多传统访问技术不再适用于现在时代的发展，这种情况下急需新的技术为未来的云计算体系提供支撑，有效保护云服务器中各种数据与信息，保证各项计算任务可以正确执行。鉴于此，文章总结了笔者的一些工作心得，提出了基于云计算访问控制工作的一些看法。

　　关键词：云计算；访问；控制；技术

　　访问控制是当前云计算中急需解决的重要难题。用户若将数据处理、数据存储的工作外包给了云服务提供商，这就意味着数据处理脱离了原来数据所有者的掌控，换种说法就是，这时由外包云服务商控制着用户数据，这种情况下云服务提供商对数据的非法访问俨然成了难题，同时，虚拟化、多租户技术是当前云计算中主要利用的两项技术，同时也正是资源可以动态伸缩的原因所在。但是，利用虚拟化技术可以使不同用户对相同硬件资源进行共享，利用多租户技术可以将不同用户数据存放于一张数据表中，然后利用标签即可实现隔离，对相同软件资源进行共享，这种情况下形成了多租户环境，对访问控制工作提出了非常高的要求，访问控制必须区分用户，并防止用户非法访问。

　　1云计算时代计算与存储模式的变化

　　访问控制的主要目的在于通过限制用户的数据访问能力，确保信息资源不会被非法访问和使用，在传统计算模式下应用访问控制技术可以有效的保护信息资源，避免非法访问的而发生，然而到了云计算时代以后，不管是存储模式还是计算模式均发生了变化，具体来说有以下几方面变化：①在云计算环境中用户不能对资源进行控制；②用户、云平台缺少信任；③利用先以技术会使数据安全域发生变更；④利用多租户技术可以重新界定访问主体；⑤利用虚拟化技术可以在同一物理设备上窃取数据资料。因此，云计算时代对访问控制方面的研究提出了很多新挑战。目前云安全问题的重要性开始被人们所重视，成为制约其发展的关键性因素，当前各大云服务提供商的安全问题局见不鲜，例如2011年3月谷歌邮箱爆发了大规模用户数据泄露事件，超过15万用户发现自己的邮件、聊天信息被删除；2014年9月詹妮劳伦斯等明星的落照在网络中泄露。所以，要想让企业与组织对云计算技术进行大规模的应用，放心的将自己的数据资料交给云服务提供商进行管理，就必须深入分析并有效解决当前云计算环境中所面临的诸多安全问题，由此可见，数据安全是云计算环境的核心所在，数据访问控制是云安全问题的重中之重。

　　2云环境下访问控制面临的问题

　　传统计算模式中企业信息系统的软件硬件通常部署于企业内部，这样一来网络、计算机及路由器等设备就形成了一个网络，该网络由企业信息系统管理人员完全控制，被称为“可控信任域”。在这种模式中，由于企业可以完全控制其内部所有IT资源，因此从企业的角度来说实现访问控制将不会非常困难，然而一旦企业将自己的业务至于云端上，那么其“可控信任域”将会消失，企业信息系统的相关工作将会被置于更大的域中，该域由企业域与云域共同组成，原来由防火墙、IDS组成的“可信边界”对于这种域根本起不到任何保护性作用，之前支撑企业信息系统的“可控信任域”将会被一个“不可信域”所代谢，这种情况下企业仅能对其中部分“不可信域”进行控制，对于其中的“云域”根本没有控制权。除此之外，云端会按照实时需要动态供给资源，网络范围始终处于变化的状态之中，这种情况下企业的访问控制将会变得非常困难，云环境下访问控制也会遇到很多问题。

　　2.1身份供应

　　传统计算模式中由企业内部专门人员按照人力资源部门所提供的人力资源信息对企业内部用户身份信息进行供应，由于该过程发生于系统可信任边界之内，因此身份供的实现非常容易，同时身份同步也很快速，这种情况下云服务一旦引入其中，不同域环境中身份供应将会成为难题，如果由云域与企业域共同提供身份供应，身份信息同步将会是面临的首要难题，若由云为用户提供身份信息，那么隐私保护将会成为大家面临的首要问题。从个人用户的角度来看，云环境主要利用自主供应的身份供应方式，用户的隐私信息将会面临泄漏的危险，云环境中资源是用户共享的，隐私保护问题将会是非常重要的问题。

　　2.2认证

　　传统信息系统中所使用“用户名+口令”的方式认证，虽然这种方式的安全性比较低，属于一种弱认证方式，但是其威胁主要由可信域内部带来，因为系统工作均于可信边界之内，因此安全性可以得到一定保证，但是这种认证方式的安全性始终无法对泛在接入的任意终端设备的需要进行满足，这种情况下很多更加安全的多因子强认证方式开始引入进来，并且基于不同安全级别应用不同力度的认证方式。云服务引入企业系统内部之后，信息系统将会有企业自身与云服务提供商两个域，这时处于隐私保护的角度考虑，企业通常不会为云服务提供商传送用户基本身份信息，因此云计算供应商也无法对用户身份进行确认，进而将认证委托给购买云服务的企业，这时企业在利用云服务时，需要利用可信、可管方式对用户身份进行认证，企业将会面临认证管理、委托认证及强认证等一系列难题。

　　2.3访问授权

　　要达到访问授权的最终目的，首先应合理选择访问控制模型，由于云计算本身存在很多特点，并不是所有模型均能在云计算环境中运用。那么，云环境中到底适用何种访问控制模型，不同云服务提供商应如何选择访问控制模型，上述问题都将成为目前急需解决的问题。如果在云端或云服务提供商处部署策略决定点与执行点，那么云端用户基本信息与策略信息必须保持与其他企业信息同步，这将成为重要的难题，若同步实现不了，访问授权就难免会出错，若在企业内部部署策略决定点，那么需要在云端部署策略执行点，这样就可以有效避开信息远程同步的难题，但是这时另外的难题也会随之而来：授权、应用分离，事实上目前并没有任何应用达到了这一点。

　　2.4身份联合

　　云环境中国服务访问通常需要跨越很多域，每个域都存在属于自己的认证与身份供应方式，每个域的访问控制方式都不相同，这时若没有统一的方法进行身份管理与访问控制，难免会面临系统不兼容的问题，这时用户访问将变得异常复杂，身份联合是解决这一问题的重要方法，然而由于当前并未制定出面向云环境的身份标准，现有云服务提供商与相关企业遵守的标准都各不相同，所以要想实现身份联合将会是一个非常大的难题。

　　3云访问控制技术

　　云计算的研究需要对很多方面的问题加以考虑，需要从大环境方向来考虑物理与虚拟资源的访问控制，对底层资源进行有效保护，同时注意不能忽视信息流、数据等不被恶意窃取，同时注意访问控制设计必须灵活多样。

　　3.1云身份供应

　　服务供应应标记语言是未制定出云身份供应标准之前云服务供应商需要遵循的工业标准，主要在合作企业之间用户信息、资源信息及服务信息交换时应用，主要利用两种方式为其提供支持，其一为向用户提供适用的连接器或适配器，其二为提供SPML网关。如果SPML被支持，那么云服务供应商便可以随时为新用户提供身份供应的相关服务，新用户信息会通过SAML令牌为云服务供应商提供，云服务供应商从中获取信息，将用户信息添加于信息数据库中，从而弥补定制方案存在的不足。

　　3.2云认证

　　多租用特征直接决定了必须利用强认证方式，若强认证由云端提供，那么就需要由云服务提供商实施认证，或者将认证外包给专业的云身份供应商。若由企业提供认证，则需要云服务供应商为认证委托提供支持。企业可以利用开放标准实施强认证，在平台中内置云认证服务，云特点直接决定了认证服务需要由企业进行。云管理员可以通过专用网VPN虚拟进行身份认证，对于云普通用户来说，则可以将身份认证与专用网认证两种方式结合起来。

　　3.3云访问授权

　　目前信息系统主要利用的访问控制模型有自主访问控制（DAC）、基于角色的访问控制（RABC）、强制访问控制（MAC），非结构化数据适用于自主访问控制模型中，事物处理服务最好与基于角色的访问控制模型联用。

　　3.4云身份联合

　　在云计算环境中，身份联合的实现主要有在企业中构件身份供应机构IdD、由专门供应商统一建立IDaaS。云身份联合模型的构建必须遵循以下各步骤：首先，建立身份管理机构，该机构必须是权威的机构，其次，确定用户的基本属性，第三，设定身份供应机构，由其支持单点登录服务，并且实现云服务提供商的访问。实际上SAML就是实际工作中需要遵循的身份联合标准，目前它已经为Google Apps、com等提供支持。

　　结语：

　　综上，云计算访问控制研究是目前安全领域中比较关键的一个环节，其成败与我国信息化建设成败直接相关，同时云计算访问控制不仅是单纯技术层面上的问题，它还包括很多事情，例如行业标准、标准化等，所以以后的工作中我们必须加倍努力，为用户使用创建安全的云环境。

　　参考文献：

　　[1]徐丽娟,郭臣,张德馨,唐刚. 浅析云计算环境下等级保护访问控制测评技术[J]. 现代工业经济和信息化,2016,(19):85-89.

　　[2]熊金波,李凤华,王彦超,马建峰,姚志强. 基于密码学的云数据确定性删除研究进展[J]. 通信学报,2016,(08):167-184.

　　[3]房梁,殷丽华,郭云川,方滨兴. 基于属性的访问控制关键技术研究综述[J]. 计算机学报,2016,:1-20.

　　[4]韩晓光,姚宣霞,曲武,锁延锋. 云计算环境中基于对象和用户的角色访问控制模型[J]. 科学技术与工程,2014,(29):229-233.

　　[5]李晖,孙文海,李凤华,王博洋. 公共云存储服务数据安全及隐私保护技术综述[J]. 计算机研究与发展,2014,(07):1397-1409.

　　[6]黄勤龙,马兆丰,傅镜艺,杨义先,钮心忻. 云计算环境中支持隐私保护的数字版权保护方案[J]. 通信学报,2014,(02):95-103.

　　[7]申德荣,于戈,王习特,聂铁铮,寇月. 支持大数据管理的NoSQL系统研究综述[J]. 软件学报,2013,(08):1786-1803.