黃翔++張媛媛

摘要：隨著云計算的推廣和普及，云安全問題日益凸顯，而有效進(jìn)行用戶身份和訪問控制管理是保障云服務(wù)順利開展的前提。本文分析云計算平臺下IAM（Identity and Access Management，身份和訪問控制）的特點和存在問題，調(diào)研各大廠商針對問題相應(yīng)的技術(shù)解決方案和目前研究的主要方向，最后對未來研究進(jìn)行展望。

關(guān)鍵詞：云安全 身份和訪問控制 云計算

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2016）12-0115-02

隨著移動互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，云計算越來越普及，已初步形成規(guī)?；a(chǎn)業(yè)，而與此同時安全問題日益凸顯。2016年9月雅虎爆出史上最嚴(yán)重數(shù)據(jù)泄露，近5億用戶的賬戶信息于2014年被盜，而之前，過1億的LinkedIn成員泄露密碼泄露后，F(xiàn)acebook創(chuàng)始人馬克·扎克伯格的Twitter賬戶被黑。在云計算環(huán)境下，從用戶將數(shù)據(jù)上傳到云服務(wù)器開始，就失去了對數(shù)據(jù)的控制能力，數(shù)據(jù)是否安全、工作任務(wù)是否順利完成都是未知數(shù)，因此有效地進(jìn)行用戶身份和訪問控制是保障云服務(wù)順利開展的前提條件。

1 IAM

IAM是保障合理的訪問能順利進(jìn)行而非法的訪問能被拒絕的主要措施，對于Paas（平臺即服務(wù)）、Saas（軟件即服務(wù)）、Iaas（基礎(chǔ)設(shè)施即服務(wù)）任何一種云服務(wù)都是不可或缺的。通常IAM會經(jīng)過認(rèn)證、授權(quán)、訪問、數(shù)據(jù)供應(yīng)、監(jiān)控審計等步驟。認(rèn)證即確認(rèn)用戶的身份，包括不同的云服務(wù)提供商、企業(yè)內(nèi)部用戶、企業(yè)服務(wù)對象等；授權(quán)分兩方面，一方面云服務(wù)提供商將自身所提供資源的權(quán)限授予給通過認(rèn)證的用戶，另一方面通過認(rèn)證的用戶將自己上傳資源的訪問權(quán)限授予給其他可訪問的用戶；訪問即根據(jù)訪問控制模型，設(shè)定并實施訪問策略，對各種數(shù)據(jù)請求進(jìn)行審核；數(shù)據(jù)供應(yīng)即為通過認(rèn)證的用戶提供數(shù)據(jù)傳輸或其它服務(wù)；監(jiān)控審計即對整個服務(wù)過程進(jìn)行實時記錄，發(fā)現(xiàn)問題及時預(yù)警并提出解決方案。

2 云計算IAM

傳統(tǒng)企業(yè)信息系統(tǒng)一般部署在企業(yè)內(nèi)部，軟件、計算機(jī)、網(wǎng)絡(luò)、交換機(jī)都在管理員的完全掌控下，即在可控信任域的范圍內(nèi)，并且可以通過設(shè)置防火墻、IDS建立保護(hù)屏障，與外界隔離開，在此種情況下進(jìn)行身份和訪問控制管理都相對而言比較簡單。但如果將部分?jǐn)?shù)據(jù)或業(yè)務(wù)移動到公有云，保護(hù)屏障已失去作用，可控信任域消失，企業(yè)對數(shù)據(jù)資源的控制權(quán)缺失；尤其在實時業(yè)務(wù)中所需資源是動態(tài)變化的，使得身份和訪問控制更為復(fù)雜，具有其自身的特點：

2.1 身份供應(yīng)跨區(qū)域，隱私難保護(hù)

傳統(tǒng)企業(yè)信息系統(tǒng)的用戶身份由人事部門來提供，權(quán)限也相應(yīng)明晰，一旦發(fā)生變化可以及時進(jìn)行同步處理。而在公有云的環(huán)境下，對于企業(yè)用戶而言，云端和企業(yè)都需要身份供應(yīng)，若由企業(yè)實現(xiàn)則存在用戶認(rèn)證跨區(qū)域的問題，若有云端供應(yīng)商提供，隱私數(shù)據(jù)又很難得到保障。而對個人用戶而言，由于是多個用戶共用軟硬件資源，身份信息泄露較為容易，隱私保護(hù)難落到實處。

2.2 多種認(rèn)證方式并存

傳統(tǒng)企業(yè)信息系統(tǒng)由于業(yè)務(wù)資源在可信任區(qū)域內(nèi)部，同時具有防火墻、IDS等的保護(hù)，故認(rèn)證方式多為“用戶名+密碼”即可滿足需求。而在云計算環(huán)境下，移動互聯(lián)網(wǎng)技術(shù)廣泛運用，人們隨時隨地都可以通過移動終端接入云端，享受快捷服務(wù)，與此同時簡單的“用戶名+密碼”的認(rèn)證方式遠(yuǎn)遠(yuǎn)不夠。信息系統(tǒng)至少會有2個工作域，分別是企業(yè)本身、云服務(wù)提供商。普遍的情況是云服務(wù)提供商為企業(yè)提供認(rèn)證服務(wù)，而身份認(rèn)證則會由購買了云服務(wù)的企業(yè)來進(jìn)行，不同業(yè)務(wù)安全級別不同，認(rèn)證力度也各不相同，強(qiáng)認(rèn)證、委托認(rèn)證是常用的手段，這其中可信、可管是關(guān)鍵。

2.3 訪問授權(quán)缺乏通用的模型

訪問控制模型是訪問授權(quán)的依據(jù)，以往的訪問控制模型能否運用到云計算環(huán)境下有待于進(jìn)一步檢驗。而所提供的云服務(wù)IaaS、PaaS和SaaS都有各自的特點，探索何種訪問控制模型適用于何種服務(wù)有待于進(jìn)一步深入研究。目前的難點是云端信息、企業(yè)相關(guān)信息的同步問題。

2.4 身份聯(lián)合

云計算環(huán)境下，企業(yè)業(yè)務(wù)開展通常會涉及到多個服務(wù)提供商，每個廠商都有自己的一套身份供應(yīng)、認(rèn)證、授權(quán)、訪問控制的方式方法，此種情況下，建立統(tǒng)一標(biāo)準(zhǔn)進(jìn)行身份聯(lián)合是簡化用戶訪問的有效措施。

3 各大廠商的技術(shù)解決方案

3.1 身份供應(yīng)策略

目前的工業(yè)標(biāo)準(zhǔn)是SPML（Service Provisioning Markup Language，服務(wù)供應(yīng)標(biāo)記語言），用于實現(xiàn)合作企業(yè)間信息交換。云服務(wù)提供商通過提供SPML適配器、SPML網(wǎng)關(guān)來支持SPML。通常情況下，新用戶信息通過SAML令牌傳遞給云服務(wù)提供商，而服務(wù)提供商從令牌中提取屬性信息，建立SPML消息，處理身份供應(yīng)請求，即將用戶信息填入到數(shù)據(jù)庫中去。

3.2 身份認(rèn)證策略

公有云通常是多個用戶共用軟硬件設(shè)備，這種方式?jīng)Q定了身份認(rèn)證需采用強(qiáng)認(rèn)證方式。在具體實施過程中，可以由云服務(wù)提供商來負(fù)責(zé)認(rèn)證，或外包給IDaas（ID as a Service，云身份服務(wù)）提供商，還可以由企業(yè)自身來完成，但這需要云服務(wù)提供相應(yīng)的支持。目前較為典型的身份認(rèn)證方式：S3（Amazon Simple Storage Service）身份認(rèn)證、基于OAuth的跨域身份認(rèn)證。

S3身份認(rèn)證：S3是亞馬遜提供的云存儲服務(wù)。當(dāng)新用戶注冊時，會被分配給Access Key ID（20位的字符串）和Secret Access Key（40位字符串），Access Key ID用來唯一的標(biāo)識用戶，Secret Access Key用來驗證用戶請求是否合法。身份認(rèn)證采用基于HMAC-SHAI數(shù)字簽名的認(rèn)證算法，其核心在于采用HMAC-SHAI消息認(rèn)證協(xié)議，利用散列函數(shù)來驗證數(shù)據(jù)是否完整，利用密鑰共享、消息認(rèn)證碼是否一致來驗證數(shù)據(jù)是否真實，用戶端和服務(wù)端的行為如下：

用戶端：生成服務(wù)請求，輸入訪問密鑰，計算消息散列值，計算認(rèn)證碼，發(fā)送服務(wù)請求及認(rèn)證碼

服務(wù)端：接收服務(wù)請求及認(rèn)證碼、提取訪問密鑰、查詢訪問密鑰、計算消息散列值、計算認(rèn)證碼、驗證認(rèn)證碼

基于OAuth跨域身份認(rèn)證：OAuth是支持跨域訪問的協(xié)議，允許用戶將存儲在私有云中的資源共享給其他用戶而不會暴露身份信息。它提供了安全進(jìn)行數(shù)據(jù)發(fā)布和交換的方式，同時也提供了保證自身信息安全的前提下訪問其他云數(shù)據(jù)的可能，應(yīng)用廣泛。

3.3 訪問授權(quán)策略

訪問控制模型是進(jìn)行訪問控制的依據(jù)，目前在企業(yè)中主要采用的有三種訪問模型：

①MAC（Mandatory Access Control）：強(qiáng)制訪問控制，適用于基于信息種類來進(jìn)行的訪問；

②RBAC（Role Based Access Control）：基于角色的訪問控制，適用于事務(wù)處理和非Web的服務(wù)；

③DAC（Discretionary Access Control）：自主訪問控制，適用于非結(jié)構(gòu)化數(shù)據(jù)的訪問，或是云服務(wù)提供商提供的Web服務(wù)。

目前基于上述模型典型的訪問授權(quán)方式有：基于XACML（eXtensible Access Control Markup Language，可擴(kuò)展控制標(biāo)記語言）的訪問控制、Windows Azure訪問控制。

基于XACML的訪問授權(quán)：XACML打破了特定應(yīng)用授權(quán)模型的局限，適用于不同應(yīng)用，是通用的、基于XML的訪問控制語言，提供訪問授權(quán)方法、執(zhí)行策略的授權(quán)標(biāo)準(zhǔn)。

Windows Azure訪問控制：Windows Azure是微軟公司的云平臺，主要采用NET訪問控制服務(wù)，即利用令牌和身份標(biāo)識轉(zhuǎn)換引擎來實現(xiàn)訪問控制。具體過程：用戶通過瀏覽器提供SAML（Security Assertion Markup Language）令牌（傳輸身份信息），.NET訪問控制服務(wù)端會根據(jù)規(guī)則STS（Security Token Service，安全令牌服務(wù)），創(chuàng)建新的SAML，并向用戶返回新的SAML令牌，用戶將新SAML令牌提交給應(yīng)用程序，應(yīng)用程序端使用新SAML令牌決定用戶權(quán)限。

3.4 身份聯(lián)合策略

目前進(jìn)行身份聯(lián)合主要有兩種方式，一種是由IDaaS來統(tǒng)一管理，另一種是企業(yè)內(nèi)部建立IdP（Identity Provider，身份供應(yīng)機(jī)構(gòu)）?；贗DaaS進(jìn)行身份聯(lián)合，可以不改變企業(yè)原有信息系統(tǒng)結(jié)構(gòu)，當(dāng)企業(yè)身份目錄和身份管理提供的云端同步時即可實現(xiàn)訪問，缺點是不知道實現(xiàn)細(xì)節(jié)，存在IDaas是否可信的問題?；贗dP的身份聯(lián)合則是在改造現(xiàn)有身份管理系統(tǒng)的基礎(chǔ)上進(jìn)行，保證了身份管理與企業(yè)內(nèi)部訪問控制策略的一致，而無需擔(dān)心可信安全問題。

4 目前研究

IAM是云計算安全的核心，目前的研究主要集中訪問控制模型、基于ABE密碼體制的訪問控制、多租戶和虛擬化訪問控制。

云訪問控制模型：主要在傳統(tǒng)訪問控制模型基礎(chǔ)上進(jìn)行改進(jìn)，讓它更適用于云計算環(huán)境。Jung Y等在RBAC基礎(chǔ)上提出自適應(yīng)訪問控制模型，會自動計算服務(wù)成本并且根據(jù)與預(yù)算的比對情況進(jìn)行角色轉(zhuǎn)換；林果園等結(jié)合BLP模型和Biba模型的特點，除了保證數(shù)據(jù)的保密性和完整性外，還增加權(quán)限、行為上的訪問控制；Chandran S M等提出唯一激活集解決混雜角色的權(quán)限查詢問題。Bertino E等擴(kuò)展TRBAC模型解決角色、用戶臨時依賴問題。

基于ABE（Attribute based Encryption，基于屬性的加密算法）密碼的訪問控制：基本觀點是認(rèn)為密文和私鑰分別與屬性存在關(guān)聯(lián)，當(dāng)密文屬性和私鑰屬性相匹配時用戶解密。Yu S等采用代理重加密方法，既提高重加密的效率又防止數(shù)據(jù)泄露；陳丹偉等將用戶域劃分，私人域采用CP-ABE，公共域采用分級的CP-ABE分別進(jìn)行訪問控制。

多租戶和虛擬化訪問控制：主要通過多租戶的隔離、hypervisor實現(xiàn)虛擬機(jī)的訪問控制。Li XY等提出將云服務(wù)提供商和租戶權(quán)責(zé)分離；Tang等將多租戶認(rèn)證系統(tǒng)與RBAC模型相結(jié)合；Yang等提出RB-MTAC（基于角色的多租戶訪問控制）；Lucian P等提出基于hypervisor的多租戶訪問控制機(jī)制。能根據(jù)通信狀況動態(tài)調(diào)節(jié)訪問控制策略。

5 未來研究方向

云計算由于自身的特點，安全方面還有許多問題尚待解決，結(jié)合云計算的需求和現(xiàn)有的IAM技術(shù)來看，未來IAM可能在標(biāo)準(zhǔn)化、密文的訪問控制、訪問控制服務(wù)化、跨云訪問、身份供應(yīng)自動化、細(xì)粒度訪問控制等方面有更深入的發(fā)展。

參考文獻(xiàn)

[1]馮登國，張敏，張妍，等.云計算安全研究[J].軟件學(xué)報，2011，22（1）：71- 83.

[2]陳丹偉，邵菊，樊曉唯，等.基于 MAH-ABE 的云計算隱私保護(hù)訪問控制[J].電子學(xué)報，2014，42（4）：821-827.

[3]林果園，賀珊，黃皓，等.基于行為的云計算訪問控制安全模型[J].通信學(xué)報，2013，33（3）：59-66.

[4]馮朝勝，秦志光，袁丁，等.云計算環(huán)境下訪問控制關(guān)鍵技術(shù)[J].電子學(xué)報，2015，43（2）：312-319.