金海

摘要：隨著云計(jì)算的出現(xiàn)，其對(duì)數(shù)據(jù)訪問技術(shù)提出了新的要求，使很多傳統(tǒng)訪問技術(shù)不再具有數(shù)據(jù)訪問的適用性，因此，適用于云計(jì)算的安全訪問的技術(shù)陸續(xù)出現(xiàn)，為未來的云計(jì)算架構(gòu)體系提供技術(shù)支撐，對(duì)云服務(wù)器中所有數(shù)據(jù)與信息進(jìn)行管理和保護(hù)，確保各項(xiàng)計(jì)算任務(wù)能夠穩(wěn)定執(zhí)行。鑒于此，筆者云環(huán)境下訪問控制面臨的問題和云訪問控制技術(shù)進(jìn)行了分析研究，提出了對(duì)為了云計(jì)算訪問控制技術(shù)的些許看法。

關(guān)鍵詞：云計(jì)算；訪問控制；云安全

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）14-0003-02

訪問控制技術(shù)是目前云計(jì)算系統(tǒng)在應(yīng)用過程中急需解決的核心問題。在目前的網(wǎng)絡(luò)系統(tǒng)應(yīng)用環(huán)境下，用戶往往將數(shù)據(jù)處理和存儲(chǔ)的任務(wù)交給大型的數(shù)據(jù)云服務(wù)提供商進(jìn)行處理維護(hù)，用戶的數(shù)據(jù)不再受用戶本身的掌控，起而代之的是數(shù)據(jù)云服務(wù)提供商的統(tǒng)一管控，因此，數(shù)據(jù)云服務(wù)商對(duì)數(shù)據(jù)的非法訪問或者惡意用戶的非法竊取問題變得尤為棘手。同時(shí)，虛擬化、多租戶技術(shù)作為目前云計(jì)算領(lǐng)域中主要應(yīng)用的兩項(xiàng)關(guān)鍵技術(shù)，同時(shí)也造成數(shù)據(jù)資源能夠進(jìn)行動(dòng)態(tài)伸縮的主要原因。通過虛擬化技術(shù)能夠使不同用戶可以共享相同硬件存儲(chǔ)資源，通過多租戶技術(shù)能夠?qū)⒉煌脩魯?shù)據(jù)存儲(chǔ)于同一張數(shù)據(jù)庫表中，通過標(biāo)簽技術(shù)即可完成數(shù)據(jù)隔離，共享相同數(shù)據(jù)資源，通過以上技術(shù)構(gòu)成的多租戶環(huán)境，對(duì)云計(jì)算訪問控制任務(wù)提出了較高的技術(shù)要求。云計(jì)算數(shù)據(jù)訪問流程如圖1所示，身份認(rèn)證和訪問控制技術(shù)是數(shù)據(jù)訪問的核心。

1云環(huán)境下訪問控制面臨的問題

傳統(tǒng)數(shù)據(jù)計(jì)算模式下，數(shù)據(jù)信息管理系統(tǒng)的軟件與硬件設(shè)備通常部署于企業(yè)內(nèi)部，網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)設(shè)備及路由器設(shè)備構(gòu)成了一個(gè)內(nèi)部網(wǎng)絡(luò)，此內(nèi)部網(wǎng)絡(luò)可以被企業(yè)信息系統(tǒng)管理人員完全控制，內(nèi)部網(wǎng)絡(luò)區(qū)域被稱為“可控信任域”。在此類工作模式下，由于企業(yè)能夠?qū)?nèi)部所有IT網(wǎng)絡(luò)資源進(jìn)行控制，因此，從企業(yè)的角度來說，實(shí)現(xiàn)數(shù)據(jù)的訪問不是十分困難，然而企業(yè)一旦將自身的數(shù)據(jù)業(yè)務(wù)加載到云端之上，那么其“可控信任域”不會(huì)存在，企業(yè)數(shù)據(jù)信息系統(tǒng)的相關(guān)服務(wù)和功能將被置于更高規(guī)模的域中，該域通過企業(yè)域和云域聯(lián)合組成，可控信任域中防火墻、IDS所構(gòu)成的“可信邊界”再也不會(huì)起到安全保護(hù)作用，導(dǎo)致“可控信任域”轉(zhuǎn)換為“不可信域”，這是由于企業(yè)內(nèi)部?jī)H僅能夠控制小部分“不可信域”，對(duì)于其中的“云域”沒有任何控制權(quán)。而且，云端會(huì)根據(jù)實(shí)際的需求動(dòng)態(tài)調(diào)整供給的資源和資源規(guī)模，使整個(gè)網(wǎng)絡(luò)范圍始終處于不斷變化的過程中，這會(huì)造成企業(yè)數(shù)據(jù)訪問的困難，云計(jì)算環(huán)境下的數(shù)據(jù)訪問控制也會(huì)遇到許多限制。

1.1身份供應(yīng)

傳統(tǒng)的計(jì)算和數(shù)據(jù)訪問模式是企業(yè)的人力資源管理部門根據(jù)公司員工的崗位信息劃分不同級(jí)別的用戶賬號(hào)，用戶根據(jù)自己的賬號(hào)進(jìn)行數(shù)據(jù)訪問，此過程發(fā)生在可信任的邊界內(nèi)部，身份認(rèn)證和身份同步過程較為簡(jiǎn)單。在以上應(yīng)用情況下，一旦將云計(jì)算融入到可控信任域內(nèi)，不同域環(huán)境中的身份驗(yàn)證和同步過程將會(huì)成為難題，如果由云域與企業(yè)域同時(shí)通過身份認(rèn)證，身份同步過程較難實(shí)現(xiàn)，用戶數(shù)據(jù)的隱私性也會(huì)被破壞。從用戶的角度來說，云計(jì)算環(huán)境目前主要通過自主供應(yīng)的方式進(jìn)行身份供應(yīng)，用戶的隱私信息存在泄漏的風(fēng)險(xiǎn)，由于云計(jì)算環(huán)境中的資源是用戶共同擁有的，是可以用戶間共享的，隱私保護(hù)問題必然成為需要特別關(guān)注的問題。

1.2認(rèn)證

傳統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)訪問系統(tǒng)中通過“用戶名+口令”的形式進(jìn)行身份認(rèn)證，這種方式雖然相對(duì)容易，但是其安全性比較低，因此屬于弱認(rèn)證方式，其安全威脅主要由可信域內(nèi)部產(chǎn)生，但均位于可信邊界之內(nèi)部，因此系統(tǒng)安全性能夠得到一定程度的保證，但是此類認(rèn)證方式的安全性仍然無法完全應(yīng)用于所有接人的外部終端。在此類認(rèn)證方式的基礎(chǔ)上引人多種更加安全的多因子強(qiáng)認(rèn)證策略，并且根據(jù)不同安全級(jí)別的服務(wù)應(yīng)用提供不同力度的認(rèn)證方式。將云計(jì)算服務(wù)引入企業(yè)系統(tǒng)內(nèi)部后，從保護(hù)用戶隱私的角度出發(fā)，企業(yè)往往不會(huì)為云計(jì)算服務(wù)提供商傳輸用戶的基本身份信息，因此，云計(jì)算供應(yīng)商不能對(duì)用戶身份進(jìn)行確認(rèn)，必須將身份認(rèn)證委托給享受云服務(wù)的企業(yè)本身，此時(shí)企業(yè)在使用云計(jì)算服務(wù)時(shí)，需要通過可信、可管控方式對(duì)用戶身份信息進(jìn)行認(rèn)證，企業(yè)需要克服身份認(rèn)證管理、委托認(rèn)證以及強(qiáng)認(rèn)證等一系列問題。

1.3訪問授權(quán)

要完成數(shù)據(jù)的授權(quán)訪問，必須選擇選擇合理的訪問控制模型，由于云計(jì)算本身具備多種特點(diǎn)，并不是所有模型在云計(jì)算環(huán)境中具備良好的適用性。云計(jì)算環(huán)境下選擇何種訪問控制模型，不同的服務(wù)提供商應(yīng)該選擇何種訪問控制模型都是需要詳細(xì)設(shè)計(jì)和考慮的問題。如果將策略決定點(diǎn)和執(zhí)行點(diǎn)部署在云端或云服務(wù)提供商處，則云計(jì)算平臺(tái)端的用戶基本信息與策略信息必須與其他企業(yè)信息保持同步，這是最難實(shí)現(xiàn)的，一旦無法實(shí)現(xiàn)，數(shù)據(jù)訪問授權(quán)就會(huì)被阻斷。如果在企業(yè)內(nèi)部進(jìn)行策略決定點(diǎn)的部署，那么需要將策略執(zhí)行點(diǎn)部署在云端，這樣就規(guī)避了信息同步的難題，但同樣會(huì)遭遇到授權(quán)、應(yīng)用分離的問題，而這個(gè)問題是目前技術(shù)無法克服的。

2云訪問控制技術(shù)

云計(jì)算的訪問控制技術(shù)涉及多方面的問題，需要從大環(huán)境方向?qū)ξ锢砼c虛擬資源的訪問控制進(jìn)行分析，對(duì)底層數(shù)據(jù)資源進(jìn)行完整性保護(hù)，確保數(shù)據(jù)信息流不會(huì)被惡意竊取，而且需要訪問控制設(shè)計(jì)具備一定的靈活多樣性。

2.1云身份供應(yīng)

服務(wù)供應(yīng)標(biāo)記語言是在云身份供應(yīng)標(biāo)準(zhǔn)還沒有被制定出，云服務(wù)供應(yīng)商必須嚴(yán)格遵守的工業(yè)標(biāo)準(zhǔn)，主要在合作機(jī)構(gòu)企業(yè)之間進(jìn)行用戶信息、資源信息及服務(wù)信息交互時(shí)應(yīng)用，主要通過兩種基本方式對(duì)以上服務(wù)提供支持，第一種方式是向用戶提供相關(guān)的連接器或適配器，第二種方式是為用戶提供SPML網(wǎng)關(guān)。如果系統(tǒng)支持SPML，那么云服務(wù)供應(yīng)商即能夠隨時(shí)為云平臺(tái)新用戶提供身份供應(yīng)的相關(guān)功能服務(wù)，新用戶信息可以使用SAML令牌獲取云服務(wù)供應(yīng)商提供的數(shù)據(jù)訪問服務(wù)，云服務(wù)供應(yīng)商從令牌中獲取用戶信息，還能夠?qū)⒂脩粜畔⑻砑又料到y(tǒng)的信息數(shù)據(jù)庫中，從而對(duì)定制方案存在的不足進(jìn)行一定程度的彌補(bǔ)。

2.2云認(rèn)證

云計(jì)算平臺(tái)的多租用特征要求其必須使用強(qiáng)認(rèn)證方式進(jìn)行身份認(rèn)證，如果強(qiáng)認(rèn)證方式由云計(jì)算端進(jìn)行提供，則需要由云計(jì)算服務(wù)提供商實(shí)施認(rèn)證過程，或者將認(rèn)證過程外包給專業(yè)的云計(jì)算身份供應(yīng)服務(wù)商。如果由企業(yè)提供身份認(rèn)證服務(wù)，則需要云計(jì)算服務(wù)供應(yīng)商為其認(rèn)證委托提供相應(yīng)的技術(shù)支持。企業(yè)能夠通過開放標(biāo)準(zhǔn)實(shí)現(xiàn)強(qiáng)認(rèn)證過程，在云計(jì)算平臺(tái)中內(nèi)置云認(rèn)證服務(wù)，云計(jì)算的特點(diǎn)直接決定了云認(rèn)證服務(wù)必須由企業(yè)提供。云計(jì)算平臺(tái)管理員能夠利用專用網(wǎng)VPN虛擬完成身份認(rèn)證過程，對(duì)于云計(jì)算的普通用戶而言，則能夠通過身份認(rèn)證與專用網(wǎng)認(rèn)證兩種方式完成認(rèn)證過程。

2.3云訪問授權(quán)

目前云計(jì)算信息系統(tǒng)主要能夠利用的訪問控制模型包括自主訪問控制（DAC）模型、強(qiáng)制訪問控制（MAC）模型以及基于角色的訪問控制（RABC）模型，特別需要說明的是，非結(jié)構(gòu)化數(shù)據(jù)能夠較好地適用于自主訪問控制模型，事務(wù)處理服務(wù)最好使用基于角色的訪問控制模型。

3結(jié)論

綜上，云計(jì)算訪問控制研究是目前云計(jì)算安全領(lǐng)域中比較關(guān)鍵的一個(gè)環(huán)節(jié)，其能夠直接影響到我國(guó)信息化安全的建設(shè)。云計(jì)算訪問控制技術(shù)不單單是單純的技術(shù)層面上的問題，同時(shí)也包括行業(yè)標(biāo)準(zhǔn)制定以及標(biāo)準(zhǔn)化的推行工作等，因此，通過安全可靠的訪問控制技術(shù)構(gòu)造安全的云計(jì)算環(huán)境是十分有必要的。因此，適用于云計(jì)算的安全訪問的技術(shù)陸續(xù)出現(xiàn)，為未來的云計(jì)算架構(gòu)體系提供技術(shù)支撐，對(duì)云服務(wù)器中所有數(shù)據(jù)與信息進(jìn)行管理和保護(hù)，確保各項(xiàng)計(jì)算任務(wù)能夠穩(wěn)定執(zhí)行。