云計算中的訪問控制技術(shù)研究

常玲霞

摘要：與網(wǎng)絡(luò)計算快速發(fā)展對應(yīng)的是，云計算同樣也在快速的發(fā)展。如今各行各業(yè)都意識到了云存儲的應(yīng)用價值，積極引用云存儲和云計算技術(shù)用于企業(yè)管理。在信息共享以及互聯(lián)網(wǎng)協(xié)作分工發(fā)展的同時，云存儲便顯得越發(fā)重要。目前云存儲所遭遇的最大問題便是資源量的快速擴大以及用戶量的劇增。面對這樣的環(huán)境與問題，異構(gòu)訪問控制已不容忽視。統(tǒng)一協(xié)調(diào)成為了控制訪問的重要策略。資源整合、資源調(diào)節(jié)是其中的中的重中之重?，F(xiàn)本文以云存儲訪問控制合成方案作為研究對象，簡要分析云存儲訪問控制技術(shù)的規(guī)劃和發(fā)展。

關(guān)鍵詞：云計算；云存儲；訪問控制；資源整合

前言：如今云計算早已不是稀罕的名詞，其已經(jīng)被滲透到廣大行業(yè)以及任何領(lǐng)域。云計算憑借著強大的計算能力與安全的運作環(huán)境受到人們的普遍關(guān)注。對我們來說云計算最大的作用便是可以將大量資源，包括計算機資源、存儲資源、軟件資源集合到一起，以此為基礎(chǔ)建立虛擬資源共享平臺。云計算規(guī)模是非常巨大的，且具備共享功能。隨著云計算的進一步發(fā)展，云存儲漸漸也得到了越來越多的關(guān)注。本文便以云計算、云存儲為分析對象，探討云計算的訪問控制方法。

1訪問控制的原理

1.1傳統(tǒng)訪問控制方法。從上個世紀的70年代起，受主機系統(tǒng)共享數(shù)據(jù)、共享分析需求所致，云計算就此誕生。云計算出現(xiàn)的初衷是為了能夠管理數(shù)據(jù)，授權(quán)訪問權(quán)限。也就是說云計算能夠?qū)崿F(xiàn)訪問控制，鑒別訪問用戶的身份，根據(jù)特殊控制手段與渠道，準許用戶訪問或限制用戶訪問，明確不同用戶的訪問范圍與權(quán)限。可以說這種技術(shù)成為了抵消、防止用戶非法入侵，阻止用戶非法破壞信息系統(tǒng)的重要手段。訪問控制的價值包括：利用訪問控制體系保護系統(tǒng)內(nèi)存儲的用戶資源信息，以防非法用戶竊取資源以及瀏覽他人信息；成立共享平臺，從而使得到保護的用戶以及信息資源可以被許可用戶安全訪問；控制合法用戶權(quán)限，杜絕合法用戶私自篡改系統(tǒng)的訪問權(quán)限，防止非法用戶訪問系統(tǒng)。在計算機計算快速發(fā)展的今天，控制權(quán)限成為了人們所熟知的內(nèi)容。

1.2RBAC96訪問控制。以角色訪問控制的模組分別對權(quán)限、角色、用戶三者關(guān)系進行描述，能夠解決在傳統(tǒng)訪問中暴露出的控制過程主體無法與特定實體靈活捆綁的問題。此訪問控制方法能夠靈活授權(quán)，故被當(dāng)做經(jīng)典訪問控制模組。另外RBAC模組的基礎(chǔ)RBAC96是這一模型的核心，所有后續(xù)RBAC模型都是根據(jù)RBAC96原形發(fā)展出來的。

RBAC授權(quán)即將客體存取訪問的權(quán)限于可控條件下，將有關(guān)操作提供給角色代表的用戶。該控制模型可以借助授權(quán)管理模式，基于某個角色多項權(quán)限，甚至這一權(quán)限能夠授權(quán)多個角色。伴隨著多年的研究，如今我國的技術(shù)人員已經(jīng)在原有的RBAC基礎(chǔ)上提出了更多擴展模型。比較常見的包括任務(wù)訪問控制、事態(tài)云計算控制等。這些模型可以從多重角度解決系統(tǒng)訪問控制問題，保障信息訪問的可控性、安全性。

1.3訪問控制的語言描述。在訪問控制實踐中，出現(xiàn)了多種語言可以描述用戶訪問與授權(quán)管理的情況。這些語言是工程實踐和控制理論連接的橋梁，發(fā)揮著巨大的作用。目前主要有三種語言可以描述云計算訪問控制，不同語言的功能存有一定差異。

第一種安全斷言標(biāo)記，這種語言以XML為基準，可用于不同安全級別的數(shù)據(jù)授權(quán)和認證交換。這種語言可以為身份提供者與服務(wù)提供者提供下述多種功能：認證申明，確保用戶已通過認證，實現(xiàn)單點登錄；屬性申明表明某個學(xué)科屬性；授權(quán)申明確保某資源所需權(quán)限。

第二種服務(wù)供應(yīng)標(biāo)記。這種語言同樣是以XML為標(biāo)準，進行用戶賬號創(chuàng)建服務(wù)于處理用戶賬號請求。

第三種可擴展訪問控制標(biāo)記。最后一種語言為以XML基準的策略語言、控制決策與響應(yīng)語言，能夠有效控制Web服務(wù)的訪問，為XACML提供處理幾何規(guī)則、復(fù)雜策略功能，適用于大型云計算平臺訪問控制。

2云計算訪問控制問題

傳統(tǒng)訪問控制的手段和適用范圍早已無法滿足現(xiàn)階段云計算的架構(gòu)要求。在虛擬技術(shù)出現(xiàn)的同時，云計算下的訪問控制早已從傳統(tǒng)用戶的授權(quán)轉(zhuǎn)變?yōu)樘摂M資源安全訪問，這大大增加了其適用范圍與控制手段。此外訪問控制的管理方法和云計算的控制管理需求仍有許多矛盾同樣是需要解決的。另外關(guān)于機制方面，用戶跨領(lǐng)域訪問資源時，相互授權(quán)即資源共享問題還未曾得到解決方案。上述問題都是急需解決的問題。

3云計算訪問控制的研究

3.1訪問控制模型。建立安全訪問控制的模型，使用戶借助訪問控制模組獲取響應(yīng)權(quán)限，借此來完成相關(guān)數(shù)據(jù)有效訪問。不過目前云計算訪問控制模型研究仍處于起步階段，所以需要根據(jù)訪問控制模型需求，將其劃分為任務(wù)訪問控制、屬性訪問控制、UCON訪問控制以及BLP云計算訪問控制四種控制模型。

3.2ABE機制訪問控制研究。密碼機制原理為通過數(shù)據(jù)加密使具有密鑰授權(quán)人員完成密文解密。密碼機制訪問控制能夠賦予信息在不可信的服務(wù)器端環(huán)境很大的安全性、保密性。數(shù)據(jù)所有者可以在存儲數(shù)據(jù)前對數(shù)據(jù)進行加密，以此來控制該資源訪問權(quán)限。ABE作為其中的佼佼者與常用密碼機制，獲得了十分廣泛的運用，為數(shù)據(jù)提供者提供了很好的數(shù)據(jù)控制能力。

結(jié)語：云計算訪問控制已成為安全領(lǐng)域中非常重要的問題。云計算訪問控制的研究頗受工業(yè)界、學(xué)術(shù)界的關(guān)注，在不斷發(fā)展與研究的過程中，云計算在近些年取得了一定進步，但仍有一系列的問題尚待解決。本文以云計算環(huán)境訪問控制框架為分析對象，全面闡述了云計算的訪問控制過程出現(xiàn)的問題，希望本文的研究能夠為其他的研究者予以一定參考，進一步提高云計算的能力，營造更加安全的云計算環(huán)境。