云计算访问控制技术研究综述

王金宝

摘 要：进入新时期后，云计算发展迅速，但同时，也暴露出来了严重的云安全问题。而访问技术是云安全问题的关键，通过访问控制技术的实施，可以有效限制用户访问数据，促使信息资源使用合法性得到保证。本文简要分析了云计算访问控制技术，希望能够提供一些有价值的参考意见。

关键词：云计算;访问控制技术;研究综述

在云计算发展中，非常重要的一个问题是访问控制。如果向云服务提供商外包数据处理、数据存储等工作，那么数据所有者就无法有效掌控数据，这样云服务提供商就很容易非法访问数据。此外，研究发现，在云计算中经常使用到虚拟化和多租户技术，以便达到动态伸缩资源的目的。但是，在虚拟化技术的支持下，很多用户可以对硬件资源进行共享，也就是在一张数据表上存储不同的用户数据，仅仅借助于标签进行隔离，在这种情况下，很容易有非法访问出现。

1 云计算访问控制技术概述

访问控制技术于上个世纪七十年代出现，其主要目标是满足主服务器上的数据访问授权需求，通过有效辨别访问者的身份，来对访问者数据访问区域进行限定，以此来保密重要数据，避免主服务器的正常运行受到非法入侵的不良影响。经过不断发展，传统访问控制技术逐步发展为自主访问控制、强制访问控制、角色访问控制等多种类型。

2 云计算时代下计算和存储模式的变化

调查研究发现，进入云计算时代后，在较大程度上改变了存储模式和计算模式。具体来讲，可以从这些方面进行分析：首先，用户无法对资源有效控制;用户、云平台之间的信任不够。其次，先进技术的运用，改变了数据安全域。再次，通过多租户技术的运用，对访问主体进行了重新界定。最后，虚拟化技术的运用，导致数据资料很容易被同一物理设备所窃取。在这种情况下，就需要深入研究访问控制技术，保护云计算环境下的数据安全。

3 云计算环境下访问控制面临的问题

调查发现，在过去的计算机模式下，通常在企业内部部署信息系统的软件和硬件，企业信息系统管理人员控制着内部网络，且能对内部所有IT资源有效控制。而如果在云端上放置业务，那么就会在更大的域中存储信息系统各项业务。在这种情况下，企业只能够对不可信域部分控制，无法有效控制云域，在访问控制过程中很容易出现问题。

3.1 身份供应

在过去的模式下，企业内部用户身份信息由企业内部人员所供应，本过程不超出系统可信任边界，因此可以较为便捷的实现身份供应。而如果引入了云服务，就会增加不同域身份供应的难度。如果身份供应同时由云域和企业域共同提供，那么就无法实现身份信息同步;而如果身份信息由云所提供，这样就很容易出现用户数据被非法访问的问题。因为云环境在身份供应中采用的方式为自主供应，这样就很容易泄露用户隐私信息。

3.2 认证

过去在认证中，通常将用户名和口令的方式运用过来。实践研究表明，本种方式的安全性不够，可信域内部容易出现威胁。系统均在可信任边界内工作，具有一定的安全性，但是如果将终端设备接入进来，安全性就得不到保证。针对这种情况，需要将安全性更高的多因子认证方式运用过来，且根据安全级别的差异，将不同力度的认证方式运用过来。在系统内部引入云服务后，为了保护隐私，大部分企业不会将用户基本身份信息提供给云服务提供商，那么用户身份就无法被云计算供应商所确认，由购买云服务的企业开展认证服务，这样在用户身份认证时，就会有一系列问题出现。

3.3 访问授权

要想促使访问授权的目的得到实现，就需要对访问控制模型合理选择，但是因为云计算的局限性，部分模型无法有效应用。在这种情况下，就需要充分考虑哪种访问控制模型可以运用到云环境中，云服务提供商应该对访问控制模型如何选择等。在具体实践中，如果将策略决定点、执行点布置于云端或云服务提供商处，这样就需要同步云端用户信息和其他企业信息，实现难度较大。但是如果无法实现，就会影响到正常的访问授权。而如果将执行点布置于云端，虽然信息远程同步的问题得到了有效解决，但是却分离了授权和应用，出现了新的问题。

3.4 身份联合

研究发现，在云环境下，服务访问的实现涉及到的域较多，且不同的域在认证方式、身份供应方式等方面存在着较大的差异，不同域需要不同的访问控制方式，这样就需要对身份管理、访问控制的方式进行统一，否则系统不兼容问题就很容易出现，影响到用户访问。基于这种情况，需要深入研究身份联合技术。目前，云环境下的身份标准还没有得到统一制定，云服务提供商、企业采用不同的标准，那么就在较大程度上增加了身份联合的难度。

4 云计算访问控制技术

在研究云计算访问控制技术时，需要将诸多方面的因素纳入考虑范围，除了要考虑访问控制物理资源和虚拟资源，还需要有效保护底层资源，避免不法人员恶意窃取信息流和数据等，同时，还需要灵活多样的设计访问控制。

4.1 云身份供应

云身份供应标准尚未制定出来时，云服务供应商需要积极遵循服务供应标记语言，以此来保证合作企业之间能够有效交换用户信息、资源信息和服务信息。一般情况下，可以利用两种方式来实现这个目的：首先是将适用性较强的连接器、适配器等提供给用户;其次是将SPML网关提供给用户。只要支持SPML，那么云服务供应商可以将身份供应方面的服务实时提供给新用户，云服务供应商借助于SAML令牌，提供新用户信息，且在信息数据库中添加用户信息，以便对定制方案中存在的问题有效解决和完善。

4.2 云认证

因为多租户技术的运用，导致需要将强认证方式给运用过来，如果由云端提供强认证，那么认证服务就需要由云服务提供商所实施;结合实际的情况，也可以向云身份供应商外包认证服务。如果认证服务由企业所提供，那么云服务供应商就要从技术等多个角度提供支持，促进认证委托等工作的顺利开展。借助于开放标准，企业可以将强认证有效实施下去，或者将云认证服务内置于平台中。基于云计算的要求，需要企业提供认证服务。在具体实践中，相应的工作人员在身份认证服务实施中，可以借助于专用网VPN来实现。

4.3 云访问协议

现阶段，自主访问控制、角色访问控制、强制访问控制等是信息系统实施访问控制的主要模型。研究发现，在自主访问控制模型中可以有效适用非结构化数据，一般情况下，要综合运用事物处理服务和角色访问控制模型。

4.4 云身份联合

研究发现，目前有多种方式可以实现身份联合，如企业将身份供应机构ID构建起来，或者专门供应商对IDAAS等统一构建。需要注意的是，在构建云身份联合模型时，首先要对身份管理机构进行构建，且机构的权威性较强;其次，对用户基本属性合理确定;最后，要对身份供应机构合理设定，且云服务提供商的访问需要被有机支持。

5 结语

综上所述，在云计算发展过程中，非常关键的内容即为云计算访问控制，其研究成果会直接影响到我国信息化整体建设成效。需要注意的是，云计算访问控制除了要深入研究技术，还需要结合实际情况，不断完善行业标准，提升其标准化程度。

参考文献：

[1]戚斌.云计算访问控制技术研究综述[J].中国新通信，2017，3（10）：123-125.

[2]李亚奇.云计算访问控制技术研究综述[J].信息与电脑，2016，4（11）：88-90.

[3]王子豪.云计算环境中访问控制研究綜述[J].电子世界，2016，3（14）：244-245.