关于云计算环境下的访问控制技术探讨

摘 要：基于云计算的不断发展，云安全已成为用户关注的焦点。而云计算环境下，大部分用户在存储于服务器中的信息数据计算难以控制，同时针对信息数据的保护也无法确定。对此，应加强云计算环境下的访问控制安全性。

关键词：云计算；访问控制；身份管理

访问控制的主要目的就是通过限制用户在信息数据方面的访问能力与范围，避免不法分子访问与应用用户信息数据资源。基于云计算环境下，传统的计算方式相关访问控制技术可有效的加强用户信息数据资源的安全性保护，防止不法分子窃取用户信息资源。可是云计算的方式与存储方法与传统计算模式存在许多区别，传统访问控制技术难以确保云计算环境下的信息安全。因而，探讨云计算环境下的访问控制技术具有深远意义。

一、云计算环境下访问控制现状分析

（一）访问授权

访问授权必须要选取合理的访问控制模型。针对云计算具有的特征，并非各个模型都可运用在云计算环境下，哪种访问控制模型适宜应用在云计算环境下？且云服务的提供商又应选取何种访问控制模型？一系列问题都需要解决。若是难以同步实现，就会导致访问授权出错；若是把策略的决定点设置于企业内部，然后把策略执行点设置于云端，能有效防止信息远程同步问题的发生，可是授权和应用分离的问题就会发生[1]。目前，依然未彻底解决。

（二）身份联合

基于云计算环境下，服务访问一般会跨越许多个领域，而各个领域都存在独特的身份供应模式和认证模式以及访问控制模式。针对此种现象，若是缺少统一的模式加强身份管理与访问控制，可能导致系统出现不兼容问题，并且加大用户访问的难度。而处理此问题的手段可通过身份联合，但是因为云计算环境下的身份联合标准一直未制定，目前云服务的提供商与企业依循的标准存在一定差异，所以怎样进行身份联合也是一个问题。

（三）单点登录

云计算环境属于多域环境，所有涵盖云应用的企业信息系统最少要包含企业域与云域[2]。基于传统方式，在用户访问企业的信息系统过程中，因为仅有单个域是企业所管控和信任的，所以用户只要登录一次就可访问信息系统，并且实现信息数据的应用。可在云计算环境下，企业难以控制所有域，也无法通过创建统一门户完成单点登录。

二、云访问控制技术

（一）基于XACML访问授权技术

目前集中方式的授权与分散方式的授权都是以特定应用授权模型作为基础实现授权，可特定应用授权的模型无法有效描述访问诸多用户权限[3]。对此，应为各个应用访问设置标准化语言与访问授权方式，机创建通用授权标准。而授权要以所有授权策略与规则作为前提，并围绕用户角色以及职责建立。其中可扩张的访问控制相关标记语言XACML便是，其为OASIS批准后通用的以XML为基础应用在策略管理以及访问决策方面的访问控制语言。此种语言可支持XML中通用策略语言，实现了资源访问控制[4]。另外，基于其为访问控制标准而言，XAC-ML能提供策略语言模型，还能提供策略管理与访问环境模型，适宜应用在云计算环境下。

（二）基于Idp身份联合

此种联合模式最大的优点便是确保身份联盟和企业内部对于策略与处理方式以及访问管理方面的一致性[5]。企业可以改造与加强身份管理系统，便能实现对身份联合的大力支持，同时也不需要原有系统。此种模式可使企业不用过多关注身份供应部门是否可信与安全。但是基于Idp身份联合也存在一些缺点，如原有身份管理系统在不支持身份联合模式的状况下，对于外部用户的管理就比较困难。另外，基于Idp身份联合模式而言，云服务可把认证委托于企业相关身份提供部门，若是部分云服务商把认证委托于相同身份供应部门，站在企业方面考虑，相应的与服务商可构成可信云环，从而企业可在可信云环之内完成身份联合。

（三）云单点登录

单点登录SSO主要指用户仅仅需要在网络中完成一份身份认证，就能够访问其所授权的相关网络资源，并不需要在进行其它有关身份认证的过程[6]。简而言之，用户一次登录成功，可实现多处访问。但是，实现单点登录的根本要求就是有关应用系统或者是可信域已应用身份联合技术创建了身份联盟。同时单点登录实现的基础是安全凭证信息可以在安全联盟中实现迅速传递或者是共享。现阶段，单点登录制定的标准为SAML，已有的云服务提供商大部分是以此标准作为基础实现单点登录的。对于SAML单点登录模式访问谷歌的Web应用具体过程见图1所示。

结束语：

近些年，随着科学技术的不断进步，云计算环境下访问控制技术取得一定成果。但是，由于许多用户依然对存于于服务器中的数据计算与保护难以掌握，因而还需要对云计算环境下的访问控制技术进行持续改进与完善，从而保证用户信息的安全性与机密性。

参考文献

[1] 肖人毅. 云计算中数据隐私保护研究进展[J]. 通信学报，2014，v.35；No.32612：168-177.

[2] 石玉峰，甄华. 云计算中数据访问控制策略分析[J]. 通讯世界，2015，No.26405：72-73.

[3] 王剑柯. 云计算环境下的分布式存储[J]. 中国新通信，2015，v.1720：33.

[4] 王茜，朱志祥，葛新，杜迟. 应用于云计算中心的虚拟主机安全防护系统[J]. 计算机技术与发展，2014，v.24；No.20303：134-137.

[5] 从立钢，郭利菊. 云存储系统安全技术研究[J]. 长春理工大学学报（自然科学版），2014，v.3703：132-134.

[6] 蔡红云，田俊峰. 云计算中的数据隐私保护研究[J]. 山东大学学报（理学版），2014，v.4909：83-89+96.