胡 林

（中國電信系統(tǒng)集成公司，北京　100035）

要想保證云計算的持續(xù)發(fā)展就必須先解決好訪問控制的問題。用戶在進行數據存儲與處理的過程中，如果將數據的整理工作外包給云服務的提供商，就改變了原數據的持有者身份，失去了對數據處理所有權，換而言之就是，外包云服務商獲得了對用戶數據的使用權，因此，出現了大規(guī)模云服務提供商訪問數據不合法現象，與此同時，在云計算中虛擬化技術與多租戶技術的應用較為普遍，二者也是促使資源進行動態(tài)伸縮的重要因素。通過對虛擬化技術的應用，能夠實現用戶之間相同硬件資源的共享，多租戶技術是促進用戶數據集中的重要條件，通過標簽把集中的數據進行隔離，進而實現相同軟件資源的共享，在如此條件下造成了多租戶環(huán)境現象，導致了訪問控制工作要求的提高，在進行訪問控制時，要對用戶實行分區(qū)，避免用戶出現不合法訪問現象。

1　云計算訪問控制技術的發(fā)展軌跡

早在幾十年前就已經出現了訪問控制技術，順應了時代發(fā)展的要求，為了有效實行授權主服務器數據訪問政策，訪問控制技術利用其他程序對識別訪問者身份，規(guī)劃出符合訪問者需求的數據訪問空間，密閉式管理重要數據，防止因非法入侵而產生的主服務器損傷現象。Lampson提出了早期訪問控制，并由后來的人們進行改善，逐漸發(fā)展出新的訪問控制。面對社會高速發(fā)展的現狀，人們越發(fā)重視起信息安全問題，信息安全是訪問控制技術的重要研究內容。隨著網絡與計算機技術的不斷發(fā)展，造成了訪問控制模型的逐漸擴展，根據RBAC建設擴展模型，涉及領域相當廣泛。

2　云環(huán)境下訪問控制面臨的問題

（1）身份供應。傳統(tǒng)的計算模式有專門的工作人員根據資源管理者提供的用戶信息進行認證，在系統(tǒng)可信范圍進行運作，所以，能更便捷的供應用戶身份信息，實現身份信息的實時同步供應，在此條件下，如果引進云服務，會導致因區(qū)域環(huán)境差異而產生身份供應問題，若是云環(huán)境與企業(yè)環(huán)境合作進行身份供應，就好造成身份信息不同步現象，如果只是通過云環(huán)境來提供身份信息，就會有隱私泄露的風險。對普通用戶而言，云環(huán)境的身份信息自主供應模式，不利于用戶的隱私保護，云環(huán)境如何在實現資源共享的同時保護用戶隱私成為重要難題。

（2）訪問授權。為實現訪問授權的目標，必須要挑選出最合適的訪問控制模型，因為云計算具有相對的獨特性，不能應用于全部類型的模型之中。所以，要找出能夠適應云環(huán)境以及符合不同云服務提供商要求的訪問控制模型，是現階段的主要難題。若是把策略部署指揮與執(zhí)行中心放在云端或云服務提供商，就會對各個企業(yè)實現用戶以及策略信息同步造成困難，如果信息不同步，在訪問授權方面就會出現差錯，要是把策略部署的指揮中心放在企業(yè)內部，就應該由云端來執(zhí)行，能夠避免信息的遠程不同步現象，但是如果這樣做，就會在授權以及應用分離等方面出現問題，現階段的云計算還不足以滿足這些需求。

（3）身份聯(lián)合。云域的訪問服務應用廣泛，體現在云環(huán)境的方方面面，在進行訪問的過程中要涉及多個領域，其中不同的域都有自身特有的認證以及身份供應方式，不同域在訪問控制方式上也存在差異，導致訪問認證以及信息管理的統(tǒng)一性方面存出現分歧，造成系統(tǒng)的兼容性問題，對用戶的訪問造成困難，而身份的聯(lián)合對改善這一現象有重要作用，但是，現階段對于云環(huán)境之中的身份標準沒有明確的要求，而且目前的云服務提供商與相關企業(yè)也有各自的認證標準，因此，對完成身份的聯(lián)合有較大困難。

3　云訪問控制技術

（1）云認證。云訪問控制技術的多租特性要求在認證方式上必須采取強認證的方式，如果是云端進行強認證，云服務的供應商或外包的專業(yè)供應商就要去實施認證。如果供給認證的是企業(yè)，那么就必須獲得云服務供應商的贊成。企業(yè)在進行強認證時，可以采取開放式的原則，設置云認證服務平臺。云認證的工作人員在進行身份認證時能夠利用專用網的VPN虛擬技術，一般的云用戶，能夠通過身份與專用網結合進行認證。

（2）云身份聯(lián)合。在進行云計算的過程中，對環(huán)境有特殊的要求，由在企業(yè)里提供身份信息的IdD機構以及供應商專門組建的IdaaS來完成身份的聯(lián)合。要創(chuàng)設云身份聯(lián)合模型必須要有權威的身份管理機構做保障，以及對客戶基本信息和屬性的確認，云身份聯(lián)合模型的構建離不開身份供應機構的支持，維持單點登錄服務的正常運行，充分確保云服務的提供商能夠順利的進行訪問。SAML指的是在現實作業(yè)時所要遵守的身份聯(lián)合標準，被實際應用于GoogleApps以及com等系統(tǒng)之中。

（3）云訪問授權?，F階段，信息系統(tǒng)通過對自主訪問控制（DAC）模型和強制訪問控制（MAC）模型以及基于角色的訪問控制（RABC）模型實現訪問控制，其自主訪問控制模型普遍應用于對非結構化數據的控制，基于角色的訪問控制模型的應用通常都與事物處理服務有關。

4　結束語

在云安全領域中，對云計算訪問控制的研究尤為重要，對我國信實現息化建設有著十分重要的影響，除此之外，云計算的訪問控制不僅限于技術層次，其中涵蓋了標準化與行業(yè)標準等內容，因此，需要不斷的進行完善與創(chuàng)新云計算訪問控制技術，致力于營造打造安全的云環(huán)境。

[1]王于丁，楊家海，徐聰等.云計算訪問控制技術研究綜述[J].軟件學報，2015（05）.