資源描述:
《關于云計算環(huán)境下的訪問控制技術探討》由會員上傳分享,免費在線閱讀�����,更多相關內(nèi)容在學術論文-天天文庫����。
1、關于云計算環(huán)境下的訪問控制技術探討 摘要:基于云計算的不斷發(fā)展���,云安全已成為用戶關注的焦點�。而云計算環(huán)境下���,大部分用戶在存儲于服務器中的信息數(shù)據(jù)計算難以控制�,同時針對信息數(shù)據(jù)的保護也無法確定�。對此�����,應加強云計算環(huán)境下的訪問控制安全性����?��! £P鍵詞:云計算�;訪問控制���;身份管理 訪問控制的主要目的就是通過限制用戶在信息數(shù)據(jù)方面的訪問能力與范圍��,避免不法分子訪問與應用用戶信息數(shù)據(jù)資源�?�;谠朴嬎悱h(huán)境下���,傳統(tǒng)的計算方式相關訪問控制技術可有效的加強用戶信息數(shù)據(jù)資源的安全性保護����,防止不法分子竊取用戶信息資源���?��?墒窃朴嬎愕姆绞脚c存儲方法與傳統(tǒng)計算模式存在許
2、多區(qū)別����,傳統(tǒng)訪問控制技術難以確保云計算環(huán)境下的信息安全。因而��,探討云計算環(huán)境下的訪問控制技術具有深遠意義���?�! ∫?�、云計算環(huán)境下訪問控制現(xiàn)狀分析 ?��。ㄒ唬┰L問授權4 訪問授權必須要選取合理的訪問控制模型。針對云計算具有的特征���,并非各個模型都可運用在云計算環(huán)境下�,哪種訪問控制模型適宜應用在云計算環(huán)境下����?且云服務的提供商又應選取何種訪問控制模型����?一系列問題都需要解決����。若是難以同步實現(xiàn),就會導致訪問授權出錯�����;若是把策略的決定點設置于企業(yè)內(nèi)部�����,然后把策略執(zhí)行點設置于云端�,能有效防止信息遠程同步問題的發(fā)生,可是授權和應用分離的問題就會發(fā)生[1]�。目前,依
3���、然未徹底解決�。 ?����。ǘ┥矸萋?lián)合 基于云計算環(huán)境下����,服務訪問一般會跨越許多個領域����,而各個領域都存在獨特的身份供應模式和認證模式以及訪問控制模式。針對此種現(xiàn)象����,若是缺少統(tǒng)一的模式加強身份管理與訪問控制,可能導致系統(tǒng)出現(xiàn)不兼容問題����,并且加大用戶訪問的難度。而處理此問題的手段可通過身份聯(lián)合����,但是因為云計算環(huán)境下的身份聯(lián)合標準一直未制定,目前云服務的提供商與企業(yè)依循的標準存在一定差異�����,所以怎樣進行身份聯(lián)合也是一個問題?! 。ㄈ﹩吸c登錄 云計算環(huán)境屬于多域環(huán)境����,所有涵蓋云應用的企業(yè)信息系統(tǒng)最少要包含企業(yè)域與云域[2]?;趥鹘y(tǒng)方式,在用戶訪問企業(yè)的
4�、信息系統(tǒng)過程中,因為僅有單個域是企業(yè)所管控和信任的���,所以用戶只要登錄一次就可訪問信息系統(tǒng)����,并且實現(xiàn)信息數(shù)據(jù)的應用����。可在云計算環(huán)境下��,企業(yè)難以控制所有域��,也無法通過創(chuàng)建統(tǒng)一門戶完成單點登錄?! 《⒃圃L問控制技術 ?���。ㄒ唬┗赬ACML訪問授權技術4 目前集中方式的授權與分散方式的授權都是以特定應用授權模型作為基礎實現(xiàn)授權,可特定應用授權的模型無法有效描述訪問諸多用戶權限[3]���。對此,應為各個應用訪問設置標準化語言與訪問授權方式�,機創(chuàng)建通用授權標準。而授權要以所有授權策略與規(guī)則作為前提�,并圍繞用戶角色以及職責建立。其中可擴張的訪問控制相關標記語
5�����、言XACML便是����,其為OASIS批準后通用的以XML為基礎應用在策略管理以及訪問決策方面的訪問控制語言。此種語言可支持XML中通用策略語言���,實現(xiàn)了資源訪問控制[4]�����。另外�,基于其為訪問控制標準而言,XAC-ML能提供策略語言模型����,還能提供策略管理與訪問環(huán)境模型,適宜應用在云計算環(huán)境下���?! ���。ǘ┗贗dp身份聯(lián)合 此種聯(lián)合模式最大的優(yōu)點便是確保身份聯(lián)盟和企業(yè)內(nèi)部對于策略與處理方式以及訪問管理方面的一致性[5]�。企業(yè)可以改造與加強身份管理系統(tǒng)�,便能實現(xiàn)對身份聯(lián)合的大力支持,同時也不需要推翻原有系統(tǒng)�����。此種模式可使企業(yè)不用過多關注身份供應部門是否可
6�、信與安全。但是基于Idp身份聯(lián)合也存在一些缺點����,如原有身份管理系統(tǒng)在不支持身份聯(lián)合模式的狀況下����,對于外部用戶的管理就比較困難�。另外,基于Idp身份聯(lián)合模式而言��,云服務可把認證委托于企業(yè)相關身份提供部門��,若是部分云服務商把認證委托于相同身份供應部門�����,站在企業(yè)方面考慮�����,相應的與服務商可構成可信云環(huán)�,從而企業(yè)可在可信云環(huán)之內(nèi)完成身份聯(lián)合�。 ?�。ㄈ┰茊吸c登錄 單點登錄SSO主要指用戶僅僅需要在網(wǎng)絡中完成一份身份認證�,就能夠訪問其所授權的相關網(wǎng)絡資源��,并不需要在進行其它有關身份認證的過程[6]���。簡而言之,用戶一次登錄成功��,可實現(xiàn)多處訪問�。但是,實現(xiàn)單
7��、點登錄的根本要求就是有關應用系統(tǒng)或者是可信域已應用身份聯(lián)合技術創(chuàng)建了身份聯(lián)盟��。同時單點登錄實現(xiàn)的基礎是安全憑證信息可以在安全聯(lián)盟中實現(xiàn)迅速傳遞或者是共享?,F(xiàn)階段,單點登錄制定的標準為SAML����,已有的云服務提供商大部分是以此標準作為基礎實現(xiàn)單點登錄的。對于SAML單點登錄模式訪問谷歌的Web應用具體過程見圖1所示����。4 結束語: 近些年,隨著科學技術的不斷進步����,云計算環(huán)境下訪問控制技術取得一定成果����。但是����,由于許多用戶依然對存于于服務器中的數(shù)據(jù)計算與保護難以掌握,因而還需要對云計算環(huán)境下的訪問控制技術進行持續(xù)改進與完善�,從而保證用戶信息的安全性與
8、機密性���?! ⒖嘉墨I [1]肖人毅.云計算中數(shù)據(jù)隱私保護研究進展[J].通信學報����,2014���,v.35�;No.32612:168-177. [2]石
