黃翔++張媛媛

摘要：隨著云計(jì)算的推廣和普及，云安全問題日益凸顯，而有效進(jìn)行用戶身份和訪問控制管理是保障云服務(wù)順利開展的前提。本文分析云計(jì)算平臺(tái)下IAM（Identity and Access Management，身份和訪問控制）的特點(diǎn)和存在問題，調(diào)研各大廠商針對問題相應(yīng)的技術(shù)解決方案和目前研究的主要方向，最后對未來研究進(jìn)行展望。

關(guān)鍵詞：云安全 身份和訪問控制 云計(jì)算

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2016）12-0115-02

隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，云計(jì)算越來越普及，已初步形成規(guī)?；a(chǎn)業(yè)，而與此同時(shí)安全問題日益凸顯。2016年9月雅虎爆出史上最嚴(yán)重?cái)?shù)據(jù)泄露，近5億用戶的賬戶信息于2014年被盜，而之前，過1億的LinkedIn成員泄露密碼泄露后，F(xiàn)acebook創(chuàng)始人馬克·扎克伯格的Twitter賬戶被黑。在云計(jì)算環(huán)境下，從用戶將數(shù)據(jù)上傳到云服務(wù)器開始，就失去了對數(shù)據(jù)的控制能力，數(shù)據(jù)是否安全、工作任務(wù)是否順利完成都是未知數(shù)，因此有效地進(jìn)行用戶身份和訪問控制是保障云服務(wù)順利開展的前提條件。

1 IAM

IAM是保障合理的訪問能順利進(jìn)行而非法的訪問能被拒絕的主要措施，對于Paas（平臺(tái)即服務(wù)）、Saas（軟件即服務(wù)）、Iaas（基礎(chǔ)設(shè)施即服務(wù)）任何一種云服務(wù)都是不可或缺的。通常IAM會(huì)經(jīng)過認(rèn)證、授權(quán)、訪問、數(shù)據(jù)供應(yīng)、監(jiān)控審計(jì)等步驟。認(rèn)證即確認(rèn)用戶的身份，包括不同的云服務(wù)提供商、企業(yè)內(nèi)部用戶、企業(yè)服務(wù)對象等；授權(quán)分兩方面，一方面云服務(wù)提供商將自身所提供資源的權(quán)限授予給通過認(rèn)證的用戶，另一方面通過認(rèn)證的用戶將自己上傳資源的訪問權(quán)限授予給其他可訪問的用戶；訪問即根據(jù)訪問控制模型，設(shè)定并實(shí)施訪問策略，對各種數(shù)據(jù)請求進(jìn)行審核；數(shù)據(jù)供應(yīng)即為通過認(rèn)證的用戶提供數(shù)據(jù)傳輸或其它服務(wù)；監(jiān)控審計(jì)即對整個(gè)服務(wù)過程進(jìn)行實(shí)時(shí)記錄，發(fā)現(xiàn)問題及時(shí)預(yù)警并提出解決方案。

2 云計(jì)算IAM

傳統(tǒng)企業(yè)信息系統(tǒng)一般部署在企業(yè)內(nèi)部，軟件、計(jì)算機(jī)、網(wǎng)絡(luò)、交換機(jī)都在管理員的完全掌控下，即在可控信任域的范圍內(nèi)，并且可以通過設(shè)置防火墻、IDS建立保護(hù)屏障，與外界隔離開，在此種情況下進(jìn)行身份和訪問控制管理都相對而言比較簡單。但如果將部分?jǐn)?shù)據(jù)或業(yè)務(wù)移動(dòng)到公有云，保護(hù)屏障已失去作用，可控信任域消失，企業(yè)對數(shù)據(jù)資源的控制權(quán)缺失；尤其在實(shí)時(shí)業(yè)務(wù)中所需資源是動(dòng)態(tài)變化的，使得身份和訪問控制更為復(fù)雜，具有其自身的特點(diǎn)：

2.1 身份供應(yīng)跨區(qū)域，隱私難保護(hù)

傳統(tǒng)企業(yè)信息系統(tǒng)的用戶身份由人事部門來提供，權(quán)限也相應(yīng)明晰，一旦發(fā)生變化可以及時(shí)進(jìn)行同步處理。而在公有云的環(huán)境下，對于企業(yè)用戶而言，云端和企業(yè)都需要身份供應(yīng)，若由企業(yè)實(shí)現(xiàn)則存在用戶認(rèn)證跨區(qū)域的問題，若有云端供應(yīng)商提供，隱私數(shù)據(jù)又很難得到保障。而對個(gè)人用戶而言，由于是多個(gè)用戶共用軟硬件資源，身份信息泄露較為容易，隱私保護(hù)難落到實(shí)處。

2.2 多種認(rèn)證方式并存

傳統(tǒng)企業(yè)信息系統(tǒng)由于業(yè)務(wù)資源在可信任區(qū)域內(nèi)部，同時(shí)具有防火墻、IDS等的保護(hù)，故認(rèn)證方式多為“用戶名+密碼”即可滿足需求。而在云計(jì)算環(huán)境下，移動(dòng)互聯(lián)網(wǎng)技術(shù)廣泛運(yùn)用，人們隨時(shí)隨地都可以通過移動(dòng)終端接入云端，享受快捷服務(wù)，與此同時(shí)簡單的“用戶名+密碼”的認(rèn)證方式遠(yuǎn)遠(yuǎn)不夠。信息系統(tǒng)至少會(huì)有2個(gè)工作域，分別是企業(yè)本身、云服務(wù)提供商。普遍的情況是云服務(wù)提供商為企業(yè)提供認(rèn)證服務(wù)，而身份認(rèn)證則會(huì)由購買了云服務(wù)的企業(yè)來進(jìn)行，不同業(yè)務(wù)安全級別不同，認(rèn)證力度也各不相同，強(qiáng)認(rèn)證、委托認(rèn)證是常用的手段，這其中可信、可管是關(guān)鍵。

2.3 訪問授權(quán)缺乏通用的模型

訪問控制模型是訪問授權(quán)的依據(jù)，以往的訪問控制模型能否運(yùn)用到云計(jì)算環(huán)境下有待于進(jìn)一步檢驗(yàn)。而所提供的云服務(wù)IaaS、PaaS和SaaS都有各自的特點(diǎn)，探索何種訪問控制模型適用于何種服務(wù)有待于進(jìn)一步深入研究。目前的難點(diǎn)是云端信息、企業(yè)相關(guān)信息的同步問題。

2.4 身份聯(lián)合

云計(jì)算環(huán)境下，企業(yè)業(yè)務(wù)開展通常會(huì)涉及到多個(gè)服務(wù)提供商，每個(gè)廠商都有自己的一套身份供應(yīng)、認(rèn)證、授權(quán)、訪問控制的方式方法，此種情況下，建立統(tǒng)一標(biāo)準(zhǔn)進(jìn)行身份聯(lián)合是簡化用戶訪問的有效措施。

3 各大廠商的技術(shù)解決方案

3.1 身份供應(yīng)策略

目前的工業(yè)標(biāo)準(zhǔn)是SPML（Service Provisioning Markup Language，服務(wù)供應(yīng)標(biāo)記語言），用于實(shí)現(xiàn)合作企業(yè)間信息交換。云服務(wù)提供商通過提供SPML適配器、SPML網(wǎng)關(guān)來支持SPML。通常情況下，新用戶信息通過SAML令牌傳遞給云服務(wù)提供商，而服務(wù)提供商從令牌中提取屬性信息，建立SPML消息，處理身份供應(yīng)請求，即將用戶信息填入到數(shù)據(jù)庫中去。

3.2 身份認(rèn)證策略

公有云通常是多個(gè)用戶共用軟硬件設(shè)備，這種方式?jīng)Q定了身份認(rèn)證需采用強(qiáng)認(rèn)證方式。在具體實(shí)施過程中，可以由云服務(wù)提供商來負(fù)責(zé)認(rèn)證，或外包給IDaas（ID as a Service，云身份服務(wù)）提供商，還可以由企業(yè)自身來完成，但這需要云服務(wù)提供相應(yīng)的支持。目前較為典型的身份認(rèn)證方式：S3（Amazon Simple Storage Service）身份認(rèn)證、基于OAuth的跨域身份認(rèn)證。

S3身份認(rèn)證：S3是亞馬遜提供的云存儲(chǔ)服務(wù)。當(dāng)新用戶注冊時(shí)，會(huì)被分配給Access Key ID（20位的字符串）和Secret Access Key（40位字符串），Access Key ID用來唯一的標(biāo)識(shí)用戶，Secret Access Key用來驗(yàn)證用戶請求是否合法。身份認(rèn)證采用基于HMAC-SHAI數(shù)字簽名的認(rèn)證算法，其核心在于采用HMAC-SHAI消息認(rèn)證協(xié)議，利用散列函數(shù)來驗(yàn)證數(shù)據(jù)是否完整，利用密鑰共享、消息認(rèn)證碼是否一致來驗(yàn)證數(shù)據(jù)是否真實(shí)，用戶端和服務(wù)端的行為如下：

用戶端：生成服務(wù)請求，輸入訪問密鑰，計(jì)算消息散列值，計(jì)算認(rèn)證碼，發(fā)送服務(wù)請求及認(rèn)證碼

服務(wù)端：接收服務(wù)請求及認(rèn)證碼、提取訪問密鑰、查詢訪問密鑰、計(jì)算消息散列值、計(jì)算認(rèn)證碼、驗(yàn)證認(rèn)證碼

基于OAuth跨域身份認(rèn)證：OAuth是支持跨域訪問的協(xié)議，允許用戶將存儲(chǔ)在私有云中的資源共享給其他用戶而不會(huì)暴露身份信息。它提供了安全進(jìn)行數(shù)據(jù)發(fā)布和交換的方式，同時(shí)也提供了保證自身信息安全的前提下訪問其他云數(shù)據(jù)的可能，應(yīng)用廣泛。

3.3 訪問授權(quán)策略

訪問控制模型是進(jìn)行訪問控制的依據(jù)，目前在企業(yè)中主要采用的有三種訪問模型：

①M(fèi)AC（Mandatory Access Control）：強(qiáng)制訪問控制，適用于基于信息種類來進(jìn)行的訪問；

②RBAC（Role Based Access Control）：基于角色的訪問控制，適用于事務(wù)處理和非Web的服務(wù)；

③DAC（Discretionary Access Control）：自主訪問控制，適用于非結(jié)構(gòu)化數(shù)據(jù)的訪問，或是云服務(wù)提供商提供的Web服務(wù)。

目前基于上述模型典型的訪問授權(quán)方式有：基于XACML（eXtensible Access Control Markup Language，可擴(kuò)展控制標(biāo)記語言）的訪問控制、Windows Azure訪問控制。

基于XACML的訪問授權(quán)：XACML打破了特定應(yīng)用授權(quán)模型的局限，適用于不同應(yīng)用，是通用的、基于XML的訪問控制語言，提供訪問授權(quán)方法、執(zhí)行策略的授權(quán)標(biāo)準(zhǔn)。

Windows Azure訪問控制：Windows Azure是微軟公司的云平臺(tái)，主要采用NET訪問控制服務(wù)，即利用令牌和身份標(biāo)識(shí)轉(zhuǎn)換引擎來實(shí)現(xiàn)訪問控制。具體過程：用戶通過瀏覽器提供SAML（Security Assertion Markup Language）令牌（傳輸身份信息），.NET訪問控制服務(wù)端會(huì)根據(jù)規(guī)則STS（Security Token Service，安全令牌服務(wù)），創(chuàng)建新的SAML，并向用戶返回新的SAML令牌，用戶將新SAML令牌提交給應(yīng)用程序，應(yīng)用程序端使用新SAML令牌決定用戶權(quán)限。

3.4 身份聯(lián)合策略

目前進(jìn)行身份聯(lián)合主要有兩種方式，一種是由IDaaS來統(tǒng)一管理，另一種是企業(yè)內(nèi)部建立IdP（Identity Provider，身份供應(yīng)機(jī)構(gòu)）?；贗DaaS進(jìn)行身份聯(lián)合，可以不改變企業(yè)原有信息系統(tǒng)結(jié)構(gòu)，當(dāng)企業(yè)身份目錄和身份管理提供的云端同步時(shí)即可實(shí)現(xiàn)訪問，缺點(diǎn)是不知道實(shí)現(xiàn)細(xì)節(jié)，存在IDaas是否可信的問題。基于IdP的身份聯(lián)合則是在改造現(xiàn)有身份管理系統(tǒng)的基礎(chǔ)上進(jìn)行，保證了身份管理與企業(yè)內(nèi)部訪問控制策略的一致，而無需擔(dān)心可信安全問題。

4 目前研究

IAM是云計(jì)算安全的核心，目前的研究主要集中訪問控制模型、基于ABE密碼體制的訪問控制、多租戶和虛擬化訪問控制。

云訪問控制模型：主要在傳統(tǒng)訪問控制模型基礎(chǔ)上進(jìn)行改進(jìn)，讓它更適用于云計(jì)算環(huán)境。Jung Y等在RBAC基礎(chǔ)上提出自適應(yīng)訪問控制模型，會(huì)自動(dòng)計(jì)算服務(wù)成本并且根據(jù)與預(yù)算的比對情況進(jìn)行角色轉(zhuǎn)換；林果園等結(jié)合BLP模型和Biba模型的特點(diǎn)，除了保證數(shù)據(jù)的保密性和完整性外，還增加權(quán)限、行為上的訪問控制；Chandran S M等提出唯一激活集解決混雜角色的權(quán)限查詢問題。Bertino E等擴(kuò)展TRBAC模型解決角色、用戶臨時(shí)依賴問題。

基于ABE（Attribute based Encryption，基于屬性的加密算法）密碼的訪問控制：基本觀點(diǎn)是認(rèn)為密文和私鑰分別與屬性存在關(guān)聯(lián)，當(dāng)密文屬性和私鑰屬性相匹配時(shí)用戶解密。Yu S等采用代理重加密方法，既提高重加密的效率又防止數(shù)據(jù)泄露；陳丹偉等將用戶域劃分，私人域采用CP-ABE，公共域采用分級的CP-ABE分別進(jìn)行訪問控制。

多租戶和虛擬化訪問控制：主要通過多租戶的隔離、hypervisor實(shí)現(xiàn)虛擬機(jī)的訪問控制。Li XY等提出將云服務(wù)提供商和租戶權(quán)責(zé)分離；Tang等將多租戶認(rèn)證系統(tǒng)與RBAC模型相結(jié)合；Yang等提出RB-MTAC（基于角色的多租戶訪問控制）；Lucian P等提出基于hypervisor的多租戶訪問控制機(jī)制。能根據(jù)通信狀況動(dòng)態(tài)調(diào)節(jié)訪問控制策略。

5 未來研究方向

云計(jì)算由于自身的特點(diǎn)，安全方面還有許多問題尚待解決，結(jié)合云計(jì)算的需求和現(xiàn)有的IAM技術(shù)來看，未來IAM可能在標(biāo)準(zhǔn)化、密文的訪問控制、訪問控制服務(wù)化、跨云訪問、身份供應(yīng)自動(dòng)化、細(xì)粒度訪問控制等方面有更深入的發(fā)展。

參考文獻(xiàn)

[1]馮登國，張敏，張妍，等.云計(jì)算安全研究[J].軟件學(xué)報(bào)，2011，22（1）：71- 83.

[2]陳丹偉，邵菊，樊曉唯，等.基于 MAH-ABE 的云計(jì)算隱私保護(hù)訪問控制[J].電子學(xué)報(bào)，2014，42（4）：821-827.

[3]林果園，賀珊，黃皓，等.基于行為的云計(jì)算訪問控制安全模型[J].通信學(xué)報(bào)，2013，33（3）：59-66.

[4]馮朝勝，秦志光，袁丁，等.云計(jì)算環(huán)境下訪問控制關(guān)鍵技術(shù)[J].電子學(xué)報(bào)，2015，43（2）：312-319.