◎劉賽娥

云計(jì)算訪問控制技術(shù)的運(yùn)用及論述

◎劉賽娥

云計(jì)算訪問控制技術(shù)在最近幾年的發(fā)展過程中成為了云計(jì)算安全領(lǐng)域所研究的熱點(diǎn)，這一訪問控制技術(shù)的運(yùn)用在一定程度上保證了其資源部不被非法使用。本文對云計(jì)算訪問控制技術(shù)的運(yùn)用予以了相關(guān)的論述。

云計(jì)算訪問控制技術(shù)的現(xiàn)狀

現(xiàn)階段，大部分云計(jì)算服務(wù)的提供商在云臺訪問控制技術(shù)上予以了大膽的嘗試以及大量的實(shí)踐。諸如，亞馬遜S3平臺所使用的訪問控制表以及存儲桶策略；微軟云平臺所使用運(yùn)用密鑰來實(shí)現(xiàn)對身份的驗(yàn)證；谷歌云平臺所使用的訪問控制表以及阿里云平臺所使用的訪問控制策略等等。我們所說的AWS云平臺指的就是采用編寫訪問這一方法達(dá)到訪問他人執(zhí)行資源的操作權(quán)限，在這平臺運(yùn)行中所依據(jù)的就是資源策略和用戶策略。在這里需要強(qiáng)調(diào)的是資源策略是指將訪問授權(quán)同資源實(shí)現(xiàn)有機(jī)的結(jié)合，從而構(gòu)建出被授權(quán)者和授權(quán)者之間的對應(yīng)關(guān)系。而用戶策略是指通過對IAM的管理來實(shí)現(xiàn)對Amazon S3資源的訪問，IAM在一定程度上采用附加訪問這一策略實(shí)現(xiàn)了對用戶安全憑證的分配，同時對其自身的權(quán)限予以管理，并授予其對AWS這一資源的訪問權(quán)限。

云計(jì)算訪問控制技術(shù)存在的問題

由于云計(jì)算自身具有不同的特性，同傳統(tǒng)的信息系統(tǒng)相比，其在訪問控制方面則要面臨著一些新的問題：第一，在云計(jì)算的模式下用戶對于自身的資源不能予以更好的控制，這在一定程度上也就導(dǎo)致從可信邊界所形成的安全領(lǐng)域不復(fù)存在，同時也使得云計(jì)算下訪問控制方面“多域”矛盾日益凸顯；第二，在云端運(yùn)行的過程中其需要以服務(wù)的運(yùn)行狀態(tài)來對自身的資源供給予以一定的調(diào)節(jié)，而資源訪問所呈現(xiàn)的狀態(tài)一直都是動態(tài)變化的，因此也就導(dǎo)致了訪問控制具有一定的困難性；第三，云計(jì)算中所涉及到的所有服務(wù)從一定程度上講都需要實(shí)現(xiàn)對多個安全領(lǐng)域予以跨越，從而實(shí)現(xiàn)對資源的訪問，但是在這一訪問過程中，如果不能對區(qū)域間身份管理和控制方法之間存在的差異予以消除，那么就會導(dǎo)致不兼容這一問題的出現(xiàn)；第四，在云計(jì)算中所要依據(jù)的基礎(chǔ)就是虛擬化，而虛擬資源和底層硬件之間所實(shí)行的完全隔離這一機(jī)制在一定程度上使得隱蔽這一通道不容易被發(fā)現(xiàn)，進(jìn)而也就決定了云計(jì)算訪問控制要實(shí)現(xiàn)實(shí)體授權(quán)到虛擬資源的過渡。

云計(jì)算訪問控制技術(shù)的應(yīng)用方法

通過權(quán)限屬性所具有的動態(tài)化特征實(shí)現(xiàn)對云計(jì)算訪問控制技術(shù)的應(yīng)用。在當(dāng)前的云計(jì)算環(huán)境中，特別是具有公有性質(zhì)的云環(huán)境中，因有著巨大的云用戶量，所以也就不能夠確定云資源方面的需求，同時要根據(jù)其呈現(xiàn)出的應(yīng)用狀態(tài)予以實(shí)時的動態(tài)調(diào)整，這在一定程度上也就要求了云用戶在權(quán)限方面的授予和取消呈現(xiàn)的是一種動態(tài)的變化。要想更好的適應(yīng)這種變化，具需要做到以角色為基礎(chǔ)、以信任為基礎(chǔ)、以屬性為基礎(chǔ)等多種具有擴(kuò)展性能的且具有相對較好的訪問控制模型，并對其予以適當(dāng)?shù)恼{(diào)整予以改進(jìn)，使其能夠在調(diào)整權(quán)限的方面具有一定的動態(tài)性。

采用面向虛擬化以及多租戶的云計(jì)算訪問控制技術(shù)。我們所說的云計(jì)算主要是以虛擬化的技術(shù)來作為計(jì)算模式的基礎(chǔ)的，這種虛擬化的技術(shù)在一定程度上有著較強(qiáng)的隔離性能。除此之外，云計(jì)算所呈現(xiàn)的模式是一種多租戶的形式，這種形式主要是將多個租戶采用一定的虛擬技術(shù)將其發(fā)那個在一個物理宿主機(jī)上，其有著極大的可能性來實(shí)現(xiàn)攻擊行為。截至到目前，針對此方面的訪問控制的研究主要是運(yùn)用hypervisor這一技術(shù)實(shí)現(xiàn)的。

面向多域的云計(jì)算訪問控制技術(shù)。在云計(jì)算的環(huán)境中，其立足于各個自治域，并以此為基礎(chǔ)構(gòu)成虛擬組織，同時用戶和資源所處的自治域也大不相同。在自治域中往往都是采用具有獨(dú)立性質(zhì)的訪問控制方法，并在同一時間段內(nèi)域間也能夠?qū)崿F(xiàn)對資源的相互訪問這一追求，因此這也就要求了能夠用對應(yīng)的訪問控制模型來對不同的域間實(shí)現(xiàn)更好的協(xié)調(diào)以及管理。這種多域的云計(jì)算控制技術(shù)一般情況下都是在以信任為基礎(chǔ)和以屬性為基礎(chǔ)的訪問控制模型下演變過來的。

云計(jì)算自身所具有的復(fù)雜性在一定程度上為訪問控制技術(shù)帶來了難度，但是于此同時面向多域的云計(jì)算訪問控制技術(shù)在研究和設(shè)計(jì)模型方面還有很大的發(fā)展空間。所以立足于傳統(tǒng)訪問控制模型為基礎(chǔ)的改善后的云計(jì)算訪問控制技術(shù)更合理有效的解決了這一過程中所存在的問題。除此之外，要想更好的適應(yīng)云計(jì)算的發(fā)展，還要予以動態(tài)授權(quán)方面、虛擬化方面更多的創(chuàng)新發(fā)展。

結(jié)語

云計(jì)算訪問控制技術(shù)問題在其安全領(lǐng)域是亟待解決的問題，因?yàn)樵朴?jì)算訪問控制技術(shù)從某種意義上講能夠更好地保護(hù)云計(jì)算資源不受侵害，在云計(jì)算的安全防護(hù)中也能夠得到更廣泛的應(yīng)用。當(dāng)前國內(nèi)的一些對云計(jì)算訪問控制技術(shù)運(yùn)用的研究還處于探索發(fā)展階段，因此在未來的發(fā)展過程中還需要對其予以更近一步的分析，對云計(jì)算訪問控制模型的設(shè)計(jì)方面以及訪問控制技術(shù)方面所具有的安全性能都能夠予以更為深刻的研究。

云南國土資源職業(yè)學(xué)院）