原创《云访问控制关键技术》:此文是一篇访问控制论文范文,为你的毕业论文写作提供有价值的参考。
摘 要 云访问控制是保证云计算信息安全的重要技术支撑.文章运用云访问控制模型,结合云计算环境的复杂性以及云访问控制策略是多策略合成的特点,主要讨论和研究了云访问控制的关键技术:*服务、身份认证、云的安全控制策略的实现和安全审计.
关键词 *服务;身份认证;控制策略;安全审计
中图分类号 TP3 文献标识码 A 文章编号 1674-6708(2018)204-0144-02
传统的访问控制能够很好的解决封闭的网络环境的问题,并得到了广泛的应用.但是云环境下实体的频繁交互和资源的不确定性,传统的访问控制不能保证用户获得的资源是真实安全的;传统的访问控制机制和模型能很好的解决细粒度的问题,但它是基于数据拥有者和存储者在同一安全可信区域,但这一点在云环境下是不成立的,即传统的访问控制模型不能保证在云环境中被细粒度授权.客体身份的合法性和服务提供者所提供资源的安全性都是传统访问控制机制面临的挑战.并且云环境是面向多租户的,他们有可能位于不同的安全逻辑域,导致了在云环境中的安全策略机制是多种访问控制机制或多种控制策略的综合使用.
1 云访问控制模型
由于云计算及云存储的开放性、数据的托管状态、数据安全的多极化管理等特点,使得云数据安全面临必须要解决云端资源的安全性、用户的合法性以及用户的合法操作、数据的隐私安全等问题,使得云访问控制要解决以下问题:其研究除了需要确保云端资源、服务被合法的用户所获取并使用之外,同时需要兼顾隐私保护、安全创建、可信自毁等问题.
对于云访问控制机制,目前学术界研究的访问控制机制中主要有:基于身份的、基于属性的、基于加密的、多级安全以及面向分布式和跨域的等模型.相对于传统的访问控制机制,云访问控制机制对*服务技术、身份认证、云的控制策略实现和安全审计的要求更高.
2 云访问控制的关键技术
云访问控制机制主要是云计算系统对请求访问的用户访问权限进行管理,主要包含的关键技术有*服务、身份认证、云的安全控制策略的实现和安全审计等关键技术.对于云计算来说普遍存在着对数据的加密、解密、密钥的分发和管理;身份认证也叫身份识别和验证,是指主体/角色对客体是否具有访问权限;访问控制策略的实现是指主体/角色得到身份认证后,依据安全策略或安全机制对主体的操作行为的限制和监视.而在云访问控制策略中,由于多安全逻辑域的存在,势必有多重控制策略,而策略的合成就显得尤为重要;安全审计依据主体/角色的访问权限,对其操作行为的监视、检查和验证,并做出相应的评价和审计.
2.1 *服务
云计算是面向多用户(租户)使用的共享资源池,采用的虚拟化技术使得多个用户共享的同一存储空间,存在着非数据拥有者的非法访问或篡改,数据的安全隐患非常严重.由于大多数用户不信任将敏感信息或者重要数据全部存放于云端,一般会对数据进行加密存放,这也是安全访问控制中重要的技术:*服务.*服务主要涉及到加密、解密运算、以及密钥的分发和管理、证书管理和分发.
*服务是云访问控制中普遍采用的保护数据安全的关键技术.基于加密的访问控制策略的基本思路:用户先将数据进行加密后,交给云服务提供商保存在云端,然后通过安全信道将解密密钥分发给请求使用资源的授权用户,授权用户在获得密文利用解密密钥解密[1].
2.2 身份认证
云的身份认证是指当用户提出访问请求时,按照云控制策略对用户的身份进行识别,确定其合法性和权限操作范围.身份认证依据系统架构的不同而有所差别,但大致相同.对于B/S架构主要通过服务器对SSL(安全套接字协议)技术来实现身份认证和访问控制策略的;而对于C/S架构中,则主要通过签名及签名验证的方法实现,接下来将分别进行阐述.
基于的SSL身份认证:当用户通过Web访问服务器时,SSL在客户端和云服务器之间建立安全通道进行会话,会话过程包含两个层面:首先是客户端分析验证象征服务器身份的服务器证书;其次是服务器验证象征用户身份的客户端证书(用户证书),包含证书是否由服务器信任的机构颁发、是否有效期内、是否被篡改、是否被撤销等信息.通过验证和解析,查看用户信息是否在控制列表内来确定用户的权限.
基于签名验证:客户端以控件形式提供数字签名模块,再利用客户端证书的私钥进行数字签名.服务端依据签名证书进行用户身份信息的认证,最后依据控制列表确定签名者的权限[2].
2.3 云安全控制策略实现
云访问控制得以实施关键是云安全控制的合成.传统的访问控制大多数是基于同一安全可信域,而云计算是面向多租户的,租户访问情形存在域间访问和跨域访问;对于传统的访问控制大多基于用户身份访问,而在云计算当中要实现细粒度的访问控制,一般采用的是基于属性的访问控制,或用户身份的信息由几个属性值组成.由于虚拟技术的采用,云计算模糊了边界即没有很好的隔离;云平台是一种数据拥有者和数据存储相分离的环境、用户和云平台之间的不信任等,造成了用户一般会将数据进行加密后再存储;而这些原因都表明了云的访问控制应是多种的机制的综合或合成.云的访问控制机制得以实施的关键是如何将传统的访问控制策略和云授权策略语言相结合并应用到云计算环境中.随着信息安全技术和云技术的日益成熟和发展,云服务提供商提供的资源服务的兼容性和可组合性越来越高,也就存在着组合授权的问题[3].
以下以属性访问控制模型为例浅谈控制策略的合成.由属性访问控制的模型定义可以看出,控制策略是由多条规则组成的,这些规则大多是主体、客体、环境上下文、时态、资源、隐私及信任的属性值构成.面对云计算中不同的逻辑安全域,每个域都有自己的访问控制策略,这些控制策略之间有可能是不同的甚至相互冲突.要实现多个逻辑域之间的跨域访问,必须对这些访问控制策略中的属性值或规则进行协商或合成,合成的新策略既要保障自身的安全性又不能违背原来每个安全管理域的访问控制策略.如果策略之间有冲突或策略不一致的话,则需属性值的确定也需要进一步进行协商.云是多逻辑安全域的,不同逻辑域都有适合自己的控制策略,策略之间难免会出现相互冲突或相互矛盾的地方,即使在同一安全逻辑域也可能出现不一致的現象,在云计算中,有必要引入新算子来进行属性之间的约束条件.所以在云访问控制中,多策略之间的合成和组合授权的确立是云控制策略中要解决的问题[4].
2.4 安全审计
云计算是面向多租户的,对于租户访问的资源的存储空间是共享的,对于云基础设施来说,租户之间是没有区别的.多租户的安全需求是和访问权限是不同的.在多租户共享资源的情况下,有可能共享存储空间,在被恶意攻击的情况下租户的数据有可能被非法访问.不同的租户对于云服务提供商来说,信任程度是不同的,这就有必要对租户的行为或历史访问记录进行跟踪和评价,即有必要引入审计功能.租户和云服务提供商之间的不信任、数据的拥有权和管理权已经分离,用户对数据的安全和否无法掌控以及对数据被泄露或被篡改的举证能力的缺失,使得租户要了解具体的安全事故责任,就必须有云服务提供商的配合和支持,此时作为中间的桥梁——第三方的客观立场比较可靠,即安全审计.
审计的作用是通过系统的跟踪,把获取到的主要事件和时间点的实时记录作为证据,这些记录包含用户和系统的运行情况,通过对云计算各种资源的运行环境和控制策略的实施进行监控和评估,判断用户和云服务提供商的行为是否合规,即安全审计使云安全可控.安全审计也包含系统审计、应用审计和用户审计.
参考文献
[1]程勇.云存储中密文访问控制机制性能优化关键技术研究[D].长沙:国防科技大学研究生院,2013:26-30.
[2]涂山山.云计算环境中访问控制的机制和关键技术研究[D].北京:北京邮电大学,2014:48-50.
[3]冯登国,张敏,张妍,等.云计算安全研究[J].软件学报,2011,22(1):78-82.
[4]王静宇.面向云计算环境的访问控制关键技术研究[D].北京:北京科技大学,2015:47-50.
访问控制论文参考资料:
结论:云访问控制关键技术为关于访问控制方面的论文题目、论文提纲、iphone访问控制论文开题报告、文献综述、参考文献的相关大学硕士和本科毕业论文。
