云的访问控制研究
云计算环境中的组合文档模型及其访问控制方案
中图 分类 号 :T P 3 0 9 文献标 志 码 :A 文 章编 号 :0 2 5 3 — 9 8 7 X( 2 0 1 4 ) 0 2 — 0 0 2 5 — 0 7
A Co mp o s i t e Do c u me nt Mo d e l a n d I t s Ac c e s s Co nt r o l S c h e me i n Cl o u d Co mp u t i ng
t he c i phe r t e xt s of d oc ume nt e l e me nt s wi t h s e c ur i t y 1 e ve 1 . The e l e me n t na me s a nd c or r e s po nd i ng ke y s c on s t i t ut e ma p p a i r s a n d ma p r e c or d s,a n d t he r e c o r ds a r e t he n e nc r y pt e d by t he I BE a n d s t or e d i n t h e l a t t e r . Th e I CDAC a c h i e v e s f i ne — g r a i ne d a c c e s s c o nt r o l wi t h mul t i l e ve l s e c ur i t y pr o t e c t i o n f o r d oc ume n t e l e me nt s b y t he f ol l o wi n g s t r a t e gy . Au t ho r i z e d us e r de c r y pt s t he c o r r e s p o nd i ng ma p r e c or ds t o ge t ma p pa i r s un de r t h e I BE i n t e r ms o f t he i d e n t i t y,a nd t o e xt r a c t
访问控制技术研究及应用
访问控制技术研究及应用访问控制技术是计算机安全领域的一个重要研究方向,其主要目标是确保只有授权的用户或实体能够访问系统资源。
访问控制技术在各种应用中被广泛应用,如操作系统、数据库管理系统、网络安全等领域。
本文将介绍访问控制技术的基本原理、主要分类、研究进展和应用情况。
一、访问控制技术的基本原理1.身份识别和认证:确定用户或实体的身份,常用的身份验证方式有密码、指纹、虹膜等生物特征识别技术。
2.权限授权:根据用户或实体的身份和权限进行授权,确定其能够访问的资源,常用的权限授权策略有访问控制列表(ACL)、角色基于访问控制(RBAC)等。
3.安全策略:定义系统的安全策略,包括资源的保护级别、访问控制策略、访问审计等。
二、访问控制技术的主要分类根据实现方式和策略的不同,访问控制技术可以分为以下几类:1.逻辑访问控制:基于用户或实体的身份和权限来控制对系统资源的访问,常用的技术有身份认证、访问控制列表等。
2.物理访问控制:通过物理手段来限制对资源的访问,如门禁系统、安全门等。
3.操作系统级访问控制:主要包括基于角色的访问控制、强制访问控制(MAC)等技术,用于保护操作系统资源。
4.数据库访问控制:用于限制对数据库中数据的访问权限,常用的技术有基于角色的访问控制、行级访问控制等。
5.网络访问控制:主要包括防火墙、入侵检测系统等技术,用于保护网络资源免受未经授权的访问。
三、访问控制技术的研究进展1.基于属性访问控制(ABAC):ABAC是一种新兴的访问控制模型,它通过基于属性的访问策略来控制对资源的访问,相比传统的基于身份和权限的访问控制更加灵活和精细。
2.基于机器学习的访问控制:利用机器学习技术来进行访问控制决策,通过分析大量的历史数据和行为模式来识别异常访问行为,提高对未知攻击的检测和预防能力。
3.云计算访问控制:由于云计算环境中的资源共享性和虚拟化特性,访问控制变得更加复杂和关键。
因此,研究人员提出了基于角色的云访问控制、多租户访问控制等技术,以应对云环境下的安全挑战。
云计算平台中的用户管理与权限控制
云计算平台中的用户管理与权限控制云计算作为一种快速发展的技术,已经在各个行业得到广泛应用。
云计算平台的建立和运维对于企业来说是一个重要的任务。
而在云计算平台中,用户管理和权限控制成为了极为关键的问题。
本文将重点探讨云计算平台中的用户管理与权限控制。
云计算平台作为一个集中式的资源管理系统,用户管理是平台运行的基础。
用户管理包括用户的注册、身份验证、账号管理等方面。
在云计算平台中,通常有超级管理员、普通管理员和普通用户三个角色,超级管理员具有最高权限,可以对整个平台进行操作和管理,普通管理员可以对一部分资源进行管理,而普通用户只能使用提供的服务。
通过合理的角色设置和用户分类,可以更好地管理用户账号和权限。
权限控制是用户管理的重要组成部分。
云计算平台中的权限控制主要是指对用户的访问和操作进行限制,以保证系统的安全和稳定。
通常来说,权限控制分为角色权限和资源权限两类。
角色权限是指不同角色所拥有的操作和管理权限,而资源权限则是指用户能够访问和操作的具体资源。
通过合理设置权限,可以限制用户在平台中的行为范围,从而确保系统的安全性。
在用户管理和权限控制过程中,云计算平台通常会采用一些常见的方法和技术。
例如,用户的注册和身份验证可以通过用户名、密码和验证码等方式进行,确保用户身份的真实性。
同时,平台还可以采用双因素认证等高级身份验证技术,提高系统的安全性。
在权限控制方面,通常采用访问控制列表(ACL)和角色访问控制(RBAC)等技术,对用户进行精细化的权限管理。
这些方法与技术的综合应用,可以提高云计算平台的用户管理和权限控制水平。
然而,在实际应用中,云计算平台的用户管理与权限控制仍然存在一些挑战和问题。
首先,随着用户规模的增长,用户管理和权限控制变得越来越复杂,需要耗费大量的人力和物力。
其次,由于云计算平台的开发和更新速度非常快,用户管理和权限控制方法也在不断地演变,管理人员需要不断地学习和适应新的技术和方法。
云计算安全的数据加密与访问控制
云计算安全的数据加密与访问控制云计算作为一种新兴的计算模式,在近年来被广泛应用于各个领域。
然而,随着云计算的普及,对于云计算安全的关注也逐渐增加。
其中,数据加密与访问控制是云计算安全中的两个关键问题。
本文将分别探讨云计算安全中的数据加密和访问控制,并提出相应的解决方案。
一、数据加密云计算中的数据加密是指将数据进行加密处理,使得只有合法的用户能够解密并访问数据。
数据加密技术主要包括对称加密和非对称加密。
1. 对称加密对称加密是一种传统的加密方式,使用相同的密钥进行加密和解密。
在云计算中,数据所有者和云服务提供商均需要共享同一个密钥,这就产生了密钥管理的问题。
针对这个问题,可以采用密钥分发中心(KDC)机制,即将密钥的生成和分发交给一个可信的第三方机构,从而确保密钥的安全性。
此外,还可以采用基于身份的加密方式,将用户的身份作为密钥的一部分,来提高加密的安全性。
2. 非对称加密非对称加密是一种新型的加密方式,它使用一对密钥,分别是公钥和私钥。
公钥用于加密,私钥用于解密。
在云计算中,数据所有者将数据使用云服务提供商的公钥进行加密,而只有拥有私钥的云服务提供商才能够解密数据。
这种方式能够有效地解决数据的安全性问题,但也增加了计算和存储的开销。
二、访问控制云计算中的访问控制是指对云服务资源的使用进行限制和控制。
合理的访问控制可以保护数据免受未经授权的访问和恶意攻击。
1. 身份认证身份认证是访问控制的首要环节,它确保用户的身份信息是真实可信的。
常见的身份认证方式包括密码认证、生物特征认证和多因素认证等。
在云计算中,建议采用多因素认证,结合密码、指纹、刷脸等多种方式进行用户身份的验证,提高认证的准确性和安全性。
2. 访问授权访问授权是访问控制的核心环节,它决定了用户能够访问哪些资源以及对资源的操作权限。
在云计算中,可以采用基于角色的访问控制(RBAC)模型,将用户分为不同的角色,并为每个角色分配相应的访问权限。
云存储访问控制方案的安全性分析与改进
问控制方案进行安全性分析 , 发 现其存在不 能抵 抗合谋 攻 击的 问题 , 并给 出了具 体的攻 击方 法。针 对该 方案安全性
方面的不足 , 利用基 于属性 的加 密算法抗合谋 攻击的特性 , 对使 用访 问树结 构的 密文 策略 加 密( C P . A B E) 算法进行 改 进, 使 改进后 的算法能够直接运 用到云存 储访 问控 制方案 中而 不需要 对云存储服 务 器进 行任何 修改 , 同时可 实现 细 粒度 的访 问控制和 用户数据 的彻底删 除。最后基 于判断 双向性 D e f i i c — H e l l m a n ( D B D H) 假设 , 证 明了该 方案在选择 明
云存 储 访 问控 制 方 案 的 安全 性 分 析 与 改进
王 冠 , 范 红, 杜 大 海
( 公安部第一研究所, 北京 1 0 0 0 4 8 ) ( } 通信作者电子邮箱 g w a n g l _ 0 4 @1 2 6 . c o m )
摘 要 : 对T a n g等 ( T A N G Y, L E E P, L U I J , e t a 1 .S e c u r e o v e r l a y c l o u d s t o r a g e w i t h a c c e s s c o n t r o l a n d a s s u r e d
文攻击下 的安全性 , 并通过将方案运用到 实际的云环境 中进行分析后证 明改进后 的方案能够抵抗 合谋 攻击。 关键词 : 云存储 ; 访 问控制 ; 密文策略的属性加 密算 法; 合谋 攻击 ; 判 断双 向性 D e f l i e . H e l l ma n假设 中图分类号 : T P 3 0 9 . 1 文献标 志码 : A
一种基于信任评估的云服务属性访问控制模型
一种基于信任评估的云服务属性访问控制模型
王静宇;赵山杉;郑雪峰
【期刊名称】《微电子学与计算机》
【年(卷),期】2015(32)12
【摘要】针对云服务的安全访问控制问题,提出一种基于信任评估的云服务属性访问控制模型.该模型将信任与基于属性访问控制框架相结合,采用一种基于服务质量指标的信任评估方法,融合直接信任、间接信任和综合信任来评估云资源信任度,仿真实验结果显示,该模型能正确、有效地抑制云用户对恶意虚假服务的访问,增强了云服务访问的安全性.
【总页数】7页(P1-7)
【关键词】云安全;访问控制;信任;服务质量指标
【作者】王静宇;赵山杉;郑雪峰
【作者单位】北京科技大学计算机与通信工程学院;内蒙古科技大学信息工程学院【正文语种】中文
【中图分类】TP393
【相关文献】
1.云计算环境下基于信任属性的混合信任评估模型 [J], 樊晓贺;王娇;杜亮亮
2.云制造环境下基于多属性模糊信任评估的访问控制方案 [J], 刘元兵;张文芳;王小敏
3.基于信任和属性的云服务访问控制模型研究 [J], 马丁义;郭银章
4.一种支持信任管理的基于角色和属性的访问控制模型 [J], 黄艳;吴晓鸰;凌捷;
5.基于多层次结构模型的云服务信任评估算法优化 [J], 赵莉; 任杰
因版权原因,仅展示原文概要,查看原文内容请购买。
基于艮最短路算法的云制造多粒度访问控制技术
di1 .74 S ..0 72 1.2 5 o:0 32 / P J 18 .0 03 6 1
基 于 最 短 路算 法 的云 制造 多粒 度 访 问控 制 技术
李春泉 , 尚玉玲 , 胡春杨 , 朱攀峰
( 林 电子 科 技 大 学 机 电工 程学 院 , 西 桂 林 5 10 ) 桂 广 40 4
( l t m ca i l n i e n oee ui nvrt o l t n ehooy ul unx 4 0 4 hn ) Ee r eh n a gn r gC lg,G in U i sy fEe r i Tcnl ,G inG a gi 10 ,C i co c E ei l l e i co c g i 5 a
r n l r o r a c s o t d l MG C a r oe n o v r o e d o ga ua su c c escnrl o e ( A )w sp p sd a dtec n es n m to f A i a h w sa a zd o re e o m o h i h MG C d rp a n l e n g y
0 引言
近年来 , 信息技术的快速 发展推动 了制 造业信息化 水平 的迅 速 提 高 , 出现 了 应 用 服 务 提 供 商 ( p la o ev e A pi t n Sri ci c Poie, S )制造 网格 ( n f tr gG d MG) 为代表 rv r A P 、 d Maua u n r , ci i 等 的网络化制造模式 , 成为当前制造业快速响应市场需求 、 提升 核心竞争力 、 实现协 同制 造的重要模式 , 在资源服 务化 、 务 任 管理 、 工作 流管理等领域取得了丰富成果 。然而 , 现有的网络 化制造模式 中存在的服务模式 、 安全等方 面的问题制 约了其 进 一 步 扩 大 并 深 化 应用 … , 求 一 种 克 服 现 有 瓶 颈 的 网 络 化 寻 制造新模式 , 成为 了一项迫切需要解决 的问题 。 云计算技术作 为新一代服务计算技术 , 凭借其按需服务 、 资源 虚 拟 化 等 特点 及 为 用 户 提 供 多 粒 度 多 尺度 的按 需 服 务 能 力 , 到 了广 泛 关 注 与 快 速 发展 。将 云 计 算 与 制造 业 相 结 合 , 得
云计算环境下的访问控制策略设计
云计算环境下的访问控制策略设计在当今信息化时代,云计算作为一种新兴的计算模式迅速发展,并被广泛应用于各行各业。
然而,随着云计算平台越来越多地承载组织内部敏感信息和业务应用,安全风险和数据泄露问题也越来越突出。
因此,如何保障云计算环境下的数据安全,成为当前急需解决的问题之一。
访问控制是一种涉及到云计算的信息安全技术,它通过对特定对象的访问进行授权,确保只有授权用户可以访问特定资源。
访问控制策略设计,则是指对访问控制方案中的访问控制策略进行规划和设计,以保证其在实践中能够正确、有效地实施。
一、云计算环境下的访问控制框架访问控制框架是实现访问控制策略的基础,它通常包括识别、鉴别、授权、审核等环节。
在云计算环境下,由于云计算平台自身的特性和复杂性,访问控制框架需要从以下几个方面进行考虑和设计:1. 识别识别是指识别云计算平台上的用户和资源信息。
在云计算环境下,用户和资源都可能跨越组织边界,涉及不同的权限和身份验证机制。
因此,访问控制框架需要对用户和资源进行全面、准确的识别和定义。
2. 鉴别鉴别是指通过对用户的身份验证,确定用户是否有权限访问特定资源。
在云计算环境下,由于用户和资源分布在不同的地理位置和网络环境中,访问控制框架需要采用多种身份验证和认证技术,以确保鉴别的准确性和安全性。
3.授权授权是指根据用户身份和鉴别结果,授予用户访问特定资源的权限。
在云计算环境下,由于云计算平台中的资源种类繁多,需要面对不同的安全需求和访问控制模式,访问控制框架需要设计不同的授权策略和权限控制机制。
4. 审核审核是指监视和记录用户访问资源的行为,便于追溯安全事件的发生,及时采取应对措施。
在云计算环境下,资源的分布性和可扩展性需要访问控制框架在实现访问控制的同时,进行完整的审计和日志管理,以满足各种法律法规和合规要求。
二、访问控制策略设计的基本原则访问控制策略设计不仅需要综合考虑访问控制框架中的各个环节,更需要遵循保护措施的原则和实践经验,以使访问控制策略更加合理和高效。
云计算环境下的RBAC访问控制模型研究
云计算环境下的RBAC访问控制模型研究第一章绪论云计算环境下的RBAC访问控制模型研究是当前信息安全领域的一个重点研究方向。
随着云计算技术的不断发展和普及,安全问题也越来越受到重视。
在云计算环境中,会面临访问控制的问题,以确保用户只能够访问他们被授权访问的资源。
而RBAC访问控制模型作为一种灵活的访问控制模型,被广泛地应用于安全保护中。
本文将从以下几个方面对云计算环境下的RBAC访问控制模型进行研究:· RBAC访问控制模型的概念及其基本原理·云计算环境下的访问控制问题· RBAC访问控制模型在云计算环境下的应用·未来的研究方向第二章 RBAC访问控制模型的概念及其基本原理RBAC访问控制模型(Role-Based Access Control model)是一种基于角色的访问控制模型,它将权限分配给角色,然后将用户与角色关联起来,以确定哪些权限可以分配给哪些用户。
RBAC 访问控制模型包括三个主要组成部分:角色、访问权限和用户。
其中,角色指代一组由权限组成的任务,访问权限指代能够在系统中执行的某个操作,用户指代一个实际的用户帐户。
RBAC访问控制模型的基本原理是将权限分配给角色,而不是分配给用户。
在RBAC模型中,管理员可以通过为特定角色指定访问权限来授权整个角色。
然后将用户与角色相关联,并授予他们角色所分配的权限。
这样,可以将访问权限通过角色进行统一管理,从而降低了系统管理的复杂性。
第三章云计算环境下的访问控制问题在云计算环境中,访问控制问题变得更加复杂。
这是因为用户不再访问本地资源,而是通过云服务访问其他地方的存储资源。
此外,云计算还涉及到多租户、虚拟化等技术,使得访问控制更加困难。
在云计算环境中,访问控制所面临的主要挑战是:·跨不同平台之间的访问控制:云计算中的各种服务运行于不同平台上,因此需要跨平台进行访问控制。
·隐私和数据保护的问题:云计算中的数据存储在云服务商的服务器上,因此需要确保用户的隐私和数据的安全。
云存储中的数据安全与隐私保护技术研究
云存储中的数据安全与隐私保护技术研究云存储是一种方便的数据存储方式,它允许用户将数据上传到云端,在需要的时候随时访问。
然而,随着云存储的普及,人们越来越关注数据安全和隐私问题。
本文就云存储中的数据安全与隐私保护技术展开研究,旨在探索如何在云存储环境中保护用户数据的安全和隐私。
一、云存储中的数据安全问题云存储的安全问题主要体现在以下几个方面:1. 数据在传输过程中的安全问题:在用户上传和下载数据的过程中,数据要经过网络传输,数据传输过程中容易被黑客窃取和篡改。
2. 数据在存储过程中的安全问题:一旦数据上传到云端,用户无法掌握云端存储的物理位置和维护情况,数据存在遭受攻击的风险。
3. 数据备份和恢复的问题:云存储提供了数据备份和恢复的功能,但如果备份和恢复的数据不受保护,黑客可以轻易地窃取和篡改数据。
以上三个问题导致了云存储中的数据安全性难以保证,用户需要采取措施来加强数据保护。
二、云存储中的隐私保护问题除了数据安全问题外,云存储中的隐私保护问题同样需要重视。
云存储需要用户提供个人信息和数据,云服务商可以通过这些数据收集用户的行为和习惯,可能会进行商业化分析和推荐,从而侵犯用户的隐私。
用户需要关心的隐私保护问题包括使用信息、位置信息、个人身份信息、设备信息等方面。
如何保护用户隐私成为了云存储领域需要探索的难题。
三、云存储的数据安全保障技术为了保证云存储的数据安全,需要采取一些技术手段来确保数据的安全性和保密性。
1. 数据加密技术为了确保数据在传输过程中不被黑客窃取,可以使用数据加密技术。
数据加密是指通过特定算法将数据转化为另一种形式,从而使数据难以被黑客攻击。
加密技术包括对称密码、非对称密码、哈希算法等多种方式。
用户可将数据进行加密后再上传到云端,保护数据的安全性。
2. 访问控制技术云服务商可以采用访问控制技术来保障客户数据的访问安全性。
访问控制技术可以对数据进行分级的权限控制,这样即使黑客攻击成功,也无法获取到机密等级过高的数据。
云计算环境下的访问控制技术
云计算环境下的访问控制技术云计算环境下的访问控制技术是保护云计算系统中资源和数据安全的重要手段之一、访问控制技术通过验证和授权来实现对云计算环境中用户和资源的访问管理。
本文将介绍云计算环境下的访问控制技术的基本原理、常用的访问控制模型以及一些新兴的访问控制技术。
一、云计算环境下的访问控制基本原理在云计算环境中,访问控制的基本原理是:鉴别用户身份和权限,并将合理的用户请求授权给合适的资源。
具体来说,云计算环境下的访问控制需要完成以下几个方面的功能:1.身份验证:验证用户的身份,确保用户是合法的云计算系统用户。
2.授权:根据用户的身份和权限,决定用户可以访问的资源范围和操作权限。
3.审计:记录用户的访问行为,以便于监测和追踪可能的安全问题。
二、常用的云计算访问控制模型1. 基于角色的访问控制(Role-Based Access Control,RBAC):RBAC是云计算环境中最常用的一种访问控制模型。
它将用户和资源分配到角色中,通过将角色与权限关联起来,实现对用户访问的控制。
RBAC模型具有易于维护和灵活的优点,能够适应多变的云计算环境中用户和资源的变化。
2. 基于属性的访问控制(Attribute-Based Access Control,ABAC):ABAC是一种新兴的访问控制模型,它将用户的属性作为访问控制的依据,与传统的基于角色的访问控制不同,ABAC模型更加细粒度地对用户进行鉴别和授权。
ABAC模型具有高度的灵活性和可扩展性,能够更好地适应复杂多变的云计算环境。
3.混合访问控制模型:混合访问控制模型是将不同的访问控制模型结合起来,综合利用各种模型的优点。
例如,将RBAC和ABAC结合,可以在RBAC模型的基础上,通过用户的属性进行更加细粒度的控制,提高访问控制的灵活性和精确性。
1.基于区块链的访问控制:区块链技术具有去中心化、不可篡改等特点,可以用于确保访问控制的可靠性和安全性。
通过将访问控制规则存储在区块链上,确保只有授权用户才能修改和访问这些规则,从而提高访问控制的安全性。
云计算中可信访问控制的研究
( 1 ) 信 息处 理发生在虚拟机 中 ,完 全处在监控器 的控制下 。监控器具有访问 由虚拟机处理过 的所有 的 数据 的权 限。
的基础 , 第 二种是分布式 服务 的平 台 。很 多网络供应 商提供公共服 务的方法 , 甚 至需求更 多鲁棒性 和可选
( 2 )内存传 递发 生在各监 控器 间虚拟机 迁移 时 , 这个 内存可能包含机密信息 。 ( 3 ) 传统 的信息安全工具不能控制一个监 控器 内
( 内江师范学 院 计算机科 学学 院, 四川 内江 6 4 1 0 0 0 )
摘
要: 云计算是指通过 网络提供 的软件服务 。这些 服务 的安全问题 由于云环境 的异构 和动态分布变
得越来越严重 。 复杂 的云平 台对安全设 备有更多的功能需求 , 这样才能适应现有 网络环境 。 本文 中提 出 了一种通过监控器定制的防火墙解 决方案完 成可信 访问控制 , 描述 了基于虚拟连接管理 流量过滤机制
c l o u d p l a f t o r m h a s mo r e o f t h e f u n c t i o n a l r e q u i r e me n t s o f s a f e t y e q u i p me n t , S O a s t o a d a p t t o t h e e x i s t i n g n e t w o r k e n v i —
云存储下多用户协同访问控制方案
云存储下多用户协同访问控制方案史姣丽;黄传河;王晶;覃匡宇;何凯【摘要】CP-ABE被认为是云存储下最适合的数据访问控制方法之一,但它仅适合用户分别读取或者分别修改不同数据的情况,而直接应用CP-ABE进行多用户协同数据访问时,会存在修改无序、密文文件大量冗余等问题.多用户协同访问云端数据时,应该在保证机密性、抗共谋的前提下控制合法用户有序地修改同一密文文件,同时云端尽可能减少密文文件副本.针对文件和文件逻辑分块,提出了2个多用户协同访问控制方案MCA-F和MCA-B.MCA-F满足单个数据文件作为最小控制粒度的访问控制需求,该方案采用层次加密结构,云服务器承担部分解密计算,以降低用户解密的计算代价;针对多用户同时写数据的访问控制,提出了对多个用户提交的暂存数据的管理方法.MCA-B用于文件的逻辑分块作为最小控制粒度的访问控制,该方案设计了文件的逻辑分块机制、基于索引矩阵的表示方法,提出了子数据掩码表示方法以描述多个用户对同一文件不同逻辑分块的写权限;MCA-B支持用户集合、文件逻辑分块结构的动态变化,而且数据的拥有者和修改者无需一直在线.与现有的方案相比,所提方案不仅具有云存储下多用户协同写数据的访问控制能力,而且读访问控制的用户端存储量和加解密计算量是较小的.【期刊名称】《通信学报》【年(卷),期】2016(037)001【总页数】12页(P88-99)【关键词】云存储;访问控制;属性加密;多用户协同访问【作者】史姣丽;黄传河;王晶;覃匡宇;何凯【作者单位】武汉大学计算机学院,湖北武汉430072;九江学院信息科学与技术学院,江西九江332005;武汉大学计算机学院,湖北武汉430072;武汉大学计算机学院,湖北武汉430072;武汉大学计算机学院,湖北武汉430072;桂林电子科技大学信息与通信学院,广西桂林541004;武汉大学计算机学院,湖北武汉430072【正文语种】中文【中图分类】TP393.0云存储为用户提供了随时随地的数据访问。
面向云计算环境的访问控制模型
面向云计算环境的访问控制模型
马 强 , 艾中良
( ) 华北计算技术研究所 ,北京 1 0 0 0 8 3
1] 摘 要 : 针对云计算 [ 领域中基础设施服务在运行和管理中存在的安全问 题 , 在 传 统 访 问 控 制 模 型 的 基 础 上 综 合 考 虑 了 云 2] 的特点 , 设计了一套访问控制模型 。 分析了云计算中 安 全 问 题 的 特 点 及 现 有 方 案 的 不 足 之 处 , 提 出 基 计算基础设施服务 [ [] [] 础设施服务的安全是云计算安全的基础 。 根据四条设计原则在 R B A C模型 3 和 T E 模型 4 的基础上加以改进形成了适用于 [ ] [] 云计算基础设施服务的 C I R B A C 模型和 C I T E 模型 , 对模型中的各个模块进行了详细的设计 。 在基于 X e n5-6 虚 拟 化 技 术 7 [] 的O e n S t a c k8 云计算环境中实现了这些访问控制模型 。 该模型很好地增强了云计算基础设施服务的安全性 。 p
2 0 1 2年1 2月 第3 3卷 第1 2期
计算机工程与设计
C OMP UT E R E NG I N E E R I NG AN D D E S I GN
D e c . 2 0 1 2 V o l . 3 3 N o . 1 2
,A MA Q i a n I Z h o n L i a n - g g g
( , ) N o r t h C h i n a I n s t i t u t e o f C o m u t i n T e c h n o l o B e i i n 1 0 0 8 3, C h i n a p g g y j g
: ) , A b s t r a c t I n o r d e r t o s o l v e t h e s e c u r i t o f o e r a t i o n a n d m a n a e m e n t i n I a a S( I n f r a s t r u c t u r e a s a S e r v i c e a a c c e s s r o b l e m s y p g p , c o n t r o l m e c h a n i s m i s d e s i n e d b a s e d o n t h e t r a d i t i o n a l a c c e s s c o n t r o l m o d e l a n d t h e f e a t u r e s o f I a a S. F i r s t l t h e s e c u r e f e a t u r e s g y , o f c l o u d c o m u t i n a n d t h e i n a d e u a c i e s o f e x i s t i n a r e a n a l z e d I t i s o u t t h e s e c u r i t o f I a a S i s t h e b a s i s f o r r o r a m s o i n t e d p g q g y y p g p , , r i n c i l e s t h e s e c u r i t o f c l o u d c o m u t i n .T h e n a c c o r d i n t o f o u r d e s i n t h e C I R B A C m o d e l a n d t h e C I T E m o d e l a r e d e - p p y p g g g , , s i n e d w h i c h c a n b e u s e d i n t h e i n f r a s t r u c t u r e l a e r o f c l o u d c o m u t i n b a s e d o n t h e R B A C m o d e l a n d t h e T E m o d e l a n d t h e g y p g , m o d u l e s o f t h e m o d e l s i s d e s i n e d i n d e t a i l . F i n a l l t h e m o d e l s a r e a c h i e v e d a t t h e o e n s t a c k e n v i r o n m e n t w i t h X e n b a s e d v i r t u a l i z a t i o n Байду номын сангаас - g y p l a e r . T h e m o d e l e n h a n c e s t h e s e c u r i t o f I a a S . y y
云计算系统的性能调优与访问控制策略分析研究
云计算系统的性能调优与访问控制策略分析研究随着云计算技术的快速发展,越来越多的企业和个人开始将其业务和数据存储在云计算平台上。
然而,云计算系统面临着性能调优和访问控制策略分析的挑战。
本文将探讨如何对云计算系统进行性能调优,并分析不同访问控制策略的优劣之处。
一、云计算系统性能调优云计算系统的性能调优是指通过对系统内部的资源管理和优化,以提高系统的吞吐量、响应时间、可用性以及整体性能。
以下是云计算系统性能调优的几个关键方面:1. 资源调度与负载均衡:对于大规模的云计算系统来说,有效的资源调度和负载均衡是提高性能的关键。
通过合理地分配计算、存储和网络资源,可以最大化地利用系统资源,提高用户体验并确保服务的可靠性。
2. 数据存储与访问优化:云计算系统中的数据存储对性能有着重要的影响。
使用高效的数据存储技术,如冗余阵列磁盘(RAID)和分布式文件系统,可以提高数据的读写速度和可靠性。
此外,采用数据缓存和数据压缩等技术也可以减少对存储资源的需求,进一步提高性能。
3. 数据传输与网络优化:云计算系统中大量的数据传输对网络性能有着重要影响。
通过使用高速网络和合理的数据传输协议,如TCP/IP协议,可以加速数据的传输速度,降低延迟,并提高数据传输的可靠性。
4. 系统监控与故障处理:实时监控云计算系统的运行状态和性能参数是及时发现问题并进行调优的重要手段。
通过合理设置监控指标和使用监控工具可以追踪系统运行状态,并及时发现潜在的性能瓶颈和故障点,进而采取措施进行处理。
二、云计算系统访问控制策略分析云计算系统的安全性是用户关注的重点,而访问控制是确保云计算系统安全的重要手段之一。
以下是几种常见的云计算系统访问控制策略:1. 基于角色的访问控制(RBAC):RBAC是一种常见的访问控制策略,通过将用户与角色关联起来,给予不同的角色不同的权限。
RBAC可以简化访问控制管理,提高系统的安全性和可扩展性。
2. 基于属性的访问控制(ABAC):ABAC是一种灵活的访问控制策略,根据用户的属性和环境的上下文来进行访问控制。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
云的访问控制研究
访问控制是保证信息安全领域的重要技术和安全保障,一方面保证用户的合法访问,另外一方面拒绝合法用户的越权操作。
面对纷繁复杂而又庞大的云平台来说,其访问控制机制应该是多级化安全策略的、动态的、自适应的、具备细粒度的访问控制和对象化管理等多个特征,因此云的安全控制策略应该是合成的、综合性的访问控制机制,才能保证云端数据的安全。
标签:云访问控制控制策略
一、访问控制机制
目前的访问控制机制主要有传统的访问控制机制、基于角色的访问控制机制和基于信任的访问控制机制。
传统访问控制机制又可以分为自主访问控制机制和强制访问控制机制(如军方)。
二、自主访问控制技术
自主访问控制机制中自主性主要是指客体所有者依据对安全策略的正确理解或意愿可以将对客体的访问权限授予其他用户、撤销或收回,授权用户也可以将权限转移给其他用户。
自主访问控制是一种灵活的数据访问形式,应用环境比较广泛,如商业系统。
但其安全性不高,随着资源访问权限的用户转移和权限的传递,有可能造成被非法用户绕过从而安全性被削弱,并且权限管理比较复杂,不利于统一管理,不适用于对安全性要求高的复杂网络。
三、强制访问控制技术
强制访问控制是一种多级安全的强制控制策略,特点是主客体的安全等级是分离的,由授权机构或系统管理员分配主体属性的可信级别和客体属性的信息敏感度。
用户不能改变主体的可信级别、访问权限和客体资源的安全级别,这些安全级别是预先强制分配的。
不同用户级别的用户依据拥有的权限按照资源的安全级别进行访问。
强制访问控制实行对权限实行严格集中控制,主要适用于对安全级别要求高的环境,如军方。
强制访问控制由于管理过于严格和集中,使得管理工作量巨大、不灵活,不太适用于用户数量多、资源种类多的通用或大型系统。
四、基于角色的访问控制
基于角色的访问控制主要引进了角色的概念。
角色是用户和权限之间的代理层,代表着他们之间的访问权限关系。
通过对角色的授予访问权限来代替对用户或组的授权。
基于角色的访问控制依据用户在系统中扮演的角色,按照相应的角色权限执行相应的资源操作,方便管理,同时按照最小特权的标准,用户拥有了执行特定任务的权限,又不至于权限过大而削弱系统的安全性。
基于角色的访问控制机制通过静态的对角色赋予权限,用户获得相应的角色后具有了相应的资源
访问权限,这种机制动态性比较差,执行效率不高,另外有关角色模型和算法很多都处于研究阶段,真正运用到实践中还比较困难[1]。
以上介绍的三种控制机制比较适用于封闭的网络环境,由于云环境下的实体的频繁交互和资源的不确定性,传统的访问控制不能保证用户获得的资源是真实安全的以及被细粒度授权。
客体身份的合法性和服务者提供者所提供资源的安全性都是传统访问控制机制面临的挑战。
云计算是面向多用户和跨域访问问题,使得只依靠传统访问机制是不能保证系统安全最大化需求的。
一个系统的安全策略机制是多种访问控制机制或多种控制策略的综合使用。
五、云的访问控制
1.云数据访问控制面临的问题
由于云计算及云存储的开放性、数据的托管状态、数据安全的多极化管理等特点,使得云数据安全面临必须要解决云端资源的安全性、用户的合法性、用户的合法性操作以及数据的隐私安全等问题。
要解决以上问题,云访问控制研究除了需要确保云端资源、服务被合法的用户所获取并使用之外,同时需要兼顾隐私保护、安全创建、可信自毁等问题。
因此,云端数据访问控制面临的挑战主要体现在如下几个方面:
1.1数据的可用性,体现在用户可以随时随地以各种型号的终端设备、不同的访问方式访问云资源,这在方便用户使用云资源的同时,也使得资源的访问具有随机性和不可控的问题。
另外云数据的多要素化、安全管理的多极化特点,即云访问控制需要解决多要素和多级管理的问题。
1.2云数据种类的多样化:云数据种类繁多,包含了图形图像、音视频、文本等。
有些资源要求具备细粒度的访问控制及资源访问控制权限的对象化管理。
一般情况下数据先进行加密然后上传到云端;同时数据的創建应与访问控制条件及权限的细粒度描述相结合。
1.3访问策略应该是动态的、多变的,应与资源的生命周期(创建、传输、访问及使用、销毁)相结合,资源处于不同生命周期的阶段所对应的访问控制策略、访问权限、面向的用户是不同的。
用户访问的随机性、多要素与多级管理相结合,要求云计算的访问控制策略应具备结合数据的生命周期并具有动态自适应的特点[2]。
1.4由于云环境的开放性和共享性,使得每个云应用都有一定的安全管理域,每个安全域管理着自己的资源和用户。
当用户进行跨域访问资源时,必须进行域边界的认证服务,有必要对用户进行统一身份认证管理。
在进行跨域的资源访问中,由于每个安全管理域都有适合自己的访问控制策略,对资源的跨域共享和保护时应遵循一个公共的、双方都认同的安全策略。
所以云安全的访问控制策略应该是多个策略的合成,合成的新策略既要保障自身的安全性又不能违背又要集成原来每个安全管理域的访问控制策略[3]。
1.5用户和云服务提供商之间的不信任:用户把数据交给云服务商进行管理,拥有权和管理权已经分离,用户和服务器不在同一可信区域。
用户以租户的形式对服务器进行访问,用户对云服务提供商(服务器)不是完全信任或者数据的安全性对于用户来说是不可控的,用户数据有可能被内部员工非法泄露、篡改和窃取。
另外用户在获得合法身份后做的非法操作或发起的攻击和破坏行为都将对云平台造成严重威胁。
对于云的访问控制有必要引入信任机制的概念,以增强云的安全性、可靠性。
综合以上云访问控制的要求,云访问控制机制应是多级化安全策略、动态的、自适应的、具备细粒度的访问控制和对象化管理等多个特征,因此云的安全控制策略应该是合成的、综合性的访问控制机制,只有这样才能保证云端数据的安全。
六、云访问控制机制
面对云环境的开放性和共享性,使得传统的安全控制策略已不能解决云安全面临的问题,目前云访问控制面临的关键问题是,怎样把多种传统控制机制和各种安全控制授权策略语言标准扩展后运用到云环境中。
对于云的访问控制机制,学术界主要从以下几个方面进行研究:基于身份的、基于属性的、基于加密的、多级安全以及面向分布式和跨域的等。
基于身份的云访问控制机制在保证云安全的同时,主要解决分布式开放网络中细粒度的访问,但随着云平台的发展和混合访问控制的整合势必对基于身份的访问控制带来新的挑战。
基于属性的是在基于身份的访问控制的基础上的进一步延伸和发展,在保证已有优势的同时,还能解决不同云场景下的访问控制机制,有很重要的理论和研究意义[4]。
密码学通过指定算法和密钥对数据进行加密处理实现数据机密性的保护,通过加密的数据以密文的形式保存在云服务器中能够与基于策略的访问控制机制实现互补。
基于密码算法的访问控制机制应运而生。
多级安全访问控制机制目前研究的有基于行为的多级安全访问控制模型,主要解决的是上下文的信息中时间状态和环境状态(空间状态)等的缺失。
可以将传统的安全访问控制(自主安全控制和强制安全控制机制)模型与ABAC(基于行为的)访问控制模型相结合,并定义了模型中行为的多级安全属性;对于用户权限随时随地有可能发生变化的动态伸缩需求,将用户的读写请求进行安全细化,定义了行为的读、写安全级别,通过行为属性映射函数实现主体在特定时空状态下访问请求行为的安全属性获取,并定义了安全规则,从而保证动态调整的时空要求;基于行为的多级安全访问控制模型比传统的BLP具有更强的灵活性和时空特征。
在面向分布式和域的访问控制模型中,在分布式系统中有多个域,每个域都有客户、服务器、域安全管理器和外域安全管理器。
协同工作和跨域访问更是分布式系统中常见的操作和重要特征。
因此基于此模型,出现了分布式基于角色的访问控制模型、基于域的訪问控制模型和使用控制模型来解决多域间的访问和分
散管理者之间协同工作的问题[5]。
参考文献
[1]樊超.云计算环境下基于标识的用户身份认证技术研究[D].州.广东工业大学.2014.24-28.
[2]苏铓.面向云计算的访问控制技术研究. [D].西安.安电子科技大学.2014.21-22
[3]冯登国,张敏,张妍等.云计算安全研究[J].软件学报. 2011,22(1):78-82.
[4]涂山山.云计算环境中访问控制的机制和关键技术研究[D].北京.北京邮电大学,2014:47-55.
[5]苏铓.面向云计算的访问控制技术研究. [D].西安.安电子科技大学.2014.23-24。