云计算访问控制研究综述

引用本文王于丁,杨家海,徐聪,凌晓,杨洋.云计算访问控制技术研究综述[J].软件学报,2015,26(5):1129-1150.[J].RuanJianXueBao/JournalofSoftware,2015,26(5):1129-1150.云计算访问控制技术研究综述王于丁,杨家海,徐聪,凌晓,杨洋摘要：随着云计算规模化和集约化的发展,云安全问题成为云计算领域亟待突破的重要问题.访问控制技术是安全问题的重中之重,其任务是通过限制用户对数据信息的访问能力及范围,保证信息资源不被非法使用和访问.主要对目前云计算环境下的访问控制问题进行研究,首先介绍访问控制理论;然后分析了云计算环境下的访问控制技术体系框架,重点从云计算访问控制模型、基于ABE(attribute-basedencryption)密码体制的云计算访问控制、云中多租户及虚拟化访问控制这3个方面对云计算环境下的访问控制问题进行综述,并且调研了工业界云服务提供商和开源云平台的访问控制机制;最后对未来的研究趋势进行了展望.关键词：云计算云安全访问控制访问控制策略访问控制模型ABE(attribute-basedencryption)SurveyonAccessControlTechnologiesforCloudComputingWANGYu-Ding,YANGJia-Hai,XUCong,LINGXiao,YANGYangAbstract:Withtheintensiveandlargescaledevelopmentofcloudcomputing,securitybecomesoneofthemostimportantproblems.Asanimportantpartofsecuritydomain,accesscontroltechniqueisusedtolimitusers'capabilityandscopetoaccessdataandensuretheinformationresourcesnottobeusedandaccessedillegally.Thispaperfocusesonthestate-of-the-artresearchofaccesscontroltechnologyincloudcomputingenvironment.First,itbrieflyintroducesaccesscontroltheory,anddiscussestheaccesscontrolframeworkincloudcomputingenvironment.Then,itthoroughlysurveystheaccesscontrolproblemsincloudcomputingenvironmentfromthreeaspectsincludingcloudaccesscontrolmodel,cloudaccesscontrolbasedonABE(attribute-basedencryption)cryptosystem,andmulti-tenantandvirtualizationaccesscontrolincloud.Inaddition,itprobesthebestcurrentpracticesofaccesscontroltechnologieswithinthemajorcloudserviceprovidersandopensourcecloudplatforms.Finally,itsummarizestheproblemsinthecurrentresearchandprospectsthedevelopmentoffutureresearch.Keywords:cloudcomputingcloudsecurityaccesscontrolaccesscontrolpolicyaccesscontrolmodelABE(attribute-basedencryption)随着云计算的发展,云安全成为越来越关键的问题.在云计算环境中,用户对放置在云服务器中的数据和计算失去控制,对于数据是否受到保护、计算任务是否被正确执行都不能确定,因此需要设计相应的安全机制和体系结构来保护用户数据的机密性、完整性、可用性[1,2].2011年11月14日,对云安全研究最为活跃的组织云安全联盟(cloudsecurityalliance,简称CSA)[3]发布了最新版的云计算服务安全实践手册《云计算安全指南(v3.0)》,该指南总结了云计算的技术架构模型、安全控制模型以及相关合规模型之间的映射关系,确定了云计算安全的14个焦点领域,对每个领域给出了具体建议,分别是云计算体系结构、政府和企业风险管理、法律问题、合规和审计、信息管理与数据安全、互操作性与可移植性、传统安全影响(业务连续性、灾难恢复)、数据中心运行、事故响应、应用安全、加密和密钥管理、身份授权与访问控制、虚拟化、安全即服务(SecaaS)等.当前,云安全问题的重要性呈现逐步上升趋势,已成为制约其发展的重要因素,各大云服务提供商的安全问题屡见不鲜:2009年3月,Google发生大批用户文件外泄事件;2010年底,微软的Hotmail出现了数据丢失现象,导致数万个邮箱账户被清空;2011年3月,谷歌邮箱再次爆发大规模的用户数据泄漏事件,大约有15万Gmail用户发现自己的所有邮件和聊天记录被删除;2012年,亚马逊北弗吉尼亚数据中心服务多次(4月、6月、10月、12月)宕机,导致托管的大量网站无法访问,相关企业营业收入受到很大的影响;2013年2月,微软云服务两次大规模中断,包括WindowsAzure云存储在内的很多服务都发生了故障,时间长达10多个小时;2014年9月,詹妮弗·劳伦斯等好莱坞明星裸照泄露于网上,经证实,是黑客攻击了多个iCloud账号所致;再加上上半年曝光的ios后门事件,让苹果云安全再次受到质疑.因此,要让企业和组织大规模应用云计算技术与平台,放心地将自己的数据交付于云服务提供商管理,就必须全面地分析并着手解决云计算所面临的各种安全问题.从重大安全事件可以看出:数据安全是云安全的核心,对数据资源的访问控制成为云安全问题的重中之重.访问控制的目的是通过限制用户对数据信息的访问能力及范围,保证信息资源不被非法使用和访问.传统计算模式下的访问控制技术基本上能够有效地对信息资源进行保护,防止非法访问.但是到了云计算时代,计算模式和存储模式都发生了很多变化,主要体现在以下5个方面:(1)云计算环境中用户无法控制资源;(2)用户和云平台之间缺乏信任;(3)迁移技术可能导致数据要变更安全域;(4)多租户技术使得访问主体要重新界定;(5)虚拟化技术会让数据在同一物理设备上遭到窃取.所以,云计算给访问控制研究提出了新的挑战:如何发展传统的访问控制技术来解决新型的云计算安全问题.面对这个挑战,学术界许多学者已经展开了云计算环境下的访问控制技术的研究,主要研究点集中在云计算环境下访问控制模型、基于加密机制的访问控制、虚拟机访问控制等方面;各大云服务提供商在构建云平台和提供云服务的过程中也对现有的访问控制技术进行了尝试和实践.本文希望从学术界和工业界两个方面对目前云计算环境下的访问控制技术的研究和实践进行系统的综述和梳理,希望能给该领域的研究者一些启示,并对今后的研究方向做一个展望和探讨.本文首先回顾访问控制理论的发展历史、经典模型和语言描述;然后分析云计算环境下的访问控制技术体系框架;接着对云计算环境下的访问控制问题从云计算访问控制模型、基于ABE(attribute-basedencryption)密码体制的云计算访问控制、云中多租户及虚拟化访问控制这3个方面进行综述,并对云服务提供商的访问控制机制进行调研;最后,对未来研究趋势进行展望.1访问控制原理概述1.1传统的访问控制技术访问控制技术起源于20世纪70年代,当时是为了满足管理大型主机系统上共享数据授权访问的需要.所谓访问控制,就是在鉴别用户的合法身份后,通过某种途径显式地准许或限制用户对数据信息的访问能力及范围,从而控制对关键资源的访问,防止非法用户的侵入或者合法用户的不慎操作造成破坏[4].访问控制有很重要的作用:(1)防止非法的用户访问受保护的系统信息资源;(2)允许合法用户访问受保护的系统信息资源;(3)防止合法的用户对受保护的系统信息资源进行非授权的访问.但随着计算机技术和应用的发展,特别是网络应用的发展,这一技术的思想和方法迅速应用于信息系统的各个领域.Lampson[5]首先提出了访问控制的形式化和机制描述,引入了主体、客体和访问矩阵的概念,在随后40多年的发展过程中,先后出现了多种重要的访问控制技术,见表1.访问控制技术作为实现安全操作系统的核心技术,是系统安全的一个解决方案,是保证信息机密性和完整性的关键技术,对访问控制的研究已成为计算机科学的研究热点之一.随着网络和计算技术的不断发展,访问控制模型出现了许多以RBAC为基础的扩展模型,访问控制的应用也扩展到更多的领域,比较典型的有操作系统、数据库、无线移动网络、网格计算以及云计算等等.Table1Developmentofaccesscontrol表1访问控制技术发展1.2RBAC96访问控制模型基于角色的访问控制模型表述了用户、角色和权限之间的复杂关系,解决了在传统的访问控制中主体始终是和特定的实体捆绑的不灵活问题,实现了主体的灵活授权,是最经典的访问控制模型.RBAC96是RBAC模型家族的基础,之后的所有模型都是在RBAC96基础上发展的.RBAC96包括了4种基于角色的访问控制模型,图1所示是它们之间的相互关系.Fig.1RelationshipofRBAC96model图1RBAC96模型之间的关系RBAC0是基本模型,由4个基本要素构成,即,用户(U)、角色(R)、会话(S)和授权(P).图2表示在一个信息系统中,定义并存在着多个用户和多个角色,同时对每个角色设置了多个权限关系,称为权限的赋予(PA).Fig.2RBAC0model图2RBAC0模型在RBAC模型中,授权就是将这些客体的存取访问的权限在可靠的控制下连带角色所需要的操作一起提供给那些角色所代表的用户.通过授权的管理机制,可以给予一个角色以多个权限,而一个权限也可以赋予多个角色.RBAC1为角色分级模型,在角色域中加入了角色的继承;RBAC2为角色限制模型,加入了约束条件;RBAC3为统一模型,是RBAC1模型和RBAC2模型的整合.RBAC经过了多年的发展,形成了一套理论体系,其优点和缺点也很明显地显现出来.在近几年访问控制技术的发展中,研究人员在RBAC基础上提出了许多扩展模型,比较常见的有基于任务的访问控制模型、基于时态模型的云计算访问控制、基于属性模型的云计算访问控制等.这些模型能够从不同层面解决系统中访问控制的问题,保证了信息访问的合法性、安全性以及可控性.而且随着云计算的发展,学者们将这些扩展的访问控制模型引用到了云计算的环境里.关于这些扩展模型的介绍和在云计算环境下的应用详见第3.1节.1.3访问控制语言描述在访问控制技术的发展和工程实践中,出现了许多语言对高效的用户访问和授权管理和流程进行描述,这些语言作为访问控制理论和工程实践之间的桥梁起着至关重要的作用,也是后人研究访问控制技术的主要工具.目前主要有以下3种语言可以对访问控制进行描述,其作用各不相同:(1)安全断言标记语言(securityassertionmarkuplanguage,简称SAML)[11]是一个基于XML的标准