黄翔++张媛媛

摘要：随着云計算的推广和普及，云安全问题日益凸显，而有效进行用户身份和访问控制管理是保障云服务顺利开展的前提。本文分析云计算平台下IAM（Identity and Access Management，身份和访问控制）的特点和存在问题，调研各大厂商针对问题相应的技术解决方案和目前研究的主要方向，最后对未来研究进行展望。

关键词：云安全 身份和访问控制 云计算

中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2016）12-0115-02

随着移动互联网技术的快速发展，云计算越来越普及，已初步形成规模化产业，而与此同时安全问题日益凸显。2016年9月雅虎爆出史上最严重数据泄露，近5亿用户的账户信息于2014年被盗，而之前，过1亿的LinkedIn成员泄露密码泄露后，Facebook创始人马克·扎克伯格的Twitter账户被黑。在云计算环境下，从用户将数据上传到云服务器开始，就失去了对数据的控制能力，数据是否安全、工作任务是否顺利完成都是未知数，因此有效地进行用户身份和访问控制是保障云服务顺利开展的前提条件。

1 IAM

IAM是保障合理的访问能顺利进行而非法的访问能被拒绝的主要措施，对于Paas（平台即服务）、Saas（软件即服务）、Iaas（基础设施即服务）任何一种云服务都是不可或缺的。通常IAM会经过认证、授权、访问、数据供应、监控审计等步骤。认证即确认用户的身份，包括不同的云服务提供商、企业内部用户、企业服务对象等；授权分两方面，一方面云服务提供商将自身所提供资源的权限授予给通过认证的用户，另一方面通过认证的用户将自己上传资源的访问权限授予给其他可访问的用户；访问即根据访问控制模型，设定并实施访问策略，对各种数据请求进行审核；数据供应即为通过认证的用户提供数据传输或其它服务；监控审计即对整个服务过程进行实时记录，发现问题及时预警并提出解决方案。

2 云计算IAM

传统企业信息系统一般部署在企业内部，软件、计算机、网络、交换机都在管理员的完全掌控下，即在可控信任域的范围内，并且可以通过设置防火墙、IDS建立保护屏障，与外界隔离开，在此种情况下进行身份和访问控制管理都相对而言比较简单。但如果将部分数据或业务移动到公有云，保护屏障已失去作用，可控信任域消失，企业对数据资源的控制权缺失；尤其在实时业务中所需资源是动态变化的，使得身份和访问控制更为复杂，具有其自身的特点：

2.1 身份供应跨区域，隐私难保护

传统企业信息系统的用户身份由人事部门来提供，权限也相应明晰，一旦发生变化可以及时进行同步处理。而在公有云的环境下，对于企业用户而言，云端和企业都需要身份供应，若由企业实现则存在用户认证跨区域的问题，若有云端供应商提供，隐私数据又很难得到保障。而对个人用户而言，由于是多个用户共用软硬件资源，身份信息泄露较为容易，隐私保护难落到实处。

2.2 多种认证方式并存

传统企业信息系统由于业务资源在可信任区域内部，同时具有防火墙、IDS等的保护，故认证方式多为“用户名+密码”即可满足需求。而在云计算环境下，移动互联网技术广泛运用，人们随时随地都可以通过移动终端接入云端，享受快捷服务，与此同时简单的“用户名+密码”的认证方式远远不够。信息系统至少会有2个工作域，分别是企业本身、云服务提供商。普遍的情况是云服务提供商为企业提供认证服务，而身份认证则会由购买了云服务的企业来进行，不同业务安全级别不同，认证力度也各不相同，强认证、委托认证是常用的手段，这其中可信、可管是关键。

2.3 访问授权缺乏通用的模型

访问控制模型是访问授权的依据，以往的访问控制模型能否运用到云计算环境下有待于进一步检验。而所提供的云服务IaaS、PaaS和SaaS都有各自的特点，探索何种访问控制模型适用于何种服务有待于进一步深入研究。目前的难点是云端信息、企业相关信息的同步问题。

2.4 身份联合

云计算环境下，企业业务开展通常会涉及到多个服务提供商，每个厂商都有自己的一套身份供应、认证、授权、访问控制的方式方法，此种情况下，建立统一标准进行身份联合是简化用户访问的有效措施。

3 各大厂商的技术解决方案

3.1 身份供应策略

目前的工业标准是SPML（Service Provisioning Markup Language，服务供应标记语言），用于实现合作企业间信息交换。云服务提供商通过提供SPML适配器、SPML网关来支持SPML。通常情况下，新用户信息通过SAML令牌传递给云服务提供商，而服务提供商从令牌中提取属性信息，建立SPML消息，处理身份供应请求，即将用户信息填入到数据库中去。

3.2 身份认证策略

公有云通常是多个用户共用软硬件设备，这种方式决定了身份认证需采用强认证方式。在具体实施过程中，可以由云服务提供商来负责认证，或外包给IDaas（ID as a Service，云身份服务）提供商，还可以由企业自身来完成，但这需要云服务提供相应的支持。目前较为典型的身份认证方式：S3（Amazon Simple Storage Service）身份认证、基于OAuth的跨域身份认证。

S3身份认证：S3是亚马逊提供的云存储服务。当新用户注册时，会被分配给Access Key ID（20位的字符串）和Secret Access Key（40位字符串），Access Key ID用来唯一的标识用户，Secret Access Key用来验证用户请求是否合法。身份认证采用基于HMAC-SHAI数字签名的认证算法，其核心在于采用HMAC-SHAI消息认证协议，利用散列函数来验证数据是否完整，利用密钥共享、消息认证码是否一致来验证数据是否真实，用户端和服务端的行为如下：

用户端：生成服務请求，输入访问密钥，计算消息散列值，计算认证码，发送服务请求及认证码

服务端：接收服务请求及认证码、提取访问密钥、查询访问密钥、计算消息散列值、计算认证码、验证认证码

基于OAuth跨域身份认证：OAuth是支持跨域访问的协议，允许用户将存储在私有云中的资源共享给其他用户而不会暴露身份信息。它提供了安全进行数据发布和交换的方式，同时也提供了保证自身信息安全的前提下访问其他云数据的可能，应用广泛。

3.3 访问授权策略

访问控制模型是进行访问控制的依据，目前在企业中主要采用的有三种访问模型：

①MAC（Mandatory Access Control）：强制访问控制，适用于基于信息种类来进行的访问；

②RBAC（Role Based Access Control）：基于角色的访问控制，适用于事务处理和非Web的服务；

③DAC（Discretionary Access Control）：自主访问控制，适用于非结构化数据的访问，或是云服务提供商提供的Web服务。

目前基于上述模型典型的访问授权方式有：基于XACML（eXtensible Access Control Markup Language，可扩展控制标记语言）的访问控制、Windows Azure访问控制。

基于XACML的访问授权：XACML打破了特定应用授权模型的局限，适用于不同应用，是通用的、基于XML的访问控制语言，提供访问授权方法、执行策略的授权标准。

Windows Azure访问控制：Windows Azure是微软公司的云平台，主要采用NET访问控制服务，即利用令牌和身份标识转换引擎来实现访问控制。具体过程：用户通过浏览器提供SAML（Security Assertion Markup Language）令牌（传输身份信息），.NET访问控制服务端会根据规则STS（Security Token Service，安全令牌服务），创建新的SAML，并向用户返回新的SAML令牌，用户将新SAML令牌提交给应用程序，应用程序端使用新SAML令牌决定用户权限。

3.4 身份联合策略

目前进行身份联合主要有两种方式，一种是由IDaaS来统一管理，另一种是企业内部建立IdP（Identity Provider，身份供应机构）。基于IDaaS进行身份联合，可以不改变企业原有信息系统结构，当企业身份目录和身份管理提供的云端同步时即可实现访问，缺点是不知道实现细节，存在IDaas是否可信的问题。基于IdP的身份联合则是在改造现有身份管理系统的基础上进行，保证了身份管理与企业内部访问控制策略的一致，而无需担心可信安全问题。

4 目前研究

IAM是云计算安全的核心，目前的研究主要集中访问控制模型、基于ABE密码体制的访问控制、多租户和虚拟化访问控制。

云访问控制模型：主要在传统访问控制模型基础上进行改进，让它更适用于云计算环境。Jung Y等在RBAC基础上提出自适应访问控制模型，会自动计算服务成本并且根据与预算的比对情况进行角色转换；林果园等结合BLP模型和Biba模型的特点，除了保证数据的保密性和完整性外，还增加权限、行为上的访问控制；Chandran S M等提出唯一激活集解决混杂角色的权限查询问题。Bertino E等扩展TRBAC模型解决角色、用户临时依赖问题。

基于ABE（Attribute based Encryption，基于属性的加密算法）密码的访问控制：基本观点是认为密文和私钥分别与属性存在关联，当密文属性和私钥属性相匹配时用户解密。Yu S等采用代理重加密方法，既提高重加密的效率又防止数据泄露；陈丹伟等将用户域划分，私人域采用CP-ABE，公共域采用分级的CP-ABE分别进行访问控制。

多租户和虚拟化访问控制：主要通过多租户的隔离、hypervisor实现虚拟机的访问控制。Li XY等提出将云服务提供商和租户权责分离；Tang等将多租户认证系统与RBAC模型相结合；Yang等提出RB-MTAC（基于角色的多租户访问控制）；Lucian P等提出基于hypervisor的多租户访问控制机制。能根据通信状况动态调节访问控制策略。

5 未来研究方向

云计算由于自身的特点，安全方面还有许多问题尚待解决，结合云计算的需求和现有的IAM技术来看，未来IAM可能在标准化、密文的访问控制、访问控制服务化、跨云访问、身份供应自动化、细粒度访问控制等方面有更深入的发展。

参考文献

[1]冯登国，张敏，张妍，等.云计算安全研究[J].软件学报，2011，22（1）：71- 83.

[2]陈丹伟，邵菊，樊晓唯，等.基于 MAH-ABE 的云计算隐私保护访问控制[J].电子学报，2014，42（4）：821-827.

[3]林果园，贺珊，黄皓，等.基于行为的云计算访问控制安全模型[J].通信学报，2013，33（3）：59-66.

[4]冯朝胜，秦志光，袁丁，等.云计算环境下访问控制关键技术[J].电子学报，2015，43（2）：312-319.