跟着云盘算推算的发展虎牙 裸舞,云安全成为越来越枢纽的问题.在云盘算推算环境中,用户对舍弃在云管事器中的数据和盘算推算失去限定,对于数据是否受到保护、盘算推算任务是否被正确执行齐不可笃定,因此需要瞎想相应的安全机制和体系结构来保护用户数据的机要性、完竣性、可用性[ 1,2].
2011年11月14日,对云安全斟酌最为活跃的组织云安全定约(cloud security alliance,简称CSA)[ 3]发布了最新版的云盘算推算管事安全现实手册《云盘算推算安全指南(v3.0)》,该指南总结了云盘算推算的工夫架构模子、安全限定模子以及相干合限制型之间的映射关系,笃定了云盘算推算安全的14个焦点边界,对每个边界给出了具体建议,分别是云盘算推算体系结构、政府和企业风险经管、法律问题、合规和审计、信息经管与数据安全、互操作性与可移植性、传统安全影响(业务一语气性、晦气归附)、数据中心运行、事故反馈、应用安全、加密和密钥经管、身份授权与打听限定、捏造化、安全即管事(SecaaS)等.
现时,云安全问题的重要性呈现迟缓高潮趋势,已成为制约其发展的重要成分,各大云管事提供商的安全问题层见错出:2009年3月,Google发生多数用户文献外泄事件;2010年底,微软的Hotmail出现了数据丢失纷扰,导致数万个邮箱账户被清空;2011年3月,谷歌邮箱再次爆发大限制的用户数据泄漏事件,毛糙有15万Gmail用户发现我方的扫数邮件和聊天记载被删除;2012年,亚马逊北弗吉尼亚数据中心管事屡次(4月、6月、10月、12月)宕机,导致托管的巨额网站无法打听,相干企业贸易收入受到很大的影响;2013年2月,微软云管事两次大限制中断,包括Windows Azure云存储在内的许多管事齐发生了故障,时辰长达10多个小时;2014年9月,詹妮弗·劳伦斯等好莱坞明星裸照走漏于网上,经证实,是黑客报复了多个iCloud账号所致;再加上上半年曝光的ios后门事件,让苹果云安全再次受到质疑.因此,要让企业和组织大限制应用云盘算推算工夫与平台,宽心性将我方的数据托福于云管事提供商经管,就必须全面地分析并入辖下手处置云盘算推算所面对的各式安全问题.从重要安全事件不错看出:数据安全是云安全的中枢,对数据资源的打听限定成为云安全问题的重中之重.
打听限定的目的是通过限定用户对数据信息的打听才能及范围,保证信息资源不被犯科使用和打听.传统盘算推算模式下的打听限定工夫基本上能够灵验地对信息资源进行保护,防御犯科打听.但是到了云盘算推算时期,盘算推算模式和存储模式齐发生了许多变化,主要体当今以下5个方面:(1) 云盘算推算环境顶用户无法限定资源;(2) 用户和云平台之间短缺信任;(3) 移动工夫可能导致数据要变更安全域;(4) 多佃农工夫使得打听主体要从头界定; (5) 捏造化工夫会让数据在合并物理开发上遭到窃取.是以,云盘算推算给打听限定斟酌淡薄了新的挑战:如何发展传统的打听限定工夫来处置新式的云盘算推算安全问题.面对这个挑战,学术界许多学者如故伸开了云盘算推算环境下的打听限定工夫的斟酌,主要斟酌点聚首在云盘算推算环境下打听限定模子、基于加密机制的打听限定、捏造机打听限定等方面;各大云管事提供商在构建云平台和提供云管事的过程中也对现存的打听限定工夫进行了尝试和现实.本文但愿从学术界和工业界两个方面对目下云盘算推算环境下的打听限定工夫的斟酌和现实进行系统的综述和梳理,但愿能给该边界的斟酌者一些启示,并对今后的斟酌地点作念一个瞻望和探讨.
本文最初雅致打听限定表面的发展历史、经典模子和话语描述;然后分析云盘算推算环境下的打听限定工夫体系框架;接着对云盘算推算环境下的打听限定问题从云盘算推算打听限定模子、基于ABE(attribute-based encryption)密码体制的云盘算推算打听限定、云中多佃农及捏造化打听限定这3个方面进行综述,并对云管事提供商的打听限定机制进行调研;临了,对畴昔斟酌趋势进行瞻望.
1 打听限定旨趣概述 1.1 传统的打听限定工夫打听限定工夫发源于20世纪70年代,那时是为了振作经管大型主机系统上分享数据授权打听的需要.所谓打听限定,即是在辩认用户的正当身份后,通过某种阶梯显式地准许或限定用户对数据信息的打听才能及范围,从而限定对枢纽资源的打听,防御犯科用户的侵入或者正当用户的失慎操作形成交加[ 4].打听限定有很重要的作用:(1) 防御犯科的用户打听受保护的系统信息资源;(2) 允许正当用户打听受保护的系统信息资源;(3) 防御正当的用户对受保护的系统信息资源进行非授权的打听.但跟着盘算推算机工夫和应用的发展,至极是收罗应用的发展,这一工夫的念念想和门径赶紧应用于信息系统的各个边界.
Lampson[ 5]最初淡薄了打听限定的方式化和机制描述,引入了主体、客体和打听矩阵的倡导,在随后40多年的发展过程中,先后出现了多种重要的打听限定工夫,见表 1.打听限定工夫动作已毕安全操作系统的中枢工夫,是系统安全的一个处置决议,是保证信息机要性和完竣性的枢纽工夫,对打听限定的斟酌已成为盘算推算机科学的斟酌热门之一.跟着收罗和盘算推算工夫的不停发展,打听限定模子出现了许多以RBAC为基础的扩张模子,打听限定的应用也扩张到更多的边界,比较典型的有操作系统、数据库、无线移动收罗、网格盘算推算以及云盘算推算等等.
好色妖姬杨贵妃
Table 1 Development of access control
表 1 打听限定工夫发展
1.2RBAC96打听限定模子 基于扮装的打听限定模子表述了用户、扮装和权限之间的复杂关系,处置了在传统的打听限定中主体永恒是和特定的实体绑缚的不灵活问题,已毕了主体的灵活授权,是最经典的打听限定模子.RBAC96是RBAC模子家眷的基础,之后的扫数模子齐是在RBAC96基础上发展的.RBAC96包括了4种基于扮装的打听限定模子,图 1所示是它们之间的相互关系.
Fig. 1 Relationship of RBAC96 model图 1 RBAC96模子之间的关系
RBAC0是基本模子,由4个基本要素组成,即,用户(U)、扮装(R)、会话(S)和授权(P).图 2暗示在一个信息系统中,界说并存在着多个用户和多个扮装,同期对每个扮装援救了多个权限关系,称为权限的赋予(PA).
Fig. 2 RBAC0 model图 2 RBAC0模子
在RBAC模子中,授权即是将这些客体的存取打听的权限在可靠的限定下连带扮装所需要的操作一齐提供给那些扮装所代表的用户.通过授权的经管机制,不错给予一个扮装以多个权限,而一个权限也不错赋予多个扮装.RBAC1为扮装分级模子,在扮装域中加入了扮装的剿袭;RBAC2为扮装限定模子,加入了拘谨要求;RBAC3为长入模子,是RBAC1模子和RBAC2模子的整合.RBAC经过了多年的发展,形成了一套表面体系,其优点和时弊也很赫然地炫耀出来.在近几年打听限定工夫的发展中,斟酌东说念主员在RBAC基础上淡薄了许多扩张模子,比较常见的有基于任务的打听限定模子、基于时态模子的云盘算推算打听限定、基于属性模子的云盘算推算打听限定等.这些模子能够从不同层面处置系统中打听限定的问题,保证了信息打听的正当性、安全性以及可控性.而且跟着云盘算推算的发展,学者们将这些扩张的打听限定模子援用到了云盘算推算的环境里.对于这些扩张模子的先容和在云盘算推算环境下的应用详见第3.1节.
1.3 打听限定话语描述在打听限定工夫的发展和工程现实中,出现了许多话语对高效的用户打听和授权经管和过程进行描述,这些话语动作打听限定表面和工程现实之间的桥梁起着至关重要的作用,亦然后东说念主斟酌打听限定工夫的主要器用.目下主要有以下3种话语不错对打听限定进行描述,其作用各不沟通:
(1) 安全断言标记话语(security assertion markup language,简称SAML)[ 11]是一个基于XML的尺度,用于在不同的安全域之间交换认证和授权数据.SAML尺度界说了身份提供者和管事提供者进行以下责任:1) 认证声名,标明用户是否如故认证,平淡用于单点登录;2) 属性声名,标明某个Subject的属性;3) 授权声名,标明某个资源的权限.
(2) 管事供应标记话语(services provisioning markup language,简称SPML)[ 12]是一个基于XML的尺度,主要用于创建用户帐号的管事请乞降处理与用户帐号管事经管相干的管事请求.其主要目的有两个:一是自动化IT建树任务,通过尺度化建树责任,使其更容易封装建树系统的安全和审计需求;二是已毕不同建树系统间的互操作性,不错通过公开尺度的SPM接口来已毕.
(3) 可扩张打听限定标记话语(extensible access control markup language,简称XACML)[ 13]是一种基于XML的战略话语和打听限定决策请求/反馈的话语,条约维持参数化的战略描述,可对Web管事进行灵验的打听限定.条约主要界说了一种暗示授权规章和战略的尺度时势,还界说了一种评估规章和战略,以作念出授权决策的尺度门径.XACML提供了处理复杂战略不息规章的功能,补充了SAML的不及,很恰当应用于大型云盘算推算平台的打听限定中,对于已毕跨多个信任域结伴打听限定起预防要作用.目下,XACML2013年发布了3.0版.
2 云盘算推算环境下打听限定凸起问题与工夫技能纵不雅云盘算推算的管事体系,IaaS,PaaS和SaaS齐需要通过打听限定工夫来保护相干信息资源,不错说,打听限定是相连于各层之间的一种安全工夫.由于云盘算推算的特殊性,云环境下的打听限定工夫较之传统的打听限定工夫更为枢纽,用户要使用云存储和盘算推算管事,必须要经过云管事商CSP的认证,而且要选择一定的打听限定战略来限定对数据和管事的打听.各级提供商之间需要相互的认证和打听限定,捏造机之间为了幸免侧通说念报复,也要通过打听限定机制加以安全保险.因此,云盘算推算中的认证和打听限定是一个重要的安全斟酌边界.目下,各大云管事提供商也选择了不同的打听限定机制对我方的云平台提供安全维持(详确请参考第4节),学术界也从体系结构和工夫的角度对该问题进行了斟酌,但仍存在许多问题:
· 架构方面:(1) 传统的打听限定在适用范围和限定技能上也不可振作云盘算推算架构的要求,由于捏造工夫的出现,云盘算推算环境下的打听限定工夫已从用户授权扩张到捏造资源的打听和云存储数据的安全打听等方面,适用范围和限定技能显耀增多;(2) 传统的打听限定分散式经管和云盘算推算环境聚首经管的需求之间存在矛盾;(3) 怒放动态的打听限定战略对云安全的经管淡薄挑战.
· 机制方面:(1) 云盘算推算环境各种管事属于不同的安全经管域,当用户跨域打听资源时,需要洽商长入战略,相互授权,资源分享等问题;(2) 云盘算推算中,捏造资源与底层十足闭塞的机制使得潜藏通说念更不易被发现,需要打听限定机制进行限定;(3) 云环境的信任问题也平直影响打听限定.
· 模子方面:(1) 传统的打听限定模子如故不可振作新式的云盘算推算架构要求,以传统的RBAC为例,云中的主体和客体的界说发生了许多变化,云盘算推算中出现了以多佃农为中枢、大数据为基础的管事模式,是以在云盘算推算的打听限定要对主体和客体的规划倡导从头界定,这就导致了传统的打听限定模子要进行优化和更新,使其更适用于云盘算推算环境;(2) 扮装权限关系复杂的问题,用户变动平淡,经管员扮装开阔、档次复杂,权限的分派与传统盘算推算模式有较大区别.
在许多应用场景中,用户对数据的打听平淡是有采纳性并被高度区分的,不同用户对数据享有不同的权限.因此,当数据外包给云管事运营商,安全、高效、可靠的数据打听限定极度枢纽.传统的打听限定是用户在委果的管事器存储数据,由管事器查抄请求的用户是否有经历打听数据.在云盘算推算环境中,这种模式失效,因为数据的用户和管事器一方面不在合并个委果域内;另一方面,用户以佃农的方式对云平台进行打听,是以管事器不再是被十足信任的扮装,如果管事器被坏心限定或者可能的里面东说念主报复,用户的诡秘数据可能线路.总而言之,面对架构、机制和模子层面的问题,必须利用云盘算推算丰富的工夫资源,已毕细粒度的打听限定瞎想,保证云中的数据不被犯科打听,这么,用户才不错安全地将最劳作的任务寄托给云平台,施展云盘算推算更高的着力.
围绕上述问题,工业界和学术界伸开了一系列的斟酌,工业界的主要处置决议是选择多种打听限定工夫相伙同或多级打听限定的方式;学术界的主要斟酌聚首在如何保护数据的安全上.打听限定的技能总结起来有3种,见表 2.
Table 2 Methods of access control
表 2 已毕打听限定的技能
需要宝贵的是,第3种是通过密钥机制对数据进行打听限定,其基本念念想是主体对数据进行加密,唯独能够解密的客体才能对数据进行打听.另外皮捏造环境下,由于捏造机不错分享物理资源,是以佃农之间就不错通过侧通说念报复来从底层的物理资源中得回有用的信息,这亦然云盘算推算安全面对的一个新斟酌课题.总而言之,根据目放学术界的斟酌近况,咱们总结出一个基本的云盘算推算环境下的打听限定体系框架,如图 3所示.把云盘算推算环境分为用户(佃农)、云平台、收罗基础环境这3部分,用户(佃农)和云平台之间要通过打听限定规章和打听限定模子进行打听限定,云平台和收罗基础环境大部分选择打听限定规章,云平台中,捏造机之间要进行捏造开发的打听限定,对于存储在云平台里面的数据不错基于某种打听限定模子和基于密码学的打听限定技能进行安全保护.委果云平台盘算推算和安全监控审计则是辅助云环境下打听限定工夫的必要技能.
Fig. 3 Access control framework in cloud computing environment图 3 云盘算推算环境下打听限定体系框架
基于上述云盘算推算打听限定工夫框架,学术界也多从上述3种打听限定技能来进行斟酌:(1) 打听限定规章斟酌更多的是对规章的整合优化,使打听限定规章支出更低,效率更高,容量更小,但在云盘算推算环境下斟酌较少,本文将不去贪图该问题;(2) 打听限定模子在云盘算推算环境下斟酌较多,主要念念路是模子在云盘算推算新环境下的矫正和扩张,使模子更好地为云盘算推算管事;(3) 基于加密机制的打听限定斟酌更多的是基于ABE密码体制的云盘算推算打听限定,主要欺诈在对云存储的数据打听.另外,捏造机打听限定斟酌大多和多佃农规划在一齐,通过闭塞等技能达到捏造机的打听限定.第3节将详确评释云盘算推算环境下打听限定模子、加密机制和捏造机打听限定等方面的斟酌情况.
3 云盘算推算环境下打听限定斟酌云盘算推算环境下打听限定的斟酌是伴跟着云盘算推算的发展而发展的,在云盘算推算之前,有许多学者斟酌网格中的打听限定问题,由于网格工夫被云盘算推算工夫所取代,斟酌地点也就动荡到云盘算推算的打听限定上来.云盘算推算的安全问题许多,不错说,打听限定是云盘算推算安全中的中枢内容.根据前述的云盘算推算环境下的打听限定框架和目放学术界斟酌的内容,云盘算推算打听限定的斟酌主要聚首在以下3个方面:云盘算推算打听限定模子、基于ABE密码体制的云盘算推算打听限定、云中多佃农及捏造化打听限定斟酌.
3.1 云盘算推算打听限定模子斟酌打听限定模子即是按照特定的打听战略来描述安全系统,建立安全模子的一种门径.用户(佃农)不错通过打听限定模子得到一定的权限,进而对云中的数据进行打听,是以打听限定模子多用于静态分派用户的权限.云盘算推算中的打听限定模子齐是以传统的打听限定模子为基础,在传统的打听限定模子上进行矫正,使其更适用于云盘算推算的环境.目下,对云盘算推算中打听限定模子的斟酌刚刚起步,根据打听限定模子功能的不同,斟酌的内容和门径也不同,斟酌比较多的有基于任务的打听限定模子、基于属性模子的云盘算推算打听限定、基于UCON模子的云盘算推算打听限定、基于BLP模子的云盘算推算打听限定等.
3.1.1 基于任务模子的云盘算推算打听限定1997年,Thomas等东说念主选择面向任务的不雅点,淡薄了基于任务的打听限定模子(task-based access control,简称TBAC)[ 14],从任务的角度来建立安全模子和已毕安全机制,在职务处理的过程中提供了动态及时的安全经管.该模子能够对不同责任流实行不同的打听限定战略,而况能够对合并责任流的不同任求实例实行不同的打听限定战略[ 15],极度恰当云盘算推算和多点打听限定的信息处理限定以及在责任流、溜达式处理和事务经管系统中的决策制定[ 16].
TBAC在云盘算推算中的斟酌多从责任流中的任务角度建模,依据任务和任务状态的不同对权限进行动态经管,使得对于用户级的每一次打听齐不错根据任务拘谨进行建模分析,极地面增强了云中的打听限定的动态性.文献[ 17]选择任务与RBAC伙同的模子淡薄了T-RBAC,将责任流瓦解为一些相互依赖的任务,然后将任务分派给扮装,扮装通过执行任务节点来取得.云管事器通过客体领有者授权得回权限,并在授权过程经管中充任传递打听请求的委果中间东说念主,使得打听限定安全不需要十足依赖于云管事器的委果度,同期,利用云管事器摊派部分授权责任,缩小用户职守.图 4是T-RBAC打听限定模子.
Fig. 4 T-RBAC model[ 17]图 4 T-RBAC模子[ 17]
Huang等学者最初在云盘算推算环境的管事端进行扮装分类,根据打听客体的不同,分派不同的打听扮装;然后,在职务分派权限的阶段对权限进行不同的分类,从而不错进一步处置主体对于客体打听过程中产生的效率低和平淡打听的问题[ 18].文献[ 19]将RBAC应用于可扩张的溜达式责任流系统中,在确保溜达式责任流系统可扩张的前提下,该模子能够灵验地增强对授权打听责任流系统用户的安全限定,但短缺对责任流在捏造环境下打听限定问题的贪图.
3.1.2 基于属性模子的云盘算推算打听限定基于属性的打听限定针对目下复杂信息系统中的细粒度打听限定和大限制用户动态扩张问题,将实体属性(组)的倡导相连于打听限定战略、模子和已毕机制这3个档次,通过对主体、客体、权限和环境属性的长入建模,描述授权和打听限定拘谨,使其具有富足的灵活性和可扩张性.肤浅来说,RBAC是ABAC的一个子集,ABAC不错提供基于各种对象属性的授权战略,通常维持基于用户扮装的授权和打听限定,扮装在ABAC中只是是用户的一个单一属性[ 20].
目下,基于属性的打听限定在云安全边界主要聚首在将RBAC和ABAC伙同起来,既保证提高用户的诡秘,同期也维持打听限定.Ei等学者将云环境归纳为3种属性[ 21],分别是U(云资源的使用者)、R(云资源)、E(环境,具体的时辰和位置),将云中的属性通过RBAC模子进行打听限定.他们还基于此模子开发了一个打听限定系统,这个系统的中枢模块即是镶嵌ABAC的RBAC.文献[ 22]选择一种分层的门径来整合ABAC和RBAC.表层是一个尺度的RBAC,维持模子的考据和审查;基层是基于属性的战略生成的安全信息,通过基于属性的战略来对系统进行RBAC限定,兼顾了两者的优点.
另外,时辰的拘谨是云盘算推算环境下比较重要的属性拘谨,时辰成分无处不在,用户仅在特定的时辰段具有特定的扮装,而且云盘算推算的责任模式即是定期计费,是以必须要通落伍辰来拘谨对云中数据的打听限定,因此蹙迫需要RBAC模子能够维持复杂的时辰拘谨建模.目下,对单独时辰拘谨的云盘算推算打听限定模子也作念了一些斟酌,Bertino[ 23]很早就淡薄了一种基于时态脾气的打听限定模子(temporal role-based access control,简称TRBAC),将时态拘谨加入到RBAC中.该模子带或然态拘谨,但是莫得洽商对用户-扮装分派和扮装-权限分派的时态成分.文献[ 24]淡薄的时态模子把模子要素过甚关系上的时态拘谨镶嵌到模子中,通过界说新的时态剿袭机制已毕动态的基于扮装的存取限定.该模子能够灵验地减少拘谨规章库中的规章数目,提高存取限定效率,但不太恰当大限制的溜达式盘算推算.
3.1.3 基于UCON模子的云盘算推算打听限定使用限定模子(usage control,简称UCON)[ 25]不仅包含了DAC,MAC和RBAC,而且还包含了数字版权经管、信任经管等,涵盖了当代信息系统需求中的安全和诡秘这两个重要的问题.因此,UCON模子为斟酌下一代打听限定提供了一种新门径,被称作下一代打听限定模子.UCON除了授权过程的基本元素之外,还包括义务和要求两个元素.当主体淡薄打听请求时,授权(authorization)组件将根据主体请求的权限,查抄主体和客体的安全属性,比如身份、扮装、安全类别等,从而决定该请求是否被允许.义务(obligation)即是在打听请求执行往日或执行过程中必须由义务主体履行的行动;要求(condition)是打听请求的执行必须振作某些系统和环境的拘谨,比如系统负载、打听时辰限定等(如图 5所示).
Fig. 5 UCON model[ 25]图 5 UCON模子[ 25]
云盘算推算环境下的UCON模子主要斟酌以下两个方面:一是瞎想更适用于云盘算推算的UCON打听限定机制和系统;二是斟酌由于义务和要求的加入,当用户在打听数据时,如何进行位置、时辰等方面的拘谨才能使模子具有更高效的打听限定才能.但是,如安在内容应用中灵验地更新属性并确保属性更新的正确性,而更新过的属性能影响进一步的限定,这也给使用中的授权问题带来了更多的风险.文献[ 26]将风险评估的门径引入UCON的授权机制中,提高了使用打听限定模子的灵活性和安全性,使用限定模子的淡薄主如果面向溜达式环境的打听限定需求.文献[ 27]淡薄了一种溜达式盘算推算环境下使用限定的实施决议,诚然UCON模子在溜达式、跨域环境下具有赫然的上风,但是该模子的授权经管较为复杂.Tavizi等东说念主构造了一个新的UCON模子,主要处置了云盘算推算环境下主体的属性易变性和义务的处理,但莫得更深刻的表面斟酌[ 28].Aliaksandr等学者淡薄了一种基于UCON和XACML尺度范例的授权框架,框架整合OpenNebula器用箱来实施打听限定,在授权进行的过程中能够保合手打听限定不中断[ 29].Msahli等东说念主在云盘算推算环境中引入一个新的实体笔据经管者(proof manager,简称PM),以经管数据提供者和用户之间的笔据,并使用UCON模子来对云盘算推算中的打听限定经管建模.通过模子来经管两者之间的笔据交换、授权等问题,保证云平台安全战略的正常下发[ 30].
3.1.4 基于BLP模子的云盘算推算打听限定BLP模子是强制打听限定模子,主要用于比较强调机要品级的系统或者云环境,比如军事、金融等行业.目下,对BLP模子在云盘算推算中的斟酌主要聚首在修改传统的BLP模子使其更适用于云盘算推算环境上,并评释模子振作肤浅安全属性公理和*属性公理**.文献[ 31]以BLP模子和Biba模子为基础,模仿规划行动界说的念念想,伙同云盘算推算环境的特质,用行动详尽扮装、时态和环境状态的相干安全信息,将BLP和Biba模子相伙同,淡薄了CCACSM,并评释其振作肤浅安全属性和*属性公理.图 6是CCACSM打听限定模子.
Fig. 6 CCACSM model[ 31]图 6 CCACSM模子[ 31]
文献[ 32]淡薄了一种基于BLP模子的打听限定机制的捏造机系统,不仅已毕了肤浅的捏造机间的闭塞,而且还能已毕高效的分享,该文献从表面上评释了该系统的安全性,也已毕了一个基于Xen的捏造机系统的打听限定机制原型系统.
3.1.5 小 结为了更为直不雅、纯粹地分析和对比各打听限定模子的才能、性能及安全性,咱们界说了14个方面的目的,并进行了定性的比较.这些目的包括安全性(主体对客体授权是否是强制安全的)、机要性(模子能否保证客体的机要性)、授权灵活性(给客体授权是否灵活高效)、最小特权(模子是否具有最小特权原则)、职责分离(模子是否具有职责分离原则)、描述才能(模子方式化描述是否逻辑了了)、细粒度限定(能否对云盘算推算环境中的数据进行细粒度打听限定)、云环境属性(是否允许将云环境的相干属性,如时辰、区域等加入到模子中)、拘谨描述(是否引入拘谨机制对授权的各个关节进行相应限定)、云环境动态变化(模子能否动态地妥贴云盘算推算环境的变化,并作念出相应的鼎新)、兼容性(模子能否兼容各式程序)、扩张性(模子是否具有细密的扩张性)、易经管进度(云平台经管员是否容易对模子进行经管)和建模容易度(模子建立是否容易简捷),见表 3.表 3中的象征“√”暗示该神志的性能较好,空缺则暗示不好或尚未具有该神志的特征.
Table 3 Performance comparison among access control models
表 3 打听限定模子性能对比
总而言之,打听限定模子在云盘算推算环境下的斟酌取得了一些发展,但总体来说还有些漏洞,主要体当今:
1) 云盘算推算中的打听限定模子的主体发生了变化.云盘算推算顶用户与佃农的关系很复杂,两者同期齐是打听限定模子的主体,是以要进一步方式化描述云盘算推算顶用户和佃农的关系以及在模子中的作用.
2) 莫得详尽洽商云盘算推算的脾气成分,如时辰、位置的影响,云资源管事化、云资源移动的影响等.云盘算推算是一个动态的溜达式系统,是以将云盘算推算中动态的成分动作打听限定模子的拘谨要求进行斟酌,才可能愈加恰当云盘算推算环境.
3) 云盘算推算将资源动作管事提供给用户,从模子角度来讲,打听的客体发生了变化:管事将成为平直客体,数据成为辗转客体,将管事动作客体加入到模子中将更恰当于云盘算推算环境.是以,管事化模子亦然畴昔斟酌的要点.
3.2 基于ABE密码机制的云盘算推算打听限定斟酌密码机制是通过加密数据,使唯独具备相应密钥的授权东说念主员才能解密密文.密码机制打听限定工夫可在管事器端不委果的环境中保证数据的机要性.数据扫数者在数据进行存储之前事先对其进行加密,通过限定用户对密钥的获取来已毕打听限定,这要求加密密钥必须由数据扫数者我方生成并经管.目下已淡薄了巨额档次打听限定的密码处置决议.之是以选择密码体制进行打听限定,是因为云平台大多不委果,用户将数据存放在不委果的平台上是不安全的,对于数据的诡秘保护、机要性、完竣性齐不可达到很高的安全品级;而况一朝数据上传至云,数据提供者就不可对数据有更多的限定权,是以选择密码方式对数据进行保护极度有必要.这种门径主要针对主客体之间交互比较多的数据和比较明锐的数据.目下,ABE(属性基加密)即是一种最常见的密码机制.
ABE密码机制自2005年运行斟酌,其发展了传统的基于身份密码体制对于身份的倡导,将身份看作是一系列属性的不息.Sahai与Waters第一次淡薄基于疲塌身份加密的决议[ 33],将生物学脾气平直动作身份信息应用于基于身份的加密决议中,Sahai在论文中引入了属性的倡导.2006年,Goyal等东说念主在基于疲塌身份加密决议的基础上淡薄了基于属性的加密决议ABE[ 34],随后繁衍出了两种与战略树规划的ABE算法,即,密钥战略ABE(key- policy attribute-based encryption,简称KP-ABE)和密文战略ABE(cipher-policy attribute-based encryption,简称CP-ABE).2006年,Sahai等东说念主[ 35]初度淡薄了KP-ABE的倡导,在KP-ABE中,可描述的一组属性与密文相规划,解密密钥用战略树来拘谨,当打听限定战略树能够匹配属性后,解密者才能获取解密密钥.因此,加密方对明文莫得任何的限定权,KP-ABE恰当于大限制收罗环境下的密钥经管[ 36].2007年,Sahai和Waters又淡薄了CP-ABE[ 37]的倡导,在CP-ABE中,打听限定战略树与密文相规划,解密密钥用一组可描述的属性来拘谨,当解密方领有的属性匹配战略树告成时才能得回解密密钥,得回对资源的打听权.与KP-ABE比较,CP-ABE更恰当于大限制环境下的打听限定,目放学术界对ABE在云盘算推算环境下的应用大部分齐选择CP-ABE算法.
图 7是ABE密码体制在云盘算推算环境下的模子,包括4个参与方:数据提供者、委果第三方授权中心、云存储管事器和用户.决议描述如下:最初,委果授权中心生成主密钥和公开参数,将系统公钥传给数据提供者;数据提供者收到系统公钥之后,用战略树和系统公钥对文献加密,将密文和战略树上传到云管事器;然后,当一个新用户加入系统后,将我方的属性集上传给委果授权中心,并提交私钥央求请求,委果授权中心针对用户提交的属性集和主密钥盘算推算生成私钥,传给用户;临了,用户下载感敬爱的数据.如果其属性不息振作密文数据的战略树结构,则不错解密密文;不然,打听数据失败.
Fig. 7 Model of ABE for cloud computing environment[ 38]图 7 ABE在云盘算推算环境下的模子[ 38]
ABE包括4个程序,见表 4.
Table 4 ABE algorithm steps
表 4 ABE算法程序
ABE最凸起的优点是很恰当于溜达式环境下解密方不固定的情况,加密方加密信息时无需知说念具体是谁解密,而解密方只需合乎相应属性要求即可解密;而况ABE将加密规章蕴含在加密算法之中,不错免去密文打听限定中平淡出现的密钥分发代价.ABE具有很强的安全性:(1) ABE的算法基于椭圆弧线上的双线性对,从密码学表面上来讲,破译密码是不可能的;(2) ABE的密文被附上了一个存取结构,这个存取结构的复杂性使得在安全性评释的模拟过程中,模拟者难以将其“镶嵌”一个普通肤浅的贫寒性假设(如Diffie-Hellman假设等),这导致了挑战密文的贫寒;(3) ABE私钥具有一定的属性,不同的私钥属性不息可能具有相交的属性,这么的私钥相干性也给模拟私钥提真金不怕火问询形成了贫寒.
目下,ABE在云盘算推算环境中已毕对数据的打听限定主要从3个方面进行斟酌:第一是细粒度打听限定,第二是用户属性破除问题,第三是多授权中心(multi-authority)决议.ABE在提供数据安全性的同期进行细粒度的打听限定,平直将ABE工夫应用于云存储系统并不可很好地处置一些诸如效率和可扩张性的问题.举例,云存储系统波及巨额的用户和数据,加密、用户组和密钥的经管等机制齐需要较高的可扩张性,平直应用ABE会导致效率不高的问题;用户属性的破除瞎想难度较大,已毕起来效率不高;特权用户仍可获取用户明锐数据,数据属主仍未达到对分享数据打听的十足限定;将ABE与委果盘算推算斟酌相伙同等问题.
3.2.1 ABE细粒度打听限定斟酌ZHU等东说念主建立了一个灵验的RBAC和ABE兼容的云数据加密体制[ 37],这种加密体制瞎想为将用户通过RBAC打听云中数据和数据在云中的ABE加密同期进行,通过算法将二者在表面上伙同起来,达到限定数据走漏的效率.Anuchart等东说念主淡薄了一个基于OAuth尺度和CP-ABE的授权决议(AAuth)[ 39],它提供了端到端加密和基于ABE的令牌战略,这些战略使得无论是授权中心照旧数据领有者齐不错认证云中的数据.与以用户为云中心的门径不同,当处于不信任的云环境中的时候,数据领有者限定我方的数据,使我方的数据不受云中犯科用户的打听.Sun等东说念主在基于密文属性的加密算法CP-ABE的基础上淡薄了云存储数据安全打听限定决议,将公钥和私钥方式化为读写权限、通过瞎想密钥来进行打听限定并平直进行溜达式分发密钥的门径更容易经管密钥,同期也对用户更透明,即,少让用户波及密钥生成、密钥发布等事务[ 40].Ruj等东说念主淡薄了一种可对云中的数据已毕诡秘保护和认证的打听限定框架,在这个框架中,云平台不错在数据领有者往云平台存放数据之前对其进行认证,而对于认证过的用户不错在云平台中对数据进行ABE加密存储[ 41].
3.2.2 用户属性破除斟酌用户属性破除是指当用户的属性发生变化时,它就失去了对该加密数据的打听权限.那么,ABE该如何对用户的权限进行破除或者更正,这个问题在云盘算推算环境下极度枢纽.目下对这个问题有些斟酌,但是还需要瞎想更高效的算法.文献[ 42]淡薄代理重加密决议(attribute-based proxy re-encryption,简称ABPRE),通过代理将密文从一种打听结构树加密变为另一种打听结构树加密,以达到权限破除的目的.但该决议的破除单元只但是属性集,即,具有沟通身份特征的一类用户.文献[ 43]利用CP-ABE算法和公钥密码系统来已毕密文打听限定.该决议不及的是,数据领有者仍然要承受雄壮的重加密代价.文献[ 44]淡薄在应用CP-ABE算法时扩张一个用户属性,即,为该属性贴上一个断绝时辰,保证了密钥的安全性.但该决议的漏洞是:用户需要周期性地向认证中心央求私钥,效率低;而且在断绝时辰之前,用户的权限是无法破除的.Yu等东说念主在文献[ 45]中淡薄了CP-ABE算法中的一种属性破除决议,决议假设CSP是存在一定委果度的,数据领有者将部单干作托福CSP执行.但该决议中打听结构树只维持“and”门限,并不可提供紧密灵活的打听限定战略.同庚,Yu等东说念主又在文献[ 46]中描述了基于KP-ABE工夫在云盘算推算环境已毕细粒度的打听限定;同期,欺诈基于重加密工夫已毕了灵验的用户破除机制.在他们的决议中,最初采纳一个对称密钥将文献加密;其次,针对每一个属性不息中的属性,在密文添加一个至极密文元素,在解密操作中,这些密文元素将会被用来归附这个对称密钥.
3.2.3 ABE在多授权中心(multi-authority)决议的斟酌ABE在授权的时候,用户的每个属性需向一个委果的授权中心得回签名私钥,这就需要单个授权中心经管巨额属性,这会极地面增多其责任职守,缩短效率,这就出现了多授权中心的倡导.多授权中心要求由不同的认证中心来认证每个用户保存属性或打听树,而况特殊需要一个委果的中心授权方来经管和拘谨各个授权中心.多授权中心是云盘算推算环境的特质,最早是由Chase[ 47]淡薄的多授权中心倡导,并给出了一个多授权中心的基于属性的加密决议,用户的多个属性由不同的授权中心监管,并分别对其中的每个属性产生加密私钥.基于此决议,Chase第一次淡薄了一种多授权中心的基于属性的签名决议,为了防御授权中心盗用私钥,决议中每个授权中心限定一部分属性,能够违反伪造性报复和协谋报复,领有保护签名者的好意思妙信息和较高的签名效率的上风.
另一个主要的挑战是来自不同部门的多个用户(包括属性已被破除的用户和犯科用户等)得回犯科打听数据的权限,是以近些年也有学者连续斟酌多授权中心的ABE决议.文献[ 48]淡薄了一个溜达式KDC (密钥分发中心)的门径,给数据扫数者和用户分派一个特定的属性集,数据扫数者进行加密,用户如果匹配上了数据集就不错解密,进而从云中获取数据.ABE的加密模子的应用是安全的,前边已有概述,这就导致破译密码是十足不可能的.Yang等东说念主在文献[ 49]中淡薄了一个恰当云盘算推算环境的多授权中心打听限定模子.根据这一模子,每个用户被分派一个私有的用户象征符(UID)和一个私有的授权象征符(AID).UID和AID齐是由被信任的文凭颁发机构(CA)签发的,防御多个用户串通犯科打听数据,被CA认证过的UID要和密钥一齐来使用才能对数据进行解密,很好地保证了数据的安全性.Yang等东说念主又在第2年作念了进一步的斟酌,淡薄了DAC-MACS(数据打听限定的多授权中心云存储).这个决议使用基于token加密的门径来经管各个授权中心,使其不易被犯科用户进行报复;同期,决议瞎想和已毕了用户属性破除时的正向安全和后向安全,达到了高效属性破除的效率[ 50].文献[ 51]淡薄了一种档次化的属性基打听限定决议,该决议在CP-ABE的基础上加入属性基签名(ABS),并将multi- authority进行分层处理,每层authority担任CP-ABE不同的算法,已毕权限授予和粗粒度资源打听的功能.
总而言之,将ABE用在云盘算推算的打听限定工夫边界,能够将其优点十足施展出来,一方面是ABE算法体系适用于云盘算推算架构,另一方面是ABE能够完竣地已毕对云平台中的数据进行打听限定.目下,斟酌更多的主如果将ABE应用到云盘算推算中之后算法本人的一些问题,比如更细粒度的打听限定、用户属性破除、多授权中心决议等方面.瞻望畴昔的斟酌,不错更重视云盘算推算环境下ABE与其他工夫的伙同,如,ABE与身份认证工夫相伙同,斟酌打听限定中通过用户属性进行身份认证的问题;ABE与委果盘算推算工夫相伙同,斟酌利用数据提供者和用户对云管事器的信任关系进行打听限定的问题等.
3.3 云中捏造化及多佃农打听限定由于佃农间分享物理资源,而况其委果度拦阻易得到,是以佃农之间就不错通过侧通说念报复来从底层的物理资源中得回有用的信息[ 52].此外,由于在捏造机上要部署打听限定战略可能会带来多个佃农打听资源的突破,导致物理主机上出现莫得认证的或者权限分派格外的信息流.云环境下,佃农之间的通讯应该由打听限定来保证,而况每个佃农齐有我方的打听限定战略,使得扫数这个词云平台的打听限定变得复杂.是以,最重要的是要闭塞佃农间出现的异常的流量,部署妥贴的打听限定战略来屏蔽犯科的流量,来幸免各式各样的报复.举例,报复者不错通过发送巨额的授权请乞降归附来尝试进行拒却管事报复与之位于合并物理机的其他捏造机,这就需要在受害捏造机上部署打听限定战略来闭塞从底层的物理主机向受害捏造机发送雷同的信息流,从源流上幸免捏造机之间存在的不安全性.
目下,对多佃农打听限定的斟酌主要聚首在对多佃农的闭塞和通过hypervisor已毕捏造机的打听限定,但是在捏造环境下,如何将闭塞、打听限定模子和收罗结构等多种技能相伙同来已毕打听限定的斟酌还比较少.经管捏造机间的打听限定战略一般有以下两种决议:
· 第1个处置决议是在每个捏造机上部署各自的打听限定战略,以便平直经管方针.然而这种门径可扩张性差,而且对于多佃农的云平台来说部署繁琐,不可够很好地经管.
· 另一个处置决议是使用聚首式存储打听限定战略和组成员,将打听限定战略部署在hypervisor上,通过聚首部署打听限定战略来经管hypervisor层之上的扫数捏造机.然而这么一个聚首的管事必须保合手极度高的可用性和低反馈时辰,而况还要造反拒却管事报复.
是以,如何对打听限定战略进行经管亦然云盘算推算环境下要深刻斟酌的问题.
3.3.1 通过对多佃农的闭塞已毕打听限定Hao等东说念主[ 53]淡薄了将收罗打听限定战略存储在一个中心管事器处,在转发元件(即,增强型的二层交换机)中强制实施这些战略.客户收罗的闭塞通过使用捏造局域网来已毕,当分组发往合并个VLAN时,不需要经过战略检测就平直发送到目的地捏造机;而当分组是发往不同的VLAN时,则根据安全战略进行转发判定.Factor等东说念主为了提高系统物理闭塞的安全性,淡薄了安全逻辑闭塞的多佃农(SLIM).SLIM选择了完竣的安全模子和安全的佃农资源、云存储系统以及佃农之间逻辑闭塞的原则,并在OpenStack作念了实验[ 54].
文献[ 55]淡薄了将云管事提供商和佃农(客户)的安全职责分离.该文献淡薄了一个基于多佃农打听限定模子,在该模子中,CSP不错操作对云中佃农的添加、删除和经管以及相干的安全问题.由佃农来经管本人的打听限定,通过打听限定确保佃农本人的安全性.举例,在PaaS管事托福模式,CSP应提供一个安全的盘算推算平台和开发环境,而客户应确保他们的应用程序安全可靠;在IaaS管事托福模式,CSP应为客户提供委果的基础设施,而客户应确保相干的实例和镜像安全.Almutairi等东说念主[ 56]淡薄了一种溜达式安全架构,并对其进行了安全性评释.这种架构由3部分组成:捏造资源经管器(VRM)、打听限定机制(依据基于扮装的模子实施)和云提供商在多佃农环境中实施的SLA.云间的通讯、佃农在合并层或不同层的通讯以及里面云通讯齐选择这种溜达式安全架构.
3.3.2 将多佃农工夫与RBAC模子相伙同进行打听限定各个佃农不错打听在合并个云管事器的不同的应用和盘算推算资源,为了幸免产生打听限定失败的问题,不错将打听限定工夫总结至模子的斟酌.许多学者将多佃农工夫加入RBAC模子中,生成新的打听限定模子,加强佃农对数据的打听限定.Tang等东说念主[ 57]在多佃农认证系统(MTAS)的基础上与RBAC模子相伙同,淡薄了经管多佃农认证系统(AMTAS)模子.在MTAS基础上增多了信任的要求,对多佃农之间的信任进行了方式化分析.Yang等东说念主[ 58]淡薄并瞎想了基于扮装的多佃农打听限定(RB-MTAC).RB-MTAC不仅适用身份经管来笃定用户的身份和适用的扮装,而且不错高效地经管佃农的打听权限来已毕应用程序的零丁和数据的闭塞,以提高云盘算推算多佃农管事的安全性和好意思妙性.
3.3.3 通过hypervisor已毕捏造机的打听限定文献[ 59]中比较了两种不错已毕多佃农安全的灵验结构:一种是基于捏造化的多佃农架构,一种是基于操作系统多佃农的结构.他们齐能在捏造机的hypervisor上闭塞用户,并通过一个分享的操作系统已毕强制打听限定.临了驱逐标明,基于操作系统多佃农的结构支出更小.文献[ 60]中淡薄了一种基于hypervisor的多佃农打听限定机制,称为CloudPolice.这种门径对于云环境的打听限定有更好的伸缩性和健壮性.文中给出了一种处理可伸缩性的门径,让hypervisor来动态地互助它所承载的捏造机的打听限定战略,根据源捏造机到目的捏造机之间的具体通讯气象来笃定打听限定战略的溜达,其打听限定战略包括租客闭塞、租客间通讯、租客间平允分享管事和费率限定等.图 8是CloudPolice的具体实施决议,其主要念念想是:当数据流到来的时候,源hypervisor抢在数据流到目的hypervisor之前发送一个限定战略数据包,目的hypervisor查抄这个数据包:如果战略合乎,则将数据流摄取;如果不合乎,则反馈给源hypervisor,住手或减少数据流.
Fig. 8 Workflow of CloudPolice[ 60]图 8 CloudPolice责任过程[ 60]
总之,现时阶段,捏造化工夫如故比较训诲,多佃农之间的打听限定战略一般和捏造机里面结构和责任状态规划得比较紧密,要全面了解CPU捏造化、内存捏造化、I/O捏造化的工夫,才能在此基础上拓展其安全性.
4 工业界的云盘算推算打听限定工业界在发展各自云盘算推算管事限制、性能的同期,也不停教育云盘算推算平台的安全才能.对于云安全中的打听限定工夫,各大云管事提供商和开源云平台在体系结构、限定技能、具体工夫等方面齐有所斟酌,并欺诈到内容运营当中.EMC信息安全奇迹部RSA首席工夫官Hartma暗示[ 61],专科的安全厂商不错振作云盘算推算管事提供商3个方面的安全需求:
· 第一,保护云管事提供商免受外来报复.
· 第二,振作云盘算推算环境中不同佃农之间的数据零丁性.在一个云环境中,平淡会有两个以上的佃农,他们之间的数据不可相互插手;而且在未经授权的情况下,一个用户不可打听另一个用户的数据.
· 第三,确保云管事提供商本人平台安全,比如打听限定、身份认证等基础性的要求.
唯独振作这3个方面的需求,企业才能宽心性将他们的应用动荡到云平台上.
4.1 各个云管事提供商打听限定的应用Amazon[ 62]云平台的数据经管是通过Amazon Simple Storage Service(S3)提供的可靠收罗存储管事,通过S3,个东说念主用户不错将我方的数据放到云平台上去,并进行打听和经管.S3将每个数据对象(object)存储在称为桶(bucket)的容器中进行经管,Amazon不仅限定用户对object的操作(读、写、删),也会限定用户对bucket的操作(胪列对象、增多、移除对象等).Amazon打听限定方式有4种:
1) IAM.通过在Amazon账户之下创建多个用户,分派相应的安全凭证给用户以及经管他们的权限.
2) ACL.账户档次的打听限定战略,即,打听权限是基于资源的权限.以对象和桶为中心,界说了哪些Amazon账户能够打听对象和桶.
3) Bucket Policy.兼具用户档次和账户档次的限定战略,桶战略不仅不错限定打听桶的用户,还不错限定特定源IP地址的打听.另外,Bucket Policy不错已毕让其他账户上载对象到桶中,以已毕跨账户的权限限定.图 9炫耀出IAM Policy和Bucket Policy的不同.
Fig. 9 Comparison between IAM Policy and Bucket Policy in Amazon[ 62]图 9 Amazon中,IAM Policy和Bucket Policy对比[ 62]
4) 查询字符串身份认证.该机制利用URL与其他用户分享数据对象,通过在URL中附加签名和灵验期来打听分享数据.
微软云,即Windows Azure[ 63],它界说了3种数据存储方式:Blob,Table和Queue.其中,Blob用来存储大数据(如图片、视频等),Table提供珍视管事状态的结构化存储,Queue提供异步任务数据的分发.Windows Azure的打听限定经管主要有两个方面:
1) 分享打听签名.在特定时辰间隔内,对3种数据存储方式进行受限打听权限,通过URL与其附加签名和灵验期来打听分享数据.
2) Blob policy.使用Blob容器级别的打听战略可从管事器方面提供对分享打听签名的特殊限定级别.容器级别的打听战略可将分享打听签名分组,并进一步限定战略所拘谨的签名.用户可使用容器级别的打听战略改变签名的启动时辰、到期时辰大概可证,或者在发布签名后赐与除掉.
另一方面,微软还悉力于打听限定产物的开发,它和以VMware为首的阵营各自淡薄了NVGRE(network virtual GRE)和VXLAN(virtual extensible LAN),用于处置跨数据中心的大限制VLAN通讯、捏造机移动等问题:前者使用了L2oUDP的封装方式,维持16M的tenant ID;后者使用了L2oGRE封装方式,也维持16M的tenant ID.这两种工夫的主要特质是,纯正的最先和绝顶在vswitch上,而不是物理交换机上,以期达到快速部署、灵活创建捏造化收罗的目的.两个提案齐处置了沟通的问题:VLAN的上限唯独4 094个,无法维持多个云佃农和应用程序.不同之处在于存储方针地址的位置.
Google云[ 64]的打听限定工夫为每个用户提供一个独一的用户ID,此ID用来识别每个用户在Google云的举止记载.通过用户ID,Google云平台给分派相应的权限.数据容器桶是Google云存储中存放数据的最基本容器,所稀有据齐必须存放在桶中,Google利用桶来组织数据.Google存储提供了两种打听限定机制:
1) ACL.在Google云的打听限定列表机制中,主要有读、写、十足限定3种级别的权限,在桶和对象的领有者未指定桶和对象的ACL时,系统会使用默许的ACL来限定用户打听.扫数桶默许其领有者具有十足限定权限,领有者不错通过修改和更新ACL来限定其他用户的不同权限.
2) 签名的URL(查询字符串认证).不需要Google账号就能打听数据,该机制雷同于Amazon查询字符串认证,亦然通过在URL中附加签名和灵验期来打听分享数据.
百度云[ 65]云存储(BCS)管事目下维持两种方式对存储资源进行打听限定:
1) URL签名:通过对URL进行签名来识别打听者的身份,从辛勤毕用户身份考据.百度云存储的开发者可根据Access Key和Secure Key对本次请求进行签名,BCS根据签名来判断现时发起请求的用户的身份.
2) 通过ACL来经管bucket和object的打听限定权限,经管方式即援救bucket policy和object policy.通过援救policy,可允许云存储用户将资源(bucket和object)的打听和限定权限怒放给其他用户.
云管事提供商打听限定工夫对比情况见表 5.
Table 5 Comparison among access control technology of cloud service providers
表 5 云管事提供商打听限定工夫对比
4.2 各项开源云平台打听限定工夫 目下,主流的开源云平台主要聚首在OpenStack[ 66],CloudStack[ 67]和Eucalyptus[ 68]这3个产物中,其中以Openstack最为流行.这么的开源云平台构建云管事,对于市集上许多寻求灵活性和定制化的云环境的客户来说是极具招引力的采纳.在打听限定性能方面,三者齐具有很高的安全性,保证用户级别和权限的灵验区分,保证捏造机严格按照战略进行打听.三者的沟通点是均援救了安全组(security group),安全组是一些规章(ACL或IPtable)的不息,经管员或者授权用户通过援救这些规章来对捏造机的打听流量加以限定,达到打听限定的效率.不同点有许多,表 6从以下3个方面对开源云平台打听限定工夫进行对比,分别是打听限定组件、用户级别区分、捏造机和收罗打听.
Table 6 Comparison among access control technology of open source cloud platforms
表 6 开源云平台打听限定工夫对比
这里预防先容Openstack的Keystone组件,它选择长入token的认证方式,用户从认证到央求捏造机、镜像、收罗管事齐要通过各个模块对用户token的说明,核实通事后才能连续操作.通过对token的说明,Openstack对用户进行相应的身份授权.图 10是Keystone在Openstack中的打听限定过程图.
Fig. 10 Access control flow of Keystone in Openstack[ 69]图 10 Keystone在Openstack中的打听限定过程[ 69]
总而言之,目下的工业界齐在其云平台中已毕了一些基本的打听限定工夫,但是也存在许多共性的问题:第一,云平台管事提供商提供的云存储管事中诚然欺诈了云的理念和工夫,但是对于保证存储数据打听的安全性来说,选择传统的打听限定工夫基本上能够已毕,如加密等;第二,目下大部分云平台管事提供商齐以RBAC为基础来已毕用户对云中数据的打听限定,诚然能够已毕对数据的基本打听限定,但基本上莫得洽商云盘算推算的新特质给传统的打听限定工夫带来的挑战,短缺表面上对云环境下的打听限定模子的维持;第三,不少厂商能够提供部分面向IaaS的打听限定管事,但是将打听限定管事与SaaS伙同很少,是以还需要工业界对打听限定工夫连续探索和斟酌.
5 云盘算推算打听限定瞻望由于云盘算推算本人的特质,导致了云盘算推算安全问题愈加凸起,如资源分享、多佃农、捏造化和资源管事化等倡导.是以对云盘算推算环境下的打听限定斟酌必须安身于云盘算推算本人的特质,伙同传统的打听限定工夫来进行斟酌.还有一个不可忽视的问题即是,收罗基础设施安全性对云平台的影响也起到很枢纽的作用,举例,使用VLAN和防火墙等也不错从底层对云中的资源进行保护.是以,确立安全的收罗基础设施环境是云盘算推算环境下已毕打听限定的基础.
斟酌云盘算推算中的打听限定需要洽商的成分许多:
· 从位置上来说,一方面要洽商用户(佃农)插手云平台时的打听限定战略,二要洽商云平台里面数据和资源对于需求者的打听限定,三要洽商捏造机之间的打听限定.
· 从限制上说,一方面要洽商粗粒度的打听限定,要从云平台的大环境中洽商,对物理资源和捏造资源进行打听限定,保护底层资源不被交加,为云盘算推算奠定安全基础;另一方面还要洽商细粒度的打听限定,保证云中的数据、信息流、记载等等不被坏心东说念主员所窃取.
· 从打听限定的瞎想上来说,新的打听限定机制对于云盘算推算环境必须灵活(维持多佃农环境)、可伸缩(可处理车载斗量的机器和用户)和收罗零丁(与底层收罗拓扑结构、路由和寻址不耦合).
咱们以为畴昔云盘算推算中打听限定工夫应该要点从以下几个地点进行斟酌.
5.1 基于捏造化的打听限定工夫斟酌(1) 斟酌捏造工夫的打听限定
诚然捏造工夫有细密的闭塞性,但在许多应用上必须进行捏造机间的通讯,而捏造机间平淡的交互带来了新的安全挑战.举例,由于云盘算推算环境是多佃农模式的,用户(佃农)更心爱零丁于其他用户(佃农)来进行通讯,捏造机间有可能产生未经授权的犯科打听、通过捏造机间通讯产生报复行动;由于属于不同的组织或部门的捏造机(平淡有不同的安全级别)常常运行在合并台物理主机上,因此,斟酌多级安全和多档次的打听限定决议十分必要,举例,在VM和hypervisor上同期使用打听限定,这么不错保证不同的VM从底层资源分离开,防御侧通说念报复等.
(2) 斟酌捏造灵活态移动对打听限定的影响
云盘算推算最大的一个脾气即是弹性盘算推算,捏造机不错根据性能进行动态的移动,这给打听限定带来了许多挑战.一般数据的存储模式有两种:一种是分享存储,一种是捏造机存储.如果是分享存储,捏造机移动对数据的打听限定影响不大,但对打听限定战略的部署和经管要作念到跟着捏造机的移动而移动,不可出现战略的更正;如果是捏造机存储,那么跟着捏造机的移动,数据就很有可能被移动到其他的收罗(包括VLAN)中去,而况由于捏造机性能不同,打听数据的权限也有可能发生变化.是以,如何保证移动过程中收罗和权限变化对数据打听限定的影响就极度枢纽.
5.2 基于信息资源属性变化的打听限定工夫斟酌(1) 斟酌云盘算推算客体属性管事化的打听限定模子
在云盘算推算中,无论是IaaS,PaaS照旧SaaS齐是将资源进行了管事化,因此不错将传统的打听限定模子客体各个要素加以管事化,形成管事池,并将内容资源和管事池分开进行经管,让主体通过管事池来打听内容的资源.这一方面是不错将打听限定模子动作管事来提供给用户,另一方面是不错将管事动作打听限定的最终方针.这么才能将传统的打听限定模子更好地与云盘算推算相伙同,极地面减少了云平台中各式资源在打听限定过程中可能出现的问题,也合乎云盘算推算信得过的模子.
(2) 斟酌权限属性动态化的云盘算推算打听限定工夫
在数据正在打听的过程中,如果此数据的打听权限发生改变,该如何作念到灵验地进行打听限定,以防御由于对数据连续打听而违反打听限定战略,从而减少从云盘算推算里面对数据和资源进行恐吓?在数据进行打听过程中,用户的扮装和扮装权限分派分别进行瞎想,通过用户、扮装、对象和环境的属性来动作影响扫数这个词打听限定的成分,而况用户扮装和扮装权限分派规章将会及时地执行打听限定决策.
(3) 斟酌能够感知位置属性的扮装限定模子
在云中能够对用户的位置进行感知,通过位置来笃定用户的扮装,从而防御向不十足信任的云管事器线路用户的身份、扮装或位置等.当用户处于一个特定的位置时,位置属性感知在前几年有学者斟酌过,如文献[70-73]等,这些文献很好地斟酌了如何通过感知位置属性来进行扮装的区别,但是在云盘算推算环境下斟酌该问题还未几见.当云盘算推算环境扩大到一定例模时,用户所处的位置就极度重要,不错决定该用户能够得回什么样的资源;而且通过位置信息不错判断该用户是否处在相对委果的环境下,伙同信任模子不错激活扮装,从而灵验地保护用户的身份.
(4) 斟酌Inter-Cloud打听限定
跟着新式的云盘算推算工夫——Inter-Cloud Computing的日渐训诲,打听限定工夫也要迟缓地妥贴Inter-Cloud.要在已毕Inter-Cloud的资源信息分享打听基础上提供Inter-Cloud之间的相互授权机制,使不同云内的用户不错相互跨云打听对方的资源,从全局已毕对云中资源的打听限定经管.因此,云盘算推算环境中的打听限定需要进行Inter-Cloud的授权机制.另外,在Inter-Cloud之间进行互操作时,Inter-Cloud之间的打听限定战略可能不一样,可能会发生打听限定的突破问题,因此需要斟酌Inter-Cloud环境中的一致性打听限定以及相干的突破检测机制.
5.3 基于信任关系的打听限定工夫斟酌跟着对信任模子斟酌的深刻,云盘算推算系统中的数据提供者、云平台、用户这三者两两之间的信任关系齐不同,它们必须通过一个齐信任的第三方机构来进行相干密钥、数据的交换和打听限定,如果将信任模子和云盘算推算的打听限定工夫相伙同,安全性和可经管性齐不错得到保险.文献[ 74,75]波及到了相干斟酌,但莫得将信任模子与打听限定模子很好地伙同在一齐,斟酌有待深刻.这部老实容可从以下两点进行斟酌:
1) 将信任模子集成到传统的打听限定模子中.模子在用户得回扮装之前,最初盘算推算该用户的信任值,然后根据信任值决定用户能够得回该扮装,即,用户的信任值决定其能否得回对应的权限,这么就能够保证主客体两边的安全性,防御报复事件的产生.
2) 将信任模子集成到ABE中.在通过ABE机制进行打听限定的时候,不错通过信任值决定数据提供者、云平台、用户的信任关系,如果委果,就不错依托委果强劲的云环境来进行复杂密钥经管和加解密盘算推算,既保证了安全性,也充分利用了云盘算推算的盘算推算才能来缩小扫数这个词系统的盘算推算职守.
6 驱逐语云盘算推算中的打听限定问题是现时安全边界最重要的问题,其斟酌受到了学术界和工业界的庸碌心理,连年来也取得了一定的进展,同期也仍然面对着严峻的挑战.本文斟酌了云盘算推算环境下打听限定体系框架,从云盘算推算打听限定模子、基于ABE密码体制的云盘算推算打听限定、云中多佃农及捏造化打听限定斟酌这3个方面对云盘算推算环境中的打听限定问题进行了全面的综述,调研了目下工业界各种产物的打听限定机制,同期瞻望了畴昔要点斟酌的地点,但愿对背面的斟酌者有所裨益.
临了不得不提的是,云盘算推算中的打听限定问题不单是是工夫问题,它还波及尺度化、法律法例以及行动准则等许多方面[ 76].如果莫得一个细密的环境和严格的监管模式来保证,打听限定问题将无从谈起.因此,在保证工夫发展的基础上,需要学术界、工业界以及相干经管部门共同责任虎牙 裸舞,为创造一个安全的云环境而死力.
致谢 在此,咱们向对本文淡薄宝贵修改意见的评审老实和同业暗示真心的感谢.