云计算访问控制技术研究综述_王于丁
云计算访问控制技术
云计算访问控制技术作者:刘安来源:《电子技术与软件工程》2018年第07期摘要云计算是新型的应用模式之一,因其用户多、快捷方便和扩展快速的特点受到了广泛关注。
基于此,本文第一部分对基于属性加密的访问控制技术进行分析,第二部分基于信任评估的属性访问控制优化技术进行分析,第三部分对无可信第三方KGC的属性加密访问控制优化技术进行分析。
【关键词】云计算访问控制技术信任评估云计算访问控制技术是保护云服务访问和数据安全的有效措施,云用户向云服务提供商提出访问资源的要求,但云服务提供商拥有的资源属于数据拥有者,某些云用户可能是恶意用户,存在盗取他人数据的问题,因此,面对复杂的云环境,现有的访问控制模式难以满足数据拥有者的需求。
如何保护云实体在共享数据的过程中的隐私,成为了云计算访问控制技术的主要发展方向。
1 基于属性加密的访问控制技术关于基于属性加密的访问控制技术,应着手于密文检索技术、属性机密方案等,具体可参考以下几个方面:1.1 密文检索技术在云计算相关研究中,数据安全访问控制技术是极具挑战性的问题。
为保护个人数据的安全,可通过数据密钥应对相关问题。
具体而言,基于对称加密、非对称加密等方面的密文检索方法被提出,这些技术的应用保证了数据的私密性,使数据以密文形式存储于云端,又不影响密文的检索和计算。
1.2 属性加密方案KP-ABEGoyal等人提出了属性加密方案KP-ABE,其具备密钥策略。
具体而言,该方案基本过程由系统初始化、数据加密、密钥生成、数据解密等组成。
在KP-ABE中,共享数据与属性关联,访问树结构也体现于密钥策略,拓展了密钥策略的逻辑表达能力,实现了细粒度的访问控制。
但是,KP-ABE方案依然存在一定的问题,即加密方不能完全控制加密策略,且用户间不能构建访问权限之外的数据密钥。
1.3 属性机密方案CP-ABE经过Bethencourt等人的研究,提出了CP-ABE方案。
具体而言,用户的密钥和表示成字符串的属性相关,其访问机构可用密文中的部分信息表示,经过访问机构的验证后即可解密。
云计算中的数据隐私保护与访问控制技术研究
云计算中的数据隐私保护与访问控制技术研究随着云计算的迅猛发展,越来越多的机构和个人将数据存储和处理转移到云环境中。
然而,云计算环境中数据隐私保护与访问控制面临着诸多挑战。
数据隐私泄露可能导致个人隐私受损、商业秘密泄露等风险,因此对云计算中的数据隐私保护与访问控制进行研究与探索至关重要。
一、数据隐私保护技术研究1. 加密技术加密技术是保护数据隐私的关键技术之一。
在云计算环境中,用户可以使用对称加密或者非对称加密算法对数据进行加密,确保只有授权的用户可以解密和访问数据。
另外,同态加密技术可以在不破坏数据加密的情况下进行计算,提供了一种安全的计算方法。
2. 数据脱敏数据脱敏是一种通过保留敏感数据的基本特征但去除其能够被识别的敏感信息的技术。
可以使用脱敏算法对敏感数据(如姓名、身份证号等)进行处理,使其在存储和传输过程中不容易被泄露。
3. 隐私保护协议制定和实施隐私保护协议是保护数据隐私的重要手段。
协议可以包括数据使用和共享的规定、敏感数据的访问权限和审计策略等内容,确保云计算服务提供商和用户之间的数据处理行为合法、透明和可追踪。
二、访问控制技术研究1. 身份认证与授权在云计算环境中,身份认证是确保用户合法性的关键步骤。
多种身份认证方法可以应用于云环境中,如基于密码、生物特征的认证。
认证后,合法用户可以通过授权机制获得对特定数据和资源的访问权限,确保非授权用户无法访问。
2. 强化访问控制策略传统的访问控制策略如基于角色的访问控制(RBAC)在云环境中可能存在安全性和可伸缩性方面的问题。
因此,研究者提出了许多新的访问控制模型来强化访问控制策略,如基于属性的访问控制(ABAC)、基于多因素认证的访问控制(MAC)等。
3. 安全审计与监控建立有效的安全审计和监控机制有助于及时发现和防止安全事件的发生。
通过审计和监控,可以记录和分析用户的访问行为,识别异常行为并采取相应的措施,确保系统的安全性。
三、云计算中的数据隐私保护与访问控制技术挑战1. 多租户环境云计算中常常存在多个租户共享同一资源的情况,如何保证不同租户之间的数据不被访问和交叉泄露是一个挑战。
云计算安全中的访问控制技术研究
云计算安全中的访问控制技术研究云计算的快速发展为企业提供了高效的数据存储和处理方式,但同时也带来了安全风险。
其中,访问控制是云计算安全的重要组成部分,它确保只有经过授权的用户可以访问和操作云上的数据和资源。
本文将对云计算安全中的访问控制技术进行研究和探讨。
一、访问控制的概念与意义访问控制是指通过管理和控制用户对系统资源的访问权限,以保证系统安全和信息保密性。
在云计算环境下,访问控制技术起着至关重要的作用。
合理设置访问控制策略可以有效地防止未经授权的用户访问敏感数据、减少信息泄露的风险,并确保数据完整性。
二、云计算中的访问控制模型1. 基于角色的访问控制(RBAC)基于角色的访问控制是云计算中最常用的访问控制模型之一。
它通过将用户分配到不同的角色中,每个角色对应一组特定的权限,实现权限的控制和管理。
RBAC模型简化了管理员的权限管理工作,并提高了系统的安全性。
2. 基于属性的访问控制(ABAC)基于属性的访问控制根据用户所具备的属性信息来进行访问控制。
该模型将用户的属性与资源的属性相匹配,控制用户对资源的访问权限。
ABAC模型允许更加精细的访问控制,能够根据具体的属性对用户进行细分和管理。
3. 基于策略的访问控制(PBAC)基于策略的访问控制是一种灵活的访问控制模型,它允许管理员根据不同的策略设置用户对资源的访问权限。
PBAC模型可以适应不同场景下的访问需求,提供了更高的灵活性和可扩展性。
三、云计算安全中的访问控制技术挑战与解决方案1. 多租户环境下的隔离在云计算中,多个用户可能共享同一份物理资源,保证用户之间的访问控制隔离是一项重要的挑战。
解决方案包括强化虚拟化技术以确保资源隔离、实现精细的访问控制策略并监控用户行为。
2. 用户身份管理有效的用户身份管理是访问控制的基础,但在云计算环境下,用户数量庞大且频繁变化,使得身份管理变得复杂。
采用统一的身份认证和授权机制、加强用户信息的管理和同步,可以有效解决用户身份管理的挑战。
云计算中的网络访问控制和流量管理
云计算中的网络访问控制和流量管理云计算发展迅速,已成为企业和个人处理大规模数据和应用的首选方式之一。
然而,随着云计算规模的扩大,网络访问控制和流量管理变得尤为重要。
本文将探讨云计算中网络访问控制和流量管理的相关概念、挑战及解决方案。
一、网络访问控制网络访问控制是指在云计算环境中对用户和资源进行身份验证和授权的过程。
它的主要目的是确保只有经过授权的用户才能访问云服务和资源,从而保证数据的安全性和隐私。
1. 认证和授权在云计算中,认证和授权是网络访问控制的核心环节。
认证是通过验证用户身份来确认其真实性的过程,而授权则是根据用户的身份和权限来决定其能够访问的资源和服务的范围。
一般来说,认证可以通过用户名和密码、生物特征识别、双因素认证等方式进行,而授权则可以通过访问控制列表(ACL)、角色基础访问控制(RBAC)等机制实现。
2. 安全隔离在云计算中,多租户的特性决定了安全隔离的重要性。
安全隔离可以确保不同用户之间的数据和应用完全隔离,防止信息泄露和恶意攻击。
常见的安全隔离技术包括虚拟局域网(VLAN)、虚拟专用网络(VPN)等。
二、流量管理流量管理指的是对云计算中的网络流量进行监测、优化和控制的过程。
它的目的是提升网络性能、保障服务质量,同时避免网络拥塞和滥用。
1. 带宽管理带宽管理是流量管理的核心内容之一。
通过对网络资源进行调配和控制,可以保证每个用户获得足够的带宽来满足其需求,从而提升用户体验。
常见的带宽管理方法包括流量限制、流量分配、带宽整形和带宽控制等。
2. 流量监测流量监测是流量管理的基础。
通过监测网络流量的实时情况,可以及时发现并解决潜在的网络问题,确保网络的正常运行。
常见的流量监测工具包括流量分析器、网络探针等。
3. 负载均衡负载均衡是流量管理的一种关键策略。
通过将网络流量均匀地分配到多个服务器上,可以避免单个服务器的负载过重,提高系统的整体性能和可靠性。
常见的负载均衡技术包括DNS轮询、反向代理和链路聚合等。
访问控制技术综述
访问控制技术综述
鲍连承;赵景波
【期刊名称】《电气传动自动化》
【年(卷),期】2006(28)4
【摘要】访问控制是一门重要的信息安全技术.论文介绍了自主访问控制和强制访问控制的原理和特点,描述了基于角色的访问控制技术,分析了RBAC96模型、ARBAC97模型以及最近提出的NIST RBAC建议标准的原理和特点.
【总页数】6页(P1-5,18)
【作者】鲍连承;赵景波
【作者单位】海军潜艇学院,山东,青岛,266071;海军潜艇学院,山东,青岛,266071;哈尔滨工程大学自动化学院,黑龙江,哈尔滨,150001
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.访问控制技术研究综述 [J], 杨红
2.组合Web服务业务流程访问控制技术研究综述 [J], 上超望;刘清堂;王艳凤
3.云计算访问控制技术研究综述 [J], 王于丁;杨家海;徐聪;凌晓;杨洋
4.云计算访问控制技术研究综述 [J], 李亚奇
5.云计算访问控制技术研究综述 [J], 褚含冰
因版权原因,仅展示原文概要,查看原文内容请购买。
云计算资源访问控制技术研究
云计算资源访问控制技术研究随着云计算技术的不断发展和普及,越来越多的公司和个人选择将数据和应用程序存储在云端。
然而,随之而来的安全问题也备受关注。
云计算资源的访问控制技术成为确保云计算环境安全性的关键一环。
云计算资源访问控制技术是指通过对用户、程序和系统进行身份验证和授权,以控制他们在云环境中对资源的访问权限。
其目的是防止未经授权的访问和数据泄露,保护云计算环境的安全性。
在云计算环境下,访问控制技术主要包括身份认证、授权和审计三个方面。
身份认证是确定用户或实体的身份信息的过程,以确保只有合法用户才能访问资源,常见的身份认证方式包括密码、生物特征识别、多因素认证等。
而授权是在身份认证之后,根据用户的身份和权限为其分配相应的资源访问权限,以实现对资源的控制。
审计则是对用户访问行为进行监控和记录,以便及时发现异常情况和进行安全性分析。
在实际应用中,为了提高云计算环境的安全性,可以采用一些先进的访问控制技术。
比如基于角色的访问控制(RBAC),通过将用户分配到不同的角色,并为每个角色定义相应的权限,实现对资源的精细控制;基于属性的访问控制(ABAC),通过根据用户或实体的属性信息(如地理位置、时间等)来动态控制对资源的访问;基于策略的访问控制(PBAC),通过定义访问策略来限制用户对资源的操作。
此外,为了加强访问控制技术在云环境中的实施效果,还可以结合数据加密、网络隔离、安全审计等技术手段,构建起多层次的安全防护机制。
同时,定期进行安全性评估和漏洞扫描,及时更新安全策略和修补安全漏洞,也是确保云计算资源访问控制技术有效运行的重要措施。
总的来说,云计算资源访问控制技术的研究和应用,对于确保云环境的安全性和保护用户数据具有重要意义。
只有不断改进和完善访问控制技术,结合其他安全技术手段,才能更好地应对日益复杂的网络安全威胁,为云计算用户提供更加安全可靠的服务。
云计算在化工实验室安全领域中的探索与实践
372根据当前实验室运行中的难点, 结合化工实验的特点和培养目标, 着力进行了实验室云服务平台的建设与完善。
通过导入实验室安全教育网络公开课, 开展网上安全考试并将其纳入实验室准入机制, 制定公用仪器开放平台仪器操作考试, 解决了实验室安全教育中学生人数多、内容信息量大, 但教育质量又要求高的矛盾。
构建了高效的、适应化工实验特点的实验室安全云计算教育系统。
1 云计算1.1 云计算的概念现阶段云计算还在持续地进行变化,由于角度不同,所以对于云计算的理解也会存在一定的差异。
不过云计算的基本概念是想通的,要想更好地去理解,能够进行拆分,其中包括:借助网络把那些需要处理的程序自主地拆分成无数个较小的子程序;把多个服务器组装到一起成立一个系统来进行收集分析;把得到的结果及时地传递给用户。
如此处理可以使得用户根据自己的需要来进行选择,这样可以显著提升资源使用效率。
1.2 云计算的特征通过研究能够看出,云计算系统包括这样几个特点:第一点就是规模较大,云计算有着超大的规模,大型的互联网企业有着几十万台服务器,全球最大的搜索引擎公司就是谷歌公司,这个公司有着上百万台服务器,可以显著提升客户的计算能力;第二点就是虚拟化,云计算虚拟化指的就是在云里面一部分进行使用,不过不需要用户掌握,仅仅是借助一个终端就能够实现网络服务;第三点就是按需要选择服务,云是一个较大的资源池,用户可以根据自己的需求来进行购买;最后一点就是可伸缩性,云的规模能够动态伸缩,而且可以在一定的限度中发生变化,这样可以适应使用的需求以及用户的规模增长需求。
2 云计算使用到实验室安全教育中的探索以及实践2.1 实验室安全教育以及仪器规范使用培训现阶段高校开始推崇实验室安全教育的安全过程化以及利益化,确保课堂教学能够和操作有效地进行联系,而且会完全包括化工实验室的全部参与人员。
全过程化指的就是学生在入校之后就需要向他们普及安全常识,在进行实验之前需要按照实验专业的特征来开展有针对性的安全教育,进入实验室之后需要培训学生使用仪器的能力和个人的安全意识。
云计算中的数据存储与访问控制技术研究
云计算中的数据存储与访问控制技术研究随着云计算的快速发展,人们越来越多地将数据储存在云上。
然而,随之而来的问题是数据存储和访问控制的安全性和可靠性。
在云计算环境中,数据存储和访问控制技术的研究变得尤为重要。
云计算中的数据存储技术是指如何有效地将大量的数据存储在云服务器上,并保证数据的安全和可靠性。
主流的云计算数据存储技术包括分布式文件系统、对象存储和数据库存储。
分布式文件系统是一种将大型文件分割成小块并存储在不同的物理服务器上的技术。
它的优势是可以实现高可靠性和高性能的数据存储。
例如,Hadoop分布式文件系统(HDFS)是一个常用的分布式文件系统,它将文件分割成多个块并存储在不同的服务器上,同时提供冗余备份以保证数据的可靠性。
对象存储是一种将数据以对象的形式进行存储的技术。
每个对象都包含了数据本身以及与数据相关的元数据和唯一标识符。
对象存储具有高度可扩展性和可靠性的优点,因为对象可以在多个服务器上进行分布式存储,并且可以进行冗余备份以保证数据的可靠性。
Amazon S3和OpenStack Swift是两个常用的对象存储系统。
数据库存储是一种将结构化数据以表格的形式存储的技术。
云计算环境中的数据库存储通常使用分布式数据库来实现,这种数据库可以将数据存储在不同的服务器上并实现数据的分布式处理和访问。
例如,Google的Bigtable和Apache的HBase都是常用的分布式数据库。
在云计算环境中,数据访问控制技术的研究同样重要。
数据访问控制是指如何控制用户或应用程序对云中数据的访问权限。
主要的数据访问控制技术包括身份验证、授权和审计。
身份验证是通过验证用户的身份来确保只有合法用户能够访问数据。
在云计算中,多种身份验证技术被广泛应用,包括用户名密码、双因素认证和生物识别等。
这些技术可以有效地保护数据免受未经授权的访问。
授权是指确定用户对云中数据的访问权限。
云计算环境中的授权通常使用访问控制列表(ACL)或角色基于访问控制(RBAC)等技术来实现。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
an important part of security domain, access control technique is used to limit users’ capability and scope to access data and ensure the information resources not to be used and accessed illegally. This paper focuses on the state-of-the-art research of access control technology in cloud computing environment. First, it briefly introduces access control theory, and discusses the access control framework in cloud computing environment. Then, it thoroughly surveys the access control problems in cloud computing environment from three aspects including cloud access control model, cloud access control based on ABE (attribute-based encryption) cryptosystem, and multi-tenant and virtualization access control in cloud. In addition, it probes the best current practices of access control technologies within the major cloud service providers and open source cloud platforms. Finally, it summarizes the problems in the current research and prospects the development of future research. Key words: cloud computing; cloud security; access control; access control policy; access control model; ABE (attribute-based encryption)
中文引用格式 : 王于丁 , 杨家海 , 徐聪 , 凌晓 , 杨洋 . 云计算访问控制技术研究综述 . 软件学报 ,2015,26(5):1129-1150. http://www. /1000-9825/4820.htm 英文引用格式 : Wang YD, Yang JH, Xu C, Ling X, Yang Y. Survey on access control technologies for cloud computing. Ruan Jian Xue Bao/Journal of Software, 2015,26(5):1129-1150 (in Chinese). /1000-9825/4820.htm
随着云计算的发展 ,云安全成为越来越关键的问题 . 在云计算环境中 , 用户对放置在云服务器中的数据和计 算失去控制 ,对于数据是否受到保护、计算任务是否被正确执行都不能确定 ,因此需要设计相应的安全机制和 体系结构来保护用户数据的机密性、完整性、可用性[1,2].
基金项目 : 国家重点基础研究发展计划 (973)(2012CB315806); 国家自然科学基金 (61170211); 教育部高等学校博士学科点专 收稿时间 : 2014-10-03; 修改时间 : 2014-12-08; 定稿时间 : 2015- Control Technologies for Cloud Computing
WANG Yu-Ding, YANG Jia-Hai, XU Cong, LING Xiao, YANG Yang
(Institute for Network Sciences and Cyberspace, Tsinghua University, Beijing 100084, China) Abstract: With the intensive and large scale development of cloud computing, security becomes one of the most important problems. As
软件学报 ISSN 1000-9825, CODEN RUXUEW Journal of Software,2015,26(5):1129-1150 [doi: 10.13328/ki.jos.004820] ©中国科学院软件研究所版权所有 .
E-mail: jos@ Tel: +86-10-62562563
王于丁 等:云计算访问控制技术研究综述
1131
的研究热点之一.随着网络和计算技术的不断发展,访问控制模型出现了许多以 RBAC 为基础的扩展模型,访问 控制的应用也扩展到更多的领域,比较典型的有操作系统、数据库、无线移动网络、网格计算以及云计算等等. Table 1
项科研基金 (20110002110056, 20130002110058); 教育部 -中移动科研基金 (MCM20123041)
1130
Journal of Software 软件学报 Vol.26, No.5, May 2015
2011 年 11 月 14 日,对云安全研究最为活跃的组织云安全联盟(cloud security alliance,简称 CSA)[3]发布了最 新版的云计算服务安全实践手册《云计算安全指南 (v3.0)》 ,该指南总结了云计算的技术架构模型、安全控制 模型以及相关合规模型之间的映射关系 ,确定了云计算安全的 14 个焦点领域 ,对每个领域给出了具体建议 ,分 别是云计算体系结构、政府和企业风险管理、法律问题、合规和审计、信息管理与数据安全、互操作性与可 移植性、传统安全影响 (业务连续性、灾难恢复 )、数据中心运行、事故响应、应用安全、加密和密钥管理、 身份授权与访问控制、虚拟化、安全即服务(SecaaS)等. 当前 ,云安全问题的重要性呈现逐步上升趋势 ,已成为制约其发展的重要因素 ,各大云服务提供商的安全问 题屡见不鲜:2009 年 3 月,Google 发生大批用户文件外泄事件;2010 年底,微软的 Hotmail 出现了数据丢失现象, 导致数万个邮箱账户被清空;2011 年 3 月,谷歌邮箱再次爆发大规模的用户数据泄漏事件,大约有 15 万 Gmail 用户发现自己的所有邮件和聊天记录被删除;2012 年,亚马逊北弗吉尼亚数据中心服务多次(4 月、6 月、10 月、 12 月)宕机,导致托管的大量网站无法访问,相关企业营业收入受到很大的影响;2013 年 2 月,微软云服务两次大 规模中断,包括 Windows Azure 云存储在内的很多服务都发生了故障,时间长达 10 多个小时;2014 年 9 月,詹妮 弗·劳伦斯等好莱坞明星裸照泄露于网上,经证实,是黑客攻击了多个 iCloud 账号所致;再加上上半年曝光的 ios 后门事件 , 让苹果云安全再次受到质疑 . 因此 , 要让企业和组织大规模应用云计算技术与平台 , 放心地将自己的 数据交付于云服务提供商管理 , 就必须全面地分析并着手解决云计算所面临的各种安全问题 .从重大安全事件 可以看出:数据安全是云安全的核心,对数据资源的访问控制成为云安全问题的重中之重. 访问控制的目的是通过限制用户对数据信息的访问能力及范围 ,保证信息资源不被非法使用和访问 . 传统 计算模式下的访问控制技术基本上能够有效地对信息资源进行保护 ,防止非法访问 .但是到了云计算时代 , 计算 模式和存储模式都发生了很多变化,主要体现在以下 5 个方面:(1) 云计算环境中用户无法控制资源;(2) 用户和 云平台之间缺乏信任 ;(3) 迁移技术可能导致数据要变更安全域 ;(4) 多租户技术使得访问主体要重新界定 ; (5) 虚拟化技术会让数据在同一物理设备上遭到窃取 . 所以 ,云计算给访问控制研究提出了新的挑战 : 如何发展 传统的访问控制技术来解决新型的云计算安全问题 . 面对这个挑战 , 学术界许多学者已经展开了云计算环境下 的访问控制技术的研究,主要研究点集中在云计算环境下访问控制模型、基于加密机制的访问控制、虚拟机访 问控制等方面 ; 各大云服务提供商在构建云平台和提供云服务的过程中也对现有的访问控制技术进行了尝试 和实践 . 本文希望从学术界和工业界两个方面对目前云计算环境下的访问控制技术的研究和实践进行系统的 综述和梳理,希望能给该领域的研究者一些启示,并对今后的研究方向做一个展望和探讨. 本文首先回顾访问控制理论的发展历史、 经典模型和语言描述;然后分析云计算环境下的访问控制技术体 系框架;接着对云计算环境下的访问控制问题从云计算访问控制模型、基于 ABE(attribute-based encryption)密 码体制的云计算访问控制、 云中多租户及虚拟化访问控制这 3 个方面进行综述,并对云服务提供商的访问控制 机制进行调研;最后,对未来研究趋势进行展望.
1
访问控制原理概述
1.1 传统的访问控制技术 访问控制技术起源于 20 世纪 70 年代,当时是为了满足管理大型主机系统上共享数据授权访问的需要.所 谓访问控制 ,就是在鉴别用户的合法身份后 , 通过某种途径显式地准许或限制用户对数据信息的访问能力及范 围 ,从而控制对关键资源的访问 ,防止非法用户的侵入或者合法用户的不慎操作造成破坏 [4].访问控制有很重要 的作用 :(1) 防止非法的用户访问受保护的系统信息资源 ;(2) 允许合法用户访问受保护的系统信息资源 ;(3) 防 止合法的用户对受保护的系统信息资源进行非授权的访问 .但随着计算机技术和应用的发展 , 特别是网络应用 的发展,这一技术的思想和方法迅速应用于信息系统的各个领域. Lampson[5]首先提出了访问控制的形式化和机制描述,引入了主体、客体和访问矩阵的概念,在随后 40 多 年的发展过程中 ,先后出现了多种重要的访问控制技术 ,见表 1.访问控制技术作为实现安全操作系统的核心技 术 ,是系统安全的一个解决方案 ,是保证信息机密性和完整性的关键技术 , 对访问控制的研究已成为计算机科学