电子设计工程Electronic Design Engineering第27卷Vol.27第2期No.22019年1月Jan.2019收稿日期：2018-04-11稿件编号：201804105作者简介：甘蓉（1984—），女，陕西咸阳人，讲师。

研究方向：计算机。

访问控制一直是云计算中才需要解决的问题，现代用户都将数据处理和存储外包到云服务提供商，从而表示数据和数据的处理已经开始不受数据拥有者的控制。

简单来说，就是用户数据在外包云服务提供商控制。

但是，避免云服务提供商对数据进行非法访问就成为了难点。

并且虚拟化技术和多租户技术都是云计算中经常使用的技术，其也是实现资源动态伸缩及充分使用的关键因素。

但是，虚拟化技术导致不同用户实现同个硬件资源的共享，并且多租户技术会使不同用户实现同个软件资源的共享，此种共享导致出现了多租户环境，其对访问控制的要求更高，所以访问控制就是将用户进行区分并且避免用户进行非法访问的主要措施。

访问控制要保证数据在同个物理主机中，并且用户能够对自身数据进行访问，无法对其他用户数据进行访问。

访问控制一直是相关学术界及产业界的重点关注问题，并且云环境中的访问控制被备受关云环境下访问控制面临的问题和云访问控制技术甘蓉（陕西工业职业技术学院陕西咸阳712000）摘要：针对我国现代云端访问控制技术过程中的问题，为了能够有效满足云端数据可靠、可信和可控的安全管理需求，就针对云环境下的安全分析对云访问控制技术进行全面的研究。

将传统访问控制管理技术作为基础，对云访问控制技术进行研究，实现云环境中访问控制管理模型的设计，将云环境中资源划分逻辑安全域，从而能够实现云环境中资源在不同逻辑之间的安全共享访问。

之后对模型进行验证分析，通过结果表示，本文所设计的模型能够对云环境中不同逻辑安全与的资源信息共享访问进行支持，并且还能够实现不同逻辑域在共享访问过程中的权限渗透及权限问题的提高提供良好的规避，为云环境中的访问控制管理进行参考。

关键词：云环境；访问控制；控制模型；共享访问中图分类号：TN99文献标识码：A文章编号：1674-6236（2019）02-0085-04The problems of access control in cloud environment and cloud accesscontrol technologyGAN Rong（Shaanxi Polytechnic Institute ，Xianyang 712000，China ）Abstract:In view of China's modern cloud access control technology in the process of the problem ，in order to meet the requirements of security management in cloud data is reliable ，trustworthy and controllable ，in the cloud environment safety analysis to conduct a comprehensive study on cloud access control technology.The traditional access control technology as the basis of cloud access control technology research and design of access control management model to realize the cloud environment ，the security domain division of the logic resources in the cloud environment ，thus can realize the security resources in the cloud environment in different logic between shared access.After the model was validated by the analysis results show that the model can share access to support resources information security in the cloud environment and different logic ，and also can achieve different logical domain toprovide good penetration and avoid the authority in the process of sharing access permissions to improve ，for reference in cloud environment access control management.Key words:cloud environment ；access control ；control model ；shared access《电子设计工程》2019年第2期注。

那么本文就首先对云环境中的访问控制问题进行了研究，然后对云访问控制技术进行分析，最后研究云访问控制技术模型的分析，使其能够提高访问控制效率[1-2]。

1云环境下访问控制面临的主要问题在传统计算机模式中，企业信息系统中的软件和硬件设备都在企业内部中部署，企业内部网络、计算机和路由器等设备都创建了能够被企业信息系统管理人员进行控制的网络，这就使可控信息域。

在此种模式中，其中的所有资源在企业完全控制中，所以对于企业来说，使用身份管理及访问控制并不难。

但是，企业将部分或者全部的业务都在云端中，那么就不存在可控信息域，且信息系统在更大的域中工作，详见图1。

以此表示，企业传统的IDS 和防火墙构成的可信边界就不能够对域进行保护，企业只能够通过不可信域进行控制，对于其中存储数据的云域并不能够控制，从而导致企业云环境中的访问控制出现访问授权问题、身份供应问题、身份认证问题身份联合问题和单点登录问题[3-4]。

图1企业可信域和云域2云环境下访问控制技术2.1传统访问控制访问控制技术是信息系统安全的核心技术，通过实现用户访问资源实现有效的控制，使合法用户能够在合法的时间中得到有效的系统访问权限，避免没有授权的用户对系统资源进行访问。

自主访问控制指的是一个主体能够自主将客体的访问权限赋予到其他主体，并且能够对授权取消[5]。

表1为自主访问控制安全模型的访问矩阵模型。

表1自主访问控制安全模型的访问矩阵模型主体客体S1S2...Sn O1rw-r-x-...r--O2rwxo rw-...r-x ...............Onrwxo rw-...--x-2.2面向分布式及跨越的访问在分布式技术不断发展和使用的过程中，就出现了不同形式的分布式系统，分布式系统中的主要特点就是跨域访问和协同工作。

分布式管理系统具有多个管理域，不同管理域中的服务器、客户、外域安全及域安全管理器组成，目标导向类访问控制模型在分布式管理系统中创建，其能够实现原始RBAC 模型的完整性，并且还能够实现多域访问控制[5]。

2.3和时空相关的访问控制传统访问控制模型不是上下文敏感，要求复杂和静态的认证基础设备。

在之后应用过程中，访问控制和用户上下文访问密切相连，在此背景下就生成了上下文敏感访问控制模型。

在无线及移动网络中，大部分以位置为基础的移动应用程序都要通过位置感知访问控制系统进行支持[7]。

3云环境下访问控制模型3.1逻辑结构云环境访问控制服务平台创建过程中的重要技术就是虚拟化技术，在云环境中使用虚拟化技术能够扩展云端服务器，使其成为规模较大的云网络，全面处理并发计算和服务请求，并且提高其的计算及存储能力。

图2为云环境下访问控制模型的逻辑结构。

图2云环境下访问控制模型的逻辑结构云用户端是在用户和云端接口连接之后通过浏览器将服务请求发送到云端，实现云端的交互，并且还能够实现注册和登录。

管理系统能够对用户的身份进行管理，在用户注册并且登录之后，管理系统能够对用户认证权限进行分配，并且对云端资源和服务进行管理，使用户请求能够在服务资源中转发。

部署工具的主要目的为实现云端资源的动态部署。

服务器集群要想扩大物理服务器资源池，可以通过虚拟化技术实现，并且利用管理系统对其进行管理，使其具有存储及计算能力。

资源监控能够对云端资源进行监控，转移热点资源[8-9]。

3.2技术体系现代信息服务架构模式主要包括基础设备即服务、平台即服务和软件即服务，这3种服务模式能够对用户提供较为强大的服务能力。

云端资源能够实现随意扩展，用户能够随时获得。

图3为云环境访问控制模型技术结构。

图3云环境访问控制模型技术结构3.3基于角色的访问控制模型随着信息系统的不断发展，信息系统安全保护需求在逐步完善。

由于企业在发展过程中难免会因为部门的撤销、添加或者合并等因素导致企业的信息不断的发生变化，所以使访问控制无法满足其不断变化的需求。

自主访问控制能够实现用户授权，其中的防止访问控制指的是通过用户和文件之间的安全级别决定主体对客体的访问权限。

在此模型中将角色进行添加，那么能够有效分离访问权限和用户，其主要指的是系统机构中的不同职位角色的制定和授权[10-11]。

图4为用户、角色和访问权限的关系。

图4三者的关系访问控制模型能够通过角色实现不同用户分配不同角色，为不同角色分配的权限也是各不相同，从而使用户能够通过角色身份得到不同的访问权限。

从而实现用户、角色、访问权限的多对多关系[12]。

图5为角色和用户的关系，图6为角色和访问权限的关系。

图5角色及用户两者的关系图6角色及访问权限两者的关系3.4访问控制模型簇对于一个用户授权在访问控制中融入角色，能够有效简化授权方式，不需要对用户直接授权，只需要对用户的角色身份授权。

如果企业机构出现变化，此时部门员工会发生变化，但是可以不重新对员工授权，主要改变员工角色身份就行，其较为简单[13]。

访问控制模型簇主要包括4个模型，分别为RBAC0模型、RBAC1模型、RBAC2模型和RBAC3模型，图7为访问控制模型簇的图例。

图7访问控制模型簇的图例RBAC0模型主要包括以上三者内容，同个用户能够实现多角色的分配，其角色能够对多个用户进行分配。

根据用户的不同需求，实现是否需要对角色进行激活或者撤销。

图8为RBAC0模型的示意图。

图8RBAC0模型的示意图RBAC1模型在1模型的基础上添加了角色分级，级别越高说明权限就越大[14]。