[发明专利]一种面向云服务的UCON多义务访问控制方法及系统

说明书

技术领域

本发明提出一种在云服务中实施访问控制的方法，用以保证提供云服务的系统中数据的安全。本发明的技术领域涉及分布式系统，访问控制。

背景技术

当今，“云”相关概念已经成为人们关注的热点。通过云服务，用户可从世界上任何一个地方通过互联网访问云端的数据和服务。私有云为一个小型的公司或者组织用户提供数据存储服务，公有云则面向公众提供多样化的数据处理服务。无论云服务规模大小，数据安全都是不容忽视的因素，并且已经成为云服务进一步发展的瓶颈。访问控制则是在身份鉴别之后保护系统资源安全的第二道屏障，对于每个提供远程访问的系统来说都是一个很重要的组成部分。访问控制的核心任务是从物理层到服务层限制主体（通常是系统资源的使用者）对客体（数据或者系统资源）任意访问的行为。一些流行的访问控制模型，如RBAC模型、中国墙模型、UCON模型，已经被很多云服务提供商采纳用以保障云平台安全。

传统的访问控制模型，最经典的应该是BLP模型和Biba模型。BLP模型是由David Elliott Bell和Leonard J.LaPadula于1973年提出的，主要用于增强对政府和军事应用的访问控制，它遵循Roger R.Schell为美国国防部提出的应用于为军事安全系统设计的多级安全策略。BLP模型本身是一种强制访问控制，主要面向保护信息的机密性。在该模型中，访问主体、客体、权利、访问矩阵等基本思想被详细阐释，这些思想被随后出现的访问控制模型所沿用。BLP模型提供了访问控制模型中最基本的思想——S-O-R模式，即一个主体S对应一个客体O有相对应的权利R。而Biba模型则关注数据完整性，它是由Kenneth J.Biba在1977年提出，主要为了规避BLP模型中未涉及的有关数据完整性的风险。时至今日，这两种模型的思想仍然被广泛使用，然而，由于机密性和完整性在系统安全中都是重要的指标，而BLP模型和Biba模型都只能涵盖其中一个方面，因此很少有系统直接使用这两种模型作为访问控制模型。

基于角色的访问控制模型，即RBAC模型，是由Ravi S.Sandhu等人于1996年提出的。它兼顾了强制访问策略和自助访问策略，引入了“角色”的概念，以归类的方式将角色分派给用户，并对应于特定的权限，角色与角色之间也引入了相互关系，这样主体之间和客体之间的关系也就自然地相互关联起来了。RBAC模型是迄今为止使用最广泛的访问控制模型，它涵盖了商业、教育、医疗等各个方面。然而，随着云服务的发展，RBAC在应用中逐渐显现出一些问题。RBAC最主要的问题在于角色爆炸问题和难以管理问题。在云环境下，尤其是公有云环境下，RBAC模型需要定义角色并将角色与权利对应起来。但是，云环境下的访问控制的一个显著需求就是适应频繁变化的环境，系统管理员很难在这种环境下定义出准确的角色并描述角色之间的层级关系，进一步的，角色代表的意义也在频繁变化，因此管理员需要非常小心的调整属性与主体、权利之间的对应关系，这种管理工作量在云环境下是巨大的。虽然随后又出现了ARBAC这种专门对RBAC角色结构进行管理的模型，然而ARBAC本身就有很大的局限性，因此所管理的RBAC模型的实现也将受到很大的局限性。

另一种流行的访问控制模型是中国墙模型。中国墙模型可以提供一个屏障，对于有利益冲突的两个企业，他们的数据资料通过这个屏障可以有效得到保护，阻止对方获取数据。中国墙模型中引入了利益冲突域这个概念，它也是中国墙模型的核心概念。然而，它的特点也给它的使用带来了很大限制，由于任何两个组织或者企业之间的关系完全归纳于两种情形即有相互冲突和没有相互冲突，这种过于简单的限制很难描述现实中复杂的场景。进一步的，一旦一组冲突关系发生变化，影响到的将是整个系统中冲突关系的重新调整。因此，它也不适用于云环境这种相对复杂的场景中。

使用控制（Usage Control,UCON）模型是一个细粒度的访问控制模型，它的很多特点都适合于云环境，其中，属性易变性和控制连续性最为引人关注，它们能够显著提升云环境下模型的可用性。属性易变性意味着UCON模型中的属性可以适应云环境下不断变化的情景，并将这种不确定性体现在访问主体和访问客体之上；控制连续性意味着UCON模型对整个访问控制过程是持续监控的，只要有满足触发条件，UCON模型可以在用户访问云服务资源的任何时候进行访问控制检查，以保证访问的合法性，维护系统安全。越来越多的云服务系统已经采用了UCON作为他们的首选访问控制模型，UCON甚至被誉为下一代访问控制模型。在详细描述我们针对UCON模型的工作之前，了解UCON模型的组成是很有必要的。