云計(jì)算的訪問控制機(jī)制

云計(jì)算的訪問控制機(jī)制目錄訪問控制機(jī)制的概述訪問控制策略2訪問控制機(jī)制的分類訪問控制的概述3訪問控制：指對用戶進(jìn)行身份認(rèn)證后，需要按用戶身份及用戶所歸屬的某預(yù)定義組來限制用戶對某些信息項(xiàng)的訪問，或限制用戶對某些控制功能的使用。訪問控制技術(shù)可以可靠地支持對多用戶的不同級別或類別的信息進(jìn)行有效的隔離和完整性保護(hù)，是實(shí)現(xiàn)云端數(shù)據(jù)隔離的有效手段。訪問控制的概述4訪問控制技術(shù)包括安全登錄技術(shù)和權(quán)限控制技術(shù)。對于安全登錄，仍未有較為完善的解決辦法，用戶可通過自身的安全性來進(jìn)行防范，如安裝殺毒軟件。對于權(quán)限控制，一方面應(yīng)防范由系統(tǒng)漏洞帶來的權(quán)限越界等問題；另一方面應(yīng)注意系統(tǒng)維護(hù)人員的訪問策略，可采用由系統(tǒng)管理賬號、密碼和權(quán)限，存儲到數(shù)據(jù)庫中的機(jī)密信息全部采用密文保存，即使系統(tǒng)管理人員無法得到原文，密鑰可由用戶掌握。訪問控制機(jī)制的分類5基于標(biāo)簽的訪問控制機(jī)制基于能力的訪問控制機(jī)制基于上下文的訪問控制機(jī)制基于訪問控制表的訪問控制機(jī)制訪問控制機(jī)制的分類6基于標(biāo)簽的訪問控制機(jī)制，發(fā)起者的訪問控制信息是一種安全許可證書，該證書表示的內(nèi)容很容易和其他安全標(biāo)簽比較。目標(biāo)的訪問控制信息是其擁有的全部安全標(biāo)簽。基于能力的訪問控制機(jī)制，發(fā)起者的訪問控制信息是它可以訪問的目標(biāo)和對目標(biāo)進(jìn)行的操作。目標(biāo)的訪問控制信息是唯一的身份標(biāo)識。訪問控制機(jī)制的分類7基于上下文的訪問控制機(jī)制，這種機(jī)制的訪問控制信息包括上下文控制表和上下關(guān)聯(lián)信息?；谠L問控制表的訪問控制機(jī)制，發(fā)起者的訪問控制信息是一個(gè)唯一的身份標(biāo)識。目標(biāo)的訪問控制信息是一個(gè)訪問控制表，該表示一組登記項(xiàng)，每個(gè)登記項(xiàng)都有兩個(gè)字段，一個(gè)是身份標(biāo)識，另一個(gè)是該標(biāo)識對應(yīng)的發(fā)起者的動作描述。訪問控制策略8在云計(jì)算環(huán)境中，各個(gè)云應(yīng)用屬于不同的安全管理域，每個(gè)安全域都管理著本地的資源和用戶。當(dāng)用戶跨域訪問資源時(shí)，須在域邊界設(shè)置認(rèn)證服務(wù)，對訪問共享資源的用戶進(jìn)行統(tǒng)一的身份認(rèn)證管理。在跨多個(gè)域的資源訪問中，各域都有自己的訪問控制策略，在進(jìn)行資源共享和保護(hù)時(shí)必須對共享資源制定一個(gè)公共的、雙方都認(rèn)同的訪問控制策略，因此，需要支持策略的合成。訪問控制策略9自主訪問控制策略強(qiáng)制訪問控制策略基于角色的訪問控制策略訪問控制策略10自主訪問控制(DAC）：基于請求者的身份和訪問規(guī)則控制訪問，規(guī)定請求者可以做什么，這種策略之所以被稱為自主的，是因?yàn)樵试S一個(gè)實(shí)體按其自己的意志授予另一個(gè)實(shí)體訪問某些資源的權(quán)限。強(qiáng)制訪問控制(MAC)：通過比較具有安全許可的安全標(biāo)記來控制訪問。具有訪問某種資源的許可的實(shí)體不能按照自己的意志授予另一個(gè)實(shí)體訪問那種資源的權(quán)限?；诮巧?/p>