云環(huán)境中跨域訪問安全技術(shù)研究.pdf

1、隨著云計算技術(shù)的不斷成熟以及網(wǎng)絡規(guī)模的不斷壯大，越來越多的企業(yè)集團通過單獨構(gòu)建私有云環(huán)境或聯(lián)合搭建社區(qū)云環(huán)境來實現(xiàn)可靠的數(shù)據(jù)共享和訪問交互。由于云環(huán)境分布式的特點，同一集團的不同機構(gòu)提供的應用服務往往位于不同的服務器和安全域。而且，隨著集團間的聯(lián)系加深用戶的訪問不局限于同一集團中不同機構(gòu)域的應用服務，還涉及不同集團域間的跨域訪問。因此，云環(huán)境中如何實現(xiàn)用戶安全便利的跨域訪問成為亟待解決的問題。
　　從跨域訪問的身份認證和訪問控制兩

2、個方面分析由多個集團聯(lián)合構(gòu)建的社區(qū)云環(huán)境中用戶的跨域訪問問題。針對同一集團域中用戶跨機構(gòu)域的訪問提出了集中身份認證和聯(lián)合單點登錄的身份認證模型和機構(gòu)域自治的分散授權(quán)模型。在集中身份認證和聯(lián)合單點登錄的身份認證模型中由集團域內(nèi)的全局身份認證系統(tǒng)對用戶進行集中身份認證，并在此基礎(chǔ)上實現(xiàn)用戶跨機構(gòu)域單點登錄。全局身份認證系統(tǒng)使用 SAML規(guī)范傳遞用戶的身份認證的信息和相關(guān)角色的信息。在分散授權(quán)模型中，由各個機構(gòu)域?qū)σ羊炞C身份的用戶進行授權(quán)處理

3、，采用XACML協(xié)議來實現(xiàn)機構(gòu)域中基于RBAC訪問控制。針對不同集團域的用戶跨集團域訪問提出了聯(lián)邦環(huán)境中用戶跨域互訪模型。該模型建立在跨機構(gòu)域訪問模型的基礎(chǔ)上增加了對跨集團域的處理。集團域?qū)π湃苇h(huán)內(nèi)的其他集團域采用公開部分角色的機制來實現(xiàn)用戶跨集團域訪問的訪問控制。而且，目標集團域?qū)⒂脩舻纳矸菡J證交給用戶所在源域進行處理并通過SAML規(guī)范在集團域間傳遞用戶的身份認證相關(guān)信息。
　　建立跨域訪問模型能夠有效實現(xiàn)云環(huán)境中用戶跨域訪問的