早期访问控制技术在大数据应用场景下主要存在哪三个问题
早期访问控制技术在大数据应用场景下存在的问题主要包括以下三个方面:
安全管理员的授权管理难度更大:在访问控制系统中,哪些资源能够被哪些用户访问通常是由安全管理员定义的。在大数据应用中,安全管理员的授权管理难度会急剧增加,主要原因有两个。一方面,大数据的规模和增长速度使得安全管理员进行权限管理的工作量极大地增加了。另一方面,开放式的大数据应用环境,使得安全管理员必须具备更多的领域知识来实施权限管理。例如,在医疗大数据场景中,数据集可能包含医生个人信息、病人个人信息、电子病例、社保信息等,而用户则可能包括医院的医生、护士、后勤人员以及各种社保工作人员,甚至包括一些医学研究机构的人员等。相比于之前单独的医疗系统、社保系统或科研支撑系统,安全管理员需要了解更多的领域知识来完成安全标记定义、角色定义或属性定义等权限管理操作。因此,在大数据场景中,管理员往往难以准确地进行授权,过度授权和授权不足的现象将越来越多。针对这个问题,在大数据场景下,安全管理员由于人力和领域知识两方面的限制,迫切需要一些自动化或半自动化的技术来简化其授权管理工作。
严格的访问控制策略难以适用:大数据的一个显著特点是先有数据、后有应用。人们在采集和存储数据时,往往无法预先知道所有的数据应用场景,因此,经常会出现一些新的数据访问需求。若预先定义的访问控制策略过于严格,那么新的访问需求很可能由于不能完全符合允许访问的条件而被拒绝,从而影响大数据系统的可用性。若预先定义的访问控制策略过于宽松,那么虽然系统的可用性得到了保障,但是系统的安全性却大幅降低。因此,在无法预知所有数据访问需:的情况下,严格执行预先定义的访问控制策略是难以实现的,因此,需要一种能够在访问控制过程中自适应地调整权限的技术来解决该问题。
外包存储环境下无法使用:大数据的一种重要存储方式是外包存储,即数据所有者与数据存储服务提供者是不同的。这就产生了数据存储需求与安全需求之间的矛盾:一方面,数据所有者有利用数据存储服务进行数据存储和分享的需求;另一方面,又不具备在数据存储服务中建立自己信任的引用监控机的能力,也就无法采用上述早期访问控制技术来确保数据安全。因此,除了采用法律、信誉等手段让数据所有者信任数据存储服务提供者能按照访问控制策略对数据进行保护外,还需要一些技术手段来确保无可信引用监控机场景下的数据安全。密码技术为解决该问题提供了另一条途径,它能够将数据的安全性建立在密钥的安全性基础上,因此,这种基于密码学的访问控制技术将是大数据安全存储研究中的重要方向。