第三章  大数据云计算技术在通信传输工程中的应用


              插入传输非加密流量的网络服务，同时保障流量在通过线路传输时的完整性和保

              密性。
                  安全群组标签（SGT）来创建具有角色感知能力的网络。每个用户和每个
              服务器都按照安全需要进行安全分组，用户安全组到服务器安全组的访问是由

              ACL 访问控制列表的策略进行控制的，这对云计算环境下应用的安全保障有重
              要意义，因为云计算环境下应用所需的服务器资源是动态分配的，故 IP 地址是
              不固定和不确定的，难以通过基于 IP 地址的访问控制列表对应用服务进行保护，
              但如果在云计算管理系统在为应用分配服务器资源的同时还将服务器划至相应的

              安全组，这样应用服务器的安全将有保障。
                  数据包的安全组标记是在用户或服务器所在的接入交换机的入端口上由交换
              机或其他网络设备进行打标记的。在服务器的入端口侧基于用户流量所附带的安
              全组标记进行对特定服务器的访问控制，在本例中根据 SGACL 所定义的策略：

              允许源安全组标记为 4 的用户可以访问目的安全组标记为 S1+S2 的服务器，也
              就是说用户 1 可以访问服务器 1 和服务器 2。而且配合认证服务器，根据用户的
              802.1X 认证结果，在用户的接入交换机入口侧自动加载特定源安全组标记策略，
              从而可灵活地根据用户认证信息动态地调整访问的目的服务器组。而且认证服务

              器支持与企业原有的域目录服务器进行同步。
                  （二）安全的云接入
                  云服务中的所有服务提供都应当是基于身份标识进行授权的，这种身份管理
              应包括如下特点：一次性的登录（Single Sign On）和认证；完整的认证、授权和

              审计相结合；与所使用的云服务资源相结合；身份应当是在云服务的使用全程唯
              一的。
                  各种场景下灵活的身份辨识方法，包括局域网、广域网、SOHO、无线移动、
              互联网等。控制用户接入的传统做法是用地址（IP 地址或 MAC 地址）与端口进

              行绑定，以区别和限定用户，但是这种做法明显难于管理和易于被冒用和欺骗，
              也有使用标准的 802.1x 提供基于角色的认证，在功能上有了很大改进，但与用
              户网络功能脱节，难于管理和使用。云服务的身份管理应当建立基于用户身份的
              网络访问解决方案（Identify Based Network Service，IBNS），既基于用户身份，

              又与用户所享受的网络服务进行紧密结合（Thomas Erl，2014）。
                  IBNS 对基于角色的网络访问认证协议 IEEE802.1X 的功能扩充。IBNS 通


                                                                                      61