隨着互聯網中的雲計算應用越來越廣泛,微軟,谷歌等IT業巨頭都在不斷的擴建自己的雲計算平台,但是伴隨着雲計算應用範圍的不斷增大,信息安全已經成為了制約與計算平台發展的重要原因之一,一些涉及到網絡安全的技術逐步被人重視,Window Azure平台是微軟2008年開發的一款雲計算平台,其主要作用是通過Internet平台為其他運行的應用程序服務,最大可能的保證性能不降低。如何能夠最大限度的利用Win?dows Azure平台的數據存儲安全技術,從而能夠保證雲計算平台具有開發的安全性和靈活性是目前研究的重點。目前訪問控制技術是元計算平台領域中一種非常重要的技術,它的思想是採用一定的策略,首先對主體進行驗證,然後對客體的訪問權限進行設置,可以很好地保證雲計算環境中的訪問權限的的安全性,從而保證雲計算機節點的資源能夠合理的被使用,從而避免來自系統內部的破壞。
訪問控制是一種重要的技術,是保證雲計算平台的信息機密性和完整性的重要組成部分。本文針對在Windows Azure 雲計算模型的基礎上,針對現有的任務-角色訪問控制模型,提出一種新的訪問控制模型。該模型可以在一定程度上有效地減少資源調度的耗時以及數據訪問控制的安全性。
1 Windows Azure平台下的訪問控制
在雲計算平台的環境中,由於雲端客户的數量逐漸增多,這就要求Windows Azure雲計算服務商提供的.安全性的資源也在逐漸提高。由於雲計算環境中對資源的保護和限制訪問的要求比較高,雲計算資源的雲端用户的種類層次不一,自身的安全性等級不一,自身存在一定的風險。因此在這樣的背景下,需要制定更加詳細的策略來進行控制,從而來保證系統安全的正常運轉。
在Windows Azure 模型中,訪問控制最關鍵的就是如何進行授權即授權策略的制度,在進行授權策略下,能夠得到授權的用户就是合法用户,無法得到授權的就是非法客户。在WindowsAzure中,需要了解訪問主體能夠對哪些客體在什麼樣的條件下進行授權訪問,通常訪問控制模型由主體、訪問、客體三個主要部分組成。
2 傳統訪問控制模型介紹
2.1 基於角色的訪問控制
基於角色的訪問控制(RBAC)的研究是上個世紀提出的一種訪問控制技術,它通過在用户和訪問權限中加入了角色這個概念,從而將用户與訪問權限進行了有效的分離,同時最大限度的保證了用户和權限之間的分離,這種分離的優點就是可以讓用户與角色之間達成1∶N的角色分配,同時保證角色與訪問權限之間也是1∶N的聯繫方式。RBAC模型的優點是在一定程度上實現了用户與訪問權限的分離,在一定程度上保證了動態的訪問約束,系統實用性比較強,缺點如下:(1)權限粒度約束不夠細化,導致用户權限過寬;(2)權限授予過程複雜;(3)功能和數據權限始終都在一起,無法分離;(4)缺少對客體特徵的描述,特別是在雲計算環境中的分佈式的應用非常頻繁,但是每一次過程都需要通過角色來轉變,無法面對Windows Azure雲計算下的任務流的控制執行。
2.2 基於任務的訪問控制
基於任務的訪問控制模型(TBAC)是一種新的安全模型,主要是採用了任務工作流的特性,將任務概念引入到訪問控制模型中,從而將訪問控制中的任務進行動態的管理。通過平台中的任務來對權限進行劃分,在TBAC中,主要能對不同的工作流中的不同任務進行訪問控制,優點是適合雲計算環境下的分佈式計算。缺點是沒有對客體進行管理,不支持被動訪問控制,存在任務分配複雜等問題,從而降低了效率。
3 基於多用户的Windows Azaue 訪問控制模型
3.1 雲計算現狀
雲計算技術的快速發展已經涉及到計算機的眾多領域,傳統的安全保護手段已經無法適應這些變化。在Windows Azaue雲計算模型中,服務商提供數據的計算和存儲,面對雲端的眾多用户,這些多用户通過Windows Azaue平台可以將自身的相關私有數據放置到服務器上進行存儲和管理,在一定程度上降低了用户的成本,但同時對Windows Azaue服務商提出了一定的要求。如何保障多用户下的數據進行管理,防止涉及安全問題的發生,這是目前Windows Azaue雲計算服務商面臨的主要的問題。
3.2 多用户訪問控制模型
本文在的基礎上,將面向多用户的訪問控制模型分為用户層和平台層,用户層主要是用來管理用户-角色-任務-權限之間的使用關係,平台層主要是分配權限,角色和任務之間的關係。為了更好地描述多用户的訪問控制模型,本文在任務-角色模型的基礎上,對模型中涉及到的一些概念進行描述:
(1)角色:雲計算中擔任訪問能力的主體。
(2)任務:雲計算中用來完成用户提出的具有一定功能的最小單位內容。
(3)權限:雲計算中具有訪問資格的描述
(4)權限分類:雲計算中用户訪問要求不同,導致受到訪問的資格不同
(5)會話:雲計算中的用户與角色之間建立映射的過程,實際上過程是用户與系統之間交互的過程。
(6)會話交互:雲計算中用户訪問雲計算服務商提供服務的過程。
(7)會話的角色集合:雲計算中參與會話過程中的角色映射。
(8)角色繼承:雲計算中為了滿足不同的角色需要訪問多種不同的資源的要求,在角色的屬性和方法的設置中,通過角色繼承來進行完成,從而可以避免重複設置。
(9)任務關係:雲計算中根據任務之間的分配關係可以分為一對一,一對多,多對多的分配關係。
3.2.1用户層模型
在Windows Azaue 多用户的用户層中,為了能夠更好地方便用户-角色-任務和權限之間的關係,本文采用層次化的結構模型,通過按照角色和權限從高到低來進行設置用户的級別,在設置過程中,根據Windows Azaue雲計算資源平台中對於多用户分配的資源要求,在層次化結構模型中,通過對用户分配權限,粒度從小到大。
定義1:用户定義User: =( User_ID∈U_ID, User_name∈U_name, User_Role∈U_Roleset,User_Task∈U_Task)。
定義2:角色定義Role: =( role_ID∈Role_id,Role_name∈Role_N,role_roleList∈Role_L)
定義3:權限定義:Premission:=
( Premission_ID∈Premission_ID, Premission_name∈Premission_n, Premission_role∈Premission_R)
定義4:任務定義Task:=< Task_ID∈User_ID∩role_ID∩Permis?sion_ID,Task_name∈Task_N,Task_role∈Task_R >
3.3.2平台層模型
在Windows Azaue多用户平台中,將權限和角色的進行合理的映射,在每一個角色節點中,需要進行管理和控制角色與權限的創建與分配,其中,每一個管理節點需要創建或者修改操作權限,在該平台模型中對於角色和權限的管理進行合理的配置。
定義5:管理角色定義Administrator_Role ex?tends 角色定義Role: =( Administrator_IDAdministrator_id,Administrator_Rolename∈Admin ?istrator_Role_N, Administrator _roleList∈Role_L)
定義6:管理用户權限定義Administrator_Per?mission extends Permission: =(Administrator_Permis ?sion_ID∈Permission_ID, Administrator_name∈Per?mission_N, permission_role∈Permission_R).
為了更好地體現出平台層模型的優點,本文在平台層設計上通過組織模型角色的構建方法,將管理角色結構分為了底層平台管理角色權限,中間層平台管理角色權限和用户層平台管理角色權限管理三個部分。底層平台管理角色權限主要是針對平台中所有的基礎權限管理,中間層平台管理角色權限主要是針對平台中專有資源權限管理,用户層平台管理角色權限管理主要是針對所有用户的角色管理。
3.3 訪問控制模型的實現
為了進一步描述有關訪問控制模型的實現,本文以本地學校圖書館服務器作為雲計算資源服務器,將處於同一個城市的其他幾所學校的客户器作為雲端客户,建立樹型的組織模型,從而將這種組織模型想訪問控制模型轉換,在訪問控制模型中,主要針對用户登錄,權限訪問控制以及權限管理三個部分進行描述,用户首先進行身份驗證,然後系統為用户加載權限,用户根據權限來獲得對應的功能,最後獲得相應的功能權限對應的數據對象。
(1)登錄驗證
登錄驗證是為了更好的保護用户的合法信息,採用控件chenkUserForm 進行iaoshu,能確保用户輸入驗證的合法性。
(2)權限訪問控制
Windows Azaue模型中的權限訪問控制能夠在一定程度上保證用户訪問權限資源,本文在樹型模型的基礎上,設計首先向用户加載包含一級節點的初始華,然後通過層層級聯加載訪問葉子節點,提高了用户訪問效率,用户在之前的訪問登錄獲得了用户Userid作為參數,從而獲得用户對應的角色所需要的權限。用户通過樹型組織結構,點擊初始權限樹中葉子節點對應的功能權限。在層次加載中,判斷用户點擊所獲得節點加載路徑來確定是否能夠訪問到該節點。
採用了這種加載方式之後,用户可以根據自己的需要來顯示相應的功能權限,不需要每次都登錄展示整個權限,提高了高效訪問控制。
(3)權限管理控制
在用户權限樹中設定的Checkbox構造出用户權限管理樹,通過點擊選中活取消用户權限管理樹中的節點,能夠非常方便的實現角色權限的授予。
(4)系統驗證和分析
為了更好的驗證本文模型的具有的時效性,本文采用在酷睿i3,內存為4G的系統中運行,將本人所在學校的圖書館作為雲服務端,其他同一個地區的學校的圖書館作為雲端訪問點,通過CloudSim進行仿真實驗,本文假設在雲端客户模擬500個訪問圖書查詢要求向雲服務端發送查詢請求,在雲服務端中採用Windows Azaue模型進行服務器的設置,將本文的模型與其他幾種模型在訪問數量,任務平均完成時間,網絡消耗時間上進行了對比。
本文的訪問控制模型在一定程度上有效的縮短了訪問時間,雖然相差不大,但是由於其他三種算法沒有將控制模型安全因素考慮進去,所以,本文的模型具有一定的實際意義。從圖2中可以發現伴隨着雲端客户的訪問量增多,本文的模型有效的降低任務完成時間,相比於角色-任務模型已經有了很大的改變。伴隨着訪問數量的不斷增大,網絡訪問失敗率已經有了明顯的降低,這在一定程度上説明了本文的算法在雲平台模型下的控制在優於傳統的訪問控制模型。
4 結束語
在微軟推出的Windows Azaue 雲計算模型中,訪問控制安全已經成為了研究的重點,本文在傳統的角色-任務模型上,提出了面向多用户的訪問控制模型,在模型中採用了用户層和平台層兩種表示,在用户層中對角色、任務、權限進行了定義,在平台層中針對用户登錄,權限訪問控制以及權限管理三個部分進行細分,通過仿真實驗,本文的模型相比於傳統的角色-任務模型具有一定優越性,但在角色繼承,模型衝突等方面需要進一步的研究。
文萃咖
