淺談基于的Windows Azure平臺下的訪問控制模型的設(shè)計論文
訪問控制是幾乎所有系統(tǒng)(包括計算機(jī)系統(tǒng)和非計算機(jī)系統(tǒng))都需要用到的一種技術(shù)。它是按用戶身份及其所歸屬的某項定義組來限制用戶對某些信息項的訪問,或限制對某些控制功能的使用的一種技術(shù),如UniNAC網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的原理就是基于此技術(shù)之上。訪問控制通常用于系統(tǒng)管理員控制用戶對服務(wù)器、目錄、文件等網(wǎng)絡(luò)資源的訪問。以下是學(xué)習(xí)啦小編今天為大家精心準(zhǔn)備的:淺談基于的Windows Azure平臺下的訪問控制模型的設(shè)計相關(guān)論文。內(nèi)容僅供參考,歡迎閱讀!
淺談基于的Windows Azure平臺下的訪問控制模型的設(shè)計全文如下:
隨著互聯(lián)網(wǎng)中的云計算應(yīng)用越來越廣泛,微軟,谷歌等IT業(yè)巨頭都在不斷的擴(kuò)建自己的云計算平臺,但是伴隨著云計算應(yīng)用范圍的不斷增大,信息安全已經(jīng)成為了制約與計算平臺發(fā)展的重要原因之一,一些涉及到網(wǎng)絡(luò)安全的技術(shù)逐步被人重視,Window Azure平臺是微軟2008年開發(fā)的一款云計算平臺,其主要作用是通過Internet平臺為其他運行的應(yīng)用程序服務(wù),最大可能的保證性能不降低。如何能夠最大限度的利用Win⁃dows Azure平臺的數(shù)據(jù)存儲安全技術(shù),從而能夠保證云計算平臺具有開發(fā)的安全性和靈活性是目前研究的重點。目前訪問控制技術(shù)是元計算平臺領(lǐng)域中一種非常重要的技術(shù),它的思想是采用一定的策略,首先對主體進(jìn)行驗證,然后對客體的訪問權(quán)限進(jìn)行設(shè)置,可以很好地保證云計算環(huán)境中的訪問權(quán)限的的安全性,從而保證云計算機(jī)節(jié)點的資源能夠合理的被使用,從而避免來自系統(tǒng)內(nèi)部的破壞。
訪問控制是一種重要的技術(shù),是保證云計算平臺的信息機(jī)密性和完整性的重要組成部分。本文針對在Windows Azure 云計算模型的基礎(chǔ)上,針對現(xiàn)有的任務(wù)-角色訪問控制模型,提出一種新的訪問控制模型。該模型可以在一定程度上有效地減少資源調(diào)度的耗時以及數(shù)據(jù)訪問控制的安全性。
1 Windows Azure平臺下的訪問控制
在云計算平臺的環(huán)境中,由于云端客戶的數(shù)量逐漸增多,這就要求Windows Azure云計算服務(wù)商提供的安全性的資源也在逐漸提高。由于云計算環(huán)境中對資源的保護(hù)和限制訪問的要求比較高,云計算資源的云端用戶的種類層次不一,自身的安全性等級不一,自身存在一定的風(fēng)險。因此在這樣的背景下,需要制定更加詳細(xì)的策略來進(jìn)行控制,從而來保證系統(tǒng)安全的正常運轉(zhuǎn)。
在Windows Azure 模型中,訪問控制最關(guān)鍵的就是如何進(jìn)行授權(quán)即授權(quán)策略的制度,在進(jìn)行授權(quán)策略下,能夠得到授權(quán)的用戶就是合法用戶,無法得到授權(quán)的就是非法客戶。在WindowsAzure中,需要了解訪問主體能夠?qū)δ男┛腕w在什么樣的條件下進(jìn)行授權(quán)訪問,通常訪問控制模型由主體、訪問、客體三個主要部分組成。
2 傳統(tǒng)訪問控制模型介紹
2.1 基于角色的訪問控制
基于角色的訪問控制(RBAC)的研究是上個世紀(jì)提出的一種訪問控制技術(shù),它通過在用戶和訪問權(quán)限中加入了角色這個概念,從而將用戶與訪問權(quán)限進(jìn)行了有效的分離,同時最大限度的保證了用戶和權(quán)限之間的分離,這種分離的優(yōu)點就是可以讓用戶與角色之間達(dá)成1∶N的角色分配,同時保證角色與訪問權(quán)限之間也是1∶N的聯(lián)系方式。RBAC模型的優(yōu)點是在一定程度上實現(xiàn)了用戶與訪問權(quán)限的分離,在一定程度上保證了動態(tài)的訪問約束,系統(tǒng)實用性比較強(qiáng),缺點如下:(1)權(quán)限粒度約束不夠細(xì)化,導(dǎo)致用戶權(quán)限過寬;(2)權(quán)限授予過程復(fù)雜;(3)功能和數(shù)據(jù)權(quán)限始終都在一起,無法分離;(4)缺少對客體特征的描述,特別是在云計算環(huán)境中的分布式的應(yīng)用非常頻繁,但是每一次過程都需要通過角色來轉(zhuǎn)變,無法面對Windows Azure云計算下的任務(wù)流的控制執(zhí)行。
2.2 基于任務(wù)的訪問控制
基于任務(wù)的訪問控制模型(TBAC)是一種新的安全模型,主要是采用了任務(wù)工作流的特性,將任務(wù)概念引入到訪問控制模型中,從而將訪問控制中的任務(wù)進(jìn)行動態(tài)的管理。通過平臺中的任務(wù)來對權(quán)限進(jìn)行劃分,在TBAC中,主要能對不同的工作流中的不同任務(wù)進(jìn)行訪問控制,優(yōu)點是適合云計算環(huán)境下的分布式計算。缺點是沒有對客體進(jìn)行管理,不支持被動訪問控制,存在任務(wù)分配復(fù)雜等問題,從而降低了效率。
3 基于多用戶的Windows Azaue 訪問控制模型
3.1 云計算現(xiàn)狀
云計算技術(shù)的快速發(fā)展已經(jīng)涉及到計算機(jī)的眾多領(lǐng)域,傳統(tǒng)的安全保護(hù)手段已經(jīng)無法適應(yīng)這些變化。在Windows Azaue云計算模型中,服務(wù)商提供數(shù)據(jù)的計算和存儲,面對云端的眾多用戶,這些多用戶通過Windows Azaue平臺可以將自身的相關(guān)私有數(shù)據(jù)放置到服務(wù)器上進(jìn)行存儲和管理,在一定程度上降低了用戶的成本,但同時對Windows Azaue服務(wù)商提出了一定的要求。如何保障多用戶下的數(shù)據(jù)進(jìn)行管理,防止涉及安全問題的發(fā)生,這是目前Windows Azaue云計算服務(wù)商面臨的主要的問題。
3.2 多用戶訪問控制模型
本文在的基礎(chǔ)上,將面向多用戶的訪問控制模型分為用戶層和平臺層,用戶層主要是用來管理用戶-角色-任務(wù)-權(quán)限之間的使用關(guān)系,平臺層主要是分配權(quán)限,角色和任務(wù)之間的關(guān)系。為了更好地描述多用戶的訪問控制模型,本文在任務(wù)-角色模型的基礎(chǔ)上,對模型中涉及到的一些概念進(jìn)行描述:
(1)角色:云計算中擔(dān)任訪問能力的主體。
(2)任務(wù):云計算中用來完成用戶提出的具有一定功能的最小單位內(nèi)容。
(3)權(quán)限:云計算中具有訪問資格的描述
(4)權(quán)限分類:云計算中用戶訪問要求不同,導(dǎo)致受到訪問的資格不同
(5)會話:云計算中的用戶與角色之間建立映射的過程,實際上過程是用戶與系統(tǒng)之間交互的過程。
(6)會話交互:云計算中用戶訪問云計算服務(wù)商提供服務(wù)的過程。
(7)會話的角色集合:云計算中參與會話過程中的角色映射。
(8)角色繼承:云計算中為了滿足不同的角色需要訪問多種不同的資源的要求,在角色的屬性和方法的設(shè)置中,通過角色繼承來進(jìn)行完成,從而可以避免重復(fù)設(shè)置。
(9)任務(wù)關(guān)系:云計算中根據(jù)任務(wù)之間的分配關(guān)系可以分為一對一,一對多,多對多的分配關(guān)系。
3.2.1用戶層模型
在Windows Azaue 多用戶的用戶層中,為了能夠更好地方便用戶-角色-任務(wù)和權(quán)限之間的關(guān)系,本文采用層次化的結(jié)構(gòu)模型,通過按照角色和權(quán)限從高到低來進(jìn)行設(shè)置用戶的級別,在設(shè)置過程中,根據(jù)Windows Azaue云計算資源平臺中對于多用戶分配的資源要求,在層次化結(jié)構(gòu)模型中,通過對用戶分配權(quán)限,粒度從小到大。
定義1:用戶定義User: =( User_ID∈U_ID, User_name∈U_name, User_Role∈U_Roleset,User_Task∈U_Task)。
定義2:角色定義Role: =( role_ID∈Role_id,Role_name∈Role_N,role_roleList∈Role_L)
定義3:權(quán)限定義:Premission:=( Premission_ID∈Premission_ID, Premission_name∈Premission_n, Premission_role∈Premission_R)
定義4:任務(wù)定義Task:=< Task_ID∈User_ID∩role_ID∩Permis⁃sion_ID,Task_name∈Task_N,Task_role∈Task_R >
3.3.2平臺層模型
在Windows Azaue多用戶平臺中,將權(quán)限和角色的進(jìn)行合理的映射,在每一個角色節(jié)點中,需要進(jìn)行管理和控制角色與權(quán)限的創(chuàng)建與分配,其中,每一個管理節(jié)點需要創(chuàng)建或者修改操作權(quán)限,在該平臺模型中對于角色和權(quán)限的管理進(jìn)行合理的配置。
定義5:管理角色定義Administrator_Role ex⁃tends 角色定義Role: =( Administrator_IDAdministrator_id,Administrator_Rolename∈Admin ⁃istrator_Role_N, Administrator _roleList∈Role_L)
定義6:管理用戶權(quán)限定義Administrator_Per⁃mission extends Permission: =(Administrator_Permis ⁃sion_ID∈Permission_ID, Administrator_name∈Per⁃mission_N, permission_role∈Permission_R).
為了更好地體現(xiàn)出平臺層模型的優(yōu)點,本文在平臺層設(shè)計上通過組織模型角色的構(gòu)建方法,將管理角色結(jié)構(gòu)分為了底層平臺管理角色權(quán)限,中間層平臺管理角色權(quán)限和用戶層平臺管理角色權(quán)限管理三個部分。底層平臺管理角色權(quán)限主要是針對平臺中所有的基礎(chǔ)權(quán)限管理,中間層平臺管理角色權(quán)限主要是針對平臺中專有資源權(quán)限管理,用戶層平臺管理角色權(quán)限管理主要是針對所有用戶的角色管理。
3.3 訪問控制模型的實現(xiàn)
為了進(jìn)一步描述有關(guān)訪問控制模型的實現(xiàn),本文以本地學(xué)校圖書館服務(wù)器作為云計算資源服務(wù)器,將處于同一個城市的其他幾所學(xué)校的客戶器作為云端客戶,建立樹型的組織模型,從而將這種組織模型想訪問控制模型轉(zhuǎn)換,在訪問控制模型中,主要針對用戶登錄,權(quán)限訪問控制以及權(quán)限管理三個部分進(jìn)行描述,用戶首先進(jìn)行身份驗證,然后系統(tǒng)為用戶加載權(quán)限,用戶根據(jù)權(quán)限來獲得對應(yīng)的功能,最后獲得相應(yīng)的功能權(quán)限對應(yīng)的數(shù)據(jù)對象。
(1)登錄驗證
登錄驗證是為了更好的保護(hù)用戶的合法信息,采用控件chenkUserForm 進(jìn)行iaoshu,能確保用戶輸入驗證的合法性。
(2)權(quán)限訪問控制
Windows Azaue模型中的權(quán)限訪問控制能夠在一定程度上保證用戶訪問權(quán)限資源,本文在樹型模型的基礎(chǔ)上,設(shè)計首先向用戶加載包含一級節(jié)點的初始華,然后通過層層級聯(lián)加載訪問葉子節(jié)點,提高了用戶訪問效率,用戶在之前的訪問登錄獲得了用戶Userid作為參數(shù),從而獲得用戶對應(yīng)的角色所需要的權(quán)限。用戶通過樹型組織結(jié)構(gòu),點擊初始權(quán)限樹中葉子節(jié)點對應(yīng)的功能權(quán)限。在層次加載中,判斷用戶點擊所獲得節(jié)點加載路徑來確定是否能夠訪問到該節(jié)點。
采用了這種加載方式之后,用戶可以根據(jù)自己的需要來顯示相應(yīng)的功能權(quán)限,不需要每次都登錄展示整個權(quán)限,提高了高效訪問控制。
(3)權(quán)限管理控制
在用戶權(quán)限樹中設(shè)定的Checkbox構(gòu)造出用戶權(quán)限管理樹,通過點擊選中活取消用戶權(quán)限管理樹中的節(jié)點,能夠非常方便的實現(xiàn)角色權(quán)限的授予。
(4)系統(tǒng)驗證和分析
為了更好的驗證本文模型的具有的時效性,本文采用在酷睿i3,內(nèi)存為4G的系統(tǒng)中運行,將本人所在學(xué)校的圖書館作為云服務(wù)端,其他同一個地區(qū)的學(xué)校的圖書館作為云端訪問點,通過CloudSim進(jìn)行仿真實驗,本文假設(shè)在云端客戶模擬500個訪問圖書查詢要求向云服務(wù)端發(fā)送查詢請求,在云服務(wù)端中采用Windows Azaue模型進(jìn)行服務(wù)器的設(shè)置,將本文的模型與其他幾種模型在訪問數(shù)量,任務(wù)平均完成時間,網(wǎng)絡(luò)消耗時間上進(jìn)行了對比。
本文的訪問控制模型在一定程度上有效的縮短了訪問時間,雖然相差不大,但是由于其他三種算法沒有將控制模型安全因素考慮進(jìn)去,所以,本文的模型具有一定的實際意義。從圖2中可以發(fā)現(xiàn)伴隨著云端客戶的訪問量增多,本文的模型有效的降低任務(wù)完成時間,相比于角色-任務(wù)模型已經(jīng)有了很大的改變。伴隨著訪問數(shù)量的不斷增大,網(wǎng)絡(luò)訪問失敗率已經(jīng)有了明顯的降低,這在一定程度上說明了本文的算法在云平臺模型下的控制在優(yōu)于傳統(tǒng)的訪問控制模型。
5 結(jié)束語
在微軟推出的Windows Azaue 云計算模型中,訪問控制安全已經(jīng)成為了研究的重點,本文在傳統(tǒng)的角色-任務(wù)模型上,提出了面向多用戶的訪問控制模型,在模型中采用了用戶層和平臺層兩種表示,在用戶層中對角色、任務(wù)、權(quán)限進(jìn)行了定義,在平臺層中針對用戶登錄,權(quán)限訪問控制以及權(quán)限管理三個部分進(jìn)行細(xì)分,通過仿真實驗,本文的模型相比于傳統(tǒng)的角色-任務(wù)模型具有一定優(yōu)越性,但在角色繼承,模型沖突等方面需要進(jìn)一步的研究。
相關(guān)文章: