淺談基于的Windows Azure平臺下的訪問控制模型的設計論文
隨著互聯網中的云計算應用越來越廣泛,微軟,谷歌等IT業巨頭都在不斷的擴建自己的云計算平臺,但是伴隨著云計算應用范圍的不斷增大,信息安全已經成為了制約與計算平臺發展的重要原因之一,一些涉及到網絡安全的技術逐步被人重視,Window Azure平臺是微軟2008年開發的一款云計算平臺,其主要作用是通過Internet平臺為其他運行的應用程序服務,最大可能的保證性能不降低。如何能夠最大限度的利用Win?dows Azure平臺的數據存儲安全技術,從而能夠保證云計算平臺具有開發的安全性和靈活性是目前研究的重點。目前訪問控制技術是元計算平臺領域中一種非常重要的技術,它的思想是采用一定的策略,首先對主體進行驗證,然后對客體的訪問權限進行設置,可以很好地保證云計算環境中的訪問權限的的安全性,從而保證云計算機節點的資源能夠合理的被使用,從而避免來自系統內部的破壞。
訪問控制是一種重要的技術,是保證云計算平臺的信息機密性和完整性的重要組成部分。本文針對在Windows Azure 云計算模型的基礎上,針對現有的任務-角色訪問控制模型,提出一種新的訪問控制模型。該模型可以在一定程度上有效地減少資源調度的耗時以及數據訪問控制的安全性。
1 Windows Azure平臺下的訪問控制
在云計算平臺的環境中,由于云端客戶的數量逐漸增多,這就要求Windows Azure云計算服務商提供的安全性的資源也在逐漸提高。由于云計算環境中對資源的保護和限制訪問的要求比較高,云計算資源的云端用戶的種類層次不一,自身的安全性等級不一,自身存在一定的風險。因此在這樣的背景下,需要制定更加詳細的策略來進行控制,從而來保證系統安全的正常運轉。
在Windows Azure 模型中,訪問控制最關鍵的就是如何進行授權即授權策略的制度,在進行授權策略下,能夠得到授權的用戶就是合法用戶,無法得到授權的就是非法客戶。在WindowsAzure中,需要了解訪問主體能夠對哪些客體在什么樣的條件下進行授權訪問,通常訪問控制模型由主體、訪問、客體三個主要部分組成。
2 傳統訪問控制模型介紹
2.1 基于角色的訪問控制
基于角色的訪問控制(RBAC)的研究是上個世紀提出的一種訪問控制技術,它通過在用戶和訪問權限中加入了角色這個概念,從而將用戶與訪問權限進行了有效的分離,同時最大限度的保證了用戶和權限之間的分離,這種分離的優點就是可以讓用戶與角色之間達成1∶N的角色分配,同時保證角色與訪問權限之間也是1∶N的聯系方式。RBAC模型的優點是在一定程度上實現了用戶與訪問權限的分離,在一定程度上保證了動態的訪問約束,系統實用性比較強,缺點如下:(1)權限粒度約束不夠細化,導致用戶權限過寬;(2)權限授予過程復雜;(3)功能和數據權限始終都在一起,無法分離;(4)缺少對客體特征的描述,特別是在云計算環境中的分布式的應用非常頻繁,但是每一次過程都需要通過角色來轉變,無法面對Windows Azure云計算下的任務流的控制執行。
2.2 基于任務的訪問控制
基于任務的訪問控制模型(TBAC)是一種新的安全模型,主要是采用了任務工作流的特性,將任務概念引入到訪問控制模型中,從而將訪問控制中的任務進行動態的管理。通過平臺中的任務來對權限進行劃分,在TBAC中,主要能對不同的工作流中的不同任務進行訪問控制,優點是適合云計算環境下的分布式計算。缺點是沒有對客體進行管理,不支持被動訪問控制,存在任務分配復雜等問題,從而降低了效率。
3 基于多用戶的Windows Azaue 訪問控制模型
3.1 云計算現狀
云計算技術的快速發展已經涉及到計算機的眾多領域,傳統的安全保護手段已經無法適應這些變化。在Windows Azaue云計算模型中,服務商提供數據的計算和存儲,面對云端的眾多用戶,這些多用戶通過Windows Azaue平臺可以將自身的相關私有數據放置到服務器上進行存儲和管理,在一定程度上降低了用戶的成本,但同時對Windows Azaue服務商提出了一定的要求。如何保障多用戶下的數據進行管理,防止涉及安全問題的發生,這是目前Windows Azaue云計算服務商面臨的主要的問題。
3.2 多用戶訪問控制模型
本文在的基礎上,將面向多用戶的.訪問控制模型分為用戶層和平臺層,用戶層主要是用來管理用戶-角色-任務-權限之間的使用關系,平臺層主要是分配權限,角色和任務之間的關系。為了更好地描述多用戶的訪問控制模型,本文在任務-角色模型的基礎上,對模型中涉及到的一些概念進行描述:
(1)角色:云計算中擔任訪問能力的主體。
(2)任務:云計算中用來完成用戶提出的具有一定功能的最小單位內容。
(3)權限:云計算中具有訪問資格的描述
(4)權限分類:云計算中用戶訪問要求不同,導致受到訪問的資格不同
(5)會話:云計算中的用戶與角色之間建立映射的過程,實際上過程是用戶與系統之間交互的過程。
(6)會話交互:云計算中用戶訪問云計算服務商提供服務的過程。
(7)會話的角色集合:云計算中參與會話過程中的角色映射。
(8)角色繼承:云計算中為了滿足不同的角色需要訪問多種不同的資源的要求,在角色的屬性和方法的設置中,通過角色繼承來進行完成,從而可以避免重復設置。
(9)任務關系:云計算中根據任務之間的分配關系可以分為一對一,一對多,多對多的分配關系。
3.2.1用戶層模型
在Windows Azaue 多用戶的用戶層中,為了能夠更好地方便用戶-角色-任務和權限之間的關系,本文采用層次化的結構模型,通過按照角色和權限從高到低來進行設置用戶的級別,在設置過程中,根據Windows Azaue云計算資源平臺中對于多用戶分配的資源要求,在層次化結構模型中,通過對用戶分配權限,粒度從小到大。
定義1:用戶定義User: =( User_ID∈U_ID, User_name∈U_name, User_Role∈U_Roleset,User_Task∈U_Task)。
定義2:角色定義Role: =( role_ID∈Role_id,Role_name∈Role_N,role_roleList∈Role_L)
定義3:權限定義:Premission:=
( Premission_ID∈Premission_ID, Premission_name∈Premission_n, Premission_role∈Premission_R)
定義4:任務定義Task:=< Task_ID∈User_ID∩role_ID∩Permis?sion_ID,Task_name∈Task_N,Task_role∈Task_R >
3.3.2平臺層模型
在Windows Azaue多用戶平臺中,將權限和角色的進行合理的映射,在每一個角色節點中,需要進行管理和控制角色與權限的創建與分配,其中,每一個管理節點需要創建或者修改操作權限,在該平臺模型中對于角色和權限的管理進行合理的配置。
定義5:管理角色定義Administrator_Role ex?tends 角色定義Role: =( Administrator_IDAdministrator_id,Administrator_Rolename∈Admin ?istrator_Role_N, Administrator _roleList∈Role_L)
定義6:管理用戶權限定義Administrator_Per?mission extends Permission: =(Administrator_Permis ?sion_ID∈Permission_ID, Administrator_name∈Per?mission_N, permission_role∈Permission_R).
為了更好地體現出平臺層模型的優點,本文在平臺層設計上通過組織模型角色的構建方法,將管理角色結構分為了底層平臺管理角色權限,中間層平臺管理角色權限和用戶層平臺管理角色權限管理三個部分。底層平臺管理角色權限主要是針對平臺中所有的基礎權限管理,中間層平臺管理角色權限主要是針對平臺中專有資源權限管理,用戶層平臺管理角色權限管理主要是針對所有用戶的角色管理。
3.3 訪問控制模型的實現
為了進一步描述有關訪問控制模型的實現,本文以本地學校圖書館服務器作為云計算資源服務器,將處于同一個城市的其他幾所學校的客戶器作為云端客戶,建立樹型的組織模型,從而將這種組織模型想訪問控制模型轉換,在訪問控制模型中,主要針對用戶登錄,權限訪問控制以及權限管理三個部分進行描述,用戶首先進行身份驗證,然后系統為用戶加載權限,用戶根據權限來獲得對應的功能,最后獲得相應的功能權限對應的數據對象。
(1)登錄驗證
登錄驗證是為了更好的保護用戶的合法信息,采用控件chenkUserForm 進行iaoshu,能確保用戶輸入驗證的合法性。
(2)權限訪問控制
Windows Azaue模型中的權限訪問控制能夠在一定程度上保證用戶訪問權限資源,本文在樹型模型的基礎上,設計首先向用戶加載包含一級節點的初始華,然后通過層層級聯加載訪問葉子節點,提高了用戶訪問效率,用戶在之前的訪問登錄獲得了用戶Userid作為參數,從而獲得用戶對應的角色所需要的權限。用戶通過樹型組織結構,點擊初始權限樹中葉子節點對應的功能權限。在層次加載中,判斷用戶點擊所獲得節點加載路徑來確定是否能夠訪問到該節點。
采用了這種加載方式之后,用戶可以根據自己的需要來顯示相應的功能權限,不需要每次都登錄展示整個權限,提高了高效訪問控制。
(3)權限管理控制
在用戶權限樹中設定的Checkbox構造出用戶權限管理樹,通過點擊選中活取消用戶權限管理樹中的節點,能夠非常方便的實現角色權限的授予。
(4)系統驗證和分析
為了更好的驗證本文模型的具有的時效性,本文采用在酷睿i3,內存為4G的系統中運行,將本人所在學校的圖書館作為云服務端,其他同一個地區的學校的圖書館作為云端訪問點,通過CloudSim進行仿真實驗,本文假設在云端客戶模擬500個訪問圖書查詢要求向云服務端發送查詢請求,在云服務端中采用Windows Azaue模型進行服務器的設置,將本文的模型與其他幾種模型在訪問數量,任務平均完成時間,網絡消耗時間上進行了對比。
本文的訪問控制模型在一定程度上有效的縮短了訪問時間,雖然相差不大,但是由于其他三種算法沒有將控制模型安全因素考慮進去,所以,本文的模型具有一定的實際意義。從圖2中可以發現伴隨著云端客戶的訪問量增多,本文的模型有效的降低任務完成時間,相比于角色-任務模型已經有了很大的改變。伴隨著訪問數量的不斷增大,網絡訪問失敗率已經有了明顯的降低,這在一定程度上說明了本文的算法在云平臺模型下的控制在優于傳統的訪問控制模型。
4 結束語
在微軟推出的Windows Azaue 云計算模型中,訪問控制安全已經成為了研究的重點,本文在傳統的角色-任務模型上,提出了面向多用戶的訪問控制模型,在模型中采用了用戶層和平臺層兩種表示,在用戶層中對角色、任務、權限進行了定義,在平臺層中針對用戶登錄,權限訪問控制以及權限管理三個部分進行細分,通過仿真實驗,本文的模型相比于傳統的角色-任務模型具有一定優越性,但在角色繼承,模型沖突等方面需要進一步的研究。
【淺談基于的Windows Azure平臺下的訪問控制模型的設計論文】相關文章:
云平臺下基于包裝設計的軟件開發研究論文10-29
基于大數據的統計分析模型設計論文11-17
基于模型的軟件測試技術探析論文05-03
基于工業設計模型的高校實驗室建設論文11-19
基于柔性內部控制研究論文10-27
基于COBIT的銀行IS控制構建論文04-25
淺談企業成本控制的論文04-13