浅谈基于的Windows Azure平台下的访问控制模型的设计论文
随着互联网中的云计算应用越来越广泛,微软,谷歌等IT业巨头都在不断的扩建自己的云计算平台,但是伴随着云计算应用范围的不断增大,信息安全已经成为了制约与计算平台发展的重要原因之一,一些涉及到网络安全的技术逐步被人重视,Window Azure平台是微软2008年开发的一款云计算平台,其主要作用是通过Internet平台为其他运行的应用程序服务,最大可能的保证性能不降低。如何能够最大限度的利用Win?dows Azure平台的数据存储安全技术,从而能够保证云计算平台具有开发的安全性和灵活性是目前研究的重点。目前访问控制技术是元计算平台领域中一种非常重要的技术,它的思想是采用一定的策略,首先对主体进行验证,然后对客体的访问权限进行设置,可以很好地保证云计算环境中的访问权限的的安全性,从而保证云计算机节点的资源能够合理的被使用,从而避免来自系统内部的破坏。
访问控制是一种重要的技术,是保证云计算平台的信息机密性和完整性的重要组成部分。本文针对在Windows Azure 云计算模型的基础上,针对现有的任务-角色访问控制模型,提出一种新的访问控制模型。该模型可以在一定程度上有效地减少资源调度的耗时以及数据访问控制的安全性。
1 Windows Azure平台下的访问控制
在云计算平台的环境中,由于云端客户的数量逐渐增多,这就要求Windows Azure云计算服务商提供的安全性的资源也在逐渐提高。由于云计算环境中对资源的保护和限制访问的要求比较高,云计算资源的云端用户的种类层次不一,自身的安全性等级不一,自身存在一定的风险。因此在这样的背景下,需要制定更加详细的策略来进行控制,从而来保证系统安全的正常运转。
在Windows Azure 模型中,访问控制最关键的就是如何进行授权即授权策略的制度,在进行授权策略下,能够得到授权的用户就是合法用户,无法得到授权的就是非法客户。在WindowsAzure中,需要了解访问主体能够对哪些客体在什么样的条件下进行授权访问,通常访问控制模型由主体、访问、客体三个主要部分组成。
2 传统访问控制模型介绍
2.1 基于角色的访问控制
基于角色的访问控制(RBAC)的研究是上个世纪提出的一种访问控制技术,它通过在用户和访问权限中加入了角色这个概念,从而将用户与访问权限进行了有效的分离,同时最大限度的保证了用户和权限之间的分离,这种分离的优点就是可以让用户与角色之间达成1∶N的角色分配,同时保证角色与访问权限之间也是1∶N的联系方式。RBAC模型的优点是在一定程度上实现了用户与访问权限的分离,在一定程度上保证了动态的访问约束,系统实用性比较强,缺点如下:(1)权限粒度约束不够细化,导致用户权限过宽;(2)权限授予过程复杂;(3)功能和数据权限始终都在一起,无法分离;(4)缺少对客体特征的描述,特别是在云计算环境中的分布式的应用非常频繁,但是每一次过程都需要通过角色来转变,无法面对Windows Azure云计算下的任务流的控制执行。
2.2 基于任务的访问控制
基于任务的访问控制模型(TBAC)是一种新的安全模型,主要是采用了任务工作流的特性,将任务概念引入到访问控制模型中,从而将访问控制中的任务进行动态的管理。通过平台中的任务来对权限进行划分,在TBAC中,主要能对不同的工作流中的不同任务进行访问控制,优点是适合云计算环境下的分布式计算。缺点是没有对客体进行管理,不支持被动访问控制,存在任务分配复杂等问题,从而降低了效率。
3 基于多用户的Windows Azaue 访问控制模型
3.1 云计算现状
云计算技术的快速发展已经涉及到计算机的众多领域,传统的安全保护手段已经无法适应这些变化。在Windows Azaue云计算模型中,服务商提供数据的计算和存储,面对云端的众多用户,这些多用户通过Windows Azaue平台可以将自身的相关私有数据放置到服务器上进行存储和管理,在一定程度上降低了用户的成本,但同时对Windows Azaue服务商提出了一定的要求。如何保障多用户下的数据进行管理,防止涉及安全问题的发生,这是目前Windows Azaue云计算服务商面临的主要的问题。
3.2 多用户访问控制模型
本文在的基础上,将面向多用户的访问控制模型分为用户层和平台层,用户层主要是用来管理用户-角色-任务-权限之间的使用关系,平台层主要是分配权限,角色和任务之间的关系。为了更好地描述多用户的访问控制模型,本文在任务-角色模型的基础上,对模型中涉及到的一些概念进行描述:
(1)角色:云计算中担任访问能力的主体。
(2)任务:云计算中用来完成用户提出的具有一定功能的最小单位内容。
(3)权限:云计算中具有访问资格的描述
(4)权限分类:云计算中用户访问要求不同,导致受到访问的资格不同
(5)会话:云计算中的用户与角色之间建立映射的过程,实际上过程是用户与系统之间交互的过程。
(6)会话交互:云计算中用户访问云计算服务商提供服务的过程。
(7)会话的角色集合:云计算中参与会话过程中的角色映射。
(8)角色继承:云计算中为了满足不同的角色需要访问多种不同的资源的要求,在角色的属性和方法的设置中,通过角色继承来进行完成,从而可以避免重复设置。
(9)任务关系:云计算中根据任务之间的分配关系可以分为一对一,一对多,多对多的分配关系。
3.2.1用户层模型
在Windows Azaue 多用户的用户层中,为了能够更好地方便用户-角色-任务和权限之间的关系,本文采用层次化的结构模型,通过按照角色和权限从高到低来进行设置用户的级别,在设置过程中,根据Windows Azaue云计算资源平台中对于多用户分配的资源要求,在层次化结构模型中,通过对用户分配权限,粒度从小到大。
定义1:用户定义User: =( User_ID∈U_ID, User_name∈U_name, User_Role∈U_Roleset,User_Task∈U_Task)。
定义2:角色定义Role: =( role_ID∈Role_id,Role_name∈Role_N,role_roleList∈Role_L)
定义3:权限定义:Premission:=
( Premission_ID∈Premission_ID, Premission_name∈Premission_n, Premission_role∈Premission_R)
定义4:任务定义Task:=< Task_ID∈User_ID∩role_ID∩Permis?sion_ID,Task_name∈Task_N,Task_role∈Task_R >
3.3.2平台层模型
在Windows Azaue多用户平台中,将权限和角色的进行合理的映射,在每一个角色节点中,需要进行管理和控制角色与权限的创建与分配,其中,每一个管理节点需要创建或者修改操作权限,在该平台模型中对于角色和权限的管理进行合理的配置。
定义5:管理角色定义Administrator_Role ex?tends 角色定义Role: =( Administrator_IDAdministrator_id,Administrator_Rolename∈Admin ?istrator_Role_N, Administrator _roleList∈Role_L)
定义6:管理用户权限定义Administrator_Per?mission extends Permission: =(Administrator_Permis ?sion_ID∈Permission_ID, Administrator_name∈Per?mission_N, permission_role∈Permission_R).
为了更好地体现出平台层模型的优点,本文在平台层设计上通过组织模型角色的构建方法,将管理角色结构分为了底层平台管理角色权限,中间层平台管理角色权限和用户层平台管理角色权限管理三个部分。底层平台管理角色权限主要是针对平台中所有的基础权限管理,中间层平台管理角色权限主要是针对平台中专有资源权限管理,用户层平台管理角色权限管理主要是针对所有用户的角色管理。
3.3 访问控制模型的实现
为了进一步描述有关访问控制模型的实现,本文以本地学校图书馆服务器作为云计算资源服务器,将处于同一个城市的其他几所学校的客户器作为云端客户,建立树型的组织模型,从而将这种组织模型想访问控制模型转换,在访问控制模型中,主要针对用户登录,权限访问控制以及权限管理三个部分进行描述,用户首先进行身份验证,然后系统为用户加载权限,用户根据权限来获得对应的功能,最后获得相应的功能权限对应的数据对象。
(1)登录验证
登录验证是为了更好的保护用户的合法信息,采用控件chenkUserForm 进行iaoshu,能确保用户输入验证的合法性。
(2)权限访问控制
Windows Azaue模型中的权限访问控制能够在一定程度上保证用户访问权限资源,本文在树型模型的基础上,设计首先向用户加载包含一级节点的初始华,然后通过层层级联加载访问叶子节点,提高了用户访问效率,用户在之前的访问登录获得了用户Userid作为参数,从而获得用户对应的角色所需要的权限。用户通过树型组织结构,点击初始权限树中叶子节点对应的功能权限。在层次加载中,判断用户点击所获得节点加载路径来确定是否能够访问到该节点。
采用了这种加载方式之后,用户可以根据自己的需要来显示相应的功能权限,不需要每次都登录展示整个权限,提高了高效访问控制。
(3)权限管理控制
在用户权限树中设定的Checkbox构造出用户权限管理树,通过点击选中活取消用户权限管理树中的节点,能够非常方便的实现角色权限的授予。
(4)系统验证和分析
为了更好的验证本文模型的具有的时效性,本文采用在酷睿i3,内存为4G的系统中运行,将本人所在学校的图书馆作为云服务端,其他同一个地区的学校的图书馆作为云端访问点,通过CloudSim进行仿真实验,本文假设在云端客户模拟500个访问图书查询要求向云服务端发送查询请求,在云服务端中采用Windows Azaue模型进行服务器的设置,将本文的模型与其他几种模型在访问数量,任务平均完成时间,网络消耗时间上进行了对比。
本文的访问控制模型在一定程度上有效的缩短了访问时间,虽然相差不大,但是由于其他三种算法没有将控制模型安全因素考虑进去,所以,本文的模型具有一定的实际意义。从图2中可以发现伴随着云端客户的访问量增多,本文的模型有效的降低任务完成时间,相比于角色-任务模型已经有了很大的改变。伴随着访问数量的不断增大,网络访问失败率已经有了明显的降低,这在一定程度上说明了本文的算法在云平台模型下的控制在优于传统的访问控制模型。
4 结束语
在微软推出的Windows Azaue 云计算模型中,访问控制安全已经成为了研究的重点,本文在传统的角色-任务模型上,提出了面向多用户的访问控制模型,在模型中采用了用户层和平台层两种表示,在用户层中对角色、任务、权限进行了定义,在平台层中针对用户登录,权限访问控制以及权限管理三个部分进行细分,通过仿真实验,本文的模型相比于传统的角色-任务模型具有一定优越性,但在角色继承,模型冲突等方面需要进一步的研究。
本文标签:
[!--temp.ykpl--]