淺談基于的Windows Azure平臺下的訪(fǎng)問(wèn)控制模型的設計論文

　　隨著(zhù)互聯(lián)網(wǎng)中的云計算應用越來(lái)越廣泛，微軟，谷歌等IT業(yè)巨頭都在不斷的擴建自己的云計算平臺，但是伴隨著(zhù)云計算應用范圍的不斷增大，信息安全已經(jīng)成為了制約與計算平臺發(fā)展的重要原因之一，一些涉及到網(wǎng)絡(luò )安全的技術(shù)逐步被人重視，Window Azure平臺是微軟2008年開(kāi)發(fā)的一款云計算平臺，其主要作用是通過(guò)Internet平臺為其他運行的應用程序服務(wù)，最大可能的保證性能不降低。如何能夠最大限度的利用Win?dows Azure平臺的數據存儲安全技術(shù)，從而能夠保證云計算平臺具有開(kāi)發(fā)的安全性和靈活性是目前研究的重點(diǎn)。目前訪(fǎng)問(wèn)控制技術(shù)是元計算平臺領(lǐng)域中一種非常重要的技術(shù)，它的思想是采用一定的策略,首先對主體進(jìn)行驗證，然后對客體的訪(fǎng)問(wèn)權限進(jìn)行設置，可以很好地保證云計算環(huán)境中的訪(fǎng)問(wèn)權限的的安全性，從而保證云計算機節點(diǎn)的資源能夠合理的被使用，從而避免來(lái)自系統內部的破壞。

　　訪(fǎng)問(wèn)控制是一種重要的技術(shù)，是保證云計算平臺的信息機密性和完整性的重要組成部分。本文針對在Windows Azure 云計算模型的基礎上，針對現有的任務(wù)-角色訪(fǎng)問(wèn)控制模型，提出一種新的訪(fǎng)問(wèn)控制模型。該模型可以在一定程度上有效地減少資源調度的耗時(shí)以及數據訪(fǎng)問(wèn)控制的安全性。

　　1 Windows Azure平臺下的訪(fǎng)問(wèn)控制

　　在云計算平臺的環(huán)境中，由于云端客戶(hù)的數量逐漸增多，這就要求Windows Azure云計算服務(wù)商提供的安全性的資源也在逐漸提高。由于云計算環(huán)境中對資源的保護和限制訪(fǎng)問(wèn)的要求比較高，云計算資源的云端用戶(hù)的種類(lèi)層次不一，自身的安全性等級不一，自身存在一定的風(fēng)險。因此在這樣的背景下，需要制定更加詳細的策略來(lái)進(jìn)行控制，從而來(lái)保證系統安全的正常運轉。

　　在Windows Azure 模型中，訪(fǎng)問(wèn)控制最關(guān)鍵的就是如何進(jìn)行授權即授權策略的制度，在進(jìn)行授權策略下，能夠得到授權的用戶(hù)就是合法用戶(hù)，無(wú)法得到授權的就是非法客戶(hù)。在WindowsAzure中，需要了解訪(fǎng)問(wèn)主體能夠對哪些客體在什么樣的條件下進(jìn)行授權訪(fǎng)問(wèn)，通常訪(fǎng)問(wèn)控制模型由主體、訪(fǎng)問(wèn)、客體三個(gè)主要部分組成。

　　2 傳統訪(fǎng)問(wèn)控制模型介紹

　　2.1 基于角色的訪(fǎng)問(wèn)控制

　　基于角色的訪(fǎng)問(wèn)控制(RBAC)的研究是上個(gè)世紀提出的一種訪(fǎng)問(wèn)控制技術(shù)，它通過(guò)在用戶(hù)和訪(fǎng)問(wèn)權限中加入了角色這個(gè)概念，從而將用戶(hù)與訪(fǎng)問(wèn)權限進(jìn)行了有效的分離，同時(shí)最大限度的保證了用戶(hù)和權限之間的分離，這種分離的優(yōu)點(diǎn)就是可以讓用戶(hù)與角色之間達成1∶N的角色分配,同時(shí)保證角色與訪(fǎng)問(wèn)權限之間也是1∶N的聯(lián)系方式。RBAC模型的優(yōu)點(diǎn)是在一定程度上實(shí)現了用戶(hù)與訪(fǎng)問(wèn)權限的分離,在一定程度上保證了動(dòng)態(tài)的訪(fǎng)問(wèn)約束，系統實(shí)用性比較強，缺點(diǎn)如下：(1)權限粒度約束不夠細化，導致用戶(hù)權限過(guò)寬;(2)權限授予過(guò)程復雜;(3)功能和數據權限始終都在一起,無(wú)法分離;(4)缺少對客體特征的描述，特別是在云計算環(huán)境中的分布式的應用非常頻繁，但是每一次過(guò)程都需要通過(guò)角色來(lái)轉變，無(wú)法面對Windows Azure云計算下的任務(wù)流的控制執行。

　　2.2 基于任務(wù)的訪(fǎng)問(wèn)控制

　　基于任務(wù)的訪(fǎng)問(wèn)控制模型(TBAC)是一種新的安全模型，主要是采用了任務(wù)工作流的特性，將任務(wù)概念引入到訪(fǎng)問(wèn)控制模型中，從而將訪(fǎng)問(wèn)控制中的任務(wù)進(jìn)行動(dòng)態(tài)的管理。通過(guò)平臺中的任務(wù)來(lái)對權限進(jìn)行劃分，在TBAC中，主要能對不同的工作流中的不同任務(wù)進(jìn)行訪(fǎng)問(wèn)控制，優(yōu)點(diǎn)是適合云計算環(huán)境下的分布式計算。缺點(diǎn)是沒(méi)有對客體進(jìn)行管理，不支持被動(dòng)訪(fǎng)問(wèn)控制，存在任務(wù)分配復雜等問(wèn)題，從而降低了效率。

　　3 基于多用戶(hù)的Windows Azaue 訪(fǎng)問(wèn)控制模型

　　3.1 云計算現狀

　　云計算技術(shù)的快速發(fā)展已經(jīng)涉及到計算機的眾多領(lǐng)域，傳統的安全保護手段已經(jīng)無(wú)法適應這些變化。在Windows Azaue云計算模型中，服務(wù)商提供數據的計算和存儲，面對云端的眾多用戶(hù)，這些多用戶(hù)通過(guò)Windows Azaue平臺可以將自身的相關(guān)私有數據放置到服務(wù)器上進(jìn)行存儲和管理，在一定程度上降低了用戶(hù)的成本，但同時(shí)對Windows Azaue服務(wù)商提出了一定的要求。如何保障多用戶(hù)下的數據進(jìn)行管理，防止涉及安全問(wèn)題的發(fā)生，這是目前Windows Azaue云計算服務(wù)商面臨的主要的問(wèn)題。

　　3.2 多用戶(hù)訪(fǎng)問(wèn)控制模型

　　本文在的基礎上，將面向多用戶(hù)的.訪(fǎng)問(wèn)控制模型分為用戶(hù)層和平臺層,用戶(hù)層主要是用來(lái)管理用戶(hù)-角色-任務(wù)-權限之間的使用關(guān)系，平臺層主要是分配權限,角色和任務(wù)之間的關(guān)系。為了更好地描述多用戶(hù)的訪(fǎng)問(wèn)控制模型，本文在任務(wù)-角色模型的基礎上，對模型中涉及到的一些概念進(jìn)行描述：

　　(1)角色：云計算中擔任訪(fǎng)問(wèn)能力的主體。

　　(2)任務(wù)：云計算中用來(lái)完成用戶(hù)提出的具有一定功能的最小單位內容。

　　(3)權限：云計算中具有訪(fǎng)問(wèn)資格的描述

　　(4)權限分類(lèi)：云計算中用戶(hù)訪(fǎng)問(wèn)要求不同，導致受到訪(fǎng)問(wèn)的資格不同

　　(5)會(huì )話(huà)：云計算中的用戶(hù)與角色之間建立映射的過(guò)程，實(shí)際上過(guò)程是用戶(hù)與系統之間交互的過(guò)程。

　　(6)會(huì )話(huà)交互：云計算中用戶(hù)訪(fǎng)問(wèn)云計算服務(wù)商提供服務(wù)的過(guò)程。

　　(7)會(huì )話(huà)的角色集合：云計算中參與會(huì )話(huà)過(guò)程中的角色映射。

　　(8)角色繼承：云計算中為了滿(mǎn)足不同的角色需要訪(fǎng)問(wèn)多種不同的資源的要求,在角色的屬性和方法的設置中，通過(guò)角色繼承來(lái)進(jìn)行完成，從而可以避免重復設置。

　　(9)任務(wù)關(guān)系：云計算中根據任務(wù)之間的分配關(guān)系可以分為一對一，一對多，多對多的分配關(guān)系。

　　3.2.1用戶(hù)層模型

　　在Windows Azaue 多用戶(hù)的用戶(hù)層中，為了能夠更好地方便用戶(hù)-角色-任務(wù)和權限之間的關(guān)系，本文采用層次化的結構模型，通過(guò)按照角色和權限從高到低來(lái)進(jìn)行設置用戶(hù)的級別，在設置過(guò)程中，根據Windows Azaue云計算資源平臺中對于多用戶(hù)分配的資源要求，在層次化結構模型中，通過(guò)對用戶(hù)分配權限，粒度從小到大。

　　定義1：用戶(hù)定義User: =( User_ID∈U_ID, User_name∈U_name, User_Role∈U_Roleset,User_Task∈U_Task)。

　　定義2：角色定義Role: =( role_ID∈Role_id,Role_name∈Role_N,role_roleList∈Role_L)

　　定義3：權限定義:Premission:=

　　( Premission_ID∈Premission_ID, Premission_name∈Premission_n, Premission_role∈Premission_R)

　　定義4：任務(wù)定義Task:=< Task_ID∈User_ID∩role_ID∩Permis?sion_ID,Task_name∈Task_N,Task_role∈Task_R >

　　3.3.2平臺層模型

　　在Windows Azaue多用戶(hù)平臺中,將權限和角色的進(jìn)行合理的映射，在每一個(gè)角色節點(diǎn)中，需要進(jìn)行管理和控制角色與權限的創(chuàng )建與分配，其中，每一個(gè)管理節點(diǎn)需要創(chuàng )建或者修改操作權限，在該平臺模型中對于角色和權限的管理進(jìn)行合理的配置。

　　定義5：管理角色定義Administrator_Role ex?tends 角色定義Role: =( Administrator_IDAdministrator_id,Administrator_Rolename∈Admin ?istrator_Role_N, Administrator _roleList∈Role_L)

　　定義6：管理用戶(hù)權限定義Administrator_Per?mission extends Permission: =(Administrator_Permis ?sion_ID∈Permission_ID, Administrator_name∈Per?mission_N, permission_role∈Permission_R).

　　為了更好地體現出平臺層模型的優(yōu)點(diǎn)，本文在平臺層設計上通過(guò)組織模型角色的構建方法，將管理角色結構分為了底層平臺管理角色權限，中間層平臺管理角色權限和用戶(hù)層平臺管理角色權限管理三個(gè)部分。底層平臺管理角色權限主要是針對平臺中所有的基礎權限管理，中間層平臺管理角色權限主要是針對平臺中專(zhuān)有資源權限管理，用戶(hù)層平臺管理角色權限管理主要是針對所有用戶(hù)的角色管理。

　　3.3 訪(fǎng)問(wèn)控制模型的實(shí)現

　　為了進(jìn)一步描述有關(guān)訪(fǎng)問(wèn)控制模型的實(shí)現，本文以本地學(xué)校圖書(shū)館服務(wù)器作為云計算資源服務(wù)器，將處于同一個(gè)城市的其他幾所學(xué)校的客戶(hù)器作為云端客戶(hù)，建立樹(shù)型的組織模型，從而將這種組織模型想訪(fǎng)問(wèn)控制模型轉換，在訪(fǎng)問(wèn)控制模型中，主要針對用戶(hù)登錄，權限訪(fǎng)問(wèn)控制以及權限管理三個(gè)部分進(jìn)行描述，用戶(hù)首先進(jìn)行身份驗證，然后系統為用戶(hù)加載權限，用戶(hù)根據權限來(lái)獲得對應的功能，最后獲得相應的功能權限對應的數據對象。

　　(1)登錄驗證

　　登錄驗證是為了更好的保護用戶(hù)的合法信息，采用控件chenkUserForm 進(jìn)行iaoshu，能確保用戶(hù)輸入驗證的合法性。

　　(2)權限訪(fǎng)問(wèn)控制

　　Windows Azaue模型中的權限訪(fǎng)問(wèn)控制能夠在一定程度上保證用戶(hù)訪(fǎng)問(wèn)權限資源，本文在樹(shù)型模型的基礎上，設計首先向用戶(hù)加載包含一級節點(diǎn)的初始華，然后通過(guò)層層級聯(lián)加載訪(fǎng)問(wèn)葉子節點(diǎn)，提高了用戶(hù)訪(fǎng)問(wèn)效率，用戶(hù)在之前的訪(fǎng)問(wèn)登錄獲得了用戶(hù)Userid作為參數，從而獲得用戶(hù)對應的角色所需要的權限。用戶(hù)通過(guò)樹(shù)型組織結構，點(diǎn)擊初始權限樹(shù)中葉子節點(diǎn)對應的功能權限。在層次加載中,判斷用戶(hù)點(diǎn)擊所獲得節點(diǎn)加載路徑來(lái)確定是否能夠訪(fǎng)問(wèn)到該節點(diǎn)。

　　采用了這種加載方式之后,用戶(hù)可以根據自己的需要來(lái)顯示相應的功能權限,不需要每次都登錄展示整個(gè)權限,提高了高效訪(fǎng)問(wèn)控制。

　　(3)權限管理控制

　　在用戶(hù)權限樹(shù)中設定的Checkbox構造出用戶(hù)權限管理樹(shù),通過(guò)點(diǎn)擊選中活取消用戶(hù)權限管理樹(shù)中的節點(diǎn),能夠非常方便的實(shí)現角色權限的授予。

　　(4)系統驗證和分析

　　為了更好的驗證本文模型的具有的時(shí)效性，本文采用在酷睿i3，內存為4G的系統中運行，將本人所在學(xué)校的圖書(shū)館作為云服務(wù)端,其他同一個(gè)地區的學(xué)校的圖書(shū)館作為云端訪(fǎng)問(wèn)點(diǎn)，通過(guò)CloudSim進(jìn)行仿真實(shí)驗，本文假設在云端客戶(hù)模擬500個(gè)訪(fǎng)問(wèn)圖書(shū)查詢(xún)要求向云服務(wù)端發(fā)送查詢(xún)請求，在云服務(wù)端中采用Windows Azaue模型進(jìn)行服務(wù)器的設置，將本文的模型與其他幾種模型在訪(fǎng)問(wèn)數量，任務(wù)平均完成時(shí)間，網(wǎng)絡(luò )消耗時(shí)間上進(jìn)行了對比。

　　本文的訪(fǎng)問(wèn)控制模型在一定程度上有效的縮短了訪(fǎng)問(wèn)時(shí)間，雖然相差不大，但是由于其他三種算法沒(méi)有將控制模型安全因素考慮進(jìn)去，所以，本文的模型具有一定的實(shí)際意義。從圖2中可以發(fā)現伴隨著(zhù)云端客戶(hù)的訪(fǎng)問(wèn)量增多，本文的模型有效的降低任務(wù)完成時(shí)間，相比于角色-任務(wù)模型已經(jīng)有了很大的改變。伴隨著(zhù)訪(fǎng)問(wèn)數量的不斷增大，網(wǎng)絡(luò )訪(fǎng)問(wèn)失敗率已經(jīng)有了明顯的降低，這在一定程度上說(shuō)明了本文的算法在云平臺模型下的控制在優(yōu)于傳統的訪(fǎng)問(wèn)控制模型。

　　4 結束語(yǔ)

　　在微軟推出的Windows Azaue 云計算模型中，訪(fǎng)問(wèn)控制安全已經(jīng)成為了研究的重點(diǎn)，本文在傳統的角色-任務(wù)模型上，提出了面向多用戶(hù)的訪(fǎng)問(wèn)控制模型，在模型中采用了用戶(hù)層和平臺層兩種表示，在用戶(hù)層中對角色、任務(wù)、權限進(jìn)行了定義，在平臺層中針對用戶(hù)登錄，權限訪(fǎng)問(wèn)控制以及權限管理三個(gè)部分進(jìn)行細分，通過(guò)仿真實(shí)驗，本文的模型相比于傳統的角色-任務(wù)模型具有一定優(yōu)越性，但在角色繼承，模型沖突等方面需要進(jìn)一步的研究。

【淺談基于的Windows Azure平臺下的訪(fǎng)問(wèn)控制模型的設計論文】相關(guān)文章：

云平臺下基于包裝設計的軟件開(kāi)發(fā)研究論文10-29

基于大數據的統計分析模型設計論文11-17

淺談基于成本控制體系的預算管理模式構建論文12-17

基于模型的軟件測試技術(shù)探析論文05-03

基于工業(yè)設計模型的高校實(shí)驗室建設論文11-19

基于COBIT的銀行IS控制構建論文04-25

基于水文模型及水動(dòng)力模型的山洪臨界雨量研究論文10-29

淺談企業(yè)成本控制的論文04-13