浅谈基于的Windows Azure平台下的访问控制模型的设计.docVIP

浅谈基于的Windows Azure平台下的访问控制模型的设计 　　随着互联网中的云计算应用越来越广泛，微软，谷歌等IT业巨头都在不断的扩建自己的云计算平台，但是伴随着云计算应用范围的不断增大，信息安全已经成为了制约与计算平台发展的重要原因之一，一些涉及到网络安全的技术逐步被人重视，Window Azure平台是微软2008年开发的一款云计算平台，其主要作用是通过Internet平台为其他运行的应用程序服务，最大可能的保证性能不降低。如何能够最大限度的利用Win?dows Azure平台的数据存储安全技术，从而能够保证云计算平台具有开发的安全性和灵活性是目前研究的重点。目前访问控制技术是元计算平台领域中一种非常重要的技术，它的思想是采用一定的策略,首先对主体进行验证，然后对客体的访问权限进行设置，可以很好地保证云计算环境中的访问权限的的安全性，从而保证云计算机节点的资源能够合理的被使用，从而避免来自系统内部的破坏。 　　访问控制是一种重要的技术，是保证云计算平台的信息机密性和完整性的重要组成部分。本文针对在Windows Azure 云计算模型的基础上，针对现有的任务-角色访问控制模型，提出一种新的访问控制模型。该模型可以在一定程度上有效地减少资源调度的耗时以及数据访问控制的安全性。 　　1 Windows Azure平台下的访问控制 　　在云计算平台的环境中，由于云端客户的数量逐渐增多，这就要求Windows Azure云计算服务商提供的安全性的资源也在逐渐提高。由于云计算环境中对资源的保护和限制访问的要求比较高，云计算资源的云端用户的种类层次不一，自身的安全性等级不一，自身存在一定的风险。因此在这样的背景下，需要制定更加详细的策略来进行控制，从而来保证系统安全的正常运转。 　　在Windows Azure 模型中，访问控制最关键的就是如何进行授权即授权策略的制度，在进行授权策略下，能够得到授权的用户就是合法用户，无法得到授权的就是非法客户。在WindowsAzure中，需要了解访问主体能够对哪些客体在什么样的条件下进行授权访问，通常访问控制模型由主体、访问、客体三个主要部分组成。 　　2 传统访问控制模型介绍 　　2.1 基于角色的访问控制 　　基于角色的访问控制(RBAC)的研究是上个世纪提出的一种访问控制技术，它通过在用户和访问权限中加入了角色这个概念，从而将用户与访问权限进行了有效的分离，同时最大限度的保证了用户和权限之间的分离，这种分离的优点就是可以让用户与角色之间达成1∶N的角色分配,同时保证角色与访问权限之间也是1∶N的联系方式。RBAC模型的优点是在一定程度上实现了用户与访问权限的分离,在一定程度上保证了动态的访问约束，系统实用性比较强，缺点如下：(1)权限粒度约束不够细化，导致用户权限过宽;(2)权限授予过程复杂;(3)功能和数据权限始终都在一起,无法分离;(4)缺少对客体特征的描述，特别是在云计算环境中的分布式的应用非常频繁，但是每一次过程都需要通过角色来转变，无法面对Windows Azure云计算下的任务流的控制执行。 　　2.2 基于任务的访问控制 　　基于任务的访问控制模型(TBAC)是一种新的安全模型，主要是采用了任务工作流的特性，将任务概念引入到访问控制模型中，从而将访问控制中的任务进行动态的管理。通过平台中的任务来对权限进行划分，在TBAC中，主要能对不同的工作流中的不同任务进行访问控制，优点是适合云计算环境下的分布式计算。缺点是没有对客体进行管理，不支持被动访问控制，存在任务分配复杂等问题，从而降低了效率。 　　3 基于多用户的Windows Azaue 访问控制模型 　　3.1 云计算现状 　　云计算技术的快速发展已经涉及到计算机的众多领域，传统的安全保护手段已经无法适应这些变化。在Windows Azaue云计算模型中，服务商提供数据的计算和存储，面对云端的众多用户，这些多用户通过Windows Azaue平台可以将自身的相关私有数据放置到服务器上进行存储和管理，在一定程度上降低了用户的成本，但同时对Windows Azaue服务商提出了一定的要求。如何保障多用户下的数据进行管理，防止涉及安全问题的发生，这是目前Windows Azaue云计算服务商面临的主要的问题。 　　3.2 多用户访问控制模型 　　本文在的基础上，将面向多用户的访问控制模型分为用户层和平台层,用户层主要是用来管理用户-角色-任务-权限之间的使用关系，平台层主要是分配权限,角色和任务之间的关系。为了更好地描述多用户的访问控制模型，本文在任务-角色模型的基础上，对模型中涉及到的一些概念进行描述