基于任务和角色面向服务的TRSAC访问控制策略.docVIP

　　基于任务和角色面向服务的TRSAC访问控制策略 　　引言 　　随着IT技术的飞速发展,人们对于高性能计算和大数据存储的需求日益彰显,云计算作为共享IT资源的一种方式,能够满足人们日益增长的需求. 　　根据NIST的定义,云计算包含IaaS,PaaS和SaaS 3层服务模式.在3层服务模式中,IaaS层通过虚拟化抽象整合硬件资源,对外提供虚拟资源池服务,服务屏蔽了底层硬件的细节和差异,使得虚拟化资源能够以基础设施即服务的方式被用户管理和使用.因此,IaaS层是整个云计算体系结构的基础,其安全性也决定着云计算体系的安全. 　　目前,CSA(cloud security alliance)组织针对云安全事故的相关研究表明,当前的IaaS环境存在复杂的资源共享架构,但缺少出于安全性考虑的设计,无法提供强有力的资源保护手段,从而导致资源管理上的漏洞.为了解决这些问题,目前的研究围绕着资源的访问控制展开,旨在通过规定主体对客体的访问限制,保证组件间交互资源不被非法访问.但是,由于IaaS层环境存在海量的组件交互协议和交互接口,这些协议和接口既面向普通租户,也面向内部组件,租户与组件之间产生大量的访问请求,访问请求频繁且复杂,导致传统的访问控制策略在应用于云计算IaaS层时出现一些新的安全问题. 　　首先,传统的访问控制是静态的,在确定主体对客体的访问权限时,没有考虑系统所处的当前环境.当主体拥有对客体的访问权限时,主体就可以无数次地使用该权限.而在多任务并发的IaaS云环境下,服务内部的各种组件参与出现了很多的不确定性,组件角色不断变化,组件部署的任务类型也不断变化,这些情况下确定组件访问权限是需要考虑系统当前环境的. 　　其次,传统的访问控制模型在应用于IaaS云计算时,存在无法满足最小授权的问题,最小授权原则是设计容错系统的一个重要原则.在IaaS云计算平台中,用户提交的任务往往只需要访问有限的底层资源,但却拥有访问该服务所关联的所有资源的权限,这样就导致攻击者可以利用上层应用攻击底层系统平台,从而导致系统安全无法保证. 　　针对传统访问控制在以上两方面的不足,本文结合云环境IaaS层结构,从动态配置主客体安全属性和细化授权对象范围角度出发,将传统基于任务和角色的访问控制模型作进一步改进和扩展,以服务接口为授权节点,通过引入组件访问消息传递机制和组件访问控制中间件,实现基于服务实例的工作流模型分解和基于服务授权历史的动态角色激活,再依据分解后的任务节点与激活后的临时角色代理在服务内的实体约束关系作进一步的算法合成,构造最小授权单元,最终实现满足动态授权和最小授权的云计算IaaS层访问控制策略. 　　1 相关研究 　　访问控制作为一种有效控制系统资源流向的策略手段,能够通过对访问主体身份及其所属的预先定义的策略来限制其使用资源的能力,有效保证资源的保密性、完整性、可用性和合法使用性,是对系统不同角色访问行为进行安全隔离、限制安全风险的关键策略之一.关于传统访问控制在解决动态授权和最小授权问题的国内外研究中,文献[7]提出了一种基于工作流状态的动态访问控制,同时还给出了工作流的PetriX描述,并在此基础上证明了采用这种动态访问控制机制可以降低资源访问越界的危险性;文献[8]提出了一种面向服务的角色访问控制技术,通过引入服务和授权迁移的概念,对实际任务和服务状态进行管理,有效加强对用户角色权限的控制. 　　上述访问控制模型都通过工作流形式化描述,对访问控制中的授权实体作相应的理论分析,为解决访问控制中动态授权问题和最小授权问题提供有效的解决方案.但这些控制策略不是针对云计算IaaS作模型设计,其交互实体的约束规则并不完全适用于云环境.云环境下的访问控制研究方面,文献[9]借鉴了Linux安全控制模块SELinux提出了访问控制即服务(ACaaS)模型,将云计算访问控制外包给ACaaS层,提出一种可热插拔的云计算访问控制中间件模型. 　　文献[10]提出了基于使用控制(usage control,UCON)授权模型的访问控制架构,该架构将信任评估的方法引入UCON的授权机制中,提高了使用访问控制模型的灵活性和安全性;文献[11]提出面向组件交互实体的服务可信协商及访问控制策略,通过信任规则表达访问实体的可信程度,构建服务级别协议.文献[12]提出了基于任务和角色的云计算访问控制模型,通过整合RBAC模型和TBAC模型的优点,将任务和角色作为访问控制的基本要素,采用了以任务为中心的用户-角色-任务-权限的四级访问控制结构.上述文献中,文献[9]和[10]通过构造独立的访问控制模块,有效加强了资源访问控制的灵活性和动态性.文献[11]和[12]通过明确组件交互约束规则,细化授权对象范围,有效保证了访问控制最小授权原则. 　　以上研究虽然针对