云系统中多域安全策略规范与验证方法 .pdfVIP

云系统中多域安全策略规范与验证方法--第1页

云系统中多域安全策略规范与验证方法

蔡婷;蔡宇;欧阳凯

【摘要】为了有效管理云系统间跨域互操作中安全策略的实施,提出一种适用于云

计算环境的多域安全策略验证管理技术.首先,研究了安全互操作环境的访问控制规

则和安全属性,通过角色层次关系区分域内管理和域间管理,形式化定义了基于多域

的角色访问控制(domRBAC)模型和基于计算树逻辑(CTL)的安全属性规范;其次,给

出了基于有向图的角色关联映射算法,以实现domRBAC角色层次推理,进而构造出

了云安全策略验证算法.性能实验表明,多域互操作系统的属性验证时间开销会随着

系统规模的扩大而增加.技术采用多进程并行检测方式可将属性验证时间减少

70.1％～88.5％,其模型优化检测模式相比正常模式的时间折线波动更小,且在大规

模系统中的时间开销要明显低于正常模式.该技术在规模较大的云系统安全互操作

中具有稳定和高效率的属性验证性能.

【期刊名称】《计算机应用》

【年(卷),期】2016(036)007

【总页数】7页(P1834-1840)

【关键词】云系统;多域;访问控制;安全互操作;策略;验证

【作者】蔡婷;蔡宇;欧阳凯

【作者单位】重庆邮电大学移通学院计算机系,重庆401520;重庆邮电大学移通学

院计算机系,重庆401520;华中科技大学计算机学院,武汉430074

【正文语种】中文

云系统中多域安全策略规范与验证方法--第1页

云系统中多域安全策略规范与验证方法--第2页

【中图分类】TP309.2

云计算(CloudComputing)是一种基于因特网的全新商业计算模式，通过广泛的

网络带宽接入技术为各类用户提供多租户、可扩展、弹性、按需支付以及可配置的

资源，因商业经济效益的驱动得到迅速发展[1]。近年来，各种云计算系统层出不

穷：公有云、私有云、混合云、社区云[2]等，然而它们大多是有界的单托管域系

统，随着跨域性、动态性资源访问和数据共享需求的扩大，基于多管理域协作的云

系统安全策略的实施成为目前工业界和学术界的关注热点[3]。在云计算系统的多

域协作研究领域，如何实现访问控制、如何确保跨域互操作的安全性以及如何利用

模型检测技术验证安全策略，是3个基本问题。由这3个基本问题延伸出3个重

要的研究方向，即访问控制、安全互操作和模型检测。

在访问控制方面，目前的主流方案是基于角色的访问控制(Role-BasedAccess

Control,RBAC)模型。文献[4]指出RBAC支持多种访问控制规则，具有很好的模

型抽象和概括能力。文献[5-6]认为RBAC中角色、用户权限的映射关系与实际企

业的组织架构层次相对应，适用实际应用环境且易于系统维护和交互管理。文献[7]

提出并基于实验证明RBAC较好地解决了云计算应用环境下的企业问题。文献[8]

研究了RBAC在云计算系统的现状，认为模型作为云的基础设施关键技术适用于

多域环境，并且已经成功地应用在医疗、股票和社交网络中。同时，RBAC模型被

大多数主流的云平台所采用，如：OpenStack、Xen、WindowsAzure等。文献

[9]提出使用中间件实现多域系统安全策略，并结合医疗案例证实访问控制策略在

多域的云计算系统中具有可行性。

在安全互操作方面，大规模分布式环境促使越来越多单托管域的企业联合起来，形

成多管理域协作环境成为趋势。文献[10]指出多域安全策略异构问题是各类云系统

协作进程中的重要挑战，这个过程要既能有效地支持跨域互操作又能够保证安全。

文献[11]通过研究相关文献，提出角色