基于微服务架构的云资源访问控制技术研究与实现.pdfVIP

摘要

摘要

随着云服务规模的快速增长，云资源的安全问题受到广泛关注。访问控制技

术是保护资源不被未授权用户使用和访问的一种手段。本文分析实验室现有云平

台在资源访问控制方面存在以下不足：1)实现架构方面，访问控制仅为单体架构

中的一个功能模块，扩展性差；2)访问控制技术方面，使用的访问控制技术身份

认证方式单一安全性不足且权限控制粒度大不能动态授权。

针对实现架构方面的不足，本文将原有访问控制模块独立为云资源访问控制

平台，并基于微服务架构设计访问控制平台的整体架构。访问控制平台的整体架

构分为流量接入层、微服务治理层和微服务提供层。流量接入层设计实现四层负

载和七层负载结合的高可用负载方案；微服务治理层设计实现基于API网关和

Sentinel的容错方案，设计实现客户端接入Nacos集群；在微服务提供层设计实现

服务间的通信和访问控制功能。

针对访问控制技术方面的不足，微服务提供层实现动态细粒度的权限访问控

制技术，将其分为用户管理，权限控制，资源管理三个模块。1)用户管理改进身份

认证方式单一安全性不足的问题，设计实现多因素认证；2)权限控制改进访问控制

技术中的权限控制粒度大不能动态授权的问题，设计实现了基于角色(Role-Based

AccessControl,RBAC)和基于属性(Attribute-BasedAccessControl,ABAC)的访问

控制模型结合的权限控制方案，实现细粒度动态访问控制。本文实现了ABAC授

权框架中的属性收集点，策略管理点和策略决策点，在策略管理点中设计实现基

于策略冲突概率的冲突检测和冲突消解的方案，在策略决策点中设计冗余前缀编

码和二级索引表提高策略检索速度；3)资源管理实现对云资源的管理和实时监控。

考虑到服务间的通信问题，微服务提供层基于DubboRPC和RocketMQ实现了服

务间高效的同步和异步通信。

针对访问控制平台进行功能和性能测试，功能测试针对微服务提供层的三个

功能模块，性能测试分别对系统中的各个功能层进行可靠性和并发测试并且测试

策略检索算法的效率。测试表明微服务架构实现的云资源访问控制平台能实现动

态细粒度的访问控制，且满足了预期的性能需求。

关键词：云资源，访问控制，微服务架构，ABAC，RBAC

I

ABSTRACT

ABSTRACT

Withtherapiddevelopmentofcloudservices,thesecurityofcloudresourcesisamat-

terofgreatconcerned.Accesscontrolmechanismisamethodwhichprotectresources

nottobeusedunauthorizedusers.Thisthesisaimsataseriesofproblemsexposedby

thelaboratory’sexistingcloudplatforminresourceaccesscontrol:1)implementationar-

chitecture,accesscontrolisonlyafunctionalmoduleinasinglearchitecture,withpoor

scalability;2)accesscontroltechnology,theuseofaccesscontroltechnologyhasasin-

gleidentityauthenticationmode,insufficientsecurityandlargegranularityofauthority

control,whichcannotbedynamicallyauthorized.

Inviewofthedeficiencyofimplementationarchitecture,thisthesisdesignstheover-

allarchitectureofaccessco