訪問(wèn)控制是幾乎所有系統(tǒng)(包括計(jì)算機(jī)系統(tǒng)和非計(jì)算機(jī)系統(tǒng))都需要用到的一種技術(shù)。它是按用戶身份及其所歸屬的某項(xiàng)定義組來(lái)限制用戶對(duì)某些信息項(xiàng)的訪問(wèn)，或限制對(duì)某些控制功能的使用的一種技術(shù)，如UniNAC網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的原理就是基于此技術(shù)之上。訪問(wèn)控制通常用于系統(tǒng)管理員控制用戶對(duì)服務(wù)器、目錄、文件等網(wǎng)絡(luò)資源的訪問(wèn)。以下是學(xué)習(xí)啦小編今天為大家精心準(zhǔn)備的：淺談基于的Windows Azure平臺(tái)下的訪問(wèn)控制模型的設(shè)計(jì)相關(guān)論文。內(nèi)容僅供參考，歡迎閱讀!

　　淺談基于的Windows Azure平臺(tái)下的訪問(wèn)控制模型的設(shè)計(jì)全文如下：

　　隨著互聯(lián)網(wǎng)中的云計(jì)算應(yīng)用越來(lái)越廣泛，微軟，谷歌等IT業(yè)巨頭都在不斷的擴(kuò)建自己的云計(jì)算平臺(tái)，但是伴隨著云計(jì)算應(yīng)用范圍的不斷增大，信息安全已經(jīng)成為了制約與計(jì)算平臺(tái)發(fā)展的重要原因之一，一些涉及到網(wǎng)絡(luò)安全的技術(shù)逐步被人重視，Window Azure平臺(tái)是微軟2008年開(kāi)發(fā)的一款云計(jì)算平臺(tái)，其主要作用是通過(guò)Internet平臺(tái)為其他運(yùn)行的應(yīng)用程序服務(wù)，最大可能的保證性能不降低。如何能夠最大限度的利用Win⁃dows Azure平臺(tái)的數(shù)據(jù)存儲(chǔ)安全技術(shù)，從而能夠保證云計(jì)算平臺(tái)具有開(kāi)發(fā)的安全性和靈活性是目前研究的重點(diǎn)。目前訪問(wèn)控制技術(shù)是元計(jì)算平臺(tái)領(lǐng)域中一種非常重要的技術(shù)，它的思想是采用一定的策略,首先對(duì)主體進(jìn)行驗(yàn)證，然后對(duì)客體的訪問(wèn)權(quán)限進(jìn)行設(shè)置，可以很好地保證云計(jì)算環(huán)境中的訪問(wèn)權(quán)限的的安全性，從而保證云計(jì)算機(jī)節(jié)點(diǎn)的資源能夠合理的被使用，從而避免來(lái)自系統(tǒng)內(nèi)部的破壞。

　　訪問(wèn)控制是一種重要的技術(shù)，是保證云計(jì)算平臺(tái)的信息機(jī)密性和完整性的重要組成部分。本文針對(duì)在Windows Azure 云計(jì)算模型的基礎(chǔ)上，針對(duì)現(xiàn)有的任務(wù)-角色訪問(wèn)控制模型，提出一種新的訪問(wèn)控制模型。該模型可以在一定程度上有效地減少資源調(diào)度的耗時(shí)以及數(shù)據(jù)訪問(wèn)控制的安全性。

　　1 Windows Azure平臺(tái)下的訪問(wèn)控制

　　在云計(jì)算平臺(tái)的環(huán)境中，由于云端客戶的數(shù)量逐漸增多，這就要求Windows Azure云計(jì)算服務(wù)商提供的安全性的資源也在逐漸提高。由于云計(jì)算環(huán)境中對(duì)資源的保護(hù)和限制訪問(wèn)的要求比較高，云計(jì)算資源的云端用戶的種類層次不一，自身的安全性等級(jí)不一，自身存在一定的風(fēng)險(xiǎn)。因此在這樣的背景下，需要制定更加詳細(xì)的策略來(lái)進(jìn)行控制，從而來(lái)保證系統(tǒng)安全的正常運(yùn)轉(zhuǎn)。

　　在Windows Azure 模型中，訪問(wèn)控制最關(guān)鍵的就是如何進(jìn)行授權(quán)即授權(quán)策略的制度，在進(jìn)行授權(quán)策略下，能夠得到授權(quán)的用戶就是合法用戶，無(wú)法得到授權(quán)的就是非法客戶。在WindowsAzure中，需要了解訪問(wèn)主體能夠?qū)δ男┛腕w在什么樣的條件下進(jìn)行授權(quán)訪問(wèn)，通常訪問(wèn)控制模型由主體、訪問(wèn)、客體三個(gè)主要部分組成。

　　2 傳統(tǒng)訪問(wèn)控制模型介紹

　　2.1 基于角色的訪問(wèn)控制

　　基于角色的訪問(wèn)控制(RBAC)的研究是上個(gè)世紀(jì)提出的一種訪問(wèn)控制技術(shù)，它通過(guò)在用戶和訪問(wèn)權(quán)限中加入了角色這個(gè)概念，從而將用戶與訪問(wèn)權(quán)限進(jìn)行了有效的分離，同時(shí)最大限度的保證了用戶和權(quán)限之間的分離，這種分離的優(yōu)點(diǎn)就是可以讓用戶與角色之間達(dá)成1∶N的角色分配,同時(shí)保證角色與訪問(wèn)權(quán)限之間也是1∶N的聯(lián)系方式。RBAC模型的優(yōu)點(diǎn)是在一定程度上實(shí)現(xiàn)了用戶與訪問(wèn)權(quán)限的分離,在一定程度上保證了動(dòng)態(tài)的訪問(wèn)約束，系統(tǒng)實(shí)用性比較強(qiáng)，缺點(diǎn)如下：(1)權(quán)限粒度約束不夠細(xì)化，導(dǎo)致用戶權(quán)限過(guò)寬;(2)權(quán)限授予過(guò)程復(fù)雜;(3)功能和數(shù)據(jù)權(quán)限始終都在一起,無(wú)法分離;(4)缺少對(duì)客體特征的描述，特別是在云計(jì)算環(huán)境中的分布式的應(yīng)用非常頻繁，但是每一次過(guò)程都需要通過(guò)角色來(lái)轉(zhuǎn)變，無(wú)法面對(duì)Windows Azure云計(jì)算下的任務(wù)流的控制執(zhí)行。

　　2.2 基于任務(wù)的訪問(wèn)控制

　　基于任務(wù)的訪問(wèn)控制模型(TBAC)是一種新的安全模型，主要是采用了任務(wù)工作流的特性，將任務(wù)概念引入到訪問(wèn)控制模型中，從而將訪問(wèn)控制中的任務(wù)進(jìn)行動(dòng)態(tài)的管理。通過(guò)平臺(tái)中的任務(wù)來(lái)對(duì)權(quán)限進(jìn)行劃分，在TBAC中，主要能對(duì)不同的工作流中的不同任務(wù)進(jìn)行訪問(wèn)控制，優(yōu)點(diǎn)是適合云計(jì)算環(huán)境下的分布式計(jì)算。缺點(diǎn)是沒(méi)有對(duì)客體進(jìn)行管理，不支持被動(dòng)訪問(wèn)控制，存在任務(wù)分配復(fù)雜等問(wèn)題，從而降低了效率。

　　3 基于多用戶的Windows Azaue 訪問(wèn)控制模型

　　3.1 云計(jì)算現(xiàn)狀

　　云計(jì)算技術(shù)的快速發(fā)展已經(jīng)涉及到計(jì)算機(jī)的眾多領(lǐng)域，傳統(tǒng)的安全保護(hù)手段已經(jīng)無(wú)法適應(yīng)這些變化。在Windows Azaue云計(jì)算模型中，服務(wù)商提供數(shù)據(jù)的計(jì)算和存儲(chǔ)，面對(duì)云端的眾多用戶，這些多用戶通過(guò)Windows Azaue平臺(tái)可以將自身的相關(guān)私有數(shù)據(jù)放置到服務(wù)器上進(jìn)行存儲(chǔ)和管理，在一定程度上降低了用戶的成本，但同時(shí)對(duì)Windows Azaue服務(wù)商提出了一定的要求。如何保障多用戶下的數(shù)據(jù)進(jìn)行管理，防止涉及安全問(wèn)題的發(fā)生，這是目前Windows Azaue云計(jì)算服務(wù)商面臨的主要的問(wèn)題。

　　3.2 多用戶訪問(wèn)控制模型

　　本文在的基礎(chǔ)上，將面向多用戶的訪問(wèn)控制模型分為用戶層和平臺(tái)層,用戶層主要是用來(lái)管理用戶-角色-任務(wù)-權(quán)限之間的使用關(guān)系，平臺(tái)層主要是分配權(quán)限,角色和任務(wù)之間的關(guān)系。為了更好地描述多用戶的訪問(wèn)控制模型，本文在任務(wù)-角色模型的基礎(chǔ)上，對(duì)模型中涉及到的一些概念進(jìn)行描述：

　　(1)角色：云計(jì)算中擔(dān)任訪問(wèn)能力的主體。

　　(2)任務(wù)：云計(jì)算中用來(lái)完成用戶提出的具有一定功能的最小單位內(nèi)容。

　　(3)權(quán)限：云計(jì)算中具有訪問(wèn)資格的描述

　　(4)權(quán)限分類：云計(jì)算中用戶訪問(wèn)要求不同，導(dǎo)致受到訪問(wèn)的資格不同

　　(5)會(huì)話：云計(jì)算中的用戶與角色之間建立映射的過(guò)程，實(shí)際上過(guò)程是用戶與系統(tǒng)之間交互的過(guò)程。

　　(6)會(huì)話交互：云計(jì)算中用戶訪問(wèn)云計(jì)算服務(wù)商提供服務(wù)的過(guò)程。

　　(7)會(huì)話的角色集合：云計(jì)算中參與會(huì)話過(guò)程中的角色映射。

　　(8)角色繼承：云計(jì)算中為了滿足不同的角色需要訪問(wèn)多種不同的資源的要求,在角色的屬性和方法的設(shè)置中，通過(guò)角色繼承來(lái)進(jìn)行完成，從而可以避免重復(fù)設(shè)置。

　　(9)任務(wù)關(guān)系：云計(jì)算中根據(jù)任務(wù)之間的分配關(guān)系可以分為一對(duì)一，一對(duì)多，多對(duì)多的分配關(guān)系。

　　3.2.1用戶層模型

　　在Windows Azaue 多用戶的用戶層中，為了能夠更好地方便用戶-角色-任務(wù)和權(quán)限之間的關(guān)系，本文采用層次化的結(jié)構(gòu)模型，通過(guò)按照角色和權(quán)限從高到低來(lái)進(jìn)行設(shè)置用戶的級(jí)別，在設(shè)置過(guò)程中，根據(jù)Windows Azaue云計(jì)算資源平臺(tái)中對(duì)于多用戶分配的資源要求，在層次化結(jié)構(gòu)模型中，通過(guò)對(duì)用戶分配權(quán)限，粒度從小到大。

　　定義1：用戶定義User: =( User_ID∈U_ID, User_name∈U_name, User_Role∈U_Roleset,User_Task∈U_Task)。

　　定義2：角色定義Role: =( role_ID∈Role_id,Role_name∈Role_N,role_roleList∈Role_L)

　　定義3：權(quán)限定義:Premission:=( Premission_ID∈Premission_ID, Premission_name∈Premission_n, Premission_role∈Premission_R)

　　定義4：任務(wù)定義Task:=< Task_ID∈User_ID∩role_ID∩Permis⁃sion_ID,Task_name∈Task_N,Task_role∈Task_R >

　　3.3.2平臺(tái)層模型

　　在Windows Azaue多用戶平臺(tái)中,將權(quán)限和角色的進(jìn)行合理的映射，在每一個(gè)角色節(jié)點(diǎn)中，需要進(jìn)行管理和控制角色與權(quán)限的創(chuàng)建與分配，其中，每一個(gè)管理節(jié)點(diǎn)需要?jiǎng)?chuàng)建或者修改操作權(quán)限，在該平臺(tái)模型中對(duì)于角色和權(quán)限的管理進(jìn)行合理的配置。

　　定義5：管理角色定義Administrator_Role ex⁃tends 角色定義Role: =( Administrator_IDAdministrator_id,Administrator_Rolename∈Admin ⁃istrator_Role_N, Administrator _roleList∈Role_L)

　　定義6：管理用戶權(quán)限定義Administrator_Per⁃mission extends Permission: =(Administrator_Permis ⁃sion_ID∈Permission_ID, Administrator_name∈Per⁃mission_N, permission_role∈Permission_R).

　　為了更好地體現(xiàn)出平臺(tái)層模型的優(yōu)點(diǎn)，本文在平臺(tái)層設(shè)計(jì)上通過(guò)組織模型角色的構(gòu)建方法，將管理角色結(jié)構(gòu)分為了底層平臺(tái)管理角色權(quán)限，中間層平臺(tái)管理角色權(quán)限和用戶層平臺(tái)管理角色權(quán)限管理三個(gè)部分。底層平臺(tái)管理角色權(quán)限主要是針對(duì)平臺(tái)中所有的基礎(chǔ)權(quán)限管理，中間層平臺(tái)管理角色權(quán)限主要是針對(duì)平臺(tái)中專有資源權(quán)限管理，用戶層平臺(tái)管理角色權(quán)限管理主要是針對(duì)所有用戶的角色管理。

　　3.3 訪問(wèn)控制模型的實(shí)現(xiàn)

　　為了進(jìn)一步描述有關(guān)訪問(wèn)控制模型的實(shí)現(xiàn)，本文以本地學(xué)校圖書(shū)館服務(wù)器作為云計(jì)算資源服務(wù)器，將處于同一個(gè)城市的其他幾所學(xué)校的客戶器作為云端客戶，建立樹(shù)型的組織模型，從而將這種組織模型想訪問(wèn)控制模型轉(zhuǎn)換，在訪問(wèn)控制模型中，主要針對(duì)用戶登錄，權(quán)限訪問(wèn)控制以及權(quán)限管理三個(gè)部分進(jìn)行描述，用戶首先進(jìn)行身份驗(yàn)證，然后系統(tǒng)為用戶加載權(quán)限，用戶根據(jù)權(quán)限來(lái)獲得對(duì)應(yīng)的功能，最后獲得相應(yīng)的功能權(quán)限對(duì)應(yīng)的數(shù)據(jù)對(duì)象。

　　(1)登錄驗(yàn)證

　　登錄驗(yàn)證是為了更好的保護(hù)用戶的合法信息，采用控件chenkUserForm 進(jìn)行iaoshu，能確保用戶輸入驗(yàn)證的合法性。

　　(2)權(quán)限訪問(wèn)控制

　　Windows Azaue模型中的權(quán)限訪問(wèn)控制能夠在一定程度上保證用戶訪問(wèn)權(quán)限資源，本文在樹(shù)型模型的基礎(chǔ)上，設(shè)計(jì)首先向用戶加載包含一級(jí)節(jié)點(diǎn)的初始華，然后通過(guò)層層級(jí)聯(lián)加載訪問(wèn)葉子節(jié)點(diǎn)，提高了用戶訪問(wèn)效率，用戶在之前的訪問(wèn)登錄獲得了用戶Userid作為參數(shù)，從而獲得用戶對(duì)應(yīng)的角色所需要的權(quán)限。用戶通過(guò)樹(shù)型組織結(jié)構(gòu)，點(diǎn)擊初始權(quán)限樹(shù)中葉子節(jié)點(diǎn)對(duì)應(yīng)的功能權(quán)限。在層次加載中,判斷用戶點(diǎn)擊所獲得節(jié)點(diǎn)加載路徑來(lái)確定是否能夠訪問(wèn)到該節(jié)點(diǎn)。

　　采用了這種加載方式之后,用戶可以根據(jù)自己的需要來(lái)顯示相應(yīng)的功能權(quán)限,不需要每次都登錄展示整個(gè)權(quán)限,提高了高效訪問(wèn)控制。

　　(3)權(quán)限管理控制

　　在用戶權(quán)限樹(shù)中設(shè)定的Checkbox構(gòu)造出用戶權(quán)限管理樹(shù),通過(guò)點(diǎn)擊選中活取消用戶權(quán)限管理樹(shù)中的節(jié)點(diǎn),能夠非常方便的實(shí)現(xiàn)角色權(quán)限的授予。

　　(4)系統(tǒng)驗(yàn)證和分析

　　為了更好的驗(yàn)證本文模型的具有的時(shí)效性，本文采用在酷睿i3，內(nèi)存為4G的系統(tǒng)中運(yùn)行，將本人所在學(xué)校的圖書(shū)館作為云服務(wù)端,其他同一個(gè)地區(qū)的學(xué)校的圖書(shū)館作為云端訪問(wèn)點(diǎn)，通過(guò)CloudSim進(jìn)行仿真實(shí)驗(yàn)，本文假設(shè)在云端客戶模擬500個(gè)訪問(wèn)圖書(shū)查詢要求向云服務(wù)端發(fā)送查詢請(qǐng)求，在云服務(wù)端中采用Windows Azaue模型進(jìn)行服務(wù)器的設(shè)置，將本文的模型與其他幾種模型在訪問(wèn)數(shù)量，任務(wù)平均完成時(shí)間，網(wǎng)絡(luò)消耗時(shí)間上進(jìn)行了對(duì)比。

　　本文的訪問(wèn)控制模型在一定程度上有效的縮短了訪問(wèn)時(shí)間，雖然相差不大，但是由于其他三種算法沒(méi)有將控制模型安全因素考慮進(jìn)去，所以，本文的模型具有一定的實(shí)際意義。從圖2中可以發(fā)現(xiàn)伴隨著云端客戶的訪問(wèn)量增多，本文的模型有效的降低任務(wù)完成時(shí)間，相比于角色-任務(wù)模型已經(jīng)有了很大的改變。伴隨著訪問(wèn)數(shù)量的不斷增大，網(wǎng)絡(luò)訪問(wèn)失敗率已經(jīng)有了明顯的降低，這在一定程度上說(shuō)明了本文的算法在云平臺(tái)模型下的控制在優(yōu)于傳統(tǒng)的訪問(wèn)控制模型。

　　5 結(jié)束語(yǔ)

　　在微軟推出的Windows Azaue 云計(jì)算模型中，訪問(wèn)控制安全已經(jīng)成為了研究的重點(diǎn)，本文在傳統(tǒng)的角色-任務(wù)模型上，提出了面向多用戶的訪問(wèn)控制模型，在模型中采用了用戶層和平臺(tái)層兩種表示，在用戶層中對(duì)角色、任務(wù)、權(quán)限進(jìn)行了定義，在平臺(tái)層中針對(duì)用戶登錄，權(quán)限訪問(wèn)控制以及權(quán)限管理三個(gè)部分進(jìn)行細(xì)分，通過(guò)仿真實(shí)驗(yàn)，本文的模型相比于傳統(tǒng)的角色-任務(wù)模型具有一定優(yōu)越性，但在角色繼承，模型沖突等方面需要進(jìn)一步的研究。

相關(guān)文章：

1.淺談基于STM32的μCOS-Ⅲ系統(tǒng)移植的設(shè)計(jì)論文