CN105049409A - 分布式云环境下的安全访问控制架构及其访问方法 - Google Patents
分布式云环境下的安全访问控制架构及其访问方法 Download PDFInfo
- Publication number
- CN105049409A CN105049409A CN201510283553.7A CN201510283553A CN105049409A CN 105049409 A CN105049409 A CN 105049409A CN 201510283553 A CN201510283553 A CN 201510283553A CN 105049409 A CN105049409 A CN 105049409A
- Authority
- CN
- China
- Prior art keywords
- cloud
- service end
- access control
- distributed
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Abstract
本发明涉及分布式云环境下的安全访问控制架构及其访问方法,与现有技术相比解决了尚无针对分布式多云系访问控制架构的缺陷。本发明包括虚拟资源管理器A和分布式访问控制模块A,虚拟资源管理器A用于提供和配置虚拟资源,维护与其配置关联的虚拟需求资源表,虚拟需求资源表包括整个虚拟全局目录服务库中的本地和远程资源;分布式访问控制模块A用于强化访问控制策略,其包括策略决策点、策略强化点和策略库;所述的云应用服务端A、云平台服务端A和虚拟基础设备服务端A均安装虚拟资源管理器A和分布式访问控制模块A。本发明提出了在多租户及资源虚拟环境中预防通道攻击和无干扰的方法,建立一种安全可信的分布式云计算基础架构。
Description
技术领域
本发明涉及云数据处理技术领域,具体来说是分布式云环境下的安全访问控制架构及其访问方法。
背景技术
云计算的日益普及对其安全性的挑战已引起强烈关注,而由于资源共享,在这方面的问题则尤为突出。由于潜在的不诚信租赁中物理资源的共享,其结果将使信道遭受攻击的风险增加,致使以多租户经营及虚拟为特征的云计算将其独特的安全性及访问控制的挑战摆在面前。另外,多租户计算间的干扰可能导致未授权的信息流。同时,云计算环境中的服务多样性也要求访问控制方面不同粒度等级。不适当或不可靠的授权机制可能显著增加云资源和服务未授权使用的风险。为防止这种攻击,细分的授权机制可以有助于实现标准化的安全措施,因此一些访问控制方面的挑战及与其管理相伴的复杂性需要一种先进有效的安全机制,这种机制不仅仅可适合访问管理需求,而且也能确保云系中安全的互操作。
部分研究人员已提出一些关于云计算的访问控制问题,如DanielNurmi和他的团队曾经提出了一种控制虚拟机执行的授权系统,以确保只有管理人员和拥有者(业主)可以对其访问。StefanBerger和他的团队提出了一种建立在基于角色的访问控制和安全标签基础上的授权模型,以用于控制对共享数据、虚拟机、和网络资源的访问。JoseAlcarazCalero和他的团队提出了一种中央授权系统,该系统提供了一种基于结盟路径的访问控制机制。
现在才需要能够提出一种用于多租户运营的虚拟环境下的分布式多云系访问控制架构,该架构结构的设计建立在安全管理和软件工程原理的基础上。从安全管理的视角,其目标是要满足云用户的访问控制需求。从软件工程的视角,其目标在于形成针对这些需求的具体技术规范。
发明内容
本发明的目的是为了解决现有技术中尚无针对分布式多云系访问控制架构的缺陷,提供一种分布式云环境下的安全访问控制架构及其访问方法来解决上述问题。
为了实现上述目的,本发明的技术方案如下:
分布式云环境下的安全访问控制架构,分布式云环境A包括云应用服务端A、云平台服务端A、虚拟基础设备服务端A和物理层设备A,云应用服务端A与云平台服务端A进行数据通信,云平台服务端A与虚拟基础设备服务端A进行数据通信,虚拟基础设备服务端A基于物理层设备A进行数据处理操作,
还包括虚拟资源管理器A和分布式访问控制模块A,虚拟资源管理器A用于提供和配置虚拟资源,维护与其配置关联的虚拟需求资源表,虚拟需求资源表包括整个虚拟全局目录服务库中的本地和远程资源;分布式访问控制模块A用于强化访问控制策略,其包括策略决策点A、策略强化点A和策略库A;所述的云应用服务端A、云平台服务端A和虚拟基础设备服务端A均安装虚拟资源管理器A和分布式访问控制模块A。
分布式云环境下的安全访问控制架构的访问方法,本地云访问过程包括以下步骤:
用户访问云应用服务端A,根据云应用服务端A的分布式访问控制模块A的验证判断,通过云应用服务端A的虚拟资源管理器A获取云平台服务端A的访问资源;
用户访问云平台服务端A,根据云平台服务端A的分布式访问控制模块A的验证判断,通过云平台服务端A的虚拟资源管理器A获取虚拟基础设备服务端A的访问资源;
用户访问虚拟基础设备服务端A,根据虚拟设备服务端A的分布式访问控制模块A的验证判断,通过虚拟设备服务端A的虚拟资源管理器A调用物理层设备A。
云应用服务端A的访问方法包括以下步骤:
用户启动授权过程,访问本地云的云应用服务端A,请求服务或访问虚拟资源;
云应用服务端A的分布式访问控制模块A判断是否允许请求,若允许则将请求转至云应用服务端A的虚拟资源管理器A;
云应用服务端A的虚拟资源管理器A对虚拟资源和计算的请求、存储进行辨识,对虚拟全局目录服务库进行查阅后,虚拟资源管理器A通过授权请求申请所需资源。
所述的分布式访问控制模块A判断是否允许请求包括以下步骤:
用户提出的授权请求到达策略决策点组件A,策略决策点组件A从授权请求中提取资格验证信息和语义信息,并将提取结果馈送给策略强化点组件A;
策略强化点组件A中的资格评估器A接收资格验证信息,策略强化点组件中A的语义评估器A接收语义信息;
策略强化点组件A判断是否允许用户的授权请求,若授权请求包含资格认证,资格评估器A通过策略定点组件A使用语义信息中的用户-角色分配规则,将存放在策略库A中的本地角色赋予该用户;若语义信息中不包括用户-角色分配规则,则无法赋予用户相应的本地角色;
策略强化点组件A将该用户的本地角色返回给策略决策点组件A,分布式访问控制模块A允许请求。
还包括服务层级协议模块和与分布式云环境A结构相同的分布式云环境B,服务层级协议模块用于进行不同云系之间的角色映射,将本地云角色映射到远程云中的角色,并准许访问所有的经允许的映射任务;分布式云环境A与分布式云环境B通过服务层级协议模块进行云系穿越访问。
基于分布式云环境A与分布式云环境B的云系穿越访问包括以下步骤:
用户访问分布式云环境A中的云应用服务端A,云应用服务端A的分布式访问控制模块A通过用户的授权请求,分布式访问控制模块A发现请求的资源位于分布式云环境B中,在查询虚拟目录全局服务后,云应用服务端A的虚拟资源管理器A将用户的授权请求发至对应的服务层级协议模块;
服务层级协议模块进行角色映射,
服务层级协议模块将进行角色映射后的用户引导至分布式云环境B的云应用服务端B的分布式访问控制模块B,进行云应用服务端B的访问。
所述的服务层级协议模块进行角色映射包括以下步骤:
云应用服务端A的虚拟资源管理器A发出的授权请求到达服务层级协议模块的SLA策略强化点;
SLA策略强化点提取授权请求中的语义信息,并将语义信息发给SLA语义抽取器;
SLA决策点组件使用语义信息中的用户-映射角色分配规则,将存放在SLA策略库中的映射角色赋予该用户;
角色映射组件将完成映射角色后的授权决策发送给SLA策略强化点;
服务层级协议模块完成角色映射过程。
有益效果
本发明的分布式云环境下的安全访问控制架构及其访问方法,与现有技术相比提出了在多租户及资源虚拟环境中预防通道攻击和无干扰的方法,建立一种安全可信的分布式云计算基础架构,其不仅可适合访问管理需求,还能确保云系中安全的互操作,保证了云环境下的访问安全性。
同时,本访问控制架构具有以下度量特征:多云连锁范围中服务与资源共享的高度互操作性;无任何干预下穿越合作云系完成其本地局域操作的自主性;在其内部策略和局部约束条件范围开放信息的高隐秘度;具有在集成复杂的多重策略时,检验全部约束条件正确性的认证能力。
附图说明
图1为现有技术中多云环境中的合作特征解析图;
图2为本发明的架构图;
图3a为本发明中本地云访问过程的方法流程图;
图3b为本发明中云系穿越访问的方法流程图;
图4为本发明中分布式访问控制模块的架构图;
图5为本发明中服务层级协议模块的架构图;
其中,1-云应用服务端A、2-云平台服务端A、3-虚拟基础设备服务端A、4-物理层设备A、5-虚拟资源管理器A、6-分布式访问控制模块A、7-服务层级协议模块、21-云应用服务端B、22-分布式访问控制模块B、51-策略决策点组件A、52-策略强化点组件A、53-资格评估器A、54-语义评估器A、55-策略定点组件A、56-策略库A、71-SLA策略强化点、72-SLA语义抽取器、73-SLA决策点组件、74-SLA策略库、75-角色映射组件。
具体实施方式
为使对本发明的结构特征及所达成的功效有更进一步的了解与认识,用以较佳的实施例及附图配合详细的说明,说明如下:
如图2所示,本发明所述的分布式云环境下的安全访问控制架构,其中分布式云环境A包括云应用服务端A1、云平台服务端A2、虚拟基础设备服务端A3和物理层设备A4。其中,物理层设备A4则为云服务的提供商,其提供具体的物理层设备基础。虚拟基础设备服务端A3为IaaS,即基础设施服务(Infrastructure-as-a-Service),有时候也叫做Hardware-as-a-Service。当试图在办公室或者公司的网站上运行一些企业应用,需要买服务器或其他高昂的硬件来控制实施本地应用。而当有IaaS后,你可以将硬件外包到别的地方去。IaaS公司会提供场外服务器、存储和网络硬件,可以进行租用,节省了维护成本和办公场地,公司可以在任何时候利用这些硬件来运行其应用。云平台服务端A2为PaaS,Platform-as-a-Service(平台服务),亦称中间件,公司所有的开发都可以在这一层进行,节省了时间和资源。PaaS公司在网上提供各种开发和分发应用的解决方案,比如虚拟服务器和操作系统,节省了在硬件上的费用,也让分散的工作室之间的合作变得更加容易,包括网页应用管理、应用设计、应用虚拟主机、存储、安全以及应用开发协作工具等。云应用服务端A1即Software-as-a-Service(软件服务即应用服务),这一层是和生活每天接触的一层,大多是通过网页浏览器来接入。任何一个远程服务器上的应用都可以通过网络来运行,就是SaaS了。消费的服务完全是从网页如Netflix,MOG,GoogleApps,Box.net,Dropbox或者苹果的iCloud那里进入这些分类,尽管这些网页服务是用作商务和娱乐或者两者都有,但这也算是云技术的一部分。
SaaS(通常也称为"随需应变(ondemand)"软件):SaaS是最抽象的层,也是最为成熟、最出名,也是得到最广泛应用的一种云计算模式。在这种模式下,应用软件安装在厂商或者服务供应商那里,用户可以通过某个网络来使用这些软件,通常使用的网络是互联网。提供商将确定服务器、虚拟机和网络设备等一切事情。企业只需通过浏览器访问这些资源。IaaS是在云范围的另一端。IaaS公司提供场外服务器,存储和网络硬件,你可以租用。节省了维护成本和办公场地,公司可以在任何时候利用这些硬件来运行其应用。IaaS公司包括Amazon云平台、WindowsAzure、VMWare、Rackspace和RedHat等。不过这些公司又都有自己的专长,比如Amazon和微软WindowsAzure给你提供的不只是IaaS,他们还会将其计算能力出租给你来host你的网站。PaaS介于IaaS和SaaS之间,是把计算环境、开发环境等平台作为一种服务提供的商业模式。云计算服务提供商可以将操作系统、应用开发环境等平台级产品通过Web以服务的方式提供给用户。例如,微软的WindowsAzure或者Google的AppEngine向你提供一些工具以开发移动应用程序、社交应用程序、网站、游戏等等。云应用服务端A1与云平台服务端A2进行数据通信,云平台服务端A2与虚拟基础设备服务端A3进行数据通信,虚拟基础设备服务端A3基于物理层设备A4进行数据处理操作,通过云平台服务端A2和虚拟基础设备服务端A3,云应用服务端A1实现对物理层设备A4的数据处理操作。
其中,多个分布式云环境下的特征主要包括以下几点:
(1)授权需求,为建立一种安全可信的分布式云计算基础架构,要求多云架构的设计者必须提出授权需求。
(2)多租户和虚拟,不同策略域中侧边信道攻击和干扰构成分布式云中严峻的挑战。侧边信道攻击以从物理实现方面获取信息为主(如时间或带宽监视攻击等),内侧信道攻击的出现是由于对共享的物理资源缺乏授权机制,租户间的干扰存在主要是因为在有缺陷的访问控制策略下,一些隐秘的信道所致,这些有缺陷的访问控制策略允许未授权的信息流。
(3)分散管理,分散管理可由本地自主原理来表示其特征,与集中管理方式相反,其涵义为每一服务模型仅在其自身所拥有的资源范围保留管理控制权。这意味在控制资源方面自主性有所损失,当涉及若干独立的云时,这便不是一种理想的系统特征。此外,精细访问控制的需要可能对设计使用大量授权规则的访问控制策略提出一些基本的需求。这些规则随着分撒性资源增加及用户量和由云所支持的服务的增加而会可能明显地增多。建立在各种规则集成基础上的集中化设计可能会形成一些严峻的挑战。
(4)分布式安全合作,为支持分散化环境,对于服务分发,云基础架构应该允许水平和垂直策略相交叉。由于云的复杂性质,资源和服务策略会使用要求在各种策略间无缝互操作的不同模型。这些策略必须正确地规范化,经过认证,且强制实施。服务级别认定协议可以提供安全合作并确保按照预先建立的规则提供服务。
(5)资格联盟,因为一个用户可能会穿越多个云来唤醒所需的服务,所以访问控制策略必须支持一种控制机制,这种机制可将顾客的资格穿越多个访问层传递给所需的访问服务与资源。这种需求包含了一种措施用于在授权模型内的一种分散性单点登录机制,它可通过客户识别和资格权限穿越各个云系持续激活授权。
(6)约束规范,云计算环境的合作性质需要语义与语境方面的约束规范以确保对服务与资源方面的适当保护,尤其对于各种移动服务。当确定对服务和资源的访问时,必须对语义约束(如,各种职责隔离等)和语境约束(诸如在一个访问请求中所包含的临时或环境约束)进行评估。在访问控制策略中应规定语义与语境约束条件。
基于以上多个分布式云环境下的特征进行安全访问控制架构的设计时考虑,要确保穿越多个分布式云环境的资源共享性质取决于其合作环境。如图1所示,示出了能够满足前述授权需求的三种合作类型,分别为联盟、松散耦合、动态自组。
(1)联盟合作,联盟合作以具有高度的互关性和在相互合作的云间的诚信为特征,并支持长期的互操作。为保安全,这种合作需要一种与相互合作的云的局部策略相一致的全局性的元策略。如果全局的元策略需要通过集成各云的策略产生,则一种组合策略架构(见图1顶部方框)便是必须的。
(2)松散耦合合作,在松散耦合合作环境中,局域策略支配着参与合作的各云间的相互作用。与联盟合作方式对比,这种合作在访问策略和资源管理方面具有更多的灵活性和自主性。两个合作的云可以将其所拥有的资源虚拟化,并允许对资源的自主共享。每个云可共享的虚拟化资源与服务的信息存储在一个虚拟全局目录服务中(简称VGDS,既virtualglobaldirectoryservice),该目录服务在服务级别协议各方可清楚地显现。图1中的中部方框示出了关于松散耦合各合作云的安全与私密策略符合协议规范的认证。
(3)动态自组合作,在动态自组合作方式下,用户仅需了解少量的远程共享服务。由于对于用户或云来说,在一次服务时段的开始,有关全部的应用服务要求可能没有获得,所以一个云可能会拒绝对其资源的访问。为确保在云可以以一种临时自组链接介入或离开的动态互操作环境中,通过所探查到的资源和服务进行安全的互操作,需要开发一些适当的验证和授权机制。
在分布式环境中,我们可以建立一个基于这些合作设计的安全性访问结构。这些合作方式的比较主要基于互操作度、自主性、隐秘度及认证复杂度。基于以上分析,我们提出了基于联盟和松散耦合合作方式结合的资源与服务访问结构(安全访问控制架构)。
还包括虚拟资源管理器A5和分布式访问控制模块A6,虚拟资源管理器A5,即VRM-virtualresourcemanager,用于提供和配置虚拟资源,维护与其配置关联的虚拟需求资源表,虚拟需求资源表包括整个虚拟全局目录服务库中的本地和远程资源。云应用服务端A1、云平台服务端A2和虚拟基础设备服务端A3均安装虚拟资源管理器A5,基于云环境中虚拟资源的复杂多样性和散粒性,要求在云的第一层均驻留一个虚拟资源管理器A5(VRM),每层的VRM负责提供和配置虚拟资源,它保持维护着一张与其配置关联的虚拟需求资源表,包括整个VGDS(虚拟全局目录服务,见图1)中的本地和远程资源。
分布式访问控制模块A6,即分布式访问控制模块ACM-accesscontrolmodule,用于强化访问控制策略,其包括策略决策点、策略强化点和策略库。云应用服务端A1、云平台服务端A2和虚拟基础设备服务端A3均分布式访问控制模块A6,每一层驻留一个ACM,以强化该层的访问控制策略,如图4所示,分布式访问控制模块A6包括策略决策点组件A51、策略强化点组件A52、资格评估器A53、语义评估器A54、策略定点组件A55。
在分布式云环境下,如图3a所示,针对本地云的访问(类型2)可以包括以下步骤:
第一步,用户访问云应用服务端A1。根据云应用服务端A1的分布式访问控制模块A6的验证判断,通过云应用服务端A1的虚拟资源管理器A5获取云平台服务端A2的访问资源。其具体步骤如下:
(1)用户启动授权过程,对此次访问过程提出要求,访问本地云的云应用服务端A1,请求服务或访问虚拟资源。
(2)云应用服务端A1的分布式访问控制模块A6判断是否允许请求,若允许则将请求转至云应用服务端A1的虚拟资源管理器A5。分布式访问控制模块A判断是否允许请求包括以下步骤:
A、用户提出的授权请求到达策略决策点组件A51,授权请求包括请求对象、请求的服务或资源以及为所请求的服务或资源而请求的许可文件类型,(诸如读、写特许权等),请求也可能包括为授权和验证所需的资格。策略决策点组件A51从授权请求中提取资格验证信息和语义信息,并将提取结果馈送给策略强化点组件A52,即馈送至资格评估器A53和语义评估器A54。
B、策略强化点组件A52中的资格评估器A53接收资格验证信息,策略强化点组件中A52的语义评估器A54接收语义信息。
C、策略强化点组件A52判断是否允许用户的授权请求,若授权请求包含资格认证,资格评估器A53通过策略定点组件A55使用语义信息中的用户-角色分配规则,将存放在策略库A56中的本地角色赋予该用户,语义信息则使用语义评估器A54提取出来。若语义信息中不包括用户-角色分配规则,是无法赋予用户相应的本地角色。
D、策略强化点组件A52将该用户的本地角色返回给策略决策点组件A51,分布式访问控制模块A5允许请求。
(3)云应用服务端A1的虚拟资源管理器A5对虚拟资源和计算的请求、存储进行辨识,对虚拟全局目录服务库进行查阅后,虚拟资源管理器A5通过授权请求申请所需资源。即将其访问引导至云平台服务端A2。
为了与云系统和安全协议的新标准兼容,可以采用基于XML的技术规范,基本目标是所设计的结构可与云系统的配套的安全协议互操作。基于XML的分布式访问控制模块ACM的技术规范如下:
ACM的XML用户表表明了验证的资格,而XML角色表表明了授权资格。XML的用户—角色赋值表表明了用户—任务的赋值规则,这些规则可以根据与在XML用户表中确定的用户资格相伴随的属性建立。XML的角色—许可赋值表表明了角色—许可赋值规则,角色—许可约束条件可以根据与角色资格相伴随的属性或如在XML虚拟资源表中所指定的资源类型建立。这些约束条件可以是语义性的(例如,职责分离)或时间性的,将授权需求表示为一个属性集,属性函数定义表表明了属性表达式的形式概念,属性函数定义表可以包括用于内云资源共享的协调规则,属性表达式可以协助处理计算时间性或非时间性的约束条件。
XML虚拟资源表定义如下:
XML许可表中一个确定的许可包含在一给定资源类型上的具体操作。于是,赋予一给定资源类型所确定的许可的角色接受对那类资源所有枚举的访问。XML允许在各个层面访问同一资源类型中的各个零散资源体,以提供对各虚拟资源的支持。例如,如前所述,我们可以以基本约束条件的形式具体确定位于一单独资源层的某个虚拟资源的物理隔离属性,以防止本地云中的侧边信道攻击。
第二步,用户访问云平台服务端A2,根据云平台服务端A2的分布式访问控制模块A6的验证判断,通过云平台服务端A2的虚拟资源管理器A5获取虚拟基础设备服务端A3的访问资源。由于云平台服务端A2也同样驻留了分布式访问控制模块ACM和虚拟资源管理器VRM,因此通过云平台服务端A2访问至虚拟基础设备服务端A3,与上一步中云应用服务端A1访问云平台服务端A2步骤方法相同,同样经过用户启动授权过程、分布式访问控制模块判断是否允许请求、虚拟资源管理器通过授权请求申请所需资源的步骤。
第三步,用户访问虚拟基础设备服务端A3,根据虚拟设备服务端A3的分布式访问控制模块A6的验证判断,通过虚拟设备服务端A3的虚拟资源管理器A5调用物理层设备A4。同理,虚拟基础设备服务端A3也驻留了分布式访问控制模块ACM和虚拟资源管理器VRM,用户调用物理层设备A4的步骤与云应用服务端A1访问云平台服务端A2步骤方法相同。
以上进行的是分布式云环境中本地云内的访问过程和步骤,如图3a,即同一云中各层之间的纵向互操作。而为了实现不同云系之间的操作,两个分布式云环境一的互访操作,即还包括一个与分布式云环境A结构相同的分布式云环境B,分布式云环境B与分布式云环境A同样在每层均驻留虚拟资源管理器和分布式访问控制模块,同理基于相同的原理,还可能有分布式云环境C、分布式云环境D。
如图3b,多个云系之间的互访分为几种类型,如不同的云提供者的同一层面间的一种点对点对等(横向)互操作(类型1);位于不同云中不同层面上的交叉层面的互操作(类型3)。这两种互操作需要参与操作的云所提供的服务层级协议模块SLA,这两种类型的互操作也在分布式访问控制模块ACM中建立分布式授权机制。对于分布式授权,为提供所需的资源,多个虚拟资源管理器VRM在多个虚拟全局目录服务VGDS全范围使用其点对点对等或交叉互操作。虚拟全局目录服务VGDS拥有多个本地虚拟资源ID和它们映射到的物理资源的路径,以及与推出这些资源的服务层级协议模块SLA相一致的远程虚拟资源的多个ID。所以,一个VGDS既可以在横向点对点互操作过程的服务层级协议模块SLA显现,也可以在交叉型的服务层级协议模块SLA出现。
对于ASM间的互操作,我们考虑选择与类型1和类型3相一致的松散耦合协作方式,因为各个云都需要仅限于显露它们规定范围内有限的服务与策略信息。联合式的云协作在生成全局性的中介协调策略前需要进行大量的分析,这可能导致高度的复杂性和规则量的激增。所以,这一方法用于分布型协作难以掌控。同理,生成一个一致性的中介调解策略也会需要大量的调解以解决处理复杂多样策略间的冲突。同样,动态自组协作也不能穿越多个云将资格联合统一处理,因为它缺乏服务层级协议模块SLA的支持。
服务层级协议模块7即SLA,服务层级协议模块7用于进行不同云系之间的角色映射,将本地云角色映射到远程云中的角色,并准许访问所有的经允许的映射任务。分布式云环境A与分布式云环境B通过服务层级协议模块7进行云系穿越访问。为允许在整个ACM内所提供的各自主策略间的互操作,服务层级协议模块SLA将执行一个协调策略。为此目的,服务层级协议模块SLA将完成角色映射,具体地规定关于资源共享的隔离约束条件,以防止侧边信道攻击,并在服务层级协议模块SLA通过的各层提供资源虚拟页面。角色映射的功能是将本地角色映射到远程云中的角色,并准许访问所有的经允许的映射任务。通过这种映射,作为加入分布式访问控制模块ACM中策略的一个子集的协调策略的相互认定,强化了对分布式资源与服务的访问控制。另外,服务层级协议模块SLA在物理上对资源进行了隔离以防止远程云处侧边通道的攻击。
基于XML的服务层级协议模块SLA的技术规范如下:
在多云系访问中,每个服务端的分布式访问控制模块ACM决定是否唤醒服务层级协议模块SLA,取决于所请求的资源是属于本地还是属于远程,在以上给出的服务层级协议模块SLA的XML的要求中明细提供了有限可看见的推荐性虚拟资源、角色映射、及基本约束条件。
如图2和图3b所示,基于分布式云环境A与分布式云环境B的云系穿越访问包括以下步骤:
第一步,用户访问云应用服务端A1。云应用服务端A1的分布式访问控制模块A6通过用户的授权请求,云应用服务端A1的虚拟资源管理器A5将用户的授权请求发至服务层级协议模块7。云应用服务端A1的分布式访问控制模块A6通过用户的授权请求的方法和步骤基于分布式访问控制模块ACM和虚拟资源管理器VRM而进行,与分布式访问控制模块A判断是否允许请求的步骤相同。所不同的是,若在分布式访问控制模块ACM中资格评估器A53判断请求中的授权资格,该资格的角色是否对应于一个本地角色。即,是资格评估器A53判断用户的请求是本地云访问,还是多云互联访问。若其不是本地角色,则为一个云系访问,则需要通过相关的服务层级协议模块7完成映射。云应用服务端A1的分布式访问控制模块A6发现请求的资源位于远程云中,则在查询虚拟目录全局服务VGDS后,云应用服务端A1的虚拟资源管理器A5向一个适当的服务层级协议模块SLA发出一个远程请求。
第二步,服务层级协议模块7进行角色映射。如图5所示,服务层级协议模块进行角色映射包括以下步骤:
(1)云应用服务端A1的虚拟资源管理器A5发出的授权请求到达服务层级协议模块7的SLA策略强化点71。在此步骤展示的是云应用服务端A1与云应用服务端B21的不同云系之间的互访,而针对于分布式云环境A和分布式云环境B,可以还存在云应用服务端A1与云平台服务端B22、云应用服务端A1与虚拟基础设备服务端B23等之间的访问,其均通过服务层级协议模块7进行角色映射,原理相同,具体应用中,针对所访问的具体对象的确定利用现有技术中的方法实现即可。
(2)SLA策略强化点71提取授权请求中的语义信息,并将语义信息发给SLA语义抽取器72。
(3)SLA决策点组件73使用SLA语义抽取器72所提取的语义信息中的用户-映射角色分配规则,将存放在SLA策略库74中的映射角色赋予该用户。
(4)角色映射组件75将完成映射角色后的授权决策发送给SLA策略强化点71。;
(5)服务层级协议模块7完成角色映射过程。
第三步,服务层级协议模块7将进行角色映射后的用户引导至分布式云环境B的云应用服务端B21的分布式访问控制模块B22,进行云应用服务端B21的访问,实现不同云系之间的安全穿越访问。
本发明中所述的步骤和过程可通过一组应用列程的访问属性来表示,如图3a和图3b所示,覆盖了云内和穿越多云时的所有可能的互操作,这些情况包含前面所讨论过的三种类型的互操作。如果采用RBAC模型,则授权请求可以通过使用一个四元组(对象、许可、接口、目标[属性])表示,该四元组可以解释如下:对象(作为一个角色)请求对于目标(虚拟资源或服务)及其属性(如隔离约束条件)的执行许可及目标的接口类型。假设授权请求附有时间标签以适应时间语义约束条件,从RBAC角度,对象作为角色表示。此外,XML语句中给出的XML用户一览表中的用户(该表可辨识用户-角色分派)可以承担它们各自相应的角色。从而,与角色分配一起,所提出的四元组可以完全确定一个授权请求。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是本发明的原理,在不脱离本发明精神和范围的前提下本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明的范围内。本发明要求的保护范围由所附的权利要求书及其等同物界定。
Claims (7)
1.分布式云环境下的安全访问控制架构,分布式云环境A包括云应用服务端A(1)、云平台服务端A(2)、虚拟基础设备服务端A(3)和物理层设备A(4),云应用服务端A(1)与云平台服务端A(2)进行数据通信,云平台服务端A(2)与虚拟基础设备服务端A(3)进行数据通信,虚拟基础设备服务端A(3)基于物理层设备A(4)进行数据处理操作,其特征在于:
还包括虚拟资源管理器A(5)和分布式访问控制模块A(6),虚拟资源管理器A(5)用于提供和配置虚拟资源,维护与其配置关联的虚拟需求资源表,虚拟需求资源表包括整个虚拟全局目录服务库中的本地和远程资源;分布式访问控制模块A(6)用于强化访问控制策略,其包括策略决策点组件A(51)、策略强化点组件A(52)和策略库A(56);所述的云应用服务端A(1)、云平台服务端A(2)和虚拟基础设备服务端A(3)均安装虚拟资源管理器A(5)和分布式访问控制模块A(6)。
2.根据权利要求1所述的分布式云环境下的安全访问控制架构的访问方法,其特征在于,本地云访问过程包括以下步骤:
21)用户访问云应用服务端A(1),根据云应用服务端A(1)的分布式访问控制模块A(6)的验证判断,通过云应用服务端A(1)的虚拟资源管理器A(5)获取云平台服务端A(2)的访问资源;
22)用户访问云平台服务端A(2),根据云平台服务端A(2)的分布式访问控制模块A(6)的验证判断,通过云平台服务端A(2)的虚拟资源管理器A(5)获取虚拟基础设备服务端A(3)的访问资源;
23)用户访问虚拟基础设备服务端A(3),根据虚拟设备服务端A(3)的分布式访问控制模块A(6)的验证判断,通过虚拟设备服务端A(3)的虚拟资源管理器A(5)调用物理层设备A(4)。
3.根据权利要求2所述的分布式云环境下的安全访问控制架构的访问方法,其特征在于,云应用服务端A的访问方法包括以下步骤:
31)用户启动授权过程,访问本地云的云应用服务端A(1),请求服务或访问虚拟资源;
32)云应用服务端A(1)的分布式访问控制模块A(6)判断是否允许请求,若允许则将请求转至云应用服务端A(1)的虚拟资源管理器A(5);
33)云应用服务端A(1)的虚拟资源管理器A(5)对虚拟资源和计算的请求、存储进行辨识,对虚拟全局目录服务库进行查阅后,虚拟资源管理器A(5)通过授权请求申请所需资源。
4.根据权利要求3所述的分布式云环境下的安全访问控制架构的访问方法,其特征在于,所述的分布式访问控制模块A判断是否允许请求包括以下步骤:
41)用户提出的授权请求到达策略决策点组件A(51),策略决策点组件A(51)从授权请求中提取资格验证信息和语义信息,并将提取结果馈送给策略强化点组件A(52);
42)策略强化点组件A(52)中的资格评估器A(53)接收资格验证信息,策略强化点组件中A(52)的语义评估器A(54)接收语义信息;
43)策略强化点组件A(52)判断是否允许用户的授权请求,若授权请求包含资格认证,资格评估器A(53)通过策略定点组件A(55)使用语义信息中的用户-角色分配规则,将存放在策略库A(56)中的本地角色赋予该用户;若语义信息中不包括用户-角色分配规则,则无法赋予用户相应的本地角色;
44)策略强化点组件A(52)将该用户的本地角色返回给策略决策点组件A(51),分布式访问控制模块A(5)允许请求。
5.根据权利要求1所述的分布式云环境下的安全访问控制架构,其特征在于,还包括服务层级协议模块(7)和与分布式云环境A结构相同的分布式云环境B,服务层级协议模块(7)用于进行不同云系之间的角色映射,将本地云角色映射到远程云中的角色,并准许访问所有的经允许的映射任务;分布式云环境A与分布式云环境B通过服务层级协议模块(7)进行云系穿越访问。
6.根据权利要求5所述的分布式云环境下的安全访问控制架构,其特征在于,基于分布式云环境A与分布式云环境B的云系穿越访问包括以下步骤:
61)用户访问分布式云环境A中的云应用服务端A(1),云应用服务端A(1)的分布式访问控制模块A(6)通过用户的授权请求,分布式访问控制模块A(6)发现请求的资源位于分布式云环境B中,在查询虚拟目录全局服务后,云应用服务端A(1)的虚拟资源管理器A(5)将用户的授权请求发至对应的服务层级协议模块(7);
62)服务层级协议模块(7)进行角色映射,
63)服务层级协议模块(7)将进行角色映射后的用户引导至分布式云环境B的云应用服务端B(21)的分布式访问控制模块B(22),进行云应用服务端B(21)的访问。
7.根据权利要求6所述的分布式云环境下的安全访问控制架构,其特征在于,所述的服务层级协议模块进行角色映射包括以下步骤:
71)云应用服务端A(1)的虚拟资源管理器A(5)发出的授权请求到达服务层级协议模块(7)的SLA策略强化点(71);
72)SLA策略强化点(71)提取授权请求中的语义信息,并将语义信息发给SLA语义抽取器(72);
73)SLA决策点组件(73)使用语义信息中的用户-映射角色分配规则,将存放在SLA策略库(74)中的映射角色赋予该用户;
74)角色映射组件(75)将完成映射角色后的授权决策发送给SLA策略强化点(71);
75)服务层级协议模块(7)完成角色映射过程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510283553.7A CN105049409A (zh) | 2015-05-28 | 2015-05-28 | 分布式云环境下的安全访问控制架构及其访问方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510283553.7A CN105049409A (zh) | 2015-05-28 | 2015-05-28 | 分布式云环境下的安全访问控制架构及其访问方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105049409A true CN105049409A (zh) | 2015-11-11 |
Family
ID=54455620
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510283553.7A Pending CN105049409A (zh) | 2015-05-28 | 2015-05-28 | 分布式云环境下的安全访问控制架构及其访问方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105049409A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107911465A (zh) * | 2017-11-28 | 2018-04-13 | 国云科技股份有限公司 | 一种多云平台的资源粒度过滤方法 |
| CN109117650A (zh) * | 2018-07-25 | 2019-01-01 | 华为技术有限公司 | 一种企业云的创建方法和管理平台 |
| CN109194735A (zh) * | 2018-08-30 | 2019-01-11 | 北京工业大学 | 一种基于分布式访问控制模型中访问路径的推荐方法 |
| CN111814171A (zh) * | 2020-07-23 | 2020-10-23 | 莫毓昌 | 一种基于属性和图的云资源访问控制方法 |
| CN114422197A (zh) * | 2021-12-25 | 2022-04-29 | 百安居信息技术(上海)有限公司 | 一种基于策略管理的权限访问控制方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102292698A (zh) * | 2009-02-04 | 2011-12-21 | 思杰系统有限公司 | 用于在云计算环境中自动管理虚拟资源的系统和方法 |
| US8561100B2 (en) * | 2008-07-25 | 2013-10-15 | International Business Machines Corporation | Using xpath and ontology engine in authorization control of assets and resources |
| CN103593422A (zh) * | 2013-11-01 | 2014-02-19 | 国云科技股份有限公司 | 一种异构数据库的虚拟访问管理方法 |
-
2015
- 2015-05-28 CN CN201510283553.7A patent/CN105049409A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8561100B2 (en) * | 2008-07-25 | 2013-10-15 | International Business Machines Corporation | Using xpath and ontology engine in authorization control of assets and resources |
| CN102292698A (zh) * | 2009-02-04 | 2011-12-21 | 思杰系统有限公司 | 用于在云计算环境中自动管理虚拟资源的系统和方法 |
| CN103593422A (zh) * | 2013-11-01 | 2014-02-19 | 国云科技股份有限公司 | 一种异构数据库的虚拟访问管理方法 |
Non-Patent Citations (1)
| Title |
|---|
| ABDULRAHMAN ALMUTAIRI: "A Distributed Access Control Architecture for Cloud Computing", 《IEEE SOFTWARE》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107911465A (zh) * | 2017-11-28 | 2018-04-13 | 国云科技股份有限公司 | 一种多云平台的资源粒度过滤方法 |
| CN109117650A (zh) * | 2018-07-25 | 2019-01-01 | 华为技术有限公司 | 一种企业云的创建方法和管理平台 |
| CN109194735A (zh) * | 2018-08-30 | 2019-01-11 | 北京工业大学 | 一种基于分布式访问控制模型中访问路径的推荐方法 |
| CN109194735B (zh) * | 2018-08-30 | 2020-12-29 | 北京工业大学 | 一种基于分布式访问控制模型中访问路径的推荐方法 |
| CN111814171A (zh) * | 2020-07-23 | 2020-10-23 | 莫毓昌 | 一种基于属性和图的云资源访问控制方法 |
| CN111814171B (zh) * | 2020-07-23 | 2024-01-09 | 华侨大学 | 一种基于属性和图的云资源访问控制方法 |
| CN114422197A (zh) * | 2021-12-25 | 2022-04-29 | 百安居信息技术(上海)有限公司 | 一种基于策略管理的权限访问控制方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10560458B2 (en) | Resource sharing in cloud computing | |
| Chaturvedi et al. | Securing spatial data infrastructures for distributed smart city applications and services | |
| US9922045B2 (en) | Data management in a multi-tenant distributive environment | |
| US20210021609A1 (en) | Calculus for trust in edge computing and named function networks | |
| CN103139159B (zh) | 云计算架构中的虚拟机之间的安全通信 | |
| US8381306B2 (en) | Translating role-based access control policy to resource authorization policy | |
| DE112020000054T5 (de) | Ressourcen-, sicherheits- und dienstmanagement für mehrere entitäten in edge-computing-anwendungen | |
| CN105049409A (zh) | 分布式云环境下的安全访问控制架构及其访问方法 | |
| EP2466510A1 (en) | Collaborative rules based security | |
| CN103119907A (zh) | 提供用于访问控制的智能组的系统和方法 | |
| CN105989275B (zh) | 用于认证的方法和系统 | |
| US11122052B2 (en) | Sensitive information accessibility in blockchain | |
| US20150350194A1 (en) | Systems, methods, and software to provide access control in cloud computing environments | |
| US10432642B2 (en) | Secure data corridors for data feeds | |
| US20150089626A1 (en) | System and method providing marketplace for big data applications | |
| US9087322B1 (en) | Adapting service provider products for multi-tenancy using tenant-specific service composition functions | |
| DE112020000303T5 (de) | Testen von speicherschutz-hardware in einer umgebung einer sicheren virtuellen maschine | |
| DE112020000223T5 (de) | Gemeinsame speichernutzung zwischen einer sicheren domäne und einer nicht sicheren entität | |
| CN104350486A (zh) | 用于虚拟机互操作性的方法和装置 | |
| US11870786B2 (en) | Access control for object instances | |
| US20070198522A1 (en) | Virtual roles | |
| CN105049408A (zh) | 一种用于分布式云环境之间互访的安全访问控制架构及其访问方法 | |
| CN106997440A (zh) | 一种角色访问控制方法 | |
| CN114817901A (zh) | 权限管理方法、相关装置和介质 | |
| DE112020000286T5 (de) | Sicheres ein-/auslagern mit seitenänderungserkennung |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20151111 |