云計算環境下應用資源訪問控制架構研究

許 靜，苗 炬，許 崢

(1.中國電子科技集團公司第五十四研究所，河北 石家莊 050081；2.中國移動通信集團河北有限公司，河北 石家莊 050035)

云計算環境下應用資源訪問控制架構研究

許 靜1，苗 炬1，許 崢2

(1.中國電子科技集團公司第五十四研究所，河北 石家莊 050081；2.中國移動通信集團河北有限公司，河北 石家莊 050035)

針對私有云環境下應用資源訪問控制問題，分析研究了用戶權限定制、資源有效性管理以及授權動態調整等關鍵技術，提出了以專業服務為中心的訪問控制架構。該架構對身份認證、用戶信息、資源和授權服務的職責進行嚴格劃分，運用面向服務的設計思想構建了專業化服務，統一了基于組織機構的用戶管理和認證機制，通過資源的分層管理模式加深了數據、服務和軟件的控制粒度，使得用戶主體與資源主體分離，避免了授權管理控制的緊耦合問題，從而提高了動態性、靈活性，對云環境下同類項目的研究具有參考價值。

訪問控制；云計算；授權管理；資源管理

0 引言

云計算是繼分布式計算、網格計算、對等計算之后的一種新型計算模式[1]，其核心是通過整合分布式資源，構建能夠應對多種服務要求的計算環境，以滿足用戶定制化需求，由此使得IT領域按需服務的理念得到了真正體現[2]。由此，云環境下用戶所需的應用程序、數據和服務通過計算機網絡為通信手段大規模服務集群來實現，存儲的信息或數據則保存在計算機網絡的服務數據中心。

云計算實現了服務使用的解耦，具有資源共享、高效利用等特點，但同時也具有高度的動態和不確定性。文獻[3-5]論述了云計算的發展正面臨許多關鍵性問題，而安全問題首當其沖。特別是對于私有云的使用者而言，所遇到的最大問題就是數據安全問題[6]。如何在有效的監管下，妥善地解決好非授權用戶不能訪問數據和服務，同時授權的用戶也不能被限制而造成使用困難[7]的問題成為促進云發展的關鍵點之一。

本文旨在研究一種高可用、有效的資源訪問控制體系架構，按照組織結構分職能、分應用階段的細化訪問控制的各類資源，對主體、客體、權限和授權[8]等進行專業分工，建立起了以服務為中心的柔性訪問控制架構，并通過應用實例進行了驗證。

1 問題域分析

私有云通常被一個組織管理[9]，擁有自己的基礎設施和組織機構，對整個云資源使用情況有極高水平的控制能力。管理私有云的組織涉及多個部門或下屬單位，而各個部門及下屬單位之間既有聯系又相互隔離，因此要嚴格區分其使用的數據、應用以及服務的權限，以防止非法訪問的發生[10]。

通過上述分析，在私有云環境下實現資源共享可控，就需要滿足以下幾個條件：

① 具有嚴格的身份認證管理機制，只有通過認證的用戶方能進入云環境使用其資源。身份認證的方式可以采用密碼、密鑰、令牌和生物特征識別等技術手段的一種或多種的聯合[11]；

② 所有數據、服務和應用均依托統一的用戶身份。即在使用數據、服務和應用時，若這些資源與用戶相關，則必需使用經過身份認證的用戶，不允許使用自行建立的用戶信息，這一點對歷史遺留的應用尤為重要；

③ 用戶根據其在該組織中的職務，使用其所必須的數據、服務和應用，不允許在未經許可的情況下跨職能部門非法使用資源；

④ 私有云環境下的各種資源均得到有效管理并可方便地提供使用，即具有高可用性。在該環境下，各類不同用戶可以便捷地獲取其所需的資源，同時控制該用戶無法檢索、下載和使用那些沒有使用權限的資源；

⑤ 為適應云計算環境的分布式、高擴展性等特點，盡量多地采用松耦合設計，減少各種資源和服務的相互影響；若確實不能消除依賴關系，則需考慮在訪問控制過程中妥善處理好其間的依賴。

鑒于云計算環境下各類使用資源具有實時、動態變化的特點，因此無論采用何種訪問控制架構，必須要適應云計算環境的分布式、高擴展性和動態性。此外，在系統安全機制完善的情況下還應盡量提高系統的方便性和可用性。

2 應用資源訪問控制總體架構

云計算環境下采用訪問控制模型，實質上可以認為是控制用戶獲取云服務資源[12]。因此，在私有云環境下，經過分析用戶對應用資源訪問控制的問題后，可以得到如下幾個訪問控制基本元素：

① 身份認證：負責對用戶身份的合法性進行認證；

② 用戶信息：包括私有云內所有用戶、組織關系等信息；

③ 數據資源：可以為不同服務、應用提供數據支撐，且組織內各個部門使用的數據相互隔離；

④ 服務資源：為各類應用提供服務，也可直接為用戶提供服務；

⑤ 應用資源：用戶可直接使用的系統應用；

⑥ 授權管理：負責根據角色對有身份的用戶進行各種資源的授權。

從上述基本元素中還可派生出：組織機構、角色等元素，而這些元素之間并不是相互孤立的。為了使訪問控制架構達到高可變性的目的，這里采用文獻[13-15]所論述的面向服務的架構 (Service Oriented Architecture，SOA)核心思想，利用服務這個最核心的抽象手段，將訪問控制過程劃分為一系列粗粒度的業務服務和業務流程，使得服務之間的交互是動態的，位置是透明的。由此得到兩點好處：① 它適應變化的靈活性；② 當某個服務的內部結構和實現逐漸發生改變時，不影響其他服務。應用資源訪問控制的總體架構如圖1所示。

圖1 應用資源訪問控制總體架構示意

使用者首先在用戶信息的支持下通過身份認證進入系統，在權限管理的控制下從資源集合中搜索其所要的數據、服務和應用資源，并根據所授權限下載、使用。其中用戶信息不僅與其身份有著一一對應的關系，同時還統一了各種應用資源中的用戶信息，特別是對于歷史遺留的應用。由此便劃分出了身份認證、用戶信息管理、資源管理和授權管理4個核心服務，通過這4個服務的相互協作完成了應用資源的訪問控制過程。

3 架構設計

3.1 建立服務

根據總體架構的設想，需建立身份認證、用戶信息管理、資源管理和授權管理4個服務。

3.1.1 身份認證服務

由于私有云中的每個用戶只能通過身份認證才能使用云環境下的資源，因此每個用戶的身份具有唯一性。身份認證除包括終端認證設備外，還有身份認證接入網關和身份認證服務；身份認證服務根據用戶數量可以擴充為多個，并通過其內部的負載平衡機制提高服務水平。本文為說明訪問控制架構，僅涉及與資源訪問控制有關的身份認證服務功能，而忽略了用戶的身份認證過程。

3.1.2 用戶信息管理服務

用戶首先是隸屬于組織中的某個部門或下屬單位，因此該服務不僅要提供所有的用戶的屬性信息，還要提供組織機構層次關系和用戶在組織機構中的隸屬關系。

組織機構描述組織的框架體系[16]，其層次關系通過組織結構樹描述：組織結構樹的每一分支為一個部門，葉子結點均為用戶；每一個用戶至少隸屬于一個部門，一個用戶可以同時隸屬于組織機構中的多個部門；

用戶信息則包括：身份卡號、姓名、在職狀態、性別、職務和隸屬部門編碼；其中，在職狀態包括：在編、離職、借調和休假4種狀態。

3.1.3 資源管理服務

應用資源的類型主要分為3個層次：數據、服務和應用軟件。數據處于底層為服務和應用軟件提供數據支撐，而數據和服務共同為應用軟件提供支持。由此可見，數據、服務和應用軟件三者之間存在依賴關系，這種依賴關系要通過資源描述來體現。

數據資源用以下信息描述：數據編碼、數據名稱、數據存儲類型、使用類型、所屬部門編碼、數據存儲地址、啟用時間和驅動名稱；服務資源用以下信息描述：服務名稱、服務編碼、發布時間、版本號、功能描述、服務地址、依賴的數據和依賴的服務；應用軟件資源用以下信息描述：軟件名稱、軟件編碼、軟件類型、發布時間、版本號、功能描述、所占空間、執行命令、依賴的數據和依賴的服務。

用戶在使用時可按照其權限檢索數據、服務和應用軟件資源的信息，并下載使用。

3.1.4 授權管理服務

由于各部門之間的數據等資源有隔離使用的需求。因此，用戶的應用資源權限首先由其隸屬的部門來確定。

授權管理服務便建立了與組織機構對應的角色，并根據該角色在組織機構中的位置來建立角色授權模板。角色的授權模板包括允許該角色使用的數據、服務和應用軟件3類資源的編碼及授權類型，授權類型包括：使用、可見和可維護。在給用戶授權時，只要選定其所屬的角色，便可將該角色所擁有的權限賦予該用戶。而用戶是可以有多個角色的[17]，其最終獲得的權限是所有角色權限的疊加。

除此之外，授權管理服務還提供了直接為用戶授權的功能，以便實現特殊用戶的使用要求。

3.2 資源授權

身份認證、用戶信息管理、資源管理和授權管理這4個服務并不是相互孤立的，它們通過明確定義的接口(如由WSDL定義的接口)，來進行信息傳遞，以驅動整個訪問控制過程的實現，如圖2所示。

圖2 應用資源訪問控制的各服務交互示意

用戶信息管理首先定義組織機構各部門的編碼，并建立樹狀結構的組織機構。之后，在身份認證服務端獲取所有用戶的唯一身份卡號，并在此基礎上補充姓名、在職狀態、性別、職務以及用戶所隸屬的組織機構代碼等。此時，用戶信息管理服務便可對外提供組織機構信息和組織內各用戶的基本信息，而其主要的服務對象是授權管理服務和各個應用軟件。

資源管理服務在資源庫中分別載入數據、服務和應用軟件資源，并在資源描述信息中記錄其間的依賴關系。資源管理服務除對外提供各種資源外，還提供資源描述信息，以便資源使用者查閱。

授權管理服務在完成應用資源訪問授權時，需首先獲得用戶信息管理服務提供的組織機構，據此建立角色；然后，授權管理服務從資源管理服務獲取的各類資源描述信息，為角色建立授權模板。授權管理服務依據用戶在組織機構中所屬的部門，賦予該用戶所屬部門對應的角色，由此用戶便獲得了資源的使用權。若此時用戶需增加資源使用權限，則只能通過修改用戶的角色或角色的授權模板來實現。

由此可見，身份認證、用戶信息管理、資源管理和授權管理這4個服務避免了服務請求者對于服務提供者狀態的依賴，服務的功能實體是完全獨立自主的，實現了自我管理和控制。

3.3 動態調整

通過上述過程就完成了用戶的應用資源訪問授權，但這一過程并非一成不變，而是隨著用戶、組織結構和資源的變化而及時動態調整，授權管理服務需定時同步用戶信息管理和資源管理服務所提供的信息，并隨之動態調整已授權限。

3.3.1 組織機構調整

首先用戶的隸屬關系將隨組織機構的變化而改變；授權管理服務則修改對應的角色，并根據變更后的角色重新建立授權模板，而用戶對應用資源的訪問權限也根據角色授權模板的改變而發生了變化。

3.3.2 應用資源變更

由于數據、服務和應用軟件資源之間存在依賴關系，因此在資源變化時應根據依賴約束進行變更，特別是在刪除資源時應維護其有依賴關系的資源描述信息，具體方式如下：

① 當數據資源刪除時應首先檢查使用該數據資源的服務資源、應用軟件資源是否能繼續使用；若不能使用，則需同時刪除與之相關的服務資源、應用軟件資源；若能夠使用則需首先去除其間的依賴關系，然后再刪除該數據資源；

② 當服務資源刪除時應首先檢查使用該服務資源的應用軟件資源和其他服務資源是否能繼續使用；若不能使用，則需同時刪除與之相關的服務資源、應用軟件資源；若能夠使用則需首先去除其間的依賴關系，然后再刪除該服務資源。

當應用資源變化時，授權管理服務也應根據資源的變化對角色模板進行調整，使得用戶應用資源的訪問權限也將隨之動態調整。

3.3.3 特殊權限控制

為了適應跨部門調用數據等多樣化使用要求，授權管理服務還提供了與組織機構無關的角色，且定義其狀態為“專用”，以區別于其他角色。此外，授權管理服務還可為每個用戶提供不基于角色的應用資源授權，以提高使用的靈活性。

4 應用實例及效果分析

為驗證上述應用資源的訪問控制架構的有效性，在私有云環境下，實際構建了身份認證、用戶信息管理、資源管理和授權管理服務，并通過真實使用環境進行了驗證。

4.1 應用環境

實際應用中，為提高云環境的性能，這里使用了高性能服務器和磁盤陣列，如圖3所示。虛擬化服務器集群通過雙存儲區域網絡(Storage Area Network，SAN)交換機連接后端的磁盤陣列，實現了應用系統的虛擬化服務；而虛擬化服務器集群與各應用服務器一起通過機房的萬兆交換機對外部的云客戶端提供訪問服務。

圖3 云應用硬件環境示意

其中虛擬化服務器集群采用華為機架服務器RH2288V2，其主要指標為：處理器型號：Intel Xeon E5-2640，主頻2.0 GHz，6核；處理器數量：2個；內存：DDR3 128 GB，最大支持768 GB；板載網絡：4個千兆網口；硬盤：2個15 000轉300 GB SAS；RAID支持：支持RAID0、1、5、6。

華為機架服務器RH2485V2則用于高數據吞吐量或高性能的應用服務，如授權管理服務等。其主要指標為：處理器型號：Intel Xeon E5-4610，主頻2.3 GHz 8核；處理器數量：4個；內存：DDR3 256 GB，最大支持1.5 TB；板載網絡：4個千兆網口；硬盤：8個2.5英寸7 200轉1 TB SATA；RAID支持：支持RAID0、1、5、6。

桌面虛擬化平臺為華為FusionAccess，用以完成數據中心、資源池和虛擬機的管理及維護。

4.2 系統工作過程

應用資源訪問控制的工作過程分為3個階段：安裝部署階段、上線運行階段和授權調整階段。

安裝部署階段首先要在上述環境下建立各服務，之后通過用戶信息管理服務錄入用戶信息并建立與身份認證的對應關系；通過資源管理服務登記各類數據、服務、應用軟件資源；最后應用授權管理服務按照組織架構關系完成不同層級用戶的使用資源授權。

系統部署完成上線運行后，用戶便可根據設置好的資源使用權限使用資源管理服務中的數據、服務和應用軟件資源，其使用資源的流程如圖4所示。

圖4 用戶使用授權資源的流程

用戶的資源權限在使用過程中不僅可以適應3.3節所述的各種變化，還可在用戶在職狀態和資源使用類型的變更而調整授權。

① 用戶的在職狀態發生變化：當在職狀態為“在編”時，可正常對其所需使用的資源進行授權并可以使用已授權的資源；在職狀態為“離職”時，則不能進行授權也不能使用任何資源；在職狀態為“借調”時，可對其所需使用的資源進行授權并可以使用已授權的資源，在職狀態為“休假”時，則撤銷該人員的所有資源使用權限。

② 用戶對資源使用類型發生了變化：數據資源信息中使用類型為“共享”時，則對其他使用者給予該數據資源的“使用”權限，否則僅將“使用”、“可維護”權限授予其隸屬部門所對應的角色。對服務、軟件資源授予使用、可見和可維護權限時，應對其依賴的數據、其他服務和軟件資源賦予使用權限。

4.3 應用效果

該應用資源訪問控制架構，分別建立了身份認證服務、用戶信息管理服務、資源管理服務和授權管理4個專業服務，基于組織結構實現了對不同層級用戶使用資源的自動定制。根據實際運行結果，并與之前的系統對比發現，其具體效果如下：

① 避免了授權管理中用戶、角色、資源和授權之間緊耦合的問題，使得用戶主體與資源主體分離，身份認證過程與授權過程相互獨立，提高了用戶使用的靈活性；

② 通過建立數據、服務和軟件這種層次化的資源管理機制，不僅將數據也作為授權資源的一種，而且還建立了資源之間的依賴關系，從而使得包括數據在內的使用資源得以有效控制。

③ 將整個授權及其使用過程劃分成認證、授權、使用和維護等獨立部分，簡化了授權過程，降低了使用門檻。

5 結束語

隨著云計算的蓬勃發展，如何在復雜用戶關系下對資源安全、合理、有效地使用始終是云計算發展的重要方向。為了建立具有松耦合、擴展性強、易于使用的訪問控制架構，這里以組織機構為基本框架，運用面向服務的思想建立了職責分明的專業化服務，從數據、服務和應用軟件等層面，為不同層級的用戶提供了使用資源的自動定制，解決了系統在權限控制方面緊耦合的難題，屏蔽了用戶、角色和資源在授權過程中的相互影響。此外，資源層次化管理機制有效的解決了資源間的依賴，簡化了授權過程，不僅易于維護、擴展性強，還明顯提高了使用效率。綜上所述，該應用資源訪問控制架構對云環境下資源的使用控制提供了參考模式，對提升類似系統能力具有借鑒價值。

[1] 陳 全,鄧倩妮.云計算及其關鍵技術[J].計算機應用,2009,29(9):2 562-2 567.

[2] 林 闖,蘇文博,孟 坤,等.云計算安全：架構、機制與模型評價[J].計算機學報,2013,36(9):1 765-1 784.

[3] TAKABI H,JOSHI J B D,AHN G J.Security and Privacy Challenges in Cloud Computing Environments[J].IEEE Computer and Reliability Societies,2010,8(6):24-25.

[4] 馮登國,張 敏,張 妍,等.云計算安全研究[J].軟件學報,2011,22(1):71-83.

[5] 房 晶,吳 昊,白松林.云計算安全研究綜述[J].電信科學,2011(4) :37-42．

[6] 韓燕波,王 磊,王桂玲,等.云計算導論—從應用視角開啟云計算之門[M].北京:電子工業出版社,2015:213-214.

[7] 楊文志.云計算技術指南:應用、平臺與架構[M].北京:化學工業出版社,2010:13-14.

[8] 吳文康.云計算服務中基于角色的訪問控制授權安全性要求[D].長沙:湖南大學,2014(7):9-11.

[9] 李 喬,鄭 嘯.云計算研究現狀綜述[J].計算機科學,2011,38(4):32-37.

[10] 伍宗文,王欲曉,陳雪軍.網絡信息安全體系結構研究[J].無線電工程,2008,38(10):10-13.

[11] 郭亞軍,宋建華,李 莉,等.信息安全原理與技術[M].北京:清華大學出版社,2013:149-152.

[12] 林果園,賀 珊,黃 皓,等.基于行為的云計算訪問控制安全模型[J].通信學報,2012,33(3):59-66.

[13] DAVID S.Service-oriented Architectures[J].Scientific Computing and Instrumentation,2004,21(6):26-28.

[14] 李千日,許滿武,張 宏,等.軟件體系結構設計[M].北京:清華大學出版社,2008:136-142.

[15] 王曉明,牛立棟.基于SOA 的企業應用集成技術分析[J].無線電工程,2012,42(1):54-57.

[16] 徐 震,馮登國.一種使用組織結構的訪問控制方法[J].計算機工程,2006,32(13):20-22.

[17] 張文棟.嵌入式實時數據庫系統基于任務—角色訪問控制[D].武漢:華中科技大學,2010(5):12-24.

許 靜 女，(1972—)，高級工程師。主要研究方向：信息系統、信息處理。

苗 炬 男，(1968—)，高級工程師。主要研究方向：信息系統、信息處理。

Research on the Access Control Architecture of Application Resources in Cloud Computing Environment

XU Jing1,MIAO Ju1,XU Zheng2

(1.The54thResearchInstituteofCETC,ShijiazhuangHebei050081,China； 2.ChinaMobileGroupHebeiCo.,Ltd.,ShijiazhuangHebei050035,China)

The paper,in terms of access control of application resources in the private cloud environment,makes an insightful analysis of such key technologies as customized user authority,effective resource management and dynamic authorization adjustment and proposes the professional service-centered access control architecture.This architecture places a rigid division of the responsibilities of identity authentication,user information,application resource and authorization；constructs,with the service-oriented design idea,professional services；unifies the organization-based user management and authentication mechanisms；tightens the control of data,service and software with the mode of fine-grained resource control.As a result,it realizes the separation between the user subject and resource subject,avoids the tight coupling of authorization management control,and improves the dynamics and flexibility of the system,which is of reference value to the similar researches in the cloud environment.

access control；cloud computing；authorization management；resource management

10.3969/j.issn.1003-3106.2017.04.02

許 靜，苗 炬，許 崢.云計算環境下應用資源訪問控制架構研究[J].無線電工程,2017,47(4):7-11，34.

2017-01-08

海洋公益性科研專項基金資助項目(201505002)。

TP311.5

A

1003-3106(2017)04-0007-05