發(fā)布時(shí)間：2020-05-16 02:03

【摘要】：隨著云計(jì)算的發(fā)展,多租戶技術(shù)得到了廣泛的應(yīng)用。但是新技術(shù)的使用也帶來了新的安全問題,如何對(duì)多租戶環(huán)境下的數(shù)據(jù)訪問提供高效、細(xì)粒度的防護(hù)是其中十分重要的一個(gè)挑戰(zhàn)。訪問控制通過約束資源訪問過程的方式保護(hù)數(shù)據(jù)不被非法訪問。傳統(tǒng)的訪問控制模型通常是預(yù)授權(quán)的,它們能夠保證靜態(tài)環(huán)境下數(shù)據(jù)訪問的安全性,但是卻無法適應(yīng)動(dòng)態(tài)變化的云環(huán)境。多租戶環(huán)境下存在兩種形式的訪問,一是租戶內(nèi)訪問,二是跨租戶訪問,所以此場(chǎng)景下的訪問控制需要在保證租戶間隔離的基礎(chǔ)上支持跨租戶訪問。本文對(duì)多租戶和訪問控制系統(tǒng)相關(guān)研究進(jìn)行了調(diào)研,提出了多租戶使用控制模型(Multi-tenant Usage Control,MT-UCON)以及其在多租戶環(huán)境下的部署框架,并實(shí)現(xiàn)了一個(gè)原型系統(tǒng)對(duì)理論進(jìn)行驗(yàn)證。論文主要研究成果如下:1)通過對(duì)多租戶環(huán)境下訪問控制需求的分析,在使用控制模型(Usage Control,UCON)的基礎(chǔ)上進(jìn)行了拓展,提出了多租戶環(huán)境下的訪問控制模型MT-UCON。引入租戶的概念保證租戶間隔離,引入租戶間信任關(guān)系來支持跨租戶訪問場(chǎng)景,能夠提供細(xì)粒度,連續(xù)的訪問控制。2)提出了一個(gè)半分布式MT-UCON部署架構(gòu),通過將系統(tǒng)決策點(diǎn)和租戶決策點(diǎn)分離,對(duì)系統(tǒng)和租戶的職責(zé)進(jìn)行了拆分,簡(jiǎn)化了多租戶環(huán)境下復(fù)雜的訪問過程,提升了系統(tǒng)的可拓展性。3)實(shí)現(xiàn)了一個(gè)MT-UCON原型系統(tǒng),并對(duì)系統(tǒng)的功能和性能進(jìn)行了測(cè)試,驗(yàn)證了模型和部署框架的正確性。
【圖文】：

ＵＣＯＮ不是一個(gè)孤立的模型，而是一系列模型族，被稱為ＵＣＯＮａｂｃ模中Ａ，Ｂ，Ｃ分別對(duì)應(yīng)授權(quán)規(guī)則，義務(wù)和條件。通過不同的搭配ＵＣＯＮａｂｃ可以覆統(tǒng)的訪問控制模型。整個(gè)模型族可以按決策因素和決策的連續(xù)性進(jìn)行分類，決授權(quán)規(guī)則，義務(wù)和條件，決策的連續(xù)性包括ｐｒｅ決策和ｏｎｇｏｉｎｇ決策（其中ｐｒｅ預(yù)定義的決策因素，ｏｎｇｏｉｎｇ代表訪問過程中保持訪問決策）。同時(shí)由于ＵＣＯＮ變的特點(diǎn)，可以進(jìn)一步將模型族分為四類：０類，所有屬性不可變；Ｉ類：屬可變；２類：屬性在訪問過程中可變；３類：屬性在訪問完成后可變。通過上面的組合總共可以衍生出多個(gè)基礎(chǔ)模型，模型組合如下表所示，可以看到總共有，但是其中有些模型由于現(xiàn)實(shí)原因不存在，所以一共是１６個(gè)基礎(chǔ)模型。表２－１中有可能的衍生模型，其中Ｙ表示模型存在，Ｎ表示模型不存在。逡逑２－３展示了上面所有模型之間的關(guān)聯(lián)關(guān)系。圖２－３邋（ａ）中根據(jù)決策條件Ａ，邋Ｂ，，邋Ｃ行分類，最下面是最基本的三個(gè)模型，分別具有…個(gè)決策因素；然后是所有可能因素組合，在最上面的就是同時(shí)考慮二個(gè)決策因素的ＵＣＯＮ模型。而對(duì)于每一素Ａ，Ｂ，Ｃ又可以進(jìn)一步拆分，通過下標(biāo)的ｐｒｅ和ｏｎｇｏｉｎｇ區(qū)分更新時(shí)間，０，１

北京郵電大學(xué)工學(xué)碩士學(xué)位論文ＵＣＯＮ模型通過對(duì)ＵＣＯＮ模型的拓展，增加了租戶和租戶間信任的概念，訪問的隔離并支持安全的跨租戶合作，此外通過引入基于信任義務(wù)的動(dòng)態(tài)保證信任關(guān)系的連續(xù)性，吏符合多租戶環(huán)境訪問控制需求。圖３－１展示了型的整體結(jié)構(gòu)。逡逑由七個(gè)元素組成分別是主體，客體，權(quán)限，授權(quán)規(guī)則，義務(wù)，條件，租戶。限和租戶為實(shí)體授權(quán)規(guī)則，義務(wù)和條件為決策因素。其中前六個(gè)元素的型中類似，而租戶為新引入的元素，用來表示多租戶系統(tǒng)中的租戶實(shí)體。由，也帶來丫原有元素間關(guān)系的改變。逡逑本文在租戶的基礎(chǔ)上引入了租戶間信任關(guān)系的概念，保證租戶間隔離的同合作訪問。租戶信任是一種細(xì)粒度一對(duì)一的租戶間關(guān)系，能夠很好的處理外模型中還引入了信任義務(wù)以支持租戶間信任的動(dòng)態(tài)生成與消亡，更適應(yīng)
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2018
【分類號(hào)】：TP393.08

【參考文獻(xiàn)】

相關(guān)期刊論文 前5條

1 王于丁;楊家海;徐聰;凌曉;楊洋;;云計(jì)算訪問控制技術(shù)研究綜述[J];軟件學(xué)報(bào);2015年05期

2 馮朝勝;秦志光;袁丁;卿昱;;云計(jì)算環(huán)境下訪問控制關(guān)鍵技術(shù)[J];電子學(xué)報(bào);2015年02期

3 李鳳華;蘇斢;史國振;馬建峰;;訪問控制模型研究進(jìn)展及發(fā)展趨勢(shì)[J];電子學(xué)報(bào);2012年04期

4 琚潔慧;吳吉義;章劍林;傅建慶;;SaaS應(yīng)用中的多租戶與安全技術(shù)研究[J];電信科學(xué);2010年10期

5 沈海波,洪帆;訪問控制模型研究綜述[J];計(jì)算機(jī)應(yīng)用研究;2005年06期

本文編號(hào)：2665975