虛擬化IaaS環(huán)境安全域與訪問控制模型研究

尹學(xué)淵， 陳興蜀， 陳 林

1(四川大學(xué) 計(jì)算機(jī)學(xué)院， 成都 610065)2(四川大學(xué) 網(wǎng)絡(luò)空間安全研究院， 成都 610065)

1 引 言

基于虛擬化計(jì)算、存儲、網(wǎng)絡(luò)技術(shù)構(gòu)建的云計(jì)算IaaS多租戶環(huán)境下，傳統(tǒng)數(shù)據(jù)中心單純以物理機(jī)為粒度、物理防火墻等安全設(shè)備建立的網(wǎng)絡(luò)隔離機(jī)制不再適用于云計(jì)算的虛擬資源環(huán)境；同時，資源共享、多租戶、動態(tài)性等特性模糊了傳統(tǒng)安全邊界，傳統(tǒng)安全域的構(gòu)建和劃分方式在此類環(huán)境下已經(jīng)失效，需要采用新的方式構(gòu)建安全域、租戶域[1-4].有別于傳統(tǒng)數(shù)據(jù)中心，在為云計(jì)算虛擬化環(huán)境構(gòu)建安全域和訪問控制機(jī)制時需要考慮物理環(huán)境、虛擬環(huán)境、動態(tài)性、時間等因素[5-7].其中，在物理環(huán)境方面，在當(dāng)前商業(yè)公司與開源機(jī)構(gòu)推出的云解決方案中，通常將不同業(yè)務(wù)功能網(wǎng)絡(luò)如管理網(wǎng)絡(luò)、存儲網(wǎng)絡(luò)、外部網(wǎng)絡(luò)等基于不同的物理或邏輯隔離的網(wǎng)絡(luò)與安全設(shè)備進(jìn)行構(gòu)建，從而形成相互隔離的業(yè)務(wù)功能域[6-8].虛擬環(huán)境方面，業(yè)界在網(wǎng)絡(luò)方面的隔離研究和實(shí)現(xiàn)工作較多，如為實(shí)現(xiàn)不同租戶的業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)通信隔離，常采用VLAN、OverLay技術(shù)進(jìn)行實(shí)現(xiàn)[9]；進(jìn)一步地，部分云計(jì)算解決方案通過利用虛擬防火墻等安全設(shè)備，實(shí)現(xiàn)租戶域邊界的訪問控制與安全防護(hù)，如OpenStack Neutron[10]中實(shí)現(xiàn)的FireWall as a Service.通過構(gòu)建租戶域的方式進(jìn)行資源隔離、資源封裝與交付，部分商業(yè)公司如Amazon等推出了虛擬私有云Amazon VPC(Amazon Virtual Private Cloud)服務(wù).當(dāng)前，與云環(huán)境下安全域、租戶域等相關(guān)的研究多聚焦于某一局部點(diǎn)[11-14],較缺少結(jié)合云計(jì)算動態(tài)性、虛擬化等特點(diǎn)，展開的針對整個云計(jì)算環(huán)境網(wǎng)絡(luò)結(jié)構(gòu)、安全域、邊界防護(hù)以及訪問控制問題[15]開展的系統(tǒng)性分析與研究工作，更缺少可用于指導(dǎo)具體實(shí)踐的相關(guān)參考指標(biāo).

針對虛擬化IaaS環(huán)境下的網(wǎng)絡(luò)隔離與資源訪問控制問題，本文在系統(tǒng)分析IaaS環(huán)境隔離需求的基礎(chǔ)上，以安全域劃分原則為指導(dǎo)和依據(jù)，從隔離業(yè)務(wù)區(qū)域構(gòu)建、區(qū)域邊界管控與防護(hù)、安全支撐、資源訪問控制方面系統(tǒng)地構(gòu)建了虛擬化IaaS環(huán)境下的安全域模型及資源訪問控制模型，并分別進(jìn)行了形式化描述、安全性分析及應(yīng)用實(shí)踐.

2 IaaS環(huán)境隔離與訪問控制需求

云計(jì)算IaaS虛擬化環(huán)境下，由于二層網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大、流量帶寬需求增加、轉(zhuǎn)發(fā)性能要求提高，同時虛擬機(jī)需要具有動態(tài)可遷移能力等因素[16,17]，使得現(xiàn)有中小規(guī)模的云數(shù)據(jù)中心較多地采用大二層(接入層、核心層)結(jié)構(gòu)設(shè)計(jì)，即去掉了傳統(tǒng)模式下導(dǎo)致轉(zhuǎn)發(fā)性能瓶頸的匯聚層.上述環(huán)境需要考慮兩方面的隔離與訪問控制需求，包括：

1)南北向流量：對IaaS環(huán)境內(nèi)部和外部實(shí)體間交互的流量進(jìn)行隔離與訪問控制；

2)東西向流量：對IaaS環(huán)境內(nèi)部服務(wù)器之間的流量進(jìn)行隔離與訪問控制.包括：

a) 物理基礎(chǔ)網(wǎng)絡(luò)層：基于物理設(shè)施構(gòu)建，其上直接承載管理網(wǎng)絡(luò)通信、存儲網(wǎng)絡(luò)通信、遷移網(wǎng)絡(luò)通信、支撐服務(wù)通信等需要相互隔離和管控.

b) 虛擬網(wǎng)絡(luò)層面：基于共享基礎(chǔ)設(shè)施構(gòu)建，主要承載租戶業(yè)務(wù)數(shù)據(jù).不同租戶之間的業(yè)務(wù)通信需要相互隔離，且租戶能夠靈活管控自身的業(yè)務(wù)通信.

3 虛擬化IaaS環(huán)境安全域模型

3.1 術(shù)語定義

定義1.網(wǎng)絡(luò)安全域(安全域)：同一系統(tǒng)內(nèi)具有相同安全保護(hù)需求、相互信任，具有相同安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò).

定義2.邊界：一個網(wǎng)絡(luò)安全域與其他網(wǎng)絡(luò)的分界線.

定義3.域接口：用于訪問和管理安全域內(nèi)IT資源的業(yè)務(wù)邏輯接口.

定義4.租戶：使用云服務(wù)提供商提供的虛擬資源的用戶.

定義5.租戶網(wǎng)絡(luò)(TNet)：租戶擁有的虛擬網(wǎng)絡(luò)環(huán)境.

定義6.租戶子網(wǎng)(TSNet)：租戶網(wǎng)絡(luò)中的一個獨(dú)立二層廣播域.

定義7.虛擬機(jī)(VM)：使用虛擬化技術(shù)實(shí)現(xiàn)的具有完整硬件功能的邏輯計(jì)算機(jī)系統(tǒng).

定義8.訪問控制規(guī)則(ACR).訪問控制規(guī)則集表示為ACRs.

3.2 安全域模型

3.2.1 安全域模型

如圖1所示，將虛擬化IaaS環(huán)境安全域建模為兩個層面.其中，

圖1 IaaS環(huán)境安全域模型Fig.1 Model of IaaS security domain

1)物理網(wǎng)絡(luò)片層

a) DMZ：在外部網(wǎng)絡(luò)域與IaaS環(huán)境內(nèi)部之間構(gòu)造的安全通信地帶；

b) 管理域：管理、調(diào)度、監(jiān)控虛擬化數(shù)據(jù)中心內(nèi)的物理、虛擬資源；

c) 業(yè)務(wù)資源域：為租戶業(yè)務(wù)提供實(shí)際所需的物理計(jì)算、存儲、網(wǎng)絡(luò)資源，由計(jì)算域、存儲域、遷移域資源共同構(gòu)成.其中，遷移域負(fù)責(zé)承載虛擬機(jī)遷移數(shù)據(jù)；

d) 支撐域-物理環(huán)境支撐子域：為IaaS云數(shù)據(jù)中心物理環(huán)境提供安全支撐.

2)虛擬網(wǎng)絡(luò)片層

a) 租戶業(yè)務(wù)域：構(gòu)建于業(yè)務(wù)資源域基礎(chǔ)上，不同租戶域間相互邏輯隔離；租戶域可以進(jìn)一步劃分為租戶子域；

b) 支撐域-虛擬環(huán)境支撐子域：構(gòu)建于物理網(wǎng)絡(luò)片層支撐域及虛擬化器件的基礎(chǔ)上，為租戶提供安全支撐服務(wù).

3.2.2 安全域描述

1)安全域邊界

1. DMZ與其他域之間的邊界.

2. 管理域與內(nèi)部其他域之間的邊界.

3. 計(jì)算域與管理域、存儲域之間的邊界.

4. 存儲域與內(nèi)部其他域的邊界.

5. 遷移域與內(nèi)部其他域的邊界.

6. 支撐域與內(nèi)部其他域的邊界.

7. 各租戶域之間的邊界.

2)接口

從虛擬化IaaS環(huán)境下用戶業(yè)務(wù)通信訪問控制及資源交付的角度出發(fā)，在DMZ、管理域、租戶業(yè)務(wù)域中定義了必要的邏輯通信接口，用于實(shí)現(xiàn)物理與虛擬資源的管理、調(diào)度和交付，同時并作為邊界防護(hù)策略的實(shí)施點(diǎn).包括：

a)DMZ：包含兩個接口，其一用于與外部網(wǎng)絡(luò)互聯(lián)，以接收云資源訪問和管理請求；其二用于與內(nèi)部網(wǎng)絡(luò)的互聯(lián)接口，用于安全轉(zhuǎn)發(fā)上述請求至內(nèi)部；

b)管理域管理接口:用于管理/訪問物理/虛擬資源；依據(jù)用戶角色授予對應(yīng)權(quán)限.其中，IaaS管理員擁有IaaS環(huán)境下所有資源管控權(quán)限；租戶擁有對已訂購資源的管理和使用權(quán)限；

c)租戶域/子域接口：租戶域/子域通信接口.

3.3 租戶域模型

3.3.1 租戶域模型

定義9.租戶域TD，一個五元組：TD=(TID,TNet,VMSs,ACRs,Constraint)，表示IaaS虛擬網(wǎng)絡(luò)環(huán)境下的二層邏輯網(wǎng)絡(luò)標(biāo)識為TID的租戶域TD.其中，

1)TID：全局二層邏輯網(wǎng)絡(luò)標(biāo)記，滿足

約束a：當(dāng)i≠j時，TIDi≠TIDj;

2)TNet：定義5，TNet={TSNet1,…,TSNetm}，TSNet定義6；

3)VMSs：VMSs={VMs1,…,VMsm}，VMs={vm1,…,vmv}，指租戶所有子網(wǎng)TNet內(nèi)虛擬機(jī)集合.在此，將二層網(wǎng)絡(luò)標(biāo)記為TID、TSNeti內(nèi)的VMsi中的任一虛擬機(jī)vmk記為vmk∈(TID∧TSNeti∧VMsi)；其他不屬于租戶域內(nèi)的對象oB(VM或物理服務(wù)器)記為oB?VMSs；

5)Constraint：VMSs遵從的通信約束.vmp與oB的通信行為，滿足

3.3.2 安全屬性

1) 通信信道：基于約束a，可保障租戶二層邏輯網(wǎng)絡(luò)的獨(dú)立性與隔離性；

2) 通信訪問控制：基于約束b，保障租戶域內(nèi)同一個子網(wǎng)內(nèi)以及不同子網(wǎng)內(nèi)虛擬機(jī)通信的合法性；基于約束c，保障租戶域內(nèi)虛擬機(jī)與外部其他實(shí)體通信的合法性；基于約束d，阻止了租戶域內(nèi)虛擬機(jī)與其他外部實(shí)體的非法通信.

4 訪問控制模型CloudAC

基于前述安全域模型及相關(guān)接口描述，結(jié)合云計(jì)算環(huán)境下資源動態(tài)性、云資源具有時效性等因素，從用戶業(yè)務(wù)會話訪問控制的角度出發(fā)，本文基于RBAC及UCON模型[15]構(gòu)建了云資源訪問控制模型CloudAC，從而保障虛擬化IaaS環(huán)境下資源訪問的安全性.

4.1 模型元素

定義10.用戶(User)：訪問的發(fā)起者，可以獨(dú)立訪問云環(huán)境中某個目標(biāo)資源，如人、程序等.用戶集表示為U.

定義11.角色(Role)：具有執(zhí)行特定任務(wù)或訪問特定資源的能力.角色集表示為R.

定義12.用戶屬性(ATT(U))：標(biāo)識用戶能力和特征，如用戶身份標(biāo)識、角色等.

定義13.操作(Operation)：實(shí)施于云中目標(biāo)資源的具體訪問行為.操作集表示為O.

定義14.資源(Object)：云環(huán)境中可以被訪問和使用的目標(biāo)對象.資源集表示為B.

定義15.資源屬性(ATT(B))：標(biāo)識資源的重要信息，包括資源標(biāo)簽、安全等級等.

定義16.權(quán)限(Permission)：對云中資源進(jìn)行訪問的許可.權(quán)限集合表示為P.

定義17.會話(Session)：用戶的一個活躍進(jìn)程，表征用戶激活角色的過程.會話集表示為S.

定義18.授權(quán)規(guī)則(Authorization)：允許用戶使用資源特定權(quán)利的必須滿足的規(guī)則集.

定義19.義務(wù)(Obligations)：用戶行使對資源的訪問權(quán)利前必須完成的操作.

定義20.條件(Conditions)：用戶獲得對資源的訪問權(quán)限前必須滿足的執(zhí)行環(huán)境約束.

4.2 CloudAC模型

CloudAC訪問控制模型如圖2所示.其中，

圖2 CloudAC訪問控制模型Fig.2 CloudAC access control model

1)U，定義10，U={User1,…,Usern}；

2)R，定義11，R={{Admin},Tenant,Other},Admin={AdminSys,AdminSec,AdminAudit};其中，AdminSys為系統(tǒng)管理員角色、AdminSec為系統(tǒng)安全員角色、AdminAudit為系統(tǒng)審計(jì)員角色，Tenant為普通租戶角色，Other為其他用戶角色；

3)ATT(U)，定義12，在此僅定義為ATT(U)={UID,Role}，即用戶屬性包括用戶身份UID及角色.其中，UID滿足

約束e：當(dāng)i≠j時，UIDi≠UIDj；

4)O：定義13；

5)B：定義14；

6)ATT(B)，定義15，在此僅定義為ATT(B)={BID,{UID}}；即資源屬性包括資源標(biāo)識BID及擁有者標(biāo)識{UID}.其中，BID滿足

約束f：當(dāng)i≠j時，BIDi≠BIDj；

7)P：定義16，P?O×B，二元組(Operation,Object)集合，表示對某一資源的可操作權(quán)利；

8)S：定義17，S={S1,S2,…,Sn}；

9)UA：角色指派，UA?U×R，用戶角色分配的二元關(guān)系；

10)PA：權(quán)限指派，PA?P×R角色權(quán)限分配的二元關(guān)系；

11)user：會話映射到用戶的函數(shù)，user:S→U；則user(si)表示創(chuàng)建會話si的用戶；

12)Cons：約束條件，規(guī)定權(quán)限被賦予角色時、角色被賦予用戶時遵循的強(qiáng)制性約束.滿足約束g：PARolei∩PARolej=?,UARolei∩UARolej=?,Rolei,Rolej∈{Admin},i≠j;

13)roles：每個會話si到角色子集的映射函數(shù)：roles:S→2R；roles(si)?{r|(user(si),r)∈UA},表示會話si對應(yīng)的角色集合；

14)Authorization：定義18，基于ATT(U)與ATT(B)進(jìn)行判定的規(guī)則的集合；

15)Obligations：定義19；基于用戶會話判定用戶是否已具有對目標(biāo)資源的管理權(quán)限Managed或租賃權(quán)限Leased；否則引導(dǎo)至資源管理與租賃接口；

16)Conditions：定義20；以用戶會話對資源的管理或租賃期限(TimeLease)為依據(jù)判定；

17)Rights：用戶會話能夠?qū)Y源進(jìn)行控制和執(zhí)行的最終有效特權(quán)集.

基于CloudAC訪問控制模型元素，利用用戶初始授權(quán)函數(shù)UA、PA，以及權(quán)限撤銷函數(shù)Authorization、Obligations、Conditions有：云環(huán)境下用戶會話si訪問資源B時的有效權(quán)利集為：

即發(fā)起會話si的用戶user(si)若可以訪問B，則必定滿足：

a)user(si)已具有對B的管理或租賃權(quán)限；

b)user(si)合法擁有B；

c)user(si)對B的管理或租賃權(quán)限未過期.

此外，模型中相關(guān)屬性與約束元素可結(jié)合業(yè)務(wù)需求按需擴(kuò)充.

4.3 安全屬性

基于CloudAC訪問控制模型及相關(guān)描述，其具有下述安全屬性：

1) 基于約束e，確保云環(huán)境下用戶身份標(biāo)識的唯一性，為角色關(guān)聯(lián)、構(gòu)建不同租戶隔離網(wǎng)絡(luò)及關(guān)聯(lián)安全策略提供基礎(chǔ)；

2) 基于約束f，確保云環(huán)境下資源標(biāo)識的唯一性，為用戶資源訪問的合法性驗(yàn)證、租戶間資源隔離提供基礎(chǔ)；

3) 基于約束g，管理系統(tǒng)支持權(quán)限分離.

5 實(shí)現(xiàn)、測試與分析

5.1 IaaS平臺部署結(jié)構(gòu)

依據(jù)本文提出的IaaS環(huán)境下網(wǎng)絡(luò)安全域模型，結(jié)合前期工作[18-20]，在普通PC服務(wù)器及千兆交換機(jī)等設(shè)備組成的環(huán)境下，利用KVM、OpenvSwitch、OpenStack Kilo、Ceph以及基于SDN(Software Defined Networking)與NFV(Network Function Virtualization)技術(shù)實(shí)現(xiàn)的安全服務(wù)組件等共同構(gòu)建了如圖3所示的虛擬化IaaS平臺.其中，

圖3 IaaS平臺系統(tǒng)部署結(jié)構(gòu)
Fig.3 Deployment architecture of IaaS platform

1) 組件部分

a) 云管理中心：管理、控制IaaS平臺資源，包括系統(tǒng)管理、安全管理、審計(jì)管理模塊；其中，系統(tǒng)管理模塊主要負(fù)責(zé)管理和調(diào)度云環(huán)境內(nèi)的物理/虛擬資源，安全管理主要負(fù)責(zé)用戶賬號管理、角色權(quán)限分配，審計(jì)管理則主要基于系統(tǒng)日志和監(jiān)控信息對系統(tǒng)內(nèi)用戶的行為進(jìn)行跟蹤分析和監(jiān)督檢查.本次部署中暫將遷移網(wǎng)絡(luò)合并至管理網(wǎng).

b) 存儲服務(wù)資源池：提供存儲資源；

c) 計(jì)算服務(wù)資源池：提供CPU、內(nèi)存等計(jì)算資源；以及包括IP地址資源池、虛擬路由器、DHCP服務(wù)的網(wǎng)絡(luò)資源；

d) 安全服務(wù)資源池：為IaaS平臺中物理機(jī)、虛擬機(jī)提供安全服務(wù)資源，包括漏洞掃描、通信訪問控制、軟件更新等.

2) 網(wǎng)絡(luò)部分

a) 管理網(wǎng)絡(luò)：承載IaaS平臺對物理/虛擬資源管理通信、虛擬機(jī)遷移通信、為物理機(jī)服務(wù)的安全服務(wù)通信；

b) 計(jì)算網(wǎng)絡(luò)&安全服務(wù)網(wǎng)絡(luò)：承載租戶虛擬機(jī)數(shù)據(jù)通信及租戶虛擬機(jī)安全服務(wù)通信；

c) 存儲網(wǎng)絡(luò)：用于實(shí)現(xiàn)存儲服務(wù)資源交付，承載Ceph存儲資源通信；

d) 公網(wǎng)：為IaaS環(huán)境提供外部網(wǎng)絡(luò)連接.

5.2 網(wǎng)絡(luò)隔離與安全域

通過利用獨(dú)立的網(wǎng)絡(luò)設(shè)備構(gòu)建不同業(yè)務(wù)功能網(wǎng)絡(luò)，實(shí)現(xiàn)管理網(wǎng)絡(luò)、存儲網(wǎng)絡(luò)、業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)之間相互隔離；對于安全服務(wù)網(wǎng)絡(luò)部分，通過與業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)共享交換機(jī)等設(shè)備實(shí)現(xiàn)安全服務(wù)供應(yīng).DMZ中主機(jī)用于為外部用戶提供IaaS平臺基本信息展示頁面以及租戶虛擬資源管理服務(wù)代理，利用前端防火墻使上述通信流至DMZ可達(dá)，利用后端防火墻僅接受、傳遞來自DMZ主機(jī)中代理的租戶資源管理接口訪問請求，從而避免將資源管理接口直接暴露給外部網(wǎng)絡(luò)，同時限制DMZ主機(jī)的訪問權(quán)限.

5.3 租戶域

基于租戶域定義9，以下述方式構(gòu)建租戶域：

1)虛擬信道：利用VxLAN技術(shù)為租戶構(gòu)建全局獨(dú)立隔離的二層邏輯通道；

2)子網(wǎng)配置：將虛擬化的DHCP服務(wù)器、路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備接入租戶所在虛擬網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)租戶子網(wǎng)配置；

3)租戶域邊界：在邏輯通道上部署虛擬路由器作出口；

4)訪問控制：在出口處實(shí)施訪問控制規(guī)則實(shí)現(xiàn)通信管控.如圖4所示.

圖4 租戶域模式Fig.4 Tenant model

基于此，租戶可以根據(jù)不同的業(yè)務(wù)劃分不同的隔離網(wǎng)絡(luò)空間，增強(qiáng)業(yè)務(wù)東西向流量的安全保護(hù)，形成縱深防御機(jī)制；并且消除了傳統(tǒng)方式下進(jìn)行網(wǎng)絡(luò)分段時，對物理網(wǎng)絡(luò)或物理防火墻的配置需求.如圖5所示.

圖5 基于租戶域構(gòu)建的縱深防御環(huán)境Fig.5 Defense-in-depth environment based on tenant domain

進(jìn)一步地，在租戶域環(huán)境的基礎(chǔ)上，利用SDN與NFV技術(shù)實(shí)現(xiàn)具有L2～L4的通信訪問控制能力的輕量級通信訪問控制模塊SDNFW[19]，以"距通信源最近進(jìn)行通信訪問控制"為原則將其部署于虛擬機(jī)的網(wǎng)絡(luò)接口處，通過基于OpenFlow的SDN控制器(如RYU)下發(fā)基于MAC、IP、端口的訪問控制策略，即可實(shí)現(xiàn)租戶域同一子網(wǎng)環(huán)境下虛擬機(jī)集合的進(jìn)一

圖6 基于SDN構(gòu)建的租戶子域模型Fig.6 Tenant sub-model based on SDN

步劃分，從而形成不同的業(yè)務(wù)子域環(huán)境，如圖6所示.具體地，如圖7所示，采用上述方式在同一子網(wǎng)環(huán)境下構(gòu)建相互隔離的Web、App子域后，通過進(jìn)一步設(shè)置不同子域間的限制性訪問策略，包括用戶只能經(jīng)80端口訪問Web子域、App子域只向Web子域開放特定訪問端口的策略，即可構(gòu)建具有縱深防御能力的業(yè)務(wù)環(huán)境.

圖7 基于SDN的縱深防御能力的業(yè)務(wù)環(huán)境Fig.7 Defense-in-depth environment based on SDN

其中，針對SDNFW給計(jì)算節(jié)點(diǎn)引入的資源開銷說明如下：在所構(gòu)建的云計(jì)算平臺的一個計(jì)算節(jié)點(diǎn)上虛擬30臺虛擬機(jī)，選擇虛擬機(jī)VM1與VM2進(jìn)行如表1所示的測試.其中，計(jì)算節(jié)點(diǎn)的主要參數(shù)CPU為Intel(R)Xeon(R)CPU E5-2609 0 @ 2.40GHz、內(nèi)存為DDR III 32G、網(wǎng)卡為普通千兆以太網(wǎng)卡；交換機(jī)為普通千兆以太網(wǎng)交換機(jī)；VM1、VM2位于同一子網(wǎng)，P1為外網(wǎng)中物理機(jī).

表1 基于SDN的訪問控制機(jī)制性能測試用例Table 1 Performance test case of access control mechanism based on SDN

各測試?yán)掠?jì)算節(jié)點(diǎn)上虛擬交換機(jī)的CPU、內(nèi)存資源負(fù)載均值及標(biāo)準(zhǔn)差如表2所示.依據(jù)表2所示，在現(xiàn)有普通服務(wù)器常用配置下，本文采用的SDNFW機(jī)制在計(jì)算節(jié)點(diǎn)上引入較小資源開銷的情況下，即可為租戶提供靈活的子域劃分能力，從而可以按需構(gòu)建具有縱深防護(hù)能力的業(yè)務(wù)隔離環(huán)境.

表2 4種不同測試用例下的負(fù)載均值及標(biāo)準(zhǔn)差Table 2 Load mean and standard deviation under four different test cases

5.4 基于CloudAC的訪問控制系統(tǒng)

基于CloudAC模型的訪問控制系統(tǒng)工作過程如下：

1) 用戶發(fā)起對云資源訪問請求，會話管理模塊從角色管理數(shù)據(jù)庫檢索該用戶的授權(quán)角色并送回用戶，用戶獲得初始授權(quán).在此過程中會話管理模塊持續(xù)維持角色互斥；

2) 在用戶獲取初始會話授權(quán)的基礎(chǔ)上，訪問控制授權(quán)組件將進(jìn)一步地結(jié)合授權(quán)規(guī)則(基于用戶與待訪問目標(biāo)資源的屬性判定用戶是否為資源合法擁有者)、義務(wù)(判定用戶是否具有對目標(biāo)資源的管理或租賃權(quán)限，若無則將被引導(dǎo)至云資源管理與租賃接口)和條件(用戶資源管理或租賃期限是否有效)因素，決策出最終有效權(quán)利；

3) 會話創(chuàng)建成功后，用戶的本次會話授權(quán)許可體現(xiàn)在對應(yīng)的資源管理頁面上.

6 結(jié)束語

本文重點(diǎn)針對因資源共享帶來的IaaS平臺網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)安全域構(gòu)建、資源訪問控制問題進(jìn)行了系統(tǒng)研究.在分析IaaS平臺網(wǎng)絡(luò)層次及網(wǎng)絡(luò)隔離需求的基礎(chǔ)上，系統(tǒng)地構(gòu)建了IaaS平臺網(wǎng)絡(luò)安全域模型并抽象了租戶域模型；之后以RBAC及UCON模型為指導(dǎo)和依據(jù)，構(gòu)建了適用于云資源的訪問控制模型CloudAC.

實(shí)踐測試表明，依據(jù)提出的IaaS平臺網(wǎng)絡(luò)安全域模型構(gòu)建的IaaS平臺網(wǎng)絡(luò)環(huán)境，可以有效保障不同業(yè)務(wù)功能網(wǎng)絡(luò)之間的安全性；同時，利用租戶域或租戶子域的構(gòu)建方式，可以在引入較小管理開銷與資源開銷的前提下，為租戶提供靈活的域劃分能力，使得租戶可以依據(jù)不同的業(yè)務(wù)需求自主構(gòu)建隔離、邊界可靈活管控的網(wǎng)絡(luò)環(huán)境，為業(yè)務(wù)提供縱深防護(hù)能力.依據(jù)所構(gòu)建的資源訪問控制模型，可以有效地保障云環(huán)境下具有多租戶共享、動態(tài)特性的云資源的正確訪問與交付.