雲計算服務中基於訪問控制時態的安全策略研究與探索

雲環境中用戶需求的多樣化需要相關服務的組合來實現，其訪問策略具有明顯的時態性。由於策略異構性以及服務流程的時態性，目前關於訪問控制模型安全性評價的研究多局限於單個安全策略的風險及安全性分析，缺乏對整體任務流程安全性驗證與評估的全局考慮。鑒此，本項研究擬針對雲計算等典型的分散式多域環境，基於雲環境中訪問控制的時態特徵，針對不同自治域中訪問控制策略的時序組合，分析組合策略風險與單策略風險的關係，給出多策略組合的安全性評估的形式化方法，提出多自治域互操作環境中的訪問策略時序組合的安全性評估模型以及驗證模型，有效地評估和驗證這種異構策略組合對服務流程安全性及效用的影響程度，為分散式系統尤其是雲計算環境中的訪問控制模型提供安全性比較和驗證的理論依據。本項研究試圖為雲計算環境中時序訪問控制模型的策略組合及安全性評估和驗證提供一種新的思路和方法，具有相當的理論意義和套用價值。

本項目針對雲計算環境中資源分配及數據存取過程，完成了面向雲平台的虛擬機部署、任務調度及訪問控制模型的建立等基礎性研究工作，並在此基礎上實現了安全策略組合、形式化驗證、安全性評估和效用最佳化等研究目標。 首先建立了基於虛擬化的雲計算資源分配與並行處理支撐環境方面的理論模型，並完成了原型系統研發。主要工作是通過對雲環境下虛擬機部署進行研究，針對當前雲環境中伺服器記憶體資源平均使用率過低問題，提出一種了基於伺服器記憶體過量預分配機制下的虛擬機動態預測部署模型和基於動態預測的虛擬機遷移模型，提高了物理資源的利用率。 其次針對雲計算環境中的資源分配進行了研究，提出了面向數據存取與處理過程的任務時間和空間調度模型，解決了傳統雲計算環境中由於數據和資源偏斜帶來的任務調度延遲以及系統資源利用率低等問題。該模型能根據作業的上下文環境來動態決定任務的啟動時間，並通過數據抽樣、極大子團發現以及線性規劃等最佳化算法來實現reduce任務放置，以減少網路流量來提高雲平台數據處理的吞吐量。 針對雲計算環境中資源分配、數據存取與處理過程中的訪問控制模型及其安全性分析進行了系列研究，提出了一種雲計算環境中基於證書的動態訪問控制模型CARBAC。該模型實現了訪問策略的時序組合，能滿足大規模分散式系統中安全策略的可用性、可擴展性、可維護性以及高安全性等方面的要求。在此基礎上針對該模型的授權過程給出了基於信任管理語言的安全性分析，回答了項目申請書中所提出的如何評估和驗證模型策略的安全性及有效性的問題。在此基礎上針對大多訪問控制模型缺乏對系統安全狀態和風險的動態感知能力這一問題，通過將基於條件隨機場的機器學習方法引入BLP模型的規則最佳化中，提出一種動態BLP模型，解決現有安全模型在系統安全狀態感知和自最佳化方面的局限性。 最後對雲計算環境中安全和效用的最佳化進行研究，基於隨機規劃理論來給出雲計算環境安全策略最佳化模型，針對雲環境中的安全和效用問題建立旨在保證數據資源安全的基礎上提升用戶效用的數學模型，並對模型進行分析和最佳化，最終得出雲環境中安全策略的最佳化配置方案，用以指導雲計算環境中訪問控制策略的制定和動態調整，滿足用戶對回響時間、資源可用率等效用性要求。 本課題的研究成果能夠很好地滿足雲計算環境對安全策略可用性、可擴展性、可維護性以及高安全性等方面的要求，對解決眾多分散式套用的訪問控制問題起到積極的推進作用。