基于经纪人的多云访问控制模型研究

多云(Multicloud)无需改变提供商的技术方案及运营方式,以独立于提供商的方式自由组合云资源,是一种认可度较高、具有重要推广价值的互联云模型.云经纪人支持向云提供商和云用户提供透明服务,按需组合多个云提供商的资源,降低了跨云协作难度、提供商锁定风险和用户成本开销.然而,云提供商间的访问控制策略的异构性和信任机制的缺乏,极易造成隐私泄露和数据丢失等安全隐患,严重影响了多云的推广应用.文中综合考虑信任、上下文和服务等级协议(SLA)等因素,提出了基于经纪人的多云访问控制模型(MC-ABAC).首先,构建了多云访问控制模型结构,该结构由虚拟资源管理器(VRM)、访问控制管理器(ACM)和云访问控制经纪人(CACB)等模块组成;其次,设计了多云访问控制模型,该模型定义了主体、资源、环境和操作等,形式化描述了信任、上下文、SLA和授权策略等,实现了云提供商信任度量和跨云的授权;再次,设计了多云访问控制的工作流程,包括从本地提供商访问多云的工作流程和从CACB访问多云的工作流程;最后,利用CloudSim 4.0和OpenAZ搭建多云访问控制环境,验证该模型的请求成功率和响应时间等可用性指标.实验结果表明,当正常使用且请求数量较大时,该模型的请求成功率比ABAC模型提升了18％左右,且响应时间性能优于ABAC模型.