云计算服务中基于访问控制时态的安全策略研究与探索

云环境中用户需求的多样化需要相关服务的组合来实现，其访问策略具有明显的时态性。由于策略异构性以及服务流程的时态性，目前关于访问控制模型安全性评价的研究多局限于单个安全策略的风险及安全性分析，缺乏对整体任务流程安全性验证与评估的全局考虑。鉴此，本项研究拟针对云计算等典型的分布式多域环境，基于云环境中访问控制的时态特征，针对不同自治域中访问控制策略的时序组合，分析组合策略风险与单策略风险的关系，给出多策略组合的安全性评估的形式化方法，提出多自治域互操作环境中的访问策略时序组合的安全性评估模型以及验证模型，有效地评估和验证这种异构策略组合对服务流程安全性及效用的影响程度，为分布式系统尤其是云计算环境中的访问控制模型提供安全性比较和验证的理论依据。本项研究试图为云计算环境中时序访问控制模型的策略组合及安全性评估和验证提供一种新的思路和方法，具有相当的理论意义和应用价值。

本项目针对云计算环境中资源分配及数据存取过程，完成了面向云平台的虚拟机部署、任务调度及访问控制模型的建立等基础性研究工作，并在此基础上实现了安全策略组合、形式化验证、安全性评估和效用优化等研究目标。.首先建立了基于虚拟化的云计算资源分配与并行处理支撑环境方面的理论模型，并完成了原型系统研发。主要工作是通过对云环境下虚拟机部署进行研究，针对当前云环境中服务器内存资源平均使用率过低问题，提出一种了基于服务器内存过量预分配机制下的虚拟机动态预测部署模型和基于动态预测的虚拟机迁移模型，提高了物理资源的利用率。.其次针对云计算环境中的资源分配进行了研究，提出了面向数据存取与处理过程的任务时间和空间调度模型，解决了传统云计算环境中由于数据和资源偏斜带来的任务调度延迟以及系统资源利用率低等问题。该模型能根据作业的上下文环境来动态决定任务的启动时间，并通过数据抽样、极大子团发现以及线性规划等优化算法来实现reduce任务放置，以减少网络流量来提高云平台数据处理的吞吐量。.针对云计算环境中资源分配、数据存取与处理过程中的访问控制模型及其安全性分析进行了系列研究，提出了一种云计算环境中基于证书的动态访问控制模型CARBAC。该模型实现了访问策略的时序组合，能满足大规模分布式系统中安全策略的可用性、可扩展性、可维护性以及高安全性等方面的要求。在此基础上针对该模型的授权过程给出了基于信任管理语言的安全性分析，回答了项目申请书中所提出的如何评估和验证模型策略的安全性及有效性的问题。在此基础上针对大多访问控制模型缺乏对系统安全状态和风险的动态感知能力这一问题，通过将基于条件随机场的机器学习方法引入BLP模型的规则优化中，提出一种动态BLP模型，解决现有安全模型在系统安全状态感知和自优化方面的局限性。.最后对云计算环境中安全和效用的优化进行研究，基于随机规划理论来给出云计算环境安全策略优化模型，针对云环境中的安全和效用问题建立旨在保证数据资源安全的基础上提升用户效用的数学模型，并对模型进行分析和优化，最终得出云环境中安全策略的优化配置方案，用以指导云计算环境中访问控制策略的制定和动态调整，满足用户对响应时间、资源可用率等效用性要求。.本课题的研究成果能够很好地满足云计算环境对安全策略可用性、可扩展性、可维护性以及高安全性等方面的要求，对解决众多分布式应用的访问控制问题起到积极的推进作用。