基于OpenStack的多租户数据安全保护技术研究

摘要

近年来伴随着云计算的快速发展，出现了很多优秀的开源云计算平台，其中以OpenStack为基础搭建的云计算平台越来越被关注。使用OpenStack搭建的IaaS，云服务提供商可以提供计算、存储、网络等基础服务并在此基础上构建并提供工具服务、应用程序等软件服务，为此企业或个人可以租用云服务提供商提供的服务。这样，随着采用云计算技术可高效便捷的为租户提供服务，降低行业的运营和维护成本，多租户成为云计算的发展趋势。
　　在多租户模式下相对于传统模式不同在于软硬件资源的共享，每个租户可定制化资源，对服务进行按需配置，由此会面临着数据隔离、架构扩展、性能定制等问题。由于资源平台的共享和复杂的租户间关系，使得租户的数据安全受到威胁，租户数据的安全亟待保护，以提高其安全性。
　　本文以OpenStack搭建的云环境为基础，重点对租户数据的安全隔离及访问控制技术进行研究，从原理、结构、策略以及技术等方面对访问控制进行分析，尤其在访问控制模型方面，对角色访问控制中角色分配、权限管理、角色分层以及动静态约束进行了深入研究，构建了适用于多租户环境的访问控制模型。
　　本文的主要工作内容包括：（1)在RBAC96和NIST RBAC模型的基础上，为提髙权限分配的灵活度、简化授权过程，提出改进型的角色访问控制模型，基于数据对象的细粒度角色访问控制模型，增加用户组、角色组简化授权的管理，细粒度权限和细粒度角色，分离功能权限和数据对象，使得它们具有相对独立的权限分配方式，实现细粒化权限管理，更好地隔离租户数据；（2)为保证多租户的数据安全，提高租户数据的隔离性，在基于数据对象的细粒度角色访问控制模型的基础上，提出了基于数据对象的细粒度角色多租户模型，模型集成身份认证和角色访问控制实现对用户身份进行安全认证，并引入数据安全网关验证请求的租户数据，防止其他租户的非法和恶意的访问，增加租户数据的安全性；（3)对基于数据对象的细粒度角色多租户模型，设计和实现了原型系统，并通过应用实例对原型系统进行了测试检验。

目录

声明

第一章绪论

1 .1研究工作的背景与意义

1 .2研究现状及未来的发展趋势

1 .3本文的主要内容与创新

1 .4本文的组织结构

第二章相关技术

2 .1访问控制

2 .2多租户数据库架构

2 .3多租户技术

2 .4授权管理技术

2.5 OpenStack的访问控制技术

2 .6本章小结

第三章基于数据对象的细粒度角色多租户模型

3 .1角色访问控制基本概念

3 . 2角色访问控制模型RBAC96

3 . 3角色访问控制模型NIST RBAC

3 . 4改进的角色访问控制模型DF-RBAC

3 .5基于DF-RBAC的多租户模型

3 .6本章小结

第四章基于DF-RBAC多租户模型系统设计与实现

4 .1系统总体架构

4 .2系统主要数据结构

4 .3模块详细设计与实现

4 .4本章小结

第五章系统测试

5 .1测试环境

5 .2系统测试

5 .3本章小结

第六章总结与展望

致谢

参考文献