基于面向服务的多租户访问控制模型研究

在具体搭建面向多租户的平台过程中,传统访问控制模型在多租户环境下无法满足租户之间的隔离访问以及对各租户的访问请求实行有效的统一管理。为了在多租户环境下实现一套快速的、访问控制可配置的实施方案,提出一个面向服务的多租户访问控制模型。根据对多视图业务模型之间的关联进行分析,识别出组织模型及其相关的资源模型。通过映射和转换将组织模型转换为面向服务的多租户访问控制模型,并构建访问控制模块对系统进行配置,然后运行访问控制模型。最后,以某交通物流信息平台为范例验证了该模型的可行性和有效性。验证结果表明,模型能够在多租户环境下提供兼备快速配置与访问控制的实现支持。     

浅谈微服务架构、Docker和Kubernetes

当今社会,云平台已经成为各系统的主流建设方式,微服务、容器(Docker)、Kubernetes这些新技术已经在云平台建设中大规模应用。本文介绍了微服务技术架构,以及目前比较热门的Docker容器化技术和容器化管理平台Kubernetes,并给出了采用Docker+Kubernetes的微服务架构的典型方案。     

Kubernetes在中台化业务系统中的应用与方案

Kubernetes是一种开源的容器管理平台，用于管理多个主机上的容器化应用程序。随着大型企业中台化进程的不断推进，很多业务系统都进行了中台化重构，因此也带来了容器管理问题。本文从实际生产中中台化业务系统的容器管理问题出发，基于对Kubernetes容器集群管理技术的研究，解决了集群中多租户权限管控、多集群集中管理、Kubernetes服务外部网络访问策略和机制、容器集群扩缩容调优、集群时钟同步等方面的容器应用问题，确保了业务系统的高效运行。本方法也适用于类似架构的业务系统，具有一定的推广价值。     

基于Kubernetes的容器化数据库及其集群方案

随着容器技术逐渐成熟,越来越多的互联网企业和 IT 企业将核心业务平台迁移到容器环境中。Kubernetes经过3年多的快速发展,已成为业界首选的容器集群管理平台。从数据库容器化角度出发,在分析基于 Kubernetes 实现数据库容器化承载的关键技术基础上,给出了 MySQL 数据库及其集群的容器化方案。通过对多种数据库模型进行性能和可靠性等方面的评估比较,给出了数据库容器化技术可能遇到的问题及不同场景下的数据库容器承载方案建议。     

云环境下基于属性加密体制算法加速方案

云计算为租户提供存储、计算和网络服务，数据安全保护和租户间的数据共享与访问控制是其必不可少的能力。基于属性的加密体制是一种一对多的加密体制，可以根据用户属性实现细粒度访问控制，适用于云计算环境多租户数据共享。但现有的基于属性加密体制的算法效率较低，难以在实际环境中应用。分析了基于属性的加密体制的两种类型及其应用场景，提出一个基于属性加密体制算法的加速方案。通过实验表明，提出的方案可提高基于属性加密体制的密钥生成算法、加密算法和解密算法的效率。     

基于Kubernetes的多云网络成本优化模型

以Kubernetes为代表的云原生编排系统在多云环境中被云租户广泛使用,随之而来的网络观测性问题愈发突出,跨云跨地区的网络流量成本尤为突出。在Kubernetes中引入扩展的伯克利数据包过滤器（extended Berkeleypacketfilter,eBPF）技术采集操作系统内核态的网络数据特征解决网络观测问题,随后将网络数据特征建模为二次分配问题（quadratic assignment problem,QAP）,使用启发式搜索与随机搜索组合的方法在实时计算的场景下求得最佳近优解。此模型在网络资源成本优化中优于Kubernetes原生调度器中仅基于计算资源的调度策略,在可控范围内增加了调度链路的复杂度,有效降低了多云多地区部署环境中的网络资源成本。     

云平台安全技术架构研究

从网络虚拟化、主机虚拟化、虚拟化平台、存储虚拟化等方面分析云平台面临的安全风险,从云租户安全、云平台安全、安全管理、安全运营四个维度设计云平台安全总体架构,并对虚拟化平台安全、分布式系统安全、容器安全、应用安全、数据安全的具体要求进行重点阐述。     

面向移动云计算的多要素代理重加密方案

云与移动计算的融合使用户能够更方便快捷地获取数据和服务,但是由于云平台和移动通信网络的开放性,如何在移动云计算环境下实现数据安全的访问和使用成为了亟待解决的问题。设计了一种基于多要素访问控制条件的代理重加密方案,包含系统模型、重加密算法及重加密密钥描述方法。基于该方案,云计算数据中心通过移动用户的访问请求,获取用户的客观访问控制条件,为用户生成相应的重加密密文,用户使用自身私钥即可对授权数据解密。在不增加用户密钥管理量的前提下,实现了移动云计算的多要素代理重加密。     

云计算环境下访问控制关键技术

可控信任域的消失和多租户环境的出现,导致云计算环境下访问控制在诸多关键技术上都面临新的严峻挑战.该文从身份供应、身份认证、访问控制、身份联合和单点登录几个方面介绍了产业界在云访问控制上面临的问题和主要解决方法.从访问控制模型、基于属性的密文访问控制和外包数据的访问控制三个方面评述了学术界在云访问控制上的最新研究成果.基于对已有技术和研究成果的分析,预测了云访问控制研究的未来走向.     

面向容器的集群资源管理系统研究

在云计算日益火爆的今天,云计算领域诞生了一个新兴技术,使得整个计算机行业为之振奋。这就是Docker——一个全新的"容器"。Docker作为轻量级容器能够为云计算3种模型(Saa S,Paa S,Iaa S)之一的Paa S的构建提供可靠的支持。文章以Docker为基础平台,以Google开源的Kubernetes为平台,Harbor为镜像仓库,Etcd为全局索引系统,falcon-agent为监控构建完整的集群资源管理系统,提供大型集群环境部署及管理方案。     

Cloud resource prediction model based on triple exponential smoothing method and temporal convolutional network

The container cloud represented by Docker and Kubernetes has the advantages of less additional resource overhead and shorter start-up and destruction time.However there are still resource management issues such as over-supply and under-supply.In order to allow the Kubernetes cluster to respond “in advance” to the resource usage of the applications deployed on it,and then to schedule and allocate resources in a timely,accurate and dynamic manner based on the predicted value,a cloud resource prediction model based on triple exponential smoothing method and temporal convolutional network was proposed,based on historical data to predict future demand for resources.To find the optimal combination of parameters,the parameters were optimized using TPOT thought.Experiments on the CPU and memory of the Google dataset show that the model has better prediction performance than other models.     

云计算安全关键技术分析

云计算以一种新兴的共享基础架构的方法,提供资源池化的由网络、信息和存储等组成的服务、应用、信息和基础设施等的使用。云计算的按需自服务、宽带接入、虚拟化资源池、快速弹性架构、可测量的服务和多租户等特点,直接影响到了云计算环境的安全威胁和相关的安全保护策略。云计算具备了众多的好处,从规模经济到应用可用性,其绝对能给应用环境带来一些积极的因素。如今,在广大云计算提供商和支持者的推崇下,众多企业用户已开始跃跃欲试。然而,云计算也带来了一些新的安全问题,由于众多用户共享IT基础架构,安全的重要性非同小可。本文分析了云计算特定的安全需求和解决方案以及国内外的研究和产品现状。     

K-PSO: An improved PSO-based container scheduling algorithm for big data applications

In recent years, Docker container technology is being applied in the field of cloud computing at an explosive speed. The scheduling of Docker container resources has gradually become a research hotspot. Existing big data computing and storage platforms apply with traditional virtual machine technology, which often results in low resource utilization, a long time for flexible scaling and expanding clusters. In this paper, we propose an improved container scheduling algorithm for big data applications named Kubernetes-based particle swarm optimization(K-PSO). Experimental results show that the proposed K-PSO algorithm converges faster than the basic PSO algorithm, and the running time of the algorithm is cut in about half. The K-PSO container scheduling algorithm and algorithm experiment for big data applications are implemented in the Kubernetes container cloud system. Our experimental results show that the node resource utilization rate of the improved scheduling strategy based on K-PSO algorithm is about 20% higher than that of the Kube-scheduler default strategy, balanced QoS priority strategy, ESS strategy, and PSO strategy, while the average I/O performance and average computing performance of Hadoop cluster are not degraded.     

一种面向云计算环境的安全管理模型

在云计算中,对大规模的资源提供一种安全有效的访问是其一个很重要的组成部分。在传统的分布式访问控制模型中．服务请求者将主体属性或能力等披露给提供资源者．访问控制决策完全取决于以资源请求者能力和安全策略为输入的一致性证明。但是。这些主体属性与能力等通常携带了大量信息。势必给云环境中的互操作带来许多安全隐患和风险。针对云环境的特点,提出一种针对云环境资源的安全模型,采用一种基于属性的访问控制技术来解决云计算环境下复杂和困难的安全问题,并且提出了一个安全管理模型来动态的决定对资源的访问控制．通过对资源属性的动态改变来达到对资源的安全访问的目的。     

云服务数据隔离技术

目前云计算服务商已经可以提供相当可靠稳定以及维护方便的主机服务,网络和数据资源开始往少数的云计算服务商集中,但数据与资源的集中会带来诸如和其他租户共享基础设施等问题,数据的安全和可靠性完全依赖于云服务商提供的基础设施,这些问题使得用户对采用以云为基础的各种服务有很大的担忧。要解决这个问题,云计算服务商必须提供足够有效的资源和数据隔离措施。通过分析上述问题,文中提出一个名为OmniSep的解决方案,方案包含了一系列针对云计算多租户环境增强数据隔离的技术。     

Multi-tenant virtual domain isolation construction method based on L-DHT

Aiming at the problem of security isolation of multi-tenant data in cloud environment,a tenant virtual domain isolation construction method based on L-DHT was proposed.Firstly,through the design of multi-tenant isolation mapping algorithm based on label-hash mapping,the balanced mapping mechanism of tenant resources was constructed to realize the distributed management of tenant resources.Secondly,for the security isolation and access between tenant data mapped to the same storage node,based on the predicate encryption mechanism,through the effective binding of security labels and tenant data,a tenant data isolation storage algorithm based on label predicate encryption was designed.Finally,by the design of multi-dimensional tenant data isolation control rules and using the analysis and authentication of security labels,independent,logical and secure virtual domains between tenants were built hierarchically.The security analysis shows that the method constructs tenant virtual domains which are secure and non-interference with each other.The simulation results show that the mapping algorithm can achieve a better dynamic load balance.The efficiency and security of data access are verified by the comparative analysis of tenant data retrieval efficiency and authentication access security.     

Proxy re-encryption based multi-factor access control scheme in cloud

Cloud computing is one of the space-ground integration information network applications.Users can access data and retrieve service easily and quickly in cloud.The confidentiality and integrity of the data cloud have a direct correspondence to data security of the space-ground integration information network.Thus the data in cloud is transferred with encrypted form to protect the information.As an important technology of cloud security,access control should take account of multi-factor and cipher text to satisfy the complex requirement for cloud data protection.Based on this,a proxy re-encryption based multi-factor access control (PRE-MFAC) scheme was proposed.Firstly,the aims and assumptions of PRE-MFAC were given.Secondly,the system model and algorithm was defined.Finally,the security and properties of PRE-MFAC were analyzed.The proposed scheme has combined the PRE and multi-factor access control together and realized the multi-factor permission management of cipher text in cloud.Meanwhile,it can make the best possible use of cloud in computing and storing,then reduce the difficulty of personal user in cryptographic computing and key managing.     

云化IT系统数据中心IP组网设计要点分析

随着云计算的日益普及,传统的烟囱式"三明治"扩展多层结构的单一IT系统组网无法适应满足现代大型数据中心多租户多系统的要求,本文参考思科和H3C公司提出的VMDC组网结构,给出了多租户IT支撑系统数据中心IP组网扁平化、接入无差异化的"精简多层"组网架构设计要点,并通过一则实际工程案例的设计运用予以介绍说明。实践证明,通过对精简多层组网结构的设计运用,能有效提高网络设备端口、带宽利用率,同时可满足多系统间安全域隔离及资源共享的需求。