寧方華，牛建瑞，俞武嘉，郭玉明

（1.浙江理工大學(xué)先進(jìn)制造技術(shù)研究所，杭州310018；2.杭州電子科技大學(xué)自動化學(xué)院，杭州310018；3.山東電工電氣日立高壓開關(guān)有限公司，濟(jì)南250101）

Windows Azure平臺數(shù)據(jù)存儲的訪問控制研究

寧方華1，牛建瑞1，俞武嘉2，郭玉明3

（1.浙江理工大學(xué)先進(jìn)制造技術(shù)研究所，杭州310018；2.杭州電子科技大學(xué)自動化學(xué)院，杭州310018；3.山東電工電氣日立高壓開關(guān)有限公司，濟(jì)南250101）

訪問控制是保證信息機(jī)密性和完整性的關(guān)鍵。針對微軟的云平臺---Windows Azure平臺，著重研究其具有存儲功能服務(wù)的訪問控制技術(shù)，其中具有存儲功能的服務(wù)包括Windows Azure的Storage Service和數(shù)據(jù)庫SQL Database，從用戶驗證和授權(quán)兩個過程對這兩種存儲服務(wù)的訪問控制技術(shù)進(jìn)行分析探討。最后根據(jù)這兩種服務(wù)的存儲特點，以基于Windows Azure的門禁管理系統(tǒng)為例，給出系統(tǒng)在Windows Azure平臺的安全存儲的部署方案，保證系統(tǒng)的安全性和靈活性。

Windows Azure平臺；訪問控制技術(shù)；云計算

0 引 言

目前，微軟、谷歌、亞馬遜和IBM等IT業(yè)巨頭都建立了云計算平臺，隨著云計算及應(yīng)用范圍的不斷擴(kuò)大，信息安全問題已成為制約云平臺快速發(fā)展和推廣的重要因素之一。Windows Azure平臺是微軟于2008年發(fā)布的云計算平臺，它也可以通過Internet為在其他地方運(yùn)行的應(yīng)用程序提供服務(wù)，可以直接運(yùn)行應(yīng)用程序，并保證性能不降低［1-3］。該平臺提供的服務(wù)主要有Windows Azure、SQL Database和AppFabric，其中Windows Azure的Storage Service和SQL Database具有數(shù)據(jù)存儲功能。目前為止，Windows Azure剛剛落戶中國，實際應(yīng)用還處于初級階段，如何充分利用Windows Azure平臺數(shù)據(jù)存儲的安全控制技術(shù)，以保證系統(tǒng)開發(fā)的安全性和靈活性值得深入研究［4-5］。

訪問控制作為一種重要的信息安全技術(shù)，是保證云平臺的信息機(jī)密性和完整性的關(guān)鍵技術(shù)［6］。訪問控制過程大致可以分為驗證和授權(quán)兩個過程。本文在明確區(qū)分驗證和授權(quán)兩個過程的基礎(chǔ)上，著重研究Windows Azure平臺數(shù)據(jù)存儲功能服務(wù)的訪問控制技術(shù)，旨在提供應(yīng)用程序以最小權(quán)限運(yùn)行的設(shè)計指導(dǎo)，提高系統(tǒng)的安全性和訪問靈活性。

1 在Windows Azure Storage Service中的訪問控制

1.1 Windows Azure Storage Service

Storage Service由Windows Azure提供，具有數(shù)據(jù)存儲功能。它主要開放Blob、Table和Queue 3種存儲方式，分別存儲非結(jié)構(gòu)化數(shù)據(jù)（如文檔、圖片和影像等）、結(jié)構(gòu)化數(shù)據(jù)（訂單信息或用戶注冊信息等）和用于應(yīng)用程序不同模塊之間異步通信機(jī)制，以此滿足用戶不同數(shù)據(jù)存儲需求［7］。

Storage Service支持訪問協(xié)議HTTP/HTTPS，使用單一的URL作為訪問入口。服務(wù)接口使用REST接口和Windows Azure SDK類庫，其中REST是一種針對網(wǎng)絡(luò)應(yīng)用的設(shè)計和開發(fā)方式，可以降低開發(fā)的復(fù)雜性，提高系統(tǒng)的可伸縮性；Windows Azure SDK類庫是REST接口的封裝，由微軟專門為.NET平臺開發(fā)人員提供，使.NET平臺開發(fā)相較于PHP/Java/Perl/Ruby等其他平臺難度降低。

1.2 基于密鑰的身份驗證

Storage Service采用訪問密鑰這種安全性較高的驗證方式。Storage Service端與客戶端使用相同的訪問密鑰，并采用相同方式利用HMAC-SHA256加密算法對數(shù)據(jù)請求進(jìn)行數(shù)字簽名，最后Storage Service端通過判斷生成的數(shù)字簽名與客戶端的是否相同達(dá)到驗證目的。用戶請求訪問Storage Service時驗證過程如圖1所示。

圖1 Storage Service使用訪問密鑰進(jìn)行身份驗證的流程

1.3 授權(quán)方式

Storage Service有兩種訪問角色，一種是擁有賬戶名稱和密鑰的所有者，另一種是匿名者，其中所有者可以通過訪問密鑰獲得Storage Service的完全訪問權(quán)。所以下面的權(quán)限設(shè)置針對匿名用戶，內(nèi)容包含增加、刪除、修改和查詢的操作權(quán)限。

Storage Service中Table和Queue不允許匿名用戶訪問，Blob的授權(quán)方式比較靈活。Blob采用兩層的方式組織存儲，外層是Blob容器，里層是一組Blob對象。Blob容器本身可以作為訪問控制單元進(jìn)行權(quán)限設(shè)置，也可以對其進(jìn)一步設(shè)置訪問控制策略（Shared Access Policy）實現(xiàn)對Blob對象的訪問權(quán)限設(shè)置。通過設(shè)置Shared Access Policy的Start Time、Expiry Time和Permissions（包括Read、Write、Delete、List和None）生成共享訪問簽名（Shared Access Signatures URL）。使用Shared Access Signatures URL訪問Blob對象可以授權(quán)匿名用戶而不用公開密鑰或者將Blob容器設(shè)置為允許匿名用戶，從而實現(xiàn)匿名用戶安全訪問。

2 在SQL Database中的訪問控制技術(shù)

2.1 SQL Database

Windows Azure雖有Storage Service用于存儲，但Storage Service并非關(guān)系型數(shù)據(jù)庫，無JOIN等常用功能，并且其采用分布式海量數(shù)據(jù)存儲法，在處理復(fù)雜應(yīng)用時，無法用規(guī)范化機(jī)制過濾重復(fù)數(shù)據(jù)，大量數(shù)據(jù)在應(yīng)用程序與Storage Service之間的不斷傳輸和計算將花費(fèi)大量時間。鑒于此，微軟提供SQL Database（舊稱為SQL Azure）開發(fā)和部署關(guān)系型數(shù)據(jù)庫。SQL Database的高擴(kuò)展性和高可用性使用戶可以輕松擴(kuò)展解決方案和無需備份及容災(zāi)處理，并且使用通用的通信協(xié)議TDS，支持ADO. NET、ODBC、JDBC和SQL Server客戶端類庫，使得用戶可以利用Transact-SQL和SQL Server工具管理數(shù)據(jù)庫，從而降低開發(fā)難度［8］。

2.2 防火墻+SQL身份驗證模式

SQL Database采用防火墻+SQL身份驗證模式驗證客戶端，確保每個連接到SQL Database的請求都通過驗證。其中防火墻驗證客戶端計算機(jī)的IP地址是否在防火墻指定的允許計算機(jī)連接范圍以內(nèi)，SQL身份驗證客戶端用戶的賬戶和密碼與sys.sql_logins（必須連接到Master數(shù)據(jù)庫）中的清單是否匹配，只有兩種驗證都成功，SQL Database才接受訪問請求，驗證過程如圖2所示。

圖2 SQL Database用戶驗證流程

2.3 基于角色的授權(quán)方式

SQL Database在防火墻規(guī)則中設(shè)置允許訪問的IP地址范圍后，通過采用基于角色的方式授予用戶訪問權(quán)限，授權(quán)內(nèi)容包括對數(shù)據(jù)庫和登錄名增加、刪除、修改的操作權(quán)限。SQL Database通過分配權(quán)限給角色，再將角色賦給用戶完成對用戶的授權(quán)，提供的安全角色有兩個：loginmanager和dbmanager，分別授權(quán)用戶對登錄名和數(shù)據(jù)庫的操作權(quán)限。在SQL Database服務(wù)申請驗證配置后，用戶會擁有一個SQL Database服務(wù)器、一個master數(shù)據(jù)庫和一個Server-lever Principal Login登錄名，Server-le-ver Principal Login登錄名類似于SQL Server實例的服務(wù)器級別的sa，擁有對數(shù)據(jù)庫管理的權(quán)限，master數(shù)據(jù)庫負(fù)責(zé)跟蹤創(chuàng)建數(shù)據(jù)庫或其他登錄名，對登錄名或數(shù)據(jù)庫的操作必須先連接到master數(shù)據(jù)庫。

3 系統(tǒng)在Windows Azure平臺的安全部署方案

由于門禁管理系統(tǒng)對信息存儲和傳輸?shù)陌踩筝^高，所以本文以基于云的門禁管理系統(tǒng)為例，設(shè)計在Windows Azure平臺上系統(tǒng)的安全部署方案，通過充分利用Windows Azure平臺提供的權(quán)限設(shè)置來有效提高系統(tǒng)安全性和靈活性。

在門禁管理系統(tǒng)中，數(shù)據(jù)主要包括用戶信息、門禁機(jī)管理信息、刷卡記錄、卡片信息、文件管理等。通過分析存儲信息是否需要JOIN等復(fù)雜操作，決定使用SQL Database存儲用戶信息、門禁機(jī)管理信息、刷卡記錄、卡片信息等，使用Storage Service中Blob存儲文件管理（包括對門禁機(jī)版本文件、聲音文件信息的管理）。下面討論對它們的安全權(quán)限進(jìn)行設(shè)置的問題。

3.1 SQL Database設(shè)置

使用SQL Database最常采用的方式是使用本地SQL Server設(shè)計數(shù)據(jù)庫后，再上傳云端。本案例采用這種方式，首先使用本地SQL Server2008 R2設(shè)計出數(shù)據(jù)庫AccessManegement，然后配置數(shù)據(jù)庫在云的端運(yùn)行環(huán)境，包括創(chuàng)建SQL服務(wù)器、數(shù)據(jù)庫和進(jìn)行防火墻設(shè)置，設(shè)置防火墻如圖3所示，最后將本地SQL Server2008R2上的數(shù)據(jù)庫生成的腳本上傳到Windows Azure平臺，上傳云端后數(shù)據(jù)庫AccessManegement如圖4所示。

SQL Database采用基于角色授權(quán)方式，下面的代碼創(chuàng)建一個登錄名為mylogin和用戶名為mylgUser的數(shù)據(jù)庫用戶，通過賦予用戶角色，該用戶具有創(chuàng)建數(shù)據(jù)庫或其他登錄名的權(quán)限（連接到master數(shù)據(jù)庫）。

圖3 防火墻設(shè)置

圖4 云上數(shù)據(jù)庫AccessManegement

CREATE LOGIN mylogin WITH password=‘＜mylogin password＞‘；-創(chuàng)建登錄名mylogin

CREATE USER mylg User FROM LOGIN mylogin；-創(chuàng)建用戶名login User

EXEC sp_addrolemember‘dbmanager‘，‘mylg User‘；-login1User被賦予dbmanager角色

考慮1個由圓柱體和兩端半球體組成的壓力容器的優(yōu)化設(shè)計問題，其中圓柱體由兩個壓制金屬板制成的半圓柱殼體焊接而成，半球體也通過焊接與圓柱體相連。該優(yōu)化問題包括4個設(shè)計變量：x1表示半球體的厚度，x2表示圓柱殼體的厚度，x3和x4分別表示圓柱殼體的半徑和長度。該優(yōu)化設(shè)計的目標(biāo)是在滿足工作應(yīng)力和容積的條件下盡可能降低壓力容器的材料、成形和焊接成本，對應(yīng)的數(shù)學(xué)模型為：

EXEC sp_addrolemember‘loginmanager‘，‘mylg User‘；-login1User被賦予loginmanager角色

數(shù)據(jù)庫連接字符串在數(shù)據(jù)庫創(chuàng)建完后獲得，用戶使用連接字符串創(chuàng)建連接信息，在用戶應(yīng)用程序配置文件Web.config中的連接信息設(shè)置如下：

＜connectionStrings＞

＜add name=″local AccessManagementConnectionString″connectionString=″Data Source= JANE-PCSQLEXPRESS；Initial Catalog=AccessManagement；Integrated Security=True″provider Name=″System.Data.SqlClient″/＞

＜add name=″Access ManagementConnectionString″connectionString=″Server=tcp：rc5i1ch80k.database.windows.net，1433；Database =AccessManagement；User ID=njrfish@ rc5i1ch80k；Password=HEZI2pingzi；Trusted_ Connection=False；Encrypt=True；Connection Timeout=30″provider Name=″System.Data.Sql Client″/＞

＜/connectionStrings＞

其中，字符串“l(fā)ocal AccessManagementConnectionString”用于訪問本地數(shù)據(jù)庫，字符串“Access ManagementConnectionString”用于訪問上傳到云端的數(shù)據(jù)庫，應(yīng)用程序使用LINQ TO SQL實體訪問數(shù)據(jù)庫時，可以根據(jù)需要在屬性連接中設(shè)置相應(yīng)字符串。

3.2 存儲服務(wù)設(shè)置

圖5 文件管理界面

圖6 訪問密鑰圖

＜ConfigurationSettings＞

......

＜Setting name=″AccessFileDataSource.ConnectionString″value=″DefaultEndpointsProtocol=https；AccountName=accesssmgstorage；AccountKey=umB-vYmFqJJz…….Ndtr H2ydJ6uZryS8RlFUlrWlgmnz7a0d/ LF2P2uQ==″/＞

＜/ConfigurationSettings＞

對于匿名用戶對文件管理的操作權(quán)限（增、刪、讀、改）的分配，可以通過共享訪問簽名實現(xiàn)。下面代碼是使用共享訪問控制對容器訪問控制策略的設(shè)置，匿名用戶只具有讀取文件的權(quán)限，并且有效時間是1 d：

BlobContainerPermissions blobPermission =new BlobContainerPermissions（）；

blobPermission.Public Access=BlobContainerPublic AccessType.Container；

blobPermission.SharedAccessPolicies.Add（″AccessFileTimePolicy″，new Shared AccessPolicy（）

｛Permissions=Shared AccessPermissions.List｜Shared AccessPermissions.Read，

Shared AccessStart Time=DateTime.Now，

Shared AccessExpiry Time=DateTime.Now. AddDays（1）｝）；

container.SetPermissions（blobPermission）；

4 結(jié) 語

本文著重研究了Windows Azure平臺中用于數(shù)據(jù)存儲的Storage Service和SQL Database的訪問控制技術(shù)，從訪問控制技術(shù)的身份驗證模式和授權(quán)方式兩方面分析中可以看出，Windows Azure平臺針對不同服務(wù)提供不同的訪問控制管理，并且驗證、授權(quán)方式比較完善。不過，在訪問靈活性和安全性方面尚仍存在不足，現(xiàn)在常見的網(wǎng)絡(luò)攻擊下其依然存在安全威脅。所以在利用Windows Azure云平臺軟件開發(fā)時，仍應(yīng)以信息安全為第一考慮因素，設(shè)計應(yīng)用程序在默認(rèn)設(shè)置下以最小權(quán)限運(yùn)行，選擇適當(dāng)?shù)臋?quán)限模式實現(xiàn)最佳解決方案。

［1］張月雷.云計算及Windows Azure Platform簡介［J］.黑龍江科技信息，2011（28）：116-117.

［2］Costa P J P，Cruz A M R.Migration to Windows Azure：analysis and comparison［J］.Procedia Technology，2012（5）：93-102.

［3］Hill Z，Li J，Mao M，et al.Early observations on the performance of Windows Azure［J］.Scientific Programming，2011，19（2/3）：121-132.

［4］朱明中.走進(jìn)云計算Windows Azure實戰(zhàn)手記［M］.北京：中國水利水電出版社，2011：201-204.

［5］徐子巖.實戰(zhàn)Windows Azure：微軟云計算平臺技術(shù)詳解［M］.北京：電子工業(yè)出版社，2011：206-209.

［6］王宇杰，王 鋒，楊文賓.計算機(jī)網(wǎng)絡(luò)訪問控制技術(shù)研究［J］.現(xiàn)代計算機(jī)，2010（7）：20-21.

［7］方國偉，Bill Liu.詳解微軟Windows Azure云計算平臺［M］.北京：電子工業(yè)出版社，2011：151-154.

［8］涂蘭敬.細(xì)數(shù)選擇云數(shù)據(jù)庫SQL Azure的六大理由［J］.網(wǎng)絡(luò)與信息，2012（6）：37.

Study on Access Control Technology of Data Storage on Windows Azure Platform

NING Fang-hua1，NIU Jian-rui1，YU Wu-jia2，GUOYu-ming3
（1.Institute of Advanced Manufacturing Technology，Zhejiang Sci-Tech University，Hangzhou 310018，China；2.College of Automation，Hangzhou Electronic Science and Technology University，Hangzhou 310018，China；3.SDEE Hitachi High-Voltage Switchgear Co Ltd，Jinan 250101，China）

In allusion to Microsoft cloud platform-Windows Azure platform，this paper focuses on studying access control technology of its services with storage function which include Storage Service and SQL Database of Windows Azure；analyzes and discusses access control technology of both storage services from two processes-user authentication and authorization；finally takes access control system based on Windows Azure for example according to storage characteristics of both services，gives the deployment scheme of secure storage of the system on Windows Azure platform and ensures the security and flexibility of the system.

Windows Azure Platform；access control technology；cloud computing

TP399

A

（責(zé)任編輯：張祖堯）

1673-3851（2014）01-0075-04

2013-04-22

浙江省重點創(chuàng)新團(tuán)隊項目（2011R09015-13）

寧方華，（1978-），女，山東泰安，博士，副教授，研究方向為現(xiàn)代物流與供應(yīng)鏈管理、物聯(lián)網(wǎng)技術(shù)、物流信息化。