SaaS服務模式的開放平臺的安全機制之計算機研究

來源: www.bnzqvc.live 作者:vicky 發布時間:2019-10-18 論文字數:36524字
論文編號: sb2019091914570027875 論文語言:中文 論文類型:碩士畢業論文
本文是一篇計算機論文,本文主要對開放平臺的安全機制進行了相關的研究,分析了 SaaS 服務模式下開放平臺中存在的安全問題。針對這些安全問題,提出相應的改進措施來保障開放平臺的安全
本文是一篇計算機論文,本課題根據目前開放平臺存在的安全性挑戰,分別從訪問控制、授權認證、服務限流與熔斷以及服務監控這幾個方面來對開放平臺的安全機制進行了深入研究。

1 緒論

1.1 課題研究背景和意義
SaaS(Software as a Service)服務模式是近年來興起的一種軟件應用模式,它與基礎設施即服務(IaaS,Infrastructure as a Service),平臺即服務(PaaS,Platformas a Service)都屬于云服務[1],但卻與 IaaS、PaaS 有著本質的區別。SaaS 服務通常部署在云上,客戶通過互聯網來獲取軟件服務,服務供應商負責了服務所需要的一切硬件設備和軟件環境,并承擔了軟件更新發布,維護升級等工作[2]。對于SaaS 服務的使用者來說,只需根據自身業務的實際需要,按需向服務供應商購買服務,便可以立即享受到最新的技術應用。隨著互聯網的蓬勃發展,SaaS 服務的種類與產品已逐漸豐富和多樣化,有許多面向個人和面向企業的服務,比如:文檔在線編輯、照片管理、客戶端關系管理、企業資源管理等,還包含了一些針對特定應用場景和應用領域的服務,SaaS 服務模式是未來互聯網軟件發展的趨勢。為了進一步豐富 SaaS 服務的多樣化,促進 SaaS 服務生態圈的發展,許多SaaS 服務企業都推出了自己的開放平臺。
2007 年 FaceBook 正式推出了開放平臺,第三方開發者可以在這個開放平臺框架上集成 FaceBook 對外開放的應用程序功能[3]。開放平臺的出現,促進了互聯網軟件服務的多樣化發展。開放平臺就是把服務供應商自身的服務能力封裝成一系列計算機能識別的數據接口對外開放,供第三方應用程序調用的一個公共平臺[4]。實際上對外開放的,是提供服務的 API(Application Programming Interface)或者函數(Function)接口,也就是服務供應商提供的服務。在互聯網信息爆炸式增長的今天,通過企業自身的力量來滿足用戶日益多元化的服務需求是很難做到的。開放平臺的出現正好釋放了企業的服務能力,通過引入外部優質應用,在吸引企業自身用戶的同時,也促進了和第三方應用的合作,實現了互利共贏的良好局面。對于 SaaS 服務來說,由于 SaaS 服務多租戶[5-6](Multi-tenancy)的特點,不同背景的租戶對于 SaaS 服務的需求存在差異,使得 SaaS 服務供應商不得不擴展自身的應用服務,以提高用戶黏合度。開放平臺的特點正好契合了 SaaS 服務的這一需求,在擴展自身業務能力的同時也提高了用戶黏合度,還能促進不同領域的 SaaS 服務走向合作[7-8]。SaaS 服務模式結合開放平臺,適應了如今網絡發展開放合作的趨勢。
.............................

1.2 國內外研究現狀
著名的 Salesforce 公司作為 SaaS 業務模式的創始者,是當今 SaaS 業務開展最成功的公司之一[12]。它通過開放 API,打造開放式的技術平臺,系統性的將用戶的實際業務需求整合進自身平臺。在滿足用戶需求的同時,也為顧客和相關合作者提供了一個得以良性發展的生態系統,以此來帶動企業自身的發展,并取得了成功。2015 年 8 月,阿里巴巴釘釘推出了基于商務工作關系和通訊的開放平臺,與國外 SaaS 市場上的同類產品相似,在短時間內就取得了顯著的成就。這一成就帶動了國內 SaaS 服務生態圈的發展和變革,各大 SaaS 服務供應商紛紛推出了自己的開放平臺。
國外對于開放平臺的研究和討論起步較早,自從 FaceBook 在 2007 年 5 月舉辦的首屆 F8 開發者大會開始,開放平臺的概念正式進入大眾的視野,隨后迅速發展,逐漸形成了開放平臺生態體系,并對當前整個互聯網的產業格局產生了深遠的影響[13]。FaceBook 的成功使得 Google,Twitter,Microsoft 等國外各大互聯網巨頭也相繼推出了自己的開放平臺,從而帶動了互聯網開放的熱潮[14]。隨著開放平臺的發展,帶來機遇的同時,所面臨的安全問題也隨之而來。由于第三方應用和開放平臺之間通過 API 接口進行業務邏輯交互,在交互過程中出現信息泄露的風險也會更大。FaceBook 的開放平臺因為系統漏洞,導致用戶設置為隱私的鏈接不用認證也可以進行訪問。谷歌的 OpenSocial API 開放平臺首個應用程序也因為安全問題,上線 45 分鐘后就被下架[15]。在實際的應用中,大多數企業為了保證第三方應用接入開放平臺時更加方便和快捷,并沒有對第三方請求進行嚴格的安全限制。據微軟統計,自從 2009 年開放平臺發展起來開始,木馬病毒的主要傳播途徑就是開放平臺中集成的第三方軟件[16]。
國內開放平臺的起步和發展相對國外都要晚,但是在國外開放平臺熱潮的帶動下,國內開放平臺也得到了高速的發展。人人網早在 2008 年推出了基于社交網絡的開放平臺發展戰略,為國內開放平臺的發展開創了先河,隨后國內的互聯網企業逐漸開始推出開放平臺[17]。淘寶作為國內電子商務的代表,同年開始啟動基于賣家、買家和用戶數據的大淘寶發展戰略,2010 年,淘寶正式走上了開放的道路。百度作為國內搜索服務的代表,發布了“框計算”概念,并在隨后的幾年時間里推出了百度地圖,百度數據,百度移動等多維度的開放平臺體系[18]。作為阿里巴巴旗下的子公司螞蟻金服,通過螞蟻金服開放平臺,為中小型企業和第三方開發者提供了一系列完整的行業解決方案,僅半年時間便吸引了大量的中小企業商戶入駐[19]。開放也為國內各大網站帶來了安全隱患,淘寶開放平臺曾因為安全問題,導致商品價格被營銷軟件修改為一塊錢,許多賣家的商品都被以一塊錢拍下[20]。新浪微博也曾因為安全漏洞,導致第三方程序可以輕易獲得用戶的相關隱私信息。據不完全統計,國內各大互聯網企業開放平臺都曾因為安全問題,而出現緊急修復升級的情況,導致這些安全性問題的原因,往往是因為第三方站點接入開放平臺做資源引用而造成的。
.................................

2 相關理論知識和技術

2.1 訪問控制理論研究
訪問控制技術作為一種非常重要的信息安全技術,可以有效的防止用戶對資源進行非法訪問,保證系統資源得到合法有效的使用。訪問控制的核心是安全控制策略,也叫權限策略,在統一的策略管理下,如果主體具有某一權限,并且符合權限的描述規則,那么主體就可以合法的訪問客體。常見的訪問控制模型主要有傳統訪問控制模型,基于角色的訪問控制模型等。
2.1.1 傳統訪問控制模型
傳統的訪問控制模型根據使用場景和對安全等級要求的不同,通常被分為自主訪問控制模型(DAC,Discretionary Access Control)和強訪問控制模型(MAC,Mandatory Access Control)兩種類型[29]。
DAC 模型是一種比較基礎的模型,由于它的結構比較簡單,便于擴展,通常在許多軟件系統中都提供了該模型。在 DAC 模型中,訪問的主體對客體擁有很大的權限,主體可以直接決定是否有權限訪問對應的客體,并且一個主體可以向另一個主體轉讓自己具有的權限,這種轉讓可以是直接轉讓,也可以是間接轉讓[30]。DAC 模型通常采用訪問控制矩陣(ACM,Access Control Matrix)和訪問控制列表(ACL,Access Control List)兩種實現方式來表示主體對客體的操作規則[31]。訪問控制矩陣中使用矩陣的行和列來對應訪問主體與訪問客體,二者交叉位置的內容代表主體對客體的操作規則[32]。而訪問控制列表則由整個列表對應某個固定的客體,該表的內容就是主體對受控對象所具有操作權限。由于 ACL 表述直觀,能更方便的理解和查詢某個客體對應的所有權限主體,所以 ACL 是目前實現訪問控制策略普遍采用的方式。關于 DAC 模型兩種實現方式的詳細介紹如下表 2-1所示:

...........................
 
2.2 認證與授權技術研究認證與授權是云計算中的兩個基礎概念,雖然兩者經常一起出現,但是解決的問題卻是有所區別的。認證主要解決“你是誰”的問題,計算機系統通常依靠與人綁定的某種憑證,來判斷用戶身份,最常見的認證就是登錄系統時使用的賬戶和密碼,通過賬戶和密碼來驗證用戶身份。而授權主要解決的是“你能做什么”,在對進行用戶身份驗證完成后,根據一定的憑據和策略,賦予個體在一定范圍內進行某些操作和行為的權利。在云計算環境中,通常將認證與授權技術配合使用,來保證系統的安全性。
2.2.1 OpenID 身份認證
OpenID 是一個以 URL 為身份標識的分散式身份驗證框架,具有開放,分散等特點[44]。其核心思想是:用戶預先在提供 OpenID 服務的應用上進行注冊,得到該站點提供的賬號,使用該賬號,用戶就可以登錄所有支持 OpenID 的網站。由于在互聯網中,使用 URL 就可以對網站進行身份認證標識,那么也可以讓用戶僅使用一個 URL,來作為其自身的身份認證標識,OpenID 正是基于這個原理而創建的[45]。URL 作為網絡世界里的核心,為基于 URL 的身份認證提供了堅實的理論依據。OpenID 的去中心化主要體現在它不依賴于某個固定的網站來進行數字身份認證,任何網站既可以成為服務的提供者,也可以是服務的使用者。OpenID 的身份認證框架流程如下圖 2-3 所示:

...........................
3 開放平臺安全機制研究與設計..........................................18
3.1 訪問控制與授權機制設計...........................................18
3.1.1 基于租戶的訪問控制模型........................................ 18
3.1.2 改進的 Oauth2.0 客戶端授權................................19
4 開放平臺安全機制的實踐.................................................29
4.1 開放平臺總體設計.........................................29
4.1.1 平臺架構設計.................................... 29
4.1.2 平臺功能設計....................................... 30
5 實踐測試與分析................................46
5.1 測試環境...........................................46
5.2 測試內容..................................47

5 實踐測試與分析

5.1結果分析
本節對第四章中實現的開放平臺相關安全機制,進行了相應的測試。從訪問控制,授權認證,服務限流與熔斷,平臺監控幾個方面分別對開放平臺的安全機制進行了測試,并對測試結果進行分析。
(1)不同租戶下的角色集互相隔離,使得開放平臺每一個用戶對于資源的訪問控制達到了 API 級別的控制,各個租戶下的用戶對各自的訪問權限互不依賴,實現了開放平臺的訪問控制。
(2)改進后的 Oauth2.0 客戶端授權流程中,對客戶端隱私數據以及訪問令牌進行加密傳輸,使得攻擊者竊取到的信息無法破解,同時令牌發放和申請資源過程中傳遞的令牌加密值不一致,提高了攻擊者竊取令牌換資源的難度,增加了開放平臺安全性。
(3)限流實現了對高并發請求下的流量控制,熔斷則實現了服務不可用時對開放平臺進行熔斷保護,防止雪崩,通過限流和熔斷機制保障了開放平臺穩定性。
(4)通過三個方面的監控實現,達到了對開放平臺 API 調用和系統資源使用情況的監控,以便開發人員和運維人員及時排查和處理問題。
..........................

總結與展望
本課題主要針 SaaS 服務模式的開放平臺的安全機制進行了研究,根據開放平臺存在的安全性問題提出了一些改進設計,并在一個提供電子簽名的 SaaS 服務上做了實踐與測試。本文首先對本課題研究背景研究意義作了介紹,緊接著介紹了開放平臺在國內外的研究現狀,在此基礎上進行了開放平臺相關安全機制的改進與設計,并介紹了相應的關鍵技術。本文的研究內容主要包含了以下幾個方面:
(1)對于 SaaS 服務模式的開放平臺訪問控制進行研究,根據 SaaS 服務的特點,采用了基于租戶的訪問控制模型,來實現開放平臺的訪問控制。
(2)針對 Oauth2.0 授權協議中的客戶端授權模式,進行了改進,通過 HMAC摘要和 AES 加密來傳輸隱私信息,避免了密鑰暴露和令牌被竊取的風險。
(3)設計了基于 Redis 和 Lua 腳本的令牌桶限流算法,實現了多進程之間協同控制,以達到在高并發情況下對開放平臺流量限制的目的。
(4)采用了基于 Hystrix 的服務熔斷保護機制,防止在開發者調用過程中出現級聯調用失敗,而導致開放平臺崩潰,喪失服務能力。
(5)根據開放平臺的實際需求,實現了針對開發者的調用記錄統計和展示,針對系統管理員實現了 API 調用統計以及調用趨勢展示,針對開放平臺系統資源使用情況,基于 Zabbix 搭建了平臺狀態監控系統。
參考文獻(略)

原文地址:http://www.bnzqvc.live/jsjlw/27875.html,如有轉載請標明出處,謝謝。

您可能在尋找計算機論文方面的范文,您可以移步到計算機論文頻道(http://www.bnzqvc.live/jsjlw/)查找


上一篇:基于改進模擬退火算法的項目選擇優化方法之計算機研究
下一篇:遠程監督關系抽取關鍵問題之計算機研究
彩票6加1怎么玩 大彩彩票群 球探篮球比分直播 辽宁快乐12 麻将三国安卓免费版 广东麻将推倒胡麻将技巧 捕鱼达人之海底捞 球探比分即时足球比分一 过年农村集上卖什么赚钱 雷速体育视频直播 新浪体育手机新浪网 背景墙壁纸赚钱吗 篮球赔率雪缘园 王者荣耀王昭君 国标麻将怎么胡牌 新生娱乐网址 10级车里最赚钱的车