论文研究-面向服务网格的访问控制模型研究.pdf
需积分: 9 119 浏览量
2019-07-22
17:54:43
上传
评论
收藏 73KB PDF 举报
收稿 日期: 2006-06-30; 修返日 期: 2006-09-07 基金项 目: 国家“863”计划资 助项 目( 2002AA104240) ; 中国 科学院 “十五”信 息化建 设重
大项目 ( INF105-SDB )
作 者简介 : 周维, 男, 博 士研究 生, 主要 研究方 向为网 格中 间件、分 布式数 据处理 、计算机 网络( weizhou@ cnic. cn) ;鲁 卓, 男, 博士 研究生 , 主要研
究方向 为企业 信息 系统、元 数据在 企业信 息系 统中的 应用 ; 阎 保平, 女 , 研 究员, 博导 , 主要研 究方向 为下 一代互 联 网络 、大型 网 络、系 统集 成 工程 化
规范管 理、大规 模数据 库应 用技术 .
面 向 服 务 网 格 的 访 问 控 制 模 型 研 究
*
周 维
a, b
, 鲁 卓
a, b
, 阎保平
a
( 中 国科学 院 a. 计算 机网 络信息 中心 ; b. 研 究生 院, 北 京 100080)
摘 要: 建 立以 网格 服务 为中 心的 访问 控制 模型, 通 过集 中 式的 管 理 来 降 低 网 格环 境 中 访 问 控 制 复 杂性 , 将角
色网 格服 务的 分配和 服务 的访 问授 权分 离管 理, 能够 有效 地保 护资 源拥 有者的 权限 。在 中国 科学 院 e-science 科
学数 据网 格项 目中的 初步 应用 实施 表明 了该 模型 的灵 活性 和有效 性。
关键 词: 网 格服 务; 访 问控 制; 授 权
中图 分类 号: TP393 文 献标 志码: A 文 章编 号: 1001-3695( 2007) 08-0087-03
Research of service-oriented grid access control model
ZHOUWei
a, b
, LU Zhuo
a,b
, YAN Bao-ping
a
( a. Computer Network Information Center; b. Graduate School, Chinese Academy of Sciences, Beijing 100080, China)
Abstract: Centralized management was used to reduce the complexities of the access control in the grid environment. The
process of defining the role’sservices and implement formally specified policy for services were separated to protect the profits
of the resource owners. This proposed scheme had been incorporated into science datagrid project of CAS. Preliminary results
demonstrate its flexibilities and effectiveness.
Key words: grid service; access control; permission
网格是一个 虚拟组 织( virtual organization, VO)
[ 1]
, 它试 图
把整个互联网上的信息整合 起来, 从而 实现计 算资源、存储 资
源、数据资源、信息资源的 全面共 享。网格的 根本特 征并不 一
定是它的规模, 而是 资源共 享, 消 除了资 源孤岛。面 向服务 的
网格结构由于通过服务的注册1 发布机制, 将各种网格资源以
服务的形式, 按照一定规 范统一 封装起 来, 从 而屏蔽 了网格 结
构的差异性, 达到信息共享的目的。服务网格成为了当前网格
技术研究的热点之一。然而, 网格始终处于一 种动态的复 杂环
境中, 网格中的服务提供者可能分布在不同的地理位置提供不
同的服务选项, 服务 的 访问 者也 来 自网 格虚 拟 组织 的不 同 组
群。一方面, 用户希望共享资源, 渴望得到对不同服务的透明、
便捷访问; 另一方面, 资源拥有 者又希 望这些 服务得 到强有 力
的保护, 只有合法的用户才能对相应的网格服务进行有一定授
权的访问。因此, 在对服务的访问中不可避免地会碰到对服务
的访问控制问题, 而由于 网格的 复杂性, 很难 提供一 套符合 需
求的访问控制策略。
为了适应面向网格服务的应用系统需求, 加强对网格服务
的访问控制, 本文提出了一种面向服务网格的访问控制解决方
案。笔者扩展了传统的访问控制模型, 建立了以服务为中心的
访问控制模式; 选用集中 式的方 式进行 用户角 色和授 权管理,
降低了工作复杂度、成本 和工作 负荷; 采取灵 活的授 权控制 机
制, 将用户角色网格服务 分配与 服务访 问授权 分离管 理, 访 问
控制权限矩阵可以由访问控制 系统的 管理者 以及应 用系统 的
所有者来共同制订。
1 相关工作进展
对安全领域的关注导致 了多个 访问控 制模型 的诞 生。其
中比较有影响力的有三种, 即 自主访 问控制 模型( discretionary
access control, DAC)
[ 2,3]
、强制访问控制模型( mandatory access
control, MAC )
[ 4]
和基 于角 色 的访 问控 制 模型 ( role-based ac-
cess control,RBAC)
[ 5,6]
。MAC的发展得 到军队 和政府 部门 的
支持, 强调信息的机密性, 通过实施一种 称为安全标 签( securi-
ty labels) 的机制进行安全控制; 但 MAC的要求过于僵硬, 不 能
实施完整性控制。DAC 则起 源于 学 术界, 通 过 对访 问者 身 份
的鉴定来允许 或 否定 对 目 标对 象 的 操作; 与 MAC 不 同, DAC
允许用户对目标对象具有控制权限, 但在用户和目标对象频繁
变动的情况下, DAC 并 不能 进行很 好的 支持。正是 由 于 MAC
和 DAC模型的局限性, 它们均不能满足实际商业应 用的需求。
1992 年 Ferraiolo 和 Kuhn 提出 了 RBAC 模 型。随 着研 究 的 发
展, RBAC模型得到不 断的 丰富和 完善, 成 为一 个访 问控 制 模
型家族, 先后出现了 RBAC0、RBAC1、RBAC2、RBAC3 等扩展 模
型。RBAC0 是其中一种最 简单 的模 型, 是其 他 几种 模型 的 基
础。RBAC1 和 RBAC2 均 包含 RBAC0 所能 提供 的 功 能, 但 各
自又有所不同。RBAC1 增 加了 角色 继承 的概 念, 指 出了 不 同
等级的角色可以 包含 对权 限的 继承关 系; RBAC2 则 更强 调 约
束条件, 以此来 对加 强 对访 问 控 制中 各 部 件的 限 制。RBAC1
第 24 卷 第 8 期
2007 年 8 月
计 算 机 应 用 研 究
Application Research of Computers
Vol. 24 No. 8
Aug. 2007
资源评论
