一种基于任务计算网格访问控制模型.docVIP

一种基于任务的计算网格访问控制模型 　　摘要：网格安全基础设施(GSI)解决了身份鉴别、保密性和完整性问题，却难以有效地解决访问控制问题，传统的访问控制模型也不能很好地满足网格的安全需求。为此，提出了一种基于任务的计算网格访问控制模型。该模型通过定义授权步和任务状态及系统条件约束，能动态地控制主体访问资源的权限，具有较好的通用性、灵活性和可扩展性，并已在计算网格实验平台中得到了实现。?? 　　关键词： 计算网格; 访问控制; 基于任务的访问控制; 授权步 　　中图分类号：TP309; TP393文献标志码：A 　　文章编号：1001－3695(2008)01－0235－03 　　 　　0引言?? 　　 　　作为一种新的协同工作形式，网格计算已经成为国内外研究的热点。资源的广泛共享和开放的网络协议，对网格的安全性提出了前所未有的挑战。近年来，研究者在网格安全方面做了大量研究，网格安全基础设施(grid security infrastructure,GSI)[1]就是其中具有代表性的研究成果之一。GSI是保证网格计算安全性的核心，它支持用户代理、资源代理、认证机构和协议的实现，向上提供一系列的安全协议，向下支持各种安全机制和技术。GSI采用GSS API（generic security service application programming interface）作为安全编程接口，利用PKI(public key infrastructure)技术，较好地解决了主体间安全鉴别、单点登录和安全通信等问题。然而，GSI并不能充分解决授权和访问控制的问题，它通过gridmap配置文件将网格用户的身份映射到本地用户上，其访问控制粒度是基于本地用户的操作权限的，因此是一种粗粒度的静态访问控制模式。在实际网格环境中，往往需要根据网格用户的行为和节点的系统环境状况来动态决定映射后的访问权限，因此，有必要进一步研究一种统一的、应用无关的访问控制策略和模型，以解决网格环境下授权和访问控制的通用性、自主控制、动态适应和互操作等关键问题。?? 　　本文以华中科技大学网格计算平台为例，详细论述了计算网格环境下的访问控制机制，分析了网格访问控制模型研究现状，提出了一种基于任务的计算网格访问控制模型，给出了具体的定义和访问控制算法，并与其他网格访问控制模型进行比较，最后根据该模型得到在计算网格实验平台下的实现情况。?? 　　 　　1网格访问控制模型研究现状?? 　　 　　网格通常是一个跨越了多个不同地点和不同自治域的异构环境，每个域的访问控制策略和需求可能互不相同。为了同时满足全局控制和自主控制的需求，大多数网格系统的访问控制是通过扩展传统的自主访问控制(DAC)、强制访问控制(MAC)或基于角色的访问控制(RBAC)而来的。文献[2]介绍了一种用于网格访问控制的RB GACA架构，就是在RBAC模型中扩展了网格安全组件的定义；文献[3]提出了将Bell LaPadula模型用于网格访问控制的方案，也是一种MAC模型针对网格环境的扩展。这些传统访问控制模型及其扩展模型都是从系统的角度（控制环境是静态的）出发保护资源。其访问控制的原理可以简单描述为：如果主体对客体有访问请求，且主体有相关的权限，那么允许访问操作。 这类基于主体标志的策略均属于被动的安全模型。在网格环境下，应用这类访问控制机制缺乏安全控制的灵活性，往往会造成巨大的安全管理负担，甚至产生安全隐患。?? 　　安全研究人员也意识到传统访问控制机制在网格系统中应用的局限。文献[4]提出了一种基于角色和上下文的访问控制模型，提出了利用上下文变量动态地进行访问控制的思路；文献[5]利用使用控制（UCON）模型思想，提出了授权持续性和安全属性可变性的策略。这些新的模型实现了动态的主动授权机制，但需要集中的访问控制服务，仍难以完全符合网格系统节点高度分布的特性，并且需要使用独立服务来监控上下文信息或属性记录，不易在已有的计算网格环境中部署和实现。?? 　　R. K. Thomas和R. Sandhu[6]提出了一种基于任务的访问控制模型。 其核心思想是从应用的角度出发保护资源。在这种策略中,主体对客体的访问，不仅依赖主体和客体的授权关系，还依赖于主体当前执行的任务以及任务的状态。客体的访问控制将根据主体执行的任务情况发生变化。当且仅当相关任务处于活动状态时，主体的访问权限才能有效；否则权限将被冻结或撤销。因此,TBAC是一种动态授权的主动安全模型。?? 　　TBAC的核心是关于授权步（authorization step）的定义。授权步是访问控制系统最基本的控制单位，由受信者集(trustee set)和若干个许可集(permissions set)组成，如图1所示。