一种基于网格虚拟组织跨域访问控制算法.docVIP

一种基于网格虚拟组织的跨域访问控制算法 　　摘 要：在网格中，主机存在于不同的信任域中，在主机间建立互信是实现资源共享、协同工作的前提，为资源的访问建立规则是实现资源安全的基础。网格中的访问控制算法旨在解决上述两个问题。结合安全数据库的访问控制策略，融入基于身份和基于行为的访问控制思想，实现了以任务发起者为中心的网格虚拟组织的跨域访问控制，并对其中建立互信的核心算法进行了BAN逻辑推理。 　　?す丶?词：网格安全； 访问控制； 虚拟组织； BAN逻辑； 信任策略 　　?ぶ型挤掷嗪牛?TP309 文献标志码：A 　　 文章编号：1001-3695(2008)07-2155-04 　　?? 　　Multi??domain access control algorithm based on grid virtual organization 　　CUI Qiang????1,2??, LIU Peng????2??, PAN Jin????1,3??, ZONG Rui????2?? 　　?? 　　(1. Network Security Countermeasure Laboratory, Xi’an Information Institute, Xi’an 710106, China; 2.PLA Research Center for Military Grid Technology, PLA University of Science Technology, Nanjing 210007, China; 3.Xidian University, Xi’an 710071, China) 　　?? 　　Abstract: In grid environment, different users belong to different trust domains. In order to achieve the goal of sharing resources and working coordinately, it is very necessary to build a trust model. Besides, it is of equal importance to make access managements which can assure safety of resource. The access control algorithms focused on the two above problems. This paper designed a novel algorithm into which access control based on identity and taken behaviors, and considered the policy of access control used in secure database in it too. Multi??domain access control built by the resource of mission could work well by using this new algorithm whose correctness was proved by the BAN logic. 　　??Key words： grid security; access control; virtual organization (VO); BAN logic; trust policy 　　?お? 　　网格是在不改变现有网络格局的情况下，为了满足不同组织间资源共享、协同工作的需要而形成的一种技术[1]。但是，网格中不同的用户所处的环境不同、拥有的资源不同，各种不同资源的相关性低，安全的需求各异，这些均导致了网格资源管理的困难[2]。所以，在网格中必须拥有相应的访问控制机制，用于解决不同信任域（环境）间的互连互通问题，同时保护网格用户所拥有的资源。 　　?シ梦士刂凭褪堑奔扑慊?系统所属的信息资源遭受未经授权的操作威胁时能够提供适当的管理以及防护措施，保护信息资源的机密性与正确性。传统计算机网络中的访问控制算法已经比较成熟。在网格环境下实现访问控制，需要利用网络访问控制中成熟的思想，同时适应网格动态性和多域性的特征。 　　 　　1 相关工作 　　 　　?ネ?格环境下的访问控制方法可以分为两大类： 　　??a)基于对象的访问控制。其主要思想是将不同的对象作为访问控制的参照物，根据参照物的情况进行访问权限的控制。具体方法主要包括基于身份的访问控制、基于资源的访问控制和基于角色的访问控制。在Globus项目[