面向服务网格访问控制模型研究.docVIP

面向服务网格访问控制模型研究 　　摘要：建立以网格服务为中心的访问控制模型，通过集中式的管理来降低网格环境中访问控制复杂性，将角色网格服务的分配和服务的访问授权分离管理，能够有效地保护资源拥有者的权限。在中国科学院e??science科学数据网格项目中的初步应用实施表明了该模型的灵活性和有效性。?? 　　关键词：网格服务; 访问控制; 授权 　　中图分类号：TP393文献标志码：A 　　文章编号：1001－3695(2007)08－0087－03 　　 　　网格是一个虚拟组织（virtual organization，VO）[1]，它试图把整个互联网上的信息整合起来，从而实现计算资源、存储资源、数据资源、信息资源的全面共享。网格的根本特征并不一定是它的规模，而是资源共享，消除了资源孤岛。面向服务的网格结构由于通过服务的注册?p发布机制，将各种网格资源以服务的形式，按照一定规范统一封装起来，从而屏蔽了网格结构的差异性，达到信息共享的目的。服务网格成为了当前网格技术研究的热点之一。 　　然而，网格始终处于一种动态的复杂环境中，网格中的服务提供者可能分布在不同的地理位置提供不同的服务选项，服务的访问者也来自网格虚拟组织的不同组群。一方面，用户希望共享资源，渴望得到对不同服务的透明、便捷访问；另一方面，资源拥有者又希望这些服务得到强有力的保护，只有合法的用户才能对相应的网格服务进行有一定授权的访问。因此，在对服务的访问中不可避免地会碰到对服务的访问控制问题，而由于网格的复杂性，很难提供一套符合需求的访问控制策略。?? 　　为了适应面向网格服务的应用系统需求，加强对网格服务的访问控制，本文提出了一种面向服务网格的访问控制解决方案。笔者扩展了传统的访问控制模型，建立了以服务为中心的访问控制模式；选用集中式的方式进行用户角色和授权管理，降低了工作复杂度、成本和工作负荷；采取灵活的授权控制机制，将用户角色网格服务分配与服务访问授权分离管理，访问控制权限矩阵可以由访问控制系统的管理者以及应用系统的所有者来共同制订。?? 　　 　　1相关工作进展 ?? 　　 　　对安全领域的关注导致了多个访问控制模型的诞生。其中比较有影响力的有三种，即自主访问控制模型（discretionary access control， DAC）[2，3]、强制访问控制模型（mandatory access control， MAC ）[4]和基于角色的访问控制模型（role??based access control，RBAC）[5，6]。MAC的发展得到军队和政府部门的支持，强调信息的机密性，通过实施一种称为安全标签（security labels）的机制进行安全控制；但MAC的要求过于僵硬，不能实施完整性控制。DAC则起源于学术界，通过对访问者身份的鉴定来允许或否定对目标对象的操作；与MAC不同，DAC允许用户对目标对象具有控制权限，但在用户和目标对象频繁变动的情况下，DAC并不能进行很好的支持。 　　正是由于MAC和DAC模型的局限性，它们均不能满足实际商业应用的需求。1992年Ferraiolo和Kuhn提出了RBAC模型。随着研究的发展，RBAC模型得到不断的丰富和完善，成为一个访问控制模型家族，先后出现了RBAC0、RBAC1、RBAC2、RBAC3等扩展模型。RBAC0是其中一种最简单的模型，是其他几种模型的基础。RBAC1和RBAC2 均包含RBAC0所能提供的功能，但各自又有所不同。RBAC1增加了角色继承的概念，指出了不同等级的角色可以包含对权限的继承关系；RBAC2则更强调约束条件，以此来对加强对访问控制中各部件的限制。RBAC1与RBAC2互不兼容。RBAC3则是对上述几种模型的综合，囊括了这几种模型的优点。文献[7]对这几种模型进行了详细讨论。?? 　　随着服务网格技术的兴起，可信任的安全控制技术成为推动资源共享的必要条件。只有在一个安全的状况下，资源拥有者才能放心地发布自己所拥有的资源，也才能更大地推动网格应用。相对于以往的系统，网格环境下访问控制的背景发生了变化：在这个分布式的异构环境中，服务总是在不断变化更新中；服务的用户也具有多样性，他们可能来自不同网格虚拟组织的群体，即使是从属于同一网格虚拟组织，也有可能具有不同的访问权限；访问控制的对象发生了转变，传统RBAC模型中，访问控制对象大多是文件、数据库表等资源，在面向服务的网格应用环境中，访问对象变成了需要访问的网格服务。?? 　　上述变化要求更多地从网格技术的特点出发来考虑安全问题。文献[8]提出服务网格安全的总体框架，列出了一些网格安全访问控制设计上应该考虑的基本因素。 文献[9，10]从peer??to??peer的角度阐述了如何构建安全的网格体系。