网格环境下的基于信任度的授权委托方法

专利名称：：网格环境下的基于信任度的授权委托方法
技术领域：
：本发明是一种分布式计算的安全解决方案。主要用于解决网格计算的安全问题，属于分布式计算软件安全
技术领域：
。
背景技术：
：网格计算(GridComputing)是指通过高速网络把分散在各处的硬件、软件、信息资源连结成一个巨大的整体，从而使得人们能够利用地理上分散于各处的资源，完成各种大规模的、复杂的计算和数据处理的任务。与以前的协同工作(Cooperativework)、分布式计算(DistributedComputing)等概念相比较，网格计算的集成程度更高、使用更加方便、资源的利用更加充分和有效。它标志着现代信息技术应用有一个新的、更高水平。由于网格计算的诸多优点，因而被人们认为是互联网之后最重要的技术，对网格计算的研究正成为学术界和工业界的热点之一。但是安全性是制约网格计算技术广泛使用的重要因素之一，因此研究网格计算的安全问题具有重要意义。网格计算环境具有许多特殊性，包括网格中用户与资源的动态性，以及申请释放资源等操作的动态性，因此，在网格环境中，对系统的高可扩展性，灵活性等方面有更高的要求，这给对网格客户端进行授权方面提出了新的挑战。委托(Delegation)，是一种重要的授权策略，它的基本思想是在一个系统中，某些活动实体将自己全部或部分权限授予给其它活动实体，使得后者可以代替前者执行一定的功能。其中前者称为委托者(Delegator)，后者称为被委托者(Delegatee)。活动实体指角色(Role)、用户(User)或应用进程(Process)等。权限是对计算机系统中的数据或者用数据表示的其他资源进行访问的许可，它可以是全部权限，也可以是部分权限。在如下几种情况下会发生委托(1)角色备份某人出差或度假，他负责的工作需要继续执行，这样就需要将其工作权力委托给其他人，使工作可以继续进行。(2)协作工作在组织中和组织间进行的工作需要相互协作。在这种情况下，需要赋予协作对方一定的访问权限以便进行信息共享。(3)权力下放组织初始构建或重组织时，需要按照组织结构从高级到低级分配权限。由于授权委托面向的是用户，但用户的变更很大，会给系统带来一致性的问题。这种情况下，角色概念的引入能有效解决这一问题。角色是一个抽象的用户实体，指共享同一安全特权的一类或一组用户。因此不管实际用户的变更情况，角色相对固定。在基于角色的访问控制(RBAC)中，权限与角色相关联，而用户根据责任和资格被分配相应的角色，从而实现了用户与访问权限的逻辑分离。通过分配和取消角色来完成用户权限的动态授予和取消，且提供了角色分配策略和操作检査策略来实现动态授权和访问控制策略验证。如图l所示，网格计算环境由不同的自治域所组成，这些自治域同样都有适合其自身的授权模型，由于目前RBAC的广泛应用，我们假定都采用的RBAC模型，而在进行跨域授权时，通过信任协商的方式建立跨域的授权委托机制能够实现细粒度的跨域访问控制，这种方式能够适应网格计算的开放性异构性等特性。
发明内容技术问题本发明的目的是提供一种基于信任度的授权委托策略来构筑网格环境中的进行跨域授权的体系，与传统的使用访问控制列表(ACL)和社区授权服务(CAS)来进行授权的方法不同，本方法是一种策略性方法，通过使用本发明提出的方法，可以达到是否允许网格用户使用跨域的网格资源目的，并且能够对用户使用资源的权限进行控制。技术方案本发明的方法是一种策略性的方法，根据网格资源提供者的授权委托的信任度阈值来是否委托权限和角色给请求者，其目标是解决网格计算环境中如何对用户访问跨域资源时进行权限委托的问题。下面给出该模型中的几个概念自治域(AutonomyDomain,AD):加入网格环境的内部具有一致的安全体系的个体、组织、部门和团体等。虚拟组织(VirtualOrganization,V0):所谓虚拟组织就是指在网格环境中，为了完成某一特定任务而由不同自治域的节点组成的一个跨地域，异构型并共享资源协同完成任务的一些个人、组织或者资源的动态组合。网格资源提供节点(GridResourceProviderNode):在网格服务提供域中的能够对外提供资源服务的最小单位成员。授权委托(AuthorityDelegation):—种授权机制，即委托者将自己拥有的权限和角色委托给请求者，以允许请求者行使委托者拥有的权限。委托者(Delegator):授权委托过程中的拥有权限和角色的实体。被委托者(Delegatee):授权委托过程中的请求委托者委托权限和角色的实体。实体(Entity):代表人，也可以是一台机器、agent或其他任何智能型物CI叩o角色(Role):表示一个工作职责，在一个组织机构环境中的工作职责。该职责可以关联一些关于权力和责任的语义。权限(Permission):是一个许可，对在一个或多个对象上执行操作的许可。信任度(TrustLevel):表示委托者对被委托者的信任关系。一、体系结构网格虚拟组织(VO)由各自治域节点所组成，在实施访问控制时，我们假定VO管理中心对加入VO的用户和资源重新部署RBAC系统(如图2所示)，因而形成了VO成员与VO角色，VO角色和VO权限的对应关系。当虚拟组织中的用户也属于某自治域的用户需要访问虚拟组织中由其他自治域所提供的共享资源时，由于该自治域中的用户也分配了相应的角色，则可以通过角色委托关系达到访问共享资源的目的。由于虚拟组织是为了完成某一特定应用服务而资源和服务的整合，自治域的资源和用户可以加入多个虚拟组织，因而还需要指定用户所属的VO。同时，一个虚拟组织能够提供多个服务，只有当用户都处于同一服务过程中，才能发生协作关系。因而有用户与服务，服务和角色等的对应关系。虚拟组织角色用Far'表示。服务角色用s^^/c五sy'表示。自治域角色用j/).r表示。二、方法流程该方法所包含的步骤为步骤1).资源提供节点根据委托策略，对其委托角色或权限按照下述6条规则生成委托策略图，1.)查找所有包含节点的委托策略，对于每一个委托策略，增加委托边；2.)如果节点为实体节点，将其作为自身解值；3.)如果为连接节点，首先创建单节点，然后增加一个监视器，观察单节点，当监视器发现实体已经具有单节点的属性时，同时实体的对连接节点的外围属性为真，增加该实体到连接节点的委托边；4.)如果节点为交集，创建交集监视器和交集元素的节点，监视器观察每个节点，监视器纪录某个实体能够符合交集元素的次数，如果计数器增加到交集元素个数时，则增加该实体到交集的委托边；5.)如果节点为簇节点，创建簇节点监视器和簇元素节点，对于每个簇元素节点，査找满足其属性的实体，从每个满足条件的实体集合中取出一个实体，组合在一起，形成实体并集，增加并集到簇节点的委托边；6.)如果节点为并集，创建并集监视器和并集元素节点，监视器观察每个节点，监视器纪录某个能够符合的实体，同时增加该实体到并集的委托边；步骤2).请求委托者发送以被委托者为后继节点的委托策略集给委托者，步骤3).委托者针对委托策略图对被委托者提交的委托策略集进行合成，步骤4).若委托策略集中存在前驱节点为监测器所监测的对象的委托策略，并且被委托者的信任度能够满足信任度阈值，则生成针对该被委托者的委托关系，步骤5).若委托策略集中不存在前驱节点为监测器所监测的对象的委托策略，或者存在但是被委托者的信任度不能够满足信任度阈值，则拒绝对该被委托者的委托请求，步骤6).反复执行上述步骤2)到步骤5)，生成委托关系图。有益效果本发明方法提出了一种针对于网格服务的跨域授权的新方法，主要用于解决网格跨域授权过程中的权限委托信任协商问题，通过使用本发明提出的方法可以避免以往授权中局部于自治域内的授权机制，实现跨域的权限委托过程。该方法具有以下优点-高效性本发明实现了资源节点和用户直接的权限和角色授予委托关系，不需要服务器的参与，因而降低了服务器的瓶颈，能够高效安全地实现资源节点对用户的直接权限授予过程。灵活性能够实现部分角色和部分权限的授权委托过程，而不局限于整体的角色和权限的委托。合理性由于使用了信任度概念，不需要强制实施委托深度限制，更符合委托者的委托限制需求。图l是VO组成结构图。图2是虚拟组织角色映射图。图3是由委托策略转化成委托策略图。图4是委托角色和权限的委托策略5是实体隶属关系图。图6是已存在的实体角色及其委托关系图。图7是实例中委托策略分析图。图8是实例中得到的委托关系图。图9是授权委托方法的流程图。具体实施方式1、委托协商的信任度约束资源拥有者对使用资源的被委托实体在每次行使委托的角色和权限时进行信任评判，同时将该评判结果发送给委托实体，形成委托关系的信任评判。<formula>formulaseeoriginaldocumentpage7</formula>表示委托者",将角色r委L(w2,r)-^""K"'，。托给分配了角色,的实体"2，"2在行使该委托角色〃的权限后，",和"2之间建立的直接信任关系。其中/n^/ew/^—2为^对z/,委托角色r对应的资源属性的信任评价，即该资源的可用性等。而^"W/eve/^—,为",对"2在行使委托角色过程中的信任评价，也体现为资源对"2的评价，即是否存在恶意性等。同理，<formula>formulaseeoriginaldocumentpage7</formula>表示委托者将,委托给分配角色,'的实体"3，实体"3在行使该委托角色,的权限后，"2和"3之间建立的直接信任关系。倘若^需要请求",委托其角色r，则可以通过"2判断信任关系。通过推荐信任，我们能够合成",和^，&和"3之间的信任关系。合成的方式有多种，我们采用最简单的合成方式，即信任链路上的信任值相乘作为合成结果，因而有<formula>formulaseeoriginaldocumentpage8</formula>当合成后的信任值不满足委托双方所限定的信任阈值(TrustThreshold,7T)时，如^^/eve/s,—3<7T，则",对"3不能进行委托。通过信任度的评判，能够动态地限制委托深度，而不需要定义委托深度参数。2、信任度的计算委托实体间的信任关系加Wfew/^，w)e,爿,2表示被委托实体eW/的在第n次使用委托实体ewft'^的委托权限时所建立的信任关系，该信任关系可表示为-<formula>formulaseeoriginaldocumentpage8</formula>其中a和"为权重因子，并且满足<formula>formulaseeoriginaldocumentpage8</formula>是交互结束后委托双方相互给对方的信任评价。同样，我们根据实体的属性来建立委托实体间的信任关系，如实体为资源则建立资源的属性集J7T及{诚实性资源运行的可靠性(加fr^，资源的易用性(fl欲J,容错性("欣3)，运行效率("欲4)，成功率(artr5)…)，用爿777^(a欲。，a欲"flrt7:2,…a欲J表示，其中a欲,.表示请求者对资源提供者进行评判的第z'种属性。对于每一种属性都建立相应的信任关系，将实体对资源属性的信任度表示为即为对每个属性都进行信任度评判。总的信任度评判则可由不同属性的权重合成得到/nw/Zeve/s—er,/^"")=S义,加对/eve&((加/r,U,w)股r—啦，2^=1这就和实体所要求的哪种属性更重要有关，即权重因子;i,由实体来决定。而实体属性集则定义为诚实性，恶意性等。同样资源对访问该资源的实体属性的信任度表示为3、委托信任协商过程我们在基于角色的信任管理(Role-BasedTrustManagement,RT)基础上加上信任度约束规则对RT进行扩展。RT定义了一个信任证有向图，信任证集合C中的角色项构成图中的节点，信任证々—oeC构成图中的边o—Ar。我们将该有向图应用到委托策略协商过程。委托策略图定义对于委托协商策略集合P，相应的委托策略图定义为G/7-(iV/，^7)，其中(J{Ar,e}，Ar为前驱节点，而e为后继节点。是构建于iV/7上边的最小集合，满足3个属性(1)如果J.r<~o:/ra对/eve/se尸，那么o~>爿.r:/rw5l//eve&e;(2)如果(5.r2,J.r,^〉eiV/，并且￡/中存在一条路径^~^乂。rn/W/eve&，男卩么5r2~^A^.^:/n/W/eve/se，该边由路4仝5~~^Ar,:/rwW/evefc派生而来；(3)如果{￡)，_/;n…n/deW/，并且对于每一个ye[1..1]，有一条路径力，夷卩么D~>,n...ri:/m^feve^e，该边由路径:/n/W/eve&,_/e派生而来。使用如上定义可有效地推导出一系列的边集合{￡;>},^，最终集合为￡户，其中，五，={e~>:/n/W/eve/s|<~e:fn^/eve&eP}，根据属性(2)或(3)增加边，从而由五;)推导出￡;)+1。委托策略集P中的每种策略表达都能够以如下6种方式被逐个处理，直到集合为空，这样就从委托策略图得到实体间的委托关系，然后根据被委托者已存在的委托关系，通过判断信任度是否满足委托者的信任阈值，从而生成再委托关系，最终得到委托关系图。委托关系图也是有向图，其根节点为委托者，其余节点都是针对根节点的被委托者。①如果节点为A〃，査找所有包含Ar的委托策略，对于每一个委托策略Ar—o:fras"eve/seP，创建节点o，增加边o~>Are五;？；即可以表示成如图3(a)所示。②如果节点为实体节点，将其作为自身解值，如图3(b)所示。③如果为连接节点Ar,^，首先创建节点Ar,，然后增加一个监视器e，观察A^，当监视器e发现已经获得了解值B时，倘若5.r2<~77[/￡，即实体B具有属性。，则创建节点及^，增加边5.。~>^力72:frwrf/eve/se￡p，如图3(c)所示。如果节点为交集爿.r<~4.^n乂2.^n...门力fr"W/eve&(A:>1)，创建交集监视器e和k个X,。节点，监视器观察每个d节点，监视器纪录某个实体D能够符合^^C/e[l，A:])的次数，如果计数器增加到值k，则增加边DAr:/rwrf/eve/se￡p，如图3(d)所示。如果节点为簇节点j.^f"^J52-r2十…十^力/rW/eve雖〉1)或爿r<~5,.^52.r2…&力/n/W/eve&(A:>1)，创建簇节点监视器e和k个A^.节点，对于每个S,。节点，求得其解值集合&，从每个解值集合^中取出一个值Sy，组合在一起，形成"(对于0操作，^n^=0,l《/*/《A:)，(^u…u&H乍为一个解值D，增加一条边D—Are五p，值得说明的是，对于联合实体的属性{4,...，4}./等价于交集属性47n...nA.r，如图3(e)所示。<formula>formulaseeoriginaldocumentpage11</formula>创建并集监视器e和k个^.。节点，监视器观察每个^,。节点，监视器纪录某个能够符合A.。C/'e[1,W)的实体&,同时增加边&■>Are&，如图3(f)所示。网格计算中的委托实体都能够根据上述6种方式生成针对其角色或权限的委托策略图，委托服务过程可以看作是这些委托实体从委托策略集中生成委托策略图的合成过程。具体实施步骤为①委托者针对其委托角色或权限并根据委托策略，按照上述6条规则生成委托策略图。②被委托者发送以被委托者为后继节点的委托策略集A^给委托者。③委托者针对委托策略图对被委托者提交的委托策略集i^进行合成，若Wp中存在前驱节点为监测器所监测的对象的委托策略，并且被委托者的信任度能够满足信任度阔值，则生成针对该被委托者的委托关系。否则拒绝对该被委托者的委托请求。反复执行上述步骤0)(2)，生成委托关系图。需要注意的是，被委托者所提交的委托策略集需要被证实，防止被委托者为骗取委托服务提供虚假的委托策略，这可以通过将这些委托策略以证书形式由可信第三方签发来实现。在网格计算环境中，如被委托者加入某个虚拟组织，并分配了某个角色，则由该虚拟组织管理中心对这些信息进行确认。为了方便描述，我们假定有如下应用实例在此为了表达上的简化，角色对于自治域统一命名，即为q,G...。同样对于VO，虚拟组织角色统一命名为r',，^...。对于服务而言，服务角色统一命名为,',，r'、...。不仅针对VO的共享资源来考虑，还考虑跨域角色授权关系，同时在VO共享资源不足时，也可以进行跨域的授权委托，对于服务也是如此。假定自治域或VO制定了如下委托策略(1)委托角色和权限的委托策略-w,.a<~y4D,.w.r,:(m/rMW/eve^20.8)u附".,2:(wirwW/eve/s》0.6)u5S及f7C五,',:(w加W/eve^2:0.5)'其中，乂D,:(w./rww/evefa20.8)表示实体w须具有^Z),力的角色，并且其信任度应不低于0.8;FaM.r'2:(w./n^/eve&20.6)表示实体"具有FO.,2的角色，并且其信任度应不低于0.6;S五及F/C五,',:(m,"对/eve^20.5)表示实体m具有S五if7C^y',的角色，并且其信任度应不低于0.5。该条委托策略表示当被委托者能够满足规贝IJ:0,w对/ew&20.8)，或者满足规则2:(M</rwW/eve&20.6)，或规则'，(i^n"eve&20.5),则委托者",将其权限^A委托给被委托者。相应的委托角色和权限的委托策略图如图4所示(2)网格系统中已存在的实体隶属关系的委托策略，相应的实体隶属关系如图5所示SEiJF/Cg.M—7b附，SE及r/C五,.w<~5，S5iWC^.w<~"(3)已存在的实体角色属性的委托策略及已建立的委托关系，相应的已存在的实体角色及其委托关系如图6所示A。<~77C/￡，B.。—7TC/E，C。<~7Tt/五乂力<~￡,3:(0.8)，5力—F.r4:(0.7)，及。<~G,5;(0.9)5.6—7/.r6:(0.8)，7bm.r'3—(0.7),^4//".,2—A>8:(0.8)另外假定根据前面信任度的计算方法，得到各实体的信任度如表1所示。表1实例中实体信任度值<table>tableseeoriginaldocumentpage13</column></row><table>我们针对委托策略图4，即",.A进行分析，由于其图中包含实体属性^￡>，."，而从实体隶属关系图中可得到实体A,B，C都具有属性^CV"，但从实体角色关系看可知，只有A,B分配了角色^，根据计算得到的A，B信任度可知，两者均能够满足信任阈值约束，所以权限^.A能够被委托给Ar,，及r,，另外从已存在的委托关系Ar，<■￡。(0.8)，￡力<~F八(0.7)，S力<~G々;(0.9)和计算得到的综合信任度值可知，只有G.;的信任度能够满足信任度阈值，因而权限",.A能够被委托给G.^。分析过程如图7所示。同理我们还需要对属性和S￡iP7C《."进行分析，最终得到能够被委托权限^.A的委托关系图如图8所示。权利要求1.一种网格环境下的基于信任度的授权委托方法，其特征在于该方法所包含的步骤为步骤1).资源提供节点根据委托策略，对其委托角色或权限按照下述6条规则生成委托策略图，1.)查找所有包含节点的委托策略，对于每一个委托策略，增加委托边；2.)如果节点为实体节点，将其作为自身解值；3.)如果为连接节点，首先创建单节点，然后增加一个监视器，观察单节点，当监视器发现实体已经具有单节点的属性时，同时实体的对连接节点的外围属性为真，增加该实体到连接节点的委托边；4.)如果节点为交集，创建交集监视器和交集元素的节点，监视器观察每个节点，监视器纪录某个实体能够符合交集元素的次数，如果计数器增加到交集元素个数时，则增加该实体到交集的委托边；5.)如果节点为簇节点，创建簇节点监视器和簇元素节点，对于每个簇元素节点，查找满足其属性的实体，从每个满足条件的实体集合中取出一个实体，组合在一起，形成实体并集，增加并集到簇节点的委托边；6.)如果节点为并集，创建并集监视器和并集元素节点，监视器观察每个节点，监视器纪录某个能够符合的实体，同时增加该实体到并集的委托边；步骤2).请求委托者发送以被委托者为后继节点的委托策略集给委托者，步骤3).委托者针对委托策略图对被委托者提交的委托策略集进行合成，步骤4).若委托策略集中存在前驱节点为监测器所监测的对象的委托策略，并且被委托者的信任度能够满足信任度阈值，则生成针对该被委托者的委托关系，步骤5).若委托策略集中不存在前驱节点为监测器所监测的对象的委托策略，或者存在但是被委托者的信任度不能够满足信任度阈值，则拒绝对该被委托者的委托请求，步骤6).反复执行上述步骤2)到步骤5)，生成委托关系图。2.)如果节点为实体节点，将其作为自身解值；3.)如果为连接节点，首先创建单节点，然后增加一个监视器，观察单节点，当监视器发现实体已经具有单节点的属性时，同时实体的对连接节点的外围属性为真，增加该实体到连接节点的委托边；4.)如果节点为交集，创建交集监视器和交集元素的节点，监视器观察每个节点，监视器纪录某个实体能够符合交集元素的次数，如果计数器增加到交集元素个数时，则增加该实体到交集的委托边；5.)如果节点为簇节点，创建簇节点监视器和簇元素节点，对于每个簇元素节点，査找满足其属性的实体，从每个满足条件的实体集合中取出一个实体，组合在一起，形成实体并集，增加并集到簇节点的委托边；6.)如果节点为并集，创建并集监视器和并集元素节点，监视器观察每个节点，监视器纪录某个能够符合的实体，同时增加该实体到并集的委托边；步骤2).请求委托者发送以被委托者为后继节点的委托策略集给委托者，步骤3).委托者针对委托策略图对被委托者提交的委托策略集进行合成，步骤4).若委托策略集中存在前驱节点为监测器所监测的对象的委托策略，并且被委托者的信任度能够满足信任度阈值，则生成针对该被委托者的委托关系，步骤5).若委托策略集中不存在前驱节点为监测器所监测的对象的委托策略，或者存在但是被委托者的信任度不能够满足信任度阈值，则拒绝对该被委托者的委托请求，步骤6).反复执行上述步骤2)到步骤5)，生成委托关系图。全文摘要网格环境下的基于信任度的授权委托方法是一种分布式计算的安全解决方案。主要用于解决网格计算的安全问题，该方法所包含的步骤为资源提供节点根据委托策略，对其委托角色或权限按照下述6条规则生成委托策略图；请求委托者发送以被委托者为后继节点的委托策略集给委托者；委托者针对委托策略图对被委托者提交的委托策略集进行合成；若委托策略集中存在前驱节点为监测器所监测的对象的委托策略，并且被委托者的信任度能够满足信任度阈值，则生成针对该被委托者的委托关系；若委托策略集中不存在前驱节点为监测器所监测的对象的委托策略，或者存在但是被委托者的信任度不能够满足信任度阈值，则拒绝对该被委托者的委托请求；生成委托关系图。文档编号H04L9/36GK101242277SQ200810019668公开日2008年8月13日申请日期2008年3月11日优先权日2008年3月11日发明者任勋益,琳张,杨王,王汝传,王海艳,陈建刚申请人:南京邮电大学