专利名称:一种网格计算环境下的访问控制决策器的制作方法
技术领域:
本发明是一种解决网格计算环境下如何实现用户对资源或服务的访问控制的方案。主要针对网格计算环境的动态性、异构性特点提出一个网格访问控制模型,并利用此模型实现一个访问控制决策器,解决网格计算环境下访问控制的决策问题,属于网格计算、计算机软件安全技术领域。
背景技术:
网格(Grid)技术是近年来国际上兴起的一种重要信息技术,它的目标是将地理上广泛分布、系统异构的各种计算资源全面整合在一起,实现网络虚拟环境上的高性能资源共享和协同工作。网格计算环境具有如下特殊属性1)用户数量庞大且动态变化,参与者变化的频率较高;2)资源池庞大,且动态可变;3)一个计算(由计算创建的过程)可能要求在执行期间动态地使用或释放资源;4)组成计算的进程可以用不同的机制进行通信,包括单播和多播,程序执行期间,低级别的通信连接(例如TCP/IP套接字)可能被动态地创建或撤销;5)资源可支持不同的认证和授权机制,这包括Kerberos、明文口令、安全套接协议(SSL)、Secure Shell(SSH);6)用户在不同的资源上可有不同的标识;7)资源和用户可能属于多个组织。正是由于这些特殊属性,在设计网格安全机制时特别要考虑网格计算环境的动态和异构特性,网格安全是网格计算的核心问题。
访问控制是通过某种途径显式地准许或限制主体对客体访问能力及范围的一种方法。它是针对越权使用系统资源的防御措施,通过限制对关键资源的访问,防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏,从而保证系统资源受控地、合法地使用。具体地说,网格计算环境下的访问控制策略就是要实现“谁在什么条件下对什么资源可执行什么样的访问并履行什么样的义务”的安全目标。由于网格计算的本质是资源共享,因而设计合理、安全的访问控制策略才能为建立完善的网格计算环境提供安全保障机制,访问控制策略研究是网格安全中一个重要研究领域。
目前已有的有关网格访问控制模型都是基于属性(静态)的,即授权或分配资源的决定是基于用户(主体)、客体(资源或服务)及被请求的权限的属性,并且在进行访问控制授权时只有两种授权结果授予或拒绝,不能实现有约束条件和附加规定的授权,这导致了在将这类访问控制策略直接应用于以“动态性”为显著特征的网格计算环境下必然导致一定的缺陷,我们必须针对网格的特点制定一个适用于网格计算环境下的访问控制模型,最大限度地提高资源的利用率,实现动态的访问控制决策机制。
发明内容
技术问题本发明的目的是提供一种网格计算环境下的访问控制决策器的实现方案,即网格计算环境下动态访问控制的模型,并实现基于此模型的访问控制决策器的实现方案。
技术方案本发明将借鉴最新的访问控制研究成果的思想,结合网格计算环境的特点,提出一个网格访问控制模型,实现一个安全访问控制决策器,给出一个网格计算环境下的访问控制的实现方案。
本发明是一种策略性的方案,借鉴最新的访问控制研究成果、结合成熟的基于角色的访问控制(Role-based Access Control,RBAC)模型,提出一个适应于网格环境下的访问控制模型,实现网格的动态访问控制机制。
下面先给出网格访问控制模型中八个基本元素的定义及其功能1)用户(Users)具有某些属性并对客体(Objects)提出申请要求具有控制或操作权限的实体,其属性包括身份、角色、安全级别、成员资格等。这些属性将间接地通过角色应用于授权过程。一个用户在同一时间可以拥有多个不同活动权限的角色,但不能分配给两个互斥的角色。
2)角色(Roles)一个或一群用户在虚拟组织(Virtual Organizations,VO)内可执行的操作的集合。角色意味着用户在组织内的责任和职能。用户通过角色实现对资源或服务权限的使用。角色有其生命周期,在用户提交访问控制任务时被访问控制策略器创建,在用户实现了其基于角色载体的访问控制权限后被撤消,其生命周期有运行态、就绪态、等待态三种状态,三者之间根据条件的满足或情况的变化可以相互转变。
3)客体(Objects)角色可对之进行操作的实体集,其属性包括安全级别、所有者、等级等。这些属性也将用于授权过程。
4)权限(Rights)角色拥有的对客体进行控制和操作的一些特权。权限由一个角色对客体进行访问或使用的功能集组成。权限可分成许多功能类,如读、写、审计、修改等。一个用户可对应多个角色,多个角色可对应同一个权限。
5)授权(Authorizations)为做出授权使用结果必须检验的一组功能谓词,报告角色是否被允许对客体执行请求的权限操作。其规则是允许主体通过角色对客体进行访问或使用前必须满足的一个需求集,用来检查主体分配的角色是否有资格访问客体的决策因素。
6)条件(Conditions)在使用授权规则进行授权过程中,允许主体通过角色对客体进行访问权限前必须检验的一个决策因素集。条件是环境的、基于上下文的或面向系统的决策因素。条件可用来检查存在的限制,使用权限是否有效,哪些限制必须更新等。
7)规定(Disciplines)在使用授权规则进行授权过程中,允许主体通过角色对客体实现访问权限时必须检验的一个决策因素集。其内容是主体通过角色对客体进行访问或使用时必须满足的一个需求集,是面向用户的,用来检查主体分配的角色是否有资格访问客体的决策因素。
8)义务(oBligations)一个用户在获得对客体的访问权限后必须实时履行的强制需求。分配了权限,就应有执行这些权限的义务责任。并且,若用户没有在规定时间内履行这些责任,其使用客体的权限将实时的被剥夺。
除了继承传统的基于角色的RBAC访问控制模型中用户与角色分离、角色与权限分离的思想,我们在网格访问控制模型中增加了授权(Authorizations)、义务(oBligations)、条件(Conditions)和规定(Discipline)四个重要元素,(简称为ABCD四元素),因而我们提出的网格访问控制模型可简称为附加四元素网格访问控制模型或ABCD-GACM(ABCD-Grid Access Control Model)模型,模型中这八个元素之间的关系是用户(Users)提交访问控制任务后将由角色(Roles)实现其要求的访问权限,而对客体(Objects)的访问权限将由授权(Authorizations)、义务(oBligations)、规定(Discipline)和条件(Conditions)四个元素共同决定,若角色获得授权许可,它将实现其对客体所要求的访问权限(Rights)。图1是ABCD-GACM的结构关系图。我们将建立基于此模型下的网格访问控制决策器。
一、访问控制决策器的体系结构基于ABCD-GACM模型的访问控制决策器包括如下三个部分访问控制管理设备(Access Control Management Facility,ACMF)、访问控制决策设备(AccessControl Decision Facility,ACDF)、访问控制执行设备(Access ControlEnforcement Facility,ACEF)组成。其中,ACMF由用户管理模块、权限管理模块、客体管理模块三个部分组成,负责整个策略器中有关用户、客体和权限的访问日志信息和数据的管理、协调、分配工作。ACDF由授权决策模块、义务执行模块、条件检测模块和规定检测模块四部分组成,它专门负责决定是否授予角色使用客体的权限,即允许或拒绝对客体的符合规定的访问权限,是整个访问控制器的核心。ACEF由用户化模块、监控模块、更新模块组成,负责对用户提出的对客体使用权限的用户角色化、实时监控、属性更新服务,它根据ACDF的处理结果来执行相应的任务。用户提交给虚拟组织的服务或请求由ACEF接收,并转交给ACDF进行决策,ACEF根据其决策的结果执行相应的操作,同时ACMF完成有关用户、客体、权限的协调分配工作。图2给出了访问控制决策器的体系结构。
二、访问控制决策器的工作流程图3给出了网格计算环境下访问控制决策器的一次访问控制决策工作流程。
具体步骤表述如下第一步、用户通过登录网格门户(Grid Portal)进行身份认证,如果认证通过则获取了虚拟组织(VO)的认可成为合法用户并可向其提交任务;否则,如果认证不通过,则不能实现对此VO内任何客体访问的权限,该用户被确定为非法用户,其此次访问操作将被终止;第二步、用户在向VO成功提交任务请求后,要求对该VO内一客体进行一种指定的访问权限,该VO的访问控制决策器中的ACEF将接受其访问请求并由其中的用户化模块首先实现用户实现访问控制的角色载体,生成具体访问客体权限的角色实体并将用户的请求提交给ACDF等待其进行决策,角色处于就绪态;
第三步、访问控制决策器中的ACDF根据ACEF传来的信息,启动其条件检测模块和授权决策模块进行决策,如果条件检测模块检测通过,即用户要获取访问权限客观环境或设备必须满足的先决条件已具备,则授权决策模块决定授权角色相应的权限,并同时启动规定检测模块准备检测,并将授权结果通知ACEF;否则,若条件检测未通过,角色将置于等待状态,直至用户具备获取访问权限的先决条件满足重新回到就绪态;第四步、ACEF根据ACDF的授权决策结果执行授予角色访问客体权限的请求,若此时规定检测模块检测赋予角色权限的规定不能立即满足,则角色将仍处于就绪状态,等待规定检测通过并由ACEF中的监控模块将其激活;若规定检测通过,则角色将置于执行态,真正被赋予对客体使用含规定的权限,ACEF启动ACMF中的客体管理模块、权限管理模块,记载客体将被如何使用的详细记录,如使用时间段、使用要求,同时ACEF中的更新模块将更新有关用户、角色和客体使用权限的信息和访问日志;第五步、角色在获得了对客体的访问权限后,执行用户指定的对客体的访问操作,并将结果返回用户,同时在权限执行过程中ACDF中的义务执行模块将被启动,它将监测用户对既定义务的完成情况,若在角色执行权限的限定时间内用户没有实时履行既定义务,则ACDF中的授权决策模块将撤消角色的权限使用,使其处于就绪状态,重新回到第三步等待条件检测参与下一轮的授权使用决策;第六步、角色完成其对客体的访问权限后,将访问结果返回给用户,ACEF将其吊销,角色被消亡,更新模块将重新实时更新所有关于用户、客体、权限的有关信息,等待该用户或其他合法用户的下一次访问请求。
三、访问控制决策器性能分析本发明中提供的网格计算环境下的访问控制决策器传统的访问控制决策器不同,它是基于ABCD-GACM模型的,此模型除了继承传统的RBAC中角色(Roles)的概念外,还引入了授权(Authorizations)、义务(oBligations)、条件(Conditions)和规定(Discipline)四个重要元素,因而在此基础上的访问控制策略器不仅具有RBAC的优越性,还增加了符合网格特性的一些功能,具体分析如下(1)该访问控制决策器借鉴了RBAC的思想,引入了角色的概念,因而在进行授权决策时实现了用户与角色分离、角色与权限分离,访问权限直接与角色相关联,对于用户数量庞大、动态易变的网格计算环境,该决策器便于系统的管理和实时更新。
(2)该访问控制器在授权决策时实现了“最小权限原则”,即用户所拥有的权限不超过他执行工作时所需的权限,一个固定的角色就确定了其对应的用户所要求的工作职责,用户要访问客体权限时必须首先由ACEF生成具有相应请求的角色,用户无法绕过角色直接与客体进行权限操作;并且,由于ACEF中的监控模块和更新模块及ACMF中的用户管理、权限管理模块的存在,用户不可能获得其所申请之外的任何权限。
(3)该访问控制决策器的决策机制是基于动态属性的,授权决策不仅仅是根据用户、客体和权限的静态属性进行判别授权与否,外在环境及操作的上下文的变化、数据在工作流中流动、执行操作的用户发生改变、条件、规定元素的引入以及既定义务执行的实时监测情况都会随时影响决策的结果;另外,ACEF中的更新模块将会实时更新用户、角色、客体及权限的属性,这些参与决策的属性从本质上来说也是动态可变的。
(4)该访问控制决策器决策机制扩展了RBAC的访问控制功能,即增加了满足规定作为约束附加条件的权限访问功能。传统的基于RBAC的访问控制不能描述和定义如下示例的访问控制策略,如只允许在晚间12点以后至次日凌晨3点间使用虚拟组织VO内的CPU(Central ProcessingUnit,中央处理器)资源,而该访问控制决策器授权、条件、义务和规定四个元素的引入使得这一功能的实现成为可能。
有益效果使用该决策器实现网格计算环境下的访问控制有如下优点1.可最大限制地利用同一虚拟组织VO内的所有可用资源。资源共享和协同工作是网格的根本目标,该访问控制决策器授权访问控制决策流程中用户和角色职责权限的分离、控制决策器中各功能模块的参与、其实时更新的特色和角色状态之间的转换使得多个用户的多个角色、同一用户的不同角色在同一时间内可竟争地、最大限度地使用该域的所有资源。
2.支持了网格计算环境的动态特性。动态性是网格的根本属性,访问控制决策器的动态决策属性保证了该访问控制器可支持网格的动态特性,适应网格计算环境的需求。
3.访问控制机制具有更好的安全性。该访问控制决策器决策机制中不存在权限转移,用户的权限由角色实现,不同的用户请求生成不同的角色,一个角色对应于一个访问权限,在一次赋予权限时遵循“最小权限原则”,角色完成其使命后将被消亡;另外,决策器中的实时监控模块保证了授权机制具有较高的安全性。
4.模块化的设计思想使得该决策器具有更好的扩展性,更能适应于不同具体场景的应用需求。访问控制决策器ACMF、ACDF、ACEF各模块的功能和任务的分配、相互之间协同工作决定了访问控制决策的实现,体现了该访问控制决策器更能针对具体应用环境进行扩展。
访问控制是网格安全防范和保护的主要策略,它是保证网格安全最重要的核心策略之一。网格访问控制技术的设计应在沿袭现有访问控制技术的基础上利用已有的成果进行扩展。该访问控制决策器提出将对网格计算中访问控制技术的理论研究及其未来软件的发展产生一定的推动作用,对未来网格计算环境下访问控制策略是一种新的尝试,提供了一种新的思路。
图1是ABCD-GACM的结构关系图。该模型给出了八个基本元素用户(Users)、角色(Roles)、权限(Rights)、客体(Objects)、授权(Authorizations)、义务(oBIigations)、条件(Conditions)和规定(Discipline)之间的结构关系。
图2是基于ABCD-GACM模型的访问控制决策器的体系结构。该体系结构由访问控制管理设备(Access Control Management Facility,ACMF)、访问控制决策设备(Access Control Decision Facility,ACDF)和访问控制执行设备(AccessControl Enforcement Facility,ACEF)三个部分组成。
图3是基于ABCD-GACM模型的访问控制决策器的工作流程图。
具体实施例方式
假设一科学家想通过网格提交一计算的任务,他要求CPU计算出从1至1000000之间的所有素数,出于工作时间安排的需要,他希望在晚上12点至凌晨3点间访问网格虚拟组织VO的CPU资源,并要求其即时提交计算结果,而VO要求科学家为其服务后必须履行的义务是留下联系方式,设定为邮箱地址,并限定履行此义务的时间范围是在获得访问权限的五分钟内,则利用该访问控制决策器实现科学家对CPU的访问控制的具体流程如下第一步、科学家登录网格门户输入自己的用户名和认证密码,提交相关认证信息等待VO的认证,若VO通过某种认证方式如CA(Certificate Authority,证书权威)颁发证书确认该科学家是组织的合法用户,则认证通过,科学家可向VO提交自己要求访问CPU的权利,具体规定是在12点至凌晨3点之间计算出所有1至1000000之间的素数;否则若认证失败,则科学家不能访问该VO内的任何资源;第二步、科学家提交对CPU的访问请求后,该虚拟组织内的访问控制决策器开始启动,首先ACEF将接受其访问请求,并由其中的用户化模块生成实现科学家访问CPU的角色,访问控制决策器中的ACDF中义务检测模块将记载下授权时必须履行的既定义务和履行任务的限定时间范围,规定检测模块记载科学家要求实现访问CPU的具体限定,即必须在12点至凌晨3点间,ACEF将等待ACDF进行决策控制,角色处于就绪状态;第三步、ACDF启动条件检测模块和授权决策模块进行决策,若条件检测模块首先检测与外在环境有关的因素如系统是否处于正常状态、是否被恶意攻击、负荷是否超载,若这些检测结果均正常,条件检测通过,科学家要获得CPU运行的条件已经具备,则授权决策模块决定授权其角色访问CPU的权限,并将授权结果通知ACEF,同时启动规定检测模块准备检测;否则,若条件检测失败,系统处于非正常状态,则角色将被置于等待状态,等待条件检测通过后将其再置于就绪态;第四步、此时角色处于就绪态,ACEF根据ACDF的决策结果执行授权请求,规定检测模块根据其角色的规定内容即必须在12点至凌晨3点之间访问CPU进行检测,若在此时间段内CPU可访问,则角色将被置于执行态,决策控制器将会在规定的时间段内授权该角色访问CPU,同时ACEF启动ACMF中的客体管理模块、权限管理模块,记载下CPU将在12点至凌晨3点之间被该科学家对应的角色使用的详细记录,更新模块更新虚拟组织VO内有关用户、角色和客体使用权限的信息和访问日志;但是,若规定检测失败,即在12点至凌晨3点间CPU因已被其他角色占用或系统瘫痪其他原因不能分配给角色,则角色将仍处于就绪态,等待规定检测通过后由监控模块将其激活;第五步、科学家申请访问CPU的角色在成功获得了访问权限后,可在其规定的具体内容内即12点至凌晨3点间访问CPU为其计算所有1至1000000之间的素数,此时ACDF中的义务执行模块将被启动,它将监测科学家是否在角色执行任务的五分钟内将联系方式即邮箱地址告知虚拟组织VO,若科学家履行了其既定的义务,则角色可在正常情况下继续其访问任务;否则,ACDF中的授权决策模块将撤消角色的权限使用,使其处于就绪状态,重新回到第三步等待条件检测参与下一轮的授权使用决策;第六步、角色在12点至凌晨3点之间访问CPU完成了计算任务后,完成了其使命并将计算结果返回给科学家,此后,角色被ACEF吊销,角色被消亡,结束了其一个生命周期,更新模块将重新实时更新所有关于用户、客体、权限的有关信息,等待该用户或其他合法用户的下一次访问请求。
权利要求
1.一种网格计算环境下的访问控制决策器的实现方案,其特征在于该方案为一个动态的附加四元素网格访问控制模型,即在实现访问控制决策时除了用户、客体、角色、权限四个基本元素外增加了授权、义务、条件和规定四个元素,建立了基于此模型的网格访问控制决策机制,其访问控制决策器的具体实现方案如下第一步用户通过登录网格门户进行身份认证,如果认证通过则获取了虚拟组织的认可成为合法用户并可向其提交任务;否则,如果认证不通过,则不能实现对此虚拟组织内任何客体访问的权限,该用户被确定为非法用户,其此次访问操作将被终止;第二步用户在向虚拟组织成功提交任务请求后,要求对该虚拟组织内一客体进行一种指定的访问权限,该虚拟组织的访问控制决策器中的访问控制执行设备将接受其访问请求并由其中的用户化模块首先实现用户实现访问控制的角色载体,生成具体访问客体权限的角色实体并将用户的请求提交给访问控制决策设备等待其进行决策,角色处于就绪态;第三步访问控制决策器中的访问控制决策设备根据访问控制执行设备传来的信息,启动其条件检测模块和授权决策模块进行决策,如果条件检测模块检测通过,即用户要获取访问权限客观环境或设备必须满足的先决条件已具备,则授权决策模块决定授权角色相应的权限,并同时启动规定检测模块准备检测,并将授权结果通知访问控制执行设备;否则,若条件检测未通过,角色将置于等待状态,直至用户具备获取访问权限的先决条件满足重新回到就绪态;第四步访问控制执行设备根据访问控制决策设备的授权决策结果执行授予角色访问客体权限的请求,若此时规定检测模块检测赋予角色权限的规定不能立即满足,则角色将仍处于就绪状态,等待规定检测通过并由访问控制执行设备中的监控模块将其激活;若规定检测通过,则角色将置于执行态,真正被赋予对客体使用含规定的权限,访问控制执行设备启动访问控制管理设备中的客体管理模块、权限管理模块,记载客体将被如何使用的详细记录,如使用时间段、使用要求,同时访问控制执行设备中的更新模块将更新有关用户、角色和客体使用权限的信息和访问日志;第五步角色在获得了对客体的访问权限后,执行用户指定的对客体的访问操作,并将结果返回用户,同时在权限执行过程中访问控制决策设备中的义务执行模块将被启动,它将监测用户对既定义务的完成情况,若在角色执行权限的限定时间内用户没有实时履行既定义务,则访问控制决策设备中的授权决策模块将撤消角色的权限使用,使其处于就绪状态,重新回到第三步等待条件检测参与下一轮的授权使用决策;第六步角色完成其对客体的访问权限后,将访问结果返回给用户,访问控制执行设备将其吊销,角色被消亡,更新模块将重新实时更新所有关于用户、客体、权限的有关信息,等待该用户或其他合法用户的下一次访问请求。
全文摘要
网格计算环境下的访问控制决策器是一种解决网格计算环境下如何实现用户对资源或服务的访问控制的方案。主要针对网格计算环境的动态性、异构性特点提出一个网格访问控制模型,并利用此模型实现一个访问控制决策器,解决网格计算环境下访问控制的决策问题,该方案为一个动态的附加四元素网格访问控制模型,即在实现访问控制决策时除了用户、客体、角色、权限四个基本元素外增加了授权、义务、条件和规定四个元素,建立了基于此模型的网格访问控制决策机制,该方案扩展了基于角色的访问控制功能,增加了访问控制决策的动态特性,实现了网格计算下动态访问控制的决策,为网格安全中访问控制机制的策略研究提供了一种崭新的模式。
文档编号H04L29/06GK1777181SQ20051012284
公开日2006年5月24日 申请日期2005年12月6日 优先权日2005年12月6日
发明者王汝传, 王海艳, 杨庚 申请人:南京邮电大学