返回
基于.资源状态和rbac的网格授权的研究

基于.资源状态和rbac的网格授权的研究

ID:33329473

大小:455.83 KB

页数:48页

时间:2019-02-24

基于.资源状态和rbac的网格授权的研究_第1页
基于.资源状态和rbac的网格授权的研究_第2页
基于.资源状态和rbac的网格授权的研究_第3页
基于.资源状态和rbac的网格授权的研究_第4页
基于.资源状态和rbac的网格授权的研究_第5页
资源描述:

《基于.资源状态和rbac的网格授权的研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、对合法用户的信息访问进行限制。审计是对系统中全部用户的请求和行为进行事后的分析,发现可能存在的安全漏洞,确保被授权的用户不滥用自己的权利。现有网格大多以Globus作为网格标准。Globus网格中间件项目中的网格安全基础设施[11,12]GSI(GridSecurityInfrastructure)是一个解决网格计算中安全问题的一个集成方[13,14]案,目前应用非常广泛。GSI基于公钥基础设施(PublicKeyInfrastructure,PKI),采用X.509认证和SecureSocketsLayer(SSL)通信协议,重点解决了认证和消息保护问题,然后在授

2、权问题上缺乏很好的技术支撑。1.2网格授权研究现状1.2.1传统授权方法[15]虚拟组织VO(VirtualOrganization)是网格系统中资源提供者和资源使用者,按照一定共享规则,动态整合形成的信息实体集合。网格系统由许多不同的机构协同完成,它们组成一个VO,共享各机构拥有的资源。因此,虚拟组织是网格环境下资源共享的分布式计算模型范式。VO中的成员是多样化的,可以是Internet上的超级计算机、存储资源、数据库、各种科学仪器等,也可以是资源发现和协同访问的高层服务单元,如资源目录、资源选择和事务管理服务等。在VO的生命周期中,这些资源协同使用,共同服务于同

3、一相关应用或同一相关领域。同一资源可以根据角色的不同而属于不同的VO,资源可以动态加入或退出VO。GSI的传统授权方法中,资源提供者通过映射文件(grid-mapfile)来管理用户对资源的访问权限,在资源消费者和资源提供者之间直接建立信任关系。映射文件由一系列用户(用户GSI证书中的区别名)到本地账号(比如一个Kerberosprincipal,或者一个Unix用户账号)的映射项组成,这个文件用来将全局账号映射到本地账号。当远程用户认证成功后,资源提供者根据用户的全局账号,通过查询映射表,如果存在一个条目将用户的全局账号映射到一个本地账号,全局账号将拥有和本地账号

4、相同的资源访问权限。在这种授权方法中,最后授予给用户的是资源站点本地用户的权限,使得授权粒度显得很大。2GSI缺乏基于全局策略的具有良好扩展性的访问控制机制,它要求每一个访问资源的全局用户都需要在本地资源服务器上拥有一个自己的账号,每一个资源服务器都需要维护一个庞大的全局/本地映射表(grid-mapfile),这种授权机制难以扩展到拥有大量资源和用户的大规模环境中。1.2.2社团授权服务CAS[16,17]由Globus团体开发的社团授权服务CAS(CommunityAuthorizationService)机制在每个社团中引入一个第三方信任机构——CAS服务器。

5、社团可以是VO中全部或部分实体,一个社团配置一个CAS服务器。CAS集中管理社团中资源和策略,负责监控社团中资源的访问控制。CAS服务器保存了社团中所有社团成员的角色及访问策略表。资源提供者对社团整体授权,不再需要利用映射文件将用户在VO中的身份映射到本地站点。CAS服务器提供了一种可扩展机制来说明和执行社团中动态、复杂的策略,允许资源提供者将部分访问控制权限委托给社团,但是仍持有对资源的最终权威。资源和用户通过CAS服务器建立信任关系,使得加入社团的实体只需要同CAS服务器交互。当用户要访问资源时,首先与CAS服务器交互,CAS服务器根据用户的请求以及其在社团中的

6、角色委托一定的权限给用户。CAS系统采用“推”式授权机制,如图1.1所示,采用CAS机制的授权过程如下:GridftpCASDBServerGridftp服务(被修改来进用户、对象、CAS服务行CAS授权)应答权限查询CAS服务授权库策略声明策略声明请求GridftpCas-proxy-init客户端代理和CAS用户普通的的策略声明用户代理策略声明图1.1社团授权服务流程图3(1)用户用它的代理证书向CAS服务器认证,证明自己的身份;(2)用户向CAS服务器发出请求,如果请求符合CAS策略数据库中的VO策略,CAS服务器返回给用户适当的能力(Capability),

7、该能力包含了用户得到的权限;(3)用户使用能力向资源/服务提供者认证,执行(2)中得到的权限。CAS授权方法受限于团体的规模。由于CAS服务器保存VO中所有成员的授权信息,当VO规模足够大、资源和用户动态变化频繁时,这些授权信息随之不停更新。另外当有很多用户同时与CAS服务器发生交互时,CAS服务器可能出现瓶颈,导致性能下降甚至瘫痪。1.2.3虚拟组织身份服务[18,19]虚拟组织身份服务(VirtualOrganizationMembershipServer,VOMS)由DataGrid和DataTAG项目提出,用于管理域范围内的授权信息。VOMS模型的授权灵

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。