基于角色的網格細粒度授權的研究.pdf

1、網格計算作為一種新模式的分布式計算基礎架構,因其資源和服務的異構、動態(tài)、多域的特征,決定了安全機制的重要性.授權和訪問控制是安全的一個非常重要的部分,但是在目前,還沒有一個很好的方法解決這個問題.GT2通過用訪問控制列表文件映射全局用戶證書標識到本地帳號的方式來進行授權,GT3工具包也采用了同樣的方法.但是這樣的方法不能很好滿足虛擬域里用戶的需求.例如:作業(yè)管理的授權是粗粒度和靜態(tài)的,本地程序的執(zhí)行主要依靠本地帳號賦予的權利,而不能隨著

2、用戶的特定請求而改變權限.除此之外,每一個網格用戶都必須擁有一個本地帳戶,這無疑加重了系統管理員和用戶的負擔.針對這些不足,同時結合具體環(huán)境的需求,在分析RBAC96模型的基礎上,利用Globus工具包中已有的安全驗證環(huán)境,提出了網格計算中一種面向域的通用授權和訪問控制結構模型RB-GACA,以實現細粒度授權.在RB-GACA模型中,引入了域、組織機構、操作組和對象組等重要概念.利用域和組織機構,簡化了RBAC模型的實現難度,操作組概念

3、的引入,使得安全管理員可以從部門業(yè)務的角度上進行授權管理,提高了授權管理的可操作性,降低了操作失誤的可能性.整個模型實現包括三個部分:角色授權管理子系統、訪問控制決策子系統和授權仲裁子系統.角色授權管理子系統負責授權策略的管理,利用的規(guī)范標準是SAML和X.509證書及其擴展;訪問控制決策子系統負責管理虛擬域內用戶的驗證和授權,授權通過查詢策略數據庫里的用戶證書標識,返回一個嵌入有請求用戶權限宣言的代理證書,使其能訪問相關被授予權限的資