一種基于任務的計算網格訪問控制模型

摘要：網格安全基礎設施(GSI)解決了身份鑒別、保密性和完整性問題，卻難以有效地解決訪問控制問題，傳統的訪問控制模型也不能很好地滿足網格的安全需求。為此，提出了一種基于任務的計算網格訪問控制模型。該模型通過定義授權步和任務狀態及系統條件約束，能動態地控制主體訪問資源的權限，具有較好的通用性、靈活性和可擴展性，并已在計算網格實驗平臺中得到了實現。

關鍵詞： 計算網格; 訪問控制; 基于任務的訪問控制; 授權步

中圖分類號：TP309; TP393文獻標志碼：A

文章編號：1001－3695(2008)01－0235－03

0引言

作為一種新的協同工作形式，網格計算已經成為國內外研究的熱點。資源的廣泛共享和開放的網絡協議，對網格的安全性提出了前所未有的挑戰。近年來，研究者在網格安全方面做了大量研究，網格安全基礎設施(grid security infrastructure，GSI)[1]就是其中具有代表性的研究成果之一。GSI是保證網格計算安全性的核心，它支持用戶代理、資源代理、認證機構和協議的實現，向上提供一系列的安全協議，向下支持各種安全機制和技術。GSI采用GSS API（generic security service application programming interface）作為安全編程接口，利用PKI(public key infrastructure)技術，較好地解決了主體間安全鑒別、單點登錄和安全通信等問題。然而，GSI并不能充分解決授權和訪問控制的問題，它通過gridmap配置文件將網格用戶的身份映射到本地用戶上，其訪問控制粒度是基于本地用戶的操作權限的，因此是一種粗粒度的靜態訪問控制模式。在實際網格環境中，往往需要根據網格用戶的行為和節點的系統環境狀況來動態決定映射后的訪問權限，因此，有必要進一步研究一種統一的、應用無關的訪問控制策略和模型，以解決網格環境下授權和訪問控制的通用性、自主控制、動態適應和互操作等關鍵問題。

本文以華中科技大學網格計算平臺為例，詳細論述了計算網格環境下的訪問控制機制，分析了網格訪問控制模型研究現狀，提出了一種基于任務的計算網格訪問控制模型，給出了具體的定義和訪問控制算法，并與其他網格訪問控制模型進行比較，最后根據該模型得到在計算網格實驗平臺下的實現情況。

1網格訪問控制模型研究現狀

網格通常是一個跨越了多個不同地點和不同自治域的異構環境，每個域的訪問控制策略和需求可能互不相同。為了同時滿足全局控制和自主控制的需求，大多數網格系統的訪問控制是通過擴展傳統的自主訪問控制(DAC)、強制訪問控制(MAC)或基于角色的訪問控制(RBAC)而來的。文獻[2]介紹了一種用于網格訪問控制的RB GACA架構，就是在RBAC模型中擴展了網格安全組件的定義；文獻[3]提出了將Bell LaPadula模型用于網格訪問控制的方案，也是一種MAC模型針對網格環境的擴展。這些傳統訪問控制模型及其擴展模型都是從系統的角度（控制環境是靜態的）出發保護資源。其訪問控制的原理可以簡單描述為：如果主體對客體有訪問請求，且主體有相關的權限，那么允許訪問操作。 這類基于主體標志的策略均屬于被動的安全模型。在網格環境下，應用這類訪問控制機制缺乏安全控制的靈活性，往往會造成巨大的安全管理負擔，甚至產生安全隱患。

安全研究人員也意識到傳統訪問控制機制在網格系統中應用的局限。文獻[4]提出了一種基于角色和上下文的訪問控制模型，提出了利用上下文變量動態地進行訪問控制的思路；文獻[5]利用使用控制（UCON）模型思想，提出了授權持續性和安全屬性可變性的策略。這些新的模型實現了動態的主動授權機制，但需要集中的訪問控制服務，仍難以完全符合網格系統節點高度分布的特性，并且需要使用獨立服務來監控上下文信息或屬性記錄，不易在已有的計算網格環境中部署和實現。

R. K. Thomas和R. Sandhu[6]提出了一種基于任務的訪問控制模型。 其核心思想是從應用的角度出發保護資源。在這種策略中，主體對客體的訪問，不僅依賴主體和客體的授權關系，還依賴于主體當前執行的任務以及任務的狀態。客體的訪問控制將根據主體執行的任務情況發生變化。當且僅當相關任務處于活動狀態時，主體的訪問權限才能有效；否則權限將被凍結或撤銷。因此，TBAC是一種動態授權的主動安全模型。

TBAC的核心是關于授權步（authorization step）的定義。授權步是訪問控制系統最基本的控制單位，由受信者集(trustee set)和若干個許可集(permissions set)組成，如圖1所示。受信者集是所有可能被授予執行任務的用戶集合，許可集則是執行任務時擁有的訪問權限。當任務到來，授權步初始化以后，一個來自受信者集中的成員將被授予授權步，稱這個受托人為授權步的執行者(executor)。執行者執行任務時所需的權限稱為執行者權限(executor permissions)。授權步根據當前訪問控制策略使其中部分權限生效，這些生效的權限稱為激活權限集(enabled permissions)。執行者權限集和激活權限集一起稱為授權步的保護態（protection state）。

TBAC模型是基于工作流管理系統的需求提出的，帶有明顯的針對性（如授權步的依賴關系定義）。但是，其動態授權的主動安全模型設計思想對計算網格訪問控制策略很有借鑒意義。本文提出的基于任務的計算網格訪問控制模型(CG TBAC)，就是在分析工作流系統和計算網格環境的需求共性的基礎上，針對計算網格需求特性進行擴充，弱化TBAC工作流特性而提出的。

2基于任務的計算網格訪問控制模型

計算網格一般是針對高強度科學計算應用需求而建立的，如美國的TeraGrid、歐洲的EuroGrid和我國的NHPCE（national high performance computing environment）等。 在這種環境下，通常由網格用戶向網格門戶提交復雜的計算項目，每個項目通常被劃分為多個計算任務，分發到不同的網格節點完成。各節點在處理計算任務時，將網格用戶映射為本地主體，以便獲得訪問節點資源的權限。目前，這種控制仍然是粗粒度的，即網格用戶映射到本地后，完全具有本地用戶的權限，訪問控制系統不對本地用戶和映射用戶加以區分。這種方式并不能完全體現實際的安全需求。以為密鑰窮舉計算為例，網格用戶提交了密鑰窮舉計算項目后，網格系統將該項目分成若干子任務，并將任務和計算程序分發到各網格節點。某網格節點接收到該任務后，希望選擇當CPU空閑率達到80%，且在下午6點以后、早上8點以前啟動任務，只有任務處于啟動狀態，代表網格用戶的計算程序方可訪問密鑰文件keyfile。這樣的需求很難通過傳統的訪問控制模型來實現。在理想狀況下，網格用戶映射到本地后，暫不具備本地用戶權限（或擁有的權限處于“未激活”狀態），只有在計算任務開始執行并滿足一定的外部條件時，才能獲得相關資源的訪問權限（或“激活”相關權限）。

計算網格訪問控制的這一特點和TBAC策略有很大的相似之處，均體現了動態的主動安全思想。然而，TBAC模型是基于工作流管理系統的需求提出的，帶有明顯的針對性。例如由于計算網格中的節點任務相對較獨立，TBAC中授權步之間的依賴性在計算網格環境中可以忽略；TBAC的條件約束主要限于工作流范圍，對外部約束考慮不充分；網格用戶通常直接映射到本地惟一賬號，受信集的作用也不明顯。

本文根據計算網格實際訪問控制需求，擴展了TBAC模型中的條件約束，簡化了TBAC模型中具有明顯工作流管理系統特征的組件，提出了一種更適合計算網格訪問控制特點的CG TBAC模型。其結構如圖2所示。

在該模型中，權限（即對客體的操作）不再直接授予主體，而是指派給網格節點的任務；主體不與權限直接關聯，而是與授權步關聯，并由授權步根據任務狀態和系統條件約束激活所需的權限。

CG TBAC的實現模型如圖3所示。與傳統訪問控制策略實現模型相比，其區別主要是增加了任務管理模塊和系統狀態參考。由于任務是主體獲得權限的關鍵，任務管理模塊應成為參照監控器(reference monitor)的一部分，防止用戶竄改或繞過其控制。

2．1CG TBAC的定義

定義1S為網格節點中的主體集合，由網格用戶通過惟一標志名DN(distinguish name)映射到節點的本地用戶或用戶代理組成。

定義2O為網格環境下的客體集合，包括文件、程序、磁盤、打印機、傳感器等各種資源。在符合開放式網格服務架構（OGSA）規范下的網格系統中被定義為各種服務。

定義3OP為網格客體的操作集合。不同的客體有不同的操作方式，操作方式可利用WSDL描述網格服務時定義。

定義4P為由二元組(OP， O)所組成的集合，稱為權限集合。

定義5T為任務集合，在網格系統中通過任務句柄標志，由任務管理模塊定義。

定義6TS為網格任務狀態。GT4中定義了四種狀態，即掛起(pending)、活動(active)、失敗(failed)和完成(done)。

定義7ACT×TS為授權步激活條件。通常的激活條件是任務處于活動狀態。

定義8SC為系統約束條件，是關于系統狀態的斷言，由〈系統變量〉〈邏輯操作符〉〈變量值〉組成。也可利用規則表達式描述更復雜的約束條件。

定義9PS2P為保護態，由完成任務所需的權限組成。

定義10ASS×PS×AC×SC表示授權步。當任務滿足AC定義的激活條件時，激活保護態賦予主體S的相關權限。

定義11CG TBAC模型={S， O， P， T， TS， SC， AS}，各元素含義見定義1~10。授權函數G(AS)→P，PPS表示授權步生效后，主體獲得激活權限；授權回收函數R(AS，P1)→P2， P1PS，P2=PS-P1。

引入函數HasTask(s， t， ts)判斷主體當前任務狀態。如果主體s目前擁有狀態為ts的任務t，則返回true；否則返回1。函數由任務管理器模塊實現。在GT4中，可以由GRAM完成。

2．2訪問控制算法

主體s請求對客體o執行op操作時，可依照如下算法判斷是否允許此請求：

Algorithm: RequestAccess(S s， O o， OP op)

AuthorizationConditionSet ACS={} //授權步激活條件集初始化

for each as in AS

if (s=as.S) and ((op，o)∈as.PS)

put as.AC in ACS//獲得主體的授權任務條件

end if

end for

for each ac in ACS

if (HasTask(s，ac.T，ac.TS)) and (ac.SC=true)

return true

//判斷主體任務狀態和系統狀態的斷言是否滿足激活權限的條件

end if

end for

return 1//沒有滿足狀態條件的任務，拒絕訪問

2．3與其他模型的比較

CG TBAC模型與傳統訪問控制擴展模型相比，具有比較明顯的靈活性和更強的安全性。在模型中，如果令TC=，則可表示一般的自主訪問控制模型；如果將主體S用角色R代替，并引入主體和角色的對應關系，則可表示基于角色的訪問控制模型（但在計算網格環境下，需要解決域間角色映射帶來的角色隱蔽提升和滲透問題）；在定義S和O時，增加安全標記屬性，可引入強制訪問控制（需要對訪問控制算法稍作修改）。因此可見，CG TBAC是一種非常靈活的策略中立模型。與傳統的三大模型相比，CG TBAC模型增加了任務和系統狀態條件限制，主體的權限不再是固定不變的，而是根據主體執行的任務和系統狀況動態改變。只有在主體執行任務時才分配所需的權限，更符合最小特權的安全原則。

由此可見，CG TBAC模型比較適合計算網格環境下訪問控制的需求，能較好地兼顧全局和本地訪問控制策略。

3在計算網格實驗平臺中的實現

在本項目實驗網格環境中，CG TBAC模型已在GT4平臺上實現。圖4給出了該模型的部署框架。其中：gatekeeper負責進行與網格用戶的安全鑒別和本地主體映射，實施資源訪問的安全策略，并在本地啟動任務管理者(task manager)；任務管理者負責啟動任務，監控任務狀態并處理和用戶的通信，由通用組件和平臺相關組件構成；應用管理者(app manager)是一個集中的管理者，從任務管理者接收回調請求，管理在多個不同資源上運行的應用；資源監視器(res monitor)負責監視本地調度系統和本地資源，能根據資源情況估計任務延遲。

圖4CG TBAC的部署框架

當網格用戶需要訪問本地資源時，首先需要與gatekeeper進行相互鑒別，并根據mapfile映射成為本地主體；主體向gatekeeper發出訪問資源的任務請求；gatekeeper將創建任務管理者啟動任務；任務管理者隨時監控任務狀態，并將狀態報告給應用管理者和gatekeeper; gatekeeper可根據安全策略配置動態調整主體的權限，決定是否允許主體訪問相關的資源。通過擴展globus_gram_client、globus_gram_myjob和globus_gram_jobmanager系列接口，實現了上述控制過程。

4結束語

計算網格中的資源訪問控制因異構的網格環境顯得非常復雜。本文提出的基于任務的計算網格訪問控制模型是一種主動的安全模型，能解決傳統訪問控制模型中因靜態授權帶來的權限脫離任務問題。該模型具有以下優點：a)靈活性，能通過不同的集合定義方式實現各種訪問控制策略；b)可擴展性，能通過擴展任務屬性滿足不同的計算網格實際控制要求；c)更能體現最小特權的安全原則，較好地實現了主動安全的動態授權思想，使主體只能在任務需要的時候才能獲得對客體的訪問權限，一旦任務條件不滿足要求則立即收回權限。在實驗網格計算環境中，本模型已經成功實施和部署。在下一步研究工作中，將著重分析任務之間的依賴關系，提高控制數據的抽象性，進一步完善基于任務的計算網格訪問控制機制。

參考文獻：

[1]FOSTER I， KESSELMAN C， TSUDIK G， et al. A security architecture for computational grids[C]//Proc of ACM Conference on Computers and Security. 1998: 83－91.

[2]QIANG Wei zhong， HAI Jin， SHI Xuan hua. RB GACA: a RBAC based grid access control architecture[J]. International Journal of Grid and Utility Computing， 2005，1(1):61－70.

[3]BU Guan ying， XU Zhi wei. Access control in semantic grid[J]. Future Generation Computer Systems， 2004，20(1):113 122.

[4]YAO Han bing， HU He ping， LU Zheng ding， et al. Dynamic role and context based access control for grid applications[C]//Proc of the 6th International Conference on Parallel and Distributed Computing， Applications and Technologies (PDCAT'05). 2005:404－406.

[5]MARTINELLI F，MORI P，VACCARELLI A.Towards continuous usa￣ge control on grid computational services[C]//Proc of the Joint International Conference on Autonomic and Autonomous Systems and International Conference on Networking and Services (ICAS/ICNS). 2005:82－89.

[6]THOMAS R K， SANDHU R. Task based authorization controls (TBAC):a family of models for active and enterprise oriented authori￣zation management[C]//Proc of the 11th IFIP WG11.3 on Database Security. Vancouver， Canada:[s.n.]， 1997:166 181.

“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”