信息網(wǎng)格跨域訪問權限控制的研究

摘要：信息網(wǎng)格中資源的共享通過訪問控制對合法用戶和信息服務請求進行授權來實現(xiàn)，訪問控制機制的采用受到信息網(wǎng)格的復合管理域特點的影響。本文闡述了信息網(wǎng)格訪問控制的關鍵問題，分析了信息網(wǎng)格的多管理域特點，進一步提出了一個可以動態(tài)更新信息的復合式授權和查驗機制，從而解決跨域訪問帶來的困難、簡化管理操作。

關鍵詞：信息網(wǎng)格；域；訪問控制；授權；查驗

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)11-20240-03

1 引言

網(wǎng)格是近年來逐漸興起的一個研究領域。它是把整個互聯(lián)網(wǎng)整合成一臺巨大的超級計算機，實現(xiàn)計算資源、存儲資源、數(shù)據(jù)資源、信息資源、知識資源、專家資源的全面共享與協(xié)同工作。 信息網(wǎng)格是在全國以及全世界范圍內(nèi)對各行業(yè)和社會大眾，提供各種一體化信息服務的信息基礎設施，是強調(diào)信息存儲、管理、傳輸、處理的網(wǎng)格，它具有復合管理域的特點。

訪問控制是系統(tǒng)安全機制的重要組成部分。信息網(wǎng)格中訪問控制解決的是合法用戶對網(wǎng)格資源的訪問權限問題。在信息網(wǎng)格復合管理域這一特征環(huán)境中，訪問控制需要考慮異構管理域問題，也即跨域的授權訪問與查驗。目前針對跨域的訪問控制的研究有很多。在信息網(wǎng)格系統(tǒng)中比較常用的幾種訪問控制機制有域信任模式、信任第三方的授權認證機制、用戶映射或者權限關系映射機制訪問控制機制來解決跨域問題，但他們存在管理域數(shù)目增大、管理開銷大、控制不靈活、實現(xiàn)困難等特點。針對這些缺點，本文在用戶映射或者權限關系映射機制的基礎上提出權限預分配方案，從而實現(xiàn)跨域的復合授權與查驗。

2 信息網(wǎng)格復合管理域訪問控制

在信息網(wǎng)格中，信息共享要求能夠跨越管理域的邊界進行授權，使共享關系處于受控狀態(tài)，將那些資源共享給哪些管理域或者說是哪些用戶都應得到明確的定義，同時共享機制不能強制改變本地的訪問控制機制，需要保持本地控制的自主性原則，即在各個管理域中，可以獨立的指定本管理域的訪問控制策略，并且對資源保留最終的控制權。因此，跨域的資源共享就變得比較復雜。在許多信息網(wǎng)格系統(tǒng)已經(jīng)采用了幾種方案來實現(xiàn)跨域的資源共享，如域信任模式、信任第三方的授權認證機制、用戶映射或者權限關系映射機制。

(1)域信任模式

在這種模式下，域與域之間具有一定的信任關系，域信任關系使得一個域中的用戶可由另一域中的域控制器進行驗證，才能使一個域中的用戶訪問另一個域中的資源。所有域信任關系中只有兩種域:信任關系域和被信任關系域。信任關系就是域A信任域B，則域B中的用戶可以通過域A中的域控制器進行身份驗證后訪問域A中的資源，則域A與域B之間的關系就是信任關系。被信任關系就是被一個域信任的關系，在上面的例子中域B就是被域A信任，域B與域A的關系就是被信任關系。信任與被信任關系可以是單向的，也可以是雙向的，即域A與域B之間可以單方面的信任關系，也可以是雙方面的信任關系。這種方式下，域和域之間的關系比較簡單，在用戶管理方式，授權和驗證的方式，資源的使用方式的每個細節(jié)上都是高度同構的，并且域A在跨域授權時是直接針對域B中的用戶，需要確切的了解域B用戶的身份才能確定是否授權給他，當域B中的人員發(fā)生變化時，域A的授權也需做出相應的改變。經(jīng)常用在兩個域之間相互比較了解、可以相互信任的情況下。在相互信任的域比較多的情況下，某個用戶因為工作任務的變化而進行的權限的更改可能會影響到所有的域，要求各個域的管理員了解情況作出更改，并且域之間的信任關系是可傳遞的增加了分析的復雜性，實際應用的中的可擴展性不強，相互信任的域數(shù)量增大時，日常管理的開銷會迅速的增加。

(2)信任第三方的授權認證機制

這種機制主要使用一第三方授權服務器，進行共享的各管理域把需要共享資源的訪問權限交給授權服務器，然后由授權服務器對需要訪問資源的用戶以某種策略進行統(tǒng)一的授權，用戶取得一定的憑證后提交給資源所在的管理域后即可訪問資源。這實際上是一種集中式的管理方式，各管理域之間不直接進行交互，而是通過授權服務器這個控制中介進行，由于各個域需要將共享資源的控制權給予授權服務器，削弱了對這部分資源控制上的自主性，可能帶來潛在的安全隱患。因此要求所有需要共享資源的管理域共同信任一個第三方在很多情況下是難以做到的，也不夠靈活。

(3)用戶映射或者權限關系映射

在某種預定的策略下，根據(jù)提供的其他管理域用戶的某些信息，將外部用戶靜態(tài)或動態(tài)的映射到本地用戶或權限集合。例如如果兩個管理域都采用基于角色的訪問控制，則根據(jù)外部用戶的某種角色給其手工或者自動的分配本地的角色。這種方式需要對外部用戶的信息有相當?shù)牧私猓槍σ欢ǖ男枰贫ㄓ成洳呗裕⑶彝ǔＲ髢蓚€管理域的訪問控制機制是同構的。但在網(wǎng)格條件下各個管理域訪問控制策略的不同，大多數(shù)情況下用戶信息是未知的或不可能預先估計的，策略即使已經(jīng)非常復雜了也不能適應各種情況下的多種需要，這種方法針對特定的應用場景具有良好的效果，卻很難普遍使用。

3 復合授權與查驗

本文中我們提出的權限預分配的授權與查驗方法就是基于用戶映射或者權限關系映射機制。我們在本地域建立用戶和權限映射關系，繼而在此基礎上深入探討跨域的訪問控制問題。首先，我們定義了一個四元組IG=(S， O， C，P)，其中S是主體(Subject，如用戶)集合，O是客體(Object，如資源、服務)集合，C與P分別是社區(qū)共享的上下文和策略的集合。信息網(wǎng)格中的社區(qū)，可以是一個實際的組織，也可能是多個實際組織組成的虛擬組織，或者一個實際組織中需建立的多個社區(qū)。但從訪問控制的角度看，都是根據(jù)社區(qū)內(nèi)特定的訪問控制策略或者共享策略，給社區(qū)內(nèi)的用戶分配資源或者服務的權限以及對外共享或者使用別的社區(qū)的共享資源，社區(qū)代表了一個訪問控制管理域，所以本文中的跨社區(qū)的授權與查驗實質(zhì)上就是跨域的授權與查驗。

3.1 一次授權的概念

一般情況下，管理域的訪問控制包含以下幾個組成部分:主體(用戶、程序)，客體(資源、服務)，訪問控制機制，然后在一定的訪問控制策略下，限制訪問主體對客體的訪問權限，使計算機系統(tǒng)在合法的范圍內(nèi)使用。基于角色的訪問控制中，用戶獲得角色而擁有角色所擁有的權限。在社區(qū)內(nèi)部進行授權時，用戶和資源都處于管理域的直接控制之下，只需根據(jù)一定的訪問控制策略，將資源權限直接賦予用戶即可。我們把這種在一個授權過程中就可以完成的授權稱為一次授權。

在域內(nèi)部授權時，一次授權是普遍使用的方式。在跨域授權時，如果系統(tǒng)是同構的，并且實際中的關系較為緊密，采用一次授權也是很合適的。但如果需要相互共享的域較多，用戶數(shù)量很多，人員的權限因為任務職務原因變動頻繁時，一個域中用戶的權限的變化常常需要其他的域也做出改變，日常管理的開銷還是很大的。那么信息網(wǎng)格中，在潛在的異構訪問控制機制和策略下進行跨社區(qū)的授權時，如果目標不是針對特定的應用場景，而是想提供可以自動交互的通用的跨社區(qū)共享的機制，情況就變得尤為復雜和困難了。在這種情況下，當與訪問控制相關的用戶屬性，訪問控制策略，訪問控制機制的實現(xiàn)都是異構的。并且獲得與設置用戶的相關屬性是困難的繁瑣的，甚至是不可能的。

3.2 權限預分配

實際上在跨社區(qū)共享時，大多數(shù)情況下，提供資源的社區(qū)(以下簡稱資源社區(qū))在授權時只需根據(jù)某種協(xié)議或約定將資源共享給使用資源的社區(qū)(客戶社區(qū))，而不必關心客戶社區(qū)中究竟那個用戶擁有何種權限，并且用戶權限變化時也不應要求資源社區(qū)必須做出改變。根據(jù)以上的觀點，本文提出了跨社區(qū)訪問的兩階授權概念，它的核心是對資源的訪問權限不是直接授予使用它的別的社區(qū)的用戶，而是首先使用資源社區(qū)的授權機制在本地的策略下預先將共享資源的權限作為一個整體授予客戶社區(qū)，然后客戶社區(qū)再利用自己的授權機制在本地的策略下將其中某些權限分配給本地的用戶。這兩個階段是與資源社區(qū)和客戶社區(qū)各自的性質(zhì)、作用相適應的:資源社區(qū)以用本地的方式?jīng)Q定將資源以合適的粒度共享給另外的社區(qū)，并擁有最終的控制權，而不必關心客戶社區(qū)中用戶的具體信息，使用的訪問控制策略，組織結(jié)構以及它們的變動對共享所帶來的影響。而客戶社區(qū)對獲得的共享資源在本社區(qū)內(nèi)的使用，可以根據(jù)自己具體的人員信息，組織結(jié)構以及組織的演變擁有決定權。

社區(qū)l是資源社區(qū)，社區(qū)2是客戶社區(qū)。這里資源社區(qū)和客戶社區(qū)是相對的，在標準的軟件配置下，一個社區(qū)既可以是資源社區(qū)，也可以是客戶社區(qū)。首先，在資源社區(qū)中建立各個需要共享資源的社區(qū)需求表，表里登記各個社區(qū)的訪問信息，同時創(chuàng)建代表各社區(qū)的共享權限用戶表，并保存到數(shù)據(jù)庫中。然后使用社區(qū)的授權程序和授權策略對該用戶表中的各個用戶進行授權，授權結(jié)果被保存到授權數(shù)據(jù)庫中。由于本文采用基于角色的訪問控制機制，因此對資源社區(qū)使用RBAC策略。然后調(diào)用共享發(fā)布軟件，將相關的授權信息轉(zhuǎn)換成規(guī)定的信息格式，放入共享信息發(fā)布區(qū)，通過共享資源發(fā)布，客戶社區(qū)可以對授權結(jié)果進行查詢。這個共享發(fā)布工具并沒有統(tǒng)一的實現(xiàn)，需要使用預分配權限的社區(qū)自己實現(xiàn)，只是要求它能讀取和分析授權數(shù)據(jù)庫中的數(shù)據(jù)并提供規(guī)定格式的信息。

建立的社區(qū)訪問登記表，可以根據(jù)客戶社區(qū)的變更而進行動態(tài)的修改，進一步修改共享權限用戶表，從而優(yōu)化訪問機制、提高資源共享效率。該授權過程中，不僅解決了上述提到的管理復雜、訪問煩瑣、降低授權次數(shù)等問題，還能夠動態(tài)的解決新建社區(qū)對共享資源的訪問需求。

3.3 雙重查驗

與復合授權相對應的是運行時雙重查驗過程（如圖3）。

首次權限查驗：用戶在使用資源的時候，首先要經(jīng)過本地引用監(jiān)視器的權限檢查，如果在本地沒有通過授權，用戶就不能發(fā)出有效的調(diào)用請求。在通過了本地權限查驗之后，本地系統(tǒng)才會向資源社區(qū)發(fā)出合法有效的調(diào)用信息。這里我們需要說明的是，社區(qū)和社區(qū)之間存在某種社區(qū)身份查驗，在調(diào)用跨社區(qū)的資源時，有效的調(diào)用包含調(diào)用參數(shù)并附加社區(qū)身份認證信息。所以用戶只有通過本地查驗，同時通過資源社區(qū)的身份查驗后才能得到響應的服務響應。

二重權限查驗：資源社區(qū)在收到外部調(diào)用的請求后首先通過社區(qū)訪問登記表進行社區(qū)身份的認證，確定是合法有效的身份后，映射到對應的共享權限用戶表；然后根據(jù)數(shù)據(jù)庫中的信息，查驗該調(diào)用是否得到授權。通過查驗后，才允許共享該資源，并建立調(diào)用關系。

4 結(jié)論

權限預分配和兩次查驗著重體現(xiàn)在社區(qū)和社區(qū)之間的交互能力上。共享關系是自主的，權限和用戶也并不是直接聯(lián)系在一起，他們是在其管理域交互下聯(lián)系起來的，跨域邊界的資源共享通過管理域各自合理的分工實現(xiàn)。

在本文中，我們將權限授予以及查驗分為兩個階段來實現(xiàn)，這樣就不用直接解決管理域異構問題，從而解決跨域資源共享帶來的困難。在該機制下，我們既保留了客戶社區(qū)的異構機制和策略，又能適應跨域共享的交互性要求。同時，還能動態(tài)更新客戶社區(qū)信息，減少冗余，減小信息管理的復雜度。

參考文獻：

[1] Ian Foster，Carl Kesselman，Steven Tuecke.The anatomy of the grid: Enabling scalable virtual organizations.International Journal Supercomputer Applications，2001，15(3):200-222.

[2] David F Ferraiolo， Ravi Sandhu， Serban Gavrila et al. Proposed NIST standard for role-based access control.ACM Trans on Information and System Security，2001，4(3):224-274.

[3] D.F.Ferraiolo，J.F.Barkley，D.R.Kuhn.A Role-Based Access Control Model and Reference Implementation Within a Corporate Internet. ACM Transaction on information and System Security，1999，2(1):34-6.

[4] T.Pfeifer.Internet-Intranet-Infranet:A Modular Integrating Architecture.Proceedings of the The Seventh IEEE Workshop on Future Trends of Distributed Computing Systems， 2000.

[5] 徐志偉，李曉林，游贛梅.織女星信息網(wǎng)格的體系結(jié)構研究.計算機研究與發(fā)展，2002，39 (8):948-951.

[6] 都志輝.網(wǎng)格計算:支持全球化資源共享與協(xié)作的關鍵技術. 第1版，武漢:華中科技大學出版社，2005年.

[7] 徐志偉，馮百明，李偉.網(wǎng)格計算技術.第1版，北京:電子工業(yè)出版社，2004年.

[8] 邵桂偉，余本功，楊善林.一種針對信息網(wǎng)格RBAC模型私有權限問題的有效解決方案.計算機應用研究，2007，23(4):133-135.

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文