教學網格門戶訪問控制研究

摘要:教學網格門戶能有效地改善網絡教學環境，提高校園網資源的利用率。一個有效滿足最小特權原則的訪問控制機制必不可少。堅持最小特權原則，要不斷調整用戶權限，適應當前情況。為教學網格門戶提出一種上下文感知的訪問控制機制，建立在網格安全基礎設施提供的安全機制上，增強安全性。提供緊湊、準時的權限，使授權用戶能依環境訪問特定對象。上下文的不斷變化引發權限的持續調整，從而減少執行任務期間損害信息完整性的風險。

關鍵詞:網格;網格門戶;安全;基于角色的訪問控制(RBAC)

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)33-9536-03

Research on Access Control of Teaching Grid Portal

LI Chun-yu， Ma Guo-fu

(Computer Engineering Department， Anyang Institute of Technology， Anyang 455000， China)

Abstract: Teaching grid portal can effectively improve network teaching environment and campus network resources utilization. Providing an effective access control mechanism that meets the requirement of the least privilege principle is essential. Adherence to the least privilege principle requires continuous adjustments of user permissions in order to adapt to the current situation. This paper presents a context-aware access control mechanism for the teaching grid portal. The proposed mechanism builds upon and enhances security mechanisms provided by the Grid Security Infrastructure. It provides tight， just-in-time permissions so that authorized users get access to specific objects according to the current context. These permissions are subject to continuous adjustments triggered by the changing context. Thus， the risk of compromising information integrity during task executions is reduced.

Key words: grid; grid portal; security; role-based access control (RBAC)

網格門戶是基于Web的應用程序，提供身份驗證、個性化、單點登錄、任務提交、信息查詢等功能。通過網格門戶，網格用戶可以方便地訪問網格，透明地使用整個網格上的資源。網格門戶是網格用戶使用網格的入口，用戶通過瀏覽器訪問網格門戶，并通過網格門戶達到訪問底層網格資源的目的。在網格門戶層，用戶可以提交網格作業、監視作業的運行、 管理和傳輸數據、查詢網格資源信息、執行領域應用等。網格服務層屏蔽了網格資源的異構性，支持網格資源的統一管理、分布調度、安全控制。網格資源[1]指的是所有能夠通過網格遠程使用的實體，包括軟件、數據、硬件等，基于校園網的教學網格中，網格資源可分為數據資源、計算資源、軟件資源、存儲資源等，這些資源分布在校園網中的不同主機上。此網格門戶的體系結構，具有良好的可擴展性，每層中組件的添加或刪除，都不需重新編程。

采用網格技術建設遠程教學網格平臺，可以更好地聚集校園網中的教學資源，改善教學環境。基于Portlet框架的教學網格門戶，屏蔽了底層網格實現的復雜性。使用該網格門戶，教師和學生可以提交網格任務，訪問網格資源，使用教學網格應用系統。教學網格和教學網格門戶的使用，改善了網絡教學環境，提高了校園網資源的利用率，也促進了教學模式和教學手段、教學方法的改革，利于以學生為中心的自主學習，提高了教學效果。

在過去的幾年里，已趨向于將BPEL用于網格服務組成[2]。安全方面，如認證和訪問控制，沒有用BPEL標準化，而是留給BPEL兼容的流程引擎實施。而網格中間件，即開放網格服務架構-數據訪問與集成OGSA-DAI(Open Grid Services Architecture - Data Access and Integration)，有利于數據聯合和分布式查詢，通過使用網格數據庫服務進行處理，提供授權和訪問控制方面相對簡單和靜態的機制。已做了幾項研究，實施用BPEL的訪問控制，實施網格中間件服務所使用的訪問控制機制。大多數研究認為，適當納入改進的基于角色的訪問控制(RBAC)機制，兩個BPEL和網格中間件服務可以從中受益[3]。然而，他們不關心建立在一個網格基礎設施上的教學網格門戶中上下文感知的訪問控制。

本文主要關注教學服務中常發生的情況，需要時，經授權的用戶可以隨時隨處獲得所請求的信息。因此，提出上下文感知的訪問控制機制，像在RBAC一樣，含有廣泛的、基于角色的權限分配和管理整個對象類型的優勢，還提供了靈活性，即BPEL流程頒布期間，根據當前的上下文在個別對象上調整角色權限。執行一個工作流實例時，感知上下文信息的改變，適應完成工作的最低要求的用戶權限。在BPEL工作層和網格數據庫服務層執行相關存取控制策略。

1 管理方案

遠程學習網格所包含的教學資源主要是信息資源，不是計算資源，所以信息管理、用戶管理以及對資源的有效訪問，是遠程學習網格的主要任務。遠程學習網格中有一大類學習資源，如課件、作業庫、試題庫、音頻視頻資料等，都被組織成文件或數據庫，存放在各教學區內。對于“學生”用戶來說，不需知道這些資源具體的物理位置，只需在客戶端用一定的方式找到它們，就可以下載它們，為己所用;對于“教師”用戶來說，除了能夠下載系統中的共享資源外，更重要的是能夠將自己創作的教學資源上載到自己所屬的教學區，供其他用戶共享。

1.1 資源管理

教學資源主要由資源的創作者——“教師”管理。“教師”可以將自己的資源上載到所屬的教學區、更新自己的資源、刪除自己的資源。教學區的“管理員”對本區的教學資源擁有全權，以便在必要時對資源進行管理和維護。

在網格環境下，各類資源并存于遠程學習系統中，而且在不斷地變化。網格門戶要為管理員或授權用戶提供統一的平臺，完成對資源信息的管理。主要的管理工作有資源對象的創建、注冊、修改、刪除、查詢和授權等。其中，資源對象的注冊和授權操作專屬于“管理員”，創建、修改和刪除操作屬于“管理員”和“教師”，而查詢操作則屬于所有用戶。利用 LDAP協議提供的API，我們就可以方便地實現上述工作。

1.2 用戶管理

教學網格中的用戶可以分為以下三類:教師、學生、教學區管理員。其中，“教師”和“學生”都屬于普通用戶，他們是網格資源的使用者，他們的權限通過教學區管理員授權而獲得。他們在網格中進行單一注冊、單一登錄和身份認證，有單一用戶界面和單一服務空間(用戶可以在任何地點、通過任何接入設備登錄教學網格系統，不會因為地理位置的差異和接入設備的區別而看到不同的內容)。其中“教師”還能夠對自己創作的信息資源進行更新和刪除。教學區“管理員”，對各個教學區的使用者及資源進行創建、配置和管理。管理員是屬于教學區的，他的管理權限只限于教學區內部。由于在教學區內可以有子教學區，根據所管轄范圍的大小，教學區管理員的權限具有不同的等級。出于安全的考慮，整個遠程學習網格系統中一般不要設具有最高權限的用戶。

在當前的網格環境中，用戶要想訪問網格中的資源則必須獲得該資源相應的授權;自己的資源要讓其他用戶共享，在向系統提供該資源的同時，還要通過系統將資源授權給其他用戶[4]。網格門戶的用戶管理也應圍繞此進行。

網格用戶管理中使用到的主要操作有:用戶創建、用戶授權、用戶登錄、用戶變更、用戶注銷等。需要使用教學資源的單位或個人，可以到一個教學區去提出申請。教學區的“管理員”記錄下他的個人資料，為他創建一個帳號，保存在Myproxy服務器，并將其需要的學習資源授權給他。這樣，該用戶每次只需要向系統提供自己的用戶名和密碼，就可以登錄學習系統，使用自己被授權的資源。用戶信息的變更和用戶注銷操作，由“管理員”進行。教學網格中具有多個教學區、多種安全策略、大量的用戶和信息服務請求以及異構的信息資源，訪問控制又存在多種粒度，同時，系統又是一個開放、動態的系統，所以對用戶進行資源授權往往較復雜。我們可以通過增設“教學區”用戶來簡化資源授權。

可以將系統中的每個教學區設為一個特殊用戶——“教學區”用戶。對于每個教學區的“管理員”來說，他可以看到自己所在教學區(本區)內的所有用戶和除自己所在教學區外的其他“教學區”用戶。管理員的資源授權操作有以下3種:

1) 將本區內自有的資源授權給本區內的用戶;

2) 將本區內自有的資源授權給除本區外的其他“教學區”用戶;

3) 將由其他教學區分配到本區的資源授權給本區內的用戶。

這樣的授權機制能夠支持跨教學區的信息資源共享，而且這一過程對使用共享資源的最終用戶是透明的。用戶只要通過本地的身份認證，就可以使用別的教學區的共享資源。對他而言，資源是本教學區所有還是別的教學區所有并沒有什么差別。

1.3 學習資源的訪問

用戶登錄成功后，他能訪問資源的目錄以一棵資源樹的形式呈現在首頁上，這棵樹隨著網格中學習資源的動態更新而變化，用戶對資源的訪問操作主要針對這棵資源樹進行。另外， 還要有一個搜索工具，用戶輸入一些信息，利用查詢操作，就能在系統中查找滿足要求的、用戶有權訪問的學習資源。

從授權的角度看，執行任務和調用網格數據庫服務有以下幾個要求:

1) 執行任務受限

在某些情況下，應動態地確定一個任務實例執行的候選，候選應該是一小組的授權用戶或只是一個特定的授權用戶。

2) 調用網格數據庫服務受限

鑒于角色持有者可以執行特定的任務，應允許他/她在某些數據上執行動態決定的權限集，只有通過相關的網格數據庫服務才能訪問這些數據。

上述要求表明，參與教學的某些權限取決于進程執行的上下文。特別是，訪問時可以得到的背景資料，如接近性、地點和時間，會影響授權決定。獲得許可，就允許用戶執行一項任務，調用相關的網格數據庫服務。這有利于實現更加靈活精確的符合最小特權原則的訪問控制策略規范。

2 訪問控制架構

在傳統的和普遍的網格環境中，訪問控制構成了重大的研究課題。圖1是在教學網格門戶中實現的一個安全架構的高級視圖。這是一個兩層模型，組成成分為:全局訪問控制服務(教育站點上的一臺服務器上)和本地訪問控制服務(在教學區各個教育組織)。

2.1 訪問控制機制

教學網格門戶原型中，在兩層(BPEL任務層和網格數據庫服務層)上提供訪問控制[5]。因此，開發基于中間件的訪問控制機制，用它調解主體(師生)和客體(BPEL任務和網格數據庫服務)，根據當前的上下文，決定是否允許某主體訪問指定對象。特別是，使用Java認證和授權服務(Java Authentication and Authorization Service，JAAS)，開發BPEL引擎的訪問控制服務的外部，該服務規定用戶對任務的訪問，還開發OGSA-DAI的外部，增加上下文的感知功能，提高該訪問控制服務的作用機制。

開發的機制是基于證書的，因為它依賴于社區授權服務(Community Authorization Service， CAS)證書，此證書由教育站點上的CAS服務器頒發給用戶。這些證書以安全聲明的形式指定用戶的角色分配，用安全聲明標記語言(Security Assertion Markup Language，SAML)表示安全聲明。CAS證書伴隨通過教學網格門戶發出的每一個請求(執行任務或網格數據庫服務的調用)同時存在。證書中用的角色起作用，與試圖訪問時的制約因素無關，因此，證書過期前它們保持不變。

使用可擴展訪問控制標記語言(eXtensible Access Control Markup Language，XACML)的RBAC profile 表示訪問控制策略，根據訪問控制策略，執行上述角色與相關權限的映射。在目標對象(任務或網格數據庫服務)所在的站點(在教育站點的BPEL引擎上存放任務，在學校站點網絡服務器上存放網格數據庫服務)指定這些策略，協助推導出主體要執行一個任務應該請求的確切權限。特別是，為執行任務發出請求時，提取伴隨請求的CAS證書包含的角色，使用一個存儲XACML策略的文件指定訪問BPEL任務的相關權限。該文件駐留在教育站點與BPEL引擎相同的一臺服務器上。然后，執行任務時，發出調用基本網格數據庫服務的請求，伴隨的是相同的CAS證書。使用從這個證書提取的角色，來指定網格數據庫服務的相關權限，該服務使用XACML策略，這些策略儲存在每一個提供請求的信息的網格節點(即教育機構)的一個文件內。當前的上下文施加約束，動態調整BPEL任務和網格數據庫服務的權限。

2.2 上下文信息管理

在教學網格門戶原型中，上下文信息由屬性預定義集決定，屬性有:用戶相關的屬性(如用戶證書、用戶/師生關系)、環境相關的屬性(如客戶端的位置和試圖訪問的時間)和數據資源提供者(即教育組織)相關的屬性，如本地安全策略[6]。例如，教師或學生在他/她的PDA上使用教學網格門戶，其權限取決于他/她的身份(包括在CAS證書)、地點和訪問時間，以及請求信息所在的每一個教育組織的安全策略。

作為多代理系統執行的上下文管理器收集上下文信息。因此，上下文管理器包括兩種在JADE上開發的代理:

1) 服務集成代理:存放在教育站點的一臺服務器上，管理BPEL任務的用戶權限。

2) 網格資源代理:存放在每個參加教學進程的教育組織的一臺服務器上，管理網格數據庫服務的用戶權限。

每個代理使用中間件上下文收集服務，監測上下文，與保存每個角色權限子集的狀態機交互。狀態機包括編碼狀態(每個角色的權限)的變量和改變其狀態的事件。試圖訪問時(一個任務或網格數據庫服務時)，相關代理生成一個事件，觸發狀態機轉變。每個網格節點上，網格資源代理感知和處理用戶和上下文的變化。

3 結束語

將網格技術應用于遠程學習，無疑會將現在的遠程教育技術向前推進一大步。開發普遍應用，在教育站點上提供容易訪問的教學信息，引入安全風險，尤其引入關于授權和訪問控制的安全風險。因此，有關機制必須到位，可以方便地管理用戶獲取信息，同時保證安全策略是在教學區的各組織一貫忠實地執行的。特別是，把堅持最小特權原則當作系統的一個顯著特點時，采用的訪問控制機制應提供緊湊、準時的權限，使授權用戶能夠訪問符合當前上下文的特定對象。本文提出的訪問控制機制符合上述要求，嵌入到網格門戶應用，即教學網格門戶。特別是，該機制確保BPEL任務的授權執行，根據當前上下文調用有關網格數據庫服務。因此，保證了嚴格匹配權限與實際使用情況和需要。

4 本文創新點

為網格門戶提出一種上下文感知的訪問控制機制，提供緊湊準時的權限，使授權用戶依環境訪問特定對象，減少損害信息完整性的風險。

參考文獻:

[1] Adamski M， Kulczewski M， Kurowski K， Nabrzyski J， Hume A. Security and Performance Enhancements to OGSA-DAI for Grid Data Virtualization[J]. Concurrency and Computation. Practice and Experience，2007，19(16).

[2] Emmerich W， Butchart B， Chen L， et al. Grid Service Orchestration Using the Business Process Execution Language (BPEL)[J]. Journal of Grid Computing， 2006(3): 283-304.

[3] Thomas J， Paci F， Bertino E， et al. User Tasks and Access Control over Web Services[C]. Proceedings of the 15th IEEE International Conference on Web Services， 2007.

[4] Bertino E， Crampton J， Paci F. Access Control and Authorization Constraints for WS-BPEL[C]. Proceedings of the IEEE International Conference on Web Services， 2006.

[5] Koufi V， Vassilacopoulos G. HDGPortal: A Grid Portal Application for Pervasive Access to Process-Based Healthcare Systems[C]. Proceedings of the 2nd International Conference in Pervasive Computing Technologies in Healthcare， 2008.

[6] 中國網格[EB/OL].http://www.chinagrid.net.