一種基于企業網格的工作流安全認證模型

摘要:基于企業網格具有多層次，多任務，多用戶以及需要對不同訪問采取不同的權限限制等特點，該文提出了一種采用工作流安全認證模型。在網格環境中，任務執行時需要有特定權限，如果賦予權限不夠，則不足以完成任務;如果賦予權限過大，對企業安全又起到了威脅。因此該模型在執行一個任務的過程中，針對不同種類的企業客戶及不同的授權任務指定一個適當的具體權限，從而確保任務安全，高效的完成。

關鍵詞:網格安全;身份認證;訪問控制;有限授權;網格工作流

中圖分類號:TP393文獻標識碼:A 文章編號:1009-3044(2010)01-62-02

Workflow Security Authorization Model Based on Enterprise Grid

YANG Qing， SONG Jin

(School of Electronic and Information， Lanzhou Jiaotong University， Lanzhou 730070， China)

Abstract: An workflow safety authorization service model is proposed， because enterprise grid has characteristics of multi-tier and multi-user and different right limitation for different user at different stage. In the grid environment， when a task is carried out it needs specific right. If delegated rights are insufficient， the task cannot be complete; if delegated rights are excessive， it maybe bring security threats for enterprise safety.wherefore when a task is executed， this model designate a specific right for different enterprise user and different authorization task. Insure the task to be completed safely and efficiently.

Key words: grid security; identity authentication; access control; finity authorization; grid workflow

網格是繼因特網(Internet)、萬維網(Web)之后，互聯網發展的第三個里程碑。網格系統具有數據量大、地理上分布、數據庫結構異構、應用環境網絡化、用戶人數眾多、分散等特點。因此在互聯網上形成了大量的計算、存儲、數據、信息、知識、設備等資源。大范圍分布的異構計算機系統和資源整合在一起形成一個大規模平臺，其中每一臺計算機或者以一臺計算機為中心的資源集合就是一個“節點”，而許多這樣的節點就組成了網格。其根本特征不是規模，而是資源共享。

由于企業網格中各個企業的訪問一般是通過Internet連接的，要實現企業與外部安全的資源共享，保護企業的商業利益，以及企業網格能自動或半自動在資源共享的基礎上協同工作，我們必須解決企業內部的面臨的諸如用戶管理、用戶認證、訪問控制等安全問題。因此根據有效需求和安全目的本文提出了一種基于企業網格的工作流安全認證模型，以解決企業網格環境下網格系統面臨的各種安全問題。

1 工作流安全認證模型需要解決的問題

本模型主要解決如何確保不同權限的用戶順利地訪問對他授權的資源，同時也阻止用戶訪問未授權的資源，以保證資源不會受到惡意破壞或非法利用，為用戶及企業提供一個安全的訪問環境。

1.1 Akenti模型

Akenti是典型的拉模型(如圖1)，通過多個管理員在分布式環境中對企業資源實現受限訪問權限。在企業網格中，資源節點存有訪問控制列表、用戶注冊列表、獲得的訪問證書。證書內容包括任務具體內容，資源名稱和必要的權限。如果證書內容滿足企業要求的條件則資源就會給于其所需的權限。用戶訪問時，Akenti資源節點會驗證用戶屬性證書，如與列表一致則分配權限。

1.2 Globus CAS模型

Globus CAS是典型的推模型(如圖2)，在CAS中，由第三方可信任機構授予資源使用所需的權限，用戶持有不同的屬性證書，通過提交屬性證書給資源節點，來獲得成員資格和本次任務請求的權限。

1.3 存在的問題

傳統的認證體系根據任務情況授予權限，但必須由用戶自己分配權限而不是認證體系分配。這就存在兩個問題，第一，用戶必須很明確的知道任務如何運行，以及需要何種權限;第二，無法避免用戶惡意破壞或越權訪問。此外，在傳統的訪問模型中，沒有說明權限在何時，何地是被允許的，這就導致被委任的權限可能會被誤用或濫用，從而引起安全問題。Globus現在已經被普遍用于構建網格系統，它使用代理認證機制提供層次式的授權服務，不支持基于任務的認證。在執行簡單的認證步驟后，資源就允許訪問該企業的用戶使用所有的全部權限。因此，Globus無法執行有限委任的要求，不能滿足企業的特定要求。

Akenti和Globus CAS可以克服上述的不足，根據任務需求給予不同的，適當的權限。Akenti體系能夠根據具體任務情況進行詳細認證，用戶需要指明任務執行所需的權限，以及使用這些權限所需要的條件，這一步完全依賴于用戶自己的判斷。Globus CAS中，第三方認證機構可以進行檢查并刪去那些由于個人判斷錯誤而分配不當的權限，但如此管理員工作量會很大。CAS服務器為用戶指定所需的全部權限，然后用戶就可以不受任何限制使用他們的權限，這又會導致用戶可能會濫用權限，那么資源節點就會面臨安全問題。它也很難根據具體任務提供適當的認證。

2 基于企業網格的工作流認證模型

本模型的思想在于系統在處理工作任務的時候，在任務的不同階段為用戶分配不同的具體權限，無需管理人員干預就能完成整個認證和執行過程。

2.1 工作流思想

任務按照各子任務的順序逐步完成，這就構成了工作流本身。工作流描述了任務在不同階段，不同經手人所需的不同具體權限之間的關系，這也是認證模型的基礎。任務工作流包含了執行過程中需要的權限序列。用戶將任務與它的工作流內容一起發送給資源節點，然后資源節點執行這個任務，根據工作流為其分配權限。首先，當用戶向網格系統提交任務時，系統自動獲知任務的運行工作流順序，這一步驟由系統自動完成。其后，該工作流任務被提交給第三方可信任機構，獲取唯一簽名以確認此工作流的合法性。于是第三方可信任機構就在用戶，資源提供者之間建立了信任合作關系，同時也認證了該工作流。用戶根據工作流程向企業網格資源節點提交任務，然后該資源節點根據工作流任務的具體情況賦予運行所需的權限。通過對工作流具體內容進行分析然后控制和授予其權限，本模型就此完成認證步驟，減少用戶權限分配不當時可能造成的損失。

但惡意攻擊可能會利用上述的過程進行非法操作，為了避免惡意攻擊的威脅，我們需要在工作流過程中加入第三方可信任機構進行簽名。被認證的工作流應包括工作流自身、用戶名、任務唯一標識、失效時間和以上信息的第三方數字簽名等內容。其中，任務唯一標識是為了防止他人用已分配到的權限去完成其它非法操作;失效時間是為了防止對過期任務的重用和誤用;第三方信任機構對工作流進行認證，以確保其合法性和完整性。

2.2 用戶身份認證

認證即鑒別真偽的過程，證明一個實體是否是其聲明的實體。認證是標識的證據，這個證據可由多種途徑來驗明。第一種途徑:用戶知道某事，在計算機系統上證明標識的最常見的方式是使用密碼。第二種途徑:用戶擁有某物。用戶擁有只有他才有的東西，實物可以是卡，磁盤，或特殊的令牌。第三種途徑:用戶是某人。這是一種更安全的認證形式，也稱生物認證，它的實體是生物的物理特征，如指紋，視網膜，語音等。

認證的方法種類和支持技術很多，而且不同的應用環境也有著不同程度的強度需求。在企業網格中，安全性要求很高。采用數字證書來認證用戶是目前比較成熟和先進的解決方法。在此我們可以用PKI體系將用戶證書映射到對應的用戶標識上，來確認真偽。

2.3 認證模型的基本特征

此安全認證模型具有以下基本特征:身份認證，有限授權，驗證權限，工作流的自動生成。

1)身份認證:通過第三方數字簽名的有效身份認證，確認任務執行者的真正意圖，確保任務執行的安全程度。另外還根據不同的請求目的，實行不同強度的認證技術，節省資源，有的放矢。

2)有限授權:認證中心根據用戶需求分配適當權限，不會因為權限過小而使任務無法正常完成，也不會因為權限過大而威脅到資源的安全，如果有人意圖濫用權限，則他擁有的權限越大對資源造成的損失就越大。

3)驗證權限:給特定的任務分配特定的權限。這樣可避免個別惡意攻擊使用其所有權限來執行某個特殊任務，導致威脅到整個運行環境不能正常運行。

4)工作流的自動生成:要確保完成認證服務，資源提供者要清楚地指明用戶使用資源的方式以及授予用戶使用的資源量，同時給用戶分配所需的最小權限集合。這樣一方面可以減輕用戶工作量，以及用戶由于不清楚分配過程而導致的運行錯誤;另一方面也可以保證認證過程是合理分配，安全有效的。

3 具體認證模型及操作流程

3.1 模型構成

用戶:就是訪問企業的成員，他可以使用企業網格環境中的資源; 認證中心:是第三方認證機構，所有組織成員和資源都信任其公正性。根據企業用戶的需求自動發放及分配任務權限，確保被指定的權限符合任務運行的需要以及只有該任務可以使用資源;企業管理服務器:根據用戶提交的任務情況自動生成任務工作流，以控制任務的運行過程。用戶對權限的委任不由管理員分配權限，都由任務管理器自行優化分配;資源節點:可以提供計算能力和信息給可信任組織成員使用的節點。當任務提交給資源節點時，節點首先確認工作流是否已經過認證，核對請求的資源和權限是否在允許的范圍內，經驗證無誤后任務才開始運行。

3.2 運行流程

工作流運行具體流程步驟(如圖3):

1)用戶訪問企業并提交任務:用戶向企業管理器提交任務，同時提供任務信息，任務管理器分析該任務請求，生成對應的工作

(下轉第79頁)

(上接第63頁)

流，執行任務所需的權限信息和驗證工作流信息，其中權限信息下屬的每個子任務都有其相對應的操作權限，且權限不可互用。驗證工作流信息則包括任務標識號，用戶名和工作流有效時間等信息，可用于驗證工作流。

2)工作流獲取簽名:得到工作流和其它任務信息的企業用戶提交工作流給第三方可信任機構進行簽名認證。認證中心通過對該用戶的權限和如有效時間、任務標識符等其他信息的認證來確認用戶具有執行該任務的權限，則認證中心簽署該請求。資源節點也只信任由認證中心簽名認證過的工作流。

3)向資源節點提交經認證的工作流:用戶把經認證中心簽發的工作流文件、用戶名、任務的唯一標識、有效時間、以及認證機構的簽名等信息遞交給企業資源節點，節點先對以上信息進行檢驗，如無誤則把工作流載入資源節點開始執行。如果用戶指定了資源節點則由被指定的資源節點執行此次任務，如用戶未指定資源節點，則網格上任意節點都可執行。在此過程中系統會實時跟蹤工作流，把任務運行結果和執行情況返回給用戶。

4 結束語

本文針對企業網格多用戶、多層次、多任務等特點提出了采用工作流模型對不同需求的任務采取不同的權限控制，達到安全、有效的訪問運行目的。由共同信任的第三方認證機構對訪問的用戶信息進行核實簽名，再由資源節點對用戶信息以及配套的認證簽名進行檢驗、統籌、載入，而后順序有效的運行，最終達到安全訪問、有效運行、節約資源的目的。本模型在具體實現中還存在很多技術問題，例如，工作流文件的生成，訪問企業的單機用戶以及集群用戶的管理，根據網格當時的環境情況如何調配用戶的資源請求等，這些問題仍需更進一步的深入探討。

參考文獻:

[1] 應宏.基于網格服務的工作流技術[J].計算機工程與技術，2005，26(10):2671-2673.

[2] Jlshy Joseph，Craig Fellenstein.網格計算[M].北京:清華大學出版社，2005.

[3] 徐志偉，馮百明，李偉.網格計算技術[M].北京:電子工業出版社，2004.

[4] 高全泉.關于網格及其它分布計算技術的若干問題的討論[J].計算機科學，2003，30(2):17-21.

[5] 趙悅.網格技術及其安全構架[J].中國國防科技信息中心，2006，29(4):50-500.

[6] WeiLiu，Zong Tianliu，Wei Qintong.Agent-oriented modeling for grid sercive[R].Hong Kong，Proceedings of the Sixth International Conference on MachineLearning and Cybernetics，2007(8):19-22.

[7] Deng Hong，Chen Li，Wang Chentao.A grid-based scheduling system of manufacturing resources for a virtual enterprise[R].International journal of AdvancedManufacturing Technology，2006(28):137-141.