基于任务的计算网格访问控制模型研究

网格的安全性因其广泛的资源共享和动态、多域的异构环境而显得极为复杂.网格安全基础设施(GSI)可以解决身份鉴别、保密性和完整性问题,却难以有效解决访问控制问题,传统的访问控制模型也不能很好的满足网格的安全需求.本文在华中科技大学计算网格平台基础上,研究并提出了一种基于任务的计算网格访问控制模型,该模型通过定义授权步和任务状态及系统条件约束,能动态地控制主体访问资源的权限,具有较好的通用性、灵活性和可扩展性,并已在计算网格实验平台中得到了实现.

一种基于任务和角色的计算网格访问控制模型

网格安全基础设施解决了身份鉴别、保密性和完整性问题,但难以有效解决访问控制问题,传统的访问控制模型也不能很好地满足网格的安全需求。该文提出一种基于任务和角色的计算网格访问控制模型。该模型通过定义授权步及系统条件约束,能动态地控制主体访问资源的权限,具有较好的通用性、灵活性和可扩展性,并已在计算网格实验平台中得到了实现。

一种基于任务的计算网格访问控制模型

网格安全基础设施(GSI)解决了身份鉴别、保密性和完整性问题,却难以有效地解决访问控制问题,传统的访问控制模型也不能很好地满足网格的安全需求。为此,提出了一种基于任务的计算网格访问控制模型。该模型通过定义授权步和任务状态及系统条件约束,能动态地控制主体访问资源的权限,具有较好的通用性、灵活性和可扩展性,并已在计算网格实验平台中得到了实现。

一种简化的基于任务的信息网格访问控制模型

信息网格技术可以协调网络上的各种资源实现资源共享,它的安全机制主要包括数据安全和身份认证两个方面。本文将基于任务的访问控制机制应用于信息网格中,提出了一种简化的基于任务的信息网格访问控制模型。该模型不仅能满足信息网格的安全需求,还具有很多良好的安全特性,实现简单、易于操作,其实现思路对于设计信息网格中的访问控制机制提供了很好的参考价值。

GSI的信息栅格授权服务策略

GSI授权机制过于简单,作为对GSI授权机制补充的社区授权服务(CAS)又过于中心化,不适应情报网格信息流授权机制的要求。为此,提出了基于角色访问控制(RBAC)的虚拟组织授权服务(VOAS)策略,允许给用户分配VO角色来支持角色分层和限制。通过将VO角色映射为本地数据库角色,以及对本地角色委派细粒度权限等工作,既实现VO间用户与访问权限的逻辑分离,又杜绝了角色联合权限的方式,使VO间的授权管理比较简单灵活。解决了现有信息栅格中CAS授权粒度不够细化、可扩展性差等问题。仿真实验表明,该授权策略在不影响系统运行效率的前提下,简化了系统授权和管理的复杂度。

跨社区访问的两阶段授权与验证

文章从分析信息网格跨社区共享的环境和要求出发,提出了两阶段授权和验证的概念。在信息网格的各管理域中,访问控制机制和策略都可能是异构的,这给跨社区的共享授权带来了很大的困难。两阶段的授权是首先将共享权限作为一个整体授予使用资源的社区,然后再由它对社区内的用户进行权限分配。通过将跨社区的授权和验证分为功能和目的不同的两个阶段来实现,可以较好地满足信息网格中资源共享对访问控制的需要。

基于SOA网格访问控制模型的研究

信息网格是未来分布式计算的主要发展方向,网格安全不仅是网格推广应用的前提,也是计算网格中的一个核心问题,随着面向服务(SOA)的网格技术的发展和应用,如何解决访问资源的授权成为一个关键性问题.本文通过对当前授权系统的概述和分析,设计了一种面向服务的网格授权系统。