当前位置:首页 >> 兵器/核科学 >>

基于SOA网格访问控制模型的研究

基于 SOA 网格访问控制模型的研究
信息网格是未来分布式计算的主要发展方向。网格安全不仅是网格推广应用的前提,也是计算网格中的一 个核心问题。 随着面向服务(SOA)的网格技术的发展和应用, 如何解决访问资源的授权成为一个关键性问题。 本文通过对当前授权系统的概述和分析,设计了一种面向服务的网格授权系统。

1 引言
网格(grid)是近年来逐渐兴起的全新研究领域, 当前的互联网技术实现了计算机硬件之 间的连通、Web 技术实现了网页之间的连通。网格是把分布在因特网上的资源整合起来,提 供大规模的分布式计算, 在多个单位参与的、 动态的虚拟组织之间协同资源共享和解决问题。 信息网格是利用网格技术实现信息的共享、 管理以及提供信息服务的系统。 信息网格技 术要解决的一个关键问题是对共享信息的安全控制。信息网格具有如下特性:资源、用户和 服务提供者数目庞大、变化多端;通信协议也不尽相同,安全策略和机制不尽相同。因此, 必须为网格计算系统及其构件提供新的安全措施来解决认证、授权、记账问题。本文主要解 决网格计算中的授权问题(即访问控制问题)。 随 着 分 布 式 对 象 技 术 和 面 向 对 象 技 术 的 不 断 发 展 , 面 向 服 务 体 系 结 构 (Service Oriented Architecture,简称 SOA)正在逐渐成为分布式计算解决方案的主流。 SOA 是一种关注服务的易于集成、互操作,可扩展和安全访问特性的分布式体系结构, 而网格是一种协同工作、资源共享的分布式系统,Web 服务成为连接二者的纽带,它们之间 正在相互融合,作为网格技术的主流代表。

2 访问控制技术和模型
2.1 传统访问控制技术 传统的访问控制技术主要分为三种。 (1)自主访问控制(DAC) 其实现思想是:系统中的主体(用户或进程)可以自主地将其拥有的对客体的访问权限 (部分或全部)授予给其他主体。 其实现方法是建立系统访问控制矩阵, 矩阵的行对应系统的 主体,列对应系统的客体,元素表示主体对客体的访问权限。为了提高系统的运算性能,在 实际的应用中常常是建立基于主题或客体的访问控制方法。 缺点是效率低下,难以满足大型应用,特别是网格应用的需要。 (2)强制访问控制(MAC) 其实现原理是:系统中的主/客体被分配一个固定的安全属性,安全属性决定主体是否 可以访问某个客体。安全属性是强制的,由安全管理员分配,用户或进程不能改变自身或其 他的安全属性。MAC 的本质是基于网格的非循环单项信息流政策系统中每个主体都被授予一 个安全证书,而每个客体都被指定为一定敏感级别。 访问控制两个关键规则是: 不向下写和不向上读, 即信息流从低安全级向高安全级流动。 因为 MAC 增加了不能回避的访问限制,所以可能影响系统的灵活性。 另一方面,MAC 虽然增加了信息的机密行,但是不能实施完整行控制,而一些完整性的 控制策略却可以实现机密行的功能。 (3)基于角色的访问控制(RBAC)

随着网络的发展,特别是 Internet 的广泛使用使信息的完整性要求超过了机密性,而 传统的 DAC/MAC 策略难以满足这方面的需求。RBAC 的基本思想是将访问权限分配给角色, 系统的用户担任指定的角色, 角色实际上是与特定工作岗位相关的一个权限集, 当用户改变 时只需进行角色的撤销和重新分配即可。 2.2 分布式访问控制模型 分布式环境中,对权限的控制不仅能够保护资源,而且还能够使资源有效地利用。在授 权模型中,有三种普遍使用的模型。 (1)“推”模型 资源请求者需要首先向授权中心请求权限访问, 从授权中心获取权限证书, 然后持权限 证书访问资源,资源根据用户的权限证书返回相应的资源。 (2)“拉”模型 资源请求者直接向资源提出访问请求, 资源根据用户的访问请求向授权中心查询用户的 请求是否合法,如果合法则允许用户访问资源,否则拒绝用户访问。 (3)“代理”模型 资源请求者直接把请求转发给授权代理,授权代理根据用户的请求访问资源。

3 SOA 的信息网格体系
3.1 SOA 在信息网格中的优势 SOA 在信息网格应用中的优势主要体现在几个部分。 (1)支持多种客户端类型 借助精确定义的服务接口和 XML、Web 服务标准的支持,可以支持多种客户端类型,包 括 PDA、手机终端等,这也符合网格作为全球资源化的要求。 (2)编码的灵活性 通过对模块化的低层服务采用不同组合方式来创建高层的网格服务, 从而实现系统的重 用。 (3)更好的伸缩性 依靠很好的服务设计、 开发和部署所采用的架构模型实现伸缩性, 达到网格互操作的目 的。 (4)更高的可用性 网格服务使用者和提供者的松散耦合关系允许使用者不需要了解提供者的具体实现细 节,从服务的位置上对网格客户保持透明,只有在运行时才需要确定具体的位置。 3.2 基于 SOA 的信息网格调用 基于 SOA 的 www.huisheliren.com 信息网格调度模型, 主要定义了对资源服务映射创建、 服务发现与绑定, 身份认证授权三个方面的调用流程, 并针对信息网格环境中大量临时性的 短暂服务, 通过定义其接口来解决动态服务实例创建、 服务发现、 事件通知、 生命周期管理、 安全性和引用管理等问题。 用户调用服务主要过程分为几步。 (1)信息网格用户向信息网格门户提出服务请求,门户提供用户身份的认证,然后将服

务的请求和证书提交给 GSP(Grid Service Proxy), 根据 WSDL 定义生成用户代理(Proxy)。 GSP (2)用户代理在虚拟组织所维护的注册中心 UDDI 中查找满足要求的用户服务, 查找过程 中用户可以对服务提供地点、性能等各个方面提出相应的要求。 (3)信息网格注册服务根据用户的要求,在众多的服务提供者中进行筛选,返回满足要 求的服务提供者,获取信息网格服务句柄(Grid Service Handle,GSH)。 (4)GSP 通过得到 GSH 的 WSDL 选项向资源映射器(Resource Mapper)提出使用相应资源 的请求。 (5)资源映射器根据提供的资源 GSH 在资源集成池(Resource Integration Pool,RIP) 中调用该资源返回。 在身份认证过程中,信息网格门户根据用户的资源请求信息进行认证。首先,门户通过 授 权 服 务 (Authorization Service) 判 断 此 用 户 的 注 册 信 息 是 否 已 经 在 认 证 中 心 (AuthorizationCenter)注册授权过,如果有便直接返回该用户的授权证书;如果没有历史 注册记录,便会生成临时用户的安全证书。这种认证证书会通知网格服务代理 GSP 查找,绑 定服务的权限范围,保证分布式资源的合理使用。

4 基于 SOA 的信任访问控制模型
每个 SOA 信任域都有全局和局部信任度的计算值, 这些信任值就体现了该信任域成功地 提供服务的能力,如何使用信任值呢?信任限制了在服务协作时有失败的风险。现在考虑一 个用户请求某种服务。 假设每个用户都想使自己获得的服务是最好的, 如果针对这个用户来 说,能够提供的服务有很多,那么他必然选择信任度高的提供者来为其服务。这样,就需要 找到一个合适的基于 SOA 信任度的访问控制策略, 这种策略既能够给信任度高的域带来更多 的利益,又能够刺激其他域提高自己的服务质量。 信息网格计算中,在访问控制方面包括两个方面:资源请求者请求服务;资源提供者提 供服务。 前者主要关心所选择的提供服务者能否很好地提供服务, 后者主要关心对服务请求者是 否合理使用资源,为其运行的程序是否有恶意代码。 SOA 信任度的访问控制策略主要分为两类。 (1)选择服务的策略,包括最高信任度策略和信任度相近的策略。 (2)请求竞争的策略,包括最高信任度策略和与信任度一致的概率公平策略。

5 结论
信息网格技术与 SOA 技术发展紧密相连,SOA 促进了信息网格系统的发展,而信息网格 系统又丰富了 SOA 的内涵。 信息网格系统还在不断地研究和发展中, 最新的架构和技术思想 也必将被融入进来。 网格系统的安全性和可靠性问题中的信任计算和访问控制都是崭新的课 题。


相关文章:
基于SOA网格访问控制模型的研究_论文.pdf
基于SOA网格访问控制模型的研究 - 信息网格是未来分布式计算的主要发展方向,网
SOA中基于属性的访问控制安全策略.pdf
基于SOA网格访问控制模型的... 3页 免费喜欢此文档的还喜欢 基于属性访问控制方法...研究院 SOA 环境具有分布性、 异构性和动态性的特点, 传统 的访问控制模型已...
SOA中基于属性的访问控制安全策略.pdf
SOA环境下访问控制机制研究... 6页 5财富值 基于SOA和PKIPMI的访问控制... 1页 免费 基于SOA网格访问控制模型的... 3页 免费喜欢...
基于SOA网格管理模型的空间信息共享平台设计_论文.pdf
基于SOA网格管理模型的空间信息共享平台设计 - 现有的空间信息共享平台框架及开
基于SOA的三维信息网格体系结构研究.pdf
基于SOA三维信息网格体系结构研究_IT/计算机_专业资料。在总结现有网格体系结构...6页 免费 基于SOA网格访问控制模型... 3页 免费喜欢此文档的还喜欢 ...
基于SOA构架访问控制系统的设计及应用系统技术_论文.pdf
基于SOA构架访问控制系统的设计及应用系统技术 - 【 文章编号 】10047
基于SOA的云计算框架模型的研究与实现_图文.pdf
基于SOA的云计算框架模型的研究与实现 - 92 2011。47(35) ComputerEngineeringandApplications计算机工程与应用 基于SOA的云计算框架模型的...
基于SOA的权限安全模型.pdf
SOA安全关键技术研究 90页 1财富值 SOA中基于属性的访问控制安... 4页 免费...信息安全 基于 SOA 的权限安全模型王长亮 1,王楠2, 张晓坤1 (1. 中国地质大学...
SOA参考模型研究.doc
SOA参考模型研究_交通运输_工程科技_专业资料。SOA概念模型的核心思想是...基于SOA网格访问控制模型... 3页 免费 基于SOA的IT服务管理模型......
基于属性的访问控制(abac)的跨域访问控制面向服务的体....doc
基于属性的访问控制(abac)的跨域访问控制面向服务的体系结构(soa)_本科论
基于属性的访问控制(abac)的跨域访问控制面向服务的体....doc
基于属性的访问控制(abac)的跨域访问控制面向服务的体系结构(soa)-毕设论
基于SOA的云计算模型框架研究.doc
基于SOA的云计算模型框架研究 - 龙源期刊网 http://www.qikan.com.cn 基于 SOA 的云计算模型框架研究 作者:肖越 肖成龙 孙威 来源:《电脑知识与技术》2017 ....
基于SOA的三维信息网格体系结构研究_论文.pdf
基于SOA三维信息网格体系结构研究_信息与通信_工程科技_专业资料。在总结现有...基于SOA网格访问控制模型... 24人阅读 3页 1.00 基于SOA的印刷管理系统...
面向服务的工作流访问控制模型研究_图文.pdf
面向服务的工作流访问控制模型研究 - 随着中间件技术的不断发展,基于SOA架构开
基于SOA的网格化制造模式及体系结构_图文.pdf
( 同济大学 CIMS 研究中心 ,上海 200092) 摘要 : 为解决动态 、 分布与异构...基于SOA网格访问控制模型... 3页 免费 基于SOA的网格化制造模式... 暂无...
基于SOA的MIS体系结构研究.doc
4 基于 SOA 的分层 MIS 体系结构应用模型在管理...分别是显示层、显示控制层、业务逻辑层和数据访问 ...[1] 王珊,张坤龙.网格环境下的数据库系统[EB/OL]...
面向服务的角色访问控制研究_图文.pdf
面向服务的角色访问控制研究 - 随着中间件技术的不断发展,基于SOA架构开发的W
基于属性的授权和访问控制研究.pdf
基于属性的授权和访问控制研究 - 第 27 卷第 1期 2007 年 1 月 文
一种基于SOA的网格任务调度框架_图文.pdf
信息服务 、 调度服务和应用服务之间的相互调用是 研究 网格任务调度服务框架的关键...基于SOA网格访问控制模型... 3页 免费 基于SOA的出租车智能调度... 4...
基于策略的Web服务访问控制研究_图文.pdf
基于策略的Web服务访问控制研究 - 随着中间件技术的不断发展,基于SOA架构开