属性驱动的多策略网格授权机制研究

2010-08-04 06:36付更丽曹宝香夏小娜
通信技术 2010年9期
关键词:访问控制调用框架

付更丽,曹宝香,夏小娜

(曲阜师范大学 计算机学院,山东 日照 276826)

0 引言

网格系统是一个虚拟的组织,由多个独立自治的管理域构成[1]。在网格系统中,用户和资源的关系是动态和多变的,传统的基于身份的访问控制模型对网格系统失去了效用,授权机制需要基于属性来确定。基于属性的访问控制模型(ARAC,Attribute-based Access Control)[2-4]是根据请求者和资源的属性进行访问访问判决,更加能满足分布式和开放系统的访问控制需求。特权和角色管理基础标准确认(PERMIS)和虚拟组织管理服务(VOMS)都是基于属性的访问控制系统,但这些授权系统只支持自己定义的策略,不能同时兼容多种策略。在网格系统中,自治域都具有自己的访问控制策略,网格授权机制应该能灵活的支持这些策略。设计了属性驱动的多策略网格授权模型MP_ABAC()模型。

1 XACML

可扩展的访问控制标记语言XACML[5]和安全断言标记语言(SAML)[5]都是支持基于属性的访问控制的 web服务标准。XACML提供了一个基本的授权架构;SAML定义了一个框架来交换安全信息,同时能完成与现有授权系统集成。XACML使用请求者、资源和环境属性定义的一种策略语言,如图1示。

框架主要包含策略执行点(PEP)、策略决策点(PDP)、策略信息点(PIP)、策略管理点(PAP)。PEP截获请求者的访问请求,并发送请求到PDP。 PDP按照安全策略或由PAP制定的策略集,并请求由PIP获取的主体、资源和环境属性,来做出访问控制判决结果。PDP把访问判决传递给PEP。PEP完成义务并根据PDP访问判决结果允许或拒绝访问请求。

图1 XACML访问控制架构

2 MP_ABAC模型描述

2.1 相关实体

请求者:发送请求访问网格服务的实体,调用网格服务封装的方法,用Req来表示。

服务:一种网格服务,封装了一组相关操作,对外提供调用接口的一种软件代理。通过标准协议和数据格式可以访问它。用Sev来表示。

资源:是一种系统实体,是一个或多个网格服务的操作对象。资源用Res来表示。

动作:网格服务提供的一个操作,可以被客户调用。用Act来表示。

环境:与网格服务调用相关的上下文。包含对判决起作用的特殊实体信息,例如当前日期和时间。环境用 Env来表示。

2.2 实体属性

每个实体都拥有定义其身份和特征的属性集合。

请求者属性包含身份标识,名字,组织机构,和其他请求者的信息:

服务属性可能包含服务名称和服务地址等信息:

资源属性可能包含资源名称,标识和其他信息:

动作属性包含操作名称:

环境属性包含当前日期和时间:

I, J, K, L, M在这里表示各种属性的最大数目,定义为整数。

2.3 策略描述

网格授权系统需要支持多种安全策略,每种策略都有自己的策略描述方法。封装每种策略成为一个独立的策略单元,并且定义MP_ABAC策略为这些策略的父集。

MP_ABAC_policy={Pi|i∈[1,m],Pi是一种策略}。

2.4 策略评估

策略评估是跟据安全策略做出访问判决的过程。判决由访问控制判决函数ADF使用策略规则来判决访问控制请求。在MP_ABAC中,定义adf()函数实现ADF,以请求者、服务、资源、动作和环境的属性为参数。

策略Pi的评估函数记作 Pi_adf():

MP_ABAC的访问控制判决函数MP_ABAC_adf(),其中combine_f()采用一定的策略组合算法来组合每个策略 Pi的判决结果,得到最后的判决结果。

3 MP_ABAC授权框架

框架封装每一种策略为一个PDP,多个不同的PDP构成PDP链(PDPs)。定义抽象PDP,使它拥有所有策略的共同特征。在框架中,创建单独的CorePDP实现MP_ABAC中的MP_ABAC_Policy。CorePDP获取请求信息,根据配置文件调用PDPs,使用策略组合算法组合从每个PDP返回的访问判决结果,得出整个评估策略的唯一的判决结果。

图2中,框架由PEP,PDPs和PIPs组成。安全配置文件用来配置PDPs和PIPs信息。PEP截获用户请求,并执行从CorePDP得到的授权判决。CorePDP和PEP合称框架的授权引擎。PIPs是信息收集点的集合,收集与各种授权评估相关的实体的属性。框架中SAMLPDP来集成第三方授权系统,PDP使用SAML断言与授权系统进行交互。SAMLPDP发送请求给外部授权服务。

图2 MP_ABMC授权框架

3.1 决策判定算法

req为访问请求;res为访问资源;reqAttri-store请求属性集库;Attrisi 为PIPi返回的属性集;decisionj为PDPj返回的结果;decision为最终判决结果

Core PDP接受PEP的评估请求,调用PIPs链收集信息,根据请求和收集的信息调用相应PDPs。CorePDP收到PDP返回的访问判决后,采用策略组合算法core_PDP_combinate_algorithm()组合访问判决,得到最后判决结果返回给 PEP,PEP根据结果允许或拒绝访问资源。

4 结语

提出的MP_ABAC授权框架满足了网格计算的特征,基于相关实体的属性做出判决,并支持多策略,可以集成第三方授权系统。随着网格用户和用户群组的不断增加和复杂化,以及所接入的应用的多元化,网格访问控制功能将会被大大扩展,结果证明MP_ABAC和授权框架是有效的。

[1] FOSTER I, KESSELMAN C, TUECKE S. The Anatomy of the Grid:Enabling Scalable Virtual Organizations International[J].Supercomputer Applications, 2001,15(03):200-222.

[2] 傅鹤岗,李竞.基于属性的服务访问控制模型[J].计算机科学,2007,31(05):111-114.

[3] 曲英伟,郑广海.基于信任协商的开放系统授权服务模型的设计[J].通信技术.2008,41(01):110-112.

[4] YUAN E, TONG J. Attributed based Access Control (ABAC) for Web Services[C].USA:IEEE,2005:561-569.

[5] OASIS.Extensible Access Control Markup Language(XACML)[EB/OL].(2005-02-01).[2009-11-15]. http://docs.oasis-open.org/xacml/2.0/access_control-xacml-2.0-core-spec-os.pdf.

[6] OASIS. Security Assertion Markup Language (SAML)[EB/OL].(2006-02-14).[2009-11-15]. http://www.cs.ucsb.edu/~bultan/courses/595-W06/SAML.pdf.

猜你喜欢
访问控制调用框架
框架
广义框架的不相交性
核电项目物项调用管理的应用研究
LabWindows/CVI下基于ActiveX技术的Excel调用
ONVIF的全新主张:一致性及最访问控制的Profile A
基于系统调用的恶意软件检测技术研究
动态自适应访问控制模型
浅析云计算环境下等级保护访问控制测评技术
大数据平台访问控制方法的设计与实现
关于原点对称的不规则Gabor框架的构造