属性驱动的多策略网格授权机制研究

付更丽，曹宝香，夏小娜

(曲阜师范大学 计算机学院，山东 日照 276826)

0 引言

网格系统是一个虚拟的组织，由多个独立自治的管理域构成[1]。在网格系统中，用户和资源的关系是动态和多变的，传统的基于身份的访问控制模型对网格系统失去了效用，授权机制需要基于属性来确定。基于属性的访问控制模型(ARAC,Attribute-based Access Control)[2-4]是根据请求者和资源的属性进行访问访问判决，更加能满足分布式和开放系统的访问控制需求。特权和角色管理基础标准确认(PERMIS)和虚拟组织管理服务(VOMS)都是基于属性的访问控制系统，但这些授权系统只支持自己定义的策略，不能同时兼容多种策略。在网格系统中，自治域都具有自己的访问控制策略，网格授权机制应该能灵活的支持这些策略。设计了属性驱动的多策略网格授权模型MP_ABAC()模型。

1 XACML

可扩展的访问控制标记语言XACML[5]和安全断言标记语言(SAML)[5]都是支持基于属性的访问控制的 web服务标准。XACML提供了一个基本的授权架构；SAML定义了一个框架来交换安全信息，同时能完成与现有授权系统集成。XACML使用请求者、资源和环境属性定义的一种策略语言，如图1示。

框架主要包含策略执行点（PEP）、策略决策点（PDP）、策略信息点（PIP）、策略管理点（PAP）。PEP截获请求者的访问请求，并发送请求到PDP。 PDP按照安全策略或由PAP制定的策略集，并请求由PIP获取的主体、资源和环境属性，来做出访问控制判决结果。PDP把访问判决传递给PEP。PEP完成义务并根据PDP访问判决结果允许或拒绝访问请求。

图1 XACML访问控制架构

2 MP_ABAC模型描述

2.1 相关实体

请求者：发送请求访问网格服务的实体，调用网格服务封装的方法，用Req来表示。

服务：一种网格服务，封装了一组相关操作，对外提供调用接口的一种软件代理。通过标准协议和数据格式可以访问它。用Sev来表示。

资源：是一种系统实体，是一个或多个网格服务的操作对象。资源用Res来表示。

动作：网格服务提供的一个操作，可以被客户调用。用Act来表示。

环境：与网格服务调用相关的上下文。包含对判决起作用的特殊实体信息，例如当前日期和时间。环境用 Env来表示。

2.2 实体属性

每个实体都拥有定义其身份和特征的属性集合。

请求者属性包含身份标识，名字，组织机构，和其他请求者的信息：

服务属性可能包含服务名称和服务地址等信息：

资源属性可能包含资源名称，标识和其他信息：

动作属性包含操作名称：

环境属性包含当前日期和时间：

I, J, K, L, M在这里表示各种属性的最大数目，定义为整数。

2.3 策略描述

网格授权系统需要支持多种安全策略，每种策略都有自己的策略描述方法。封装每种策略成为一个独立的策略单元，并且定义MP_ABAC策略为这些策略的父集。

MP_ABAC_policy={Pi|i∈[1,m],Pi是一种策略}。

2.4 策略评估

策略评估是跟据安全策略做出访问判决的过程。判决由访问控制判决函数ADF使用策略规则来判决访问控制请求。在MP_ABAC中，定义adf()函数实现ADF，以请求者、服务、资源、动作和环境的属性为参数。

策略Pi的评估函数记作 Pi_adf()：

MP_ABAC的访问控制判决函数MP_ABAC_adf()，其中combine_f()采用一定的策略组合算法来组合每个策略 Pi的判决结果，得到最后的判决结果。

3 MP_ABAC授权框架

框架封装每一种策略为一个PDP，多个不同的PDP构成PDP链(PDPs)。定义抽象PDP，使它拥有所有策略的共同特征。在框架中，创建单独的CorePDP实现MP_ABAC中的MP_ABAC_Policy。CorePDP获取请求信息，根据配置文件调用PDPs，使用策略组合算法组合从每个PDP返回的访问判决结果，得出整个评估策略的唯一的判决结果。

图2中，框架由PEP，PDPs和PIPs组成。安全配置文件用来配置PDPs和PIPs信息。PEP截获用户请求，并执行从CorePDP得到的授权判决。CorePDP和PEP合称框架的授权引擎。PIPs是信息收集点的集合，收集与各种授权评估相关的实体的属性。框架中SAMLPDP来集成第三方授权系统，PDP使用SAML断言与授权系统进行交互。SAMLPDP发送请求给外部授权服务。

图2 MP_ABMC授权框架

3.1 决策判定算法

req为访问请求；res为访问资源；reqAttri-store请求属性集库；Attrisi 为PIPi返回的属性集；decisionj为PDPj返回的结果；decision为最终判决结果

Core PDP接受PEP的评估请求，调用PIPs链收集信息，根据请求和收集的信息调用相应PDPs。CorePDP收到PDP返回的访问判决后，采用策略组合算法core_PDP_combinate_algorithm()组合访问判决，得到最后判决结果返回给 PEP，PEP根据结果允许或拒绝访问资源。

4 结语

提出的MP_ABAC授权框架满足了网格计算的特征，基于相关实体的属性做出判决，并支持多策略，可以集成第三方授权系统。随着网格用户和用户群组的不断增加和复杂化，以及所接入的应用的多元化，网格访问控制功能将会被大大扩展，结果证明MP_ABAC和授权框架是有效的。

[1] FOSTER I, KESSELMAN C, TUECKE S. The Anatomy of the Grid:Enabling Scalable Virtual Organizations International[J].Supercomputer Applications, 2001,15(03):200-222.

[2] 傅鹤岗,李竞.基于属性的服务访问控制模型[J].计算机科学,2007,31(05):111-114.

[3] 曲英伟,郑广海.基于信任协商的开放系统授权服务模型的设计[J].通信技术.2008,41(01):110-112.

[4] YUAN E, TONG J. Attributed based Access Control (ABAC) for Web Services[C].USA:IEEE,2005:561-569.

[5] OASIS.Extensible Access Control Markup Language(XACML)[EB/OL].(2005-02-01).[2009-11-15]. http://docs.oasis-open.org/xacml/2.0/access_control-xacml-2.0-core-spec-os.pdf.

[6] OASIS. Security Assertion Markup Language (SAML)[EB/OL].(2006-02-14).[2009-11-15]. http://www.cs.ucsb.edu/~bultan/courses/595-W06/SAML.pdf.