都需要文护一个庞大笨拙的全局/本地映射表,这种授权机制难以扩展到拥有大量资源和大量用户的大规模环境中;另外GSI缺乏基于全局策略的具有良好扩展性的访问控制机制。
针对目前大规模网格环境下访问控制的特性,我们提出了虚拟组织的概念。虚拟组织(VO , virtual Organizations)是多个组织中具有某些共同特征的某些实体的集合,他们在共享和使用各种资源时具有一致的模式。虚拟组织中的成员和资源有他们共同遵守的规则和策略。一个组织中的任何一个实体,可以自己决定信任任何一个CA,而不用涉及的他所在的整个组织。如图4.1。
图4.1 Vo信任关系
多个资源或者组织将他们一定的控制策略授予一个第三方—VO,由VO统一管理这些控制策略,来允许同等的资源共享和使用,如图4.2:
图4.2 Vo信任域
传统意义上安全策略的管理是手工编辑策略数据库或者签发证书,但它不能满足动态性的需求。VO提出了信任域的两大特点,即:
1、VO安全技术必须能和不同域的本地安全技术兼容。
2、VO中的用户可以动态的创建和撤销资源,为了使VO中的资源保持一致,信任域必须能够动态的建立,这种信任不仅需要在用户和资源中建立,也需要在资源和资源之间建立。Vo中信任域的动态创建和管理可以通过GSI的代理证书和中心策略服务完成。
虚拟组织中的社区授权服务(Community Authorization Service , CAS)是一个以社区为单位建立可信任第三方并实现社区内资源访问控制的机制。
CAS服务器负责管理访问控制策略,其中包含社区中所有实体的信息,如CA、用户、服务器和资源等信息,也包含策略说明,描述谁有权对什么资源进行怎样的操作。
用户在访问一个资源之前,首先给CAS服务器发送请求,请求获得一个能力凭据(Capability)。服务器根据用户请求,经过访问自己文护的策略数据库给用户返回一个能力凭据,该凭据中包含了保护可以执行的操作集合。获得凭据之后,用户用该凭据去访问资源,执行凭据中描述的操作。
用户访问资源服务器时,把请求和从CAS服务器那里获得的凭据一起发送给资源服务器,资源服务器基于本地策略授权用户访问资源,
策略描述是CAS系统的一个关键因素,CAS支持受控英语、ASL、Ponder等作为策略描述语言。
请求 普通的用户代理 Cas-proxy-init 代理和CAS的策略声明 策略 Gridftp 客户端 CAS服务 CAS DB 用户、对象、权限 CA服务器 应答 查询 Gridftp Server (被修改来进行CAS授权) 授权库 策略 Gridftp服务 策略 用户
图4.3 用户访问gridftp服务的交互过程
如图4.3:一个典型的用户访问gridftp服务的交互过程。这个Gridftp服务器是经过修改的,来承担CAS的授权。CAS用户首先得到一个标准的网格代理证书,然后向CAS服务器请求信任,CAS服务器根据CAS数据库中所授予这个用户的权限策略,用CAS的私钥签署一个授权策略声明返回给CAS用户,最后用户将这个声明和代理证书提交给要使用的gridftp资源。被修改过的Gridftp服务通过验证用户的策略声明来决定是否提供服务。
<< 上一页 [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] ... 下一页 >>