虚拟组织身份服务(VO Membership Service , VOMS)是一个在虚拟组织范围内管理授权信息的服务。它是根据数据网格和DataTAG项目的需求提出的身份服务机制。在虚拟组织之内,服务提供者根据达成的“谅解备忘录”为其他用户提供资源。VOMS把授权信息分成两类,一类是通用信息,一类是局部信息。通用信息是关于用户和虚拟组织关系的信息,包括用户所属的组、用户允许的角色、用户提交给资源提供者的权能(capability)等。局部信息是根据用户在虚拟组织中具有的特定身份而允许其在资源上进行操作的信息。
在VOMS中,通用信息在虚拟组织保存的一个服务器上,局部信息则保存在资源提供者本地。VOMS结构采用Globus工具集的网格安全基础设施认证和代理机制。授权是基于虚拟组织和资源提供者之间签署的协议进行的,在遵守协议的前提下,强制本地授权。
一般地,一个用户可能是多个虚拟组织的成员,用户可以分别访问不同的虚拟组织的VOMS,获得关于自己和虚拟组织的信息,根据自己从多个虚拟组织获得的信息创建一个“合成”的代理证书,该代理证书在所有关联的虚拟组织中都可以使用。
为了实现访问控制,虚拟组织把用户按任务分成不同的组,组可以再分成小组,从而形成层次结构,虚拟组织是该层次的根。除根之外,每个组一般有几个祖先,不过该结构中没有环,一个组终止包含自己的子组,不会有自己的祖先。一个用户可以是一个或多个组的成员,在虚拟组织一级或组的级别上,一个用户有一些角色或职能,在具体情况下,还会赋予用户更多的角色和能力。
如果一个用户在组G中,说明该用户也属于所有G的祖先,即使没有明确说明,这一点也是隐含的。所属关系一直上溯到根。
在该模型中,如果一个用户U是组{G1 ,G2 ,…,Gn}的成员,U相对于组GK的身份、角色和权能用三元组(Gk , Rk , Ck)表示,关于U的完整授权信息是由(G1, R1 , C1), (G2 , R2 , C2),…,(Gn , Rn , Cn)组成的集合。
在使用VOMS系统时,用voms-proxy-init代替grid-proxy-init命令创建用户代理证书,用新命令建立代理证书与用grid-proxy-init命令创建代理证书类似,只不过用户信息取自VOMS服务器。这些信息包含在一个结构中,有用户和VOMS服务器的委托书和有效时间,数据是经过VOMS服务器签名的。
VOMS提供用户和虚拟组织的关系信息,包括组、角色和权能信息。它支持单一登录,用户仅在会话开始时使用voms-proxy-init,之后就不再输入自己的登录信息。授权信息仅在代理证书自身的有效期内有效。代理证书中也包含与外部虚拟组织相关的信息,可以被不认识VOMS的服务使用。用户可以登录到多个虚拟组织中,创建一个联合代理证书,用户用该证书可以访问这些虚拟组织中的任何一个资源。
VOMS的核心是一个帐号数据库,它用特定的格式保存信息。虚拟组织的管理者可以用命令行工具或万文网借口远程管理该数据库。
以上基于虚拟组织的社区授权服务和虚拟组织身份服务很好的解决了传统的GSI存在的一些不足,虽然它们的设计解决了在网格环境的访问控制中,对资源和数据访问控制的灵活性、可扩展性、可表达性等问题,但是,它也不是十全十美的,同样也存在着一些弊病,例如:
1、对一个VO单一的策略服务器,会给用户带来访问瓶颈和可靠性等问题。
2、CAS用静态定义的权限来工作,没有反馈机制,不利于某些消费性资源(如:磁盘容量)的合理分配。
3、另外,策略声明还需要进一步的标准化等等。国际组织正在研究的SAML(安全声明标记语言)可能被采用。
4.5网格环境下基于角色的访问控制框架
基于角色的访问控制中(RBAC)中,在用户和访问许可权之间引入角色的概念,把用户和权限通过角色联系起来,用户被赋予某种角色,也就拥有相应的权限,这样就可以十分简单地通过分配和取消角色来完成权限的授予和取消,改变用户的角色分配,同时提供角色分配规则和操作检查规则。在一个组织中,针对各种工作职能定义不同的角色,并根据用户的责任和资格分配其角色。安全管理人员根据需要定义各种角色,设置合适的访问权限,而用户根据其责任和资历再被指派为不同的角色。这样,整个访问控制过程就被分为两个部分,即访问权限与角色相关联,角色再与用户相关联,从而实现了用户与访问权限的逻辑分离。这种方式更便于授权管理、角色划分、职责分担、目标分级、和赋予最小权限,同时也是访问控制发展的趋势。
网格环境是一个非常复杂的应用环境,分布性和动态性是网格最主要的特点,网格的用户可能分布在地理位置互不相同的多个地方,也可能是来自不同的虚拟组织,一般涉及的用户类型复杂、规模较大、跨越的地理范围较广、随时处于动态的变化中,另外信息网格具有多个管理域、多种安全策略、大量的用户及信息服务请求以及异构的信息资源,在网格环境的这些特性下,如果在网格环境下实现自主访问控制和强制访问控制将会文护一个庞大且难于管理的访问控制表,给系统带来巨大的开销。而基于角色的访问控制解决了具有大量用户,数据客体和各种访问权限的网格系统中的授权管理问题,有效地克服了传统访问控制技术存在的不足,所以将基于角色的访问控制的引入可以大大降低网格访问控制的复杂度,为网格系统的管理员提供一个比较好的安全策略实现。
我们提出了一种网格环境下基于角色的访问控制框架,如图4.4,该模型的特点是将RBAC独立于网格计算资源,给在网格上的应用提供了一种既方便灵活又安全可靠的访问控制策略。
<< 上一页 [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] ... 下一页 >>