基于SOA網(wǎng)格訪問控制模型的研究_第1頁
基于SOA網(wǎng)格訪問控制模型的研究_第2頁
基于SOA網(wǎng)格訪問控制模型的研究_第3頁
免費預(yù)覽已結(jié)束,剩余3頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

基于SOA網(wǎng)格訪問控制模型的研究

1引言網(wǎng)格(grid)是近年來逐漸興起的全新研究領(lǐng)域,當(dāng)前的互聯(lián)網(wǎng)技術(shù)實現(xiàn)了計算機(jī)硬件之間的連通、Web技術(shù)實現(xiàn)了網(wǎng)頁之間的連通。網(wǎng)格是把分布在因特網(wǎng)上的資源整合起來,提供大規(guī)模的分布式計算,在多個單位參與的、動態(tài)的虛擬組織之間協(xié)同資源共享和解決問題。信息網(wǎng)格是利用網(wǎng)格技術(shù)實現(xiàn)信息的共享、管理以及提供信息服務(wù)的系統(tǒng)。信息網(wǎng)格技術(shù)要解決的一個關(guān)鍵問題是對共享信息的安全控制。信息網(wǎng)格具有如下特性:資源、用戶和服務(wù)提供者數(shù)目龐大、變化多端;通信協(xié)議也不盡相同,安全策略和機(jī)制不盡相同。因此,必須為網(wǎng)格計算系統(tǒng)及其構(gòu)件提供新的安全措施來解決認(rèn)證、授權(quán)、記賬問題。本文主要解決網(wǎng)格計算中的授權(quán)問題(即訪問控制問題)。隨著分布式對象技術(shù)和面向?qū)ο蠹夹g(shù)的不斷發(fā)展,面向服務(wù)體系結(jié)構(gòu)(ServiceOrientedArchitecture,簡稱SOA)正在逐漸成為分布式計算解決方案的主流。SOA是一種關(guān)注服務(wù)的易于集成、互操作,可擴(kuò)展和安全訪問特性的分布式體系結(jié)構(gòu),而網(wǎng)格是一種協(xié)同工作、資源共享的分布式系統(tǒng),Web服務(wù)成為連接二者的紐帶,它們之間正在相互融合,作為網(wǎng)格技術(shù)的主流代表。2訪問控制技術(shù)和模型2.1傳統(tǒng)訪問控制技術(shù)傳統(tǒng)的訪問控制技術(shù)主要分為三種。(1)自主訪問控制(DAC)其實現(xiàn)思想是:系統(tǒng)中的主體(用戶或進(jìn)程)可以自主地將其擁有的對客體的訪問權(quán)限(部分或全部)授予給其他主體。其實現(xiàn)方法是建立系統(tǒng)訪問控制矩陣,矩陣的行對應(yīng)系統(tǒng)的主體,列對應(yīng)系統(tǒng)的客體,元素表示主體對客體的訪問權(quán)限。為了提高系統(tǒng)的運算性能,在實際的應(yīng)用中常常是建立基于主題或客體的訪問控制方法。缺點是效率低下,難以滿足大型應(yīng)用,特別是網(wǎng)格應(yīng)用的需要。(2)強(qiáng)制訪問控制(MAC)其實現(xiàn)原理是:系統(tǒng)中的主/客體被分配一個固定的安全屬性,安全屬性決定主體是否可以訪問某個客體。安全屬性是強(qiáng)制的,由安全管理員分配,用戶或進(jìn)程不能改變自身或其他的安全屬性。MAC的本質(zhì)是基于網(wǎng)格的非循環(huán)單項信息流政策系統(tǒng)中每個主體都被授予一個安全證書,而每個客體都被指定為一定敏感級別。訪問控制兩個關(guān)鍵規(guī)則是:不向下寫和不向上讀,即信息流從低安全級向高安全級流動。因為MAC增加了不能回避的訪問限制,所以可能影響系統(tǒng)的靈活性。另一方面,MAC雖然增加了信息的機(jī)密行,但是不能實施完整行控制,而一些完整性的控制策略卻可以實現(xiàn)機(jī)密行的功能。(3)基于角色的訪問控制(RBAC)隨著網(wǎng)絡(luò)的發(fā)展,特別是Internet的廣泛使用使信息的完整性要求超過了機(jī)密性,而傳統(tǒng)的DAC/MAC策略難以滿足這方面的需求。RBAC的基本思想是將訪問權(quán)限分配給角色,系統(tǒng)的用戶擔(dān)任指定的角色,角色實際上是與特定工作崗位相關(guān)的一個權(quán)限集,當(dāng)用戶改變時只需進(jìn)行角色的撤銷和重新分配即可。2.2分布式訪問控制模型分布式環(huán)境中,對權(quán)限的控制不僅能夠保護(hù)資源,而且還能夠使資源有效地利用。在授權(quán)模型中,有三種普遍使用的模型。(1)“推”模型資源請求者需要首先向授權(quán)中心請求權(quán)限訪問,從授權(quán)中心獲取權(quán)限證書,然后持權(quán)限證書訪問資源,資源根據(jù)用戶的權(quán)限證書返回相應(yīng)的資源。(2)“拉”模型資源請求者直接向資源提出訪問請求,資源根據(jù)用戶的訪問請求向授權(quán)中心查詢用戶的請求是否合法,如果合法則允許用戶訪問資源,否則拒絕用戶訪問。(3)“代理”模型資源請求者直接把請求轉(zhuǎn)發(fā)給授權(quán)代理,授權(quán)代理根據(jù)用戶的請求訪問資源。3SOA的信息網(wǎng)格體系3.1SOA在信息網(wǎng)格中的優(yōu)勢SOA在信息網(wǎng)格應(yīng)用中的優(yōu)勢主要體現(xiàn)在幾個部分。(1)支持多種客戶端類型借助精確定義的服務(wù)接口和XML、Web服務(wù)標(biāo)準(zhǔn)的支持,可以支持多種客戶端類型,包括PDA、手機(jī)終端等,這也符合網(wǎng)格作為全球資源化的要求。(2)編碼的靈活性通過對模塊化的低層服務(wù)采用不同組合方式來創(chuàng)建高層的網(wǎng)格服務(wù),從而實現(xiàn)系統(tǒng)的重用。(3)更好的伸縮性依靠很好的服務(wù)設(shè)計、開發(fā)和部署所采用的架構(gòu)模型實現(xiàn)伸縮性,達(dá)到網(wǎng)格互操作的目的。(4)更高的可用性網(wǎng)格服務(wù)使用者和提供者的松散耦合關(guān)系允許使用者不需要了解提供者的具體實現(xiàn)細(xì)節(jié),從服務(wù)的位置上對網(wǎng)格客戶保持透明,只有在運行時才需要確定具體的位置。3.2基于SOA的信息網(wǎng)格調(diào)用基于SOA的信息網(wǎng)格調(diào)度模型,主要定義了對資源服務(wù)映射創(chuàng)建、服務(wù)發(fā)現(xiàn)與綁定,身份認(rèn)證授權(quán)三個方面的調(diào)用流程,并針對信息網(wǎng)格環(huán)境中大量臨時性的短暫服務(wù),通過定義其接口來解決動態(tài)服務(wù)實例創(chuàng)建、服務(wù)發(fā)現(xiàn)、事件通知、生命周期管理、安全性和引用管理等問題。用戶調(diào)用服務(wù)主要過程分為幾步。(1)信息網(wǎng)格用戶向信息網(wǎng)格門戶提出服務(wù)請求,門戶提供用戶身份的認(rèn)證,然后將服務(wù)的請求和證書提交給GSP(GridServiceProxy),GSP根據(jù)WSDL定義生成用戶代理(Proxy)。(2)用戶代理在虛擬組織所維護(hù)的注冊中心UDDI中查找滿足要求的用戶服務(wù),查找過程中用戶可以對服務(wù)提供地點、性能等各個方面提出相應(yīng)的要求。(3)信息網(wǎng)格注冊服務(wù)根據(jù)用戶的要求,在眾多的服務(wù)提供者中進(jìn)行篩選,返回滿足要求的服務(wù)提供者,獲取信息網(wǎng)格服務(wù)句柄(GridServiceHandle,GSH)。(4)GSP通過得到GSH的WSDL選項向資源映射器(ResourceMapper)提出使用相應(yīng)資源的請求。(5)資源映射器根據(jù)提供的資源GSH在資源集成池(ResourceIntegrationPool,RIP)中調(diào)用該資源返回。在身份認(rèn)證過程中,信息網(wǎng)格門戶根據(jù)用戶的資源請求信息進(jìn)行認(rèn)證。首先,門戶通過授權(quán)服務(wù)(AuthorizationService)判斷此用戶的注冊信息是否已經(jīng)在認(rèn)證中心(AuthorizationCenter)注冊授權(quán)過,如果有便直接返回該用戶的授權(quán)證書;如果沒有歷史注冊記錄,便會生成臨時用戶的安全證書。這種認(rèn)證證書會通知網(wǎng)格服務(wù)代理GSP查找,綁定服務(wù)的權(quán)限范圍,保證分布式資源的合理使用。4基于SOA的信任訪問控制模型每個SOA信任域都有全局和局部信任度的計算值,這些信任值就體現(xiàn)了該信任域成功地提供服務(wù)的能力,如何使用信任值呢?信任限制了在服務(wù)協(xié)作時有失敗的風(fēng)險?,F(xiàn)在考慮一個用戶請求某種服務(wù)。假設(shè)每個用戶都想使自己獲得的服務(wù)是最好的,如果針對這個用戶來說,能夠提供的服務(wù)有很多,那么他必然選擇信任度高的提供者來為其服務(wù)。這樣,就需要找到一個合適的基于SOA信任度的訪問控制策略,這種策略既能夠給信任度高的域帶來更多的利益,又能夠刺激其他域提高自己的服務(wù)質(zhì)量。信息網(wǎng)格計算中,在訪問控制方面包括兩個方面:資源請求者請求服務(wù);資源提供者提供服務(wù)。前者主要關(guān)心所選

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論