專(zhuān)利名稱(chēng):一種基于社區(qū)授權(quán)服務(wù)的動(dòng)態(tài)訪(fǎng)問(wèn)控制方法
技術(shù)領(lǐng)域:
本發(fā)明是一種網(wǎng)格計(jì)算環(huán)境下實(shí)現(xiàn)用戶(hù)對(duì)資源或服務(wù)的動(dòng)態(tài)訪(fǎng)問(wèn)控制的方 案����。主要針對(duì)網(wǎng)格計(jì)算環(huán)境的動(dòng)態(tài)性特點(diǎn)提出的一個(gè)網(wǎng)格訪(fǎng)問(wèn)控制模型,屬于網(wǎng) 格計(jì)算、計(jì)算機(jī)軟件安全技術(shù)領(lǐng)域。
背景技術(shù):
隨著人們對(duì)高性能計(jì)算和資源分布共享需求的增加�,傳統(tǒng)的高性能計(jì)算模式 和計(jì)算共享模式已經(jīng)不能滿(mǎn)足人們的需要,人們期望能夠像訪(fǎng)問(wèn)電力資源一樣隨時(shí)隨地的獲取需要的計(jì)算和存儲(chǔ)等資源����,期望不僅僅是在本地計(jì)算機(jī)上找到所需 的服務(wù),而是在整個(gè)網(wǎng)絡(luò)范圍內(nèi)找到最佳的服務(wù)����,希望將整個(gè)網(wǎng)絡(luò)虛擬成為一個(gè) 整體�。傳統(tǒng)的高性能計(jì)算模式和資源共享模式因其靈活性差���、系統(tǒng)擴(kuò)充和升級(jí)代 價(jià)高而無(wú)法適應(yīng)這些持續(xù)增長(zhǎng)的計(jì)算要求。網(wǎng)格計(jì)算就是在這一需求下應(yīng)運(yùn)而生 的一種新的計(jì)算模式���。通俗的說(shuō)���,網(wǎng)格計(jì)算就是整合不同組織、機(jī)構(gòu)的計(jì)算機(jī)資 源(包括存儲(chǔ)資源��、計(jì)算資源等)�����,形成一臺(tái)巨大的虛擬計(jì)算機(jī)��,完成超大規(guī)模 的計(jì)算�����,以實(shí)現(xiàn)資源的充分利用和信息的整合�。資源需求相對(duì)集中的用戶(hù)群按照某種資源共享規(guī)則形成一個(gè)虛擬組織vo,相互協(xié)作完成任務(wù)����。支持vo的基礎(chǔ)設(shè)施就是網(wǎng)格�����。在虛擬組織V0中��,網(wǎng)格計(jì)算環(huán)境具有如下特殊屬性l)用戶(hù)和資 源可以隨時(shí)加入或退出����;2)資源的訪(fǎng)問(wèn)控制即受到虛擬組織的訪(fǎng)問(wèn)策略控制又 受到所屬自治域的訪(fǎng)問(wèn)策略的控制���;3)參與V0的各自治域認(rèn)證和授權(quán)機(jī)制各不 相同�����。4)參與一個(gè)計(jì)算的資源可能來(lái)自多個(gè)不同自治域���。正是由于這些特殊屬 性,在設(shè)計(jì)網(wǎng)格安全機(jī)制時(shí)特別要考慮網(wǎng)格計(jì)算環(huán)境的動(dòng)態(tài)性和異構(gòu)特性��。訪(fǎng)問(wèn)控制是網(wǎng)格安全的一個(gè)重要方面���,主要是針對(duì)越權(quán)使用系統(tǒng)資源的防御 措施����,通過(guò)限制資源的訪(fǎng)問(wèn),防止非法用戶(hù)的侵入或合法用戶(hù)的不慎操作而造成 的破壞���,從而保證系統(tǒng)資源的合法使用�����。訪(fǎng)問(wèn)控制的核心是授權(quán)策略,即用于確 定一個(gè)主體是否能對(duì)客體擁有訪(fǎng)問(wèn)能力的一套規(guī)則��。傳統(tǒng)的訪(fǎng)問(wèn)控制方法如自主訪(fǎng)問(wèn)控制DAC�����、強(qiáng)制訪(fǎng)問(wèn)控制MAC和基于角色的訪(fǎng)問(wèn)控制RBAC都不能滿(mǎn)足網(wǎng)格 環(huán)境由于動(dòng)態(tài)性����、異構(gòu)性、管理域自治性等特點(diǎn)所帶來(lái)的訪(fǎng)問(wèn)控制問(wèn)題�����。針對(duì)網(wǎng) 格環(huán)境的動(dòng)態(tài)性特點(diǎn)���,我們基于虛擬組織V0中的社區(qū)授權(quán)服務(wù)CAS及所采用的 基于角色的訪(fǎng)問(wèn)控制RBAC方法�����,制定一種適合于網(wǎng)格環(huán)境的動(dòng)態(tài)訪(fǎng)問(wèn)控制模型����, 以實(shí)現(xiàn)網(wǎng)格環(huán)境下的動(dòng)態(tài)訪(fǎng)問(wèn)控制,達(dá)到資源的充分利用和協(xié)同問(wèn)題求解��。發(fā)明內(nèi)容技術(shù)問(wèn)題本發(fā)明的目的是提供一種基于社區(qū)授權(quán)服務(wù)的動(dòng)態(tài)訪(fǎng)問(wèn)控制方 法�,解決網(wǎng)格環(huán)境下由于資源和用戶(hù)的動(dòng)態(tài)加入、退出����、根據(jù)資源負(fù)載動(dòng)態(tài)授權(quán)、 資源的時(shí)效性等所帶來(lái)的訪(fǎng)問(wèn)控制問(wèn)題��,實(shí)現(xiàn)資源的無(wú)縫集成和動(dòng)態(tài)訪(fǎng)問(wèn)控制���。技術(shù)方案本發(fā)明的方法是一種改進(jìn)的方法����,通過(guò)對(duì)虛擬組織V0中社區(qū)授 權(quán)服務(wù)CAS采用的基于角色的訪(fǎng)問(wèn)控制機(jī)制做改進(jìn)、對(duì)資源分層�,將用戶(hù)注冊(cè)的 資源形成物理資源,在物理資源之上匯聚成虛擬資源��,在虛擬資源之上再形成有 效資源���。授予用戶(hù)的角色都有相應(yīng)的上下文環(huán)境限制�����,只有用戶(hù)處在要求的上 下文環(huán)境時(shí)�,授予的角色才被激活���。用戶(hù)登錄網(wǎng)格時(shí),根據(jù)用戶(hù)的主體上下文環(huán) 境(如在無(wú)線(xiàn)接入環(huán)境下可以根據(jù)用戶(hù)的接入鏈路激活賦予用戶(hù)的相應(yīng)角色��,用 戶(hù)從內(nèi)部安全鏈路接入時(shí)激活角色1�����,從外部安全鏈路接入激活角色2����,從外部 非安全鏈路接入激活角色3)激活用戶(hù)相應(yīng)的角色,當(dāng)用戶(hù)所在的上下文環(huán)境改 變時(shí),上下文代理觸發(fā)社區(qū)授權(quán)服務(wù)CAS改變用戶(hù)角色����,借此實(shí)現(xiàn)網(wǎng)格環(huán)境下 的動(dòng)態(tài)訪(fǎng)問(wèn)控制方案。下面先給出該網(wǎng)格訪(fǎng)問(wèn)控制模型中基本元素的定義及其功能1) 物理資源用戶(hù)向虛擬組織注冊(cè)的可以供其它用戶(hù)使用的實(shí)體����。物理資 源的屬性包括標(biāo)識(shí)、類(lèi)別(cpu�����、內(nèi)存���、外存等)����、訪(fǎng)問(wèn)類(lèi)別(讀��、寫(xiě)�����、執(zhí)行)�、 大小����、使用時(shí)間限制(開(kāi)始時(shí)間���、結(jié)束時(shí)間)���、資源負(fù)載限制(當(dāng)cpu負(fù)載〉80%,拒絕訪(fǎng)問(wèn))等�。2) 虛擬資源根據(jù)V0中用戶(hù)注冊(cè)的物理資源的類(lèi)別及訪(fǎng)問(wèn)類(lèi)別合并形成虛 擬資源,比如一個(gè)VO中有三個(gè)用戶(hù)注冊(cè)內(nèi)存資源�����,大小分別為50M�、 65M、 120M����, 因此�,V0中形成的虛擬資源一內(nèi)存資源大小為235M,虛擬資源的屬性包括標(biāo) 識(shí)�����、類(lèi)別、大小�、訪(fǎng)問(wèn)類(lèi)別等。3) 有效資源合并形成的虛擬資源中���,有的物理資源因?yàn)闀r(shí)間限制��、負(fù)載限制或不在線(xiàn)等原因不可用���。有效資源就是虛擬資源中去掉不可用的資源而形成 的可用資源。有效資源隨著資源狀態(tài)的變化而不斷變化����。4) 用戶(hù)在VO中注冊(cè)并能夠提交任務(wù)的實(shí)體,其屬性包括標(biāo)識(shí)��、角色����、 身份。5) 角色在VO中一群用戶(hù)根據(jù)職務(wù)或執(zhí)行任務(wù)需要賦予一組相同的權(quán)限��, 這一組權(quán)限就形成一個(gè)角色���。 一個(gè)角色由多個(gè)權(quán)限組成�。角色根據(jù)所要執(zhí)行的任 務(wù)或所在職位需要的權(quán)限形成。 一個(gè)角色由多個(gè)權(quán)限組成�,可以賦予多個(gè)用戶(hù)。6) 上下文環(huán)境:表示和時(shí)間���、地點(diǎn)����、統(tǒng)計(jì)相關(guān)的一些動(dòng)態(tài)信息的集合��,用來(lái)限制用戶(hù)的活動(dòng)角色����。7) 用戶(hù)活動(dòng)角色根據(jù)用戶(hù)所處的上下文環(huán)境激活用戶(hù)被賦予的一部分角色,形成用戶(hù)活動(dòng)角色��。8) 用戶(hù)活動(dòng)權(quán)限由用戶(hù)活動(dòng)角色獲得的權(quán)限���。9) 社區(qū)授權(quán)服務(wù)CAS:虛擬組織VO中實(shí)現(xiàn)資源集中訪(fǎng)問(wèn)控制所采用的措施���, 包括CAS服務(wù)器和CAS數(shù)據(jù)庫(kù)���。10) 資源控制模塊用來(lái)時(shí)時(shí)監(jiān)控VO中各個(gè)資源�,當(dāng)資源狀態(tài)改變時(shí)將資 源從有效資源層中去掉或重新添加進(jìn)去。當(dāng)資源注冊(cè)后�,根據(jù)資源注冊(cè)信息,將 資源匯聚到相應(yīng)類(lèi)的虛擬資源中����,并根據(jù)資源狀態(tài)和訪(fǎng)問(wèn)限制決定是否添加到有 效資源層中,隨后開(kāi)始時(shí)時(shí)監(jiān)控該資源的狀態(tài)�����。本發(fā)明在傳統(tǒng)的基于角色的訪(fǎng)問(wèn)控制RBAC模型的基礎(chǔ)上增加了上下文環(huán) 境���、用戶(hù)活動(dòng)角色�、用戶(hù)活動(dòng)權(quán)限等的概念��,并將資源分層形成物理資源�、虛擬 資源、有效資源三層��,以達(dá)到資源的匯聚和透明訪(fǎng)問(wèn)�����。在虛擬組織VO中增加了 資源控制模塊�����,用來(lái)實(shí)時(shí)監(jiān)控各個(gè)資源的狀態(tài)、新注冊(cè)的資源����,并根據(jù)相應(yīng)限制 條件修改VO中的虛擬資源和有效資源,實(shí)現(xiàn)網(wǎng)格環(huán)境下的動(dòng)態(tài)訪(fǎng)問(wèn)控制��。具體 如下一. 體系結(jié)構(gòu)基于社區(qū)授權(quán)服務(wù)CAS的動(dòng)態(tài)訪(fǎng)問(wèn)控制在CAS的基礎(chǔ)上做了些改動(dòng)增加 了資源控制模塊����,對(duì)CAS服務(wù)器和CAS數(shù)據(jù)庫(kù)也稍微作了些改動(dòng),以支持用戶(hù) 角色隨環(huán)境動(dòng)態(tài)改變以及對(duì)資源的無(wú)縫集成和透明�、動(dòng)態(tài)訪(fǎng)問(wèn)控制。資源控制模 塊主要用來(lái)實(shí)現(xiàn)對(duì)資源的匯聚����、時(shí)時(shí)監(jiān)控以根據(jù)一定的條件將資源添加到有效資 源中或從有效資源中去掉、以及將用戶(hù)請(qǐng)求映射到物理資源����。圖3給出了基于CAS的動(dòng)態(tài)訪(fǎng)問(wèn)控制結(jié)構(gòu)圖?�;谏鐓^(qū)授權(quán)服務(wù)的動(dòng)態(tài)訪(fǎng)問(wèn)控制方法基于社區(qū)授權(quán)服務(wù),主要針對(duì)網(wǎng)格環(huán) 境的動(dòng)態(tài)性特征��,通過(guò)加入資源控制模塊�,實(shí)現(xiàn)對(duì)資源分層�����、監(jiān)控�����、動(dòng)態(tài)訪(fǎng)問(wèn)控 制��,對(duì)社區(qū)授權(quán)服務(wù)器和數(shù)據(jù)庫(kù)作修改����,使之能夠?qū)崿F(xiàn)根據(jù)用戶(hù)所在上下文環(huán)境 動(dòng)態(tài)改變用戶(hù)角色,并通過(guò)與資源控制模塊交互��,實(shí)現(xiàn)網(wǎng)格環(huán)境下對(duì)資源的動(dòng)態(tài)��、 透明訪(fǎng)問(wèn)和無(wú)縫集成����;具體實(shí)現(xiàn)方法如下第一步用戶(hù)向虛擬組織注冊(cè)自己的信息,社區(qū)授權(quán)服務(wù)根據(jù)用戶(hù)注冊(cè)的信息賦予用戶(hù)一定的角色,這些角色都有相應(yīng)的上下文環(huán)境限制�����,只有用戶(hù)處在對(duì) 應(yīng)的上下文環(huán)境下時(shí)��,賦予的角色才被激活�,第二步資源提供者向虛擬組織注冊(cè)自己擁有的可以被其它用戶(hù)使用的資 源,用戶(hù)可以限定資源的訪(fǎng)問(wèn)時(shí)段����、可訪(fǎng)問(wèn)的資源量、負(fù)載限制���、訪(fǎng)問(wèn)類(lèi)型限制��, 資源控制模塊根據(jù)注冊(cè)的資源信息將資源匯聚到相應(yīng)的虛擬資源類(lèi)中��,并根據(jù)資 源的訪(fǎng)問(wèn)限制和當(dāng)前狀態(tài)決定是否將該資源添加到有效資源中�����,隨后開(kāi)始監(jiān)控該 資源的狀態(tài)��,并在一定條件下將資源從有效資源中去掉或重新添加到有效資源中 去��,第三步用戶(hù)登錄到虛擬組織中�,在某一時(shí)刻使用用戶(hù)憑證向虛擬組織提交 任務(wù)請(qǐng)求,社區(qū)授權(quán)服務(wù)根據(jù)用戶(hù)憑證和任務(wù)請(qǐng)求�,査詢(xún)社區(qū)授權(quán)策略數(shù)據(jù)庫(kù), 如果用戶(hù)活動(dòng)角色具有執(zhí)行該任務(wù)的權(quán)限�;則社區(qū)授權(quán)服務(wù)器訪(fǎng)問(wèn)資源控制模塊 確定虛擬組織當(dāng)前的有效資源是否滿(mǎn)足該請(qǐng)求���,若有效資源滿(mǎn)足����,則社區(qū)授權(quán)服 務(wù)器返回用戶(hù)一個(gè)用戶(hù)憑證�,第四步用戶(hù)將任務(wù)請(qǐng)求和用戶(hù)憑證發(fā)送給資源控制模塊,資源控制模塊根 據(jù)虛擬組織的策略從有效資源中選取滿(mǎn)足用戶(hù)請(qǐng)求的一部分資源��,將其映射到物 理資源�,然后將映射的各個(gè)物理資源及用戶(hù)憑證發(fā)送給社區(qū)授權(quán)服務(wù)器,社區(qū)授 權(quán)服務(wù)器為每個(gè)物理資源形成一個(gè)資源憑證發(fā)給資源控制模塊�,資源控制模塊將 每個(gè)物理資源分配的任務(wù)請(qǐng)求和對(duì)應(yīng)的資源憑證發(fā)送給各個(gè)物理資源,第五步各個(gè)物理資源服務(wù)器首先根據(jù)本地授權(quán)策略決定是否允許這樣的請(qǐng) 求�����,再根據(jù)社區(qū)授權(quán)服務(wù)委托的資源憑證是否也允許這樣的請(qǐng)求����,如果兩次檢查 都通過(guò)�����,則允許用戶(hù)訪(fǎng)問(wèn)資源��,第六步如果某個(gè)資源在任務(wù)未執(zhí)行完之前中途退出虛擬組織或者由于負(fù)載過(guò)重或超過(guò)有效時(shí)間范圍����,則未執(zhí)行完的任務(wù)被退回�,資源服務(wù)器將分配的任務(wù) 請(qǐng)求返回給資源控制模塊,由資源控制模塊從有效資源中重新選擇合適的資源�����, 并映射到物理資源����,將物理資源和用戶(hù)憑證發(fā)給社區(qū)授權(quán)服務(wù)器,形成資源憑證��, 再將分配的任務(wù)請(qǐng)求+資源憑證發(fā)給該物理資源重新執(zhí)行���,第七步每個(gè)資源成功執(zhí)行完任務(wù)之后�,將執(zhí)行結(jié)果返回給資源控制模塊, 當(dāng)所有執(zhí)行結(jié)果都返回后�����,資源控制模塊再將他們匯總后返回給用戶(hù)�����。至此�,面向社區(qū)授權(quán)服務(wù)的動(dòng)態(tài)訪(fǎng)問(wèn)控制實(shí)施方案結(jié)束�����。 有益效果本發(fā)明方法在社區(qū)授權(quán)服務(wù)CAS的基礎(chǔ)上作了改動(dòng)��,將資源 分層��,并加入了資源控制模塊���,能實(shí)現(xiàn)根據(jù)資源的負(fù)載�、有效時(shí)間段�、動(dòng)態(tài)加入 或退出等因素動(dòng)態(tài)控制資源的使用,同時(shí)��,可以根據(jù)用戶(hù)所在的上下文環(huán)境動(dòng)態(tài) 改變用戶(hù)的角色,解決了網(wǎng)格環(huán)境的動(dòng)態(tài)性特征��,實(shí)現(xiàn)了網(wǎng)格環(huán)境下的動(dòng)態(tài)訪(fǎng)問(wèn) 控制�����。具體說(shuō)明如下1. 能夠?yàn)橛脩?hù)提供透明的問(wèn)題求解方案����。用戶(hù)不需要知道社區(qū)內(nèi)有哪些資源可以提供服務(wù),只需要提交任務(wù)���,由社區(qū)授權(quán)服務(wù)CAS根據(jù)當(dāng)前的用戶(hù)的活 動(dòng)角色和有效資源決定是否能滿(mǎn)足用戶(hù)的請(qǐng)求�����,用戶(hù)不需要知道有哪些資源參加 完成此次請(qǐng)求的����。2. 可以根據(jù)資源提供者的要求動(dòng)態(tài)控制資源的訪(fǎng)問(wèn)�����。比如當(dāng)CPU負(fù)載〉80yo 時(shí)���,將資源改為不可用狀態(tài)���,即將資源從有效資源池中去掉��,停止對(duì)資源的繼續(xù) 訪(fǎng)問(wèn)�,而當(dāng)CPU負(fù)載《0����。/。時(shí)���,將資源又改為可用狀態(tài),加入到有效資源中��。另 外還可以根據(jù)資源的有效時(shí)間段進(jìn)行動(dòng)態(tài)訪(fǎng)問(wèn)控制����,此外也不會(huì)因?yàn)槟硞€(gè)或某些 資源中途退出而影響問(wèn)題求解的執(zhí)行。3. 可以根據(jù)用戶(hù)所在的環(huán)境動(dòng)態(tài)改變用戶(hù)的角色����,提供了更高的安全性和 更細(xì)的訪(fǎng)問(wèn)控制粒度。比如在無(wú)線(xiàn)網(wǎng)格環(huán)境下���,當(dāng)用戶(hù)通過(guò)內(nèi)部安全鏈路接入時(shí)����, 具有角色Rl (具有權(quán)限Pl、 P2���、 P3)���,當(dāng)用戶(hù)通過(guò)外部安全鏈路接入時(shí),具有 角色R2 (P2���、 P3)�����,用戶(hù)通過(guò)外部非安全鏈路接入時(shí)����,具有角色R3(P3).4. 通過(guò)將虛擬組織VO中的各種資源匯聚并在此之上形成有效資源池�����,可 以更加充分�����、有效、合理地利用VO中的資源��。
圖1是虛擬組織vo中資源分層的示意圖�����。圖2是當(dāng)前社區(qū)授權(quán)服務(wù)CAS用戶(hù)訪(fǎng)問(wèn)資源的過(guò)程圖�����。圖3是對(duì)社區(qū)授權(quán)服務(wù)CAS改進(jìn)后形成的基于CAS的動(dòng)態(tài)訪(fǎng)問(wèn)控制圖�����。圖4是本發(fā)明的基于CAS的動(dòng)態(tài)訪(fǎng)問(wèn)控制流程圖����。
具體實(shí)施方式
假設(shè)有一個(gè)用戶(hù)社區(qū)���,可以將用戶(hù)閑置的計(jì)算資源�、存儲(chǔ)資源等整合起來(lái)����,以供其它用戶(hù)使用�。資源提供者向虛擬組織vo注冊(cè)資源時(shí)���,可以指定在什么時(shí)間段是可用的����、資源的類(lèi)型��、服務(wù)類(lèi)別��、大小����、負(fù)載限制等。在社區(qū)中���,由資源 控制模塊將注冊(cè)的各種物理資源匯聚成虛擬資源���,并且資源控制模塊時(shí)時(shí)監(jiān)控各 個(gè)物理資源的狀態(tài),根據(jù)各個(gè)資源的狀態(tài)形成有效資源����。用戶(hù)向虛擬組織注冊(cè)時(shí)�,社區(qū)授權(quán)服務(wù)CAS根據(jù)用戶(hù)提供的信息��,賦予用戶(hù)一定的角色���,這些角色都有 一定的上下文環(huán)境限制����,只有用戶(hù)處在相應(yīng)的上下文環(huán)境時(shí)��,分配的角色才是有 效的����。具體訪(fǎng)問(wèn)控制過(guò)程如下第一步、資源提供者向虛擬組織VO注冊(cè)資源���,資源的信息除了標(biāo)識(shí)資源名 稱(chēng)����、類(lèi)型�,還可以指定訪(fǎng)問(wèn)的條件在什么時(shí)間段是可用的����、訪(fǎng)問(wèn)的類(lèi)型�����、可訪(fǎng) 問(wèn)的資源大小��、負(fù)載限制等���。資源注冊(cè)通過(guò)后由資源控制模塊將其匯聚到對(duì)應(yīng)的 虛擬資源中,根據(jù)資源的狀態(tài)及訪(fǎng)問(wèn)條件決定是否將其添加到有效資源 中����,并時(shí)時(shí)監(jiān)控資源狀態(tài),直到該資源脫離虛擬組織����。第二步、用戶(hù)向網(wǎng)格門(mén)戶(hù)注冊(cè)信息�,注冊(cè)通過(guò)后,虛擬組織VO根據(jù)用戶(hù)注 冊(cè)的信息賦予用戶(hù)一些角色��,這些角色都有上下文環(huán)境條件限制���,用戶(hù)只有處在 相應(yīng)的上下文環(huán)境下�����,才能使用該角色�。第三步、用戶(hù)登錄到網(wǎng)格社區(qū)中����,某個(gè)時(shí)候使用用戶(hù)憑證向虛擬組織VO提 交一個(gè)任務(wù)請(qǐng)求,社區(qū)授權(quán)服務(wù)CAS根據(jù)用戶(hù)任務(wù)請(qǐng)求和用戶(hù)憑證査詢(xún)CAS策 略數(shù)據(jù)庫(kù)�,如果用戶(hù)的活動(dòng)角色具有執(zhí)行該任務(wù)的權(quán)限,則CAS服務(wù)器訪(fǎng)問(wèn)資 源控制模塊確定VO當(dāng)前的有效資源能否滿(mǎn)足該請(qǐng)求���,若有效資源滿(mǎn)足請(qǐng)求����,則 CAS返回給用戶(hù)一個(gè)S—Capability���。第四步�、用戶(hù)任務(wù)請(qǐng)求和S一Capability發(fā)送給資源控制模塊��,資源控制模塊 根據(jù)VO的策略從有效資源中選取滿(mǎn)足用戶(hù)請(qǐng)求的一部分資源��,將其映射到物理 資源�����,然后將映射的各個(gè)物理資源及S—Capability發(fā)給社區(qū)授權(quán)服務(wù)CAS,CAS為每個(gè)物理資源形成一個(gè)Capability發(fā)給資源控制模塊�,資源控制模塊將每個(gè)物 理資源分配的任務(wù)請(qǐng)求(這時(shí)的任務(wù)請(qǐng)求可能只是總?cè)蝿?wù)的一部分)、和對(duì)應(yīng)的 Capability轉(zhuǎn)發(fā)給各個(gè)物理資源�����。第五步�、各個(gè)物理資源服務(wù)器首先根據(jù)本地授權(quán)策略決定是否允許這樣的請(qǐng) 求,再根據(jù)CAS委托的Capability是否也允許這樣的請(qǐng)求���,如果兩次檢査都通 過(guò)�����,則允許用戶(hù)訪(fǎng)問(wèn)資源�。第六步�、如果某個(gè)資源在任務(wù)未執(zhí)行完之前中途退出VO或者由于負(fù)載過(guò)重 或超過(guò)有效時(shí)間范圍而不可訪(fǎng)問(wèn),則未執(zhí)行完的任務(wù)請(qǐng)求被退回�����,資源服務(wù)器將 分配的任務(wù)請(qǐng)求返回給資源控制模塊�����,由資源控制模塊從有效資源中重新選擇合 適的資源,并映射到物理資源��,再將任務(wù)請(qǐng)求發(fā)給該物理資源重新執(zhí)行�。第七步、每個(gè)資源成功執(zhí)行完任務(wù)之后��,將執(zhí)行結(jié)果返回給資源控制模塊�����, 當(dāng)所有執(zhí)行結(jié)果都返回后��,資源控制模塊再將他們匯總后返回給用戶(hù)�。
權(quán)利要求
1、一種基于社區(qū)授權(quán)服務(wù)的動(dòng)態(tài)訪(fǎng)問(wèn)控制方法����,其特征在于該方法基于社區(qū)授權(quán)服務(wù),主要針對(duì)網(wǎng)格環(huán)境的動(dòng)態(tài)性特征�,通過(guò)加入資源控制模塊,實(shí)現(xiàn)對(duì)資源分層����、監(jiān)控�����、動(dòng)態(tài)訪(fǎng)問(wèn)控制�,對(duì)社區(qū)授權(quán)服務(wù)器和數(shù)據(jù)庫(kù)作修改���,使之能夠?qū)崿F(xiàn)根據(jù)用戶(hù)所在上下文環(huán)境動(dòng)態(tài)改變用戶(hù)角色,并通過(guò)與資源控制模塊交互����,實(shí)現(xiàn)網(wǎng)格環(huán)境下對(duì)資源的動(dòng)態(tài)、透明訪(fǎng)問(wèn)和無(wú)縫集成����;具體實(shí)現(xiàn)方案如下第一步用戶(hù)向虛擬組織注冊(cè)自己的信息,社區(qū)授權(quán)服務(wù)根據(jù)用戶(hù)注冊(cè)的信息賦予用戶(hù)一定的角色�����,這些角色都有相應(yīng)的上下文環(huán)境限制�,只有用戶(hù)處在對(duì)應(yīng)的上下文環(huán)境下時(shí),賦予的角色才被激活��,第二步資源提供者向虛擬組織注冊(cè)自己擁有的可以被其它用戶(hù)使用的資源�,用戶(hù)可以限定資源的訪(fǎng)問(wèn)時(shí)段�����、可訪(fǎng)問(wèn)的資源量��、負(fù)載限制��、訪(fǎng)問(wèn)類(lèi)型限制���,資源控制模塊根據(jù)注冊(cè)的資源信息將資源匯聚到相應(yīng)的虛擬資源類(lèi)中,并根據(jù)資源的訪(fǎng)問(wèn)限制和當(dāng)前狀態(tài)決定是否將該資源添加到有效資源中����,隨后開(kāi)始監(jiān)控該資源的狀態(tài),并將資源從有效資源中去掉或重新添加到有效資源中去���,第三步用戶(hù)登錄到虛擬組織中��,在某一時(shí)刻使用用戶(hù)憑證向虛擬組織提交任務(wù)請(qǐng)求�����,社區(qū)授權(quán)服務(wù)根據(jù)用戶(hù)憑證和任務(wù)請(qǐng)求��,查詢(xún)社區(qū)授權(quán)策略數(shù)據(jù)庫(kù)���,如果用戶(hù)活動(dòng)角色具有執(zhí)行該任務(wù)的權(quán)限����;則社區(qū)授權(quán)服務(wù)器訪(fǎng)問(wèn)資源控制模塊確定虛擬組織當(dāng)前的有效資源是否滿(mǎn)足該請(qǐng)求�����,若有效資源滿(mǎn)足����,則社區(qū)授權(quán)服務(wù)器返回用戶(hù)一個(gè)用戶(hù)憑證�,第四步用戶(hù)將任務(wù)請(qǐng)求和用戶(hù)憑證發(fā)送給資源控制模塊,資源控制模塊根據(jù)虛擬組織的策略從有效資源中選取滿(mǎn)足用戶(hù)請(qǐng)求的一部分資源��,將其映射到物理資源�,然后將映射的各個(gè)物理資源及用戶(hù)憑證發(fā)送給社區(qū)授權(quán)服務(wù)器,社區(qū)授權(quán)服務(wù)器為每個(gè)物理資源形成一個(gè)資源憑證發(fā)給資源控制模塊�,資源控制模塊將每個(gè)物理資源分配的任務(wù)請(qǐng)求和對(duì)應(yīng)的資源憑證發(fā)送給各個(gè)物理資源,第五步各個(gè)物理資源服務(wù)器首先根據(jù)本地授權(quán)策略決定是否允許這樣的請(qǐng)求�,再根據(jù)社區(qū)授權(quán)服務(wù)委托的資源憑證是否也允許這樣的請(qǐng)求,如果兩次檢查都通過(guò)����,則允許用戶(hù)訪(fǎng)問(wèn)資源�����,第六步如果某個(gè)資源在任務(wù)未執(zhí)行完之前中途退出虛擬組織或者由于負(fù)載過(guò)重或超過(guò)有效時(shí)間范圍����,則未執(zhí)行完的任務(wù)被退回����,資源服務(wù)器將分配的任務(wù)請(qǐng)求返回給資源控制模塊,由資源控制模塊從有效資源中重新選擇合適的資源�����,并映射到物理資源�����,將物理資源和用戶(hù)憑證發(fā)給社區(qū)授權(quán)服務(wù)器�����,形成資源憑證���,再將分配的任務(wù)請(qǐng)求+資源憑證發(fā)給該物理資源重新執(zhí)行��,第七步每個(gè)資源成功執(zhí)行完任務(wù)之后���,將執(zhí)行結(jié)果返回給資源控制模塊�,當(dāng)所有執(zhí)行結(jié)果都返回后����,資源控制模塊再將他們匯總后返回給用戶(hù)。
全文摘要
基于社區(qū)授權(quán)服務(wù)的動(dòng)態(tài)訪(fǎng)問(wèn)控制方法借鑒基于角色的訪(fǎng)問(wèn)控制RBAC模型的思想���,針對(duì)網(wǎng)格計(jì)算環(huán)境的動(dòng)態(tài)性特征��,提出了一個(gè)基于社區(qū)授權(quán)服務(wù)CAS的動(dòng)態(tài)訪(fǎng)問(wèn)控制方案����。該方法基于社區(qū)授權(quán)服務(wù)��,主要針對(duì)網(wǎng)格環(huán)境的動(dòng)態(tài)性特征�����,通過(guò)加入資源控制模塊����,實(shí)現(xiàn)對(duì)資源分層、監(jiān)控�����、動(dòng)態(tài)訪(fǎng)問(wèn)控制��,對(duì)社區(qū)授權(quán)服務(wù)器和數(shù)據(jù)庫(kù)作修改����,使之能夠?qū)崿F(xiàn)根據(jù)用戶(hù)所在上下文環(huán)境動(dòng)態(tài)改變用戶(hù)角色,并通過(guò)與資源控制模塊交互�,實(shí)現(xiàn)網(wǎng)格環(huán)境下對(duì)資源的動(dòng)態(tài)、透明訪(fǎng)問(wèn)和無(wú)縫集成����;該方法能夠很好地解決網(wǎng)格環(huán)境的動(dòng)態(tài)性特征帶來(lái)的訪(fǎng)問(wèn)控制問(wèn)題以及對(duì)資源的透明訪(fǎng)問(wèn)。
文檔編號(hào)H04L9/00GK101257377SQ20081001966
公開(kāi)日2008年9月3日 申請(qǐng)日期2008年3月11日 優(yōu)先權(quán)日2008年3月11日
發(fā)明者任勛益, 琳 張, 徐艷麗, 楊 王, 王汝傳, 王海艷 申請(qǐng)人:南京郵電大學(xué)