一種網格授權實現方法
2023-06-21 23:58:11 1
專利名稱:一種網格授權實現方法
技術領域:
本發明涉及一種網格授權實現方法,特別是一種遵循國際標準,細粒度的基於策略的網格授權實現方法。
背景技術:
網格是近年來逐漸興起的一個研究領域。當前的Internet技術實現了計算機硬體的連通,Web技術實現了網頁的連通,而網格技術是要把整個網際網路上的各種資源整合成一臺巨大的計算機,從而實現資源共享與協同工作。網格要達到資源共享與協作的目的,必須解決訪問資源的授權問題。網格應用環境具有典型的分布性、異構性和動態性等特徵,對授權技術提出了新的挑戰。首先,網格可以跨越多企業、多系統或個人,它們對安全控制的需求和採用的安全策略可能完全不同,因此要求授權系統具有通用的授權機制以實現多種用戶根據不同需求自定義授權策略。其次,不同用戶需要能獨立的制定自己管轄的資源的授權策略而不受其他用戶的授權策略的影響,網格中的全局的安全策略還需要與本地的安全策略協調和交互,既要滿足全局控制的需要,又要滿足用戶自主控制的需求。此外,網格作為一個開放、動態的系統,具有多種安全策略、大量的用戶及訪問服務請求、以及異構的資源,這要求授權機制靈活並易於管理。
目前網格授權技術正處於不斷發展過程中,Globus項目作為網格中間件的事實標準,在其2.x版本中的授權是通過grid-mapfi1e綁定在Unix類作業系統上,在其3.x版本中引入了社團授權伺服器(Community Authorization Server,簡稱CAS)來在虛擬組織範圍內為用戶指派各網格節點提供的訪問權限,增強了訪問控制的靈活性,但主要仍然是基於身份的授權,有很大的局限性。
發明內容
本發明的目的在於針對現有技術的不足,提出一種基於策略的網格授權實現方法,為網格應用提供細粒度的、基於屬性的授權支持。
為實現上述目的,本發明提出了一種網格授權實現方法,其中執行以下步驟步驟1、用戶發起初始訪問請求;步驟2、客戶端授權處理連結點收集客戶端的安全信息,將該安全信息插入簡單對象訪問協議報文的頭部部分,與用戶請求一起發送到服務端;步驟3、服務端解析安全信息,驗證籤字,並判斷安全信息是否有效,如果是,則執行步驟5;否則執行步驟4;步驟4、丟棄安全信息中的無效部分;步驟5、服務端授權處理連結點收集服務端的安全信息;步驟6、服務端授權處理連結點構造授權請求上下文;步驟7、根據客戶端及服務端的安全信息進行授權決策;步驟8、判斷授權是否通過,如果是,則執行步驟9;否則返回授權不通過的信息;步驟9、允許用戶訪問目標服務,返回訪問服務結果。
該方法遵循IETF RFC2903、2904 AAA授權框架,應用XACML,SAML,WS-Secur ity等通用國際標準,使用基於策略的設計,配置管理靈活方便,為網格應用提供細粒度的、基於屬性的授權支持,能夠較好的滿足網格環境下的授權需求,而且使授權系統靈活且易於定製和管理。
下面通過附圖和實施例,對本發明的技術方案做進一步的詳細描述。
圖1為本發明網格授權實現方法的流程圖;圖2為本發明網格授權實現方法的實施例的流程圖;
圖3為本發明網格授權實現方法的實施例中進行授權決策的流程圖。
具體實施例方式
在網絡授權系統的概念模型中,授權過程包括兩種常用模式1、拉模式,請求者1發起對資源的訪問,策略強制點(Policy EnforcementPoint,簡稱PEP)截獲此訪問請求並構造授權請求上下文向策略決策點(Policy Decision Point,簡稱PDP)請求授權,PDP根據從策略管理點(PolicyAdministration Point,簡稱PAP)獲取的相關授權策略和從策略信息點(Policy Information Point,簡稱PIP)獲取的安全信息,做出授權決策,並將決策結果返回給PEP,PEP根據授權結果允許或拒絕請求者1對資源的訪問,授權過程對於請求者1是透明的;2、推模式,由請求者2向PDP發出授權請求,然後使用PDP返回的授權許可票據來請求對資源的訪問,PEP在驗證授權許可票據後允許或拒絕請求者2的訪問請求,授權過程需要請求者2的參與。
本發明基於策略的網格授權實現方法對該模型的拉模式進行了實現。
如圖1所示,為本發明網格授權實現方法的流程圖,具體執行以下步驟步驟101、用戶發起初始訪問請求;步驟102、客戶端授權處理連結點收集客戶端的安全信息,將該安全信息插入簡單對象訪問協議報文的頭部部分,與用戶請求一起發送到服務端;步驟103、服務端解析安全信息,驗證籤字,並判斷安全信息是否有效,如果是,則執行步驟105;否則執行步驟104;步驟104、丟棄安全信息中的無效部分;步驟105、服務端授權處理連結點收集服務端的安全信息;步驟106、服務端授權處理連結點構造授權請求上下文;步驟107、進行授權決策;步驟108、判斷授權是否通過,如果是,則執行步驟109;否則返回授權不通過的信息;步驟109、允許用戶訪問目標服務,返回訪問服務結果。
在該方法中,客戶端授權處理連結點在客戶端截獲用戶對目標服務的訪問請求,為服務端的授權決策提供源於客戶端的信息收集,收集的安全信息將遵循WS-Security規範通過SOAP報文傳遞給服務端。用戶可以在該模塊的安全配置中提供用戶安全斷言標記語言(Security Assertion MarkupLanguage,簡稱SAML)屬性斷言。該模塊是授權模型中PIP功能點在客戶端的實現。
該模塊部署在客戶端,是有可能被惡意的用戶繞過或篡改的。在這種情況下,服務端授權處理連結點會拋棄無法正確解析和驗證的無效屬性,僅憑藉服務端收集的信息對用戶的訪問請求作出授權。
服務端授權處理連結點在服務端截獲用戶的訪問請求,首先收集服務端的各種安全信息,解析由客戶端授權處理連結點傳遞過來的客戶端信息,並驗證各屬性斷言的可信任性,然後向授權服務發出策略決策請求或在本地完成策略決策,最後根據策略決策的結果實現策略強制,即允許或拒絕用戶對目標服務的訪問。
除了策略決策模式配置,該模塊的安全配置還包括SAML屬性斷言指定和可信任的屬性權威的證書指定。目標服務的管理員可通過SAML屬性斷言指定服務端的安全信息,並支持以XPath和QName的形式在SAML斷言中指定查找運行時動態信息,如用戶訪問目標服務的方法參數、服務資源的當前值等。指定的屬性權威證書被用來驗證客戶端屬性斷言的籤名,以判斷其是否可信任。
該模塊是授權模型中PIP功能點在服務端的實現,並實現了PEP功能點,對於本地授權方式的PDP功能點也在該模塊實現。
進行授權決策有兩種選擇1.本地授權決策在服務端直接進行授權決策,這種情況下,由服務端授權處理連結點完成;2.集中授權決策訪問域授權服務進行授權決策,這種情況下,服務端授權處理連結點把授權請求上下文發送給域授權服務,域授權服務進行授權決策。
2相對於1來說,便於域中的集中授權管理,能夠支持全局的授權策略和服務指定的服務特定授權策略相接合。同時域授權服務能為域中的各主體管理授權策略。但2對於1來說,多了一次遠程訪問的過程,需要耗費更多的處理時間。
因此,本發明提供給用戶這兩種授權方式的選擇,用戶可以根據具體部署的環境和需求來選擇。
如圖2所示,為本發明網格授權實現方法的實施例的流程圖,具體執行以下步驟步驟201、用戶發起初始訪問請求;步驟202、客戶端授權處理連結點收集客戶端的安全信息,根據客戶端的安全配置定製客戶端授權處理連結點,並將該安全信息插入簡單對象訪問協議報文的頭部部分,與用戶請求一起發送到服務端;步驟203、服務端解析安全信息,並驗證籤字,證明其有效性;步驟204、判斷安全信息是否有效,如果是,則執行步驟206;否則執行步驟205;步驟205、丟棄安全信息中的無效部分;步驟206、服務端授權處理連結點收集服務端的安全信息,根據服務端安全配置定製服務端授權處理連結點;步驟207、服務端授權處理連結點構造授權請求上下文,並根據客戶端用戶屬性證書為授權請求加入用戶屬性信息,根據服務端屬性證書為授權請求加入服務屬性信息;步驟208、進行授權決策;這裡提供了兩種授權決策模式的選擇①本地授權決策由目標服務管理員在安全配置中指定授權策略,在本地完成策略決策,而不訪問域授權服務;②集中授權決策生成授權請求上下文向域授權服務發出授權請求,由域授權服務完成策略決策,授權策略由授權策略倉庫集中管理;本地授權模式犧牲了域一級的集中授權管理,需要由目標服務自己承擔授權策略的管理以及本地策略與全局策略的合成,換來的是避免了對域授權服務的遠程訪問,使得在授權效率上得到一定的提升,服務管理員可以根據具體的應用場景的需求對兩種授權模式進行選擇配置;步驟209、判斷授權是否通過,如果是,則執行步驟210;否則返回授權不通過的信息;步驟210、允許用戶訪問目標服務,返回訪問服務結果。
其中,如圖3所示,本發明網格授權實現方法的實施例中步驟208進行授權決策的流程圖,具體執行以下步驟步驟2080、接收授權請求,並對授權請求消息解包;步驟2081、從請求中解析出用戶的身份信息,這個身份信息是用戶所訪問的目標服務的身份信息;在網格授權場景中,每個主體都是有其身份的,訪問一個網格服務的網格用戶具有其身份,網格服務本身有其身份,同時域授權服務也有其身份,網格服務的服務端授權連結點向域授權服務發起授權請求時,它是域授權服務的用戶,因此這裡是網格服務的身份,域授權服務處集中管理著域中多個網格服務的策略,需要依靠服務的身份來確定服務所對應的授權策略,對於訪問某特定服務的不同的網格用戶,請求域授權服務時使用的身份信息都是同一個身份信息——此服務的身份。對應提取的也都是同一批授權策略——此網格服務指定的授權策略;步驟2082、根據身份信息從授權策略倉庫中提取出與用戶請求的服務對應的服務授權策略,並根據授權策略倉庫的配置信息定製授權策略倉庫的行為;授權策略倉庫負責對域授權服務進行授權決策過程中所需要的策略進行管理,並為用戶提供了管理策略的API接口和輔助管理工具;它為每一個服務分別維護一個策略空間,依據訪問者的身份確定其可操作的策略空間,不同服務的授權策略位於各自的策略空間中,確保不會互相干擾和被混用,當域授權服務向授權策略倉庫請求授權策略時,需提供受保護目標服務的身份信息,授權策略倉庫根據此身份信息索引到受保護目標服務相關的策略空間,返回其授權策略給域授權服務,授權策略倉庫是授權模型中PAP功能點的實現;步驟2083、根據服務持有者的配置從用戶的服務訪問請求中搜集指定安全信息,調用策略決策引擎根據目標服務設置的服務授權策略進行授權決策;步驟2084、判斷授權是否通過,如果是,則執行步驟2085;否則執行步驟2088;步驟2085、從授權策略倉庫中提取出域全局授權策略;步驟2086、調用策略決策引擎根據域全局授權策略進行授權決策;步驟2087、判斷授權是否通過,如果是,則設置授權不通過結果,執行步驟2089;否則執行步驟2088;步驟2088、設置授權通過結果;步驟2089、授權返回消息組包,返回結果。
最後所應說明的是,以上實施例僅用以說明本發明的技術方案而非限制,儘管參照較佳實施例對本發明進行了詳細說明,本領域的普通技術人員應當理解,可以對本發明的技術方案進行修改或者等同替換,而不脫離本發明技術方案的精神和範圍。
權利要求
1.一種網格授權實現方法,其中執行以下步驟步驟1、用戶發起初始訪問請求;步驟2、客戶端授權處理連結點收集客戶端的安全信息,將該安全信息插入簡單對象訪問協議報文的頭部部分,與所述請求一起發送到服務端;步驟3、所述服務端解析所述安全信息,驗證籤字,並判斷所述安全信息是否有效,如果是,則執行步驟5;否則執行步驟4;步驟4、丟棄所述安全信息中的無效部分;步驟5、服務端的授權處理連結點收集服務端的安全信息;步驟6、所述授權處理連結點構造授權請求上下文,用於請求授權決策;步驟7、根據客戶端及服務端的安全信息進行授權決策;步驟8、判斷所述授權是否通過,如果是,則執行步驟9;否則返回授權不通過的信息;步驟9、允許用戶訪問目標服務,返回訪問服務結果。
2.根據權利要求1所述的網格授權實現方法,其中所述步驟7的具體流程為步驟70、接收授權請求,並對授權請求消息解包;步驟71、從所述請求中解析出所述用戶的身份信息;步驟72、根據所述身份信息從授權策略倉庫中提取出與用戶請求的服務對應的服務授權策略;步驟73、調用策略決策引擎根據目標服務設置的服務授權策略進行授權決策;步驟74、判斷授權是否通過,如果是,則執行步驟75;否則執行步驟78;步驟75、從所述授權策略倉庫中提取出域全局授權策略;步驟76、調用所述策略決策引擎根據所述域全局授權策略進行授權決策;步驟77、判斷授權是否通過,如果是,則設置授權不通過結果,執行步驟79;否則執行步驟78;步驟78、設置授權通過結果;步驟79、授權返回消息組包,返回結果。
3.根據權利要求1或2所述的網格授權實現方法,其中步驟8中所述授權決策在本地或發送到域授權服務中進行,當在本地進行時,沒有授權策略倉庫對策略的管理,也不需要解析網格服務的身份信息,沒有全局授權策略的應用。
全文摘要
本發明涉及一種網格授權實現方法,執行以下步驟1.用戶發起初始訪問請求;2.客戶端授權處理連結點收集客戶端的安全信息,將該安全信息插入簡單對象訪問協議報文的頭部部分,與用戶請求一起發送到服務端;3.服務端解析安全信息,並驗證籤字,證明其有效性;4.判斷安全信息是否有效,如果是,則執行步驟6;否則執行步驟5;5.丟棄安全信息中的無效部分;6.服務端授權處理連結點收集服務端的安全信息;7.構造授權請求上下文;8.進行授權決策;9.判斷授權是否通過,如果是,則允許用戶訪問目標服務;否則返回授權不通過的信息。該方法能夠較好的滿足網格環境下的授權需求。
文檔編號H04L29/06GK1791026SQ20051013254
公開日2006年6月21日 申請日期2005年12月26日 優先權日2005年12月26日
發明者懷進鵬, 胡春明, 李建欣, 顏強, 李沁, 劉小佩 申請人:北京航空航天大學