题目：服务网格中基于策略的分布式访问控制技术研究

服务网格技术是源于企业计算领域的Web服务技术同源于高性能计算领域的计算网格技术相结合的产物，代表了网格技术发展的最新方向，极大地促进了网格技术的应用推广。同传统分布式应用场景（如企业计算）相比，服务网格环境所具有的分布性、异构性、自治性和动态性等特点对访问控制技术提出了诸多新的挑战。尽管目前已经有不少用于网格的访问控制解决方案，但仍存在一些问题：一是缺乏对访问控制策略语言的形式化语义和适用性的比较研究，导致其应用模式不清晰，难以有效指导网格应用开发；其次是缺乏对访问控制策略协商机制的研究，无法满足跨自治域的资源共享和协作场景中对联合制定访问控制策略的需求；第三是访问控制同服务网格核心功能的分离性，特别是网格作业调度未考虑用户属性和网格节点的访问控制策略，从而导致重复调度并带来额外的开销；第四是整体性和扩展性不够，缺乏对完整的服务网格安全解决方案的考虑，尤其是访问控制功能的扩展性，同其他安全功能的开放集成性，以及开发安全网格应用的能力较差。针对以上不足，通过分析和研究基于策略的分布式访问控制技术相关工作，本文对服务网格的访问控制策略语言，策略管理、决策与强制机制，同其他网格组件的集成技术，以及网格安全平台的体系结构与系统进行了深入探讨和实践。本文的主要贡献如下：1、基于逻辑方法研究了可扩展的访问控制标记语言的形式化语义，并通过对比基于角色的信任管理框架中的策略语言，给出了在决策结果取值、对结构化资源的支持、单调性、对委托的支持、表达力与复杂性等方面的分析结果，为设计和选择实用的策略语言提供了基础；2、提出了一种访问控制策略协商方案。该方案以一个基于非递归、分层且带约束的Datalog的访问控制策略语言为基础，采用基于前向链式规则的三种元策略来控制协商各方的交互行为，设计实现了原型系统，给出了复杂度分析和实验验证，结果表明该方案具有实用性；3、针对传统网格作业调度与访问控制的分离性问题，提出了属性感知的网格作业调度机制和两种属性感知的网格节点选取算法：保守算法和基于风险的算法，在元调度器中集成了支持结构化资源的信任证链发现算法和证明抽取算法，可以有效地降低甚至消除作业直接调度场景中因重复调度而导致的额外开销，仿真实验表明：同已有方案相比，在冒险调度的风险较高的广域网格环境中有明显的优势；4、提出了扩展的RBAC模型，增加了对势约束和业务流程上下文的直接支持，定义了基于任务的动态职责分离约束，并同传统的动态职责分离约束进行了比较，给出了相应模型的形式化定义和扩展功能的Z语言描述；5、基于上述研究结果，通过深入分析现有网格安全体系结构，提出并设计实现了一个开放、可扩展、可配置的面向服务网格的安全平台CROWN.ST，该平台由软件开发包、网格容器插件、基础服务和管理工具组成，支持安全通信、鉴别、访问控制、身份映射与信任证转换、访问控制策略协商、信任管理与自动信任协商等安全功能，并已用于CROWN（China R&D Environment Over Wide-area Network）。