● 摘要
网格计算通过分布式环境下异构组织间的互访来实现动态的资源共享和协作。它由多个独立管理的自治域构成,系统结构变化性强,经常会有陌生用户的访问请求。因此,传统的访问控制方法由于策略的单一性,授权依据的固定性不能满足网格计算的需求。基于属性的访问控制ABAC(Attribute-Based Access Control)通过属性组合定义策略,具有丰富的语义,支持动态的更加细粒度的授权及对未定义用户的授权,能够较好地解决网格的访问控制问题。目前对于网格中ABAC的研究,缺乏基于标准的ABAC实现系统,也没有提出一种包含属性获取和策略决策有机结合的完整的ABAC机制。论文针对上述需求给出了一种网格环境中基于属性的柔性化访问控制框架,实现了ABAC在网格平台上的多种应用方式,并实现了属性管理功能。 论文首先分析了网格计算的特殊安全需求,提出了一种基于属性的柔性化的访问控制模型,通过属性实现对陌生用户访问请求的控制,并通过柔性化动态支持多策略。论文进一步针对网格资源的组织特点,设计了Grid_ABAC模型,基于XACML建立了Grid_ABAC实现机制。以此为基础,提出了两种ABAC的应用模式:一是作为内置的授权方法融合在Globus授权框架中,二是提出ABAC授权网关的思想,网格结点将ABAC授权委派给网关内的ABAC授权服务。为了解决ABAC的属性来源问题,论文设计了网格域的属性管理,基于SAML实现了属性获取与管理。论文对Globus平台上的各种ABAC应用方法进行了测试,验证了其实用性及有效性。 论文的研究成果为网格环境提出了一种柔性化的ABAC授权框架,提供了多种ABAC的应用模式及属性获取方法,为ABAC在网格环境下的应用以及网格技术的普及起到了积极的推动作用。