基于信任度的网格虚拟组织访问控制模型

针对现有网格虚拟组织访问控制模型欠缺描述上下文约束的能力、资源端管理负担沉重以及未能刻画成员间的真实信任关系等不足,给出一种基于信任度的网格虚拟组织访问控制模型TwBAC(Trustworthiness-based ActessControlmodel),该模型能够刻画带有上下文的访问控制策略;对资源实体进行抽象,减轻管理负担;应用信任度刻画虚拟组织成员之间的信任关系,并有效控制委托深度。此外

计算机科学 2 0 Vo.5o 1 0 8 L3 N . 2

基于信任度的网格虚拟组织访问控制模型崔永瑞李明楚胡红钢任一支 (大连理工大学软件学院大连 1 6 2 ) (国科学院软件研究所北京 1 0 8 ) 1 6 1中 0 0 0(信息安全国家重点实验室北京 1 0 4 ) 00 9。摘要针对现有网格虚拟组织访问控制模型欠缺描述上下文约束的能力、源端管理负担沉重以及未能刻画成员资

间的真实信任关系等不足，出一种基于信任度的网格虚拟组织访问控制模型 Tw; ( ut otiesbsdA—给巳 AC Trsw r ns-ae c h cs o to mo e, es nrl d 1该模型能够刻画带有上下文的访问控制策略；资源实体进行抽象， C )对减轻管理负担；用信任度应刻画虚拟组织成员之间的信任关系，并有效控制委托深度。此外，用分布式管理模型 Ad wB采 T AC实现“虚拟组织成员域管理自治”并结合具体应用实例进行了说明。, 关键词 T AC模型，任度，拟组织，问控制 wB信虚访Tr s worhi e s b s d Ac e sCo r lM o e o i r u lOr nia i ns ut t n s - a e c s nto d lf r Grd Vi t a ga z toC IYo g r i LIM ig c f HU n - a g U n -u n -h Ho g g n e REN—h Yi i z

( ot r h olDain Unv r iyo c n lg Dain 1 6 2 Chn ) S fwa eS o, l ie st fTe h oo y, l 1 6 1, ia c a a

(n t ueo ot r, ieeAcdmyo cecse in 00 0 Chn ) Isi t f f t S waeChns a e f i e,￣j g1 0 8, ia。 S n i ( tt yL b rtr f nomainS c ry B in 0 0 9 C n ) SaeKe a oao yo fr t eui, e ig10 4, h a。 I o t j i

Ab ta t Th xsig a c s o to d l o rdvru log nzto VO)h v o efu t sf l ws F rtmo t src ee itn ce sc n r l mo esf rg ita r a iain( i a esm a l a

ol s o: is, so h m a n t e p e s c n e t a c e s c n r lp l is wh c r mp ra t i h rd e v r n n .S c n t e ft e c n o x r s o t x u la c s o to o i e ih a e i o t n n t e g i n io me t e o d, h y c b n e v d i ita i n b M e t t e sd fr s u c r vd r . n l, r s wo t n s e we n VO mb r s i r g h a ya m nsrt u o n a h i e o e o r e p o i e s Fia l t u t rhie s b t e y me e s i n td s rb d i h s d l wh c o n t c o d wi a t . v r o h s m i t n, r v d d a tu t rh n s - o e c e n t e emo es i ih d o c r t f c s To o e c me t e e l t i s p o ie r s wo t i e s a h i ao b s d a c s o to d l o it a r a ia in, a ld TwB ae ce sc n r l mo e rv r u l g n z t s c l f o o e AC d 1 I a x r s o t x u l c e sc n r l o l mo e. t n e p e se n e t a c s o to l c a p—

t sa dof es lr b t cinfr eo reojcsa oe r u jcsB s e,x rse et s rlt nhp i,n f rt i a s at suc bet srl f bet ei s epesdt r t e i si e e h mi a r o o r s o s . d h u aoo fVO mb r c u a ey b sn r s wo t i e s wh c a lo b s d t o to h e t f ee a i n Pr s n me e s a c r t l y u i g t u t rh n s, ih c n as e u e O c n r l ed p h o lg t . e e— t d o t d t e mo e, d n s r t n mo e n n a p ia i n c s . e h d l a mi it a i d la d a p l t a e o c o . Ke w￣ l TwB y s AC mo e, u t rh n

s, r u o g n z t n Ac e s c n r l d] Tr s wo t i e s Vit a r a ia i, c s o to【 1 J o

1引言 虚拟组织 ( )网格的核心概念之一，由任务请求者 V0是它发起，通过规范访问控制策略来刻画共享关系，规定资源使用方法与上下文，进而划清虚拟域的逻辑边界，将不同的成员组织中的合法用户和资源包含进来，实现大规模、跨组织资源共享与协作_。由于虚拟组织的用户与资源数量巨大， 1]且包含了过多的访问控制宿主，得访问控制复杂度大大提高。另使外，每一个成员域都有权在不需外界知晓或干涉的情况下对本地成员进行访问控制，因此如何执行访问控制策略，对虚拟组织的生成与运行进行高效安全的管理，为保证这一动态成

实现各成员域的管理自治。本文给出的 T AC模型较好地 wB

满足上述需求，以该模型为基础，可以动态生成并高效、全安地管理虚拟组织。

2问题及相关工作虚拟组织需要一个访问控制模型来明确用户对资源的权限，而权限的赋予应该取决于上下文 (间、时有效性等)用户、

的身份以及所申请的资源。该模型还应在刻画实体的同时，保证虚拟组织中的动态实体无法随意破坏访问控制策略的有效性。此外，其管理模型应实现成员域管理自治。 现有的虚拟组织管理解决方案提供了多种访问控制模型。其中， D以 AC及 MA C为代表的静态、约束访问控制无模型不适合虚拟组织的动态特性。R AC引入了“ B c]角色”的

共享环境安全运行的关键。一

个安全高效的虚拟组织访问控制模型应具备如下特

点：1能够刻画虚拟组织中的各类实体( ()用户、资源等)建立，抽象逻辑层；2能够刻画带有上下文约束的访问控制策略， () 适应动态变化的虚拟组织环境；3能够结合信任度来准确刻 ()画虚拟组织中各成员间的信任关系；4其管理模型应能规范 ()成员域的管理责任，以及虚拟组织访问控制策略的生成与管理，活地对不同的管理职责进行建模； 5能够将策略与动灵 ()态的底层基础设施相分离，并将管理任务分派给成员域处理，*)基金项目：国家自然科学基金( 0 1 0 7。崔永瑞 9 4 20 )

概念，通过角色将主体与一个资源的访问

许可相关联，用角色抽象出主体，未对资源进行类似的抽象，但也未消除资源的动态变化对虚拟组织访问控制的影响。此外，以上模型均没有处理上下文的能力。d B C是一个 R A R AC。] B C模型的派生模型，该模型可以解决可升级的横跨多管理域的分布访问控制，

但 d B C仍然被与 R A RA B C类似的弱点所困扰，法很好地无

表达上下文约束以及对资源的抽象。文献[ 3 4给出了基于信教授，博士；胡红钢

博士研究生，研究方向为信息安全与网格计算；明楚李

博士。 8 3

本文来源：https://www.bwwdw.com/article/tbaj.html