技術領域

本發明是一種網格計算環境下實現用戶對資源或服務的動態訪問控制的方案。主要針對網格計算環境的動態性特點提出的一個網格訪問控制模型，屬于網格計算、計算機軟件安全技術領域。

背景技術

隨著人們對高性能計算和資源分布共享需求的增加，傳統的高性能計算模式和計算共享模式已經不能滿足人們的需要，人們期望能夠像訪問電力資源一樣隨時隨地的獲取需要的計算和存儲等資源，期望不僅僅是在本地計算機上找到所需的服務，而是在整個網絡范圍內找到最佳的服務，希望將整個網絡虛擬成為一個整體。傳統的高性能計算模式和資源共享模式因其靈活性差、系統擴充和升級代價高而無法適應這些持續增長的計算要求。網格計算就是在這一需求下應運而生的一種新的計算模式。通俗的說，網格計算就是整合不同組織、機構的計算機資源(包括存儲資源、計算資源等)，形成一臺巨大的虛擬計算機，完成超大規模的計算，以實現資源的充分利用和信息的整合。資源需求相對集中的用戶群按照某種資源共享規則形成一個虛擬組織VO，相互協作完成任務。支持VO的基礎設施就是網格。在虛擬組織VO中，網格計算環境具有如下特殊屬性：1)用戶和資源可以隨時加入或退出；2)資源的訪問控制即受到虛擬組織的訪問策略控制又受到所屬自治域的訪問策略的控制；3)參與VO的各自治域認證和授權機制各不相同。4)參與一個計算的資源可能來自多個不同自治域。正是由于這些特殊屬性，在設計網格安全機制時特別要考慮網格計算環境的動態性和異構特性。

訪問控制是網格安全的一個重要方面，主要是針對越權使用系統資源的防御措施，通過限制資源的訪問，防止非法用戶的侵入或合法用戶的不慎操作而造成的破壞，從而保證系統資源的合法使用。訪問控制的核心是授權策略，即用于確定一個主體是否能對客體擁有訪問能力的一套規則。傳統的訪問控制方法如自主訪問控制DAC、強制訪問控制MAC和基于角色的訪問控制RBAC都不能滿足網格環境由于動態性、異構性、管理域自治性等特點所帶來的訪問控制問題。針對網格環境的動態性特點，我們基于虛擬組織VO中的社區授權服務CAS及所采用的基于角色的訪問控制RBAC方法，制定一種適合于網格環境的動態訪問控制模型，以實現網格環境下的動態訪問控制，達到資源的充分利用和協同問題求解。

發明內容

技術問題：本發明的目的是提供一種基于社區授權服務的動態訪問控制方法，解決網格環境下由于資源和用戶的動態加入、退出、根據資源負載動態授權、資源的時效性等所帶來的訪問控制問題，實現資源的無縫集成和動態訪問控制。

技術方案：本發明的方法是一種改進的方法，通過對虛擬組織VO中社區授權服務CAS采用的基于角色的訪問控制機制做改進、對資源分層，將用戶注冊的資源形成物理資源，在物理資源之上匯聚成虛擬資源，在虛擬資源之上再形成有效資源。授予用戶的角色都有相應的上下文環境限制，只有用戶處在要求的上下文環境時，授予的角色才被激活。用戶登錄網格時，根據用戶的主體上下文環境(如在無線接入環境下可以根據用戶的接入鏈路激活賦予用戶的相應角色，用戶從內部安全鏈路接入時激活角色1，從外部安全鏈路接入激活角色2，從外部非安全鏈路接入激活角色3)激活用戶相應的角色，當用戶所在的上下文環境改變時，上下文代理觸發社區授權服務CAS改變用戶角色，借此實現網格環境下的動態訪問控制方案。

下面先給出該網格訪問控制模型中基本元素的定義及其功能：

1)物理資源：用戶向虛擬組織注冊的可以供其它用戶使用的實體。物理資源的屬性包括：標識、類別(cpu、內存、外存等)、訪問類別(讀、寫、執行)、大小、使用時間限制(開始時間、結束時間)、資源負載限制(當cpu負載＞80％，拒絕訪問)等。

2)虛擬資源：根據VO中用戶注冊的物理資源的類別及訪問類別合并形成虛擬資源，比如一個VO中有三個用戶注冊內存資源，大小分別為：50M、65M、120M，因此，VO中形成的虛擬資源-內存資源大小為235M，虛擬資源的屬性包括：標識、類別、大小、訪問類別等。

3)有效資源：合并形成的虛擬資源中，有的物理資源因為時間限制、負載限制或不在線等原因不可用。有效資源就是虛擬資源中去掉不可用的資源而形成的可用資源。有效資源隨著資源狀態的變化而不斷變化。

4)用戶：在VO中注冊并能夠提交任務的實體，其屬性包括：標識、角色、身份。