网格计算访问控制的实现

随着网格应用的不断建立，解决网格访问控制问题愈发急迫。该文形式化描述了网格访问控制元素，定义了网格用户角色和角色委托概念，分析了网格计算访问控制特性、授权要素、授权模式、授权策略，结合使用代理证书和属性证书提出了一个基于角色的网格计算访问控制实现方案。     

网格环境下的G-R_TRBAC访问控制模型

针对网格复杂的访问控制需求,对现有的任务-角色访问控制模型进行改进,建立了角色-任务&角色的网格访问控制（G-R_TRBAC）模型。该模型在网格环境虚拟组织域间使用基于角色的访问控制策略(RBAC)结合证书管理系统,网格环境虚拟组织域内则是经过改进的任务-角色访问控制模型,满足了网格访问控制的多域性和动态性。     

网格环境中证书和策略的隐私保护机制研究

网格访问控制机制中网格实体的访问控制策略和证书的隐私保护是网格安全的一个重要方面,其重要性随着网格技术的进一步广泛应用而日益突出.利用安全函数计算和同态加密理论来解决访问控制过程中策略和证书的隐私保护问题.首先提出了适应于复合策略表达的电路组成方法,并基于无记忆传递机制和"混乱电路"计算协议提出了策略计算协议;然后提出了基于同态加密理论的属性相等测试协议;最后基于策略计算协议和属性相等测试协议提出了策略和证书的隐私保护协议.分析表明,本方案可以对策略和证书的属性进行完全的隐私保护,并且可以避免传统方法所引起的循环依赖问题.     

网格计算中基于RBAC的访问控制模型的研究

网格安全是网格计算中的一个重要问题,网格的访问控制可以解决网格环境下的资源共享和管理问题,基于角色的访问控制是最具影响的高级访问控制模型.首先介绍了RBAC模型,分析网格中基于RBAC访问控制的模型.在网格计算中访问控制存在着多个管理域RBAC问题,给出了网格中的标准RBAC扩展,并以此建立了的网格访问控制模型.     

网格环境中的工作流访问控制模型研究

访问控制是网格安全中的一个重要问题,其目的是要实现在异构、动态的网格环境下对资源的授权访问。本文对网格工作流访问控制做一些非形式化研究,对传统的基于角色的访问控制（RBAC）方法进行了扩展,提出了基于服务的网格工作流动态访问控制模型,将工作流中任务和服务相联系,实现了工作流中访问控制的最小特权原则。     

网格环境下的分布式RBAC模型框架

分析了网格访问控制的特性，提出了基于PKI的分布式RBAC模型（G—RBAC），它实现了网格访问控制中的跨信任域授权，并且利用可变属性值的授权证书使得系统能够动态地根据用户的登录环境授予不同的权限。该文给出了G—RBAC的形式化描述、角色分类以及访问验证算法。最后通过一个实例说明了具体的访问控制过程。     

基于属性和任务的网格授权研究

网格计算作为一种新的分布式计算基础架构,因其资源、服务的异构、动态等特征,决定了安全机制的重要性.访问控制是安全的一个重要的部分.现有的网格授权模型多是基于传统的访问控制方式,没有考虑到网格环境中主体属性和对象属性的多样性,以及具体的任务和执行环境.在借鉴和使用控制模型的基础上,提出一种基于属性和任务的网格授权模型.该模型在考虑主体属性和对象属性的同时,结合具体的任务和执行环境进行授权,并能够在主体属性和对象属性发生变动的情况下,实现动态授权,从而在一定程度上避免了滥用权限的现象.     

网格环境下基于属性的访问控制策略合成研究*

为了满足网格环境下资源聚合对访问控制策略合成的需求,达到建立统一的安全策略的目的,提出了一种扩展的基于属性的访问控制（ABAC）策略合成代数来实现安全策略的合成,该合成在策略表达式中引入了环境属性,并结合了一种新的策略合成算子实现访问控制策略的合成。用一个具体的策略合成案例展示了策略的合成,说明策略合成方法有良好的语义表达能力、灵活性以及可扩展性。     

网格环境下动态访问控制模型的研究与实现

网格为人们整合异构、分布的资源提供便利的同时,也带来了使用资源时访问控制的问题。网格环境下并没有形成一个成熟、完善的访问控制模型,而传统的基于角色的访问控制模型(RBAC)也并不完全适合于动态、异构的网格环境。结合“科学数据网格”系统中访问控制的研究,提出了一个扩展RBAC的动态访问控制模型。最后介绍了这个动态访问控制模型系统的实现。     

基于RBAC策略的可信网格访问控制模型*

针对网格环境的特点,分析了网格中实体间的信任关系,给出了信任度的计算方法。对RBAC技术进行了相应的改进,提出了基于RBAC的可信网格访问控制模型,给出了RTGM模型中的结构和模块以及访问控制部分的过程。可信网格访问控制提高了网格环境下的访问安全性。     

Managing Role-Based Access Control Policies for Grid Databases in OGSA-DAI Using CAS

In this paper, we present a role-based access control method for accessing databases through the Open Grid Services Architecture – Data Access and Integration (OGSA-DAI) framework. OGSA-DAI is an efficient Grid-enabled middleware implementation of interfaces and services to access and control data sources and sinks. However, in OGSA-DAI, access control causes substantial administration overhead for resource providers in virtual organizations (VOs) because each of them has to manage a role-map file containing authorization information for individual Grid users. To solve this problem, we used the Community Authorization Service (CAS) provided by the Globus Toolkit to support the role-based access control (RBAC) within OGSA-DAI. CAS uses the Security Assertion Markup Language (SAML). Our method shows that CAS can support a wide range of security policies using role-privileges, role hierarchies, and constraints. The resource providers need to maintain only the mapping information from VO roles to local database roles and the local policies in the role-map files, so that the number of entries in the role-map file is reduced dramatically. Also, unnecessary authentication, mapping and connections can be avoided by denying invalid requests at the VO level. Thus, our access control method provides increased manageability for a large number of users and reduces day-to-day administration tasks of the resource providers, while they maintain the ultimate authority over their resources. Performance analysis shows that our method adds very little overhead to the existing security infrastructure of OGSA-DAI.     

基于GSML的异步Web聚合应用开发框架

基于网格服务标记语言（GsML）提出并实现一种基于事件驱动、面向组件的Mashup应用开发框架,其中的事件驱动模型帮助开发者灵活、有效地描述Mashup应用逻辑。GSML通过对Web资源进行组件化的封装,方便用户使用统一的方式访问。封装后的组件提高了代码的可复用性。提出一种通用的、具有访问控制的跨域方式,实现不同站点间有保护的通信。     

Access Grid中基于任务和角色的访问控制

Access Grid是计算网格的一个扩展，用于支持在网格上进行组对组的大规模视频会议，也可用于协同工作、远程教学等多个领域。基于任务和角色的访问控制是最新的访问控制模型，它对传统访问控制进行了改进和扩充，能为Access Grid提供更高效的安全和管理服务。因此，Access Grid中基于任务和角色的访问控制是网格研究中的重要方向。     

QoS guided Min-Min heuristic for grid task scheduling

Task scheduling is an integrated component of computing.With the emergence of Grid and ubiquitous computing,new challenges appear in task scheduling based on properties such as security,quality of service,and lack of central control within distributed administrative domains.A Grid task scheduling framework must be able to deal with these issues.One of the goals of Grid task scheduling is to achivev high system throughput while matching applications with the available computing resources.This matching of resources in a non-deterministically shared heterogeneous environment leads to concerns over Quality of Service (QoS).In this paper a novel QoS guided task scheduling algorithm for Grid computing is introduced.The proposed novel algorithm is based on a general adaptive scheduling heuristics that includes QoS guidance.The algorithm is evaluated within a simulated Grid environment.The experimental results show that the nwe QoS guided Min-Min heuristic can lead to significant performance gain for a variety of applications.The approach is compared with others based on the quality of the prediction formulated by inaccurate information.     

Role-Based Access Control in a Data Grid Using the Storage Resource Broker and Shibboleth

In this paper, we propose a role-based access control (RBAC) system for data resources in the Storage Resource Broker (SRB). The SRB is a Data Grid management system, which can integrate heterogeneous data resources of virtual organizations (VOs). The SRB stores the access control information of individual users in the Metadata Catalog (MCAT) database. However, because of the specific MCAT schema structure, this information can only be used by the SRB applications. If VOs also have many non-SRB applications, each with its own storage format for user access control information, it creates a scalability problem with regard to administration. To solve this problem, we developed a RBAC system with Shibboleth, which is an attribute authorization service currently being used in many Grid environments. Thus, the administration overhead is reduced because the role privileges of individual users are now managed by Shibboleth, not by MCAT or applications. In addition, access control policies need to be specified and managed across multiple VOs. For the specification of access control policies, we used the Core and Hierarchical RBAC profile of the eXtensible Access Control Markup Language (XACML); and for distributed administration of those policies, we used the Object, Metadata and Artifacts Registry (OMAR). OMAR is based on the e-business eXtensible Markup Language (ebXML) registry specifications developed to achieve interoperable registries and repositories. Our RBAC system provides scalable and fine-grain access control and allows privacy protection. Performance analysis shows that our system adds only a small overhead to the existing security infrastructure of the SRB.     

网格数据访问中间件的设计与实现

网格服务的一个重要目标是实现数据资源的共享,然而网格环境的复杂性阻碍了对数据的有效访问。利用中间件屏蔽底层的复杂性,实现对网格环境下跨平台,异构数据资源的统一访问是当前研究的重点。该文结合中科院科学数据网格项目的特点,阐述了在开放网格服务架构下用中间件来实现网格中数据的统一访问的原理,并给出了实现的方法。     

基于安全体系网格计费系统的设计

与传统网络环境相比，网格计算环境提出更高更广泛的安全需求。本文通过对现有网络计费系统进行了分析和设计，提出了一种基于安全体系的网格计费系统的设计方案，该方案不仅能够满足网格环境下各种基本安全需求，而且还能提供具有良好可扩展性的灵活的认证、授权及访问控制机制。本文讨论了一个具体的模型及其实现策略，分析了该计费系统中的一些关键问题和难点，最后对该系统的性能作了简要评测。     

一个具有服务质量保障的面向服务的网格模型

为了在面向服务的网格系统中提供服务质量（QoS）支持，本文较深入地研究了OGSA及Web Service等相关理论和技术．基于面向服务的体系结构，提出了一个具有QoS保障的面向服务的网格系统模型SoGSM—QoS．该模型通过物理网格节点的联合，来消除管理上的冗余并简化网格系统结构．模型支持虚拟组织和资源虚拟化，在各层次间提供用户QoS需求的映射和监控，保障用户的QoS．本文详细阐述了模型的结构、功能和访问控制机制，并建立了相应的过程模型．分析了有关性能，验证了模型的有效性．     

网格中代码数据库访问与集成的研究

东营市组织机构代码数据库和扫描库在2001年已经和全省代码数据库共享,通过省中心与国家代码中心数据库联网,汇集了大量分布、异构、多管理域的数据资源,使得网格用户对代码数据的访问变得非常复杂,必须为用户提供行之有效的方法,实现方便、高效、透明、统一的数据访问。该文描述了一种基于包装器—仲裁器(Wrapper-Mediator)[4]方法,这种方法采用虚拟数据集的机制将汇聚在网格中的存储系统抽象成一个虚拟一体化系统,实现了网格数据的统一视图和一种网格环境中的数据统一访问方法。