網格計算中一種基于屬性的訪問控制方法

摘 要:為了迎合目前網格計算對動態、細粒度授權的需求，針對網格資源分層式的組織結構特點，在現有的基于屬性的訪問控制(ABAC)模型的基礎上，提出了一種針對網格資源的ABAC模型Grid_ABAC，并設計了基于XACML的Grid_ABAC實現框架，應用在GT4平臺上。最后對GT4中的應用作了測試，測試結果表明授權結果與預期結果相同，且時間開銷隨著規模的增長并沒有增長很多，在可接受范圍內。證明Grid_ABAC模型在網格平臺上具有一定的實用性。

關鍵詞:網格計算; Globus網格平臺; 基于屬性的訪問控制; 可擴展訪問控制標記語言

中圖分類號:TP393.08

文獻標志碼:A

文章編號:1001-3695(2010)02-0699-05

doi:10.3969/j.issn.1001-3695.2010.02.082

Attribute-based access control method in grid computing

NI Wen-ting， LANG Bo

(National Key Laboratory of Software Development Environment， School of Computer Science Engeering， Beihang University， Beijing100086， China)

Abstract:In order to satisfy the grid’s need for dynamic and fine-grained authorization policy， this paper presented a model named Grid_ABAC for grid computing. This model based on the layed structure of grid resources and the current ABAC model. Also designed implementation architecture of Grid_ABAC with XACML and used it in GT4 platform. At last， made a test in Globus platform.The result shows that the authorization result is identical to the expected result and the time cost doesn’t increased apparently with the increase of test scope. Grid_ABAC model is valid in grid platform.

Key words:grid computing; Globus platform; attribute-based access control; XACML

0 引言

網格計算[1]的動態性和多樣性、信息分布與共享，決定了其需要一種動態性的、能解決跨域認證的訪問控制機制。傳統的訪問控制模型如DAC、RBAC等已不能適用這種環境。基于屬性的訪問控制(attribute-based access control，ABAC)是基于請求者和資源的各種屬性(主要有主體、資源、環境、授權四種屬性)進行授權評估[2]。這使得ABAC具有細粒度，足夠的靈活性和可擴展性，同時使得安全的匿名訪問成為可能，這在分布式的網格環境下十分重要。

可擴展訪問控制標記語言(extensible access control markup language，XACML)是基于XML的OASIS標準[3]，作為一種策略定義語言和訪問控制決策語言，其能適應多種應用環境，使訪問控制中間件的開發成為可能，同時具有良好的可擴展性并支持多策略。目前關于用XACML來實現ABAC的研究成果不是很多，手寫XACML策略較為繁瑣，而且ABAC是一種較新的訪問控制策略，關于它的研究大都還處于進行中。網格平臺Globus中的Gridship是基于SAML來實現ABAC，目前也還在研究中，沒有正式推出功能完備的版本。

為了滿足網格平臺對ABAC授權的需求，本文結合網格資源的分層組織特點，在現有的ABAC模型[4，5]基礎上提出了Grid_ABAC模型及其基于XACML的實現結構，然后應用在網格平臺GlobusToolkit4上。本文分析了Grid_ABAC特點并給出定義，介紹了Grid_ABAC模型的實現機制，并將Grid_ABAC應用在GT4平臺，對GT4平臺中的ABAC授權效率進行了測試。

1 Grid_ABAC模型

網格環境中的資源是分層管理的，是一個樹型結構，資源位置可由URL表示，URL的每一層對應一個資源的位置。根據這種思想，本文以現有的ABAC模型為基礎，提出了Grid_ABAC模型。

1.1 網格資源及其策略的分層結構

ABAC為每個資源定義一個授權策略，而上層資源的授權策略適用于下層的資源，這類似父類與子類的關系，上層資源類似于父類，下層類似于子類。子類保留了父類的共性又擴展了自己的個性。最終對某一資源的授權結果為該資源所在層次及其以上層次的所有策略的授權結果的合并，合并方法由合并算法來決定。

網格資源的策略結構如圖1所示，資源按層次樹的結構組織。每個資源Rn擁有特有的策略Pn。而資源Rn可適用的策略集為其擁有的策略以及其所有祖先層資源所擁有的策略。這些策略的集合構成該資源Rn對應的策略集，如R2.2.2的策略集為{P2.2.2，P2.2，P2}。策略集內的策略關系由合并算法決定。對請求該資源的授權使用策略集的所有策略進行授權評估，結果通過策略集的合并算法進行合并，最終返回一個授權結果。

1.2 Grid_ABAC模型定義

Grid_ABAC模型針對網格資源的分層組織的特點擴展了文獻[4，5]中提出的ABAC模型，定義如下:

a)屬性類型AT(attribute type)。用于惟一標志一個屬性的屬性類型(標志)，屬性所屬的數據類型、屬性的取值范圍。每一種屬性都必須與某類實體相關。

b)基本屬性集合。可分為以下四種屬性集合:

主體屬性集合attr(sub)={subjectAttri|i∈[0，n]}

資源屬性集合attr(res)={resourceAttri|i∈[0，n]}

授權屬性集合attr(act)={actionAttri|i∈[0，n]}

環境屬性集合attr(env)={enviromentAttri|i∈[0，n]}

c)資源R1112…1n。網格環境中第1n層資源

R1112…1n={Grid_Resourcen|n為Grid_Resource所在的層次，且n>0}

策略Grid_P_R1112…1n:Grid_P_R1112…1n為資源R1112…1n所擁有的特有策略，體現了資源R1112…1n對授權的特殊要求。它規定了特定的主體在某種特定環境下能夠以某種方式訪問資源R1112…1n，特定的是指該實體能夠滿足一定的屬性約束條件。Grid_P_R1112…1n定義為一個四元組Grid_P_R1112…1n(S，R，A，E)，根據屬性集作判定。

策略集 Grid_PolicySet_R1112…1n:資源R1112…1n適用的一組策略的集合，包括它特有策略Grid_P_R1112…1n以及其所有上層資源所擁有的特有策略Grid_P_R11，…，Grid_P_R1112…1(n-1)。策略集內的策略通過合并算法指定了它們間的關系。

Grid_PolicySet_R1112…1n=

{Grid_P_R11，Grid_P_R1112，…，Grid_P_R1112…1n-1，Grid_P_R1112…1n}

d)Grid_ABAC策略評估:

Grid_ABAC_authz_R1112…1n

(attr(sub)，attr(res)，attr(act)，attr(env))策略集的評估函數，它使用資源R1112…1n的策略集Grid_PolicySet_R1112…1n中的每個策略對屬性集合進行評估 ，再將結果通過合并算法combine_alg合并得出最終的決策結果。

Grid_ABAC_authz_R1112…1n

(attr(sub)，attr(res)，attr(act)，attr(env))=

combine_alg

(abac_authz_p11(attr(sub)，attr(res)，attr(act)，attr(env))

abac_authz_p1112(attr(sub)，attr(res)，attr(act)，attr(env))

…

abac_authz_p1112…1n(attr(sub)，attr(res)，attr(act)，attr(env))=

PERMITDENY

其中:abac_authz_p1112…1n為策略Grid_P_R1112…1n的評估函數，ABAC策略評估的過程就是根據策略中的屬性獲得請求者的屬性值進行屬性值比較的過程。定義策略評估函數abac_authz_p1112…1n如下:

abac_authz_p1112…1n

(attr(sub)，attr(res)，attr(act)，attr(env))=

PERMITDENY

2 Grid_ABAC模型實現機制

XACML是一種支持多策略的訪問控制描述語言，定義了訪問請求和訪問策略的語法，并且描述了訪問請求判定的基本流程。它通過定義策略管理點(PAP)、策略信息點(PIP)、策略決策點(PDP)、策略執行點(PEP)來描述ABAC框架。通過各部分的配合，形成一個訪問控制響應過程。PEP接收到一個請求后轉發給PDP，PDP調用PAP查找被請求資源的策略，根據策略中規則對屬性進行判定，對于多個規則的判定結果通過合并算法得出最終授權結果返回給PEP執行。XACML的實現結構比較適合1.2節中的Grid_ABAC模型。

本文以XACML為基礎，考慮到網格平臺需求，設計了網格平臺上的Grid_ABAC模型的實現框架如圖2所示。該實現框架由網格服務請求方和服務方組成。請求方包括請求者及其所在域的屬性證書管理和屬性管理機構。服務方包括網格平臺授權相關模塊、ABAC決策器、屬性管理。請求者發送服務請求后，由網格的授權攔截獲取請求轉交給ABAC決策器，ABAC決策器根據被請求資源的策略集對用戶屬性評估，判斷請求是否被允許。用戶的屬性由屬性管理模塊提供。ABAC決策器最終將授權結果返回給授權攔截進行執行。

2.1 ABAC決策器

ABAC決策器用于ABAC授權，調用ABAC策略對屬性進行授權評估。它主要包括三個模塊，即基于屬性的決策模塊(ABACPDP)、策略管理模塊(ABACPAP)和策略信息模塊(ABACPIP)。ABACPDP主要功能是依據屬性作決策;ABACPAP為ABACPDP從網格本地數據庫查找策略;ABACPIP為策略需求從網格本地查找請求者的屬性值，與網格平臺的屬性獲取模塊交互。

網格請求首先到達網格平臺的授權攔截點后，調用ABAC決策器授權，將請求交予ABACPDP，ABACPDP調用ABACPAP獲得策略進行授權評估。在ABACPDP授權評估過程中，若缺少屬性調用ABACPIP到網格平臺的屬性獲取模塊獲取所需屬性。直至授權結束，將最終結果返回給授權攔截點。

2.2 屬性管理

屬性管理是為了解決屬性的來源問題而設計的。ABAC決策器需要用戶的屬性，用戶屬性由屬性權威機構發布，發布前通過定義屬性名與屬性類型的文檔來達成屬性在各個域命名上的統一。屬性證書是屬性的一種獲取方式，它包括了用戶常用到的一些靜態屬性。考慮到ABAC決策器使用的屬性的不確定性，以及某些屬性的變動性大，本文設計兩種屬性獲取方法，一是屬性證書獲取;另一種是動態向屬性權威機構申請屬性。前者提供了較穩定的多數屬性來源;后者用來獲取小部分易變動屬性。

圖中屬性管理由域內屬性證書管理和屬性獲取模塊兩部分組成。前者是用來管理和維護網格域的請求者的屬性證書，避免經常的遠程獲取;后者為ABAC授權提供了獲取屬性方法的接口。

屬性證書管理提供兩個服務，即下載和提交請求者的屬性證書。使用網格服務的用戶可以提交自己的屬性證書到屬性證書管理點維護，當網格服務節點需要某一用戶的屬性證書時，調用下載屬性證書服務從該管理點獲取相應用戶屬性證書。

屬性獲取模塊針對屬性的特點設計了兩個接口，即屬性證書獲取屬性接口和SAML動態獲取屬性接口。屬性證書獲取屬性接口從域內屬性證書管理下載屬性證書，查找需要的屬性值返回給調用者;SAML動態獲取屬性接口實時遠程向屬性權威機構發送SAML屬性請求動態獲取屬性。異地獲取需要考慮屬性的安全傳輸問題，由于SAML能夠很好地支持屬性的安全傳輸，采用SAML屬性斷言的方式構建屬性查詢請求與響應。

2.3 ABAC與網格平臺的融合方法

ABAC授權與網格平臺的融合，主要是將ABAC授權部分融合到網格平臺的授權引擎下(即使授權引擎能夠調用ABACPDP模塊)。不同的網格平臺有其特有的授權框架，一般的網格授權框架會提供授權方法的擴展接口，通過擴展接口或類來封裝Grid_ABAC模型，就可以將ABAC授權融合到網格平臺的授權框架下。

網格平臺的資源一般是樹型結構，具有層次關系，可以根據1.1節中的思想來組織策略，然后根據策略組織結構設計ABACPAP的策略管理方法。

屬性獲取模塊是ABACPIP模塊與域內屬性證書管理的橋梁，由網格平臺提供的給需要屬性的服務使用的。它根據網格平臺的屬性獲取特點來設計。

3 Grid_ABAC模型在GT4中的應用

3.1 GT4授權框架分析與擴展

GT4是開源網格平臺GlobusToolkit的新版本[6，7]。它采用WSRF資源框架，實現了有狀態的Web services服務架構。授權引擎authorization engine充當了XACML標準中的PEP的角色，具有攔截用戶請求執行授權結果的功能。MasterPDP是Globus授權框架的一個特色，是實現層面的PDPs和PIPs的上層PDP，對PDPs和PIPs進行統一管理。MasterPDP通過文件配置授權鏈，實現了Globus對多種策略的支持。授權鏈指明了服務要使用的PDP或PIP的類型，依次創建這些PIP或PDP對象進行屬性搜集或授權評估，最終MasterPDP調用合并算法對每個PDP對象返回的授權結果合并成最終授權結果交給授權引擎。

GT4授權框架提供了擴展授權的接口PIP和PDP。通過實現這兩個接口可以為GT4添加新的授權策略。新添加的授權策略掛載到MasterPDP中，由它進行管理與調用。

基于上述對GT4授權框架的分析，圖3給出了擴展ABAC授權方法后的GT4授權框架。ABACPIP與ABACMasterPDP分別實現GT4授權框架提供的PIP與PDP接口從而融入到GT4中。ABACMasterPDP是為了更好地封裝ABACPDP的功能而設計的，該模塊處于ABACPDP與MasterPDP之間，是一個上下文交互模塊，主要功能是接收授權引擎傳來的用戶請求，提取有用信息封裝為適合ABACPDP的參數，轉發給ABACPDP，然后從ABACPDP接收授權結果，返回給GT4平臺的MasterPDP。

3.2 Grid_ABAC各模塊功能介紹與聯系

結合Grid_ABAC模型定義及GT4的授權框架，本文針對GT4平臺實現了一種基于XACML描述的ABAC授權策略。其結構如圖4所示。Authorization engine、MasterPDP、服務安全描述符為GT4平臺自身的授權相關部分;ABAC授權包括ABACMasterPDP、ABACPIP、ABACPDP、ABACPAP。屬性管理為ABAC管理提供屬性。

GT4的授權引擎引擎被激活后，MasterPDP根據服務安全描述符的配置創建ABACMasterPDP授權對象;ABACMaster PDP獲取用戶請求提取屬性信息包裝為RequestCtx傳給ABACPDP，策略查找模塊根據被請求服務的URI找到合適的策略給ABACPDP進行授權評估。評估過程中若需要屬性，通過ABACPIP調用本地的屬性獲取模塊的本地屬性證書獲取接口，在屬性證書中查找屬性，若缺失再調用SAML遠程接口獲取屬性，然后將獲取的屬性返回后繼續授權評估，直至結束，返回結果給GT4授權引擎。

3.3 ABACMasterPDP與ABACPDP

ABACMasterPDP實現了GT4平臺的PDP接口，重寫了PDP的初始化函數和授權評估函數。

初始化函數中提取ABACPDP需要的請求信息，主要包括請求者的惟一標志(ID)，供查找屬性使用，以及被請求資源的資源URI，用于查找策略，還有一些特殊屬性值，并封裝這些信息為ABACPDP識別的參數類RequestCtx對象。

授權評估函數中創建ABACPDP對象。傳遞RequestCtx對象給ABACPDP對象進行授權評估。

ABACPDP授權過程中創建ABACPAP對象獲取策略，根據需要反復調用ABACPIP為策略獲取用戶屬性進行決策評估。評估完成后返回結果給ABACMasterPDP。

3.4 ABACPIP及屬性管理

ABACPIP實現并擴展了GT4平臺中的PIP接口，實現兩種方法分別用于從屬性證書屬性獲取接口和SAML屬性獲取接口獲取請求者的屬性值，函數參數為屬性名和屬性類型。ABACPIP是ABACPDP與GT4平臺交互的主要媒介。

因為ABACPIP要讀屬性證書文件，而授權對延遲有一定要求，所以ABACPIP在實現層面需要考慮讀磁盤的開銷。獲取屬性的方法可以在ABACPDP授權之前，由ABACPIP讀入以某種數據結構保存在內存，這樣提高了ABACPDP的運行效率(ABACPDP需要請求的屬性由策略使用的屬性決定，一般在用戶屬性證書中可以全部得到)。但是授權之前建立所有屬性的數據結構開銷較大，而實際用到的屬性個數遠遠小于屬性證書中個數或者根本不需要屬性，這樣會造成了大量的數據冗余，增加了ABACPDP的負擔，也影響了網格系統的效率。綜合效率等因素考慮采用按需獲取的方法來實現。當ABACPDP評估時發現缺少某個屬性時再調用ABACPIP去屬性證書中查找，按需獲取避免了不必要的時間和內存空間的開銷。雖然ABACPDP要等待從磁盤讀取屬性證書的時間，但再次查找屬性時的效率比較高，因此缺點對效率的影響不是很大。

屬性管理中的屬性證書管理為網格域提供提交屬性證書和下載屬性證書兩個服務。前者由網格服務用戶調用，接收網格用戶的屬性證書至本地，并定期檢查和更新有效期;后者由網格域的服務或管理員調用，為其提供下載屬性證書的功能。

屬性證書管理為ABAC的實現提供了屬性證書，GT4中請求者從屬性證書發放機構申請自己的屬性證書，屬性證書的惟一標志是DN，與請求者的身份證書DN和請求者的identity是一致的。GT4安全機制在身份認證后，ABAC授權之前，先從屬性證書管理點下載請求者的有效屬性證書，只有成功后進行下一步授權，否則直接拒絕請求。

3.5 ABACPAP與策略管理

根據1.1節中Grid_ABAC策略模板的介紹來實現GT4中的策略。GT4平臺中資源(主要指服務)是以WSRF的規范來寫。它的URL的格式一般為:協議://IP地址/WSRF標準/具體服務的路徑。比如https://192.168.16.197/wsrf/services/。 說明服務是wsrf規范的，所在目錄為/wsrf/services/。根據這種結構特點，定義策略時的層次結構從wsrf開始，wsrf文件夾下的策略適用于wsrf內的所有資源使用，依次類推，到URI的最后一個字段對應的文件夾下的策略只適合特定的一個資源。而該URI代表的資源的策略集為該文件夾下的策略及其上層所有文件夾下對應的策略。ABACPAP根據資源相對URL找到策略的存儲路徑獲得策略。

4 系統測試及效率分析

以網格服務SecureCounterServices作為測試服務，配置為ABAC授權。使用的策略為:北航的教授才有訪問該資源的權利。XACML描述的策略大致內容如下:

〈PolicyPolicyId=\"SecureCounterService\"

RuleCombiningAlgId=\"…rule-combining=algorithm:permit-overrides\"

〈Rule Ruled=\"rule1\" Effect=\"Permit\"

……

〈SubjectMatch MatchId=\"…:function:string-equal\"〉

〈AttributeValue 〉Beihang〈/AttributeValue〉

〈AttributeId=\"…:globus:organization\"/〉

……

〈SubjectMatch MatchId=\"…:function:string-equal\"〉

〈AttributeValue 〉professor〈/AttributeValue〉

〈AttributeId=\"…:globus:name\"/〉

……

〈ResourceMatch MatchId=…:function:anyURI-equal\"〉

〈AttributeValue〉

wsrf/services/SecureCounterService

〈/AttributeValue〉

〈AttributeId=\"…:resource:resource-id\"/〉

……

〈/Rule〉

〈/Policy〉

測試結果:服務端正確輸出ABACPDP的授權過程信息以及屬性查找信息，若認證通過客戶端給出請求服務的結果，如圖5所示。策略中需要的兩個屬性“Beihang”和“professor”全部獲取，授權結果為“PERMIT”，通過授權，右下角框內是客戶端返回信息，顯示為SecureCounterServices服務的執行結果;測試結果與理論授權結果一致。

為了檢查ABAC授權的效率，本文進行了ABAC授權的效率測試，以從創建ABACMasterPDP對象開始到ABACMasterPDP對象返回授權結果給MasterPDP為止，記錄授權執行的時間。測試分三組進行，分別測試對效率可能有影響的因素:策略復雜度，屬性證書大小和SAML遠程獲取屬性個數。每組測試僅改變一個影響因素。在CUP為Intel Pentium4 2.66 GHz，內存為512 MB，操作系統為FC5，網格平臺為GlobusToolkit4.0.5的環境下進行測試，得出的效率測試表如表1～3所示。

本文根據實際情況中可能出現的策略復雜度，屬性證書大小及SAML遠程獲取屬性個數的需求數量進行測試，最耗時的是SAML遠程獲取屬性，因為此種情況受網絡延遲的影響較大。在ABAC授權的實際應用中，策略所需要的屬性一般小于20個，基本可以從屬性證書中獲取，調用SAML獲取的可能性很小。從表3可以看出SAML屬性獲取個數為30時，耗時約為656 ms，即最差的情況也可以保證ABAC授權保持毫秒級。測試結果表明隨著測試規模的增加，ABAC授權時間并沒有顯著增加，也說明了此授權方法有一定的實用性。

表1 策略復雜度表2 屬性證書復雜度 表3 SAML獲取屬性

測試結果

測試結果

個數測試結果

Rules numberin PolicyABAC timecost/ms

10163

50166

100172

500190

Attribute numberin AttributeCertABAC timecost /ms

10206

50249

100291

500373

Attribute numberby SAML ABAC timecost /ms

1294

10403

20530

30656

5 結束語

目前開放式網絡環境對授權的需求使得ABAC訪問控制成為訪問控制的研究熱點，但現有的ABAC模型還沒有很好地應用到網格環境中。本文根據網格資源的層次結構組織特點，在現有ABAC模型基礎上提出了一個針對網格環境的ABAC授權模型Grid_ABAC，將ABAC與網格融合，實現了ABAC在網格環境中的應用。以GT4平臺為例，設計了一套基于XACML的Grid_ABAC實現方法，作為一種新的授權方法融合到GT4中，比起現有的GT4的授權方法，該授權方法更加靈活，支持多策略，細粒度的授權。最后，經過測試證明該模型在網格環境中有一定的實用性。進一步研究還可以從優化其性能和簡化實現ABAC對網格平臺修改程序這兩方面進行，以減少授權的時間開銷和對網格授權框架的修改。

參考文獻:

[1]ISO/IEC 10181-3， Information technology: open system interconnection security frameworks for open system: access control framework[S]. Geneva: ISO/IEC，1996.

[2]YUAN E， TONG J. Attribute based access control (ABAC) for Web services[C]//Proc of IEEE International Conference on Web Ser-vices. Piscataway:IEEE Computer Society， 2005:561-569.

[3]OASIS: eXtensible access control markup language (XACML) version 2.0 [EB/OL]. (2003-08)[2008-10-05].http://www.oasis- open.org/committees/xacml/ .

[4]LANG Bo， IAN F， FRANK S， et al. Attribute based access control for grid computing [EB/OL].(2006). Ftp.mcs.anl.gov/pub/tech_reports/reports/P1367.pdf.

[5]LANG Bo， LU You， LI Wei-qin. A flexible access control mechanism supporting large scale distributed collaboration[C]//Proc of the 8th International Workshop on CSCW in Design. 2004.

[6]GT4.0:Security: authorization framework[EB/OL].(2004-06)[2007-12-20].http://www.globus.org/toolkit/docs/4.0/security/authzframe/.

[7]DEMCHENKO Y， GOMMANS L， LAAT C de. Using SAML and XACML for complex resource provisioning in grid based applications[C]//Proc of IEEE Workshop on Policies for Distributed Systems and Networks.2007:183-187.