企业信息网格用户管理研究论文(pdf 70页).pdf

西北师范大学 硕士学位论文 企业信息网格用户管理研究 姓名 蒲兴彦 申请学位级别 硕士 专业 计算机软件与理论 指导教师 冯百明 2008 06 摘 要 用户管理是企业信息网格不可缺少的部分 能否对网格中的用户进行有效地 管理将影响到网格稳定运行及其自身的发展 目前网格用户管理的研究均偏重于 网格环境下的安全通信 安全认证和资源授权等问题 但是 如果构成企业信息 网格的异构自治管理域间缺乏信任 将会导致安全孤岛存在 这些都制约着信息 资源的有效共享 本文提出了企业信息网格中基于信任度的用户管理方案 该方案中 企业信 息网格中的自治管理域 信息资源提供方和用户都被 GTM 和 LTM 赋予相应的 间接信任度 通过域间协作和信任度管理机制 使得网格中的交互双方 域与域 资源与用户 分别把对方的间接信任度度转换为综合信任度 从而使得信息提供 方通过用户的综合信任度 对域内和跨域用户动态地进行角色的映射和权限的分 配 有效地促进了异构域间信息的畅通 加强了对信息提供者服务质量的监督以 及用户行为的规范和约束 论文也对企业信息网格环境下用户的命名 用户生命 周期 用户管理操作等方面作了研究 以便使数目日益增长的网格用户的管理从 无序变为有序 本文提出的基于信任度的用户管理方案在已开发的企业信息网格 Loglo 平 台上进行了初步设计和实现 实际工作表明该用户管理方案是可行的 关键词 关键词 自治管理域 用户管理 信任度 角色 权限 II Abstract User management is an indispensable part of enterprise information grid and whether the users can be managed effectively may influence the running and development of the grid itself At present the researches involving user management in grid emphasize communication security user s authentication and authorization in grid environment However the lack of trust among the autonomous domains which make up the whole information grid may lead to security isolated island so that resources can not be shared smoothly among these domains A user management strategy based on trust is proposed for enterprise information grid in the thesis which presents user s naming user s life cycles user management operations the definition of trust and the trust based right mapping policy which maps certain user to proper access rights The user management strategy based on trust may restrict user s illegal behaviors and improves the management effeciency for growing users By applying trust management mechanism to user management and the cooperation between two domains the autonomous management domains information resource providers and users are endowed with indirect trust values respectively by GTM and LTM so that the roles and access rights can be successfully mapped to the users no matter they belong to the domain of resource providers or not Moreover the resource providers QoS can be supervised and users illegal behavior can be restrained The user management strategy based on trust has been primarily designed and implemented on Loglo platform which proves the feasibility of the user management strategy Key words autonomous management domain user management trust value role permission III 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作 及取得的研究成果 尽我所知 除了文中特别加以标注和致谢的地方 外 论文中不包括其他人已经发表或撰写过的研究成果 也不包含为 获得西北师范大学或其他教育机构的学位或证书而使用过的材料 与 我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确 的说明并表示了谢意 签名 日期 关于论文使用授权的说明 本人完全了解西北师范大学有关保留 使用学位论文的规定 即 学校有权保留送交论文的复印件 允许论文被查阅和借阅 学校 可以公布论文的全部或部分内容 可以采用影印 缩印或其他复制手 段保存论文 保密的论文在解密后应遵守此规定 签名 导师签名 日期 I 第 1 章 绪论 1 1 论文选题依据 企业信息网格旨在将地域上分布 平台上异构的企业信息资源无缝集成到一 起 消除企业各部门间的信息孤岛 能够像电力系统一样为各用户提供一个共享 信息的平台 通常情况下 信息网格由归属于多个管理域的信息资源和大量的用 户组成 这些管理域可以是一个部门 一个企业 甚至是若干个企业联盟 这些 管理域被称作网格社区或虚拟组织 VO Virtual Organization 1 2 3 出于企业保 密与安全方面的需要 这些管理域在一定程度上保持着自治和独立 在本文中 把管理域与虚拟组织 VO 视为同一个概念 都为企业信息网格的基本组成单位 传统的操作系统或 MIS 用户管理策略难以适应信息网格中节点异构 资源 和用户的动态性等特点 虽然有些组织已经在网格安全与访问控制方面提出了各 自的解决方案 如 Globus Toolkit 的 GSI Grid Security Infrastructure 4 CAS Community Authorization Service 5 VOMS Virtual Organization Management Service 3 Liberty Alliance 6 PERMIS 7 和 VEGA US 8 等等 并且这些方案都 已成功地部署到了具体的网格系统中 但是它们均偏重于对网格环境下的安全通 信 安全认证和资源授权等问题的研究 如果构成企业信息网格的异构自治管理 域间缺乏信任 将会导致安全孤岛存在 这些都制约着信息资源的有效共享 因此 如何对已有的异构网格社区或虚拟组织进行整合 对企业信息网格用 户实现跨管理域的协同管理 对现有异构管理域间因缺乏信任而形成安全孤岛的 消除 确保企业各部门间信息的安全畅通都具有重要的意义 1 2 国内外研究现状述评 构成企业信息网格的各个自治管理域之间由于缺乏信任而导致安全孤岛的 存在 这就造成整个网格系统中各管理域间无法顺畅地共享信息资源 涉及网格 用户管理的研究和信任度模型已经有多种 下面就这两个方面对目前的研究现状 作一分析 1 西北师范大学硕士学位论文 第 1 章 用户管理模型与权限映射策略研究 1 2 1 信任度模型 随着分布式计算的发展 尤其是网格技术的出现 原有计算机通信安全中对 信任的假设已经逐渐变得无效 9 学术界已经开始通过人类社会中的信任关系 研究网络中的信任关系 信任是人类社会中很重要的一个方面 是现实社会中人与人交往的基础 Morton Deutsch 从心理学的角度为信任定义为个体在特定情况下对预期的成本 和收益的分析 the trust is dependent on individuals and their perceived cost and benefits analysis of the given scenario 10 如果某一个体面临两条不明确的选择 一条路可以得到预期好的结果 Va 另一条则通向预期坏的结果 Va Va 和 Va 的发生是由另外一个人的行为决定的 对 Va 的预测比 Va 更为重要 虽然上述定义是从社会学的角度出发的 但也说明了建立信任需要的最重要 方面 Deutsch 认为任何一个事件与其他事件通过有害或有益的途径联系着 对 有害途径的研究比有益途径的研究更为重要 这对信任关系的建立很有意义 信 任在导向 Va 的重要性远远胜过 Va 因为信任是建立在某种条件下的 而 Va 与建立信任所需条件有着必然的联系 Diego Gambetta 给出了更为抽象数学定义 信任可以用 0 到 1 之间的数表示 0 表示完全不信任 1 表示完全信任 11 Blaze 等人最早研究的 PolicyMaker 12 13 9 提出了一个与具体应用无关的请 求 证书和证书一致性检测算法 定义了用来描述证书和策略的语言 其中要求 证书必须由它的发行者进行签名 Blaze 后来又研究产生了比较有影响的信任 管理系统 KeyNote 14 15 16 9 在 PolicyMaker 的基础上 增加了加密签名验证 定 义了另外的更精致的证书和策略描述语言 Smith等 人 提 出 STRONGMAN Scalable Trust Of Next Generation MANagement 17 是直接延用了 KeyNote 中定义的描述语言 该系统为分布式环 境下关于策略说明 策略发布和策略执行的管理上 提供了可行的解决方案 提 出了推和拉的两种策略发布方法 不同的系统使用不同的策略 定义了策略的组 合运算方法 比前两个信任系统更灵活 EigenTrust 18 信任模型是针对 Peer to Peer 网络的 其通过推荐方式计算全局 信任度 即对等节点之间通过交互建立直接信任关系 然后直接信任关系经过正 2 西北师范大学硕士学位论文 第 1 章 用户管理模型与权限映射策略研究 规化形成推荐信任向量 再对推荐信任向量进行迭代运算 最后信任向量收敛于 一固定向量 每个实体就拥有了这样的全局信任度 本文后面要介绍的信任模型 中信任度的计算和管理与该模型有些类似 1 2 2 用户管理 1 Liberty Alliance Liberty Alliance 6 23 是美国 Sun 等多家企业和团体联合成立的旨在推进网络 用户认证技术的联盟 其成立于 2001 年 9 月 该联盟的目标是 为实现利用网 络进行交易所需的单一登录认证 制定有关的标准 Liberty Alliance 的计划主要 分为以下三个方面 使个人消费者和企业用户能够安全保管个人信息 建立无信息垄断的 可 以相互运用并跨越多个网络的服务 制定实现 单点登录 的开放标准 使用户在任何网络通过认证后 不必 接受其他节点认证就能使用服务 制定所有接入网络的设备都可以使用的网络认证开放标准 使手机 车载 设备和信用卡等各种终端都能进行安全认证 在国际互联网上 用户身份被分成多个信息碎片分散存储在不同节点上 这 种身份信息的分散直接导致了信息的孤立和获取信息的高摩擦 Liberty Alliance 的联合身份认证 Federated Network Identity 试图解决这种不利局面 降低摩擦 实现新的企业分类和重组 提供了一种实现单一登录的可行方法 用户 com com com 用户 SP SP SP SP b a 图 1 1 万维网上和自由联盟的身份 如图 1 1 a 所示 在万维网上 用户在不同节点上有着不同的身份 用户 身份信息分布在不同的地方 如图 1 1 b 所示 采用的是 Liberty Alliance 的新 的联合身份认证框架 SP 是身份提供者 IP 是身份提供者 身份提供者经营身 3 西北师范大学硕士学位论文 第 1 章 用户管理模型与权限映射策略研究 份 把原来分散在各个节点上的身份集中起来 形成一个网络身份 在建立了信 任关系的范围内提供身份服务 Liberty Alliance 的目标是能够让消费者保护自己的隐私 并为自己的网络身 份提供安全 它提供了一个开放的单一登录标准 包括从多个提供者而来的分散 的认证和授权 建立网络身份基础设施 支持所有的网络访问设备 Liberty Alliance 的总体结构呈三角形 如图 1 2 所示 主要使用万维网重定向 万维网服务 原数据和模式三种构件把用户 服务提供者以及身份提供者联系起 来 万维网重定向是一个动作 为该联盟的实体通过用户代理提供服务 它包括 基于 HTTP redirect 的重定向和服务提供者之间建立的通信通道 具体如图 1 3 所示 基于HTTP redirect的改向采用 HTTP 协议的重定向应答类和URI句法在身 份提供者和服务提供者之间建立一个通信通道 具体步骤如下 用户代理给服务提供者发送一个 HTTP 请求 服务提供者用一个状态码为 302 的 HTTP 消息应答 在位置头域有中有另 一个 URI 该 URI 指向身份提供者 也将包含第二个内嵌的 URI 指回服务提供 者 身份提供者 服务提供者 用户 万维网服务 元数据和模式 身份提供者服务提供者 用户代理 万维网服务 元数据和模式 图 1 2 Liberty Alliance 的总体结构图 图 1 3 万维网重定向 用户代理给身份提供者发送一个 HTTP 请求 其中指定了取自 返回消息 中的位置域的完整的 URI 当然包含了服务提供者的地址 身份提供者用重定向应答 消息中包含了服务提供者的 URI 指针 可能 也会包含指向身份提供者自己的 URI 用户代理给服务提供者发送 HTTP 请求 其中指定了第 4 步回答返回的完 整 URI 交互过程中两个 URI 都是作为 HTTP GET 请求的参数传递的 重定向应答 消息的位置应答头域包含一个或两个嵌入的 URI 指向身份提供者 身份提供者 和服务提供者之间可以通过这条通道相对自由地交换各种数据 如果是基于 4 西北师范大学硕士学位论文 第 1 章 用户管理模型与权限映射策略研究 Form POST 的改向的情况 除了上述的第 2 3 步有点差别之外 其余的都是相 同的 元数据和模式是一个比较通用的术语 指信息的不同子类和服务提供者和 身份提供者之间交换信息的格式 交换的信息包括账户或身份 认证上下文 提 供者元数据 账户或身份简单地说就是一个用户句柄 用做用户的名字 在服务 提供者和身份提供者之间通信的时候用来指用户 在以后的版本中将包含其他属 性 授权上下文模式为服务提供者和身份提供者之间交换授权上下文信息提供一 种途径 在自由联盟中身份提供者可以使用任意的认证机制和技术 不同的身份 提供者将选择不同的认证技术 遵循不同的认证过程 服务提供者在接收到来自 身份提供者的认证断言之后 服务提供者必须知道产生认证断言所使用的认证技 术 协议和过程 认证上下文模式就是为两种提供者之间交换这些信息而提供的 一种途径 提供者元数据是身份提供者和服务提供者之间通信所必须要了解的一 些信息 关于提供者的元数据一般包含在 X 509 证书中或者其他载体中 为了实现单一登录和身份联合的形成 自由联盟制订了单一登录和联合协 议 用户第一次使用一个身份提供者登录到一个服务提供者时 必须给出一个联 合选择 把服务提供者上已有的本地身份保存到身份提供者上 实现单一登录 随着使用的历史积累就建立起一个联合身份 一个用户的网络身份就对应了同一 个用户在不同站点上的多个身份信息 一个身份提供者可以为多个服务提供者服 务 多个身份提供者也可以为一个服务提供者服务 Liberty Alliance 规范 1 0 是基于 SAML 开发的 用户可以自己指定单一登录 的服务范围 无论利用哪一个以单一登录为对象的服务 在退出该服务的同时也 将自动退出所有相关服务 该联盟偏重于开放网络环境下的单一登录和身份认证 安全认证等问题 在用户管理方面的没有完善的信任机制 2 GUMS 由美国 Brookhaven 国家实验室开发的网格用户管理系统 GUMS 19 实现了 用户的自动注册和管理 GUMS 的 VO Server 主要是组织 VO 内的用户 并且用 户没有用户组和角色的区分 用户管理的相关功能分散在资源端和VO Server端 VO Server 只是做为一个数据库系统的前端系统 没有相应的管理功能 例如对 记帐 审计以及访问控制的支持 增加了资源端的负担 资源端除了维护类似于 Globus 的访问映射文件 Gridmapfile 外 还要维护用户信息等 3 GSI 在 GSI 中有 3 类实体 用户 资源和程序 每个实体都有一个能标识其身份 5 西北师范大学硕士学位论文 第 1 章 用户管理模型与权限映射策略研究 的证书 该证书符合 X 509 标准 证书中含有相关实体的全局唯一的标识信息和 像公钥之类的附加信息 相关实体身份的验证通过使用 SSL v3 协议完成 该协议同时也实现了对证 书颁发者的验证 GSI 中支持权力的委托 一个实体可以将其全部或部分权力委 托给其它实体 通过短期代理来完成一个任务 一个代理证书可以由一个用户或 另外一个代理签发 而一个用户的证书只能由证书机构 CA 颁发 其中 每个资源可以规定其访问策略 如访问列表等 认证协议验证了用户 的全局标识 但是全局用户名需要映射到本地用户名上 从而 GSI 中使用了一个 映射文件 mapfile 得以实现这一要求 4 CAS CAS 是对 GSI 的扩展 它使得基于一个全局标识的安全策略得以实施 从 而不必将全局标识映射到本地账号了 CAS 服务器维护了 3 个方面的信息 即 许可的裁决者 许可的内容和被许可的资源 在 CAS 中资源提供者把资源访问 的一定权限整体上交给了各个社区或 VO 然后各社区再在本范围内再对权限做 出更为细化的分配 可见 CAS 主要侧重访问控制而不是主体的管理 资源只 对 CAS 用户证书进行授权 不能利用证书有效地区分不同的用户 不能支持针 对个体用户的记帐 审计等操作 没有考虑社区间用户的识别和命名的问题 6 5 VOMS VOMS 是由欧洲数据网格中的 DataGrid 和 DataTAG 项目开发的用来在虚拟 组织的层次上对用户访问资源进行授权和认证的管理系统 在授权方面 有点和 CAS 相似 每个 VO 都有一个 VOMS 服务器 该服务器存有用户帐号 权力 组合角色等信息 VOMS 主要是用来解决主体对客体的访问控制而设计的 对 用户这一主体的命名 表示没有明确的研究 没有明确的网格用户管理策略 模 式和方法 主要涉及网格的安全和访问控制 与安全绑定过紧 没有考虑其他相 关的用户管理内容 目前的研究主要集中在资源或服务方面 没有一个全网格空 间的用户管理 没有涉及多个 VO 之间用户的相互识别及联系 8 6 VEGA US VEGA US 用户管理系统是 CNGrid 项目的子系统以及国家高性能网格计算 环境 Portal 项目的重要组成部分 8 20 26 该研究以实现动态的 可扩展的 跨管 理域的网格用户管理为目标 结合网格的动态性 安全性 可扩展性以及各实体 间 的 交 互 提 出 了 一 种 层 次 式 的 网 格 用 户 的 组 织 和 表 示 模 型 RES 6 西北师范大学硕士学位论文 第 1 章 用户管理模型与权限映射策略研究 Role Expression Session 给出了基于社区和 OGSA 框架的社区内和社区间 的网格用户管理体系结构 实现了 VEGA US 用户管理服务和以服务为基础的 网格 Portal的用户管理系统 该系统主要偏向于同构社区或VO内部的用户管理 对于异构社区或 VO 间的用户管理没有涉及到 此外 VEGA US 没有涉及到网 格实体信任度的概念 其默认 VO 内部的网格实体是相互信任的 或是仅仅通过 安全机制对用户的网格行为进行控制 并没有引入信用机制对网格用户或自治管 理域的行为进行奖惩式的管理 国内外对于网格社区或 VO 间的用户管理问题尚且处于研究阶段 异构管理 域间用户的协同管理研究 对于企业信息网格中信息孤岛的消除 确保企业各部 门和企业间信息的安全畅通都具有重要的意义 1 3 主要工作 本文提出了企业信息网格中基于信任度的用户管理方案 并在已开发的企业 信息网格 Loglo 平台上进行了初步设计和实现 该方案中 企业信息网格中的自 治管理域 信息资源提供方和用户被 GTM Global Trust Management 和 LTM Local Trust Management 赋予相应的间接信任度 通过域间协作和信任度管理 机制 使得网格中的交互双方 域与域 资源与用户 分别把对方的间接信任度 转换为综合信任度 从而使得信息提供方通过用户的综合信任度 对域内和跨域 用户动态地进行角色的映射和权限的分配 从而对数目日益增长的网格用户的管 理从无序变为有序 本文将主要针对基于信任度的异构管理域间用户管理策略以 及实现机制等方面展开研究 1 3 1 系统框架 本文为了对信息网格中 VO 域内和域间用户的有效管理 引入了域间基于信 任度的协作机制 VO 可以综合自己在本地维护的关于某个 VO 的信任度信息和 信息中心权威机构间接提供的信任度信息 从各自管理域的角度出发 根据信任 度进行用户角色的分配和权限的授予 本文对本地注册表和全局注册表作了进一 步的细化 分别增加了含有可信 VO 元信息条目的注册表以及用于身份认证与基 于信任度的角色权限管理模块 1 整体结构 整个系统总体上由 3 部分组成 即信息中心 自治管理域 VO 和用户客户端 7 西北师范大学硕士学位论文 第 1 章 用户管理模型与权限映射策略研究 信息中心由全局注册表 GR Global Registry 和全局信用管理 GTM 两部分 组成 全局注册表 GR 用于信息资源的全局注册和查询 全局信用管理 GTM 主 要负责各自治域 VO 信任度的评审 维护与推荐 自治管理域 VO 由本地注册表 LR Local Registry 和本地信任管理 LTM 组 成 各 VO 的 LR 将本地信息资源发布到信息中心以便客户查询 用户访问某一 信息资源前先从经全局注册表 GR 查询到相关元信息 包括信息描述和服务接口 描述 进而达到对相关信息的访问 在我们开发的 Loglo 系统中所采用的两级 注册表有效地解决了过时元信息的堆积与元信息不一致问题 位于 VO 本地的信 用管理 LTM 用于对用户的认证与授权 对用户和与其经常 往来 的 VO 的信 用信息的组织管理 本地注册表 LR 用来完成对本地信息资源的存储 维护与管 理 2 VO 内部体系结构 从用户管理方面来说 VO 主要由本地注册表 LR 本地信用管理 LTM 域 间用户代理 IDUP Inter Domain User Proxy VO Portal 以及属于该管理域的用户 群组成 其中 本地信用管理 LTM 因 VO 安全而异 它用于对用户的认证与授权 对用户和与之经常 往来 的 VO 的信用信息的组织管理 域间用户代理 IDUP 主要用来协助 LTM 完成域间交互过程中用户认证与临时角色的分配和授权等任 务 域间协作过程中的信息交流通过 UAML User Assistant XML 文档实现 本地 注册表 LR 中主要维护了三类信息 即本地信息资源的元信息和与该 VO 有友好 协作关系并建立起一定信任度的 VO 元信息以及本地用户的相关信息 这样实现了对用户信息的分布式存储与域内用户的自治管理 能够有效地避 免集中式用户管理所带来的单点故障 扩展性差和负载难以均衡等缺点 1 3 2 用户管理策略 网格用户和资源是以 VO 或社区为基本单位进行管理的 从而我们就对网 格 虚拟组织或社区 用户 主体 资源 客体 等进行了如下形式化定义 网格 G 是由 n 个自治的虚拟组织网格或社区组成的集合 即可表示为 12 n GVO VO VO 根据文献 8 自治管理域或社区 k k 1 n 可以表示为 kkk VO U RS Policy Context 表示自治域中的用户集 可定义为 k U 8 西北师范大学硕士学位论文 第 1 章 用户管理模型与权限映射策略研究 12 kl Uu uu k RS为中 的 资 源 集 合 k VO k RS可 定 义 为 12 k m RS rs rs rs 从而网格 G 中的所有用户可表示为 所有资源 为 1 n k k UU U 1 n k k RSRS U 在 实 际 应 用 环 境 中 并 不 是 所 有 用 户uU 都 能 够 访 问 某 个 资 源 用户访问不同的资源需要相应的权限 可是由于 用户和资源数目都比较大 如果通过把用户集直接映射到资源集的方式对用户进 行管理 其复杂度为 1 1 jk rsRSjm kn RS U 设网格 G 所使用的权限集为 12 s Pp pp 角色 集为 12 Rr rr 从用户集U到角色集R的映射关系为UR 从权限 集P映射到角色集R的关系为 其映射函数分别为和 根据文献 21 UR PRPR 2RRoles U R Roles P 2 1 ii Roles urRu rUA isuU 且 1 1 jiji Roles prRp rPA is j 从而通过角色将用户和 资源简便地关联起来 为了对域内和跨域用户动态地进行角色的映射和权限的分配 本文在角色映 射过程中引入了信任度 即 1 ii Roles urRu rUA is 其中 为 资源提供者对用户的综合信任度 本文提出的一种开放的跨异构管理域的信息网格用户管理方案 通过域间协 作和信任度管理机制 实现了异构管理域间信息的畅通 加强了对信息提供者服 务质量的监督和用户行为的规范和约束 对日益增长的网格用户达到有序地管 理 1 4 评价指标 互操作性 能够保证信息网格中异构安全域或管理域间信息的畅通 能够消 除异构域间安全方案的不同而带来的信息孤岛 可扩展性 基于信任度的域间用户管理框架能够较好地支持管理域和用户数 量的增加 同时也有助于整个系统中关于用户管理方面的负载平衡 可维护性 各管理域自主负责本地系统的正常运行 本设计不会加重系统额 外的管理与维护成本 用户评价 用户可以达到在全网格范围内的漫游登录和跨异构域的信息访 问 从而具有一定的便捷性和友好性 9 西北师范大学硕士学位论文 第 1 章 用户管理模型与权限映射策略研究 1 5 论文结构 本文由六章组成 各章节内容安排如下 第 1 章 绪论 介绍了本文的研究背景 意义和现状 阐述了论文所涉及的 主要工作 并简述了本文的章节安排 第 2 章 用户管理模型与权限映射策略 介绍了用户管理的几个方面 即用 户标识 用户生命周期的分析 用户管理操作的分类与定义 用户角色的概念与 意义等 同时 主要针对异构管理域间用户角色的分配与访问权限的分配展开了 分析和设计 提出了基于信任度的域间协作机制和相关的信任度计算模型 通过 该机制能够让管理域 VO 动态地完成对域内用户的自治管理和对域外用户的协 作管理 第 3 章 VO 间用户协同管理机制 本章首先介绍了分布式环境中常见的三 种认证授权模型 即拉式 推式和代理模型 提出了基于信任度的用户访问控制 机制 同时对用户信任度管理机制进行了分析和研究 第 4 章 系统设计与实现 本章将第二章提出的基于信任度的用户管理策略 与第三章提出域间用户协同管理机制进行了系统分析和实现 第 5 章 总结与展望 本章对论文作了总结 并指出有待进一步研究的内容 10 第 2 章 用户管理模型与权限映射策略 在企业信息网格中 资源管理固然重要 但是对网格中的活动主体 用户 的管理 关系到系统的稳定运行和信息资源的安全性等方面 随着一些企业或组 织规模的不断壮大 许多单位由多个地理上分布的部门组成 对系统中的用户进 行有效地管理 不仅可以在一定程度上确保资源的安全性 而且可以提高资源的 利用率以及系统的稳定性 企业信息网格中的用户管理 主要包括用户 包括域 间和域内 的标识 用户动态的角色映射与权限分配 2 1 用户管理 事实上 企业信息网格由多个地域上分布的管理域组成 而且这些管理域在 多个层面上都可能是异构的 访问某个资源的用户通常来自多个管理域 如果要 让这些用户安全而有效 透明地访问网格中相关的信息资源 保证网格所固有的 开放 易扩展的特性 那么传统的操作系统用户管理或者 MIS 系统等集中式的 用户管理 已经很难满足具有一定安全性的跨异构域的用户管理了 为了确保整 个信息网格系统安全稳定地运行 对这些用户进行合理而有效的标识与管理就显 得尤为重要 2 1 1 用户命名 通常情况下 用户需要通过用户名来标识 并且要求用户名具有唯一性 传 统的表示方式是用一个字符串形式的用户名和相应的密码表示的 在有些系统中 还对用户进行分组 同一个小组的用户具有相同的组名 如 Unix 操作系统中的 用户管理 在网格环境下 这种表示方式显然是不能满足网格系统的正常运行以 及网格技术本身的发展 所以 除了原来的用户名和密码等静态属性外 还需要 增添一些动态属性来实现更细粒度的用户管理和控制 网格用户和资源是以自治的虚拟组织 VO 或社区为基本单位进行管理的 我 们对网格 虚拟组织或社区 用户 主体 资源 客体 等进行了如下形式化定 义 网格 G 是由 n 个自治的虚拟组织网格或社区组成的集合 即可表示为 12 n GVO VO VO 11 西北师范大学硕士学位论文 第 2 章 用户管理模型与权限映射策略研究 根据文献 8 自治管理域或社区 k k 1 n 可以表示为 kkk VO U RS Policy Context Uu uu k 表示自治域中的用户集 可定义为 k U 12 kl RS为中 的 资 源 集 合 k VO k RS可 定 义 为 12 k m RS rs rs rs 从而网格 G 中的所有用户可表示为 所有资源 为 1 n k k UU U 1 n k k RSRS U 若满足 iji j1 2 1 2 ijk u uVOl kn 且 i uuj 我们可采取 从管理域到用户的分层表示方式 k VOuj 对各管理域中的用户达到唯一标识 这样 既确保了对系统中用户的唯一标识 也给系统中各个域的扩展和用户 的命名等带来很大的灵活性 2 1 2 用户生命周期 用户是网格上的活动主体 因此同其他网格实体一样 有着自己的生命周期 因为网格中的用户是以自治域 VO 为单位进行组织和管理的 所以我们可以根据 用户的组织形式和活动特征将用户状态划分为这样三个 即 域外 Exterior Domain 状态 离线 Off line 状态和 在线 Online 状态 具体如图 2 1 所示 Exterior domain Off lineOnline 域外 域内 图 2 1 用户状态图 结合图 2 1 可以看出 三个椭圆表示用户的状态结点 状态结点之间的箭头 表示触发状态转换的事件或操作 一个域外用户 可以通过申请注册或管理员添 加操作由 域外 用户变为域内用户 即处于 离线 或 在线 状态 域内用户 可通过登录操作从 离线 状态进入 在线 状态 反过来 处于 在线 状态的域内 用户 可以直接经过登出操作从 在线 返回 离线 状态 处于 离线 或 在 线 状态的域内用户可以通过自主注销操作退出当前域 成为域外用户 由此可见 企业信息网格中的用户 总会处于上述三种状态中的一种 并且 随着各种事务操作从一种状态迁移到另外一种状态 根据用户生命周期中的状态迁移 要对企业信息网格用户的动态信息进行切 实有效地管理 需要从用户的活动状态入手 而从上述三种状态来看 在线用户 12 西北师范大学硕士学位论文 第 2 章 用户管理模型与权限映射策略研究 的活动状态是最为关键的 除了执行注销和登出操作外 其他操作都是与其提交 或交互的事务相关的 因此 用户所交互事务的记录可以反映出在线用户的实时 信息 从而达到更好地进行用户管理的目的 2 1 3 用户管理操作 网格系统中的用户管理 需要负责对网格中的活动实体 用户进行全生命 周期的监管和控制 定义在用户之上的操作是实现对用户有效管理的基础 一个 网格用户生命周期由创建而开始 由注销而结束 在其整个生命周期当中 除了 用户名之外的其他属性会随着用户的活动而不断发生着变更 这些变更是在系统 的授权和控制下完成的 1 用户创建 要成为网格合法用户 需要通过办理一定的手续 由相关自治域的管理员为 其开设用户帐号 也就是创建一个新用户 创建新用户时 需要提供合法的身份 证明材料 用户帐号创建成功之后 用户会获得唯一的域内标识和一个与其相关 联的用户密码 用户名是公开的 它代表着该用户的合法身份 任何人都可以知 道该信息 用户密码只有用户自己知道 不能对其他任何人透露 且需要在表明 真实身份时提交 用户提供的信息和用户以后在网格中的活动记录构成这个用户 的信息集合 2 用户登录 一个用户在网格中有了合法身份之后 每次登录网格都需要提交自己的用户 名和密码 用户登录并接入网格系统应该不受用户当前所处区域的限制 不仅能 让用户在所属域本地登录 也很有必要允许合法用户通过漫游的方式从外部区域 顺利登录系统 从任何节点登录 用户看到的网格映像都应该是相同的 不能因 为地理位置或所在自治域的差别而看到的内容不同 3 用户授权 在信息网格中 用户可以很顺利地找到各种信息资源 但出于各种目的 并 不是任何一个用户都有权访问给定的资源 只有经过授权的合法用户才能获得与 自己身份相一致的权限 一个合法用户对资源的访问权限通常是由资源提供者或 可信权威机构授予 4 用户变更 出于各方面的原因 网格用户有时候需要对自己的信息进行变更 比如注销 13 西北师范大学硕士学位论文 第 2 章 用户管理模型与权限映射策略研究 自身账号 或是修改其个人信息 从用户信息的变更的时间频度上来看 有些信 息是相对稳定的静态信息 而另外一些像统计用户活动记录或消费信息资源等方 面的信息 其更新频率应该是比较快的 这些我们可以看作动态信息 通过企业信息网格中这些动态的用户信息的汇总和评估 各管理域中的用户 若在访问过程中存在不良表现 将会严重影响其他管理域或全局信任管理服务对 其信任度的评价 这将成为本管理域能否与其他域顺利交互或协作的关键 2 2 用户角色 在当代商业环境中 基于角色的用户管理策略很有意义 基于角色的策略既 具有基于身份的策略的特征 又具有基于规则的策略的特征 引入角色基本思想 是将访问权限分配给角色 合法用户就承担起了一定的角色 与用户相比而言 角色的稳定性是比较高的 27 28 一个角色实际上是与特定域上特定的权限集相对 应的 当用户改变时只需进行角色的撤销和重新分配即可 用户在访问不同的资 源时其角色也是随之变化的 这些资源包括用户所属管理域内与域外的资源 而 且相同的角色可能在不同的管理域中对应着不同的访问权限 一个用户可以具有多重角色 一个角色也可以被赋予多个用户 某个社区可 以给特定的角色授予一定的权限去访问其中某一条信息资源 从而就建立起了由 用户空间到角色空间 再到资源空间的映射关系 如图 2 2 所示 u1 u1 用户空间 VO 资源 rs3 rs4 角色空间 rk r1 图 2 2 用户角色和资源的映射 用户的角色会随着 空间 和 时间 的而发生变化 就 空间 方面来说 由于不同 VO 采取的安全机制有所差别 异构域中的角色空间和权限空间很可能 是完全不同的 所以对于域间用户角色映射应该区别对待 从 时间 方面来说 一个用户角色会随着时间的推移以及其自身信任度的积累 角色也会发生相应的 转变 可见 用户角色具有动态性的特点 14 西北师范大学硕士学位论文 第 2 章 用户管理模型与权限映射策略研究 2 3 基于信任度的权限映射策略 由于不同管理域间的角色以及权限的定义标准存在着差异 因而对于跨域用 户的角色和权限分配与域内用户是不能一概而论的 显然 对映射策略不同的管 理域来说 跨域用户的角色和权限的转换与分配 是要经过管理域间的协商合作 来完成的 但有一个重要的前提是双方要有着一定程度的信任关系 在此 我们 提出了基于信任度的域间用户角色映射策略 2 3 1 域间信任度模型 信任是分布式环境中实体间交互的前提和核心 这种相互信任的关系形成了 信任网络 关于网格环境中信任的界定 目前尚未有统一的概念 在企业信息网 格环境中 我们认为网格实体间的信任 是通过参照交互双方中一个实体对另外 一方在过去就相关规则遵守程度的主观评测 信任度则是对这种主观评测结果的 度量 根据 Diego Gambetta 企业信息网格中实体间的信任具有以下特点 29 1 信任的程度是可以刻画的 我们用 0 1 之间的一个实数来表示信任的 程度 简称信任度 这个值越接近于 0 则说明信任度越低 越不可靠 若这 个值越接近于 1 则说明信任度越高 当这个值等于 1 的时候 表示完全信任 2 信任是单向的 A 可能信任 B 而 B 未必会信任 A 3 信任是上下文相关的 即信任是建立在先验条件基础之上的 实体可以 根据直接的自身经验或可信第三方提供的间接的信誉信息来评估信任程度 4 信任是动态的 信任既会随着双方长时间未 联系 而变得生疏 也会 因对方的恶意行为而对加强戒备 5 信任是可传递的 即若权威机构 A 信任实体 B 实体 C 信任权威机构 A 那么 C 就信任 B 企业信息网格系统内的两个实体间的信任关系主要建立在两个方面 即以域 为单位的域内直接信任关系和间接的域间信任关系 间接信任关系需要得到第三 方的推荐 第三方既可以由被考察实体所在的域承担 也可以由信息网格中的信 息发现机制完成 在间接信任关系中 第三方推荐的关于被考察实体的间接信任 度是与该实体声誉或名誉密切关联的 故也可称作信誉度 本文对信任模型以域为单位进行了划分 旨在构建一个多层次的信任模型 从纵向来看 整个信任度评测体系结构呈一个树形结构 在此称作信任树 Trust 15 西北师范大学硕士学位论文 第 2 章 用户管理模型与权限映射策略研究 Tree 如图 2 3 所示 作为权威的信息服务中心 可信第三方 处于树的根结点 上 从上往下 接着就是一些管理域 最底层的叶子结点描述的是网格用户和资 源提供者 为了研究方便 我们将网格实体可分为这样 3 种 即管理域 资源提 供者和用户 信息服务中心 管理域 管理域 图 2 3 信任树结构图 通过上面对企业信息网格中信任关系的分析 我们给出下面几个形式化定义 并建立相应的数学模型 定义 1 设和为两个自治管理域 则表示对 的直接信任度 其中 a VO b VO ab DTV VO VO b VO a VO 0 1 ab DTV VO VO 其初始值为 0 定义 2 设和为两个自治管理域 且 a VO b VOab 则通过可信第三方 获取的关于的间接信任度为 b VO a VO 0 1 ab ITV VO VO 初始值为 0 1 定义 3 设两个实体 且 ij e eij 那么 j e可以通过所属域的本地信任管 理 LTM 获得的间接信任度 i e i e 0 1 ij ITV e e 初始值 0 1 定义 4 交互双方 域与域 资源提供者与用户 最终将可信第三方 GTM 和 LTM 提供的对方间接信任规格化为自己所满意的值 即综合信任度 TV 定义 5 设 S 12n 为企业信息网格某管理域中的一个实体 j e 如 资源提供者 为了评价另外一个实体 域内或域外 信用情况而使用的主要指 标参数 那么域 i e j e针对某一项指标 k 给的信任评分为 i e i e 0 1 1 2 j ek f k n 综上所述 我们可以得出上述几种信任度的计算方式 自治管理域间直接信任度的计算 Beth 等人在文献 30 中提出的开放网络中节点间直接信任度的计算计算公 式为 1 n ij T 其中表示节点对节点i的信任度 n为节点i在节点上的 累计积分 ij Tjj 为 0范围内的一个常量 在企业信息网格环境中 我们对 Beth 等提出的计算公式中引入时间和信任度评审参数 进行自治管理域间直接信任度 的计算 1 设自治管理域和在时间段 a VO b VO 01 m t t 内先后协作总次数为 m 并由 a VO 16 西北师范大学硕士学位论文 第 2 章 用户管理模型与权限映射策略研究 导致的失败次数为 则对的直接信任度为 1 2 k km b VO a VO 0 0 0 0 1 m m m k ab tt m tt DTV VO VO tt 其中 为范围内的常量 0 1 为范围内很小的值 相交互的两个域事 后会给对方的可信度 服务质量等方面进行评分 使得对方在本域中的直接信任 度得到一次积累 相交互的两个域事后分别把关于对方的评审推给全局信任管理 GTM 实现双方间接信任度的更新 0 1 自治管理域间间接信任度的计算 设自治管理域为在时间段内先后交户过的自治 域 且VO 则VO 通过可信第三方 GTM 获取的关于 的间接信任度 1im VO VO VO a VO 0 m t t 1 aim VO VO VO m a VO am ITV VO VO为 12 0 1 12 2 111 0 1 1 aaai am m nnn mkVO VOkkVO VOkikVO VOik kkk n mkVO VOmkm k tt fff m ftt 其中 为范围内很小的值 0 1 0 1 ik 表示评价指标 ik 所对应的加权因子 且满足 1 ik 当与 a VO 1m VO 在时间段内完成第 m 1 次交互 而且的有效值递变 为 则全局信任管理 GTM 向其他自治域提供 的关于间接信任度 01 m t t 0 t 01 1 2 jj ttttjm 1 b VO a VO ab ITV VO VO更新为 1 10 1 1 110 1 1