專利名稱:基于單點(diǎn)登錄的網(wǎng)格認(rèn)證信任模型的制作方法
技術(shù)領(lǐng)域:
本發(fā)明是一種對開放網(wǎng)格環(huán)境下信任實(shí)體進(jìn)行客觀認(rèn)證的解決方案���,主要用于解
決用戶如何進(jìn)行身份認(rèn)證以及通過一次認(rèn)證即可發(fā)起網(wǎng)格應(yīng)用的問題�����,當(dāng)繼續(xù)使用網(wǎng)格資源時(shí)無需對用戶作重復(fù)認(rèn)證在通過身份認(rèn)證后就可以根據(jù)擁有的權(quán)限訪問計(jì)算網(wǎng)格中的各種合法資源��。
背景技術(shù):
網(wǎng)格計(jì)算中用戶需要與網(wǎng)格服務(wù)或其他網(wǎng)格實(shí)體進(jìn)行相互認(rèn)證��,認(rèn)證和授權(quán)是網(wǎng)格安全的核心內(nèi)容之一�����。網(wǎng)格計(jì)算現(xiàn)有的安全認(rèn)證機(jī)制完全依賴于公鑰證書體系�,認(rèn)證過程中網(wǎng)格用戶需要使用自己的私鑰進(jìn)行加密或簽名為了保證私鑰的安全性私鑰一般由用戶口令字加密保存在本地文件中在需要時(shí)由用戶解密存取網(wǎng)格應(yīng)用經(jīng)常需要與多個(gè)動(dòng)態(tài)變化的資源交互當(dāng)網(wǎng)格應(yīng)用需要與多個(gè)網(wǎng)格資源交互時(shí)或需要以用戶身份遠(yuǎn)端執(zhí)行某項(xiàng)操作時(shí),為了避免用戶多次輸入口令存取私鑰文件的繁瑣并減少存取私鑰的次數(shù)提高私鑰的安全性即實(shí)現(xiàn)單點(diǎn)登陸SSO(Single Sign On)�����,因此我們提出應(yīng)用SAML的網(wǎng)格單點(diǎn)登陸系統(tǒng)����。 SAML(安全斷言標(biāo)志語言)主要是為了解決Web服務(wù)安全體系中的身份認(rèn)證多次使用的問題,能為用戶提供跨越異種網(wǎng)絡(luò)和平臺的單點(diǎn)登錄的認(rèn)證和授權(quán)�����,尤其是在Web服務(wù)的系統(tǒng)和流程合作的基礎(chǔ)上的����,允許多個(gè)系統(tǒng)共同分享安全問題和身份驗(yàn)證方面的信息����,即身份認(rèn)證的信息可以在多個(gè)服務(wù)中傳遞�,從而免除了多次認(rèn)證的麻煩,進(jìn)而提高了安全化網(wǎng)絡(luò)服務(wù)的性能�。SAML允許不同的機(jī)構(gòu)安全地在他們的用戶之間交換認(rèn)證、授權(quán)信息�,而不用考慮他們所使用的安全系統(tǒng)和應(yīng)用平臺。SAML促進(jìn)了不同的�、分離的安全系統(tǒng)的協(xié)作性��,提供了跨域的安全架構(gòu)�����,為基于Web服務(wù)的單點(diǎn)登錄服務(wù)提供了一種開放式的���、協(xié)作的設(shè)計(jì)���。SAML并不定義任何新的認(rèn)證和授權(quán)機(jī)制或方法,只定義用于不同域的服務(wù)間安全信息傳輸?shù)奈臋n結(jié)構(gòu)���。 研究的內(nèi)容就是將SAML語言應(yīng)用到網(wǎng)格計(jì)算中來���,實(shí)現(xiàn)網(wǎng)格的單點(diǎn)登陸功能�����,該功能不僅包括必須的網(wǎng)格用戶與網(wǎng)格服務(wù)之間的相互認(rèn)證��,還包括了授權(quán)功能����,這個(gè)功能完全可以從SAML擴(kuò)展出來�����。因?yàn)镾AML本身就帶有這個(gè)授權(quán)功能�。 本文所要解決的問題集中在于現(xiàn)有的網(wǎng)格單點(diǎn)登陸系統(tǒng)授權(quán)功能不完善,而SAML的權(quán)限管理功能具有很好的擴(kuò)展性��,可以較好的解決網(wǎng)格單點(diǎn)登陸系統(tǒng)的授權(quán)問題����。本文將結(jié)合SAML和網(wǎng)格計(jì)算的特征,提出基于SAML的網(wǎng)格安全單點(diǎn)登陸系統(tǒng)�����。
發(fā)明內(nèi)容
技術(shù)問題本發(fā)明的目的是提出一種基于單點(diǎn)登錄的網(wǎng)格認(rèn)證信任模型,解決在網(wǎng)格計(jì)算環(huán)境下���,網(wǎng)格用戶身份認(rèn)證���、單點(diǎn)登錄以及授權(quán)問題,構(gòu)建網(wǎng)格計(jì)算環(huán)境中對用戶進(jìn)行授權(quán)的安全體系結(jié)構(gòu)����。擴(kuò)展權(quán)限管理功能,特別是在跨域過程中���,不僅實(shí)現(xiàn)網(wǎng)格用戶在訪問跨域資源時(shí)的相互認(rèn)證����,還要實(shí)現(xiàn)對跨域資源的授權(quán)��。
技術(shù)方案本發(fā)明的基于單點(diǎn)登錄的網(wǎng)格認(rèn)證信任模型是一個(gè)能廣泛適用并具有高效率的網(wǎng)格等開放網(wǎng)絡(luò)環(huán)境中的方法��。從使用基于SAML的單點(diǎn)登錄的角度來設(shè)計(jì)研究網(wǎng)格計(jì)算環(huán)境中的認(rèn)證信任模型��,來完成用戶的身份認(rèn)證和單點(diǎn)登錄問題����。
下面給出該模型中的幾個(gè)概念 信任(Trust):是對一個(gè)實(shí)體身份和行為的可信度的評估,與這個(gè)實(shí)體的可靠性��、誠信和性能有關(guān)����,信任是一個(gè)主觀概念,取決于經(jīng)驗(yàn)����,我們用信任值來表示信任等級的高低,信任值隨實(shí)體的行為而動(dòng)態(tài)變化����。 SAML(Security Assertion Markup Language)是一禾中基于XML i吾言用于傳輸認(rèn)證及授權(quán)信息的技術(shù)框架,SAML架構(gòu)由三個(gè)部分組成(l)主體(Principals)�,即用戶;(2)服務(wù)提供者(Service Providers, SP)�,即各種應(yīng)用系統(tǒng);(3)身份提供者(IdentityProviders, IDP)�����,即身份認(rèn)證服務(wù)器。其中很多應(yīng)用系統(tǒng)服務(wù)器可以同時(shí)實(shí)現(xiàn)SP和IDP功能����。SAML的核心為斷言(Assertion) , SAML斷言是SAML實(shí)體(如認(rèn)證實(shí)體)生成的數(shù)據(jù)�����,概要了對主體(如服務(wù)請求者)執(zhí)行的認(rèn)證操作�、主體屬性或授權(quán)請求(如服務(wù)請求者能否訪問資源)。 在SAML體系中�,主體是各個(gè)安全域中的擁有特定身份的個(gè)體,主題根據(jù)其發(fā)揮的作用不同�����,一般包括如下幾個(gè)部分 (1)訪問主體(Access Entity):使用這一登錄體系中應(yīng)用服務(wù)的最終用戶�����。
(2)認(rèn)證權(quán)威(Authentication Authority):對用戶身份進(jìn)行判定的主體���,由認(rèn)證權(quán)威來保證最終用戶的身份檢查。認(rèn)證權(quán)威發(fā)出認(rèn)證聲明�,指明了在什么時(shí)間,以什么方式對用戶身份進(jìn)行了鑒別�����,鑒別后的用戶的身份(用戶主體)。 (3)屬性權(quán)威(Attribute Authority):對用戶屬性進(jìn)行確認(rèn)和聲明����。用戶除身份
認(rèn)證信息外的其他各人信息由屬性權(quán)威獲得,并添加到用戶的聲明中���。 (4)策略決策點(diǎn)(Policy Decision Point��,簡稱PDP):這一主體判定用戶是否擁
有對某個(gè)資源所具有的權(quán)限(授予��、拒絕)�。在訪問控制中����,該權(quán)限包含下列權(quán)限的一種或者多種讀、寫�、執(zhí)行。 (5)策略實(shí)施點(diǎn)(Policy Enforcement Point,簡稱PEP):負(fù)責(zé)截取用戶主體對應(yīng)
用服務(wù)主體的訪問請求����,并同時(shí)處理用戶訪問中的聲明,將通過身份認(rèn)證的用戶信息發(fā)送
到策略決策點(diǎn),并接收來自策略決策點(diǎn)的授權(quán)決策信息�,進(jìn)行訪問控制的實(shí)施。 (6)應(yīng)用服務(wù)提供者(Service Provider):提供服務(wù)的主體��,是整個(gè)體系中的內(nèi)
容提供者�����,也可能是安全服務(wù)�����。 以上的這些主體負(fù)責(zé)處理或者發(fā)出SAML聲明���。而聲明的主要用途是傳遞用戶的身份認(rèn)證信息�����、用戶的屬性信息��,以及是否能夠訪問特定應(yīng)用的授權(quán)信息等���。根據(jù)這幾種聲明用途的不同,可以將聲明分為以下三類 (1)認(rèn)證斷言(Authentication Assertion):包含有關(guān)主體(如服務(wù)請求者)成
功通過認(rèn)證的業(yè)務(wù)數(shù)據(jù)����。認(rèn)證斷言一般是由IDP發(fā)出,用于證明已登錄用戶的身份�。 (2)授權(quán)決定斷言(Authorization Decision Assertion):包含有關(guān)授權(quán)決策的
業(yè)務(wù)數(shù)據(jù)。例如����,授權(quán)決策可能指出主體可以訪問其請求的資源。 (3)屬性斷言(Attribute Assertion):包含有關(guān)主體屬性的業(yè)務(wù)數(shù)據(jù)���。 本發(fā)明的基于單點(diǎn)登錄的認(rèn)證信任模型將單點(diǎn)登錄應(yīng)用在信任模型中��,利用單點(diǎn)
4登錄技術(shù)來解決用戶如何進(jìn)行身份認(rèn)證以及通過一次認(rèn)證即可發(fā)起網(wǎng)格應(yīng)用的問題�,具體如下 步驟l).客戶首先在本地生成一個(gè)待簽發(fā)的本地證書����,然后向認(rèn)證中心CA提交證書,請求授權(quán)�; 步驟2).認(rèn)證中心判斷客戶有無權(quán)限訪問網(wǎng)格資源,若有則認(rèn)證中心用其私鑰簽署從客戶端發(fā)來的本地證書���,并返回給用戶�; 步驟3).客戶收到已簽發(fā)的證書后���,向本自治域服務(wù)器進(jìn)行注冊����,并其發(fā)送自己的數(shù)字證書; 步驟4).自治域服務(wù)器驗(yàn)證數(shù)字證書��,通過后會(huì)將客戶ID和密碼保存在自治域服務(wù)數(shù)據(jù)庫中��,客戶就成為網(wǎng)格用戶����; 步驟5).網(wǎng)格用戶有任務(wù)提交時(shí),先登陸自治域服務(wù)器�;
步驟6).單點(diǎn)登陸,網(wǎng)格用戶向認(rèn)證中心申請認(rèn)證斷言�����; 步驟7).認(rèn)證中心根據(jù)用戶信息生成認(rèn)證斷言�����,并簽發(fā)該斷言����,該斷言文件包含了主體����、發(fā)行者和有效期信息����; 步驟8).網(wǎng)格用戶將認(rèn)證斷言發(fā)送到屬性中心��; 步驟9).屬性中心驗(yàn)證認(rèn)證斷言后���,這里假設(shè)屬性中心已經(jīng)有了認(rèn)證中心的數(shù)字證書�����,再根據(jù)認(rèn)證斷言的用戶信息生成安全斷言標(biāo)志語言SAML屬性斷言文件��,該斷言文件包含了屬性名字�����、屬性命名空間和屬性值信息����; 步驟10).網(wǎng)格用戶發(fā)送屬性斷言和用可擴(kuò)展標(biāo)記語言XML描述的任務(wù)到網(wǎng)格服務(wù)端�; 步驟11).網(wǎng)格服務(wù)端驗(yàn)證屬性斷言�,并保存�����,這里假設(shè)網(wǎng)格服務(wù)端已經(jīng)有了屬性中心的數(shù)字證書���; 步驟12).網(wǎng)格服務(wù)端提取屬性斷言轉(zhuǎn)化為用戶策略文件�; 步驟13).用戶選擇服務(wù)選項(xiàng)�����,包括服務(wù)權(quán)利如讀�、寫、修改操作�����,服務(wù)時(shí)間如起始時(shí)間���、終止時(shí)間�,IP地址匹配與否�����; 步驟14).生成策略文檔,進(jìn)行策略匹配����,用戶將聲明提交給自治域服務(wù)器,通過本地策略�,自治域服務(wù)器判斷是否提供服務(wù)給用戶;
步驟15).用戶將任務(wù)請求提交給自治域服務(wù)器����; 步驟16).服務(wù)器根據(jù)可信節(jié)點(diǎn)的性能�,將作業(yè)分成若干個(gè)子作業(yè)分配給各個(gè)可信節(jié)點(diǎn)完成; 步驟17).將結(jié)果返回給用戶�����,任務(wù)完成����。 有益效果本發(fā)明方法提出了一種把身份認(rèn)證和單點(diǎn)登錄結(jié)合的新方法,主要用于解決網(wǎng)格社區(qū)中對用戶身份認(rèn)證的問題�����,通過使用本發(fā)明提出的方法可以避免實(shí)體欺騙行為和實(shí)現(xiàn)動(dòng)態(tài)性���,可以有效的達(dá)到網(wǎng)格社區(qū)中對資源節(jié)點(diǎn)的訪問控制的目的���,是一種高效便捷的新方法�����。下面我們給出具體的說明�����。
(1)對SS0服務(wù)器中底層潛在的安全體系結(jié)構(gòu)��,實(shí)現(xiàn)�����、配置和維護(hù)變得更加容易���。
分布式系統(tǒng)中的所有通信實(shí)體就沒有必要單獨(dú)實(shí)現(xiàn)所有的安全功能和機(jī)制。 (2) SOAP對于SSO服務(wù)器的接口使SSO體系結(jié)構(gòu)變得非常通用����。正如我們在前面
所提到的,SSO本身也是一個(gè)Web Service。如果SSO服務(wù)器能夠顯示其接口的WSDL�, SSO
5API就可以即刻產(chǎn)生并加以利用。 (3)由于不必到處傳遞安全信用信息��,SSO服務(wù)器增強(qiáng)了整個(gè)系統(tǒng)的安全性�。SSO服務(wù)器成為唯一可以接受安全信用信息的場所。而且��,SSO的解決方案經(jīng)常將聯(lián)合性考慮在內(nèi)���,所以就可以在一個(gè)廣闊的范圍里進(jìn)行鑒別(超出特定的安全域)�����,而安全信用信息卻仍然位于特定的安全域中。 (4)在跨域的系統(tǒng)中�,用戶不得不維護(hù)多個(gè)用戶名和口令,而且口令的安全性很容易受到威脅����。當(dāng)用戶數(shù)量很多時(shí),用戶口令的維護(hù)會(huì)給IT支持部門造成很大的工作量�����。通過采用基于身份認(rèn)證的SSO,用戶支持的成本將顯著降低�����。 (5)在SSO體系結(jié)構(gòu)中�����,在單個(gè)SSO服務(wù)器上可以找到所有的安全算法���,該服務(wù)器是對所定義域進(jìn)行鑒別的唯一場所��。用戶的身份驗(yàn)證由SSO服務(wù)器來實(shí)現(xiàn)�,因而使得系統(tǒng)的其他部分無須承擔(dān)任何的安全職責(zé)�,便于實(shí)現(xiàn)集中、統(tǒng)一的身份管理��。
圖1是網(wǎng)格CA服務(wù)端運(yùn)行流程圖�����。
圖2是IDP服務(wù)器運(yùn)行流程圖�����。
圖3系統(tǒng)的UML時(shí)序圖。
圖4單點(diǎn)登錄視圖�����。
圖5系統(tǒng)的流程圖��。
具體實(shí)施例方式
本發(fā)明的基于身份認(rèn)證和單點(diǎn)登錄的認(rèn)證信任模型是將客觀信任應(yīng)用到網(wǎng)格安全平臺系統(tǒng)中����,利用信任模型解決網(wǎng)格用戶身份認(rèn)證的問題,具體如下
—��、體系結(jié)構(gòu) (1)在本設(shè)計(jì)中��,網(wǎng)格用戶首先從CA服務(wù)器獲得由CA服務(wù)器簽發(fā)后的X. 509數(shù)字證書�,這個(gè)證書就是用戶在本系統(tǒng)中能夠證明自己得身份證明,類似于在人類社會(huì)生活中的身份證��,我們的身份證就是由政府加了方位標(biāo)志的一個(gè)證件���,具有唯一性。認(rèn)證模塊采用傳統(tǒng)的PKI模型�����,具體的運(yùn)行流程如圖1所示,CA服務(wù)器在運(yùn)行以后����,會(huì)一直監(jiān)聽網(wǎng)絡(luò)上的簽發(fā)請求,當(dāng)收到客戶發(fā)來的證書后�,檢查客戶的身份標(biāo)識,當(dāng)該用戶的身份可信時(shí)���,便自動(dòng)為客戶的證書進(jìn)行簽名��,將簽名后的證書存入密鑰庫中并將其返回給用戶�。CA服務(wù)器為每一個(gè)用戶開一個(gè)線程�����,可滿足多用戶的簽發(fā)需要�����。而網(wǎng)格用戶使用該證書訪問VO服務(wù)端時(shí)��,V0服務(wù)端檢查該證書是否由CA服務(wù)器所簽發(fā)�,若簽發(fā),則認(rèn)證通過����,否則拒絕訪問��。
(2)在我們的系統(tǒng)中���,用戶首先需要將從CA服務(wù)器獲得的證書發(fā)送給IDP(Identity Provider) , IDP驗(yàn)證了證書再生成SAML斷言文件傳送給用戶���,用戶只要向網(wǎng)格系統(tǒng)提交了 SAML斷言文件����,就可以實(shí)現(xiàn)對網(wǎng)格系統(tǒng)的單點(diǎn)登錄了����。
IDP服務(wù)器(Identity Assertion Provider)在運(yùn)行以后,會(huì)一直監(jiān)聽網(wǎng)格上的斷言生成簽發(fā)請求�����,當(dāng)收到客戶發(fā)來的SAML斷言請求后����,首先驗(yàn)證客戶發(fā)來的證書�,若該證書驗(yàn)證通過則根據(jù)客戶的信息為客戶生成SAML斷言并使用IDP服務(wù)器的私鑰進(jìn)行簽發(fā)����,將簽名后的斷言存入密鑰庫中并自動(dòng)將簽名后的SAML斷言返回給用戶�。IDP服務(wù)器為每一個(gè)用戶開一個(gè)線程,可滿足實(shí)際中多用戶的簽發(fā)需要�。
6
IDP服務(wù)器的運(yùn)行流程如圖2所示
二、方法流程 本發(fā)明的基于身份認(rèn)證和單點(diǎn)登錄的認(rèn)證信任模型是將客觀信任應(yīng)用到網(wǎng)格安 全平臺系統(tǒng)中��,利用信任模型解決網(wǎng)格用戶身份認(rèn)證的問題���,系統(tǒng)的具體流程如下
(1)網(wǎng)格客戶首先在本地生成一個(gè)待簽發(fā)的本地證書�,然后向認(rèn)證中心提交證書�,
請求授權(quán); (2)認(rèn)證中心判斷客戶有無權(quán)限訪問網(wǎng)格資源��,若有權(quán)限則認(rèn)證中心用其私鑰簽 署從客戶端發(fā)來的本地證書�����,若客戶無權(quán)限認(rèn)證中心則拒絕為其私鑰簽名���,并把判斷結(jié)果 返還給用戶���; (3)客戶收到已簽發(fā)的證書后���,向本自治域服務(wù)器進(jìn)行注冊,并附加自己的數(shù)字證 書給服務(wù)器�; (4)自治服務(wù)器驗(yàn)證數(shù)字證書,通過后會(huì)將客戶ID和密碼保存在自治域服務(wù)數(shù)據(jù) 庫中��,客戶就成為網(wǎng)格用戶��; (5)網(wǎng)格用戶有任務(wù)提交時(shí)��,先登陸自治域服務(wù)器����;
(6)網(wǎng)格用戶發(fā)送簽發(fā)后的證書發(fā)給IDP ; (7)這里假設(shè)IDP已經(jīng)有了 CA的數(shù)字證書,IDP根據(jù)CA的證書驗(yàn)證用戶證書后����, 再根據(jù)用戶證書的信息生成SAML斷言文件,并用IDP的私鑰對斷言進(jìn)行簽發(fā)��,最后將簽發(fā) 后的SAML斷言文件發(fā)送給網(wǎng)格用戶��; (8)網(wǎng)格用戶調(diào)用注冊服務(wù)Regist的客戶端程序���,通過SOAP安全傳輸發(fā)送證書到 GridServer(即V0服務(wù)端); (9)GridServer收到證書后�,對證書進(jìn)行驗(yàn)證��,驗(yàn)證通過將用戶名和密碼保存到數(shù) 據(jù)庫的用戶信息表中��; (10)網(wǎng)格用戶調(diào)用登陸服務(wù)Login的客戶端程序�����,通過SOAP安全傳輸將用戶名和 密碼發(fā)送到GridServer ; (ll)GridServer驗(yàn)證用戶名和密碼�����,驗(yàn)證通過成功登陸網(wǎng)格服務(wù)����; (12)網(wǎng)格用戶調(diào)用單點(diǎn)登陸服務(wù)SAMLSSOServer的客戶端程序,通過SOAP安全傳
輸發(fā)送SAML斷言給GridServer ; (13)這里假設(shè)GridServer已經(jīng)有了 IDP的數(shù)字證書����,并對斷言進(jìn)行驗(yàn)證;
(14)網(wǎng)格用戶調(diào)用信任評估服務(wù)TrustValue的客戶端程序���,通過SOAP安全傳輸 將信任評估參數(shù)發(fā)送到GridServer ; (15) GridServer調(diào)用TrustEvaluate程序通過信任評估參數(shù)�����,查詢數(shù)據(jù)庫資源信 息表中的資源節(jié)點(diǎn)的信任度�,并執(zhí)行信任度評估程序,返回信任的資源節(jié)點(diǎn)給客戶端���;
(16)網(wǎng)格用戶調(diào)用策略請求服務(wù)PolicyRequest的客戶端程序�����,通過SOAP安全傳 輸發(fā)送策略請求的XACML文件給GridServer ; (17)GridServer根據(jù)策略請求文件與第12步所得到的資源節(jié)點(diǎn)的策略文件進(jìn)行 匹配�����,得出最后可以使用的資源節(jié)點(diǎn)����; (18)GridServer根據(jù)匹配的資源節(jié)點(diǎn)的性能對作業(yè)進(jìn)行分解��,并通過移動(dòng)agent 將分解得到的子作業(yè)分發(fā)給相應(yīng)的網(wǎng)格資源節(jié)點(diǎn)運(yùn)行����; (19)資源節(jié)點(diǎn)運(yùn)行完任務(wù),將結(jié)果通過agent返回給GridServer ;
(20)當(dāng)出現(xiàn)資源節(jié)點(diǎn)運(yùn)行任務(wù)失敗時(shí)�����,GridServer對該分配給該資源節(jié)點(diǎn)的子 作業(yè)重新進(jìn)行分解并分配給其他已經(jīng)運(yùn)行完作業(yè)的資源節(jié)點(diǎn)運(yùn)行�����;若本域中的資源節(jié)點(diǎn)的 子作業(yè)還沒有運(yùn)行完,則GridServer將該子作業(yè)提交給其他域的服務(wù)端�,請求其他域的資 源節(jié)點(diǎn)協(xié)助完成該子作業(yè)�。 (UML時(shí)序圖如3所示,流程圖如圖5所示)
其中�,第(3)步又可細(xì)分為如下幾個(gè)步驟
a)網(wǎng)格用戶向認(rèn)證中心申請認(rèn)證斷言。 b)認(rèn)證中心根據(jù)用戶信息生成認(rèn)證斷言�����,并簽發(fā)該斷言�����,該斷言文件包含了 Subject (主體)�,Issuer (發(fā)行者),有效期等信息����。
c)網(wǎng)格用戶將認(rèn)證斷言發(fā)送到屬性中心。 d)屬性中心驗(yàn)證認(rèn)證斷言后,這里假設(shè)屬性中心已經(jīng)有了認(rèn)證中心的數(shù) 字證書��,再根據(jù)認(rèn)證斷言的用戶信息生成SAML屬性斷言文件���,該斷言文件包含了 AttributeName (屬性名字)����、AttributeNamespace (屬性命名空間)禾口 AttributeValue (屬 性值)等信息����。 e)網(wǎng)格用戶調(diào)用注冊服務(wù)客戶端程序,通過soap安全傳輸發(fā)送認(rèn)證斷言到網(wǎng)格 服務(wù)端�。 f)網(wǎng)格服務(wù)端收到證書后,對證書進(jìn)行驗(yàn)證���,驗(yàn)證通過將用戶名和密碼保存到用 戶信息數(shù)據(jù)庫中�。 g)網(wǎng)格用戶調(diào)用網(wǎng)格登錄服務(wù)的客戶端程序���,通過soap安全傳輸將用戶名和密 碼發(fā)送到網(wǎng)格服務(wù)端����。 h)網(wǎng)格服務(wù)端到數(shù)據(jù)庫中驗(yàn)證用戶名和密碼����,驗(yàn)證通過成功登錄網(wǎng)格服務(wù)�。 i)網(wǎng)格用戶發(fā)送屬性斷言和用XML描述的任務(wù)到網(wǎng)格服務(wù)端��。 j)網(wǎng)格服務(wù)端驗(yàn)證屬性斷言����,并保存,這里假設(shè)網(wǎng)格服務(wù)端已經(jīng)有了屬性中心的
數(shù)字證書�。 k)網(wǎng)格服務(wù)端提取屬性斷言轉(zhuǎn)化為用戶策略文件。 1)網(wǎng)格服務(wù)端根據(jù)策略請求文件與數(shù)據(jù)庫中的策略集行匹配�����,得出最后可以使用 的資源節(jié)點(diǎn)��。 m)網(wǎng)格服務(wù)端通過移動(dòng)agent分發(fā)作業(yè)給匹配成功的網(wǎng)格資源節(jié)點(diǎn)運(yùn)行���。
n)資源節(jié)點(diǎn)運(yùn)行完結(jié)過后,將結(jié)果通過agent返回給網(wǎng)格服務(wù)端����。
o)當(dāng)某資源節(jié)點(diǎn)不可用時(shí),V01網(wǎng)格服務(wù)端生成< V01 < U < U >>代理斷言及 未完成的作業(yè)部分發(fā)送到V02網(wǎng)格服務(wù)端����。 p) V02的處理過程同VOl�����, V02運(yùn)行完作業(yè)���,再將作業(yè)發(fā)回V01服務(wù)端。
q)最后由網(wǎng)格服務(wù)端將作業(yè)總的結(jié)果發(fā)送給網(wǎng)格用戶端��。
1����、用戶向CA認(rèn)證中心注冊,成為網(wǎng)格用戶 若未注冊的客戶��,首先應(yīng)在本地生成一個(gè)待簽發(fā)的本地證書�,然后向認(rèn)證中心 CA(Certification authority)提交證書,請求授權(quán)�,認(rèn)證中心判斷客戶有無權(quán)限訪問網(wǎng)格 資源,若有則認(rèn)證中心用其私鑰簽署從客戶端發(fā)來的本地證書�,并返回給用戶,客戶收到已 簽發(fā)的證書后��,向本自治域服務(wù)器進(jìn)行注冊���,并其發(fā)送自己的數(shù)字證書�����,自治域服務(wù)器驗(yàn)證 數(shù)字證書����,通過后會(huì)將客戶ID和密碼保存在自治域服務(wù)數(shù)據(jù)庫中,客戶就成為網(wǎng)格用戶��;
2����、登錄自治域服務(wù)器,單點(diǎn)登錄��,提交任務(wù) 網(wǎng)格用戶向認(rèn)證中心申請認(rèn)證斷言���,認(rèn)證中心根據(jù)用戶信息生成認(rèn)證斷言,并簽 發(fā)該斷言����,該斷言文件包含了 Subject (主體),Issuer (發(fā)行者)�,有效期等信息���。網(wǎng)格用戶 將認(rèn)證斷言發(fā)送到屬性中心。屬性中心驗(yàn)證認(rèn)證斷言后��,這里假設(shè)屬性中心已經(jīng)有了認(rèn)證 中心的數(shù)字證書���,再根據(jù)認(rèn)證斷言的用戶信息生成SAML屬性斷言文件���,該斷言文件包含了 AttributeName (屬性名字)、AttributeNamespace (屬性命名空間)禾口 AttributeValue (屬 性值)等信息�。網(wǎng)格用戶調(diào)用注冊服務(wù)客戶端程序,通過soap安全傳輸發(fā)送認(rèn)證斷言到網(wǎng) 格服務(wù)端���。網(wǎng)格服務(wù)端收到證書后����,對證書進(jìn)行驗(yàn)證�,驗(yàn)證通過將用戶名和密碼保存到用戶 信息數(shù)據(jù)庫中。 網(wǎng)格用戶調(diào)用網(wǎng)格登錄服務(wù)的客戶端程序�,通過so即安全傳輸將用戶名和密碼 發(fā)送到網(wǎng)格服務(wù)端。網(wǎng)格服務(wù)端到數(shù)據(jù)庫中驗(yàn)證用戶名和密碼����,驗(yàn)證通過成功登錄網(wǎng)格服 務(wù)�。網(wǎng)格用戶發(fā)送屬性斷言和用XML描述的任務(wù)到網(wǎng)格服務(wù)端���。網(wǎng)格服務(wù)端驗(yàn)證屬性斷言��, 并保存��,這里假設(shè)網(wǎng)格服務(wù)端已經(jīng)有了屬性中心的數(shù)字證書����。網(wǎng)格服務(wù)端提取屬性斷言轉(zhuǎn) 化為用戶策略文件����。網(wǎng)格服務(wù)端根據(jù)策略請求文件與數(shù)據(jù)庫中的策略集行匹配,得出最后 可以使用的資源節(jié)點(diǎn)�����。網(wǎng)格服務(wù)端通過移動(dòng)agent分發(fā)作業(yè)給匹配成功的網(wǎng)格資源節(jié)點(diǎn)運(yùn) 行��。資源節(jié)點(diǎn)運(yùn)行完結(jié)過后�,將結(jié)果通過agent返回給網(wǎng)格服務(wù)端�。
3、提交任務(wù)請求和結(jié)果返回 用戶選擇服務(wù)選項(xiàng)��,包括服務(wù)權(quán)利如讀、寫�、修改操作,服務(wù)時(shí)間如起始時(shí)間�����、 終止時(shí)間�����,IP地址匹配與否����,從而生成策略文檔,進(jìn)行策略匹配�,用戶將策略聲明提交給自 治域服務(wù)器,通過本地策略��,自治域服務(wù)器判斷是否提供服務(wù)給用戶��,如果通過則響應(yīng)用戶 的請求��,用戶將任務(wù)請求提交給自治域服務(wù)器���,服務(wù)器根據(jù)可信節(jié)點(diǎn)的性能(如CPU性能)�, 將作業(yè)分成若干個(gè)子作業(yè)分配給各個(gè)可信節(jié)點(diǎn)完成,任務(wù)完成后����,所有資源節(jié)點(diǎn)將結(jié)果返 回給自治域服務(wù)器,服務(wù)器把各個(gè)子結(jié)果整合之后發(fā)送給用戶一個(gè)完整的結(jié)果��。
具體如下 步驟l).客戶首先在本地生成一個(gè)待簽發(fā)的本地證書�,然后向認(rèn)證中心 CA(Certification authority)提交證書,請求授權(quán)�; 步驟2).認(rèn)證中心判斷客戶有無權(quán)限訪問網(wǎng)格資源,若有則認(rèn)證中心用其私鑰簽 署從客戶端發(fā)來的本地證書���,并返回給用戶���; 步驟3).客戶收到已簽發(fā)的證書后,向本自治域服務(wù)器進(jìn)行注冊���,并其發(fā)送自己 的數(shù)字證書���; 步驟4).自治域服務(wù)器驗(yàn)證數(shù)字證書,通過后會(huì)將客戶ID和密碼保存在自治域服 務(wù)數(shù)據(jù)庫中��,客戶就成為網(wǎng)格用戶�; 步驟5).網(wǎng)格用戶有任務(wù)提交時(shí),先登陸自治域服務(wù)器����;
步驟6).單點(diǎn)登陸,網(wǎng)格用戶向認(rèn)證中心申請認(rèn)證斷言�; 步驟7).認(rèn)證中心根據(jù)用戶信息生成認(rèn)證斷言,并簽發(fā)該斷言�,該斷言文件包含 了 Subject (主體),Issuer (發(fā)行者)�,有效期等信息;
步驟8).網(wǎng)格用戶將認(rèn)證斷言發(fā)送到屬性中心; 步驟9).屬性中心驗(yàn)證認(rèn)證斷言后��,這里假設(shè)屬性中心已經(jīng)有了認(rèn)證中心的 數(shù)字證書�,再根據(jù)認(rèn)證斷言的用戶信息生成SAML屬性斷言文件,該斷言文件包含了AttributeName (屬性名字)�����、AttributeNamespace (屬性命名空間)禾口 AttributeValue (屬 生值)等信息���;
中心的數(shù)字證書�����;
0117] 0118]
始時(shí)間���、終 0119]
本地策略�, 0120] 0121]
《
0115] 0116]
步驟10).網(wǎng)格用戶發(fā)送屬性斷言和用XML描述的任務(wù)到網(wǎng)格服務(wù)端���;
步驟11).網(wǎng)格服務(wù)端驗(yàn)證屬性斷言�,并保存��,這里假設(shè)網(wǎng)格服務(wù)端已經(jīng)有了屬性
步驟12).網(wǎng)格服務(wù)端提取屬性斷言轉(zhuǎn)化為用戶策略文件�����;
步驟13).用戶選擇服務(wù)選項(xiàng)���,包括服務(wù)權(quán)利如讀�����、寫�����、修改操作�����,服務(wù)時(shí)間如起
止時(shí)間�,IP地址匹配與否�����; 步驟14).生成策略文檔�,進(jìn)行策略匹配,用戶將聲明提交給自治域服務(wù)器���,通過
自治域服務(wù)器判斷是否提供服務(wù)給用戶�����; 步驟15).用戶將任務(wù)請求提交給自治域服務(wù)器�����;
步驟16).服務(wù)器根據(jù)可信節(jié)點(diǎn)的性能(如CPU性能)����,將作業(yè)分成若干個(gè)子作業(yè) 分配給各個(gè)可信節(jié)點(diǎn)完成��; 0122] 步驟17).將結(jié)果返回給用戶,任務(wù)完成�����;
0123] 在這個(gè)過程中�����,用戶首先要注冊成網(wǎng)格用戶����,在有任務(wù)提交時(shí),需登錄自治域服務(wù) 器驗(yàn)證身份���,單點(diǎn)登錄環(huán)境至少包括三個(gè)角色
0124] *信任方——利用身份信息��;具代表性的信任方是Service Provider,由其決定允 許何種請求�����。
0125] 斷言方——提供安全信息�����;SAML稱之為"Identity Provider"�����。 0126] 主題——與身份信息相關(guān)的用戶�。
0127] 任何環(huán)境下都會(huì)有許多主題和數(shù)個(gè)Service Provider。也可能存在多個(gè)Identity Provider����?;旧希琒ervice Provider或信任方需要了解三件事情 0128].身份信息��。
0129] 產(chǎn)生請求的一方請求的用戶是主題�。
0130] 提供身份信息的Identity Provider是可信任的。
0131] 在SAML中�,斷言攜帶信息。斷言中包含頭信息����、主題名稱和一個(gè)或多個(gè)語句。頭 言息包含Identity Provider的名稱和像發(fā)行與有效期等其他信息����。 0132] 兩類最重要的語句為
0133] 身份驗(yàn)證語句——關(guān)于該主題是一個(gè)在特定時(shí)間和地點(diǎn)、使用特殊的方法進(jìn)行 過身份驗(yàn)證的報(bào)告�。SAML提供了超過20種不同身份驗(yàn)證方法的詳細(xì)定義�。身份驗(yàn)證語句 支持SS0����,其中Identity Provider代表Service Provider進(jìn)行登錄。
*屬性語句——包含與主題有關(guān)的屬性����。 一條屬性語句中的典型屬性是組和角色, 除此之外還會(huì)攜帶財(cái)政數(shù)據(jù)或任何其它屬性�����。
權(quán)利要求
一種基于單點(diǎn)登錄的網(wǎng)格認(rèn)證信任模型�,其特征在于該模型將單點(diǎn)登錄應(yīng)用在信任模型中,利用單點(diǎn)登錄技術(shù)來解決用戶如何進(jìn)行身份認(rèn)證以及通過一次認(rèn)證即可發(fā)起網(wǎng)格應(yīng)用的問題�����,具體如下步驟1).客戶首先在本地生成一個(gè)待簽發(fā)的本地證書���,然后向認(rèn)證中心CA提交證書��,請求授權(quán)����;步驟2).認(rèn)證中心判斷客戶有無權(quán)限訪問網(wǎng)格資源,若有則認(rèn)證中心用其私鑰簽署從客戶端發(fā)來的本地證書��,并返回給用戶����;步驟3).客戶收到已簽發(fā)的證書后,向本自治域服務(wù)器進(jìn)行注冊����,并其發(fā)送自己的數(shù)字證書;步驟4).自治域服務(wù)器驗(yàn)證數(shù)字證書�����,通過后會(huì)將客戶ID和密碼保存在自治域服務(wù)數(shù)據(jù)庫中����,客戶就成為網(wǎng)格用戶���;步驟5).網(wǎng)格用戶有任務(wù)提交時(shí)���,先登陸自治域服務(wù)器;步驟6).單點(diǎn)登陸�����,網(wǎng)格用戶向認(rèn)證中心申請認(rèn)證斷言;步驟7).認(rèn)證中心根據(jù)用戶信息生成認(rèn)證斷言�,并簽發(fā)該斷言,該斷言文件包含了主體�、發(fā)行者和有效期信息;步驟8).網(wǎng)格用戶將認(rèn)證斷言發(fā)送到屬性中心���;步驟9).屬性中心驗(yàn)證認(rèn)證斷言后��,這里假設(shè)屬性中心已經(jīng)有了認(rèn)證中心的數(shù)字證書����,再根據(jù)認(rèn)證斷言的用戶信息生成安全斷言標(biāo)志語言SAML屬性斷言文件����,該斷言文件包含了屬性名字、屬性命名空間和屬性值信息��;步驟10).網(wǎng)格用戶發(fā)送屬性斷言和用可擴(kuò)展標(biāo)記語言XML描述的任務(wù)到網(wǎng)格服務(wù)端��;步驟11).網(wǎng)格服務(wù)端驗(yàn)證屬性斷言�,并保存,這里假設(shè)網(wǎng)格服務(wù)端已經(jīng)有了屬性中心的數(shù)字證書;步驟12).網(wǎng)格服務(wù)端提取屬性斷言轉(zhuǎn)化為用戶策略文件�����;步驟13).用戶選擇服務(wù)選項(xiàng)����,包括服務(wù)權(quán)利如讀、寫�、修改操作,服務(wù)時(shí)間如起始時(shí)間����、終止時(shí)間,IP地址匹配與否��;步驟14).生成策略文檔��,進(jìn)行策略匹配�,用戶將聲明提交給自治域服務(wù)器���,通過本地策略�����,自治域服務(wù)器判斷是否提供服務(wù)給用戶���;步驟15).用戶將任務(wù)請求提交給自治域服務(wù)器��;步驟16).服務(wù)器根據(jù)可信節(jié)點(diǎn)的性能����,將作業(yè)分成若干個(gè)子作業(yè)分配給各個(gè)可信節(jié)點(diǎn)完成�;步驟17).將結(jié)果返回給用戶,任務(wù)完成����。
全文摘要
基于單點(diǎn)登錄的網(wǎng)格認(rèn)證信任模型是一種對開放網(wǎng)格環(huán)境下信任實(shí)體進(jìn)行客觀認(rèn)證的解決方案,主要用于解決用戶如何進(jìn)行身份認(rèn)證以及通過一次認(rèn)證即可發(fā)起網(wǎng)格應(yīng)用的問題�,當(dāng)繼續(xù)使用網(wǎng)格資源時(shí)無需對用戶作重復(fù)認(rèn)證在通過身份認(rèn)證后就可以根據(jù)擁有的權(quán)限訪問計(jì)算網(wǎng)格中的各種合法資源。在網(wǎng)格計(jì)算環(huán)境下�����,網(wǎng)格用戶與本虛擬組織內(nèi)的網(wǎng)格實(shí)體以及其他虛擬組織的實(shí)體間的協(xié)同合作�����、共享資源的安全性和動(dòng)態(tài)性問題����,構(gòu)建網(wǎng)格計(jì)算環(huán)境中對用戶進(jìn)行授權(quán)的安全體系結(jié)構(gòu)���。
文檔編號H04L29/06GK101707594SQ20091018492
公開日2010年5月12日 申請日期2009年10月21日 優(yōu)先權(quán)日2009年10月21日
發(fā)明者張琳, 王楊, 王汝傳, 王海艷, 王芳, 鄧勇 申請人:南京郵電大學(xué)