[发明专利]一种网格计算环境下的访问控制决策器

摘要

网格计算环境下的访问控制决策器是一种解决网格计算环境下如何实现用户对资源或服务的访问控制的方案。主要针对网格计算环境的动态性、异构性特点提出一个网格访问控制模型，并利用此模型实现一个访问控制决策器，解决网格计算环境下访问控制的决策问题，该方案为一个动态的附加四元素网格访问控制模型，即在实现访问控制决策时除了用户、客体、角色、权限四个基本元素外增加了授权、义务、条件和规定四个元素，建立了基于此模型的网格访问控制决策机制，该方案扩展了基于角色的访问控制功能，增加了访问控制决策的动态特性，实现了网格计算下动态访问控制的决策，为网格安全中访问控制机制的策略研究提供了一种崭新的模式。

主权项

1、一种网格计算环境下的访问控制决策器的实现方案，其特征在于该方案为一个动态的附加四元素网格访问控制模型，即在实现访问控制决策时除了用户、客体、角色、权限四个基本元素外增加了授权、义务、条件和规定四个元素，建立了基于此模型的网格访问控制决策机制，其访问控制决策器的具体实现方案如下：第一步：用户通过登录网格门户进行身份认证，如果认证通过则获取了虚拟组织的认可成为合法用户并可向其提交任务；否则，如果认证不通过，则不能实现对此虚拟组织内任何客体访问的权限，该用户被确定为非法用户，其此次访问操作将被终止；第二步：用户在向虚拟组织成功提交任务请求后，要求对该虚拟组织内一客体进行一种指定的访问权限，该虚拟组织的访问控制决策器中的访问控制执行设备将接受其访问请求并由其中的用户化模块首先实现用户实现访问控制的角色载体，生成具体访问客体权限的角色实体并将用户的请求提交给访问控制决策设备等待其进行决策，角色处于就绪态；第三步：访问控制决策器中的访问控制决策设备根据访问控制执行设备传来的信息，启动其条件检测模块和授权决策模块进行决策，如果条件检测模块检测通过，即用户要获取访问权限客观环境或设备必须满足的先决条件已具备，则授权决策模块决定授权角色相应的权限，并同时启动规定检测模块准备检测，并将授权结果通知访问控制执行设备；否则，若条件检测未通过，角色将置于等待状态，直至用户具备获取访问权限的先决条件满足重新回到就绪态；第四步：访问控制执行设备根据访问控制决策设备的授权决策结果执行授予角色访问客体权限的请求，若此时规定检测模块检测赋予角色权限的规定不能立即满足，则角色将仍处于就绪状态，等待规定检测通过并由访问控制执行设备中的监控模块将其激活；若规定检测通过，则角色将置于执行态，真正被赋予对客体使用含规定的权限，访问控制执行设备启动访问控制管理设备中的客体管理模块、权限管理模块，记载客体将被如何使用的详细记录，如使用时间段、使用要求，同时访问控制执行设备中的更新模块将更新有关用户、角色和客体使用权限的信息和访问日志；第五步：角色在获得了对客体的访问权限后，执行用户指定的对客体的访问操作，并将结果返回用户，同时在权限执行过程中访问控制决策设备中的义务执行模块将被启动，它将监测用户对既定义务的完成情况，若在角色执行权限的限定时间内用户没有实时履行既定义务，则访问控制决策设备中的授权决策模块将撤消角色的权限使用，使其处于就绪状态，重新回到第三步等待条件检测参与下一轮的授权使用决策；第六步：角色完成其对客体的访问权限后，将访问结果返回给用户，访问控制执行设备将其吊销，角色被消亡，更新模块将重新实时更新所有关于用户、客体、权限的有关信息，等待该用户或其他合法用户的下一次访问请求。