[发明专利]一种基于社区授权服务的动态访问控制方法

摘要

基于社区授权服务的动态访问控制方法借鉴基于角色的访问控制RBAC模型的思想，针对网格计算环境的动态性特征，提出了一个基于社区授权服务CAS的动态访问控制方案。该方法基于社区授权服务，主要针对网格环境的动态性特征，通过加入资源控制模块，实现对资源分层、监控、动态访问控制，对社区授权服务器和数据库作修改，使之能够实现根据用户所在上下文环境动态改变用户角色，并通过与资源控制模块交互，实现网格环境下对资源的动态、透明访问和无缝集成；该方法能够很好地解决网格环境的动态性特征带来的访问控制问题以及对资源的透明访问。

主权项

1、一种基于社区授权服务的动态访问控制方法，其特征在于该方法基于社区授权服务，主要针对网格环境的动态性特征，通过加入资源控制模块，实现对资源分层、监控、动态访问控制，对社区授权服务器和数据库作修改，使之能够实现根据用户所在上下文环境动态改变用户角色，并通过与资源控制模块交互，实现网格环境下对资源的动态、透明访问和无缝集成；具体实现方案如下：第一步：用户向虚拟组织注册自己的信息，社区授权服务根据用户注册的信息赋予用户一定的角色，这些角色都有相应的上下文环境限制，只有用户处在对应的上下文环境下时，赋予的角色才被激活，第二步：资源提供者向虚拟组织注册自己拥有的可以被其它用户使用的资源，用户可以限定资源的访问时段、可访问的资源量、负载限制、访问类型限制，资源控制模块根据注册的资源信息将资源汇聚到相应的虚拟资源类中，并根据资源的访问限制和当前状态决定是否将该资源添加到有效资源中，随后开始监控该资源的状态，并将资源从有效资源中去掉或重新添加到有效资源中去，第三步：用户登录到虚拟组织中，在某一时刻使用用户凭证向虚拟组织提交任务请求，社区授权服务根据用户凭证和任务请求，查询社区授权策略数据库，如果用户活动角色具有执行该任务的权限；则社区授权服务器访问资源控制模块确定虚拟组织当前的有效资源是否满足该请求，若有效资源满足，则社区授权服务器返回用户一个用户凭证，第四步：用户将任务请求和用户凭证发送给资源控制模块，资源控制模块根据虚拟组织的策略从有效资源中选取满足用户请求的一部分资源，将其映射到物理资源，然后将映射的各个物理资源及用户凭证发送给社区授权服务器，社区授权服务器为每个物理资源形成一个资源凭证发给资源控制模块，资源控制模块将每个物理资源分配的任务请求和对应的资源凭证发送给各个物理资源，第五步：各个物理资源服务器首先根据本地授权策略决定是否允许这样的请求，再根据社区授权服务委托的资源凭证是否也允许这样的请求，如果两次检查都通过，则允许用户访问资源，第六步：如果某个资源在任务未执行完之前中途退出虚拟组织或者由于负载过重或超过有效时间范围，则未执行完的任务被退回，资源服务器将分配的任务请求返回给资源控制模块，由资源控制模块从有效资源中重新选择合适的资源，并映射到物理资源，将物理资源和用户凭证发给社区授权服务器，形成资源凭证，再将分配的任务请求+资源凭证发给该物理资源重新执行，第七步：每个资源成功执行完任务之后，将执行结果返回给资源控制模块，当所有执行结果都返回后，资源控制模块再将他们汇总后返回给用户。