一种实现跨管理域文件共享的方法:该方法用全局唯一的用户公钥替代只在本地管理域有效的用户UID,并通过在文件中植入文件所有者公钥,实现文件和文件所有者公钥的紧密绑定;紧密绑定使文件不再依附于特定的管理域,具有了全局的意义;通过输出特定的目录用于网格共享,使本地操作系统和网格目录的文件访问控制分离;网格目录的访问完全由文件所有者通过端到端的限制性授权和植入文件中的公钥来控制,由此实现了网格文件系统和管理域的分离;通过把所有网格用户请求的UID映射到一个固定的本地UID,使网格文件系统和本地操作系统兼容,基于以上技术实现了具有跨管理域文件访问能力的网格文件系统,该文件系统不修改标准的文件访问系统调用,VFS接口兼容,对应用程序完全透明。(*该技术在2023年保护过期,可自由使用*)
【技术实现步骤摘要】
本专利技术涉及信息共享和协作
,特别涉及,是一种通过在文件中植入文件所有者公钥,实现跨管理域文件共享的方法。Internet的目标是实现全球信息共享和协作。现有系统如单向的Web或小范围共享的NFS无法满足这种需求,究其原因,还是因为现有的访问控制系统大都依赖于认证,用户要想访问资源,必须首先被本地系统识别。Unix系统中一般采用整数来标识用户和用户所在组,即UID和GID,这种标识分配给固定的用户,只在本地管理域有效。让我们考虑下面情况,一个本地用户A希望和没有本地帐号的用户B共享文件。容易想到的办法是请求本地管理员为B新开设一个本地帐号。另一种可能是假设B在其它域有帐号,通过合并两个域的认证数据库实现资源共享。这在大型的网格环境下存在以下问题1)用户访问每台单独的主机都需要在该主机上建立用户帐户。控制用户访问和管理用户帐户会给系统带来额外的开销,同时也增加了实现网格资源管理的复杂性。2)一个管理域可以随时添加新的用户、删除现有用户、改变用户访问权能。在网格环境中,对应的是访问权限的授予、撤销和改变,这些信息必须被广播到分布在多个管理域的相关资源。3)资源共享策略可能会随时间而变化,让用户通过一个固定的帐户直接访问资源很难实施这些策略。4)数据和应用对用户来说一般都是通过本地文件系统访问,本地文件系统一般都局限在一个管理域,很难实现跨管理域的访问。用全局唯一的用户公钥替代只在本地管理域有效的用户UID,使本地操作系统和网格用户管理分离。通过在文件中植入文件所有者公钥,实现文件和文件所有者公钥的紧密绑定,紧密绑定对基于本地文件系统的原有应用没有影响,可以实现传统Unix系统的文件系统语义。通过输出特定的目录用于网格共享,使本地操作系统和网格文件访问控制分离。通过把所有网格用户请求的UID映射到一个固定的本地UID,使网格文件系统和本地操作系统兼容。文件的组织不再基于传统的管理域形式,而是基于所有者文件访问的授权不是基于某种集中管理方式,而是以文件所有者为中心的端到端限制性授权,这种授权是可以传递的。通过在文件中植入文件所有者公钥,可以实现以所有者为中心的文件组织方式,用户访问远程文件不需要关心要访问的文件在哪个管理域,只需要得到文件所有者的授权。资源共享的关系不是管理员和用户间的不对称关系,而是从一个用户到另一个用户的对等关系。本专利技术的主要技术路线如下1)通过在文件中植入文件所有者公钥并输出特定的用于网格共享的目录,使文件系统和本地操作系统的管理分离。即本地操作系统不参与网格目录的访问控制,网格目录的访问控制由文件所有者通过端到端的限制性授权和植入文件中的公钥来控制。2)通过把所有网格用户请求的UID映射到一个固定的本地UID,使网格文件系统和本地操作系统兼容,即所有网格用户在网格目录下创建的文件的具有相同的UID,网格UID。区别在于文件中植入的所有者公钥。3)通过对文件访问请求进行签名和验证来保证请求的真实性和数据的完整性。4)文件和文件所有者公钥的紧密绑定对基于本地文件系统的原有应用没有影响,可以实现传统Unix系统的文件系统语义。附图说明图1是具有跨管理域文件共享能力的网格文件系统的访问流程图。本专利技术的具体实现方法如下图1中,一个具有跨管理域文件共享能力的网格文件系统。按照不同功能划分为以下几个部分客户端代理,网格文件服务器,签名和验证模块,服务器端有跨管理域文件共享能力的网格文件系统控制模块,所有者授权模块。系统的核心在于在文件中植入文件所有者公钥。过程如下①用户A提交其证书和对应私钥到客户端代理; ②客户端代理通过可信CA验证用户的证书和私钥,如果合法的,就把用户的信息存储在CRUL中;③当用户发出访问远程文件服务器的请求时,客户端代理根据请求组成用户的网络名,根据网络名从CRUL中得到用户的证书,然后发送这个证书到服务器的用户注册处理进程;④服务器通过可信CA验证用户证书,如果合法,就把用户信息写入SRUL,并给客户端代理返回确认消息,客户端代理收到确认消息后,用户就可以访问文件服务器的目录;⑤一个已完成注册的用户B访问远程文件,访问请求中附加了用户的数字签名;⑥服务器首先验证用户请求的数字签名,如果有效,转发给访问控制模块,最后发送给扩展的本地文件系统;⑦用户之间通过授权证书来得到文件所有者的文件访问许可。注CRUL表示客户端已注册用户表,SRUL表示服务器端已注册用户表。1)客户端代理解决了用户的单一登录问题,用户首先要把自己的身份(证书和私钥)提交给客户端代理。用户访问网格文件时客户端代理把用户的身份证书和授权证书动态地提交给网格文件服务器。为了避免重复性的操作,在客户端和文件服务器端都维护了一个数据结构已注册用户表。其作用就是保存已注册用户的身份信息(密钥以及授权等)。已注册用户表通过由用户的UID和IP组成的网络名索引。2)如上所述,用户首先把自己的证书提交给客户端代理,客户端代理通过可信的CA验证用户的身份,如果合法,就根据用户的网络名把用户身份保存在客户端已注册用户表中。当用户访问网格文件服务器时,客户端代理从客户端已注册用户表中根据用户的网络名检索到用户的证书并发送给网格文件服务器。网格文件服务器对客户端代理发送来的用户证书通过可信CA验证,如果合法就根据用户的网络名把用户的公钥和相关信息写入服务器端已注册用户表中,并返回确认消息。得到网格文件服务器的确认消息之后,用户就可以访问网格文件服务器的文件了。网格服务器还接收用户的授权证书,写入已注册用户表。3)用户的访问请求包含了用户私钥对请求内容的签名,服务器接收到包含签名的用户请求时,首先从已注册用户表中根据用户的网络名得到用户公钥,然后通过对用户的签名进行验证,如果签名合法说明请求确实来自该公钥所标识的用户,服务器就把用户的请求转发给访问控制模块。4)服务器端访问控制模块通过文件中植入的公钥和授权缩减完成文件的访问控制,首先比较请求用户的公钥(从服务器端已注册用户表中得到)和文件中植入的所有者公钥,如果相同,说明请求用户就是文件的所有者;如果不同,则从已注册用户表中查找用户的授权证书,并通过证书链缩减来确定用户的访问权限。5)所有者授权模块使每个用户都可以成为自己文件的CA,系统中存在两种证书,一种是由可信的CA签发的,全局唯一的,标识用户身份的证书。另一种是用户自己创建并签名的授权证书。所有者授权模块就是完成文件所有者对文件访问的授权。授权还可以进一步划分为直接授权和间接授权,直接授权是文件所有者通过授权证书把文件访问权限的一个子集直接授予用户,而间接授权是指得到授权的用户还可以进一步把得到权限的子集授予其它用户,从而形成一个权限的传输链。本专利技术的效果体现在1、现有的计算机系统资源组织大部分都是基于管理域,用本地的UID和GID来标识用户,实现跨管理域的文件共享十分困难,因此不适合于网格环境。本专利技术提供的方法通过在文件中植入文件所有者公钥,提供了跨管理域文件共享和实现各种访问控制策略的基础。适用范围广,具有很高的现实意义。2、在文件中植入的文件所有者公钥,可以和原有的基于管理域形式的UID共存,即使操作系统升级也不需要对网格文件系统有大的改动,因此具有良好的兼容性。3、基于这种办法实现的端到本文档来自技高网...
【技术保护点】
【技术特征摘要】
【专利技术属性】
技术研发人员:李伟,徐志伟,梁建民,
申请(专利权)人:中国科学院计算技术研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。