專利名稱：一種實現跨管理域文件共享的方法
技術領域：
本發(fā)明涉及信息共享和協(xié)作技術領域，特別涉及一種實現跨管理域文件共享的方法，是一種通過在文件中植入文件所有者公鑰，實現跨管理域文件共享的方法。
Internet的目標是實現全球信息共享和協(xié)作?，F有系統(tǒng)如單向的Web或小范圍共享的NFS無法滿足這種需求，究其原因，還是因為現有的訪問控制系統(tǒng)大都依賴于認證，用戶要想訪問資源，必須首先被本地系統(tǒng)識別。Unix系統(tǒng)中一般采用整數來標識用戶和用戶所在組，即UID和GID，這種標識分配給固定的用戶，只在本地管理域有效。
讓我們考慮下面情況，一個本地用戶A希望和沒有本地帳號的用戶B共享文件。容易想到的辦法是請求本地管理員為B新開設一個本地帳號。另一種可能是假設B在其它域有帳號，通過合并兩個域的認證數據庫實現資源共享。這在大型的網格環(huán)境下存在以下問題1)用戶訪問每臺單獨的主機都需要在該主機上建立用戶帳戶?？刂朴脩粼L問和管理用戶帳戶會給系統(tǒng)帶來額外的開銷，同時也增加了實現網格資源管理的復雜性。
2)一個管理域可以隨時添加新的用戶、刪除現有用戶、改變用戶訪問權能。在網格環(huán)境中，對應的是訪問權限的授予、撤銷和改變，這些信息必須被廣播到分布在多個管理域的相關資源。
3)資源共享策略可能會隨時間而變化，讓用戶通過一個固定的帳戶直接訪問資源很難實施這些策略。
4)數據和應用對用戶來說一般都是通過本地文件系統(tǒng)訪問，本地文件系統(tǒng)一般都局限在一個管理域，很難實現跨管理域的訪問。
用全局唯一的用戶公鑰替代只在本地管理域有效的用戶UID，使本地操作系統(tǒng)和網格用戶管理分離。
通過在文件中植入文件所有者公鑰，實現文件和文件所有者公鑰的緊密綁定，緊密綁定對基于本地文件系統(tǒng)的原有應用沒有影響，可以實現傳統(tǒng)Unix系統(tǒng)的文件系統(tǒng)語義。
通過輸出特定的目錄用于網格共享，使本地操作系統(tǒng)和網格文件訪問控制分離。
通過把所有網格用戶請求的UID映射到一個固定的本地UID，使網格文件系統(tǒng)和本地操作系統(tǒng)兼容。
文件的組織不再基于傳統(tǒng)的管理域形式，而是基于所有者文件訪問的授權不是基于某種集中管理方式，而是以文件所有者為中心的端到端限制性授權，這種授權是可以傳遞的。
通過在文件中植入文件所有者公鑰，可以實現以所有者為中心的文件組織方式，用戶訪問遠程文件不需要關心要訪問的文件在哪個管理域，只需要得到文件所有者的授權。資源共享的關系不是管理員和用戶間的不對稱關系，而是從一個用戶到另一個用戶的對等關系。本發(fā)明的主要技術路線如下1)通過在文件中植入文件所有者公鑰并輸出特定的用于網格共享的目錄，使文件系統(tǒng)和本地操作系統(tǒng)的管理分離。即本地操作系統(tǒng)不參與網格目錄的訪問控制，網格目錄的訪問控制由文件所有者通過端到端的限制性授權和植入文件中的公鑰來控制。
2)通過把所有網格用戶請求的UID映射到一個固定的本地UID，使網格文件系統(tǒng)和本地操作系統(tǒng)兼容，即所有網格用戶在網格目錄下創(chuàng)建的文件的具有相同的UID，網格UID。區(qū)別在于文件中植入的所有者公鑰。
3)通過對文件訪問請求進行簽名和驗證來保證請求的真實性和數據的完整性。
4)文件和文件所有者公鑰的緊密綁定對基于本地文件系統(tǒng)的原有應用沒有影響，可以實現傳統(tǒng)Unix系統(tǒng)的文件系統(tǒng)語義。


圖1是具有跨管理域文件共享能力的網格文件系統(tǒng)的訪問流程圖。
本發(fā)明的具體實現方法如下圖1中，一個具有跨管理域文件共享能力的網格文件系統(tǒng)。按照不同功能劃分為以下幾個部分客戶端代理，網格文件服務器，簽名和驗證模塊，服務器端有跨管理域文件共享能力的網格文件系統(tǒng)控制模塊，所有者授權模塊。系統(tǒng)的核心在于在文件中植入文件所有者公鑰。
過程如下①用戶A提交其證書和對應私鑰到客戶端代理；
②客戶端代理通過可信CA驗證用戶的證書和私鑰，如果合法的，就把用戶的信息存儲在CRUL中；③當用戶發(fā)出訪問遠程文件服務器的請求時，客戶端代理根據請求組成用戶的網絡名，根據網絡名從CRUL中得到用戶的證書，然后發(fā)送這個證書到服務器的用戶注冊處理進程；④服務器通過可信CA驗證用戶證書，如果合法，就把用戶信息寫入SRUL，并給客戶端代理返回確認消息，客戶端代理收到確認消息后，用戶就可以訪問文件服務器的目錄；⑤一個已完成注冊的用戶B訪問遠程文件，訪問請求中附加了用戶的數字簽名；⑥服務器首先驗證用戶請求的數字簽名，如果有效，轉發(fā)給訪問控制模塊，最后發(fā)送給擴展的本地文件系統(tǒng)；⑦用戶之間通過授權證書來得到文件所有者的文件訪問許可。
注CRUL表示客戶端已注冊用戶表，SRUL表示服務器端已注冊用戶表。
1)客戶端代理解決了用戶的單一登錄問題，用戶首先要把自己的身份(證書和私鑰)提交給客戶端代理。用戶訪問網格文件時客戶端代理把用戶的身份證書和授權證書動態(tài)地提交給網格文件服務器。為了避免重復性的操作，在客戶端和文件服務器端都維護了一個數據結構已注冊用戶表。其作用就是保存已注冊用戶的身份信息(密鑰以及授權等)。已注冊用戶表通過由用戶的UID和IP組成的網絡名索引。
2)如上所述，用戶首先把自己的證書提交給客戶端代理，客戶端代理通過可信的CA驗證用戶的身份，如果合法，就根據用戶的網絡名把用戶身份保存在客戶端已注冊用戶表中。當用戶訪問網格文件服務器時，客戶端代理從客戶端已注冊用戶表中根據用戶的網絡名檢索到用戶的證書并發(fā)送給網格文件服務器。網格文件服務器對客戶端代理發(fā)送來的用戶證書通過可信CA驗證，如果合法就根據用戶的網絡名把用戶的公鑰和相關信息寫入服務器端已注冊用戶表中，并返回確認消息。得到網格文件服務器的確認消息之后，用戶就可以訪問網格文件服務器的文件了。網格服務器還接收用戶的授權證書，寫入已注冊用戶表。
3)用戶的訪問請求包含了用戶私鑰對請求內容的簽名，服務器接收到包含簽名的用戶請求時，首先從已注冊用戶表中根據用戶的網絡名得到用戶公鑰，然后通過對用戶的簽名進行驗證，如果簽名合法說明請求確實來自該公鑰所標識的用戶，服務器就把用戶的請求轉發(fā)給訪問控制模塊。
4)服務器端訪問控制模塊通過文件中植入的公鑰和授權縮減完成文件的訪問控制，首先比較請求用戶的公鑰(從服務器端已注冊用戶表中得到)和文件中植入的所有者公鑰，如果相同，說明請求用戶就是文件的所有者；如果不同，則從已注冊用戶表中查找用戶的授權證書，并通過證書鏈縮減來確定用戶的訪問權限。
5)所有者授權模塊使每個用戶都可以成為自己文件的CA，系統(tǒng)中存在兩種證書，一種是由可信的CA簽發(fā)的，全局唯一的，標識用戶身份的證書。另一種是用戶自己創(chuàng)建并簽名的授權證書。所有者授權模塊就是完成文件所有者對文件訪問的授權。
授權還可以進一步劃分為直接授權和間接授權，直接授權是文件所有者通過授權證書把文件訪問權限的一個子集直接授予用戶，而間接授權是指得到授權的用戶還可以進一步把得到權限的子集授予其它用戶，從而形成一個權限的傳輸鏈。
本發(fā)明的效果體現在1、現有的計算機系統(tǒng)資源組織大部分都是基于管理域，用本地的UID和GID來標識用戶，實現跨管理域的文件共享十分困難，因此不適合于網格環(huán)境。本發(fā)明提供的方法通過在文件中植入文件所有者公鑰，提供了跨管理域文件共享和實現各種訪問控制策略的基礎。適用范圍廣，具有很高的現實意義。
2、在文件中植入的文件所有者公鑰，可以和原有的基于管理域形式的UID共存，即使操作系統(tǒng)升級也不需要對網格文件系統(tǒng)有大的改動，因此具有良好的兼容性。
3、基于這種辦法實現的端到端授權系統(tǒng)使每個用戶都成為自己文件的CA，而且文件訪問的授權是可以傳遞的，文件服務器和文件訪問授權分離，使系統(tǒng)具有更高的靈活性。
4、文件中植入文件所有者公鑰后，客戶端訪問保持透明，還可以通過標準的系統(tǒng)調用訪問文件，只是用戶不需要在目標服務器上有一個UID，用戶需要有一個全局的身份證書和文件訪問的授權。
5、這種方法提供了網格資源管理的基礎，文件和文件所有者公鑰的緊密綁定，使文件具有了全局的意義。未來我們還可以進一步把綁定的范圍擴展到服務器、存儲和cpu。
6、已有CA的全局用戶空間應用到文件系統(tǒng)，使操作系統(tǒng)和網格用戶管理分離。通過公鑰和授權證書使系統(tǒng)具有很好的可審計性，審計的結果具有不可抵賴性。
7、新的文件資源可以很容易的合并到網格文件系統(tǒng)中，只需要在文件中植入文件所有者公鑰，就可以實現網格環(huán)境下安全的共享。
8、應用程序不需要做任何修改，就可以和網格文件系統(tǒng)實現無縫的連接。
9、通過端到端的限制性訪問授權，可以實現細粒度的訪問控制，并且可以根據客戶需要動態(tài)配置，使系統(tǒng)具有高的安全性。
10、用戶的文件可以分布在系統(tǒng)中的任何文件服務器上，文件服務器可以自由的加入網格系統(tǒng)。應用程序訪問文件不需要中央服務器的認證，使系統(tǒng)具有很好的可擴展性。
11、系統(tǒng)VFS(虛擬文件系統(tǒng))接口兼容，不改變現有系統(tǒng)標準的庫函數和協(xié)議，具有很好的可移植性。
12、通過對網格用戶的訪問請求進行數字簽名和驗證，保證了請求的可靠性和完整性。
權利要求
1.一種實現跨管理域文件共享的方法該方法用全局唯一的用戶公鑰替代只在本地管理域有效的用戶UID，并通過在文件中植入文件所有者公鑰，實現文件和文件所有者公鑰的緊密綁定；緊密綁定使文件不再依附于特定的管理域，具有了全局的意義；通過輸出特定的目錄用于網格共享，使本地操作系統(tǒng)和網格目錄的文件訪問控制分離；網格目錄的訪問完全由文件所有者通過端到端的限制性授權和植入文件中的公鑰來控制，由此實現了網格文件系統(tǒng)和管理域的分離；通過把所有網格用戶請求的UID映射到一個固定的本地UID，使網格文件系統(tǒng)和本地操作系統(tǒng)兼容，基于以上技術實現了具有跨管理域文件訪問能力的網格文件系統(tǒng)，該文件系統(tǒng)不修改標準的文件訪問系統(tǒng)調用，VFS接口兼容，對應用程序完全透明。
2.如權利要求1所述的實現跨管理域文件共享的方法，其特征在于用全局唯一的用戶公鑰替代只在本地管理域有效的用戶UID，使本地操作系統(tǒng)和網格用戶管理分離。
3.如權利要求1所述的實現跨管理域文件共享的方法，其特征在于通過在文件中植入文件所有者公鑰，實現文件和文件所有者公鑰的緊密綁定；緊密綁定對基于本地文件系統(tǒng)的原有應用沒有影響，可以實現傳統(tǒng)Unix系統(tǒng)的文件系統(tǒng)語義。
4.如權利要求1所述的實現跨管理域文件共享的方法，其特征在于通過輸出特定的目錄用于網格共享，使本地操作系統(tǒng)和網格文件訪問控制分離。
5.如權利要求1所述的實現跨管理域文件共享的方法，其特征在于通過把所有網格用戶請求的UID映射到一個固定的本地UID，使網格文件系統(tǒng)和本地操作系統(tǒng)兼容。
6.如權利要求1所述的實現跨管理域文件共享的方法，其特征在于文件的組織不再基于傳統(tǒng)的管理域形式，而是基于所有者。
7.如權利要求1所述的實現跨管理域文件共享的方法，其特征在于文件訪問的授權不是基于某種集中管理方式，而是以文件所有者為中心的端到端限制性授權，這種授權是可以傳遞的。
8.一種跨管理域文件共享能力的網格文件的方法，其步驟如下①用戶A提交其證書和對應私鑰到客戶端代理；②客戶端代理通過可信CA驗證用戶的證書和私鑰，如果合法的，就把用戶的信息存儲在CRUL中；③當用戶發(fā)出訪問遠程文件服務器的請求時，客戶端代理根據請求組成用戶的網絡名，根據網絡名從CRUL中得到用戶的證書，然后發(fā)送這個證書到服務器的用戶注冊處理進程；④服務器通過可信CA驗證用戶證書，如果合法，就把用戶信息寫入SRUL，并給客戶端代理返回確認消息，客戶端代理收到確認消息后，用戶就可以訪問文件服務器的目錄；⑤一個已完成注冊的用戶B訪問遠程文件，訪問請求中附加了用戶的數字簽名；⑥服務器首先驗證用戶請求的數字簽名，如果有效，轉發(fā)給訪問控制模塊，最后發(fā)送給擴展的本地文件系統(tǒng)；⑦用戶之間通過授權證書來得到文件所有者的文件訪問許可。
全文摘要
一種實現跨管理域文件共享的方法，用全局唯一的用戶公鑰替代只在本地管理域有效的用戶UID，使本地操作系統(tǒng)和網格用戶管理分離；通過文件和文件所有者公鑰的緊密綁定，使文件不依附于特定的管理域，具有全局的意義；通過以文件所有者為中心的端到端限制性授權，實現文件跨管理域的安全共享。這種方法不修改系統(tǒng)調用，不修改本地文件系統(tǒng)，VFS接口兼容。
文檔編號G06F17/30GK1461125SQ0314115
公開日2003年12月10日 申請日期2003年6月11日 優(yōu)先權日2003年6月11日
發(fā)明者李偉, 徐志偉, 梁建民 申請人:中國科學院計算技術研究所