微软 研究人员Blair Dillaway在近日的GridWorld会议中表示,当前微软正在研发一种名为 SecPAL (Security Policy Assertion Language)的新语言,利用分布式认证的技术,让 网格 运算环境变得更安全。
Dillaway表示,由於大型且分布之计算机运算环境的发展,激发对信任关系与进入权限之授权的需求。而微软当前在研发中的SecPAL便是回应大型网格运算环境的需求而產生。微软根据安全研究的结果以及过去建置end-to-end原型系统的经验,发展这个语言。
当前这个研发的原型可仿真数个网格环境,同时也使用包含Microsoft Windows Compute Cluster Server 2003, .Net Framework, Windows Communication Foundation (原本别名为Indigo),动态目錄服务(Active Directory directory service)与Kerberos- 与X.509的认证管理结构等多种微软既有產品。除此之外,该原型也结合多种业界标準如:XML与网络服务入口。
由於大规模网格环境的复杂也造成很难去描述系统內多种不同的访问控制关系,因此微软以发展一全新语讠的方式来表达这些安全策略。微软在该技术白皮书中表示,SecPAL除了是微软接近网格访问控制最核心的技术外,他也是可用於陈述信任关系、认证政策、授权政策、身份标识等的机制。而SecPAL的出现也可減少在多种不同安全技术中之语意翻译或整合的需求。
以在典型网格环境中的访问控制为例,网格用戶需取得授权才可进入,但如果用戶需要执行使用一些为获得授权的资源,系统将不允许用戶使用。针对於此,Dillaway表示SecPAL可暂时开放用戶授权使用。
Dillaway指出,虽然当前市面上已经有多种在网格环境中使用的访问控制及安全產品,但沒有一种可以像SecPAL有效,而且这些產品也未被广泛使用。当前可在网格运算环境中使用的工具还包含可详定数位版权管理授权的XrML (Extensible Rights Markup Language)语讠、描述访问控制政策的XACML (Extensible Access Control Markup Language)、可制订用戶身份及其它数据的SAML (Security Assertion Markup Language)等。
(CSDN)
