CN1204712C - 一种实现跨管理域文件共享的方法 - Google Patents
一种实现跨管理域文件共享的方法 Download PDFInfo
- Publication number
- CN1204712C CN1204712C CN 03141152 CN03141152A CN1204712C CN 1204712 C CN1204712 C CN 1204712C CN 03141152 CN03141152 CN 03141152 CN 03141152 A CN03141152 A CN 03141152A CN 1204712 C CN1204712 C CN 1204712C
- Authority
- CN
- China
- Prior art keywords
- file
- user
- access
- certificate
- visit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Landscapes
- Storage Device Security (AREA)
Abstract
一种实现跨管理域文件共享的方法,用全局唯一的用户公钥替代只在本地管理域有效的用户UID,使本地操作系统和网格用户管理分离;通过文件和文件所有者公钥的紧密绑定,使文件不依附于特定的管理域,具有全局的意义;通过以文件所有者为中心的端到端限制性授权,实现文件跨管理域的安全共享。这种方法不修改系统调用,不修改本地文件系统,VFS接口兼容。
Description
技术领域
本发明涉及信息共享和协作技术领域,特别涉及一种实现跨管理域文件共享的方法,是一种通过在文件中植入文件所有者公钥,实现跨管理域文件共享的方法。
背景技术
首先我们介绍说明书中用到的几个基本概念:传统密码体制中,用于加密的密钥和用于解密的密钥完全相同,在广域网通信存在密钥传送和保管的安全问题。在公钥密码体制中,加密密钥与解密密钥是不同的,加密者可以将加密密钥公开,成为公钥,将解密密钥保密,作为私钥。用公钥加密的消息必须用对应的私钥才能解密。数字证书将实体的公钥和实体本身通过CA的签名联系在一起。CA是通信各方都信任的机构,负责数字证书的发放和管理,以及实体证书有效性的验证。
Internet的目标是实现全球信息共享和协作。现有系统如单向的Web或小范围共享的NFS无法满足这种需求,究其原因,还是因为现有的访问控制系统大都依赖于认证,用户要想访问资源,必须首先被本地系统识别。Unix系统中一般采用整数来标识用户和用户所在组,即UID和GID,这种标识分配给固定的用户,只在本地管理域有效。
让我们考虑下面情况,一个本地用户A希望和没有本地帐号的用户B共享文件。容易想到的办法是请求本地管理员为B新开设一个本地帐号。另一种可能是假设B在其它域有帐号,通过合并两个域的认证数据库实现资源共享。这在大型的网格环境下存在以下问题:
1)用户访问每台单独的主机都需要在该主机上建立用户帐户。控制用户访问和管理用户帐户会给系统带来额外的开销,同时也增加了实现网格资源管理的复杂性。
2)一个管理域可以随时添加新的用户、删除现有用户、改变用户访问权能。在网格环境中,对应的是访问权限的授予、撤销和改变,这些信息必须被广播到分布在多个管理域的相关资源。
3)资源共享策略可能会随时间而变化,让用户通过一个固定的帐户直接访问资源很难实施这些策略。
4)数据和应用对用户来说一般都是通过本地文件系统访问,本地文件系统一般都局限在一个管理域,很难实现跨管理域的访问。
发明内容
鉴于现有计算机系统跨管理域资源共享的种种不足,本发明提供了一种实现跨管理域文件共享的新方法。这种方法用全局唯一的用户公钥替代只在本地管理域有效的用户UID,并通过在文件中植入文件所有者公钥,实现文件和文件所有者公钥的紧密绑定;这种紧密绑定使文件不再依附于特定的管理域,具有了全局的意义;通过输出特定的目录用于网格共享,使本地操作系统和网格目录的文件访问控制分离;网格目录的访问完全由文件所有者通过端到端的限制性授权和植入文件中的公钥来控制,由此实现了网格文件系统和管理域的分离;通过把所有网格用户请求的UID映射到一个固定的本地UID,使网格文件系统和本地操作系统兼容,基于以上技术我们实现了具有跨管理域文件访问能力的网格文件系统,该文件系统不修改标准的文件访问系统调用,VFS接口兼容,对应用程序完全透明。这种思路还可以应用到资源的其它层面如进程或者主机,但目前我们的主要实现体现在一个具有跨管理域文件共享能力的网格文件系统。
用全局唯一的用户公钥替代只在本地管理域有效的用户UID,使本地操作系统和网格用户管理分离。
通过在文件中植入文件所有者公钥,实现文件和文件所有者公钥的紧密绑定,紧密绑定对基于本地文件系统的原有应用没有影响,可以实现传统Unix系统的文件系统语义。
通过输出特定的目录用于网格共享,使本地操作系统和网格文件访问控制分离。
通过把所有网格用户请求的UID映射到一个固定的本地UID,使网格文件系统和本地操作系统兼容。
文件的组织不再基于传统的管理域形式,而是基于所有者
文件访问的授权不是基于某种集中管理方式,而是以文件所有者为中心的端到端限制性授权,这种授权是可以传递的。
通过在文件中植入文件所有者公钥,可以实现以所有者为中心的文件组织方式,用户访问远程文件不需要关心要访问的文件在哪个管理域,只需要得到文件所有者的授权。资源共享的关系不是管理员和用户间的不对称关系,而是从一个用户到另一个用户的对等关系。本发明的主要技术路线如下:
1)通过在文件中植入文件所有者公钥并输出特定的用于网格共享的目录,使文件系统和本地操作系统的管理分离。即本地操作系统不参与网格目录的访问控制,网格目录的访问控制由文件所有者通过端到端的限制性授权和植入文件中的公钥来控制。
2)通过把所有网格用户请求的UID映射到一个固定的本地UID,使网格文件系统和本地操作系统兼容,即所有网格用户在网格目录下创建的文件的具有相同的UID,网格UID。区别在于文件中植入的所有者公钥。
3)通过对文件访问请求进行签名和验证来保证请求的真实性和数据的完整性。
4)文件和文件所有者公钥的紧密绑定对基于本地文件系统的原有应用没有影响,可以实现传统Unix系统的文件系统语义。
附图说明
图1是具有跨管理域文件共享能力的网格文件系统的访问流程图。
本发明的具体实现方法如下:
图1中,一个具有跨管理域文件共享能力的网格文件系统。按照不同功能划分为以下几个部分:客户端代理,网格文件服务器,签名和验证模块,服务器端有跨管理域文件共享能力的网格文件系统控制模块,所有者授权模块。系统的核心在于在文件中植入文件所有者公钥。
过程如下:
①用户A提交其证书和对应私钥到客户端代理;
②客户端代理通过可信CA验证用户的证书和私钥,如果合法的,就把用户的信息存储在CRUL中;
③当用户发出访问远程文件服务器的请求时,客户端代理根据请求组成用户的网络名,根据网络名从CRUL中得到用户的证书,然后发送这个证书到服务器的用户注册处理进程;
④服务器通过可信CA验证用户证书,如果合法,就把用户信息写入SRUL,并给客户端代理返回确认消息,客户端代理收到确认消息后,用户就可以访问文件服务器的目录;
⑤一个已完成注册的用户B访问远程文件,访问请求中附加了用户的数字签名;
⑥服务器首先验证用户请求的数字签名,如果有效,转发给访问控制模块,最后发送给扩展的本地文件系统;
⑦用户之间通过授权证书来得到文件所有者的文件访问许可。
注:CRUL表示客户端已注册用户表,SRUL表示服务器端已注册用户表。
1)客户端代理解决了用户的单一登录问题,用户首先要把自己的身份(证书和私钥)提交给客户端代理。用户访问网格文件时客户端代理把用户的身份证书和授权证书动态地提交给网格文件服务器。为了避免重复性的操作,在客户端和文件服务器端都维护了一个数据结构:已注册用户表。其作用就是保存已注册用户的身份信息(密钥以及授权等)。已注册用户表通过由用户的UID和IP组成的网络名索引。
2)如上所述,用户首先把自己的证书提交给客户端代理,客户端代理通过可信的CA验证用户的身份,如果合法,就根据用户的网络名把用户身份保存在客户端已注册用户表中。当用户访问网格文件服务器时,客户端代理从客户端已注册用户表中根据用户的网络名检索到用户的证书并发送给网格文件服务器。网格文件服务器对客户端代理发送来的用户证书通过可信CA验证,如果合法就根据用户的网络名把用户的公钥和相关信息写入服务器端已注册用户表中,并返回确认消息。得到网格文件服务器的确认消息之后,用户就可以访问网格文件服务器的文件了。网格服务器还接收用户的授权证书,写入已注册用户表。
3)用户的访问请求包含了用户私钥对请求内容的签名,服务器接收到包含签名的用户请求时,首先从已注册用户表中根据用户的网络名得到用户公钥,然后通过对用户的签名进行验证,如果签名合法说明请求确实来自该公钥所标识的用户,服务器就把用户的请求转发给访问控制模块。
4)服务器端访问控制模块通过文件中植入的公钥和授权缩减完成文件的访问控制,首先比较请求用户的公钥(从服务器端已注册用户表中得到)和文件中植入的所有者公钥,如果相同,说明请求用户就是文件的所有者;如果不同,则从已注册用户表中查找用户的授权证书,并通过证书链缩减来确定用户的访问权限。
5)所有者授权模块使每个用户都可以成为自己文件的CA,系统中存在两种证书,一种是由可信的CA签发的,全局唯一的,标识用户身份的证书。另一种是用户自己创建并签名的授权证书。所有者授权模块就是完成文件所有者对文件访问的授权。
授权还可以进一步划分为直接授权和间接授权,直接授权是文件所有者通过授权证书把文件访问权限的一个子集直接授予用户,而间接授权是指得到授权的用户还可以进一步把得到权限的子集授予其它用户,从而形成一个权限的传输链。
本发明的效果体现在:
1、现有的计算机系统资源组织大部分都是基于管理域,用本地的UID和GID来标识用户,实现跨管理域的文件共享十分困难,因此不适合于网格环境。本发明提供的方法通过在文件中植入文件所有者公钥,提供了跨管理域文件共享和实现各种访问控制策略的基础。适用范围广,具有很高的现实意义。
2、在文件中植入的文件所有者公钥,可以和原有的基于管理域形式的UID共存,即使操作系统升级也不需要对网格文件系统有大的改动,因此具有良好的兼容性。
3、基于这种办法实现的端到端授权系统使每个用户都成为自己文件的CA,而且文件访问的授权是可以传递的,文件服务器和文件访问授权分离,使系统具有更高的灵活性。
4、文件中植入文件所有者公钥后,客户端访问保持透明,还可以通过标准的系统调用访问文件,只是用户不需要在目标服务器上有一个UID,用户需要有一个全局的身份证书和文件访问的授权。
5、这种方法提供了网格资源管理的基础,文件和文件所有者公钥的紧密绑定,使文件具有了全局的意义。未来我们还可以进一步把绑定的范围扩展到服务器、存储和cpu。
6、已有CA的全局用户空间应用到文件系统,使操作系统和网格用户管理分离。通过公钥和授权证书使系统具有很好的可审计性,审计的结果具有不可抵赖性。
7、新的文件资源可以很容易的合并到网格文件系统中,只需要在文件中植入文件所有者公钥,就可以实现网格环境下安全的共享。
8、应用程序不需要做任何修改,就可以和网格文件系统实现无缝的连接。
9、通过端到端的限制性访问授权,可以实现细粒度的访问控制,并且可以根据客户需要动态配置,使系统具有高的安全性。
10、用户的文件可以分布在系统中的任何文件服务器上,文件服务器可以自由的加入网格系统。应用程序访问文件不需要中央服务器的认证,使系统具有很好的可扩展性。
11、系统VFS(虚拟文件系统)接口兼容,不改变现有系统标准的库函数和协议,具有很好的可移植性。
12、通过对网格用户的访问请求进行数字签名和验证,保证了请求的可靠性和完整性。
Claims (2)
1.一种实现跨管理域文件共享的方法:在多个管理域中使用用户的全局身份识别名作为文件访问者和文件所有者的唯一身份标识,并在管理域的文件中植入全局唯一的文件所有者身份标识和访问控制信息,其实现步骤为,首先文件所有者从安全认证中心获得其全局身份识别名,然后登录到要访问的管理域,在创建文件时通过专用的程序将此识别名存放在文件的数据结构中,并将此文件的访问控制信息,即哪些用户可以访问此文件以及访问的方式,存放到此文件中,当文件访问者访问此文件时,首先从安全认证中心获得其全局身份识别名,然后登录到要访问的管理域,在访问文件时,操作系统将根据访问者的全局识别名和存在文件中的所有者识别名进行判断,以确定访问者是否为所有者本身,如果是,则访问者可以访问此文件;如果不是,操作系统将根据此文件中存放的访问控制信息判断访问者是否可以访问此文件,以及以何种方式访问此文件。
2.一种跨管理域文件共享能力的网格文件的方法,其步骤如下:
①用户A提交其证书和对应私钥到客户端代理;
②客户端代理通过可信CA验证用户的证书和私钥,如果合法的,就把用户的信息存储在CRUL中;
③当用户发出访问远程文件服务器的请求时,客户端代理根据请求组成用户的网络名,根据网络名从CRUL中得到用户的证书,然后发送这个证书到服务器的用户注册处理进程;
④服务器通过可信CA验证用户证书,如果合法,就把用户信息写入SRUL,并给客户端代理返回确认消息,客户端代理收到确认消息后,用户就可以访问文件服务器的目录;
⑤一个已完成注册的用户B访问远程文件,访问请求中附加了用户的数字签名;
⑥服务器首先验证用户请求的数字签名,如果有效,转发给访问控制模块,最后发送给扩展的本地文件系统;
⑦用户之间通过授权证书来得到文件所有者的文件访问许可。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 03141152 CN1204712C (zh) | 2003-06-11 | 2003-06-11 | 一种实现跨管理域文件共享的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 03141152 CN1204712C (zh) | 2003-06-11 | 2003-06-11 | 一种实现跨管理域文件共享的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1461125A CN1461125A (zh) | 2003-12-10 |
| CN1204712C true CN1204712C (zh) | 2005-06-01 |
Family
ID=29591356
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 03141152 Expired - Lifetime CN1204712C (zh) | 2003-06-11 | 2003-06-11 | 一种实现跨管理域文件共享的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1204712C (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100438436C (zh) * | 2005-12-14 | 2008-11-26 | 中国科学院计算技术研究所 | 面向网格计算机体系结构的外设部件系统及方法 |
| US7756821B2 (en) * | 2006-11-02 | 2010-07-13 | Microsoft Corporation | Virtual deletion in merged file system directories |
| CN101291346B (zh) * | 2008-06-06 | 2012-02-15 | 中国科学院计算技术研究所 | 一种网格文件处理方法及其处理设备 |
| EP2448171A4 (en) * | 2009-06-23 | 2015-09-09 | Panasonic Ip Man Co Ltd | AUTHENTICATION SYSTEM |
| US8649519B2 (en) * | 2009-09-04 | 2014-02-11 | Rgb Systems, Inc. | Method and apparatus for secure distribution of digital content |
| US8566910B2 (en) * | 2010-05-18 | 2013-10-22 | Nokia Corporation | Method and apparatus to bind a key to a namespace |
| CN104426864B (zh) * | 2013-08-28 | 2019-01-08 | 腾讯科技(深圳)有限公司 | 跨域远程命令的实现方法及系统 |
| CN110889131B (zh) * | 2018-09-11 | 2022-04-05 | 北京金山办公软件股份有限公司 | 一种文件共享系统 |
-
2003
- 2003-06-11 CN CN 03141152 patent/CN1204712C/zh not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| CN1461125A (zh) | 2003-12-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109040012B (zh) | 一种基于区块链的数据安全保护和共享方法与系统和应用 | |
| US7783767B2 (en) | System and method for distributed media streaming and sharing | |
| US6801998B1 (en) | Method and apparatus for presenting anonymous group names | |
| RU2295157C2 (ru) | Способ совместного использования объектов прав между пользователями | |
| CN1290014C (zh) | 由半可信赖服务器提供内容服务的方法和装置 | |
| JP5480135B2 (ja) | 暗号で保護した文書の作成と検証 | |
| US20040123104A1 (en) | Distributed scalable cryptographic access contol | |
| CN1547343A (zh) | 一种基于数字证书的单点登录方法 | |
| JP2004246902A (ja) | 組織などの限定された領域内におけるデジタル著作権管理(drm)システムによるデジタルコンテンツのパブリッシュ | |
| CN1905436A (zh) | 保证数据交换安全的方法 | |
| CN1881879A (zh) | 用于验证用户的公钥框架和方法 | |
| CN1787513A (zh) | 安全远程访问系统和方法 | |
| CN1960255A (zh) | 分布式多级安全访问控制方法 | |
| WO2011147361A1 (zh) | 云计算中实现资源管理的方法、设备及系统 | |
| CN1930850A (zh) | 对自服务客户向服务提供者发送的服务请求进行认证和授权的设备、计算机可读存储器和方法 | |
| CN1691587A (zh) | 授权访问网格资源所用的方法和装置 | |
| JP2023524659A (ja) | 低信頼の特権アクセス管理 | |
| RU2373572C2 (ru) | Система и способ для разрешения имен | |
| US8448228B2 (en) | Separating authorization identity from policy enforcement identity | |
| CN1204712C (zh) | 一种实现跨管理域文件共享的方法 | |
| CN111193755B (zh) | 数据访问、数据加密方法及数据加密与访问系统 | |
| CN1633085A (zh) | 一种基于无等级角色间映射的访问控制方法 | |
| CN1194498C (zh) | 基于数字标签的内容安全监控系统及方法 | |
| CN1352434A (zh) | 基于信任与授权服务的电子政务安全平台系统 | |
| Reiher et al. | Truffles—a secure service for widespread file sharing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: BEIJING STAR-NET COMMUNICATIONS INFORMATION TECHNO Free format text: FORMER OWNER: INSTITUTE OF COMPUTING TECHNOLOGY, CHINESE ACADEMY OF SCIENCES Effective date: 20121204 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100080 HAIDIAN, BEIJING TO: 100020 CHAOYANG, BEIJING |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20121204 Address after: 100020, Chaoyang District, Beijing, on the first Street No. 6, facing outside, block SOHOA, 2105 Patentee after: Beijing star Netcom Information Technology Co.,Ltd. Address before: 100080 No. 6 South Road, Zhongguancun Academy of Sciences, Beijing Patentee before: Institute of Computing Technology, Chinese Academy of Sciences |
|
| ASS | Succession or assignment of patent right |
Owner name: HANGTIAN INFORMATION CO LTD Free format text: FORMER OWNER: BEIJING STAR-NET COMMUNICATIONS INFORMATION TECHNOLOGY CO., LTD. Effective date: 20121226 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100020 CHAOYANG, BEIJING TO: 100195 HAIDIAN, BEIJING |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20121226 Address after: 100195 Haidian District apricot stone road, a No. 1, Beijing Patentee after: AISINO Corp. Address before: 100020, Chaoyang District, Beijing, on the first Street No. 6, facing outside, block SOHOA, 2105 Patentee before: Beijing star Netcom Information Technology Co.,Ltd. |
|
| CX01 | Expiry of patent term |
Granted publication date: 20050601 |
|
| CX01 | Expiry of patent term |