微软研究人员Blair Dillaway在近日的GridWorld会议中表示,当前微软正在研发一种名为 SecPAL (Security Policy Assertion Language)的新语言,利用分布式认证的技术,让网格运算环境变得更安全。
Dillaway表示,由于大型且分布之计算机运算环境的发展,激发对信任关系与进入权限之授权的需求。而微软当前在研发中的SecPAL便是回应大型网格运算环境的需求而产生。微软根据安全研究的结果以及过去建置end-to-end原型系统的经验,发展这个语言。
当前这个研发的原型可仿真数个网格环境,同时也使用包含Microsoft Windows Compute Cluster Server 2003,.Net Framework,Windows Communication Foundation (原本别名为Indigo),动态目录服务(Active Directory directory service)与Kerberos- 与X.509的认证管理结构等多种微软既有产品。除此之外,该原型也结合多种业界标准如:XML与网络服务入口。
由于大规模网格环境的复杂也造成很难去描述系统內多种不同的访问控制关系,因此微软以发展一种全新语言的方式来表达这些安全策略。微软在该技术白皮书中表示,SecPAL除了是微软接近网格访问控制最核心的技术外,他也是可用于陈述信任关系、认证政策、授权政策、身份标识等的机制。而SecPAL的出现也可减少在多种不同安全技术中的语意翻译或整合的需求。
以在典型网格环境中的访问控制为例,网格用户需取得授权才可进入,但如果用户需要执行使用一些未获得授权的资源,系统将不允许用户使用。针对于此,Dillaway表示SecPAL可暂时开放用户授权使用。
Dillaway指出,虽然当前市面上已经有多种在网格环境中使用的访问控制及安全产品,但没有一种可以像SecPAL有效,而且这些产品也未被广泛使用。当前可在网格运算环境中使用的工具还包含可详定数位版权管理授权的XrML (Extensible Rights Markup Language)语言、描述访问控制政策的XACML (Extensible Access Control Markup Language)、可制订用户身份及其它数据的SAML (Security Assertion Markup Language)等。