微軟研發SecPAL新語言 網格運算更安全(轉)

微軟研發SecPAL新語言 網格運算更安全(轉)[@more@]　　微軟研究人員Blair Dillaway在近日的GridWorld會議中表示，當前微軟正在研發一種名為 SecPAL （Security Policy Assertion Language）的新語言，利用分散式認證的技術，讓網格運算環境變得更安全。

　　Dillaway表示，由於大型且分佈之計算機運算環境的發展，激發對信任關係與進入許可權之授權的需求。而微軟當前在研發中的SecPAL便是回應大型網格運算環境的需求而產生。微軟根據安全研究的結果以及過去建置end-to-end原型系統的經驗，發展這個語言。

　　當前這個研發的原型可模擬數個網格環境，同時也使用包含Microsoft Windows Compute Cluster Server 2003，.Net Framework，Windows Communication Foundation (原本別名為Indigo)，動態目錄服務（Active Directory directory service）與Kerberos- 與X.509的認證管理結構等多種微軟既有產品。除此之外，該原型也結合多種業界標準如：XML與網路服務入口。

　　由於大規模網格環境的複雜也造成很難去描述系統內多種不同的訪問控制關係，因此微軟以發展一種全新語言的方式來表達這些安全策略。微軟在該技術白皮書中表示，SecPAL除了是微軟接近網格訪問控制最核心的技術外，他也是可用於陳述信任關係、認證政策、授權政策、身份標識等的機制。而SecPAL的出現也可減少在多種不同安全技術中的語意翻譯或整合的需求。

　　以在典型網格環境中的訪問控制為例，網格使用者需取得授權才可進入，但如果使用者需要執行使用一些未獲得授權的資源，系統將不允許使用者使用。針對於此，Dillaway表示SecPAL可暫時開放使用者授權使用。

　　Dillaway指出，雖然當前市面上已經有多種在網格環境中使用的訪問控制及安全產品，但沒有一種可以像SecPAL有效，而且這些產品也未被廣泛使用。當前可在網格運算環境中使用的工具還包含可詳定數位版權管理授權的XrML (Extensible Rights Markup Language)語言、描述訪問控制政策的XACML (Extensible Access Control Markup Language)、可制訂使用者身份及其它資料的SAML (Security Assertion Markup Language)等。