3、按需网格和网络资源授权基础设施及访问控制要求解析

按需网格和网络资源授权基础设施及访问控制要求解析

授权基础设施概述

在按需网格和网络资源供应的场景中，授权基础设施起着关键作用。其中涉及到如令牌构建器（TB）和令牌验证服务（TVS）等组件，它们的功能与GAAA - CRP框架所定义的类似。应用程序的流量首先由本地域（如校园网络）的TB进行令牌化处理，之后在端到端路径上的每个域中由TBS - IP进行强制实施。

令牌用于标记数据流，并且可以独立于上层协议。它可以被视为网络服务的聚合标识符，具体有以下四种可组合的聚合标识符：
1. 服务与网络元素关联标识符 ：用于将服务与网络元素（如多播或转码）相链接。
2. 服务消费者标识符 ：定义服务的消费者（如网格应用程序）。
3. 服务对象标识符 ：定义被服务的对象（如网络流）。
4. 服务质量标识符 ：定义服务质量（如安全性、授权、确定性属性等）。

令牌所代表的语义（如特定的路由行为）可以硬编码到TBS中，也可以通过TVS进行动态编程。因此，令牌提供了一种通用的方式，将应用程序与其关联的网络服务进行匹配和链接。令牌可以嵌入到应用程序生成的流量中，或者在不支持嵌入的协议（如公共网络）中进行封装。

为了为多千兆位网络提供必要的性能，TBS - IP采用英特尔IXDP2850网络处理器实现，该处理器具有多个内置的硬件加密核心，可执行基本的加密功能，如TBN操作所需的HMAC、SHA1、数字签名和加密。TBS - IP控制平面依赖于使用ForCES协议的主从通信。

值得