網格安全體系結構研究及跨域PMI應用方案.pdf

1、隨著互聯(lián)網絡的迅速普及和計算機軟件與硬件的功能越來越強大，人們對計算應用需求朝著高性能、多樣性、多功能發(fā)展，網格計算的概念隨之應運而生。網格計算建立在同時使用大量的資源、動態(tài)的資源請求、對多個管理域中資源的使用、復雜的通信結構，以及嚴格的性能要求之上，傳統(tǒng)的分布式系統(tǒng)安全技術已不能滿足網格安全的需要。 在這種背景下，本文旨在深入研究網格計算的安全體系結構，對已有的安全組件進行比較，重點探討網格中的訪問控制技術。分析了Globus

2、項目中的網格安全基礎設施GSI的設計方案；結合基于角色的訪問控制，我們開發(fā)了授權管理基礎設施PMI和以過濾器方式實現(xiàn)的中間件；同時提出了一種網格環(huán)境下的基于角色的訪問控制模型以及應用安全斷言標記語言SAML實現(xiàn)跨域的單點登錄。 本文共分六個部分。第一部分是對網格計算的綜述，介紹了網格計算的概念和特點。第二部分介紹了兩種網絡體系結構，包括五層沙漏結構和OGSA體系結構，并對兩種結構的特點進行了簡要的分析。第三部分研究了網格計算體系

3、結構的安全機制，提出了網格安全面臨的主要問題，明確闡明網格安全的要求，分析了GlobusToolkit3.0的安全組件。第四部分首先介紹了Globus項目中的網格安全基礎設施GSI，對目前的分布式安全技術進行一個簡要的描述和比較，然后提出了一個基于GSI的網格安全解決方案，詳細說明了安全策略設計細節(jié)、安全策略的實現(xiàn)以及GlobusAPI工具包的使用。第五部分先介紹了基于角色的訪問控制模型RBAC，然后提出PMI設計方案，系統(tǒng)說明了屬性證

4、書的使用機制、策略管理系統(tǒng)各模塊的功能實現(xiàn)以及PMI中間件開發(fā)流程和應用原理。在這一部分中，著重分析了中間件以過濾器方式實現(xiàn)的步驟和安全Cookies的設計原理。第六部分是本文的重點，首先給出一種網格環(huán)境下基于角色的訪問控制模型，并分析了它的通用性。SAML作為基于XML安全信息交換的框架，逐漸得到廣泛應用。本章對SAML的設計目標、工作原理以及規(guī)范組成都進行了詳細的說明，舉例說明SAML檢索的過程，在此基礎上設計了應用SAML的跨域單