網(wǎng)格安全體系結(jié)構(gòu)研究及跨域PMI應(yīng)用方案.pdf

1、隨著互聯(lián)網(wǎng)絡(luò)的迅速普及和計(jì)算機(jī)軟件與硬件的功能越來(lái)越強(qiáng)大，人們對(duì)計(jì)算應(yīng)用需求朝著高性能、多樣性、多功能發(fā)展，網(wǎng)格計(jì)算的概念隨之應(yīng)運(yùn)而生。網(wǎng)格計(jì)算建立在同時(shí)使用大量的資源、動(dòng)態(tài)的資源請(qǐng)求、對(duì)多個(gè)管理域中資源的使用、復(fù)雜的通信結(jié)構(gòu)，以及嚴(yán)格的性能要求之上，傳統(tǒng)的分布式系統(tǒng)安全技術(shù)已不能滿足網(wǎng)格安全的需要。 在這種背景下，本文旨在深入研究網(wǎng)格計(jì)算的安全體系結(jié)構(gòu)，對(duì)已有的安全組件進(jìn)行比較，重點(diǎn)探討網(wǎng)格中的訪問控制技術(shù)。分析了Globus

2、項(xiàng)目中的網(wǎng)格安全基礎(chǔ)設(shè)施GSI的設(shè)計(jì)方案；結(jié)合基于角色的訪問控制，我們開發(fā)了授權(quán)管理基礎(chǔ)設(shè)施PMI和以過(guò)濾器方式實(shí)現(xiàn)的中間件；同時(shí)提出了一種網(wǎng)格環(huán)境下的基于角色的訪問控制模型以及應(yīng)用安全斷言標(biāo)記語(yǔ)言SAML實(shí)現(xiàn)跨域的單點(diǎn)登錄。 本文共分六個(gè)部分。第一部分是對(duì)網(wǎng)格計(jì)算的綜述，介紹了網(wǎng)格計(jì)算的概念和特點(diǎn)。第二部分介紹了兩種網(wǎng)絡(luò)體系結(jié)構(gòu)，包括五層沙漏結(jié)構(gòu)和OGSA體系結(jié)構(gòu)，并對(duì)兩種結(jié)構(gòu)的特點(diǎn)進(jìn)行了簡(jiǎn)要的分析。第三部分研究了網(wǎng)格計(jì)算體系

3、結(jié)構(gòu)的安全機(jī)制，提出了網(wǎng)格安全面臨的主要問題，明確闡明網(wǎng)格安全的要求，分析了GlobusToolkit3.0的安全組件。第四部分首先介紹了Globus項(xiàng)目中的網(wǎng)格安全基礎(chǔ)設(shè)施GSI，對(duì)目前的分布式安全技術(shù)進(jìn)行一個(gè)簡(jiǎn)要的描述和比較，然后提出了一個(gè)基于GSI的網(wǎng)格安全解決方案，詳細(xì)說(shuō)明了安全策略設(shè)計(jì)細(xì)節(jié)、安全策略的實(shí)現(xiàn)以及GlobusAPI工具包的使用。第五部分先介紹了基于角色的訪問控制模型RBAC，然后提出PMI設(shè)計(jì)方案，系統(tǒng)說(shuō)明了屬性證

4、書的使用機(jī)制、策略管理系統(tǒng)各模塊的功能實(shí)現(xiàn)以及PMI中間件開發(fā)流程和應(yīng)用原理。在這一部分中，著重分析了中間件以過(guò)濾器方式實(shí)現(xiàn)的步驟和安全Cookies的設(shè)計(jì)原理。第六部分是本文的重點(diǎn)，首先給出一種網(wǎng)格環(huán)境下基于角色的訪問控制模型，并分析了它的通用性。SAML作為基于XML安全信息交換的框架，逐漸得到廣泛應(yīng)用。本章對(duì)SAML的設(shè)計(jì)目標(biāo)、工作原理以及規(guī)范組成都進(jìn)行了詳細(xì)的說(shuō)明，舉例說(shuō)明SAML檢索的過(guò)程，在此基礎(chǔ)上設(shè)計(jì)了應(yīng)用SAML的跨域單