網(wǎng)格安全系統(tǒng)的研究及基于RBAC的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、網(wǎng)格計(jì)算作為一種新模式的分布式計(jì)算基礎(chǔ)架構(gòu)，因其資源和服務(wù)的異構(gòu)、動(dòng)態(tài)、多域的特征，決定了安全機(jī)制的重要性。授權(quán)和訪問控制是安全的一個(gè)非常重要的部分，但是在目前，還沒有一個(gè)很好的方法解決這個(gè)問題。 GT2通過訪問控制列表文件來映射全局用戶證書標(biāo)識(shí)到本地帳號(hào)的方式進(jìn)行授權(quán)，GT3工具包也采用了同樣的方法。這樣的方法不能很好地滿足大型域的實(shí)際需求。例如：作業(yè)管理的授權(quán)是靜態(tài)的，程序的執(zhí)行主要依靠本地帳號(hào)賦予的權(quán)利，而不能隨著用戶的特

2、定請(qǐng)求而改變權(quán)限。除此之外，每一個(gè)網(wǎng)格用戶都必須擁有一個(gè)本地帳戶，這無疑加重了系統(tǒng)管理員和用戶的負(fù)擔(dān)。 針對(duì)這些不足，同時(shí)結(jié)合具體環(huán)境的需求，在分析RBAC96模型的基礎(chǔ)上，利用GLOBUS工具包提供的統(tǒng)一的安全集成環(huán)境GSI，提出了網(wǎng)格中基于角色的訪問控制結(jié)構(gòu)模型R-GSS。在R-GSS模型中，引入域、用戶組和資源組等重要概念。利用域管理，簡(jiǎn)化了RBAC模型的實(shí)現(xiàn)難度。 整個(gè)系統(tǒng)包括三個(gè)部分：訪問控制決策子系統(tǒng)、LDA

3、P目錄服務(wù)器和訪問控制實(shí)施子系統(tǒng)。訪問控制決策子系統(tǒng)接受它所管轄的虛擬域內(nèi)用戶的請(qǐng)求，利用GSS(GenericSecurityService)標(biāo)準(zhǔn)令牌交換協(xié)議相互驗(yàn)證身份后，通過查詢數(shù)據(jù)庫得到用戶相關(guān)的授權(quán)策略，并把授權(quán)策略寫入到代理證書中，返回給請(qǐng)求用戶；LDAP目錄服務(wù)器儲(chǔ)存了CA證書、資源策略和位置信息等；訪問控制實(shí)施子系統(tǒng)通過對(duì)應(yīng)用程序授權(quán)部分進(jìn)行擴(kuò)展，使其支持嵌入在代理證書中的授權(quán)策略，并結(jié)合本地的安全策略做出最終決策。