網(wǎng)格安全系統(tǒng)的研究及基于RBAC的設(shè)計與實現(xiàn).pdf

1、網(wǎng)格計算作為一種新模式的分布式計算基礎(chǔ)架構(gòu)，因其資源和服務(wù)的異構(gòu)、動態(tài)、多域的特征，決定了安全機(jī)制的重要性。授權(quán)和訪問控制是安全的一個非常重要的部分，但是在目前，還沒有一個很好的方法解決這個問題。 GT2通過訪問控制列表文件來映射全局用戶證書標(biāo)識到本地帳號的方式進(jìn)行授權(quán)，GT3工具包也采用了同樣的方法。這樣的方法不能很好地滿足大型域的實際需求。例如：作業(yè)管理的授權(quán)是靜態(tài)的，程序的執(zhí)行主要依靠本地帳號賦予的權(quán)利，而不能隨著用戶的特

2、定請求而改變權(quán)限。除此之外，每一個網(wǎng)格用戶都必須擁有一個本地帳戶，這無疑加重了系統(tǒng)管理員和用戶的負(fù)擔(dān)。 針對這些不足，同時結(jié)合具體環(huán)境的需求，在分析RBAC96模型的基礎(chǔ)上，利用GLOBUS工具包提供的統(tǒng)一的安全集成環(huán)境GSI，提出了網(wǎng)格中基于角色的訪問控制結(jié)構(gòu)模型R-GSS。在R-GSS模型中，引入域、用戶組和資源組等重要概念。利用域管理，簡化了RBAC模型的實現(xiàn)難度。 整個系統(tǒng)包括三個部分：訪問控制決策子系統(tǒng)、LDA

3、P目錄服務(wù)器和訪問控制實施子系統(tǒng)。訪問控制決策子系統(tǒng)接受它所管轄的虛擬域內(nèi)用戶的請求，利用GSS(GenericSecurityService)標(biāo)準(zhǔn)令牌交換協(xié)議相互驗證身份后，通過查詢數(shù)據(jù)庫得到用戶相關(guān)的授權(quán)策略，并把授權(quán)策略寫入到代理證書中，返回給請求用戶；LDAP目錄服務(wù)器儲存了CA證書、資源策略和位置信息等；訪問控制實施子系統(tǒng)通過對應(yīng)用程序授權(quán)部分進(jìn)行擴(kuò)展，使其支持嵌入在代理證書中的授權(quán)策略，并結(jié)合本地的安全策略做出最終決策。