论文部分内容阅读
随着网格技术的迅猛发展,网格安全成为影响网格技术发展和应用的关键问题。特别当网格门户引入后,如何提供网格门户层资源的安全管理、如何通过门户管理用户证书,如何对网格底层资源进行授权等问题,成为当前网格安全领域中的研究热点。
本文的研究工作以网格门户安全需求为背景,在“校园计算网格平台UCGrid3.0”的基础上展开。该平台在安全需求中忽视了下列问题:网格门户层资源和证书的安全、有效管理,网格底层资源的细粒度授权,为用户提供单点登录功能等。并且目前业界对门户层上资源的安全访问控制还没有一套很好的解决方案,在网格授权方面也存在粒度较粗的问题。
针对上述问题,本文研究了经典的认证与授权系统,包括:Kerberos认证系统以及CAS、VOMS、Akenti和Permis四种授权系统,并分析了上述系统的认证授权原理,指出了Kerberos认证系统对单点登录的支持较差以及四种授权系统在授权时存在粒度不够等缺陷。在此基础上,深入研究了Globus Toolkit4中的安全组件一网格安全基础设施(GSI)以及其中的认证与授权方式,探讨了如何通过安全描述符将自定义的认证授权接口引入到GSI中;同时对本文设计认证授权组件采用的关键技术进行了研究和应用探索,其中包括基于角色访问控制框架(RBAC),以及安全断言标记语言(SAML标准)和可扩展访问控制标记语言(XACML标准)。RBAC框架在用户与权限之间引入了“角色”的概念,通过将具体的用户映射到抽象的角色上,再将角色与权限相关联达到了基于角色的访问控制。在网格中不同的虚拟组织(VO)可能拥有自己的一套认证授权策略,在跨VO访问时给认证授权带来了很大的挑战。由于SAML和XACML都是基于XML的标准,因此在认证授权的时候可以以一种统一的方式进行,屏蔽了不同的认证授权策略之间的相互转换,从而给执行认证授权操作带来了便利。其中,SAML通过将认证方式、认证时间、IP地址以及认证凭证等内容通过SAML断言的方式进行传输,以达到用户凭此断言可以访问不同的VO,而无需重新验证用户的身份,可支持实现单点登录。XACML则将验证通过的用户所具有的权限以XML的方式保存在策略文件中,用户每次访问的请求都会与该策略文件做比较,并返回授权是否成功的响应。由于权限保存在策略文件中,因此可以很灵活的设置每个用户的权限,达到动态授权的效果。
在上述研究基础上,本文结合GSI与SAML,提出了基于GSI的SAML认证方法,利用该方法在跨域访问时,实现了“一处认证,多处访问”的功能;在GSI的基础上,结合RBAC和XACML实现了基于角色的动态授权,以及针对网格资源的更细粒度的访问控制,并最终运用在校园计算网格平台上。同时,搭建了外部CA中心,并与校园网格平台有效的结合起来,为网格用户生成证书,以及方便管理员在平台中管理证书,可有效地提高校园计算网格平台的安全程度。