网格计算作为一种新模式的分布式计算基础架构,因其资源和服务的异构、动态、多域的特征,决定了安全机制的重要性。授权和访问控制是安全的一个非常重要的部分,但是在目前,还没有一个很好的方法解决这个问题。GT2通过访问控制列表文件来映射全局用户证书标识到本地帐号的方式进行授权,GT3工具包也采用了同样的方法。这样的方法不能很好地满足大型域的实际需求。例如:作业管理的授权是粗粒度和静态的,程序的执行主要依靠本地帐号赋予的权利,而不能随着用户的特定请求而改变权限。除此之外,每一个网格用户都必须拥有一个本地帐户,这无疑加重了系统管理员和用户的负担。针对这些不足,同时结合具体环境的需求,在分析RBAC96模型的基础上,利用GLOBUS工具包提供的统一的安全集成环境GSI,提出了网格计算中一种面向域的通用授权和访问控制结构模型RB-GACA,以实现细粒度授权。在RB-GACA模型中,引入域、组织机构、操作组和对象组等重要概念。利用域和组织机构,简化了RBAC模型的实现难度;操作组概念的引入,使安全管理员可以从部门业务的角度上进行授权管理,提高了授权管理的可操作性,降低了操作失误的可能性。整个系统包括三个部分:角色授权管理子系统、访问控制决策子系统和授权仲裁子系统。角色授权管理子系统负责授权策略的管理,利用了SAML和X.509证书及其扩展等规范标准;访问控制决策子系统接受它所管辖的虚拟域内用户的请求,利用GSS标准令牌交换协议相互验证身份后,通过查询数据库得到用户相关的授权策略,并把授权策略写入到代理证书中,返回给请求用户;授权仲裁子系统通过对应用程序授权部分进行扩展,使其支持嵌入在代理证书中的授权策略,并结合本地的安全策略做出最终决策。