科学数据网格是以中国科学院十五信息化建设重大项目"科学数据库及其应用系统"为背景而建设的一个数据网格.科学数据库的特点是:数据库庞大、地理上分布、数据库结构异构.科学数据库的网络环境具有开放性、不安全的特点.如何向科学数据库中的资源提供者、资源管理者、资源使用者提供安全的信息共享环境,保护信息传输的完整性和保密性等,这些都是该文讨论和解决的问题.该文首先介绍了数据网格体系,然后根据数据网格体系的特点,从资源利用的角度分析了资源提供者,资源管理者,资源消费者对安全的需求,总结了科学数据网格的安全需求:一次登陆,代理,集成局部的安全策略,统一的身份证明等等.通过对安全问题的阐述,选择了GSI(Grid Security Infrastructure)作为科学数据网格安全框架的基础架构.结合科学数据网格和GSI的特点,设计了适合科学数据网格的安全体系.整个安全体系包括三个模块:身份认证、访问控制、审计日志.身份认证模块是本文讨论的主要内容.网格用户的身份是通过证书来标识,而证书是由网格的CA来颁发.用户在认证过程中用此证书作为全局统一身份标识.当用户访问科学数据库中的资源时,首先生成临时的代理证书(Proxy Certificate),该代理证书是由用户证书相对应的私钥来签发的,这样应用程序就用代理证书来代表用户访问资源,实现了Single Sign-On功能.当远程资源站点接收到用户访问资源的请求时,验证该用户的代理证书是否有效,通过验证后,再把该用户转化成本地角色(利用本地授权策略来为其授权),进行资源访问控制.在访问控制模块中,对于全局用户访问局部数据时,不同的用户对数据访问的粒度不同,因此在GSI的基础上对局部授权机制进行扩充,采用基于角色的访问控制技术对用户的访问进行控制.审计日志模块是对资源使用情况的记录,便于资源异常使用的发现,使其达到我们实际工作中对安全的需求.在该文完成时,身份认证部分设计和实现都已完成,访问控制部分和审计日志正在设计之中.