网格计算是伴随着互联网而迅速发展起来的一种有典型代表性的分布式计算模式,这种计算模式最初是专门针对复杂科学计算而提出的,它的设计思想是利用互联网把分散在不同地理位置、不同自治域的闲置资源组成一个“虚拟的超级计算机”。随着网格计算理论与应用的发展,网格计算被称作是大规模虚拟组织中资源共享与协同工作的基础设施,它能够将现有的各种标准协议有机地融合起来,从而实现消除信息孤岛,达到“获取其所需,提供其所能”的普适理念。网格安全是网格计算的核心问题之一,网格安全的成功解决与否制约着网格技术的发展与推广。网格安全包括网格鉴别(Authentication)、网格授权(Authorization)、网格记帐(Accounting)及网格审计(Auditing)四个主要部分,简称为AAAA机制。其中,网格鉴别是网格安全的一个重要环节,为实现安全网格服务提供保障。传统的网格鉴别机制都或多或少地直接构建在知名的公钥基础设施(Public Key Infrastructure,PKI)和证书体系等技术的基础之上,这些技术并没有对网格的动态特性、异构特性进行过多的考虑,如典型的、比较有代表性和影响力的Globus项目。Globus项目的网格安全基础设施(Grid Security Infrastructure,GSI)在实现网格鉴别时主要利用PKI和X.509证书机制实现安全身份鉴别。然而,随着网格计算的不断发展和应用环境的变化,网格安全面临新的挑战:网格环境动态性加剧、网格实体之间信任关系的动态变化突显,传统的安全鉴别技术和手段,已不能很好地满足应用环境对安全鉴别的需求,因此迫切需要对新形势下网格安全鉴别机制进行专门系统的研究。一方面表现在对现有的安全鉴别的密码学理论进行深入研究,寻求能够改进或替代PKI的先进密码技术并将其应用于实现网格安全鉴别;另一方面,针对新形势下的安全问题提出新的解决方法和思路,即结合新形势下网格实体之间信任关系的动态变化,将信任领域的研究成果应用于实现网格行为鉴别。本文着眼于实现网格计算环境下的鉴别机制,即实现网格实体间相互鉴别的体系结构和鉴别协议。在对新形势下网格安全面临的挑战及网格鉴别必须解决的关键问题进行客观分析后,本文提出实现网格安全鉴别必须从实现身份鉴别与行为鉴别两方面进行,主要工作包含如下两个方面:1)实现网格身份鉴别的研究,本文着重对实现身份鉴别的密码学原理进行了研究与分析,文中的第二章主要是针对基于PKI的网格身份鉴别机制进行研究,指出了基于PKI的GSI网格鉴别的成功与不足之处,同时针对其存在问题,利用移动代理技术,创新地提出了基于移动代理的两步(Two-Step Mobile Agent Based,TSMAB)新型网格鉴别模式及鉴别过程。文中的第三章是针对基于身份的密码学(Identity Based Cryptography,IBC)的网格身份鉴别机制研究,根据前人在IBC领域的研究成果,选取了安全高效的基于身份的加密(Identity Based Encryption,IBE)算法并给出了相应的基于身份的签名(Identity Based Signature,IBS)算法,最后创新性地提出了基于IBC的网格身份鉴别模型及鉴别协议。文中第四章是针对基于组合公钥(Combined Public Key,CPK)的网格身份鉴别机制进行研究,利用椭圆曲线密码术(Elliptic Curve Cryptography,ECC)加密算法,设计了基于ECC CPK的密钥生成算法,并将所得的CPK理论应用于实现网格身份鉴别,提出了基于CPK的网格身份鉴别机制。2)实现网格行为鉴别的研究,文中的第五章从信任协商领域着手,针对GSI网格鉴别过程中存在忽视网格实体间信任积累的主要问题,将自动信任协商(Autonomous Trust Negotiation,ATN)思想应用于网格鉴别,提出了基于信任协商的A-ACDS网格鉴别模式。文中的第六章从实现基于信任模型的网格行为鉴别出发,首先对网格计算环境下的信任内涵进行了重新理解与认识,将网格计算环境下的信任拓展为网格实体的信任和第三方的信任;并在此基础上提出了信任增强的网格行为鉴别机制(Trust Enhanced Grid Behavior Authentication Mechanism,TEGBAM),同时对基于TEGBAM的网格行为鉴别机制进行了拓展,考虑将身份鉴别与行为鉴别进行有机的融合;最后,为了提高网格鉴别的可信性,实现可信网格,构建基于可信计算的网格信任平台,在对网格信任平台体系结构的组成要素进行深入分析与说明之后,提出了基于可信计算的网格信任平台架构,并利用移动代理技术实现了一个应用示范原型系统,基于信任的网格服务过程的实例说明了将可信计算、信任机制、移动代理的研究成果应用于构建网格平台,对提高网格安全具有一定的有效性、先进性与创新性。