论文部分内容阅读
网格技术是近年来从广域网络计算,特别是广域网的高性能计算发展而来的一种技术。网格被认为是信息技术发展的下一波大浪潮,它使用户能够协同地使用地理上分布的各种资源,达到资源的全面共享,因而也被称作下一代互联网。网格有如下性质:资源的地理分布极广,资源之间、资源和用户以及用户之间往往通过广域网(如Internet)连接;资源的类型和数量巨大,而且要求一定程度的协同工作;资源是动态变化的,包括资源属性的变化以及在网格内的复制和迁移等;资源工作在异构平台上,并且由不同的管理策略控制。
网格环境的这些特殊性质引发了很多安全问题,这些安全问题正受到越来越多的关注。网格计算系统要求不影响本地节点的管理和自主性,不改变原有的操作系统、网络协议和服务方式,保证用户主机和远程节点的安全性,允许远程节点选择加入或退出系统,尽量使用已存在的标准技术,以便与已有的应用兼容,并提供可靠的容错机制。这就涉及到了网格环境中的域间安全认证和授权问题,现已成为了当前网格安全研究的一个热点。随着技术的发展,资源共享变得越来越重要。因此我们不得不根据逻辑或地域关系将整个网格环境划分成多个域。在完成一个应用时,不同的域间需要进行合作,因而,需要一种能为不同系统间的协作提供相对安全服务的标准或方法。
本文的研究工作集中在以下几点:
(1)介绍Globus项目,并深入剖析网格安全架构GSI(GridSecurityInfrastructure)的安全策略方案,在借鉴其长处的基础上,提出了我们网格实验床的证书格式和设计方案。
(2)深入剖析基于角色的访问控制策略RBAC(Role-basedAccessControl)和基于属性的访问控制策略ABAC(Attribute-basedAccessControl)两种策略的优缺点,提出了适合于瀚海网格的域间访问控制方案。
(3)研究基于SAML的联盟域之间授权、认证信息的传输机制,并尝试使用这种技术为中国科学技术大学的瀚海网格加入一种新的访问控制模型,同时要求这种控制模型能充分和瀚海网格中管理资源提供者和资源消费者的界面——Portal集成。
(4)为了验证上面提出的域间认证方案,我们搭建了一个简单的实验床用于仿真此系统。该仿真系统采用Java开发,使用了Servlet、RMI、JDBC等技术,数据库采用Mckoi。
本文的创新点在于提出一种域间认证的方案,并仿真验证了该方案的可行性。本文通过引进安全断言标记语言SAML技术,采用基于属性的访问控制策略和安全断言映射方法,为校园网格引入一种新的访问控制模型,和网格中资源提供者与消费者之间的界面——Portal充分集成,提高了访问的灵活性和可靠性。在引入新模型的同时本文还详细讨论了访问控制的流程及相关的授权、认证服务。