基于几何方法和最小权限的联邦式跨域认证和授权在网格中应用研究

摘要

网格技术虽然有着非常广阔的前景和发展空间,但是对它的许多研究还处在起步阶段,还有许多关键技术问题需要解决。经过二十多年的研究和发展,网格计算技术取得了一系列重大的突破,但是由于网格的特性涉及到将众多异构的资源整合的问题,而目前的现实是现有的机构和组织,通常已经有一套在用的安全机制,并且为此投入了大量人力物力。如何才能够在尽可能保持现在系统不变的情况下,将不同安全机制下的资源整合起来,实现跨域的认证和授权,目前依然是一项具有挑战性的工作。针对异构环境间的结点不能互访的问题,设计出一种使用几何方法和满足最小权限原则的联邦式跨域认证和授权管理机制,令到异构域之间可以通过遵循一定的标准规范而加入联邦组织,从而实现资源共享和分布式交互。使用几何的方法实现联邦体内用户的统一身份认证,使用RBAC的思想对联邦体用户权限实现细粒度访问控制。各联邦体自主管理联邦组织内用户在本域的权限,联邦组织用户在本域登录之后,其登录信息可以被联邦组织内其它域识别并信任。基于最小权限的原则,设计出一套资源访问中间件,用户通过该中间件进行作业远程执行时,委托给作业执行服务的权限,只能是本次作业所需要使用的权限,从而最大程序上避免了权限的汇漏。

目录

文摘

英文文摘

声明

第一章 绪论

1.1研究背景

1.2研究现状和文献综述

1.2.1 身份认证

1.2.2 授权访问控制

1.2.3 跨域单点登录

1.3 本文研究内容，成果和主要创新点

1.4 论文的组织结构

第二章 相关技术原理介绍

2.1 联邦式跨域认证和授权

2.2 几何认证

2.3 最小权限原则

2.4 Web Service技术

2.5 基于角色的访问控制(Role Based Access Control RBAC)

2.6 小结

第三章 模型整体设计

3.1 联邦式认证和授权总体思想

3.2 模型核心构件

3.2.1 联邦认证服务(Federal Authentication Service FAS)

3.2.2 外部协调服务(Extemal Coordinator Service ECS)

3.2.3 联邦授权机构(Federal Authorization Authority FAA)

3.3 联邦组织的建立和域间信任

3.3.1 联邦组织的建立

3.3.2 域间信任

3.4 基于几何方法的联邦式认证和授权整体框架

3.5 小结

第四章 详细设计及实现

4.1 环境假设

4.2 本域内登录

4.3 域间登录

4.4 域间资源访问

4.5 作业的提交与最小权限原则的实现

4.5.1 可执行作业

4.5.2 作业描述文件

4.5.3 FAA-RBAC策略库

4.5.4 作业远程执行流程

4.6 小结

第五章 部署及现有安全机制的扩展

5.1 部署核心构件

5.2 部署作业执行服务构件

5.3 扩展现有安全机制

5.4 小结

第六章 功能测试

6.1 系统测试环境

6.1.1 硬件环境

6.1.2 软件环境

6.2 测试用例

6.3 域初始化和域间注册

6.4 本域内登录

6.5 域间登录

6.6 域间服务调用

6.7 域间作业执行

6.8 小结

第七章 性能测试及效率分析

7.1 性能测试

7.2 身份验证时间性能分析

7.3 小结

结论

参考文献

攻读硕士学位期间取得的研究成果

致 谢