网格Portal安全技术研究

摘要

网格Portal能够为用户提供友好的Web界面和一致的操作方法来访问网格资源与服务，但需要健全的安全管理机制作为保障。传统安全机制一般针对孤立系统，用严格的用户策略保护资源，这种安全机制不能在网格环境中得到很好的应用。而随着网格用户数目的日益增长，服务与资源呈现动态变化，对网格资源与服务的安全访问控制机制提出新的挑战。如何实现门户资源与网格资源的统一，如何安全地管理网格Portal资源与证书，如何对网格的底层资源做细粒度授权，如何向用户提供单一登录等功能，还没有很好的方法来实现。主要原因是目前网格授权粒度较粗，无法保证对门户资源的安全访问。
　　针对上述问题，本文首先研究了网格Portal的基本特征、体系结构和开发工具（GridSphere、JetSpeed等），并深入分析了实现网格Portal安全的三大技术:代理技术、认证技术和基于角色的访问控制技术。最后针对网格Portal的应用特点和问题，提出网格Portal安全策略。用安全的MyProxy保证入口和密钥的安全，用多约束动态访问控制模型有效控制访问权限。此模型用户访问资源时按其行为和上下文环境等约束条件来调整安全属性，合理管理门户资源，方便有效管理证书，对网格底层资源进行更细粒度的授权，实现门户的单一登录功能。较好地解决了网格环境中因主体属性变化引起的访问控制失效问题，弥补了因静态授权而可能引起的安全漏洞，更好地体现了“最小特权”原则。
　　最后对校园网格Portal安全策略进行测试，实际运行证明了本文研究工作具有一定的理论意义与实践价值。

目录

声明

摘要

1 绪论

1．1 研究背景

1．2 研究现状

1．3 本文主要工作

1．4 结构和组织

2 网格Portal技术

2．1 网格Portal概述

2．1．1 什么是网格Portal

2．1．2 Portlet

2．1．3 Java Servlet和Portlet

2．2 网格Portal的体系结构

2．3 网格Portal开发工具及安全性

2．3．1 GridSphere

2．3．2 JetSpeed

2．3．3 GridPort

2．3．4 Liferay

2．3．5 WebSphere Portal

2．4 本章小结

3 网格Portal主要安全技术分析

3．1 代理技术

3．1．1 X．509证书

3．1．2 MyProxy

3．2 认证技术

3．2．1 PKI的基本要素

3．2．2 SSL

3．2．3 CAS

3．3 RBAC技术

3．3．1 传统访问控制技术

3．3．2 RBAC

3．4 本章小结

4 网格Portal安全策略

4．1 基于代理的网格Portal认证策略

4．1．1 动态口令保护Portal

4．1．2 动态口令安全性分析

4．1．2 基于硬件的私钥安全存储

4．1．3 MyProxy系统实现框架

4．2 多约束动态访问控制策略

4．2．1 模型组成

4．2．2 域内模型的定义

4．2．3 域间的动态角色映射

4．2．4 基于上下文的动态安全引擎

4．2．5 MRAC实施流程

4．2．6 测试结果分析

4．2．7 MRAC可行性分析

4．3 本章小结

5 总结与展望

致谢

参考文献