网格环境下单点登录和基于角色的可信访问控制的研究

摘要

网格安全是网格的一个重要组成部分，直接影响着网格的发展和网格系统软件的实际应用情况。网格安全研究目前主要集中在网格环境中的安全认证、访问控制、数据完整性、通信机密性、用户行为的不可否认性、以及单一登录等方面。
　　 网格安全要解决的一个关键问题是在单点登录实现的情况下如何实现对资源共享的安全控制。在网格系统中，由于用户和资源实体属于不同的虚拟组织，数量庞大且动态变化，不同的虚拟组织之间可能采用不同的认证机制，造成认证机制的不兼容，降低了系统的效率。安全控制机制包括了身份认证和访问控制。本文针对单点登录和访问控制展开研究。
　　 本文首先介绍了网格的体系结构、网格面临的安全需求和信任，并提出了网格下的基于代理证书的单点登录模型，该模型主要分为域内和域外认证，并针对该模型的代理证书过期问题提出了改进方案，实现代理证书自动更新的功能。同时针对基于角色的访问控制的不足，引入了信任机制，把信任作为角色分配的一个主要依据，提出了基于角色的可信网格访问控制模型RTGM。在该模型中根据信任域计算信任，并以此对角色进行分类和分组。信任概念的引入使角色分配更安全化，同时简化了授权和策略管理。
　　 本文对基于代理证书的单点登录系统进行了详细的描述，给出了模型结构图，并分析了各模块的具体功能及其流程；同时，给出了计算信任度的方法，并对RTGM网格安全模型进行了形式化描述，给出了模型中认证和授权的详细工作流程，对模型进行了详细的模块划分，分析了各模块的功能和模块之间的关系，最后在现有网格安全工具集的基础上对该模型进行了部分实现。
　　 通过分析表明，网格安全模型满足了网格安全访问控制中分布式管理的要求，在确保网格实体进行安全认证的基础上简化了实体间的认证机制，实现了跨信任域的授权，同时解决了由于资源动态性和策略自主性而造成的管理困难问题，适应了网格环境下任务规模大，资源动态变化的特点，并具有良好的可扩展性。