网格计算系统的安全和域间认证机制研究

摘要

本文研究了Globus的网格安全架构GSI；提出了较为灵活全面的网格计算系统安全体系结构模型；深入理解GIobus中的证书与凭证的概念，从它们的构造、原理和应用等方面进行了细致分析，在指出Globus的凭证管理方法的不足后提出了另外两种凭证的管理方案并进行了对比；研究基于SAML的联盟域之间授权、认证信息的传输机制，并尝试使用这种技术为中国科学技术大学的瀚海网格加入一种新的访问控制模型，同时要求这种控制模型能充分和瀚海网格中管理资源提供者和资源消费者的界面——Portal集成；为了验证上面提出的域间认证方案，我们搭建了一个简单的实验床用于仿真此系统。仿真系统采用Java开发，使用了Servlet、RMI、JDBC等技术，数据库采用Mckoi。

目录

文摘

英文文摘

第一章网格和网格计算

1.1网格的概念

1.2网格计算(Grid Computing)的概念

1.3为什么需要网格计算

1.4典型网格计算环境

1.5论文组织结构

1.6本章小结

第二章网格的特殊性和安全需求

2.1网格的特殊性

2.2网格安全需求

2.3本章小结

第三章Globus项目与实验床的搭建

3.1 Globus项目

3.2 Globus五层体系结构模型

3.3 Globus Toolkit软件

3.4中科大网格研究和网格实验床

3.5本章小结

第四章网格计算系统的安全体系结构模型

4.1网格安全架构的GSI解决方案及其不足之处

4.2网格计算系统的安全体系结构模型

4.3网格计算系统安全体系结构模型的描述

4.3.1安全体系结构模型涉及的概念

4.3.2安全体系结构模型定义的协议

4.3.3证书的组成、获得和管理

4.3.4用户和资源的映射

4.4目前网格安全方案的总结

4.4.1 Grid Security lnfrastructure

4.4.2与Kerberos集成

4.4.3 SHARP：安全资源共享

4.4.4构建沙盒

4.5本章小结

第五章GSI安全策略的实现与网格应用的凭证管理

5.1 GSI安全策略的实现

5.2多认证域的设计与实现

5.3凭证

5.3.1证书和证书链

5.3.2证书授权中心

5.3.3代理

5.3.4凭证

5.4网格应用的凭证管理方法比较

5.4.1 Globus Toolkit标准方法：网格映射文件

5.4.2访问第三方控制机制

5.4.3访问本地控制机制

5.5本章小结

第六章基于SAML的策略机制的部署与访问控制的实现

6.1关于部署的设计方案

6.2瀚海网格中的访问控制工作流

6.2.1工作流

6.2.2断言

6.2.3 PEP和PDP间的协作：授权服务

6.2.4基于属性的授权访问策略

6.3本章小结

第七章域间认证仿真系统的设计与实现

7.1认证流程

7.2模块设计

7.3数据库设计

7.4程序代码

7.5本章小结

第八章结束语

参考文献

致谢

攻读硕士学位期间参加的研究项目及攻读硕士学位期间发表的论文