網(wǎng)格環(huán)境下移動進程的安全性支持研究.pdf

1、本文研究網(wǎng)格計算安全性問題,提出G-PASS移動程序安全體系.該體系建立在GSI基礎上并向下兼容,并在"核心協(xié)議-信任模型-基礎設施"由上到下三個層次上給出解決方案:1.在PKI的基礎上將X.509協(xié)議的代理(Delegation)部分進行擴充,由原有的"面向宿主機"(Host-Oriented)式代理模型改為"面向安全實例"(Instance-Oriented)式代理模型,并針對此模型對網(wǎng)格中移動程序的安全設計方式和常用操作進行修正,

2、以對程序的移動性進行支持.2.引入以安全實例作為單位的粗粒度分布式信任模型,其中包括對跨組織的角色轉換與策略映射進行支持,以及權限代理預約(Delegation Reservation)等高級安全措施,并提出相關的算法(如基于角色的策略映射和訪問控制等).3.在Instance-Oriented代理模型的基礎上進行擴展,并模擬真實世界中的跨國旅行手續(xù),來為G-PASS體系建立基礎設施.其中包括通過模擬真實護照以對代理、授權和關鍵性信息提

3、供安全載體的G-passport文檔,以及用以處理穿越組織相關手續(xù)的虛擬海關G-custom,和用以進行代理預約與移動程序入侵監(jiān)測的用戶代理服務Exchange Service.本文認為,作為一種安全性基礎設施,應當提供的功能主要包括堅實的密碼基礎(已經(jīng)在PKI中得以實現(xiàn))、重要的基礎性協(xié)議、可靠的傳輸保障、豐富的信息收集、高效的運行以及小而靈活的結構,而并不是提供太多應用程序特定的專用功能.并且,對于大規(guī)模異構性安全系統(tǒng),著重點應該在

4、監(jiān)控目標行為和入侵檢測而不是嚴格限制目標行為.G-PASS就是在這樣的指導思想下進行設計的.G-PASS體系適合于網(wǎng)格計算環(huán)境.這是因為其設施本身的體系結構與應用程序邏輯或系統(tǒng)拓撲結構無關,內核協(xié)議緊湊而具有一般性.G-PASS基礎設施的發(fā)布無需修改應用程序邏輯和策略,并不會破壞網(wǎng)格節(jié)點內部的自治性.此外,G-PASS中的核心協(xié)議在PKI層次上與GSI完全兼容.除了通用性和兼容性之外,面對大規(guī)模的復雜的網(wǎng)格應用程序中的安全監(jiān)控問題,G-