基于用戶委托的RBAC模型在網(wǎng)格安全中的研究與應用.pdf

1、網(wǎng)格是一種新技術(shù)，是基于Internet之上的資源的全面共享。網(wǎng)格是一個集成的計算與資源環(huán)境，或者稱作計算資源池。它能夠充分吸納各種計算機資源，并將它們轉(zhuǎn)化成一種隨處可得的、可靠的、標準的、經(jīng)濟的計算能力。被喻為是下一代的互聯(lián)網(wǎng)。 網(wǎng)格安全問題是網(wǎng)格計算環(huán)境的核心問題。網(wǎng)格是建立在異構(gòu)的Internet環(huán)境之上的，Internet是一個開放、異構(gòu)的公共網(wǎng)絡(luò)，面臨著各種各樣的安全威脅，如非法的外界入侵等。并且網(wǎng)格計算環(huán)境的特點，如

2、用戶和資源量大及其動態(tài)可變性等，都對網(wǎng)格環(huán)境的安全提出了不同的和更高的要求，如要求跨VO安全、單點登錄等，現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)不能很好的滿足這些要求。對于大用戶量的系統(tǒng)而言，基于角色的訪問控制(RBAC)策略表現(xiàn)出了強大的靈活性，在分布式應用系統(tǒng)中得到了廣泛的應用。 GSI是當前網(wǎng)格的實事安全標準，為網(wǎng)格提供了有效的安全服務。但GSI也存在著一些不足之處。本文在全面研究和分析現(xiàn)有的網(wǎng)格安全基礎(chǔ)設(shè)施—GlobusGSI以及dRBAC

3、模型的基礎(chǔ)上，提出了一種將用戶委托的RBAC模型引入到網(wǎng)格的安全認證中，以實現(xiàn)跨VO的資源訪問和用戶的單點登錄機制。在該模型中，用戶利用代理證書進行本地登錄，然后通過跨VO的代理授權(quán)對其它VO的資源進行訪問，對資源的訪問符合該資源的本地訪問策略。該模型既突出了RBAC系統(tǒng)本身在大用戶量系統(tǒng)訪問控制方面所具有的靈活性，又滿足了網(wǎng)格系統(tǒng)對實現(xiàn)用戶單點登錄的要求，同時還保證了全局安全不能與本地安全訪問策略相沖突的基本條件。 最后本文利