網(wǎng)格環(huán)境下移動進程的安全性支持研究.pdf

1、本文研究網(wǎng)格計算安全性問題,提出G-PASS移動程序安全體系.該體系建立在GSI基礎(chǔ)上并向下兼容,并在"核心協(xié)議-信任模型-基礎(chǔ)設(shè)施"由上到下三個層次上給出解決方案:1.在PKI的基礎(chǔ)上將X.509協(xié)議的代理(Delegation)部分進行擴充,由原有的"面向宿主機"(Host-Oriented)式代理模型改為"面向安全實例"(Instance-Oriented)式代理模型,并針對此模型對網(wǎng)格中移動程序的安全設(shè)計方式和常用操作進行修正,

2、以對程序的移動性進行支持.2.引入以安全實例作為單位的粗粒度分布式信任模型,其中包括對跨組織的角色轉(zhuǎn)換與策略映射進行支持,以及權(quán)限代理預約(Delegation Reservation)等高級安全措施,并提出相關(guān)的算法(如基于角色的策略映射和訪問控制等).3.在Instance-Oriented代理模型的基礎(chǔ)上進行擴展,并模擬真實世界中的跨國旅行手續(xù),來為G-PASS體系建立基礎(chǔ)設(shè)施.其中包括通過模擬真實護照以對代理、授權(quán)和關(guān)鍵性信息提

3、供安全載體的G-passport文檔,以及用以處理穿越組織相關(guān)手續(xù)的虛擬海關(guān)G-custom,和用以進行代理預約與移動程序入侵監(jiān)測的用戶代理服務(wù)Exchange Service.本文認為,作為一種安全性基礎(chǔ)設(shè)施,應(yīng)當提供的功能主要包括堅實的密碼基礎(chǔ)(已經(jīng)在PKI中得以實現(xiàn))、重要的基礎(chǔ)性協(xié)議、可靠的傳輸保障、豐富的信息收集、高效的運行以及小而靈活的結(jié)構(gòu),而并不是提供太多應(yīng)用程序特定的專用功能.并且,對于大規(guī)模異構(gòu)性安全系統(tǒng),著重點應(yīng)該在

4、監(jiān)控目標行為和入侵檢測而不是嚴格限制目標行為.G-PASS就是在這樣的指導思想下進行設(shè)計的.G-PASS體系適合于網(wǎng)格計算環(huán)境.這是因為其設(shè)施本身的體系結(jié)構(gòu)與應(yīng)用程序邏輯或系統(tǒng)拓撲結(jié)構(gòu)無關(guān),內(nèi)核協(xié)議緊湊而具有一般性.G-PASS基礎(chǔ)設(shè)施的發(fā)布無需修改應(yīng)用程序邏輯和策略,并不會破壞網(wǎng)格節(jié)點內(nèi)部的自治性.此外,G-PASS中的核心協(xié)議在PKI層次上與GSI完全兼容.除了通用性和兼容性之外,面對大規(guī)模的復雜的網(wǎng)格應(yīng)用程序中的安全監(jiān)控問題,G-