網(wǎng)格認(rèn)證授權(quán)機(jī)制研究及其在校園計算網(wǎng)絡(luò)中的實現(xiàn).pdf

1、隨著網(wǎng)格技術(shù)的迅猛發(fā)展,網(wǎng)格安全成為影響網(wǎng)格技術(shù)發(fā)展和應(yīng)用的關(guān)鍵問題。特別當(dāng)網(wǎng)格門戶引入后,如何提供網(wǎng)格門戶層資源的安全管理、如何通過門戶管理用戶證書,如何對網(wǎng)格底層資源進(jìn)行授權(quán)等問題,成為當(dāng)前網(wǎng)格安全領(lǐng)域中的研究熱點。
　　 本文的研究工作以網(wǎng)格門戶安全需求為背景,在“校園計算網(wǎng)格平臺UCGrid3.0”的基礎(chǔ)上展開。該平臺在安全需求中忽視了下列問題:網(wǎng)格門戶層資源和證書的安全、有效管理,網(wǎng)格底層資源的細(xì)粒度授權(quán),為用戶提供單

2、點登錄功能等。并且目前業(yè)界對門戶層上資源的安全訪問控制還沒有一套很好的解決方案,在網(wǎng)格授權(quán)方面也存在粒度較粗的問題。
　　 針對上述問題,本文研究了經(jīng)典的認(rèn)證與授權(quán)系統(tǒng),包括:Kerberos認(rèn)證系統(tǒng)以及CAS、VOMS、Akenti和Permis四種授權(quán)系統(tǒng),并分析了上述系統(tǒng)的認(rèn)證授權(quán)原理,指出了Kerberos認(rèn)證系統(tǒng)對單點登錄的支持較差以及四種授權(quán)系統(tǒng)在授權(quán)時存在粒度不夠等缺陷。在此基礎(chǔ)上,深入研究了Globus Tool

3、kit4中的安全組件一網(wǎng)格安全基礎(chǔ)設(shè)施(GSI)以及其中的認(rèn)證與授權(quán)方式,探討了如何通過安全描述符將自定義的認(rèn)證授權(quán)接口引入到GSI中；同時對本文設(shè)計認(rèn)證授權(quán)組件采用的關(guān)鍵技術(shù)進(jìn)行了研究和應(yīng)用探索,其中包括基于角色訪問控制框架(RBAC),以及安全斷言標(biāo)記語言(SAML標(biāo)準(zhǔn))和可擴(kuò)展訪問控制標(biāo)記語言(XACML標(biāo)準(zhǔn))。RBAC框架在用戶與權(quán)限之間引入了“角色”的概念,通過將具體的用戶映射到抽象的角色上,再將角色與權(quán)限相關(guān)聯(lián)達(dá)到了基于角色

4、的訪問控制。在網(wǎng)格中不同的虛擬組織(VO)可能擁有自己的一套認(rèn)證授權(quán)策略,在跨VO訪問時給認(rèn)證授權(quán)帶來了很大的挑戰(zhàn)。由于SAML和XACML都是基于XML的標(biāo)準(zhǔn),因此在認(rèn)證授權(quán)的時候可以以一種統(tǒng)一的方式進(jìn)行,屏蔽了不同的認(rèn)證授權(quán)策略之間的相互轉(zhuǎn)換,從而給執(zhí)行認(rèn)證授權(quán)操作帶來了便利。其中,SAML通過將認(rèn)證方式、認(rèn)證時間、IP地址以及認(rèn)證憑證等內(nèi)容通過SAML斷言的方式進(jìn)行傳輸,以達(dá)到用戶憑此斷言可以訪問不同的VO,而無需重新驗證用戶的身

5、份,可支持實現(xiàn)單點登錄。XACML則將驗證通過的用戶所具有的權(quán)限以XML的方式保存在策略文件中,用戶每次訪問的請求都會與該策略文件做比較,并返回授權(quán)是否成功的響應(yīng)。由于權(quán)限保存在策略文件中,因此可以很靈活的設(shè)置每個用戶的權(quán)限,達(dá)到動態(tài)授權(quán)的效果。
　　 在上述研究基礎(chǔ)上,本文結(jié)合GSI與SAML,提出了基于GSI的SAML認(rèn)證方法,利用該方法在跨域訪問時,實現(xiàn)了“一處認(rèn)證,多處訪問”的功能；在GSI的基礎(chǔ)上,結(jié)合RBAC和XAC