網(wǎng)格環(huán)境下移動(dòng)進(jìn)程的安全性支持研究.pdf

1、本文研究網(wǎng)格計(jì)算安全性問(wèn)題,提出G-PASS移動(dòng)程序安全體系.該體系建立在GSI基礎(chǔ)上并向下兼容,并在"核心協(xié)議-信任模型-基礎(chǔ)設(shè)施"由上到下三個(gè)層次上給出解決方案:1.在PKI的基礎(chǔ)上將X.509協(xié)議的代理(Delegation)部分進(jìn)行擴(kuò)充,由原有的"面向宿主機(jī)"(Host-Oriented)式代理模型改為"面向安全實(shí)例"(Instance-Oriented)式代理模型,并針對(duì)此模型對(duì)網(wǎng)格中移動(dòng)程序的安全設(shè)計(jì)方式和常用操作進(jìn)行修正,

2、以對(duì)程序的移動(dòng)性進(jìn)行支持.2.引入以安全實(shí)例作為單位的粗粒度分布式信任模型,其中包括對(duì)跨組織的角色轉(zhuǎn)換與策略映射進(jìn)行支持,以及權(quán)限代理預(yù)約(Delegation Reservation)等高級(jí)安全措施,并提出相關(guān)的算法(如基于角色的策略映射和訪(fǎng)問(wèn)控制等).3.在Instance-Oriented代理模型的基礎(chǔ)上進(jìn)行擴(kuò)展,并模擬真實(shí)世界中的跨國(guó)旅行手續(xù),來(lái)為G-PASS體系建立基礎(chǔ)設(shè)施.其中包括通過(guò)模擬真實(shí)護(hù)照以對(duì)代理、授權(quán)和關(guān)鍵性信息提

3、供安全載體的G-passport文檔,以及用以處理穿越組織相關(guān)手續(xù)的虛擬海關(guān)G-custom,和用以進(jìn)行代理預(yù)約與移動(dòng)程序入侵監(jiān)測(cè)的用戶(hù)代理服務(wù)Exchange Service.本文認(rèn)為,作為一種安全性基礎(chǔ)設(shè)施,應(yīng)當(dāng)提供的功能主要包括堅(jiān)實(shí)的密碼基礎(chǔ)(已經(jīng)在PKI中得以實(shí)現(xiàn))、重要的基礎(chǔ)性協(xié)議、可靠的傳輸保障、豐富的信息收集、高效的運(yùn)行以及小而靈活的結(jié)構(gòu),而并不是提供太多應(yīng)用程序特定的專(zhuān)用功能.并且,對(duì)于大規(guī)模異構(gòu)性安全系統(tǒng),著重點(diǎn)應(yīng)該在

4、監(jiān)控目標(biāo)行為和入侵檢測(cè)而不是嚴(yán)格限制目標(biāo)行為.G-PASS就是在這樣的指導(dǎo)思想下進(jìn)行設(shè)計(jì)的.G-PASS體系適合于網(wǎng)格計(jì)算環(huán)境.這是因?yàn)槠湓O(shè)施本身的體系結(jié)構(gòu)與應(yīng)用程序邏輯或系統(tǒng)拓?fù)浣Y(jié)構(gòu)無(wú)關(guān),內(nèi)核協(xié)議緊湊而具有一般性.G-PASS基礎(chǔ)設(shè)施的發(fā)布無(wú)需修改應(yīng)用程序邏輯和策略,并不會(huì)破壞網(wǎng)格節(jié)點(diǎn)內(nèi)部的自治性.此外,G-PASS中的核心協(xié)議在PKI層次上與GSI完全兼容.除了通用性和兼容性之外,面對(duì)大規(guī)模的復(fù)雜的網(wǎng)格應(yīng)用程序中的安全監(jiān)控問(wèn)題,G-