網(wǎng)格安全互操作中訪問(wèn)控制機(jī)制研究.pdf

1、隨著網(wǎng)格技術(shù)的發(fā)展，世界上很多大學(xué)、公司及研究機(jī)構(gòu)開發(fā)了很多的網(wǎng)格平臺(tái)系統(tǒng)。然而，網(wǎng)格標(biāo)準(zhǔn)還不完善，大多網(wǎng)格平臺(tái)之間不能順利的實(shí)現(xiàn)互操作；另一方面，隨著網(wǎng)格應(yīng)用逐漸向商業(yè)領(lǐng)域擴(kuò)展，其安全性也越來(lái)越受到重視。如何實(shí)現(xiàn)網(wǎng)格系統(tǒng)之間安全的互操作就成了需要重點(diǎn)研究的問(wèn)題。一般來(lái)說(shuō)，網(wǎng)格安全互操作要解決的問(wèn)題包括身份認(rèn)證、訪問(wèn)控制和通信安全。相比較而言，訪問(wèn)控制的研究比身份認(rèn)證和通信安全更不成熟，是當(dāng)前網(wǎng)格安全互操作中待解決的重點(diǎn)和難點(diǎn)問(wèn)題。

2、r>　　 傳統(tǒng)的訪問(wèn)控制模型可以直接應(yīng)用于網(wǎng)格安全互操作中，即基于用戶的訪問(wèn)控制和基于角色的訪問(wèn)控制。但這兩種方式都將極大地加重授權(quán)管理員的負(fù)擔(dān)以及系統(tǒng)本身的開銷，而且不利于更新和維護(hù)。因此，系統(tǒng)采用了一種基于角色映射的訪問(wèn)控制機(jī)制，依據(jù)角色映射模型選擇代理授權(quán)角色，從而實(shí)現(xiàn)網(wǎng)格安全互操作的訪問(wèn)控制，這種模型比傳統(tǒng)的訪問(wèn)控制模型效率更高，并且有更好的靈活性和擴(kuò)展性。
　　 基于角色映射的訪問(wèn)控制模型，分別實(shí)現(xiàn)了基于portal

3、的安全互操作訪問(wèn)控制系統(tǒng)和直接安全互操作訪問(wèn)控制系統(tǒng)用于CGSP(ChinaGrid Support Platform)和VEGA 兩大網(wǎng)格平臺(tái)系統(tǒng)之間安全的互操作?；趐ortal的安全互操作訪問(wèn)控制系統(tǒng)主要包括用戶角色獲取、角色映射以及代理用戶綁定等模塊；而直接安全互操作訪問(wèn)控制系統(tǒng)包括角色獲取、角色映射、訪問(wèn)控制表生成、服務(wù)地址轉(zhuǎn)化以及訪問(wèn)控制實(shí)施等模塊。
　　 在基于portal的方案中，不同級(jí)別的用戶在訪問(wèn)CGSP 或

4、VEGA時(shí)可以選定相應(yīng)系統(tǒng)不同的代理用戶；在直接互操作方案中，登錄在CGSP 上的不同角色的用戶具有對(duì)VEGA 服務(wù)不同的訪問(wèn)權(quán)限，并且這些權(quán)限取決于VEGA的授權(quán)策略。VEGA授權(quán)策略管理員對(duì)相應(yīng)服務(wù)權(quán)限的增加、刪除、更新等操作，CGSP中相應(yīng)的角色權(quán)限也發(fā)生了改變，從而實(shí)現(xiàn)了互操作的訪問(wèn)控制。
　　 通過(guò)系統(tǒng)測(cè)試分析，隨著系統(tǒng)用戶數(shù)、角色數(shù)以及服務(wù)數(shù)的增加，基于角色映射的訪問(wèn)控制機(jī)制將極大地減少系統(tǒng)的授權(quán)信息數(shù)，從而減輕了授