網格認證授權機制研究及其在校園計算網絡中的實現.pdf

1、隨著網格技術的迅猛發(fā)展,網格安全成為影響網格技術發(fā)展和應用的關鍵問題。特別當網格門戶引入后,如何提供網格門戶層資源的安全管理、如何通過門戶管理用戶證書,如何對網格底層資源進行授權等問題,成為當前網格安全領域中的研究熱點。
　　 本文的研究工作以網格門戶安全需求為背景,在“校園計算網格平臺UCGrid3.0”的基礎上展開。該平臺在安全需求中忽視了下列問題:網格門戶層資源和證書的安全、有效管理,網格底層資源的細粒度授權,為用戶提供單

2、點登錄功能等。并且目前業(yè)界對門戶層上資源的安全訪問控制還沒有一套很好的解決方案,在網格授權方面也存在粒度較粗的問題。
　　 針對上述問題,本文研究了經典的認證與授權系統(tǒng),包括:Kerberos認證系統(tǒng)以及CAS、VOMS、Akenti和Permis四種授權系統(tǒng),并分析了上述系統(tǒng)的認證授權原理,指出了Kerberos認證系統(tǒng)對單點登錄的支持較差以及四種授權系統(tǒng)在授權時存在粒度不夠等缺陷。在此基礎上,深入研究了Globus Tool

3、kit4中的安全組件一網格安全基礎設施(GSI)以及其中的認證與授權方式,探討了如何通過安全描述符將自定義的認證授權接口引入到GSI中；同時對本文設計認證授權組件采用的關鍵技術進行了研究和應用探索,其中包括基于角色訪問控制框架(RBAC),以及安全斷言標記語言(SAML標準)和可擴展訪問控制標記語言(XACML標準)。RBAC框架在用戶與權限之間引入了“角色”的概念,通過將具體的用戶映射到抽象的角色上,再將角色與權限相關聯達到了基于角色

4、的訪問控制。在網格中不同的虛擬組織(VO)可能擁有自己的一套認證授權策略,在跨VO訪問時給認證授權帶來了很大的挑戰(zhàn)。由于SAML和XACML都是基于XML的標準,因此在認證授權的時候可以以一種統(tǒng)一的方式進行,屏蔽了不同的認證授權策略之間的相互轉換,從而給執(zhí)行認證授權操作帶來了便利。其中,SAML通過將認證方式、認證時間、IP地址以及認證憑證等內容通過SAML斷言的方式進行傳輸,以達到用戶憑此斷言可以訪問不同的VO,而無需重新驗證用戶的身

5、份,可支持實現單點登錄。XACML則將驗證通過的用戶所具有的權限以XML的方式保存在策略文件中,用戶每次訪問的請求都會與該策略文件做比較,并返回授權是否成功的響應。由于權限保存在策略文件中,因此可以很靈活的設置每個用戶的權限,達到動態(tài)授權的效果。
　　 在上述研究基礎上,本文結合GSI與SAML,提出了基于GSI的SAML認證方法,利用該方法在跨域訪問時,實現了“一處認證,多處訪問”的功能；在GSI的基礎上,結合RBAC和XAC