基于Globus的网格安全机制研究及扩展

随着网格应用的发展,网格安全问题日渐突出。为解决此问题,Globus项目组作了大量工作。讨论网格环境下的安全问题,分析Globus的安全机制,结合虚拟组织技术和基于角色的访问控制方法,探讨基于Globus安全基础设施的扩展的安全技术——社区授权服务机制,并对网格环境下的安全技术的基本问题进行了总结。     

网格环境中一种基于SPKI证书的授权模型

网格环境中的授权问题是网格安全的一个研究热点。社区授权服务CAS是网格安全基础设施GSI中的授权机制，鉴于社区授权服务CAS授权机制中提供各种服务的Resource只能粗粒度地授权给CAS服务器，很难细粒度地控制客户权限，本文提出了一种新的授权模型，采用了SPKI电子证书进行授权。与CAS相比，该模型授权更加灵活，通过委托授权增强了系统的可扩展性，而且能够细粒度地控制用户权限。     

基于社区的服务网格多粒度授权与访问控制研究*

基于社区原理构建的织女星网格操作系统（VEGA GOS）是网格应用开发、运行和维护所依赖的环境和平台。在织女星网格操作系统中,结合社区具有的局部集中性的特点,在主体、资源、操作空间中建立跨管理域的授权模型,用于解决网格中授权及访问控制在好用性、自主控制、通用性方面的问题。介绍了基于社区的多粒度授权与访问控制机制的设计和实现,并对由于使用安全机制引起的系统稳定性变化进行了测试和分析评价。     

网格社区授权服务机制及实施研究

鉴于网格应用的特殊性即动态性、异构性和自治性,传统的授权机制难以满足网格应用的特殊需求.解决方案是社区授权服务机制.讨论了相关技术如网格安全基础设施、代理证书、委托与单点登录,着重研究了团体授权服务模式、实施机制及其典型应用案例.探讨了团体授权服务(CAS)的安全性问题.最后指出了实施可定制的CAS组件的迫切性.     

关于网格计算授权机制的研究

分析了目前网格计算中最流行的安全机制GSI（Grid Security Infrastructure,网格安全基础设施）和基于GSI的CAS（Community Authorization Service,组织授权服务）,提出了一种基于本地角色授权的、能够解决大规模VO（Virtual Organization,虚拟组织）的授权问题的方案。同GSI和CAS不同的是,本方案中的用户只需要进行本地认证就能够根据其在本地组织的角色来访问VO。     

网格计算中基于信任度的动态角色访问控制的研究

在网格计算中,资源或服务使用者和提供者之间的信任关系是安全通信的前提。由于网格计算环境的分布特性和动态特性,像传统计算那样预先建立信任关系是不现实的。为了解决这个问题,在研究中发现,可以将信任机制融入网格社区授权服务中的基于角色的访问控制中,对基于角色的访问控制策略做一定的改进,根据信任度评估算法算出网格实体的信任度,CAS服务器能依据实体的信任度动态改变实体的角色。通过基于信任度的动态角色访问控制可以在一定程度上实现网格访问控制的动态性,同时避免实体的欺骗行为,可以有效地达到在网格社区中对客户端进行访问控制的目的。     

基于移动Agent的网格跨域安全审计体系结构及实现

网格计算面临的重大挑战之一是开发一系列有效的机制和策略来保证网格任务处理的安全。审计和审核是大规模网格节点的基本需求。本文分析了网格节点的安全审计需求，提出了一种基于移动Agent的跨域安全审计体系结构。为了使安全机制的实施对网格性能产生的影响最小，使用了一种新的授权安全机制“审计一次，授权多次”，通过构造多值信任关系模型实现动态审计。给出了利用GT3用户定义服务和Aglet平台所实现的跨域安全审计模型。     

一个具有强授权特性的网格安全框架

网格安全技术主要解决网格环境中实体之间的认证和授权问题。Globus网格项目中的GSI(Grid Secudty Infrastmcture)主要基于X．509技术实现身份认证以及数据的机密性、完整性和抗否认性,重点解决了认证和消息保护问题,然而在授权问题上缺乏必要的技术支撑。在分析现有安全技术的基础上,提出了将基于X．509的PKI技术和PMI技术相结合的网格安全框架,旨在实现基于安全认证基础之上网格用户和虚拟群组实体间的安全授权机制,从而构建强认证、强授权的网格安全基础设施。     

网格安全互操作及其应用研究

网格计算为地理分布资源的聚合以及大规模计算问题的解决提供了技术途径,国内外大型网格项目都是基于某种网格平台构建,通过这些平台管理着本领域的资源/服务,为了聚合不同网格平台管理的资源/服务,需要实现异构网格平台的互操作.由于不同网格平台的安全机制不同,安全互操作是网格互操作中需要解决的一个关键问题.通过分析,当前网格平台通常具有网格全局用户身份以及虚拟组织层次结构的公共特征,基于网格平台的主体类型研究网格平台互操作映射策略,并提出一种通用的安全互操作流程.CGSP和GOS是国内两大知名的网格中间件,分别管理了大量的教育和科技资源,以CGSP和GOS的安全互操作为例,阐述了安全互操作策略映射机制及安全互操作流程的具体实现,并分析了网格平台间的授权及其一致性、映射策略的灵活性以及互操作流程的安全性.最后,对CGSP和GOS的安全互操作的性能进行了测试分析.     

跨社区访问的两阶段授权与验证

文章从分析信息网格跨社区共享的环境和要求出发,提出了两阶段授权和验证的概念。在信息网格的各管理域中,访问控制机制和策略都可能是异构的,这给跨社区的共享授权带来了很大的困难。两阶段的授权是首先将共享权限作为一个整体授予使用资源的社区,然后再由它对社区内的用户进行权限分配。通过将跨社区的授权和验证分为功能和目的不同的两个阶段来实现,可以较好地满足信息网格中资源共享对访问控制的需要。     

基于属性和任务的网格授权研究

网格计算作为一种新的分布式计算基础架构,因其资源、服务的异构、动态等特征,决定了安全机制的重要性.访问控制是安全的一个重要的部分.现有的网格授权模型多是基于传统的访问控制方式,没有考虑到网格环境中主体属性和对象属性的多样性,以及具体的任务和执行环境.在借鉴和使用控制模型的基础上,提出一种基于属性和任务的网格授权模型.该模型在考虑主体属性和对象属性的同时,结合具体的任务和执行环境进行授权,并能够在主体属性和对象属性发生变动的情况下,实现动态授权,从而在一定程度上避免了滥用权限的现象.     

一种分布式系统的用户认证授权机制及其应用*

针对用户认证和授权问题提出了一种对用户集中认证、分散授权的解决方案。通过借鉴网格环境中的虚拟社区授权服务的体系结构,构造了统一身份认证和资源访问控制的系统框架,并实现了单点登录、细粒度用户访问控制的安全机制,对该方案的安全性进行了评价。     

网格计算中面向虚拟组织的多级授权机制研究

由于虚拟组织的分布性和动态性,在网格计算系统中实施面向虚拟组织的授权服务十分困难。本文分析了网格计算系统中的授权服务需求和已有授权机制存在的问题,提出了多级授权架构MLA。该架构基于门限闭包机制,具有较强的策略描述能力与可扩展性,因而能够更加灵活高效地在网格计算系统中实施授权服务。     

网格服务系统安全体系的研究与设计

网格将分散的资源聚合在一起,形成更高层次的分布式资源共享环境,安全问题一直以来都是网格环境中考虑的一个重要问题.研究并设计了网格服务系统的安全体系结构,分析了网格服务系统的特点及面临的安全问题,讨论了安全体系中涉及的技术手段,通过本地及域级用户映射机制和资源自描述的安全方案,实现了较为灵活的网格服务系统安全体系.     

扩展的基于角色的网格授权研究

网格安全主要解决网格环境中实体间的认证和授权问题。现有的网格授权模型大多基于传统的访问控制方式，没有考虑到具体的任务和执行环境。该文在研究现有的访问控制方式的基础上，对基于角色授权的网格模型进行扩展，引入任务和条件的概念，实现了基于任务的动态授权。     

基于Web服务的网格应用系统安全模型

分布式软件系统,特别是网络应用系统由于需要大量计算机节点的合作,因此该类系统的整体安全性比较难以控制.网格各计算节点之间需要进行接受来自网格系统的计算任务,节点之间的信任关系需要一种安全模型来进行统一处理.文章以基于SaaS模式的电子工程预算软件(SaasBudget)为研究对象,介绍了Web服务的安全问题以及网格平台下的安全解决方案,分析了目前网格平台常见安全性问题,提出了一种基于动态用户池的网格平台授权机制.     

基于SOA网格访问控制模型的研究

信息网格是未来分布式计算的主要发展方向,网格安全不仅是网格推广应用的前提,也是计算网格中的一个核心问题,随着面向服务(SOA)的网格技术的发展和应用,如何解决访问资源的授权成为一个关键性问题,本文通过对当前授权系统的概述和分析,设计了一种面向服务的网格授权系统.     

网格中的认证授权技术

由于网格技术广泛的应用前景,网格安全正受到越来越多的关注。GSI是目前最为成熟的网格项目Globus中的安全设施。文中就GSI中涉及到认证与授权机制的方面:公钥基础设施,SSL与相互认证进行了研究,分安全委托与单点登录、在线证书仓库、团体授权服务三个方面重点介绍了认证与授权技术在GSI中的应用与扩展及其特点,并通过其大致应用流程和安全性分析讨论了其优点和尚存在的问题。     

开放式网格服务架构的安全设施

网格是一种开放的分布式系统环境，它的目标是实现分布的、异构的、动态的、虚拟组织之间的资源共享。安全性是网格环境中的关键因素之一，网格的安全性主要包括数据的一致性、私有性、认证、授权与审计。深入分析了开放式系统环境中的安全模型与认证、授权框架，讨论了开放式瞬格服务架构中的网格服务安全的协议与设施。     

网格中的认证授权技术

由于网格技术广泛的应用前景，网格安全正受到越来越多的关注。GSI是目前最为成熟的网格项目Globus中的安全设施。文中就GSI中涉及到认证与授权机制的方面：公钥基础设施．SSL与相互认证进行了研究，分安全委托与单点登录、在线证书仓库、团体授权服务三个方面重点介绍了认证与授权技术在GSI中的应用与扩展及其特点，并通过其大致应用流程和安全性分析讨论了其优点和尚存在的问题。