网格计算作为一种新模式的分布式计算基础架构,因其资源和服务的异构、动态、多域的特征,决定了安全机制的重要性。授权和访问控制是安全的一个非常重要的部分,但是在目前,还没有一个很好的方法解决这个问题。GT2通过访问控制列表文件来映射全局用户证书标识到本地帐号的方式进行授权,GT3工具包也采用了同样的方法。这样的方法不能很好地满足大型域的实际需求。例如:作业管理的授权是静态的,程序的执行主要依靠本地帐号赋予的权利,而不能随着用户的特定请求而改变权限。除此之外,每一个网格用户都必须拥有一个本地帐户,这无疑加重了系统管理员和用户的负担。针对这些不足,同时结合具体环境的需求,在分析RBAC96模型的基础上,利用GLOBUS工具包提供的统一的安全集成环境GSI,提出了网格中基于角色的访问控制结构模型R-GSS。在R-GSS模型中,引入域、用户组和资源组等重要概念。利用域管理,简化了RBAC模型的实现难度。整个系统包括三个部分:访问控制决策子系统、LDAP目录服务器和访问控制实施子系统。访问控制决策子系统接受它所管辖的虚拟域内用户的请求,利用GSS(Generic Security Service)标准令牌交换协议相互验证身份后,通过查询数据库得到用户相关的授权策略,并把授权策略写入到代理证书中,返回给请求用户;LDAP目录服务器储存了CA证书、资源策略和位置信息等;访问控制实施子系统通过对应用程序授权部分进行扩展,使其支持嵌入在代理证书中的授权策略,并结合本地的安全策略做出最终决策。