论文部分内容阅读
随着人们对高性能计算和资源分布共享需求的增加,传统的高性能计算模式和计算共享模式己经不能满足人们的需要,人们期望能够像访问电力资源一样随时随地的获取需要的计算和存储等资源,期望不仅仅在本地计算机上找到所需的服务,而是在整个网络范围内找到最佳的服务,希望将整个网络虚拟成为一个整体。传统的高性能计算模式和资源共享模式因其灵活性差、系统扩充和升级代价高而无法适应这些持续增长的计算要求。技术的发展和新的应用需要新的具有革命性进步的计算模式,网格计算就是在这一需求下应运而生的一种新的计算模式。相比于传统的计算模式,网格作为未来一种重要的基础设施有很多新的特点,网格的动态性为网格系统的实施带来了复杂的安全问题,安全问题同时贯穿于网格体系结构的各个层次,对于网格基础设施的有效实施至关重要。本文从基本的背景知识入手,总结了网格环境的特点和安全需求,并详细分析了网格的安全现状。文章介绍了目前最成熟的网格项目Globus中的网格安全框架GSI,就GSI中的几项基础和扩展安全技术进行了研究,对其中的团体授权服务技术作了较详细地分析,并介绍它在网格中的具体应用过程,讨论了其中仍存在的问题。之后文章介绍并分析了有代表性的几个网格安全授权模型,包括CAS,VOMS,Akenti和PERMIS系统。通过对这些模型统一的介绍和分析,可以看出各个网格安全模型分别解决了哪些安全问题,是如何解决的,以及还遗留哪些问题。在研究了一般授权模型的设计及虚拟组织的环境基础上,文章确定了一种适用于VO的授权方案。最后,讨论了CAS访问控制策略,结合网格环境,设计了基于改进GSI访问控制的授权模型,并给出了模型的功能设计和下一步研究方向。本文通过对网格授权模型的研究和分析,基于虚拟组织、CAS提出了一种适用于虚拟组织的授权模型。该模型改进了CAS服务器,设置了一个负责虚拟组织内部成员授权的组织管理服务器OMS。组织内用户以其自身在虚拟组织中的本地角色向OMS服务器申请注册,OMS基于用户的本地角色为用户颁发证书,同时基于本地的访问控制机制对用户进行授权,用户权限直接标志在证书中。从而使用户在申请资源时无须再将身份映射到资源本地就能完成授权。在完成方案设计的基础上给出了每个模块的具体实现并进行了相应的测试,以验证设计是否合理。测试结果表明,模型的功能达到了设计的要求。本文的意义在于,成功的实现了一个性能优越的授权模型,模型增强了网格系统的灵活性和可扩展性,提高了系统的效率。