论文部分内容阅读
网格是利用计算机网络把地理上广泛分布的计算资源、存储资源、网络资源、软件资源、信息资源等连成一个逻辑整体,然后像一台超级计算机一样为用户提供一体化的信息应用服务。网格技术虽然有着非常广泛的前景和发展空间,但是对它的研究还处在起步阶段,还有很多关键技术问题需要解决。网格技术强大的功能在给科学研究带来极大便利的同时,也不得不担心网上应用的安全性,从而使得我们在获取便利、快捷的功能和服务的同时不用担心信息的泄漏或被窃取。 现有的网格安全认证模型有集中式层次认证模型、多CA结构的模型和混合交叉认证模型。但这些模型都存在着各种各样的缺陷。如果使用集中式认证模型或多CA结构的模型,证书的管理会比较复杂。即便是采用集中式模型的统一管理结构,其证书数据量和更新量都是非常庞大的。而采用交叉认证模型,在路径选择上将会遇到很大的问题。 本文研究设计并深入分析了一种双协议(X.509和Kerberos)混合认证模型。此认证模型支持用户身份认证、证书的签发/存取、数字签名等功能。在此模型中,终端用户证书的颁发和管理类似于集中式模型,由一个独立的认证中心进行颁发,并最终上溯到用户所信任的一个根认证中心,这里称其为二级信任域;网格环境中数量众多的二级信任域按照不同的证书策略进行归类,组成不同的策略域组合,由策略服务器和作为管理中心的顶级的一级信任域连接。而一级信任域不参与终端用户和中间层CA的证书颁发和管理工作,而只负责对二级信任域进行管理。