网格是利用计算机网络把地理上广泛分布的计算资源、存储资源、网络资源、软件资源、信息资源等连成一个逻辑整体,然后像一台超级计算机一样为用户提供一体化的信息应用服务。网格技术虽然有着非常广泛的前景和发展空间,但是对它的研究还处在起步阶段,还有很多关键技术问题需要解决。网格技术强大的功能在给科学研究带来极大便利的同时,也不得不担心网上应用的安全性,因此,我们在获取便利、快捷的功能和服务的同时还需要考虑网格的安全问题。作为网格安全的第一道防线,某种程度上也是最重要的一道防线,认证技术普遍受到关注。现有的网格安全认证模型有集中式层次认证模型、多CA结构的模型和混合交叉认证模型。但这些模型都存在着各种各样的缺陷。如果使用集中式认证模型或多CA结构的模型,证书的管理会比较复杂。即便是采用集中式模型的统一管理结构,其证书数据量和更新量都是非常庞大的。而采用交叉认证模型,在路径选择上将会遇到很大的问题。本文研究设计了一种基于Kerberos与X.509的网格认证模型。在这个模型中,终端用户证书的颁发和管理类似于集中式模型,有一个独立的认证中心进行颁发,并最终上溯到一个根认证中心,这里称其为二级信任域,在这个信任域中有自己的证书策略和认证机制,如X.509认证和Kerberos认证;为了使不同认证机制的网格域之间的用户可以互相访问,将网格环境中的二级信任域组成一个一级信任域,一级信任域不参与终端用户和中间层CA的证书的颁发和管理工作,只对二级信任域的根认证中心进行证书颁发和管理,在一级信任域中进行PKI认证。在这个模型中,设计了基于Kerberos与X.509的网格异构域认证模型框架。此框架包括安全策略、认证协议、工作模式及认证服务和认证技术的设计,通过这些设计使网格异构域间的认证更加方便安全。这种认证模型不仅解决了集中式认证模型和交叉认证模型的问题,而且解决了基于Kerberos与X.509的网格异构域间用户的认证问题。