網(wǎng)格計(jì)算環(huán)境下的鑒別機(jī)制研究.pdf

1、網(wǎng)格計(jì)算是伴隨著互聯(lián)網(wǎng)而迅速發(fā)展起來的一種有典型代表性的分布式計(jì)算模式，這種計(jì)算模式最初是專門針對(duì)復(fù)雜科學(xué)計(jì)算而提出的，它的設(shè)計(jì)思想是利用互聯(lián)網(wǎng)把分散在不同地理位置、不同自治域的閑置資源組成一個(gè)“虛擬的超級(jí)計(jì)算機(jī)”。隨著網(wǎng)格計(jì)算理論與應(yīng)用的發(fā)展，網(wǎng)格計(jì)算被稱作是大規(guī)模虛擬組織中資源共享與協(xié)同工作的基礎(chǔ)設(shè)施，它能夠?qū)F(xiàn)有的各種標(biāo)準(zhǔn)協(xié)議有機(jī)地融合起來，從而實(shí)現(xiàn)消除信息孤島，達(dá)到“獲取其所需，提供其所能”的普適理念。 網(wǎng)格安全是網(wǎng)格計(jì)

2、算的核心問題之一，網(wǎng)格安全的成功解決與否制約著網(wǎng)格技術(shù)的發(fā)展與推廣。網(wǎng)格安全包括網(wǎng)格鑒別（Authentication）、網(wǎng)格授權(quán)（Authorization）、網(wǎng)格記帳（Accounting）及網(wǎng)格審計(jì)（Auditing）四個(gè)主要部分，簡稱為AAAA機(jī)制。其中，網(wǎng)格鑒別是網(wǎng)格安全的一個(gè)重要環(huán)節(jié)，為實(shí)現(xiàn)安全網(wǎng)格服務(wù)提供保障。 傳統(tǒng)的網(wǎng)格鑒別機(jī)制都或多或少地直接構(gòu)建在知名的公鑰基礎(chǔ)設(shè)施（Public Key Infrastruct

3、ure，PKI）和證書體系等技術(shù)的基礎(chǔ)之上，這些技術(shù)并沒有對(duì)網(wǎng)格的動(dòng)態(tài)特性、異構(gòu)特性進(jìn)行過多的考慮，如典型的、比較有代表性和影響力的Globus項(xiàng)目。Globus項(xiàng)目的網(wǎng)格安全基礎(chǔ)設(shè)施（Grid Security Infrastructure，GSI）在實(shí)現(xiàn)網(wǎng)格鑒別時(shí)主要利用PKI和X.509證書機(jī)制實(shí)現(xiàn)安全身份鑒別。然而，隨著網(wǎng)格計(jì)算的不斷發(fā)展和應(yīng)用環(huán)境的變化，網(wǎng)格安全面臨新的挑戰(zhàn)：網(wǎng)格環(huán)境動(dòng)態(tài)性加劇、網(wǎng)格實(shí)體之間信任關(guān)系的動(dòng)態(tài)變化突

4、顯，傳統(tǒng)的安全鑒別技術(shù)和手段，已不能很好地滿足應(yīng)用環(huán)境對(duì)安全鑒別的需求，因此迫切需要對(duì)新形勢下網(wǎng)格安全鑒別機(jī)制進(jìn)行專門系統(tǒng)的研究。一方面表現(xiàn)在對(duì)現(xiàn)有的安全鑒別的密碼學(xué)理論進(jìn)行深入研究，尋求能夠改進(jìn)或替代PKI的先進(jìn)密碼技術(shù)并將其應(yīng)用于實(shí)現(xiàn)網(wǎng)格安全鑒別；另一方面，針對(duì)新形勢下的安全問題提出新的解決方法和思路，即結(jié)合新形勢下網(wǎng)格實(shí)體之間信任關(guān)系的動(dòng)態(tài)變化，將信任領(lǐng)域的研究成果應(yīng)用于實(shí)現(xiàn)網(wǎng)格行為鑒別。 本文著眼于實(shí)現(xiàn)網(wǎng)格計(jì)算環(huán)境下的鑒

5、別機(jī)制，即實(shí)現(xiàn)網(wǎng)格實(shí)體間相互鑒別的體系結(jié)構(gòu)和鑒別協(xié)議。在對(duì)新形勢下網(wǎng)格安全面臨的挑戰(zhàn)及網(wǎng)格鑒別必須解決的關(guān)鍵問題進(jìn)行客觀分析后，本文提出實(shí)現(xiàn)網(wǎng)格安全鑒別必須從實(shí)現(xiàn)身份鑒別與行為鑒別兩方面進(jìn)行，主要工作包含如下兩個(gè)方面： 1）實(shí)現(xiàn)網(wǎng)格身份鑒別的研究，本文著重對(duì)實(shí)現(xiàn)身份鑒別的密碼學(xué)原理進(jìn)行了研究與分析，文中的第二章主要是針對(duì)基于PKI的網(wǎng)格身份鑒別機(jī)制進(jìn)行研究，指出了基于PKI的GSI網(wǎng)格鑒別的成功與不足之處，同時(shí)針對(duì)其存在問題，利

6、用移動(dòng)代理技術(shù)，創(chuàng)新地提出了基于移動(dòng)代理的兩步（Two—Step Mobile Agent Based，TSMAB）新型網(wǎng)格鑒別模式及鑒別過程。文中的第三章是針對(duì)基于身份的密碼學(xué)（IdentityBasedCryptography，IBC）的網(wǎng)格身份鑒別機(jī)制研究，根據(jù)前人在IBC領(lǐng)域的研究成果，選取了安全高效的基于身份的加密（IdentityBasedEncryption，IBE）算法并給出了相應(yīng)的基于身份的簽名（IdentityBas

7、edSignature，IBS）算法，最后創(chuàng)新性地提出了基于IBC的網(wǎng)格身份鑒別模型及鑒別協(xié)議。文中第四章是針對(duì)基于組合公鑰（CombinedPublicKey，CPK）的網(wǎng)格身份鑒別機(jī)制進(jìn)行研究，利用橢圓曲線密碼術(shù)（EllipticCurveCryptography，ECC）加密算法，設(shè)計(jì)了基于ECCCPK的密鑰生成算法，并將所得的CPK理論應(yīng)用于實(shí)現(xiàn)網(wǎng)格身份鑒別，提出了基于CPK的網(wǎng)格身份鑒別機(jī)制。 2）實(shí)現(xiàn)網(wǎng)格行為鑒別的研

8、究，文中的第五章從信任協(xié)商領(lǐng)域著手，針對(duì)GSI網(wǎng)格鑒別過程中存在忽視網(wǎng)格實(shí)體間信任積累的主要問題，將自動(dòng)信任協(xié)商（Autonomous Trust Negotiation，ATN）思想應(yīng)用于網(wǎng)格鑒別，提出了基于信任協(xié)商的A—ACDS網(wǎng)格鑒別模式。文中的第六章從實(shí)現(xiàn)基于信任模型的網(wǎng)格行為鑒別出發(fā)，首先對(duì)網(wǎng)格計(jì)算環(huán)境下的信任內(nèi)涵進(jìn)行了重新理解與認(rèn)識(shí)，將網(wǎng)格計(jì)算環(huán)境下的信任拓展為網(wǎng)格實(shí)體的信任和第三方的信任；并在此基礎(chǔ)上提出了信任增強(qiáng)的網(wǎng)格行

9、為鑒別機(jī)制（Trust Enhanced Grid Behavior Authentication Mechanism，TEGBAM），同時(shí)對(duì)基于TEGBAM的網(wǎng)格行為鑒別機(jī)制進(jìn)行了拓展，考慮將身份鑒別與行為鑒別進(jìn)行有機(jī)的融合；最后，為了提高網(wǎng)格鑒別的可信性，實(shí)現(xiàn)可信網(wǎng)格，構(gòu)建基于可信計(jì)算的網(wǎng)格信任平臺(tái)，在對(duì)網(wǎng)格信任平臺(tái)體系結(jié)構(gòu)的組成要素進(jìn)行深入分析與說明之后，提出了基于可信計(jì)算的網(wǎng)格信任平臺(tái)架構(gòu)，并利用移動(dòng)代理技術(shù)實(shí)現(xiàn)了一個(gè)應(yīng)用示范原