网格跨域认证关键技术研究

论文摘要

网格安全是网格计算的一个核心问题,是决定网格应用成败的关键。网格认证是对网格实体身份有效性进行确定的过程,是网格安全的第一道防线。由于网格的分布式特性,用户和资源往往不在同一个信任域内,而不同的信任域可能采用不同的认证机制。因此,认证服务器如何识别不同类型信任域中用户提交的身份凭证,以及如何发现已建立的信任关系并据此认证用户,是网格认证中需要解决的两个重要问题。目前的跨域认证方案主要存在以下两个问题:(1)跨异构域认证方案只能解决Kerberos票据和X.509证书的单向转换,因此无法实现PKI域和Kerberos域的相互认证;(2)PKI域间通过交叉认证建立信任关系,通过构建并验证证书路径验证信任关系,而证书路径的构建目前还没有标准的算法,现有的算法都存在一些缺点。这两个问题将导致用户不能通过其它域中认证服务器的认证,从而无法访问资源。针对以上问题,本文以网格中不同类型信任域之间的认证为主题,对跨域认证以及证书路径的构建进行了深入的研究,主要工作如下:1.研究了网格环境中广泛应用的PKI认证机制和Kerberos认证机制,分析了现有的跨PKI域和Kerberos域认证方案。2.提出了一种新的跨域认证方案TGSCA,并进行了形式化分析。该方案既能实现PKI域对Kerberos域中用户的认证,又能实现Kerberos域对PKI域中用户的认证。3.研究了证书路径构建的各种优化方法,提出一种优化的多路径构建算法,通过使用证书路径缓存,进一步提高了该算法的效率。理论分析和实验结果表明,该算法的性能优于现有的同类算法。4.搭建了基于校园网的网格实验环境,在该环境中设计并实现了跨Kerberos域和PKI域的网格认证实验系统。

论文目录

摘要

Abstract

第一章绪论

1.1 研究背景

1.1.1 网格的概念及特性

1.1.2 网格跨域认证面临的挑战

1.2 研究目标、内容及创新点

1.3 本文结构安排

第二章网格环境中的跨域认证机制研究

2.1 PKI认证机制

2.1.1 PKI简介

2.1.2 PKI中的跨域认证

2.1.3 PKI技术研究现状

2.2 Kerberos认证机制

2.2.1 Kerberos单域认证

2.2.2 Kerberos跨域认证

2.2.3 Kerberos技术研究现状

2.3 PKI机制和Kerberos机制的分析比较

2.4 本章小结

第三章一种支持跨异构域认证的网格认证方案

3.1 两种典型的网格跨异构域认证方案

3.1.1 KX.509协议

3.1.2 KCT方案

3.2 一种跨异构域认证方案TGSCA

3.2.1 TGSCA结构

3.2.2 Kerberos域间认证

3.2.3 Kerberos域中用户访问PKI域中资源

3.2.4 PKI域中用户访问Kerberos域中资源

3.3 方案形式化分析及评价

3.3.1 方案形式化分析

3.3.2 方案评价

3.4 本章小结

第四章基于缓存的证书多路径构建算法

4.1 证书路径处理

4.1.1 X.509证书扩展项

4.1.2 证书路径构建

4.1.3 证书路径验证

4.2 基于常用证书链缓存的多路径构建算法

4.2.1 证书路径构建算法描述

4.2.2 证书链缓存的引入

4.2.3 证书链缓存的设计

4.2.4 构建路径时选用的证书扩展项

4.2.5 证书路径构建过程

4.2.6 算法分析

4.3 算法实验

4.3.1 用户所在域内CA数目变化时算法性能对比

4.3.2 根CA数目变化时算法性能对比

4.3.3 无效路径排除率变化时算法性能对比

4.3.4 缓存命中率变化时算法性能对比

4.4 本章小结

第五章网格跨域认证实验系统设计与实现

5.1 Globus Toolkit 4简介

5.2 基于校园网的网格实验环境

5.2.1 实验环境拓扑图

5.2.2 实验环境总体架构

5.3 网格跨域认证实验系统

5.3.1 设计目标

5.3.2 系统特点

5.4 认证实验系统功能模块

5.4.1 PKI认证客户端模块

5.4.2 PKI认证服务器模块

5.4.3 Kerberos认证客户端模块

5.4.4 Kerberos认证服务器模块

5.5 本章小结

第六章结束语

6.1 工作总结

6.2 下一步的研究工作

参考文献

作者简历攻读硕士学位期间完成的主要工作

致谢

网格跨域认证关键技术研究

论文摘要

论文目录

相关论文文献

猜你喜欢