摘 要:文章通过分析,当前网格平台通常具有网格全局用户身份以及虚拟组织层次结构的公共特征,基于网格平台的主体类型研究网格平台互操作映射策略,并提出一种通用的滚动轴承安全互操作流程。
关键词:网格;安全互操作;滚动轴承
1. 引言
网格计算为地理分布资源的聚合以及大规模计算问题的解决提供了技术途径,当前国际上知名的网格中间件有Globus, gLite,众多网格平台并没有严格遵循这两个规范,导致了网格平台之间很难互相访问。滚动轴承生产就是一种重要的网格应用。
滚动轴承生产就类似一个虚拟组织。虚拟组织是网格的基本表现形式,各种网格平台都是基于虚拟组织来组织资源和提供服务的。滚动轴承生产其所有组件形成三个层次:核心层、系统层和应用层。核心层有两个重要概念:社区(agora)和网程(grip)。滚动轴承生产中有不同类型的主体,如组,角色和用户,本文通过在不同网格平台的虚拟组织主体之间建立映系,能够有效地在认证和授权级别提供灵活的安全互操作映射策略。
2. 网格安全互操作机制
本节将在分析当前网格平台的安全特征基础上,提出一种通用的安全互操作映射策略和安全互操作流程。
2.1 网格安全互操作映射策略
由于公共密钥框架PKI在当前认证领域的权威地位,当前流行的网格平台基本上都采用PKI构建其全局的认证体系,X.509证书通常作为网格用户的全局证书。对于滚动轴承生产的网格系统而言,由安全中心签署的属性断言也起到了网格用户全局证书的作用。滚动轴承生产在不同的网格系统中表现不一样,有的相对静态,具有较明显的地域或组织特性, 如:CGSP;有的相对动态,如群组或社区,如:GOS和CROWN。通常虚拟组织采用一种层次结构进行组织,滚动轴承生产中包含下级虚拟组织,有的网格平台的虚拟组织只具有单层次结构,有的网格平台的虚拟组织则具有多层次结构,层次的多少甚至是可变的,如VOMS。
。
2.2 网格安全互操作流程
SAML由标准化组织OASIS安全服务技术委员会提出,它是一种基于XML的框架,用于用户身份、权限、属性信息的交互,它包括两个关键组件:标识提供者IDP (IDentity Provider)和服务提供者SP(Service Provider)。IDP作为认证中心和授权中心,SP用于校验用户的身份和属性。采用SAML实现网格安全互操作具有通用性。为简单起见,假设两个网格平台,Grid1和Grid2,各具有一个IDP的情形,分别表示为IDP1和IDP2。在介绍安全互操作流程之前,给出安全互操作的必要功能要求:
下面对Grid1中的一个全局用户Ui访问Grid2中的资源/服务的安全互操作流程进行介绍。
步骤1. Ui -> IDP1,REQ(ATTR(Ui)),SUi(REQ(ATTR(Ui))), CredCA1->Ui
用户U i向本平台的标识提供者IDP1发送获取用户Ui属性的请求REQ(ATTR(Ui)),该请求的签名,以及由CA1签发的用户Ui信任状。
步骤 2. IDP1 ->Ui,ATTR(Ui),SIDP1(ATTR(Ui)), CredCA1->IDP1
标识提供者IDP1校验用户U i的身份后,响应该用户的请求,返回用户Ui属性ATTR(Ui) 。
步骤3. Ui ->IDP2 : REQ-MAPPING-POLICY, SUi(REQ-MAPPING-POLICY), ATTR(Ui), SUi(ATTR(Ui)), CredCA1->Ui
用户Ui向另一个平台的标识提供者IDP2发送策略映射请求REQ-MAPPING-POLICY,该请求由用户Ui签名,同时用户Ui把自己的属性集和属性签名,以及由CA1签发的信任状发给标识提供者IDP2。
步骤 4. IDP2->Ui: M2[Ui], SIDP2(M2[Ui]), CredCA2-> IDP2
另一网格平台的标识提供者IDP2验证用户身份后,根据用户Ui的属性集返回给该用户相关的映射策略集M2[Ui]和该映射策略集的签名,同时IDP2也把自身的信任状发给用户Ui, 若M2[Ui]为空,表示用户Ui在另一平台中没有映射关系,互操作流程终止。
步骤 5. Ui ->SPm: REQ-S, SUi(REQ-S), M2[Ui],SIDP2(M2[Ui]), CredCA1-> Ui
另一网格平台ngtaiguo若M2[Ui]不为空,用户Ui向另一网格平台中的服务提供者SPm发送服务请求REQ-S及其签名,IDP2签署的与用户Ui相关的映射策略及其签名,以及用户Ui信任状。
3. 参考文献:
[1]Foster, I., Kesselman, C.. Globus: A Metacomputing Infrastructure Toolkit. International Journal of Supercomputer Applications, 2003, 11(2): 115-128
[2]Foster, I. Globus Toolkit Version 4: Software for Service-Oriented Systems. IFIP International Conference on Network and Parallel Computing, Beijing, China, 2005. Berlin: Springer-Verlag LNCS 3779, 2005: 2-13
中国论文网(www.lunwen.net.cn)免费学术期刊论文发表,目录,论文查重入口,本科毕业论文怎么写,职称论文范文,论文摘要,论文文献资料,毕业论文格式,论文检测降重服务。