随着互联网络的迅速普及和计算机软件与硬件的功能越来越强大,人们对计算应用需求朝着高性能、多样性、多功能发展,网格计算的概念随之应运而生。网格计算建立在同时使用大量的资源、动态的资源请求、对多个管理域中资源的使用、复杂的通信结构,以及严格的性能要求之上,传统的分布式系统安全技术已不能满足网格安全的需要。 在这种背景下,本文旨在深入研究网格计算的安全体系结构,对已有的安全组件进行比较,重点探讨网格中的访问控制技术。分析了Globus项目中的网格安全基础设施GSI的设计方案;结合基于角色的访问控制,我们开发了授权管理基础设施PMI和以过滤器方式实现的中间件;同时提出了一种网格环境下的基于角色的访问控制模型以及应用安全断言标记语言SAML实现跨域的单点登录。 本文共分六个部分。第一部分是对网格计算的综述,介绍了网格计算的概念和特点。第二部分介绍了两种网络体系结构,包括五层沙漏结构和OGSA体系结构,并对两种结构的特点进行了简要的分析。第三部分研究了网格计算体系结构的安全机制,提出了网格安全面临的主要问题,明确阐明网格安全的要求,分析了Globus Toolkit 3.0的安全组件。第四部分首先介绍了Globus项目中的网格安全基础设施GSI,对目前的分布式安全技术进行一个简要的描述和比较,然后提出了一个基于GSI的网格安全解决方案,详细说明了安全策略设计细节、安全策略的实现以及Globus API工具包的使用。第五部分先介绍了基于角色的访问控制模型RBAC,然后提出PMI设计方案,系统说明了属性证书的使用机制、策略管理系统各模块的功能实现以及PMI中间件开发流程和应用原理。在这一部分中,着重分析了中间件以过滤器方式实现的步骤和安全Cookies的设计原理。第六部分是本文的重点,首先给出一种网格环境下基于角色的访问控制模型,并分析了它的通用性。SAML作为基于XML安全信息交换的框架,逐渐得到广泛应用。本章对SAML的设计目标、工作原理以及规范组成都进行了详细的说明,举例说明SAML检索的过程,在此基础上设计了应用SAML的跨域单点登录,实现了域间的角色管理验证授权解决方案。