论文摘要：网格环境中跨异构域的身份鉴别系统的研究与实现

身份鉴别是安全访问的前提，网格环境中存在因为基础安全设施不同而异构的安全域（以下简称异构域），异构域使用类型不同的信任证，这使得传统的身份鉴别技术无法对跨异构域访问的用户身份进行鉴别，从而无法保证异构域资源共享的安全性，妨碍了网格资源一体化的进程。因此解决网格环境中跨异构域的身份鉴别问题迫在眉睫。PKI机制和Kerbero协议是目前应用最为广泛的基础安全设施。本文对国内外相关工作做了介绍和比较，并设计实现了一个支持PKI域和Kerberos域之间跨异构域的身份鉴别系统，为网格环境中这两个异构域之间的资源的安全共享提供了前提。本文首先把跨异构域的身份鉴别分解成为三个步骤：信任证鉴别、身份映射和信任证转换，然后分析了这三个步骤目前各自的功能特性以及存在的问题，从而进一步明确跨异构域的身份鉴别系统的设计目标和功能需求；而后参考三个步骤目前的相关技术，在可扩展性，可移植性和互操作性的目标指导下，提出了跨异构域的身份鉴别系统的设计方法，并依据该设计思路设计了一个层次化的跨异构域的身份鉴别系统（Credential Federation，简称CredFed）。该系统遵循WS-Security,WS-Trust和WS-SecureConversation规范，由业务逻辑层和策略层组成。业务逻辑层中信任证鉴别模块采用GSS-API机制实现，拓展了SSL协议和RFC1964，提供统一功能接口屏蔽PKI域和Kerberos域鉴别流程的不同，并且可以被其他有信任证鉴别需求的网格服务和Web服务使用；身份映射模块采用正则表达式表达映射方案，并提出了OID排序算法简化正则表达式的书写和查询效率；信任证转换模块实现了X.509证书和Kerbeos票据的在线颁发，并独立于现有的多种Kerberos实现便于和采用不同实现的Kerberos域相兼容。本文最后详细介绍了CredFed在CROWN网格平台中的应用，设计实验对系统性能做了评估，最后针对系统不足对下一步工作提出展望。