基于PKI与LDAP光子网格认证机制研究.docVIP

基于PKI与LDAP光子网格认证机制研究 　　摘要:光子网格作为全新的网络技术,具有广阔的应用前景。首先介绍了它产生的背景,分析了它的体系结构。安全对光子网格的应用有着十分重要的影响,为了满足光子网格的特点,在现有的认证模型基础上,提出了基于PKI和LDAP的混合光子网格认证机制,提高了认证的可靠性。 　　关键词:光子网格;PKI;LDAP:认证机制;信任模型 　　中图分类号:TN919.3文献标识码:A文章编号:1672-3198(2009)11-0293-02 　　 　　0前言 　　 　　随着科学计算的不断发展,与以往相比,重要性成果的取得需要很多领域、地区的机构和科研工作者共同协调配合。这种工作方式对网络传输能力提出了很高的要求,而当今网络传输能力远远不能满足这种需求,迫切需要一种新的技术来解决这个问题。光网络巨大的通信容量和较高的性价比给问题的解决指明了方向,正是在这样的背景下推动了对光子网格的研究,它利用光网络将分布在各个地区的网格资源关联起来,为用户提供可靠的、高效的海量数据传输能力。 　　 　　1光子网格及其相关概念 　　 　　1.1光子网格 　　光子网格就是将光网络资源进行抽象化,融合其它网格资源,为用户提供动态可控的网格服务,实现资源共享的一种基础设施。光子网格的主要目标是按需地为网格业务提供光网络资源,使光网络资源与传统的应用资源一样,成为网格可共享、可调度和可管理的资源的一部分。 　　1.2光子网格特点 　　(1)网络传输容量巨大。光传送网通信容量非常强大,光子网格允许用户直接调用波长或光纤来满足自身需要。 　　(2)交换方式多样。互联网采用IP交换,这种交换方式阻碍了数据密集型业务的发展,而光子网格的传输粒度十分丰富,可以实现光纤、波长等不同的交换方式。 　　(3)动态分配带宽。光子网格采用智能技术对带宽实行动态、灵活可控的分配机智,满足不同用户的带宽需求。 　　(4)链路专用性。连接一经建立,链路只供用户独享,从而保证QoS。 　　(5)支持大文件或海量数据传输。光子网格主要是面向有科学计算、大容量传输等业务需求的用户。 　　1.3光子网格体系结构 　　光子网格自上而下分为三层,如图1所示: 　　(1)光子网格应用层,各种各样的应用得以实现。 　　(2)光子网格管理层,是连接用户和资源的桥梁,是整个体系结构的核心。 　　(3)光子网格资源层。它包含了光网络资源和其它网格资源,光网络又分为两层:控制平面和传输平面。 　　图1光子网格体系结构 　　 　　2PKI概念及信任模型 　　 　　2.1PKI概念 　　PKI(Public Key Infrastructure,公钥基础设施)是一个基础设施,利用非对称密码算法的原理和技术来实现,提供安全的服务并且具有通用性的安全。PKI首先必须具有可信任的认证机构,在公钥加密技术基础之上实现知识的产生、管理、存档、发放和证书类型等管理功能,并包括实现这些功能的软硬件、人力资源、相关政策和操作规范,以及所提供的服务。 　　2.2PKI提供的核心服务 　　(1)认证,即为身份识别与鉴别,是一个实体向另一个实体确认身份。 　　(2)完整性,确认数据没有被修改过。 　　(3)保密性,也称机密性服务,确保数据的秘密。 　　2.3光子网格信任模型 　　目前,PKI认证系统信任模型主要有:严格层次模型、分布式信任模型、Web结构模型和以用户为中心的模型。基于光子网格资源分布具有分散性和异构性的特点,所以本文采用分布式信任模型。分布式信任模型把信任分散到两个或更多个CA(Certificate Authority,认证机构)上,它们相互之间进行交叉认证。它最大的特点是在于它的灵活性,使信任域的扩展非常方便,其结构如图2所示。但是它的可管理性差,随着CA数量的增加,认证路径的构建是一件非常困难的事情,可能会出现多条认证路径,使证书验证变得困难。分布式信任模型一般适用于规模不大、数量不多、地位平等的组织群体。 　　图2分布式信任结构 　　2.4LDAP协议简介 　　LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)采用目录树结构,以树状层次结构存储数据。主要特点如下: 　　(1)LDAP可以实现一个通用的平台结构。 　　(2)能够提供操作系统和应用程序需要的信息服务类型,并被许多平台和应用程序接收和实现。 　　(3)支持异构数据存储。 　　(4)LDAP服务器安装简单,容易维护和优化。 　　(5)直接运行在TCP/IP体系之上,开销小,提高了传输性能。 　　2.5混合认证信任模型 　　结合上述二者的特点,本文提出了一种基于二者的混合认证信任模型,如图3所示。 　　图3混合认证信任模型 　　这种混合认证信任模型在工作是当用户和资源