魏 晉 丁金金 邵海霞

摘要:光子網(wǎng)格作為全新的網(wǎng)絡(luò)技術(shù),具有廣闊的應(yīng)用前景。首先介紹了它產(chǎn)生的背景,分析了它的體系結(jié)構(gòu)。安全對(duì)光子網(wǎng)格的應(yīng)用有著十分重要的影響,為了滿足光子網(wǎng)格的特點(diǎn),在現(xiàn)有的認(rèn)證模型基礎(chǔ)上,提出了基于PKI和LDAP的混合光子網(wǎng)格認(rèn)證機(jī)制,提高了認(rèn)證的可靠性。

關(guān)鍵詞:光子網(wǎng)格;PKI;LDAP:認(rèn)證機(jī)制;信任模型

中圖分類號(hào):TN919.3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1672-3198(2009)11-0293-02

0前言

隨著科學(xué)計(jì)算的不斷發(fā)展,與以往相比,重要性成果的取得需要很多領(lǐng)域、地區(qū)的機(jī)構(gòu)和科研工作者共同協(xié)調(diào)配合。這種工作方式對(duì)網(wǎng)絡(luò)傳輸能力提出了很高的要求,而當(dāng)今網(wǎng)絡(luò)傳輸能力遠(yuǎn)遠(yuǎn)不能滿足這種需求,迫切需要一種新的技術(shù)來解決這個(gè)問題。光網(wǎng)絡(luò)巨大的通信容量和較高的性價(jià)比給問題的解決指明了方向,正是在這樣的背景下推動(dòng)了對(duì)光子網(wǎng)格的研究,它利用光網(wǎng)絡(luò)將分布在各個(gè)地區(qū)的網(wǎng)格資源關(guān)聯(lián)起來,為用戶提供可靠的、高效的海量數(shù)據(jù)傳輸能力。

1光子網(wǎng)格及其相關(guān)概念

1.1光子網(wǎng)格

光子網(wǎng)格就是將光網(wǎng)絡(luò)資源進(jìn)行抽象化,融合其它網(wǎng)格資源,為用戶提供動(dòng)態(tài)可控的網(wǎng)格服務(wù),實(shí)現(xiàn)資源共享的一種基礎(chǔ)設(shè)施。光子網(wǎng)格的主要目標(biāo)是按需地為網(wǎng)格業(yè)務(wù)提供光網(wǎng)絡(luò)資源,使光網(wǎng)絡(luò)資源與傳統(tǒng)的應(yīng)用資源一樣,成為網(wǎng)格可共享、可調(diào)度和可管理的資源的一部分。

1.2光子網(wǎng)格特點(diǎn)

(1)網(wǎng)絡(luò)傳輸容量巨大。光傳送網(wǎng)通信容量非常強(qiáng)大,光子網(wǎng)格允許用戶直接調(diào)用波長(zhǎng)或光纖來滿足自身需要。

(2)交換方式多樣?；ヂ?lián)網(wǎng)采用IP交換,這種交換方式阻礙了數(shù)據(jù)密集型業(yè)務(wù)的發(fā)展,而光子網(wǎng)格的傳輸粒度十分豐富,可以實(shí)現(xiàn)光纖、波長(zhǎng)等不同的交換方式。

(3)動(dòng)態(tài)分配帶寬。光子網(wǎng)格采用智能技術(shù)對(duì)帶寬實(shí)行動(dòng)態(tài)、靈活可控的分配機(jī)智,滿足不同用戶的帶寬需求。

(4)鏈路專用性。連接一經(jīng)建立,鏈路只供用戶獨(dú)享,從而保證QoS。

(5)支持大文件或海量數(shù)據(jù)傳輸。光子網(wǎng)格主要是面向有科學(xué)計(jì)算、大容量傳輸?shù)葮I(yè)務(wù)需求的用戶。

1.3光子網(wǎng)格體系結(jié)構(gòu)

光子網(wǎng)格自上而下分為三層,如圖1所示:

(1)光子網(wǎng)格應(yīng)用層,各種各樣的應(yīng)用得以實(shí)現(xiàn)。

(2)光子網(wǎng)格管理層,是連接用戶和資源的橋梁,是整個(gè)體系結(jié)構(gòu)的核心。

(3)光子網(wǎng)格資源層。它包含了光網(wǎng)絡(luò)資源和其它網(wǎng)格資源,光網(wǎng)絡(luò)又分為兩層:控制平面和傳輸平面。

圖1光子網(wǎng)格體系結(jié)構(gòu)

2PKI概念及信任模型

2.1PKI概念

PKI(Public Key Infrastructure,公鑰基礎(chǔ)設(shè)施)是一個(gè)基礎(chǔ)設(shè)施,利用非對(duì)稱密碼算法的原理和技術(shù)來實(shí)現(xiàn),提供安全的服務(wù)并且具有通用性的安全。PKI首先必須具有可信任的認(rèn)證機(jī)構(gòu),在公鑰加密技術(shù)基礎(chǔ)之上實(shí)現(xiàn)知識(shí)的產(chǎn)生、管理、存檔、發(fā)放和證書類型等管理功能,并包括實(shí)現(xiàn)這些功能的軟硬件、人力資源、相關(guān)政策和操作規(guī)范,以及所提供的服務(wù)。

2.2PKI提供的核心服務(wù)

(1)認(rèn)證,即為身份識(shí)別與鑒別,是一個(gè)實(shí)體向另一個(gè)實(shí)體確認(rèn)身份。

(2)完整性,確認(rèn)數(shù)據(jù)沒有被修改過。

(3)保密性,也稱機(jī)密性服務(wù),確保數(shù)據(jù)的秘密。

2.3光子網(wǎng)格信任模型

目前,PKI認(rèn)證系統(tǒng)信任模型主要有:嚴(yán)格層次模型、分布式信任模型、Web結(jié)構(gòu)模型和以用戶為中心的模型?；诠庾泳W(wǎng)格資源分布具有分散性和異構(gòu)性的特點(diǎn),所以本文采用分布式信任模型。分布式信任模型把信任分散到兩個(gè)或更多個(gè)CA(Certificate Authority,認(rèn)證機(jī)構(gòu))上,它們相互之間進(jìn)行交叉認(rèn)證。它最大的特點(diǎn)是在于它的靈活性,使信任域的擴(kuò)展非常方便,其結(jié)構(gòu)如圖2所示。但是它的可管理性差,隨著CA數(shù)量的增加,認(rèn)證路徑的構(gòu)建是一件非常困難的事情,可能會(huì)出現(xiàn)多條認(rèn)證路徑,使證書驗(yàn)證變得困難。分布式信任模型一般適用于規(guī)模不大、數(shù)量不多、地位平等的組織群體。

圖2分布式信任結(jié)構(gòu)

2.4LDAP協(xié)議簡(jiǎn)介

LDAP(Lightweight Directory Access Protocol,輕量級(jí)目錄訪問協(xié)議)采用目錄樹結(jié)構(gòu),以樹狀層次結(jié)構(gòu)存儲(chǔ)數(shù)據(jù)。主要特點(diǎn)如下:

(1)LDAP可以實(shí)現(xiàn)一個(gè)通用的平臺(tái)結(jié)構(gòu)。

(2)能夠提供操作系統(tǒng)和應(yīng)用程序需要的信息服務(wù)類型,并被許多平臺(tái)和應(yīng)用程序接收和實(shí)現(xiàn)。

(3)支持異構(gòu)數(shù)據(jù)存儲(chǔ)。

(4)LDAP服務(wù)器安裝簡(jiǎn)單,容易維護(hù)和優(yōu)化。

(5)直接運(yùn)行在TCP/IP體系之上,開銷小,提高了傳輸性能。

2.5混合認(rèn)證信任模型

結(jié)合上述二者的特點(diǎn),本文提出了一種基于二者的混合認(rèn)證信任模型,如圖3所示。

圖3混合認(rèn)證信任模型

這種混合認(rèn)證信任模型在工作是當(dāng)用戶和資源發(fā)出認(rèn)證請(qǐng)求時(shí),如果此請(qǐng)求在相同根CA下則立即交叉認(rèn)證,否則通過LDAP提供的目錄查詢服務(wù)快速確認(rèn)目標(biāo)CA進(jìn)行確認(rèn),通過該混合認(rèn)證模型可以極大地提高認(rèn)證效率。

3結(jié)論

光子網(wǎng)格作為一種全新的網(wǎng)絡(luò)技術(shù),具有廣闊的應(yīng)用前景。但安全性能是制約其進(jìn)一步發(fā)展的瓶頸,PKI中的分布式信任模型能夠?yàn)榻鉀Q這一難題提供了很好的方法。同時(shí),分布式信任模型其自身的不足限制了它的應(yīng)用規(guī)模,迫切需要一種新的方法予以完善。LDAP為其指明了方向,基于PKI和LDAP的混合光子網(wǎng)格信任模型具備了二者的優(yōu)點(diǎn),又彌補(bǔ)了PKI分布式信任模型的不足。

參考文獻(xiàn)

[1]@劉冬梅,光子網(wǎng)格中資源管理及數(shù)據(jù)傳輸機(jī)制關(guān)鍵技術(shù)研究[D].北京郵電大學(xué)博士學(xué)位論文,2007.

[2]@張仕斌,模糊信任模型及國家級(jí)PKI體系的研究[D].西南交通大學(xué)博士學(xué)位論文,2006.

[3]@王維盛,基于目錄服務(wù)LDAP的網(wǎng)格信任模型研究[D].西北師范大學(xué)碩士學(xué)位論文,2007.

[4]@李馥娟,基于LDAP的統(tǒng)一身份認(rèn)證系統(tǒng)的設(shè)計(jì)[J].中國新通信,2009,(9):48-51.