魏 晉 丁金金 邵海霞

摘要:光子網(wǎng)格作為全新的網(wǎng)絡技術,具有廣闊的應用前景。首先介紹了它產(chǎn)生的背景,分析了它的體系結構。安全對光子網(wǎng)格的應用有著十分重要的影響,為了滿足光子網(wǎng)格的特點,在現(xiàn)有的認證模型基礎上,提出了基于PKI和LDAP的混合光子網(wǎng)格認證機制,提高了認證的可靠性。

關鍵詞:光子網(wǎng)格;PKI;LDAP:認證機制;信任模型

中圖分類號:TN919.3文獻標識碼:A文章編號:1672-3198(2009)11-0293-02

0前言

隨著科學計算的不斷發(fā)展,與以往相比,重要性成果的取得需要很多領域、地區(qū)的機構和科研工作者共同協(xié)調(diào)配合。這種工作方式對網(wǎng)絡傳輸能力提出了很高的要求,而當今網(wǎng)絡傳輸能力遠遠不能滿足這種需求,迫切需要一種新的技術來解決這個問題。光網(wǎng)絡巨大的通信容量和較高的性價比給問題的解決指明了方向,正是在這樣的背景下推動了對光子網(wǎng)格的研究,它利用光網(wǎng)絡將分布在各個地區(qū)的網(wǎng)格資源關聯(lián)起來,為用戶提供可靠的、高效的海量數(shù)據(jù)傳輸能力。

1光子網(wǎng)格及其相關概念

1.1光子網(wǎng)格

光子網(wǎng)格就是將光網(wǎng)絡資源進行抽象化,融合其它網(wǎng)格資源,為用戶提供動態(tài)可控的網(wǎng)格服務,實現(xiàn)資源共享的一種基礎設施。光子網(wǎng)格的主要目標是按需地為網(wǎng)格業(yè)務提供光網(wǎng)絡資源,使光網(wǎng)絡資源與傳統(tǒng)的應用資源一樣,成為網(wǎng)格可共享、可調(diào)度和可管理的資源的一部分。

1.2光子網(wǎng)格特點

(1)網(wǎng)絡傳輸容量巨大。光傳送網(wǎng)通信容量非常強大,光子網(wǎng)格允許用戶直接調(diào)用波長或光纖來滿足自身需要。

(2)交換方式多樣?；ヂ?lián)網(wǎng)采用IP交換,這種交換方式阻礙了數(shù)據(jù)密集型業(yè)務的發(fā)展,而光子網(wǎng)格的傳輸粒度十分豐富,可以實現(xiàn)光纖、波長等不同的交換方式。

(3)動態(tài)分配帶寬。光子網(wǎng)格采用智能技術對帶寬實行動態(tài)、靈活可控的分配機智,滿足不同用戶的帶寬需求。

(4)鏈路專用性。連接一經(jīng)建立,鏈路只供用戶獨享,從而保證QoS。

(5)支持大文件或海量數(shù)據(jù)傳輸。光子網(wǎng)格主要是面向有科學計算、大容量傳輸?shù)葮I(yè)務需求的用戶。

1.3光子網(wǎng)格體系結構

光子網(wǎng)格自上而下分為三層,如圖1所示:

(1)光子網(wǎng)格應用層,各種各樣的應用得以實現(xiàn)。

(2)光子網(wǎng)格管理層,是連接用戶和資源的橋梁,是整個體系結構的核心。

(3)光子網(wǎng)格資源層。它包含了光網(wǎng)絡資源和其它網(wǎng)格資源,光網(wǎng)絡又分為兩層:控制平面和傳輸平面。

圖1光子網(wǎng)格體系結構

2PKI概念及信任模型

2.1PKI概念

PKI(Public Key Infrastructure,公鑰基礎設施)是一個基礎設施,利用非對稱密碼算法的原理和技術來實現(xiàn),提供安全的服務并且具有通用性的安全。PKI首先必須具有可信任的認證機構,在公鑰加密技術基礎之上實現(xiàn)知識的產(chǎn)生、管理、存檔、發(fā)放和證書類型等管理功能,并包括實現(xiàn)這些功能的軟硬件、人力資源、相關政策和操作規(guī)范,以及所提供的服務。

2.2PKI提供的核心服務

(1)認證,即為身份識別與鑒別,是一個實體向另一個實體確認身份。

(2)完整性,確認數(shù)據(jù)沒有被修改過。

(3)保密性,也稱機密性服務,確保數(shù)據(jù)的秘密。

2.3光子網(wǎng)格信任模型

目前,PKI認證系統(tǒng)信任模型主要有:嚴格層次模型、分布式信任模型、Web結構模型和以用戶為中心的模型?；诠庾泳W(wǎng)格資源分布具有分散性和異構性的特點,所以本文采用分布式信任模型。分布式信任模型把信任分散到兩個或更多個CA(Certificate Authority,認證機構)上,它們相互之間進行交叉認證。它最大的特點是在于它的靈活性,使信任域的擴展非常方便,其結構如圖2所示。但是它的可管理性差,隨著CA數(shù)量的增加,認證路徑的構建是一件非常困難的事情,可能會出現(xiàn)多條認證路徑,使證書驗證變得困難。分布式信任模型一般適用于規(guī)模不大、數(shù)量不多、地位平等的組織群體。

圖2分布式信任結構

2.4LDAP協(xié)議簡介

LDAP(Lightweight Directory Access Protocol,輕量級目錄訪問協(xié)議)采用目錄樹結構,以樹狀層次結構存儲數(shù)據(jù)。主要特點如下:

(1)LDAP可以實現(xiàn)一個通用的平臺結構。

(2)能夠提供操作系統(tǒng)和應用程序需要的信息服務類型,并被許多平臺和應用程序接收和實現(xiàn)。

(3)支持異構數(shù)據(jù)存儲。

(4)LDAP服務器安裝簡單,容易維護和優(yōu)化。

(5)直接運行在TCP/IP體系之上,開銷小,提高了傳輸性能。

2.5混合認證信任模型

結合上述二者的特點,本文提出了一種基于二者的混合認證信任模型,如圖3所示。

圖3混合認證信任模型

這種混合認證信任模型在工作是當用戶和資源發(fā)出認證請求時,如果此請求在相同根CA下則立即交叉認證,否則通過LDAP提供的目錄查詢服務快速確認目標CA進行確認,通過該混合認證模型可以極大地提高認證效率。

3結論

光子網(wǎng)格作為一種全新的網(wǎng)絡技術,具有廣闊的應用前景。但安全性能是制約其進一步發(fā)展的瓶頸,PKI中的分布式信任模型能夠為解決這一難題提供了很好的方法。同時,分布式信任模型其自身的不足限制了它的應用規(guī)模,迫切需要一種新的方法予以完善。LDAP為其指明了方向,基于PKI和LDAP的混合光子網(wǎng)格信任模型具備了二者的優(yōu)點,又彌補了PKI分布式信任模型的不足。

參考文獻

[1]@劉冬梅,光子網(wǎng)格中資源管理及數(shù)據(jù)傳輸機制關鍵技術研究[D].北京郵電大學博士學位論文,2007.

[2]@張仕斌,模糊信任模型及國家級PKI體系的研究[D].西南交通大學博士學位論文,2006.

[3]@王維盛,基于目錄服務LDAP的網(wǎng)格信任模型研究[D].西北師范大學碩士學位論文,2007.

[4]@李馥娟,基于LDAP的統(tǒng)一身份認證系統(tǒng)的設計[J].中國新通信,2009,(9):48-51.