基于PKI和LDAP光子網格認證機制研究

魏 晉 丁金金 邵海霞

摘要:光子網格作為全新的網絡技術,具有廣闊的應用前景。首先介紹了它產生的背景,分析了它的體系結構。安全對光子網格的應用有著十分重要的影響,為了滿足光子網格的特點,在現有的認證模型基礎上,提出了基于PKI和LDAP的混合光子網格認證機制,提高了認證的可靠性。

關鍵詞:光子網格;PKI;LDAP:認證機制;信任模型

中圖分類號:TN919.3文獻標識碼:A文章編號:1672-3198(2009)11-0293-02

0前言

隨著科學計算的不斷發(fā)展,與以往相比,重要性成果的取得需要很多領域、地區(qū)的機構和科研工作者共同協調配合。這種工作方式對網絡傳輸能力提出了很高的要求,而當今網絡傳輸能力遠遠不能滿足這種需求,迫切需要一種新的技術來解決這個問題。光網絡巨大的通信容量和較高的性價比給問題的解決指明了方向,正是在這樣的背景下推動了對光子網格的研究,它利用光網絡將分布在各個地區(qū)的網格資源關聯起來,為用戶提供可靠的、高效的海量數據傳輸能力。

1光子網格及其相關概念

1.1光子網格

光子網格就是將光網絡資源進行抽象化,融合其它網格資源,為用戶提供動態(tài)可控的網格服務,實現資源共享的一種基礎設施。光子網格的主要目標是按需地為網格業(yè)務提供光網絡資源,使光網絡資源與傳統(tǒng)的應用資源一樣,成為網格可共享、可調度和可管理的資源的一部分。

1.2光子網格特點

(1)網絡傳輸容量巨大。光傳送網通信容量非常強大,光子網格允許用戶直接調用波長或光纖來滿足自身需要。

(2)交換方式多樣。互聯網采用IP交換,這種交換方式阻礙了數據密集型業(yè)務的發(fā)展,而光子網格的傳輸粒度十分豐富,可以實現光纖、波長等不同的交換方式。

(3)動態(tài)分配帶寬。光子網格采用智能技術對帶寬實行動態(tài)、靈活可控的分配機智,滿足不同用戶的帶寬需求。

(4)鏈路專用性。連接一經建立,鏈路只供用戶獨享,從而保證QoS。

(5)支持大文件或海量數據傳輸。光子網格主要是面向有科學計算、大容量傳輸等業(yè)務需求的用戶。

1.3光子網格體系結構

光子網格自上而下分為三層,如圖1所示:

(1)光子網格應用層,各種各樣的應用得以實現。

(2)光子網格管理層,是連接用戶和資源的橋梁,是整個體系結構的核心。

(3)光子網格資源層。它包含了光網絡資源和其它網格資源,光網絡又分為兩層:控制平面和傳輸平面。

圖1光子網格體系結構

2PKI概念及信任模型

2.1PKI概念

PKI(Public Key Infrastructure,公鑰基礎設施)是一個基礎設施,利用非對稱密碼算法的原理和技術來實現,提供安全的服務并且具有通用性的安全。PKI首先必須具有可信任的認證機構,在公鑰加密技術基礎之上實現知識的產生、管理、存檔、發(fā)放和證書類型等管理功能,并包括實現這些功能的軟硬件、人力資源、相關政策和操作規(guī)范,以及所提供的服務。

2.2PKI提供的核心服務

(1)認證,即為身份識別與鑒別,是一個實體向另一個實體確認身份。

(2)完整性,確認數據沒有被修改過。

(3)保密性,也稱機密性服務,確保數據的秘密。

2.3光子網格信任模型

目前,PKI認證系統(tǒng)信任模型主要有:嚴格層次模型、分布式信任模型、Web結構模型和以用戶為中心的模型?；诠庾泳W格資源分布具有分散性和異構性的特點,所以本文采用分布式信任模型。分布式信任模型把信任分散到兩個或更多個CA(Certificate Authority,認證機構)上,它們相互之間進行交叉認證。它最大的特點是在于它的靈活性,使信任域的擴展非常方便,其結構如圖2所示。但是它的可管理性差,隨著CA數量的增加,認證路徑的構建是一件非常困難的事情,可能會出現多條認證路徑,使證書驗證變得困難。分布式信任模型一般適用于規(guī)模不大、數量不多、地位平等的組織群體。

圖2分布式信任結構

2.4LDAP協議簡介

LDAP(Lightweight Directory Access Protocol,輕量級目錄訪問協議)采用目錄樹結構,以樹狀層次結構存儲數據。主要特點如下:

(1)LDAP可以實現一個通用的平臺結構。

(2)能夠提供操作系統(tǒng)和應用程序需要的信息服務類型,并被許多平臺和應用程序接收和實現。

(3)支持異構數據存儲。

(4)LDAP服務器安裝簡單,容易維護和優(yōu)化。

(5)直接運行在TCP/IP體系之上,開銷小,提高了傳輸性能。

2.5混合認證信任模型

結合上述二者的特點,本文提出了一種基于二者的混合認證信任模型,如圖3所示。

圖3混合認證信任模型

這種混合認證信任模型在工作是當用戶和資源發(fā)出認證請求時,如果此請求在相同根CA下則立即交叉認證,否則通過LDAP提供的目錄查詢服務快速確認目標CA進行確認,通過該混合認證模型可以極大地提高認證效率。

3結論

光子網格作為一種全新的網絡技術,具有廣闊的應用前景。但安全性能是制約其進一步發(fā)展的瓶頸,PKI中的分布式信任模型能夠為解決這一難題提供了很好的方法。同時,分布式信任模型其自身的不足限制了它的應用規(guī)模,迫切需要一種新的方法予以完善。LDAP為其指明了方向,基于PKI和LDAP的混合光子網格信任模型具備了二者的優(yōu)點,又彌補了PKI分布式信任模型的不足。

參考文獻

[1]@劉冬梅,光子網格中資源管理及數據傳輸機制關鍵技術研究[D].北京郵電大學博士學位論文,2007.

[2]@張仕斌,模糊信任模型及國家級PKI體系的研究[D].西南交通大學博士學位論文,2006.

[3]@王維盛,基于目錄服務LDAP的網格信任模型研究[D].西北師范大學碩士學位論文,2007.

[4]@李馥娟,基于LDAP的統(tǒng)一身份認證系統(tǒng)的設計[J].中國新通信,2009,(9):48-51.