网格计算(Grid Computing)环境的出现使得大规模跨组织、跨区域的数据共享和分布式应用程序发布成为可能，其核心内容是以基础设施(Infrastructure)的方式对“虚拟组织”(Virtual Organization，简称VO)的创建和维护进行支持。由于网格的跨组织性，使得安全性支持在其中显得尤为重要。现有的网格安全体系GSI(Grid Security Infrastructure)中主要是通过公钥体系(Public Key Infrastructure，简称PKI)及建立于其上的分布式信任模型(Distributed Trust Model，主要采用X．509协议)来建立与维护虚拟组织内部的安全策略空间。然而，GSI中对可移动进程的支持并不理想，主要表现在 - 缺乏灵活的移动性支持，对于连续移动的进程安全操作复杂且保护力度不够； - 作为基础设施，无法提供更多的可用于监控与入侵检测的安全信息； - 对于一些跨组织旅行的移动进程(称作Grid Traveler)在信任机制(如授权、访问控制、责任追查)方面无法进行支持。 针对当前安全设施的以上不足，本文研究网格计算安全性问题，提出G-PASS移动程序安全体系。该体系建立在GSI基础上并向下兼容，并在“核心协议—信任模型—基础设施”由上到下三个层次上给出解决方案： 1．在PKI的基础上将X.509协议的代理(Delegation)部分进行扩充，由原有的“面向宿主机”(Host-Oriented)式代理模型改为“面向安全实例”(Instance-Oriented)式代理模型，并针对此模型对网格中移动程序的安全设计方式和常用操作进行修正，以对程序的移动性进行支持。 2．引入以安全实例作为单位的粗粒度分布式信任模型，其中包括对跨组织的角色转换与策略映射进行支持，以及权限代理预约(Delegation Reservation)等高级安全措施，并提出相关的算法(如基于角色的策略映射和访问控制等)。 3．在Instance-Oriented代理模型的基础上进行扩展，并模拟真实世界中的跨国旅行手续，来为G-PASS体系建立基础设施。其中包括通过模拟真实护照以对代理、授权和关键性信息提供安全载体的G-passport文档，以及用以处理穿越组织相关手续的虚拟海关G-custom，和用以进行代理预约与移动程序入侵监测的用户代理服务Exchange Service。 本文认为，作为一种安全性基础设施，应当提供的功能主要包括坚实的密码基础(已经在PKI中得以实现)、重要的基础性协议、可靠的传输保障、丰富的信息收集、高效的运行以及小而灵活的结构，而并不是提供太多应用程序特定的专用功能。并且，对于大规模异构性安全系统，着重点应该在监控目标行为和入侵检测而不是严格限制目标行为.G一PAsS就是在这样的指导思想下进行设计的。 G一队55体系适合于网格计算环境.这是因为其设施本身的体系结构与应用程序逻辑或系统拓扑结构无关，内核协议紧凑而具有一般性。G一队55墓础设施的发布无需修改应用程序逻辑和策略，并不会破坏网格节点内部的自治性。此外，G一PASS中的核心协议在PKJ层次上与Gsl完全兼容。除了通用性和兼容性之外，面对大规模的复杂的网格应用程序中的安全监控问题，G一队55可以确保其操作所涉及范围的局部性，以及控制操作的复杂度。 本文通过分析多个己经实现并投入使用的实例系统与一些标准的攻击模型，说明了G一队55体系的安全有效性。并通过这些系统实际运行中的测试数据证明了G一队55基础设施运行的高效性，以及其所带来的安全开销的有限性。关键字:网格、移动程序、安全、代理、基于角色的访问控制