随着网格计算和网格服务的不断发展,网格逐渐发展成能够提供高性能计算和信息服务的战略性基础设施.网格安全是网格发展中的一个非常重要的问题,只有当网格系统能提供安全可靠的服务之后,其大规模的推广和应用才能得以实现.而由于其用户和资源的动态性及非集中控制等许多特点,网格中的信任关系与传统网络又有很大不同.传统网络中的信任关系相对稳定,一般以内部网和外部网来区分信任等级,对内部网的信任程度较高,在内部网与外部网间建立防火墙等安全边界来区分这样的信任关系,并通过使用较严格的访问控制机制和IDS对信任程度较低的外部网的访问进行限制.但在网格中没有这样的边界存在,各实体按照一个共同的应用目的确定相互间的信任关系,展开交互.在完成这个目的之后,调整信任关系,停止交互,直到下一次按照某个新的目的,重新建立联系.由于网格中的信任关系的这种特点,如何制定网格中的安全策略,如何建立一个体系去执行这些安全策略,保证网格中的用户和提供资源的主机的安全,保证网格按其参与者的预期运行下去,就成为网格发展的核心问题之一.由于网格安全是网格研究的一个重要问题,众多研究者已经对此方面进行了一定的研究,建立了一系列网格安全机制,如GSI,CAS,VOMS,Akenti,Permis等.这些机制都对网格安全管理的特定方面进行了设计,但对这样一些问题没有做详细的综合的探讨:没有对由于网格本身的特点而产生的新信任关系给予足够的重视,没有充分考虑与传统安全边界的结合问题,没有考虑网格系统中多个不同安全实体间的协作问题及其动作一致性的问题等等.本文提出了一个合理可行的完整的安全策略实施模型SPIM(Security Policy Implementation model),基于网格中的新信任关系,通过各个实体间的协作,执行安全策略,完成安全工作.具体工作主要包括:基于对网格动态性和非集中控制等特点的分析,在尊重传统安全管理域自主管理的前提下,构建SPIM,确立其需要的安全管理实体及其职责.在SPIM框架下,借鉴SLA协商思想,提出一种网格动态授权方式.通过用户和资源的协商,由网格管理实体按策略规定形成绑定,做出授权决定.借鉴现实社会中的信用体系,在网格中引入信任参数,将其作为对动态授权结果执行情况的反馈.定义了在哪些实体间使用该参数以及其更新方法.分析,研究,比较了多种安全策略表达方式及安全决定传递方式.根据WS-policy及SAML规范,给出了网格安全策略及决定的标记方法.