（应用数学专业论文）网格安全代理及其安全框架.pdf

网格安全代理及其安全框架 摘要 网格普遍被认为是第三代因特网，试图实现互联网上所有资源的 全面连通，包括计算资源、存储资源、通信资源、软件资源、信息资 源、知识资源等。网格的理想是使大家使用网络资源象使用电力一样 的方便。 网格的信息安全是网格生存和发展的基础，而安全代理是网格安 全的基础。本文在介绍了网格代理的基本原理和方法的基础上，详细 讨论了网格代理证书的安全存贮服务 勾p r o x y 现存的安全问题 和解决方案。 m y p r o x y 的思想，简言之，就是希望由专门的专业的服务来代替 用户管理用户的私钥和安全证书。作为鉴定的重要依据的身份证书和 私钥储存在当地用户的计算机里，在一个专门存放证书或有序的文件 里。用户的证明文件是由信息库收集和管理的。m y p r o x y 是网格的证 书信息库，用户在任何时候、地点都能方便的取回自己的证书。 本文讨论的是m y p r o x y 系统的两个安全隐患。首先对于作为持有 网格代理证书，代表用户来进行工作的网格门户，必须防止恶意攻击 者窃取用户的i d 和密码。其次，私钥的安全必须单独的拿出来进行 讨论。 本文详细分析了o t p 和硬件保护私钥两种方法保护m y p r o x y 系统 的原因和利弊，并且将o t p 与硬件保护私钥这两种方法联系在一起， 针对现有的m y p r o x y 系统存在的问题，提出了安全的m y p r o x y 框架。 在安全的m y p r o x y 框架下，网格用户如何申请证书以及提交工作 的流程是本文的主要工作。 关键词：网格；安全代理证书；m y p r o x y ；密钥；o t p ；硬件安全 网格安全代理及其安全模型 a b s t r a c t g r i d ，d e e m e da st h et h i r dg e n e r a t i o ni n t e r n e t ，t r i e st ol i n ka l l t h e r e s o u r c e si nt h ei n t e m e t ，w h i c hi n c l u d ec o m p u t a t i o nr e s o u r c e s 、s t o r a g e r e s o u r c e s 、c o m m u n i c a t i o nr e s o u r c e s 、s o f t w a r er e s o u r c e s 、i n f o r m a t i o n r e s o u r c e sa n ds o0 1 3 t h ei d e a lo fg r i di st ob r i n gg r i du s e rt h e c o n v e n i e n c ea se l e c t r i cp o w e r t h es e c u r i t yi st h eb a s e o fs u r v i v a la n dd e v e l o p m e n t ，w h i l et h e s e c u r i t yp r o x yi s t h eb a s eo fg r i ds e c u r i t y t h i sp a p e rd i s c u s s e st h e s e c u r i t yp r o b l e m so fc r e d e n t i a lr e p o s i t o r yf o rt h eg r i d ：m y p r o x y , a n di t s s o l u t i o no nt h eb a s eo fi n t r o d u c i n gt h ef u n d a m e n t a la n dw a y so fg r i d c r e d e n t i a l s ，t h ep a p e ra l s oa d v a n c e sas e c u r ef r a m eo fm y p r o x y f u r t h e r m o r et h es e c u r ep r o b l e m sa n ds o l u t i o no fi t m y p r o x yw a n t st op r o v i d et h ee x p e r ts e r v i c et om a n a g eu s e r sp r i v a t e k e ya n ds e c u r i t yc e r t i f i c a t ef o ru s e r s t h em y p r o x ys e r v i c eh a sp r o v e n u s e f u lf o rw e bp o r t a l st og r i dr e s o u r c e s au s e rc a nu s et h em y p r o x y c l i e n tt op l a c eap r o x yi n t ot h es e r v i c e sr e p o s i t o r y s o m e t i m el a t e r , t h e c l i e n tc a nt h e nl o g i nt oaw e bp o r t a lf r o ma n y w h e r eu s i n gan a n l ea n d p a s s w o r d t h ep o r t a lc a nt h e nu s et h em y p r o x y c l i e n tt or e t r i e v eap r o x y f o rt h eu s e rf r o mt h em y p r o x ys e r v i c e t h i sp a p e rd i s c u s s e st w os e c u r i t yh i d d e nt r o u b l eo fm y p r o x y f i r s t w em u s tp r e v e n ta t t a c k e rf r o ms t e a l i n gu s e r si da n dk e y s e c o n d ， s e c u r i t yo f p r i v a t ek e ym u s tb ep r e s e n t e dt od i s c u s s t h i sp a p e rp r e s e n t st w ow a y s ，o t pa n dh a r d w a r e - s e c u r e dk e y ，协 p r o t e c tm y p r o x y ，a n a l y s e st h e i ra d v a n t a g e sa n dd i s a d v a n t a g e s ，a n d p r o p o s e san e ww a yt os o l v et h ep r o b l e mo fm y p r o x yi ne x i s t e n c e t h em a i nj o bo f t h i sp a p e ri sh o wt oa p p l yf o rc r e d e n t i a la n ds u b m i t j o bf o rg r i du s e r k e yw o r d s ： g r i d ；c r e d e n t i a l ；p r o x yc r e d e n t i a l ；m y p r o x y , k e y 网格安全代理及其安全模型 声明 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处， 本人签名 臻吟 本人承担一切相关责任。 1 7 1j 胡： ! ! 主 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论 适用本授权书。 日期： 日期： 盼、主 ! 羔! 竺一 鼯 榉躲弥器枞新 嘲格安全代理及其安全模型 第一章绪论 1 1 前言 网格被看成是未来的互联网技术。国外媒体常用“下一代i n t e r n e t 、 “i n t e m e t 2 ”、“下一代w e b ”等词语来称呼与网格相关的技术。网格普遍被认为， 实际上是继传统因特网、w e b 之后的第三个大浪潮，可以称之为第三代因特网。 简单地讲，传统因特网实现了计算机硬件的连通，w e b 实现了网页的连通，而网 格试图实现互联网上所有资源的全面连通，包括计算资源、存储资源、通信资源、 软件资源、信息资源、知识资源等。 从本质上说，i n t e m e t 的安全保障一般提供下面两方面的安全服务： 一方面是访问控制服务，用来保护各种资源不被非法用户使用或者合法用户 越权使用；另一方面是通信安全服务。用来提供通信端的双向认证、通信数据的 保密性和完整性( 防止对通信数据的窃听和篡改) 以及通信端的不可否认性服务。 但是这两个方萄的安全服务只能部分解决网格计算系统的安全问题，网格计 算系统涉及的安全问题可以分为三个管理层次： ( i ) 远程访问安全管理：主要是保证用户与系统之间的数据安全，包括防 止伪装用户、防止伪装服务器、防止对用户数据的窃听和篡改、防止用户否认、 防止远程攻击和入侵。 ( 2 ) 用户权利安全管理：主要是保证合法用户使用授权的资源，包括防止 非法用户使用资源、防止合法用户越权使用资源。 ( 3 ) 作业和任务安全管理：主要是保证作业和任务的安全运行，包括保证 进程间的通信安全、防止恶意程序的运行、保证系统的完整性。 对于网格计算系统涉及的大部分安全问题，可以采用目前已有的安全技术加 以解决。为了防止非法用户使用资源和防止合法用户越权使用资源，需要对用户 进行限制性授权，但是在网格计算系统这样一个复杂的、动态的、广域的范围内， 对用户进行限制性授权无法使用目前已有的安全技术加以解决，这是网格计算系 统的安全研究领域一个具有挑战性的研究方向。网格计算系统的安全集中于解决 如何将网格资源安全地分配给网格用户，以及如何保证网格用户安全地使用分配 的网格资源。 g s i 通过创建代理( p r o x y ) ，利用代理证书来保证网格用户的安全，这样可 以在不周的结点之间形成一个安全信任链。但是对于代理本身来说，如果安全的 阿格安全代理及其安全模型 存放赖以证明自己的身份的证明代理证书和密钥，是一个非常大的问题。过 多过频繁的使用证书，也对网格系统造成了很大的花费。 而本文想讨论的m y p r o x y 是网格安全代理系统，主要是为网格入口服务的系 统软件。它是委托证书到网格门户的一种解决方法，允许门户代表用户鉴定网格 服务。用户在m y p r o x y 信息库里存储证书，并发送用户名和密码到网格门户， 用户无论何时何地，只要需要就能取回存储在m y p r o x y 信息库里网格证书，而 不再需要管理私钥和证书【1 】。 m y p r o x y 希望为用户安全地存储安全证书和代理证书，但是m y p r o x y 自身也 存在着安全缺陷。首先用户是通过网格入口一一在本文中我们选择的是一类 w w w 应用服务器：网格门户作为网格的入口到m y p r o x y 提交和申请代理证 书。那么在网格门户，必须有专门的机制来防止恶意攻击者窃取用户的身份和密 码，冒充用户领取代理证书，进行进一步的破坏。 其次，m y p r o x y 服务器同时存贮了用户的安全证书和私钥。但是安全证书和 私钥并不是同一个安全级别。安全证书里主要包含的是公钥和用户在网格资源里 唯一的标识符d n ，当用户提交任务和进行相互鉴定的时候，必须将安全证书和 私钥一起提交才能工作。在m y p r o x y 系统中，网格门户在申请代理证书时可以 直接访闽私钥和安全证书。门户直接访闯安全证书并不会影响安全证书的安全， 但是直接访问私钥必然会带来极大的安全隐患。因此私钥的安全必须单独的拿出 来进行讨论。 m y p r o x y 的思想，简言之，就是希望由专门的专业的服务来代替用户管理用 户的私钥和安全证书。 在本文中，我们认为一旦完成相互鉴定的工作，那么用户与服务器之间，服 务器与服务器之间的信道是安全的。网格中通常选用通过s s l 加密的h t t p 连 接。 对于m y p r o x y 系统来说，它也有着自己的安全隐患。它的安全威胁主要来自 两个地方，一个是网格门户，另一个还是来自私钥的存贮。 1 2 本文的结构 目前关于m y p r o x y 系统安全的讨论很多，很多文章就m y p r o x y 系统中的网 格门户的安全，或者私钥的存储部分别进行了讨论，利用现在计算机网络安全中 很多现存的机制和方法来加强m y p r o x y 系统的安全【2 ，3 】。 本文对于m y p r o x y 系统的整个流程提出了一个较为完整的安全的框架。利用 了计算机网络安全中现有的技术，尤其加强了m y p r o x y 系统中网格门户和私钥 劂格安全代理及其安全模型 存贮的安全。在理论上较为严密的保证了m y e r o x y 系统的安全。 本文共分为八部分。第一部分是前言，介绍了全文讨论的问题及各章分布情 况。第二章介绍了网格的整个系统及其特征【5 】。第三章介绍了网格系统安全的 基础：网格安全和x 5 0 9 证书。第四章介绍了m y p r o x y 的实现原理【1 ，4 ，6 ， 7 ，8 】，并对m y p r o x y 系统现有的安全问题进行了讨论。第五章分析和讨论了在 网格系统采取一次性密码的可行性和合理性。第六章讨论了网格系统采取硬件保 护安全的可行性和合理性。第七章提出和分析了安全的m y p r o x y 系统框架及其 工作流程。最后一部分对所有的工作进行了总结，并提到了未来的工作方向。 劂格安全代理及其安全模型 第二章网格系统 网格是一个集成的计算和资源的环境，或者说是一个计算资源池。它能充分 的吸纳各种计算资源，并将它们转化成一种随处可得的、可靠的、标准的同时还 是经济的计算能力。网格中信息的处理是分布式、协作和智能化的，用户可以通 过单一入口访问所有信息【5 】。 简单地讲，网格是把整个因特网整合成一台巨大的超级计算机，实现计算资 源、存储资源、数据资源、信息资源、知识资源、专家资源的全面共享。当然， 网格并不一定非要这么大，我们也可以构造地区性的网格，如中关村科技园区网 格、企事业内部网格、局域网网格、甚至家庭网格和个人网格。事实上，网格的 根本特征是资源共享而不是它的规模。 由于网格是一种新技术，因此具有新技术的两个特征：其一，不同的群体用 不同的名词来称谓它；其二，网格的精确含义和内容还没有固定，而是在不断变 化。因此，我们不应该空谈和争论什么是网格，什么不是网格，而应该集中精力 解决关键问题。这里列举一些名词并简要解释一下它们的侧重点( 如下图2 一1 ) 。 t 罂# 嚣紫仁赫 e 盟裟：纛 嚣惫一 兰。l 激等“l 茹茹t 仁篓懋仁怒仁翟篡篡州。 - d m 6 m r ：? 篓：三：嚣” 5 p i # 临煳r 搠潮料唾j 嘲 r s n o 礴 图2 1 网格中的常用实例 高性能计算的应用需求使计算能力不可能在单一计算机上获得，因此，必须 通过构建“网络虚拟超级计算机”或吁i 计算机”来获得超强的计算能力。2 0 世纪 9 0 年代初，根据i n t e r n e t 上主机大量增加但利用率并不高的状况，美国国家科 学基金会( n f s ) 将其四个超级计算中心构筑成一个元计算机，逐渐发展到利用 它研究解决具有重大挑战性的并行问题。它提供统一的管理、单一的分配机制和 协调应用程序，使任务可以透明地按需要分配到系统内的各种结构的计算机中， 包括向量机、标量机、s i m d 和m i m d 型的各类计算机。n f s 元计算环境主要 包括高速的互联通信链路、全局的文件系统、普通用户接口和信息、视频电话系 统、支持分布并行的软件系统等。 网格安全代理及其安全模型 元计算被定义为“通过网络连接强力计算资源，形成对用户透明的超级计算 环境”，目前用得较多的术语“网格计算( g r i dc o m p u t i n g ) ”更系统化地发展了最初 元计算的概念，它通过网络连接地理上分布的各类计算机( 包括机群) 、数据库、 各类设备和存储设备等，形成对用户相对透明的虚拟的高性能计算环境，应用包 括了分布式计算、高吞吐量计算、协同工程和数据查询等诸多功能。网格计算 被定义为一个广域范围的“无缝的集成和协同计算环境”。网格计算模式已经发 展为连接和统一各类不同远程资源的一种基础结构。 2 1 基本结构 为实现网格计算的目标，必须重点解决三个问题： ( 1 ) 异构性 由于网格由分布在广域网上不同管理域的各种计算资源组成，怎样实现异构 机器间的合作和转换是首要问题。 ( 2 ) 可扩展性 要在网格资源规模不断扩大、应用不断增长的情况下，不降低性能。 ( 3 ) 动态自适应性 在网格计算中，某一资源出现故障或失败的可能性较高，资源管理必须能动 态监视和管理网格资源，从可利用的资源中选取最佳资源服务。 网格计算环境的构建层次从下至上依次为： ( 1 ) 网格结点 由分布在i n t e m e t 上的各类资源组成，包括各类主机、工作站甚至p c 机，它 们是异构的，可运行在u n i x 、n t 等各种操作系统下，也可以是上述机型的机群 系统、大型存储设备、数据库或其他设备。 ( 2 ) 中间件 是网格计算的核心，负责提供远程进程管理、资源分配、存储访问、登录和 认证、安全性和服务质量( q o s ) 等。 ( 3 ) 开发环境和工具层 提供用户二次开发环境和工具，以便更好地利用网格资源。 ( 4 ) 应用层 提供系统能接受的语言，如h p c 抖和m p i 等。可配置其他一些支持工程应 列格安全代理及其安全模型 用、数据库访问的软件，还可提供w e b 服务接口，使用户可以使用w e b 方式提 交其作业并取得计算结果。 在网格计算中，首先要查清网格里所有可用资源，比如哪些主机可供访问、 还空置多少处理能力、数据库里可供使用的数据是什么、共享的应用程序是否已 准备好、共享主机采用何种文件系统等。用户提交的任务要由系统来分配资源并 控制其运行，包括耍将其分配到哪些主机上运行、调用哪些数据、启动何种应用 程序、何时开始运行等。这样，网格计算至少需要具备三种基本功能：任务管理、 任务调度和资源管理。 2 , 2 基本功锈 网格计算环境要求不影响各结点本地的管理和自主性，不改变原有的操作系 统、网络协议和服务，保证用户和远程结点的安全性，允许远程结点选择加入或 退出系统，尽量使用已存在的标准的技术，以便与已有的应用兼容，并能提供可 靠的容错机制。一个理想的网格计算应类似当前的w e b 服务，可以构建在当前 所有硬件和软件平台上，给用户提供完全透明的计算环境。对用户而言，它把众 多同、异构的资源变成了同构的虚拟计算环境。为此，网格计算环境设计需要有 以下主要特征： 管理层次确定管理层次体系，管理域按区域层次划分，决定管理信息流的 流向； 通信服务随应用目的的不同提供不同的服务，包括可靠的点对点和不可靠 的组播通信，支持各种通信协议，提供通信链路延迟、带宽和可靠性等指标； 信息服务提供方便可靠的机制，获得不断变化的各结点信息和状态； 名字服务提供全局统一的名字服务，典型的有国际通用的x 5 0 标准或 i n t e m e t 上d n s 标准； 文件系统提供一个分布式文件系统机制、全局存储和缓存空间； 安全认证应包括登录认证、可信赖、完整性和记账等方面的安全性，这是 网格计算的难点，也是系统成败的关键； 监视系统提供监视系统资源和运行情况的工具； 资源管理和调度提供透明的资源调度，高效地利用可利用的资源是系统的 核心： 资源交易机制为鼓励不同组织或资源拥有者加入系统，应提供一种计算资 源的交易机制，允许提供资源者获得利益，使系统能动态地取得最好的性价比资 鹏格安全代理及冀安全框架 源； 编程工具必须提供丰富的用户接口和编程环境，提供最常用的语言，如c 、 c + + 、f o r t r a n 、m p i 、p v m 以及分布式共享存储器和一些函数库等； 用户图形界面提供直观的用户访问接口，包括w e b 方式，使用户可以在任 何位置、任何平台上使用系统资源。 2 3 网格的标准 就像t c p f l p 协议是i n t e m e t 的核心一样，构建网格计算也需要对标准协议和 服务进行定义。目前，包括g l o b a lg r i df o r u m 、研究模型驱动体系结构( m o d e l d r i v e na r c h i t e c t u r e ) 的对象管理组织( o m g ) 、致力于网络服务与语义w w w 研 究的w 3 c ，以及g l o b u s o r g 等标准化团体都开始着力研究。 2 0 0 4 年7 月，o m g 、w 3 c 、g r i df o r u m 等标准化组织与来自学术、商业领 域的人士出席了“软件服务网格研讨会”，加快全球大网格f g g g ) 标准的制定。接 着，另一开放源代码网格标准组织g i o b u s 也集会研究通过广域网联接的高 性能计算的基础设施问题。g l o b u s 目前正致力于开发标准的网格架构和其他技 术。 迄今为止，网格计算还没有正式的标准，但在核一t l , 技术上，相关机构与企业 已达成致：由美国a r g o n n e 国家实验室与南加州大学信息科学学院( i s i ) 合作开 发的g l o b u st o o l k i t 己成为网格计算事实上的标准，包括e n t r o p i a 、i b m 、 m i c r o s o f t 、c o m p a q 、c r a y 、s g i 、s u n 、v e r i d i a n 、f u j i t s u 、h i t a c h i 、n e c 在内的 1 2 家计算机和软件厂商已宣布将采用g l o b u st o o l k i t 。作为一种开放架构和开放 标准基础设施，g l o b u st o o l k i t 提供了构建网格应用所需的很多基本服务，如安 全、资源发现、资源管理、数据访问等。目前所有重大的网格项目都是基于g l o b u s t o o k i t 提供的协议与服务建设的。 2 4 本章小结 本章主要介绍了网格系统的基本结构，基本功能以及现在网格系统的基本标 准。网格创建的思想，就是希望网格用户使用网格，就象使用电力一样的方便。 资源对用户而言完全是透明的，用户只需要在本地进行简单的操作，就能提交任 何任务，而不必担心资源的实际位置。 劂格安全代理及其安全框架 第三章网格安全 3 1 网格计算系统的安全机制的考虑 网格计算系统的安全保证是网格计算系统正常运行的保证。网格计算系统的 安全机制必须考虑网格计算系统的如下特性： ( 1 ) 网格计算系统中的用户和资源量非常庞大，可以属于多个不同的组织， 而且用户和资源动态可变。 ( 2 ) 网格计算系统中的同一个用户可以在不周的资源上有不同的用户标识。 ( 3 ) 网格计算系统中的资源可以支持不同的认证和授权机制，可以有不同 的访问控制策略。 ( 4 ) 网格计算系统中的计算可以在执行过程中动态地申请和启动进程，可 以动态地申请和释放资源。 ( 5 ) 网格计算系统中的进程数量非常庞大，而且进程动态可变。个计算 过程可以由大量进程组成，这些进程之间可能存在不同的通信机制，底层的通信 连接可在进程的执行过程中动态地创建并执行。 网格目标是创建一种架构在o s 和w e b 之上的基于i n t e m e t 的新一代信息平 台和软件基础设施。在这个平台上，信息的处理是分布式、协作和智能化的，用 户可以通过单一入口访问所有信息。在本文中，我们把这些带有服务性质的入口 统称为“网格入口”。网格入口允许用户以一个标准浏览器连接，使用网格资源。 后面将继续介绍网格入口，以及它的作用( 3 3 1 ) 。 传统的传输层安全机制无法满足网格计算系统特有的用户单一登录要求，分 布式系统采用的安全机制无法满足与本地的安全方案协同工作要求，特别是在跨 多个管理域的资源访问方面。我们无法完全使用现有的安全技术解决网格计算系 统的安全问题，这就需要研究新的安全技术和新的安全机制。 网格现在还缺乏真正的标准，很多不同的公司开始使用网格，但是，当想把 这些私有的网格连在一起的时候就产生了很多问题。现在最主要的开发工具是 g o b u s 。g l o b u s 中资源般都采用基于公钥的两格安全基础协定s z ) 迸行保 护。主要集中在网络的传输层和应用层，并强调与现有分布式安全技术的融合。 g s i 基于公钥加密体系，采用x 5 0 9 认证和s e c u r es o c k e t sl a y e r ( s s l ) 通信协议 并对它们进行了定的扩展，使得g s i 可以支持单点登录。g s i 中的遥遥安全技 术手段包括安全认证、安全身份相互鉴别、通信加密、私钥保护以及委托和单点 网格安全代理及其安全模型 登录等。 g s i 使用x 5 0 9 证书和s s l 来进行鉴定，不仅仅因为这些技术易于使用，易 于测试，而且也因为x 5 0 9 证书信任模型允许一个实体信任另一个组织的c a ， 而不要求该组织的剩余部分也必须要信任该c a 或者要求c a 相互交换信任。 x 5 0 9 证书信任模型的灵活性在从一般鉴定机制之间选择在x 5 0 9 证书起到决 定性作用。在很多通常的网格部署中，仅仅一部分用户和特殊组织里的资源能参 与网格部署，如果要求把组织作为一个整体，这就意味着组织不得不同意允许交 叉区域的鉴定，这常常意味着管理过程将会成为沉重的负担。 3 2 网格安全架构的g s i 解决方案及其不足之处 g l o b u s 中的网格安全架构g s i ( g r i ds e c u r i t yi n f r a s t r u c t u r e ) 是一个解决网格 计算系统的安全问题的个集成方案，它结合目前成熟的分布式安全技术，并对 这些技术进行一定的扩展，以适合网格计算系统的特点。g s i 的特点在于保证网 格计算系统的安全性的同时，尽量方便用户和各种服务的交互，而且g s ! 充分 利用现有的网络安全技术，并对某些部分进行扩充，使得在网格计算系统下g s i 具有一个一致的安全性界面，极大地方便了网格应用的开发和使用。 g s i 中的主要安全技术手段包括：认证证书、双向认证、保密通信、安全 私钥、授权委托和用户单一登录。g s i 认证证书采用了x 5 0 9 的证书格式，可被 其它基于公钥的软件共享；g s i 采用s s l 作为它的双向认证协议，实体之间通过 认证证书证明彼此的身份；g s i 采用公钥技术与对称加密技术结合的加密方式， 在保证通信安全性的同时尽量减少加解密的开销 g s i 将用户的私钥以文件的形 式加密存储在用户计算机上，以此来保护用户的认证证书；g s i 对标准的s s l 协议进行了扩展，使得g s i 具有授权委托能力，减少用户必须输入口令来得到 私钥的次数：g s i 使用用户代理解决用户单一登录问题。 但是g s i 也存在一些不足之处如实体之间的认证频繁且复杂、执行开销较 大，适应性和扩展性比较局限，尤其对系统改变较频繁和规模不断增大的环境。 尽管如此，g s i 提出的思想和解决问题的方法，对我们进行网格安全研究具有很 好的参考价值。 3 3x 5 0 9 证书与c a 在网格安全中的应用 3 3 1 网格门户 网格门户是一类w w w 应用服务器，提供在线安全环境来收集关于网格服务 和资源信息的同时，也提供使用这些网格服务和资源来完成任务的工具。它在网 9 蛸格安全t 理及其安全摸型 格和v o 上放置用户接口。当网格门户允许每一个人来使用网格资源，而且提供 收集和琐碎的分配功能的方法。 网格门户也在那些不能改变他们的个人系统或从电脑到电脑移动充当这样 的角色。我们也发展在门户和桌面的通常的a p i 来最大可能的复用软件没有展 示出来的方面。 那么用户希望通过网格门户做什么? 1 用户使用w e b 浏览器和用户i d 及密码登陆到门户。一旦用户通过网格 服务器的鉴定，门户服务器就在大多数的网格交互行为中作为用户的代理。接下 来门户服务器必须获得代表用户的代理证书。标准的方法是用户提交一个代理给 m y p r o x y 服务器。网格门户就能从m y p r o x y 服务器取出代理，并能在用户的会 话期间一直保存该代理。在用户管理密钥对和提交代理证书给m y p r o x y 服务器 的过程是非常的不受用户的欢迎。普遍的观点是让分离的信任的服务来为用户管 理证书和密钥。 2 用户通过网格门户访问网格资源。这里必须考虑两个层次的安全。在顶 层用户通过w e b 浏览器访问网格门户服务器。在这层最好实施h t t p s 安全。门 户服务器本身是w e b 服务器必须使用工业标准安全来保证它的完整性。在第二 层，我们提出包括提供门户服务器访问远程网格服务的安全。 3 3 ，2x 5 0 9 公钥证书系统 x 5 0 9 公钥证书的建立和他们证书授权机构为持久稳固的网格实体提供了一 个充足的认证基础设施。然而单独的x 5 0 9 公钥证书并不能覆盖所有的情况。 在网格的环境里，各种资源都动态的连接在i n t e m e t 上，而用户想网络计算 环境提交任务和监控任务也是通过h a t e r n e t 来完成。同晶寸网格计算环境中的所有 主体都可以动态加入或撤离网格中的虚拟组织，因此网格计算环境对安全的要求 除i n t e m e t 的安全要求外更迸一步。 经常会有这样的情况，一个网格用户需要在相对短的通告和一些简短的时间 里委托他们的特权的一些子集给另一个实体。除了对长期服务和实体的委托，还 存在着要求支持将特权委托给由用户自己动态创建的服务，这些服务并不持有任 何形式的身份证书。通常情况是，用户提交一个任务给计算资源并希望委托特权 给任务，允许它代表用户访问其他的资源。实践中通常为了保护和x 5 0 9 公钥 证书联系在一起的私钥，不是通过密码给它们加密( 假如存储在硬盘里) ，就是 要求一个p i n ( 个人身份号) 来访问( 假如通过智能卡) 。这样常常在短时间里 刚格安全代理及j 安全模型 要求反复鉴定用户带来的负担，在网格现象里常常会遇到，尤其是当一个用户在 很多资源里协调的时候。简言之，当面对动态实体、动态委托和反复鉴定的时候， x 5 0 9 公钥证书并不能很好的解决所有的问题。 这些要求使得我们发展一种鉴定解决方案来允许用户用轻便的方法来动态 的为新的实体创建身份，来委托特权给这些实体( 再次用动态的，少负担的方法) ， 来实现单点登入，和允许现存协议和软件在最小修改的情况下复用。 安全体系结构模型涉及的概念： 证书( c e r t i f i c a t e ) ：网格计算系统中用来证明实体身份的一段信息或一个 文件，证书由可供信任的机构( 认证中心) 进行签发，有固定的格式，并且有一 定的有效时间。 双向认证( m u t u a la u t h e n t i c a t i o n ) ：网格计算系统中的两个实体进行交互 之前，用来证明彼此身份的真实性的一个过程。 用户代理( u s e rp r o x y ) ：用户代理是一个由用户创建的进程，用户将健的 部分或全部权限授予该进程，该进程代替用户完成双向认证、申请资源、提交作 业、得到结果等工作。 资源代理( r e s o u r c ep r o x y ) ：资源代理是一个由网格计算系统创建的进程， 网格计算系统将一组资源的管理权限授予该进程，该进程负责这组资源的双向认 证，以及分配和回收等工作。 中介( b r o k e r ) ：中介是一个由网格计算系统创建的进程，中介向用户代理 和资源代理提供中介服务，用户代理使用中介提供的中介服务可以协同分配到多 个资源代理管理的大量资源。 3 3 ，3 证书授权中心c a c a 机构，又称为证书授证( c e r t i f i c a t ea u t h o r i t y ) 心，作为电子商务交易中 受信任和具有权威性的第三方，承担公钥体系中公钥的合法性检验的责任。c a 中心为每个使用公开密钥的客户发放数字证书，数字证书的作用是证明证书中列 出的客户合法拥有证书中列出的公开密钥。c a 机构的数字签名使得第三者不能 伪造和篡改证书。它负责产生、分配并管理所有参与网上信息交换各方所需的数 字证书，因此是安全电子信息交换的核心。 1 c a 证书的组成 证书是网格计算系统中的实体用来证明自己身份的一段信息或一个文件。证 嘲格安全代理及其安全模型 书由可供信任的机构( 认证中心) 进行签发，有固定的格式，并且有一定的有效 时间。为了防止伪造证书，证书至少包含以下几部分信息： ( 1 ) 认证中心的名称：签发这个证书的认证中心的名称。 ( 2 ) 证书的有效时间：这个证书有效的开始时间和结束时间。 ( 3 ) 证书拥有者的名称：拥有这个证书的用户或资源的名称。 ( 4 ) 证书拥有者的公钥信息：拥有这个证书的用户或资源的公钥信息，进 行双向认证时用来证明证书拥有者的合法性。 ( 5 ) 认证中心的数字签名：签发这个证书的认证中心的数字签名，进行双 向认证时用来证明证书本身的合法性。 2 。用户或资源获得证书 ( 1 ) 用户或资源管理者使用命令行命令或相应的函数创建用于身份鉴别的 公钥、私钥和未签名的证书，然后通过电子邮件或其它安全途径把未签名的证书 提交给认证中心。 ( 2 ) 认证中心收到未签名的证书后，对用户或资源进行考察。 ( 3 ) 用户或资源考察合格后，认证中心用自己的证书( 认证中心的证书) 对未签名的证书进行签名，然后把签名的证书通过电子邮件或其它安全途径返还 给用户或资源管理者。 3 证书的管理 证书的管理最主要的是证书的存储和证书的使用，其它对证书的管理包括： 建立可供信任的认证中心、使用函数或软件生成公钥和私钥、使用函数或软件生 成未签名的证书、使用函数或软件对证书进行签名、对用户代理和进程创建临时 证书、撤销虽然未到期但是不再使用的证书或临时证书、将证书或临时证书的使 用绑定在固定的节点上。 为保证客户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可 抵赖性，不仅需要对客户的身份真实性进行验证，也需要有一个具有权威性、公 正性、唯一性的机构，负责向电子商务的各个主体颁发并管理符合国内、国际安 全电子交易协议标准的安全证书。 1 自身密钥的产生、存储、备份，恢复、归档和销毁 从根c a 开始到直接给客户发放证书的各层次c a ，都有其自身的密钥对。 c a 中心的密钥对一般由硬件加密服务器在机器内直接产生，并存储于加密硬件 喇格安全代理及其安全模型 内，或以一定的加密形式存放于密钥数据库内。加密备份于i c 卡或其他存储介 质中，并以高等级的物理安全措施保护起来。密钥的销毁要以安全的密钥冲写标 准，彻底清除原有的密钥痕迹。需要强调的是，根c a 密钥的安全性至关重要， 它的泄露意味着整个公钥信任体系的崩溃，所以c a 的密钥保护必须按照最高安 全级的保护方式来进行设置和管理。 2 为认证中心与各地注册审核发放机构的安全加密通信提供安全密钥管理 服务 在客户证书的生成与发放过程中，除了有c a 中心外，还有注册机构、审核 机构和发放机构( 对于有外部介质的证书) 的存在。行业使用范围内的证书，其 证书的审批控制，可由独立于c a 中心的行业审核机构来完成。c a 中心在与各 机构进行安全通信时，可采用多种手段。对于使用证书机制的安全通信，各机构 ( 通信端) 的密钥产生、发放与管理维护，都可由c a 中心来完成。 3 确定客户密钥生存周期，实施密钥吊销和更新管理 每一张客户公钾证书都会有有效期，密钥对生命周期的长短由签发证书的 c a 中心来确定。各c a 系统的证书有效期限有所不同，一般大约为2 3 年。 密钥更新不外为以下两种情况：密钥对到期、密钥泄露后需要启用新的密钥 对( 证书吊销) 。密钥对到期时，客户一般事先非常清楚，可以采用重新申请的 方式实施更新。 采用证书的公钥吊销，是通过吊销公钥证书来实现的。公钥证书的吊销来自 于两个方向，一个是上级的主动吊销，另一个是下级主动申请证书的吊销。当上 级c a 对下级c a 不能信赖时( 如上级发现下级c a 的私钥有泄露的可能) ，它 可以主动停止下级c a 公钥证书的合法使用。当客户发现自己的私钥泄露时，也 可主动申请公钥证书的吊销，防止其他客户继续使用该公钥来加密重要信息，而 使非法客户有盗取机密的可能。一般而言，在电子商务实际应用中，可能会较少 出现私钥泄露的情况，多数情况是由于某个客户由于组织变动而调离该单位，需 要提前吊销代表企业身份的该客户的证书。 4 提供密钥生成和分发服务 c a 中心可为客户提供密钥对的生成服务，它采用集中或分布式的方式进行。 在集中的情形下，c a 中心可使用硬件加密服务器，为多个客户申请成批的生成 密钥对，然后采用安全的信道分发给客户。也可由多个注册机构( r a ) 分布生 成客户密钥对并分发给客户。 5 提供密钥托管和密钥恢复服务 婀格安全代理及其安全摸型 c a 中心可根据客户的要求提供密钥托管服务，备份和管理客户的加密密钥 对。当客户需要时可以从密钥库中提出客户的加密密钥对，为客户恢复其加密密 钥对，以解开先前加密的信息。这种情形下，c a 中心的密钥管理器，采用对称 加密方式对各个客户私钥进行加密，密钥加密密钥在加密后即销毁，保证了私钥 存储的安全性。密钥恢复时，采用相应的密钥恢复模块进行解密，以保证客户的 私钥在恢复时没有任何风险和不安全因素。同时，c a 中心也应有一套备份库， 避免密钥数据库的意外毁坏而无法恢复客户私钥。 6 其他密钥生成和管理、密码运算功能 c a 中心在自身密钥和客户密钥管理方面的特殊地位和作用，决定了它具有 主密钥、多级密钥加密密钥等多种密钥的生成和管理功能。 对于为客户提供公钥信任、管理和维护整个电子商务密码体系的c a 中心来 讲，其密钥管理工作是一项十分复杂的任务，它涉及到c a 中心自身的各个安全 区域和部件、注册审核机构以及客户端的安全和密码管理策略。 3 3 4x 5 0 9 公钥证书的代理 3 3 4 1 代理证书 网格安全系统使用x 5 0 9 证书和s s l 来进行鉴定。通过证书和私钥来提交 任务。用户为了自 委托其他用户代表自己完成任务，需要把自己豹证书和私钥提 交给受委托的对象。这个过程也就是，用户把他们的能力提交给服务。受委托的 对象有了用户的证书和私钥，它也就能全权的代表用户，完成用户要求它完成的 任务。当任务完成后，受委托的对象就将密钥交还给委托用户。 但是由于网格的实体和委托都是动态的，常常会在短时间内要求反复鉴定， 给用户和系统带来极大的负担。而且安全证书和私钥复制到多个机器上也势必带 来很大的安全隐患。 g s i 通过创建代理( p r o x y ) 来避免上述的情况。一个代理包含一个新的证书， 代理证书中有新的公钥和私钥、用户的标识、代理标识和时间戳，时间戳表示在 一定时间范围内这个代理是有效的。 代理证书和新的公钥绑定到一个新的名字，用户就可以委托部分或全都的特 权给代理证书和新的私钥的持有者。持有者也就能鉴定其他的实体了。代理证书 能在规定的时间内反复用于鉴定，但是因为代理证书的时间有限，对用户的长期 私钥的威胁必然会减少。 刚格安全代理及其安全模型 使用代理以后，实现过程的安全性大大提高。但是私钥的安全还是落在了用 户的身上。由用户来管理私钥，用户并不能保证能选择合适的密码来保护私钥的 安全，实际上，很多用户甚至并没有为他们的密钥选择密码。其次，用户并不能 保证密钥存储的位置是安全的。例如将密钥存储在网络中的文件系统里。最后， 用户也不能保证私钥的操作。用户有可能直接拷贝e m a i l 密钥给远程机器。 g s i 通过代理在不同的结点之间形成一个安全信任链。一个代理包含一个新 的证书，这个新的证书由用户来签署，而不是认证中心。 代理证书中有新的公钥和私钥、用户的标识、代理标识和时间戳，时间戳表 示在一定时间范围内，这个代理是有效的。代理证书通常在短期内有效，典型的 是8 个小时。这个有限的生命周期允许代理证书不必象长期认证证书那样受到保 护；他们典型的存储在仅仅被当地文件系统许可保护下的本地硬盘。( 同样的机 制也用于典型的k e r b e r o s 证书) 。代理证书能作为认证证书被同一机制使用，能 单点登陆，允许用户容易的进入代理证书来进行鉴定，直到证书过期。而且必须 通过访问认证证书来重新生成代理证书。( 要求密码加密私钥) 。 圈2 1 基于g s i 安全代理的安全信任链 代理证书使用x 5 0 9 公钥证书描述的格式。代理证书服务将一个独特的公钥 和主体名字绑定，就象公钥证书一样。使用和x 5 0 9 公钥证书一样的格式允许 代理证书用于很多地方的协议和集( 1 i b r a r y ) 中，好像它们就是普通的x