（通信与信息系统专业论文）基于临时安全域和rbac策略的网格安全模型的研究与实现.pdf

武汉理工大学硕士学位论文 摘要 网格安全是网格中的一个重要组成部分，直接影响着网格的发展和网格系 统软件的实际应用情况。网格安全研究目前主要集中在网格环境中的安全认证、 访问控制、数据完整性、通信机密性、用户行为的不可否认性、以及单一登录 等方面。 网格安全要解决的一个关键问题是资源共享的安全控制。在网格系统中， 由于用户和资源实体属于不同的虚拟组织，数量庞大且动态变化，不同的虚拟 组织之间可能采用不同的认证机制，造成认证机制的不兼容，降低了系统的效 率。安全控制机制包括了身份认证和访问控制。本文针对这两个方面展开研究。 本文首先介绍了网格的体系结构、网格面临的安全问题和安全需求，现有 网格安全解决方案的特点和弊端，同时结合现有的身份认证和访问控制机制， 针对网格的特点进行分析，提出了统一认证和授权的网格安全模型( g r b a c - t s d ) 。在该模型中认证部分根据网格中的信任域分成域内和域外环境进行，并 且根据任务的安全需求把任务分成普通任务和安全任务，针对任务的安全级别 和认证区域使用相应的认证模式，并且引入临时安全域的概念，通过为完成相 同任务的实体设立临时安全区域的方法简化实体之间的认证。同时在访问控制 部分采用了针对网格环境改进的基于角色的访问控制策略( g r b a c ) ，改进策略中 对角色和资源进行了分类和分组，角色概念的引入将用户和权限进行分离，提 高了安全性的同时简化了授权和策略管理。 本文对g r b a c t s d 网格安全模型进行了形式化描述，给出了模型中认证和 授权的详细工作流程，并对模型进行了详细的模块划分，分析了各模块的功能 和模块之间的关系以及与现有网格安全机制g s i 和c a s 的关系，最后在现有网格 安全工具集的基础上对该模型进行了部分实现。 通过分析表明，g r b a c - t s d 网格安全模型满足了网格安全访问控制中分布 式管理的要求，在确保网格实体进行安全认证的基础上简化了实体间的认证机 制，实现了跨信任域的授权，同时解决了由于资源动态性和策略自主性而造成 的管理困难问题，适应了网格环境下任务规模大，资源动态变化的特点，并具 有良好的可扩展性。 关键词：网格安全，身份认证，临时安全域，访问控制， r b a c 武汉理工大学硕士学位论文 a b s t r a c t g r i ds e c u r i t yi s 趾i m p o r t a n tc o m p o n e n to f 面d ，w h i c hd i r e c t l ya f f e c t st h eg r i d d e v e l o p m e n ta n dt h e 鲥ds o f t w a r ea p p l i c a t i o n s a tp r e s e n t , t h er e s e a r c ha b o u tg r i d s e c u r i t yf o c u s e so nt h es a f ea u t h e n t i c a t i o n , a c c e s sc o n t r o l ，d a t ai n t e g r i t y , s e c r e t c o m u n n i c a t i o n , s i n g l el o g i ne t c t h ec r i t i c a lp r o b l e mo f t h eg r i ds e c u r i t yi sh o wr e s o u r c e sc o u l db es h a r e ds a f e l y kg r i d ，t h eu s e r sa n dt h er e s o u r c e se n t i t i e s b e l o n g t ot h ed i 壤黝tv i r t u a l o g a n i z a t i o n ，t h eq u a n t i t yi sh u g ea n dd y n a m i c sa n dt h e r ea r ed i f f e r e n ta u t h e n t i c a t i o n m e c h a n i s m sb c t w e e nt h ed i f f e r e n tv i r t u a lo r g a n i z a t i o n s b e c a u s eo ft h ea b o v e r c a n si t i sd i f f i c u l tt os h a r e s o u r c 髑s a f e l yi ng 酣a sc o r eo fg i ds e c u r i t y , i d e n t i t ya u t h e n t i c a t i o nm e c h a n i s ma n da c c e s sc o n 拄o lm e c h a n i s mp l a ya ni m p o r t a n t r o l e t h i sa r t i c l ef o c u s e s0 1 1 t h e s ea s p e c t s i nt h i sp a p e r , t h es t r u c t u r eo fg r i d ，t h es a f ep r o b l e m sa n dt h es a f er e q u i r e m e n t s ， t h ec h a r a c t c d s t i c sa n dl i m i t a t i o n so fe x i s t i n gg r i ds e c u r i t ys o l u t i o np l a na l e i n t r o d u c e df i r s t l y , t h ea u t h e n t i c a t i o nm e c h a n i s mb a s e d0 1 1t e m ps e c u r ed o m a i na n d t h e 面d f l c , c e s sc o n t r o lm e c h a n i s mb a s e do nr o l ea c c e s sc o n t r o ls t r a t e g y ( p b a c ) a r e p r o p o s e ds e q u e n t l y , t h eu n i f i da u t h e n t i c a t i o na n da u t h o r i t z a t i o ng n ds e c u r i t ym o d e l ( g r b a c - t s mi sp r e s e n t e df i n a l l y i nt h i sp a p e r , t h et a s k sa r ed i v i d e di n t og e n e r a lt a s k sa n ds e c l 】r et a s k s d i f f e r e n t a u t h e n t i c a t i o nm e t h o d sa r ca d o p t e da c c o r d i n gt ot h es e c u r el e v e lo ft h et a s ki nt h e m o d e l b a s e do nv i r t u a lo r g a n i z a t i o n ( v o ) a n dt r u s td o m a i n , d i f f e r e n ta u t h e n t i c a t i o n p o l i c i e sa r ea d o p t e dw i t h i nv oa n da c r o s 5v o s a n dt h ec o n c e p to ft e m ps e c u r i t y d o m a i nf r s d 、i si n t r o d u c e di ng r b a c - t s d m o d e l s i m u l t a n e o u s l yt h ec o n c e p to f r o l ei sa l s oi n t r o d u c e di nt h em o d e lw h i c hs p e r a t e su s e ra n da u t h o r i t ya n ds i m p l i f i e d t h ea u t h o r i z e dm a n a g e m e n t t h ew o r k f l o wo fa u t h e n t i c a t i o na n da u t h o r i z a t i o n , t h e d i v i s i o i no fm o d u l e sa n dt h er e l a t i o n s h i p so ft h em o d u l e sa l ea n a l y s i s e di nt h i s a r t i c l ef i n a l l y t h ei m p l e m e n t a t i o no fg r b a c - t s dm o d e li sp a r t i a l l yf i n i s h e d t h em o d e l h 武汉理工大学硕士学位论文 s o l v e st h ep r o b l e m so fd i s t r i b u t e d m a n a g e a n e n t , p r o v i d e s a u t h e n t i c a t i o na n d a u t h o r i z a t i o na c 】 o s sv i r t u a lo r g a n i z a t i o n s ( v o ) i n 鲥da n ds a t i s f i e st h ed e m a n d so f d y n a m i c a l r e s o u r c e s a n d p o l i c i e s s e l f - d e t e r m i n a t i o n t h r o u g hs e p a r a t i n g a n t h e n t i c a t i o nm o d u l e ，a c c e s sc o n t r o lm o d u l ea n dp o l i c yr e s o l l r e em a n a g e m e n t m o d u l e t h ea n a l y s i si n d i c a t e st h a tt h em o d e lp r o v i d e ss a f ei d e n t i t ya u t h e n t i c a t i o n f o re n t i t i e si ng r i da n ds i m p l i f i e sa u t h e n t i c a t i o nm e c h a n i s m , w h i c hs a t i s f i e st h e s e c u r i t yr e q u i r e m e n t so f g r i d k e yw o r d s ：g r i ds e c u r i t y , i d e n t i t ya u t h e n t i c a t i o n , t e m ps e a 峨d o m a i n , r b a c i i i 独创性声明 本人声明，所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人 已经发表或撰写过的研究成果，也不包含为获得武汉理工大学或其它教育机构的 学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已 在论文中作了明确的说明并表示了谢意。 关于论文使用授权的说明 本人完全了解武汉理工大学有关保留、使用学位论文的规定，即学校有权保 留、送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部 分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 签名：攫导师签名： 辔红 武汉理工大学硕士学位论文 1 1 课题背景和意义 1 1 1 课题的背景 第1 章绪论 网格计算( o d dc o m p u t i n g ) 作为分布式计算的新兴研究方向，二十世纪九 十年代以来，从无到有，由弱到强，现在已经成为分布式计算领域中的一个重 要分支“1 。目前的网络中，由于资源的封闭性，大量的硬件设备资源被闲置， 大量的软件在重复开发，还存在大量纷繁的信息。而在网格环境中，硬件和软 件资源都是开放的，可以将所有的硬件设备充分利用起来，利用其闲置的时间， 动态地完成一个统一的任务，比如气象预报、考古、地质勘探数据等，实现按 需计算的境界。资源的开放和网格的有效应用，可以大大减少重复开发和重复 投入，减少浪费。在过去的十几年中，网格计算在理论和应用两个方面都取得 了长足的发展，特别是在应用领域，这与其广阔的应用前景是紧密相关的。 经过开始数年的摸索和早期的实验，如今网格技术已经进入了迅速发展的 阶段。网格是利用计算机网络把地理上广泛分布的计算资源、存储资源、网络 资源、软件资源、信息资源等连成一个逻辑整体，然后像一台超级计算机一样 为用户提供一体化的信息应用服务“。随着网格技术的进步，一些原有的困难 问题将迎刃而解，包括资源的大量闲置问题、计算资源的存储和共享问题、跨 平台的管理和无缝的服务质量问题等等。网格正试图实现互联网上所有资源的 全面连通与共享，这些资源包括了各类计算、存储、通信、软件、以及数据、 知识、人力等实体。与传统的分布式系统和目前的互联网相比，网格拥有着巨 大的优势，网格技术的发展必然会和万维网技术一样，对人类社会的发展产生 巨大的推动作用。 l i l 2 课题研究的意义 网格作为i n t e r n e t 下一代发展方向以i n t e r n e t 作为通信支撑平台，而 i n t e r n e t 是一个开发性、异构性极大的公共网络，这就使得在i n t e r n e t 上运 行的网格作业面临着各种各样的安全威胁，如数据被截取、信息的内容被篡改 武汉理工大学硕士学位论文 或删除、假冒合法用户和服务器等等。同时，网格是一个异构的环境，用户和 资源数量庞大，动态可变，而且可属于多个组织。网格作业可在其执行过程中 动态地申请、启动进程和申请、释放资源，而且资源可能需要不同的认证和授 权机制，这些机制和策略的改变是受限制的。因此，在网格环境中，需要采取 各种有效的安全措施，确保系统安全。同时网格的特性决定了网格安全必须是 标准的、自治的、可扩展的和透明的。因此，网格安全研究要求：支持在网格 环境中主体之间的安全通信，防止主体假冒和数据泄密；支持跨虚拟组织边界 的安全，避免采用集中管理的安全系统；需要支持网络用户的“单一登录”， 包括跨多个资源和站点的计算所进行的信任委托和信任转移。提供合法网格用 户访问授权，禁止资源的非授权访问，保证合法用户访问资源的正确性，提供 合法的集成功能。网格环境的安全应该充分尊重用户的需求，灵活提供不同级 别、不同层次的安全保证。资源的拥有者有权制定、访问、修改资源的访问策 略，安全机构要对资源元数据的安全性提供严格的保障。 网格安全要解决的一个关键问题是资源共享的安全控制。1 。网格可以跨越 多企业、多系统或个人，它们对安全控制的需求和采用的安全策略可能完全不同， 因此网格的安全控制机制应该是通用的全局的安全策略，需要与本地的安全策 略协调和交互，既要满足全局控制的需要，又可以满足用户自主控制的需求。 网格的这些特点决定了其安全控制比一般的分布式系统复杂得多“1 ，网格的安 全控制机制包括了身份认证机制网、访问控制机制嘲等，本文正是针对这两个方 面展开研究。 1 2 网格安全的研究现状 网格概念和技术最初的发展是为了促使在先进的科学协作中共享资源【7 1 。 随着网格技术的日益成熟，网格计算的项目涉及到了更多的领域，研究目的也 从当初的单纯科学计算转变成为更多团体和机构提供更好的服务。在此期间， 针对网格技术的研究浪潮遍及全球。 网格安全是网格中的一个重要组成部分，直接影响着网格的发展和网格系 统软件的实际应用情况。网格安全研究目前主要集中在网格环境中的安全认证、 访问控制，数据完整性、通信机密性、用户行为的不可否认性、以及单一登录 等方面i 蚓。网格的特性使得网格安全问题非常复杂，现有的各种安全系统已经 不能满足网格的安全需求。 2 武汉理工大学硕士学位论文 在网格安全研究中，为了建立起网格安全的标准和规范，世界上许多研究 机构和组织( 如o a s i s ) 都已经参与到g g f ( g l o b a l g r i df o r u m ) p j 中来，共同制 定网格安全中的相关技术，机制和策略等。目前影响最大的网格安全解决方案 是由美国a r g o n n e 国家实验室和南加州大学等联合研制的g l o b u s 系统中的安全 功能组件c s i ( c , r i ds e c u r i t yi n f r a s t r u c t u r e ) 1 9 1 2 1 ，它是保证用户和应用安全访问资 源的一组工具、库和协议的集合，用于在网格环境中进行安全认证和安全通信。 g s i 主要集中在网络的传输层和应用层，并强调与现有分布式安全技术的 融合。g s i 基于公钥加密体系，采用x 5 0 9 认证和s s l 通信协议，并对它们进 行了一定的扩展，使得g s i 可以支持单点登录，g s i 中的主要安全技术手段包 括安全认证、通信加密、私钥保护、委托授权与单一登录。g s i 应用程序接口 采用g s s - a p i ( g e n e r i cs e c u r i t y 鲫m c ea p p l i c a t i o np r o g r a mi n t e r f a c e ，通用安全性 服务应用程序编程接f a ) ，g s s - a p i 是由i e t f ( i n t e r n e te n g i n e e r i n gt a s kf o r c e ， i n t e m e t 工程任务组1 提出的用于安全系统的标准a p i 。同时为了解决g l o b u s 系 统中的授权问题，设计了c a s ( c o m m u n i t ya u t h o r i z a t i o ns e r v i c e ) 1 5 , 1 6 以期 能够和g s i 协同工作。c a s 的基本思想是在一个v o ( v m u a lo r g a n i z a t i o n ) 中建 立一个c a s 服务器，网格资源将一个v o 当作一个用户组，并为其授予相应的 权限集；而v o 中的网格用户作为v o 的成员，由v o 授予相应的权限集；这两个 权限集的交集，形成了网格用户对网格资源实际享有的权限。 世界上一些其它的网格项目中也有相关安全方面的研究成果，如在欧洲网 格( e u r o c 甜d ) 生物应用项目开发的u n i c o r e ( u n i f o r mi n t e r f a c et oc o m p u t i n g r g s o u l e c s ) 【阍，提出了自己的安全模型。u n i c o r e 安全模型的主要特性是作业 认证和数据的安全传输，支持对分布式资源统一的，安全的基于w e b 的访问， 用户可以通过x 5 0 9 证书进行单一登录。u n i c o r e 安全也同样基于p k i ，采用 数字证书和s s l 通信协议实现。 还有许多网格工程如p p d g ( p a r t i c l ep h y s i c sd a t ac r r i d ) ，s d s c ( s a nd i e g o s u p e r c o m p u t e rc e n t e r ) 的s r b ( s t o r a g e r e s o u r c eb r o k e r ) 等，在g s 的基础上进行 了扩展构建了自己的安全系统。 国内的许多网格研究都是基于g l o b u s 开展的，这极大地制约了我国对网格 安全的研究。随着网格体系结构从层次结构向o g s a 的发展变化，网格技术 开始转向以服务为中心的发展阶段。从o g s a 到w s r f 的推进，使得网格与 w e bs e r v i c e s 在共同的基础上前进，这意味着网格在体系结构、技术实现上都 武汉理工大学硕士学位论文 全面转向w e bs e r v i c e s ，作为网格重要组成部分的网格安全，也需要遵循同样 的战略目标，开始转向w s s e c u r i t y ( w e bs e r v i c e ss e c u r i t y 1 ”) 。现阶段网格安 全仍然存在一些问题需要研究： 1 ) 现有系统和技术的集成：现有系统与技术的集成需要网格安全体系结构 对现有安全体系结构和跨平台、跨主机模式进行集成。 2 ) 不同主机环境之间协同工作：一个网格作业，往往需要访问多个不同的 站点才能获得所需的资源。这需要域和主机环境的服务能够交互，协同工作。 协同工作需要域间有严格的用户身份认证机制，以及安全的通信通道等来保证。 3 ) 相互交互的主机环境之间的信任关系：网格作业需要跨越多个安全域， 这些域中的信任关系在点对点的跨越中起着重要的作用。端点间的信任关系需 要用策略清楚地进行描述。网格的动态特性，使得信任关系很难预先取得，它 需要支持动态的建立。 4 ) 资源互相访问时权限的授予和管理：不同域有不同的访问控制策略，多 域协同作业时，相同域内和不同域问的资源相互访问时需要安全稳定的权限授 予操作，资源的拥有者有权制定、修改资源的访问权限，域的管理者有权调整 本域的访问策略。 1 3 论文的主要研究内容和组织结构 本文首先介绍了网格的体系结构、网格面i | 益的安全问题和安全需求，现有 网格安全解决方案的特点和弊端，同时结合现有的身份认证和访问控制机制， 针对网格的特点进行分析，提出了统一认证和授权的( g r b a c - t s d ) 网格安全 模型。并结合现有的网格安全机制对模型的进行了部分实现。该模型满足了网 格安全访问控制中分布式管理的要求，在确保网格实体进行安全认证的基础上 简化了实体问的认证机制，实现了跨信任域的授权，并可以根据需求对用户的 使用环境进行感知，同时解决了由于资源动态性和策略自主性而造成的管理困 难问题，适应了网格环境下任务规模大，资源动态变化的特点，具有良好的可 扩展性。 本文的章节安排： 第1 章，绪论。主要介绍课题背景和现状，作者的主要工作，本文的章节 安排等； 第2 章，网格安全分析。首先介绍了两格的几种系统结构，分别是五层沙 4 武汉理工大学硕士学位论文 漏结构、开放网格服务体系结构、w s r f 。然后阐述了网格面临的安全问题和安 全需求，随后针对现有的网格安全解决方案分析了它们的特点和存在的问题。 第3 章，本章介绍了统一认证和授权的网格安全模型( g r b a c - t s d ) 中的身 份认证机制，在该模型中针对网格环境的特点提出了基于临时安全域的认证机 制，该机制根据域内和域间环境采用不同的认证策略，同时引入了临时安全域 的概念，通过为完成相同任务的实体设立临时安全区域的方法简化实体之间的 认证。 第4 章，本章介绍了g r b a c - t s d 模型中的访问控制机制，首先分析了现有 的访问控制的几种方式，即自主访问控制、强制性访问控制和基于角色的访问 控制，然后针对网格环境的特点对基于角色的访问控制机制进行了改进，并对 该机制进行了形式化描述，最后详细讨论了访问控制部分的结构组成，重点介 绍了模型中两个重要模块一一访问控制模块、策略资源管理模块。 第5 章，详细分析了g r b a c - - t s d 模型，并对模型做了适应性、安全性和性 能分析。讨论了模型中认证和授权的详细工作流程，以及与现有网格安全机制 的结合。对模型进行了详细的模块划分，在现有安全工具集的基础上对模型进 行了部分实现，完成了身份认证部分的后台管理模块，和访问控制部分的决策 模块，以及策略资源管理部分的所有模块。整个g r b a c - t s d 模型中的后台管理 部分已经实现并可以独立运行。 第6 章，总结及工作展望。本章中作者对论文做了总结并阐述了系统的改 进思路。 5 武汉理工大学硕士学位论文 第2 章网格安全分析 网格到现在已经取得了长足的发展，但是由于自身的一些特点使得网格在 提供一种崭新的资源协作和共享方式的同时安全问题成为其得到普遍应用的一 大障碍。并且随着网格从实验向实际应用阶段过渡，合理的解决网格安全问题 已经成为当务之急。本章将对网格计算及网格安全的研究成果进行介绍，其中 将重点介绍开放网格服务架构和网格安全基础设施。 2 1 网格体系结构分析 要研究一个网络系统的安全问题，首先要对该系统的架构及功能进行分析。 在网格系统构建之初，研究者就已经把安全功能纳入了网格的体系结构中，我 们首先阐述网格的体系结构和功能构成。 随着网格的发展，现在主要有三个网格体系结构标准：一个是面向协议的 五层沙漏结构，另一个是面向服务的开放式网格服务体系结构( o g s a ) ，还有一 个是w e bs e r v i c c 资源服务框架w s r f ( w e bs e r v i c er e s o u r c ef r a m e w o r k ) 。在网 格的初期发展中，主要面向于科学研究、高性能计算，五层沙漏结构满足了其 发展的要求；随着网格在科学研究的成功应用，工业界对网格的兴趣也日益增 加，希望他可以应用在电子商务领域，于是，网格的体系结构也根据需求发生 了相应的变化，采用了服务这种可以组合的概念来构建出网格体系结构 ( o g s ，而o g s a 的基础层也经历了从最初的开放网格服务基础设施( o o s i ) 到网络服务资源框架o v s r f ) 的演变。下面对这几种体系结构标准的演变进行了 相应的论述。 2 1 1 五层沙漏结构 五层沙漏结构式以一种早期的抽象层次结构，主要特点是以“协议”为中心， 强调协议在网格的资源共享和互操作中的地位。其结构简单，层次清楚，通过 协议实现的一种机制，使得虚拟组织的用户与资源之间可以进行资源使用的协 商，建立共享关系，并且可以进一步管理和开发新的共享关系。这一标准化的 6 武汉理工大学硕士学位论文 开放结构对网格的扩展性，互操作性，一致性以及代码的共享都很有好处。 五层沙漏结构解决了通用的网格平台所面临的异构性、扩展性以及适应性 等问题。五层沙漏结构以g l o b u st o o l k i t 版本2 的形式出现，g t 2 着重于可用 性和互操作能力，它定义并实现了一些协议、a p i 和服务，g t 2 应用在世界范 围内上千个网格中的应用，由此五层沙漏结构也成为一个网格体系结构的事实 标准，但这个标准既不正式，也没有接受公开评阅。 资源与连接层协议是五层沙漏模型协议层次结构中的最核心部分，它支持 上层协议向核心协议的映射，同时实现核心协议向下层协议的映射。在五层结 构中，资源层和连接层共同组成这一核心的瓶颈部分，它促进了单独的资源的 共享。由底向上分别是构造层、连接层、资源层、汇聚层和应用层，每一层中 的各个组件都具有共同的特点，它们建立在它下面任意一层所提供的能力和行 为之上。如图2 1 所示。 工具与应用 应用层 目录代理诊断与监控等 汇聚层 资源与服务的安全访问 资源与 连接层 各种资源，比如计算机、存 构造层 储介质、网络、传感器等 图2 1 五层沙漏模型 ( 1 ) 构造层的基本功能是控制局部的资源，并向上提供访问这些资源的接 口，让网格协议控制可以共享访问的资源。 ( 2 ) 连接层的摹本功能是实现通信。它定义了网格的网络处理需要的核心 通信和认证协议，构造层提交的各种资源间的数据交换都在这一层的控制下实 现，并实现各资源间的授权验证、安全控制等。 ( 3 ) 资源层共享单独的资源。定义在个别的资源上的共享操作的安全协商、 创始、监控、控制、记帐和付费方面的协议。这些协议的实现调用构造层的功 能来访问和控制本地的资源。资源层只关心单个的局部资源，不考虑跨分布收 集的全局性和原子性( 如事务) 问题。 ( 4 ) 汇聚层主要用来协调各种资源的共享。定义全局的、跨所有资源捕捉 相互作用的协议和服务，实现多个资源的协调、汇聚，供虚拟组织的应用程序 7 武汉理工大学硕士学位论文 共享、调用。 ( 5 ) 应用层是在虚拟组织环境中存在的，由网格( 虚拟组织) 用户中操作的 应用组成。应用程序通过各层的a p i 调用相应的服务，再通过服务调用网格上 的资源来完成任务。 2 1 2 开放网格服务体系结构( o g s a ) o g s a 是一种以服务为中心的“服务结构”，服务是协议的发展，美国 a r g o n n e 国家实验室的i a n f o s t e f 等人结合w e bs e r v i c e 技术提出了开放网格体系 结构o g s a ( o p e n g r i ds f t v i c ea r c h i t e c t u r e ) 。在o g s a 中一切都是服务，f o s t e r 将服务定义为：具有特定功能的网络化实体，计算资源，存储资源、网络、程 序、数据库、仪器设备等都用服务来表达，从而使网络技术的共享特性在o g s a 中表现为对服务的共享。这个结构的出现也标志着网格以科学计算研究为主的 范围扩展到了主流商业计算环境的方方面面，使得网格环境中的分布系统管理 有了标准的行为和接口，也是网格体系结构目前最新的发展阶段。 o g s a 的设计目标： ( 1 ) 分解部件功能：确定网格的本质功能，并将这些功能以一定的方式来 描述，将以前集中在一起的多项功能分解成多个部件，从而可以利用不同部件 组合出不同的功能来适应不同的环境。 ( 2 ) 面向服务：在o g s a 框架中，一切以“服务”为中心，将一切网络上 的实体都抽象为服务，包括计算机、程序、数据、仪器设备等。有利于通过统 一的标准接口来管理和使用网络。 ( 3 ) 与w 曲s e r v i c e 相结合：f o s t e r 很有远见地利用了现有解决方案。 o g s a 是利用行业标准的集成技术w e bs e r v i c e 标准( 如w e b 服务定义语言、 w s d l ) 以及应用平台和开发标准，定义开放的、标准的接口。所以说o g s a 的 基础是w e b 服务。 以网络服务为中心的0 g s a 模型有如下好处： ( 1 ) 由于网络环境中所有的组件都是虚拟的( 这里的含义是指对相同接口 不同实现的封装) ，因此，通过一组相对统一的核心接口，所有网络服务都基于 这些接口实现。 ( 2 ) 虚拟化也使得将多个逻辑资源实例映射到相同物理资源上成为可能 性，在对服务进行组合时不必考虑具体实现，可以以底层资源的组成为基础， 8 武汉理工大学硕士学位论文 在虚拟组织中进行资源管理。通过网格服务的虚拟化，可以将通用的服务语意 和行为无缝地映射到本地平台基础设施上。 基于这样的设计目标最后形成了一个面向服务的体系结构( s e r v i c e o r i e n t e da r c h i t e c t u r e ，s o a ) 。o g s a 不同的功能是通过不同地网格服务接口实 现的，图2 2 是o g s a 的体系结构图，它的三个主要逻辑组件是开放网格服务 基础结构、o g s a 服务和o g s a 模式。 i 开放网格服务基础结构( o g s i ) 1w e b 服务 i 图2 2o g s a 结构图 ( 1 ) 资源层：包括物理资源和逻辑资源。物理资源包括：存储器、网络、 显示设备、计算机、服务器及其他相关的本地服务；逻辑资源则是通过虚拟化 和聚合物理层的资源来提供额外的功能、通用的一些中间件，比如文件系统、 数据库、工作流管理、目录和安全认证等，在物理网格之上提供这些抽象服务。 ( 2 ) w e b 服务层：在这一层所有的网格资源都被建模为服务。o g s i ( o p e n o d ds e r v i c e s 岫c t u r e s ) 规范定义网格服务并建立在标准w e bs e r v i c e 技术 之上。o g s i 扩展了w e bs e r v i c e 的定义，利用了如x m l 与w s d l 这样的w e b s e r v i c e 机制，为所有网格资源指定标准接口、行为与交互，提供动态的和可管 理的w e bs e r v i c e 的能力。 o g s a 的基本组件就是o g s i ( o p e ng r i ds e r v i c ei n f r a s t r u c t u r e ) ，o g s i 是 一项网格软件基础设施标准化计划，它是基于新兴的w e b 服务标准，而这些 w e b 服务标准的目的就是在o g s a 的软件组件之间提供最大程度上的协同工作 的能力。 基于o g s i 规范，一个网格服务实例就是指一个w c b 服务，他遵循一组由 w s d l 表述的有关服务接口，扩展及行为的约定。网格服务为这些分布的，长 9 习习囡图 武汉理工大学硕士学位论文 期存在的状态提供可控制的管理，在复杂的分布式应用中，这种管理是非常急 需及重要的。依照o g s i 的定义，每个网格服务都是一个w e b 服务。反之则不 一定正确。 o g s i 规范定义如下： 网格服务实例如何被命名及被引用。 如何使接口及行为成为所有网格服务的公共组成部分。 如何指定其他接口，行为和他们的扩展。 ( 3 ) 基于o g s a 架构的网格服务层：网格服务是基于网格架构的服务，包 括程序执行服务、核心服务、数据服务等方面。核心网格服务是指可为大多数 高级服务提供支持的服务，这些高级服务包括支持程序执行的服务，或是支持 数据访问的服务，又或者是一些面向特定领域的服务。 ( 4 ) 网格应用层：随着网格服务层的逐步完善，使用一个或多个基于网格 架构的服务的新网格应用程序会大量出现，构成网格应用层。网格应用层可以 实现包括科学计算、电子商务、远程教育等服务。 2 1 3w e bs e r v i c e 资源服务框架w s r f 2 0 0 4 年，m m 、h p 和g l o b u s 联盟在g l o b u sw b d d 会议上共同提出了网 格服务资源框架( w s r f ) 。w s r f 是在保持o g s i 概念和功能的前提下，对 o g s iv 1 0 规范中所开发的概念和接口的直接的重构和发展。作为一种新的底 层技术实现基础设施，o g s i 为o g s a 提供基于w e b 服务的广泛而强大的支 持被其代替。w s r f 实现了网格与w e b 服务的完全融合，它既可以充分利用 w e b 服务领域已有的各种成果，又吸纳了网格技术，支持网格的需求，为网格 和w e b 领域的发展建立了一个共同的基础。 这时，网格服务已经与w e b 服务彻底融为一体了，w s r f 标志着网格已 经调整好方向，将信息集成作为第一目标了，也标志着网格商用化的时代已经 来临。 随着开放网格服务基础架构o g s i1 0 版的推出，w e b 服务资源框架 w s r f 随即提出，并试图解决o g s i 和w e b 服务之间存在的矛盾。2 0 0 4 年3 月，i b m 、微软与b e a 联合发布了w s a d d r e s s i n g 协议。基于该协议规范， g l o b u s 联盟和m m 推出了w e b 服务资源框架w s r f 。结构信息标准化促进 组织( o a s i s ) 随即也成立了两个技术委员会，分别是网络服务通告技术委员会 1 0 武汉理工大学硕士学位论文 倒s n t c ) 和网络服务资源框架技术委员会( w s r f t c ) 。 w s r f 与网格服务有完全不同的定义：即资源是有状态的，服务是无状态 的为了充分兼容现有的w e b 服务，w s r f 用w s d l i 1 定义o g s i 中的各 项能力，为避免对扩展工具的要求，原有的网格服务演变成了w e b 服务和资 源文档两部分。w s r f 推出的目的在于定义一个通用且开放的架构，利用w e b 服务中对具有状态属性的资源进行存取，并包含描述状态属性的机制，另外也 包含如何将这些机制延伸至w e b 服务中的方式。 针对o g s i 规范w s r f 的规范定义了主要接口和操作，它保留了o g s i 中规定的所有基本功能，只改变了某些语法特征，并且使用了不同的术语进行 表达。对于w s r f 本身而言，由于其提出不久其规范还有待在实践中得到迸一 步应用证明，以逐步得到完善。基于w s r f 和o g s a 的服务网格平台和规范 协议，最终将成为下一代互联网的基础设旋，并且所有的应用都将在网格的基 础平台上得以实施。 2 2 网格安全的需求 现有的i n t e r n e t 安全保障一般提供两方面的安全服务：一方面是访问控制 服务，用来保护各种资源不被非法用户使用或非法越权使用；另一方面是安全 通信服务，用来提供通信端的双向认证通讯数据的保密性和完整性。但是这两 方面的服务只能部分的解决网格计算系统的安全问题，网格计算涉及的安全问 题可分为以下三个管理层次：远程安全管理、用户安全管理、作业和任务安全 管理。对于网格计算系统涉及的大部分安全问题，可以采用目前已有的安全技 术加以解决，但在网格计算系统这样一个复杂的，广域的，动态的范围内，对 用户进行限制性授权有目前已有的安全技术是无法解决的。网格系统的安全集 中解决图和将网络资源安全的分配给网络用户，以及如何保证网络用户安全的 使用网格。网格面临的安全问题有： 网格的安全保证是系统正常运行的保证，网格环境中的若干可能造成安全 问题的特性： ( 1 ) 参与网格的用户与资源的数目非常巨大，可以属于多个不同的组织而 且经常动态变化其参与状态。 ( 2 ) 应用程序可能在运行过程中动态请求、访问与释放资源。可以动态的 申请和启动进程。 武汉理工大学硕士学位论文 ( 3 ) 网格系统中同一个用户可以在不同的资源下有不同的用户标识。 ( 4 ) 网格系统中的资源可以支持不同的认证和授权机制，可以有不同的访 问控制策略。 ( 5 ) 应用程序各个进程之间会动态建立和销毁信道，并可能使用不同的通 信机制进行通信。 总之，网格的安全模型必须建立在一个动态，需要协调不同访问控制策略 和不同的安全互操作的环境中。 与传统的i n t e r n e t 网络环境相比，网格环境更为复杂，它具有大规模、分 布、异构、虚拟、动态、多管理域等许多新特性，因此它提出了更高更广泛的 安全需求。 网格环境建立在原有的各类系统之上，因此只能把它们整合起来，协同运 作。 网格环境下所面临的安全挑战可以分为如下三类嗍： ( 1 ) 解决在集成方案下使用现有的服务，并提取接口来提供一个可以扩展 的体系结构时所面临的安全问题； ( 2 ) 解决在动态网格环境下定义、管理、执行信任策略时所面临的安全问 题； ( 3 ) 解决互操作性，即在拥有不同安全机制和策略的虚拟组织中的实现服 务互相调用时所面临的安全问题。 以上给定类别的解决方案是互相依赖的，依赖关系如图2 3 所示。 图2 3 网格环境下的三类安全挑战 武汉理工大学硕士学位论文 网格技术的目标是在分布的、动态的虚拟组织中支持不同资源的共享与协 同，换句话说，就是能够从分布式组件中创建虚拟计算系统，使这些系统得到 充分地集成，以提供所需的服务质量。安全是一个符合o g s a 组件的特征， 基于o g s a 的新的安全体系的目标就是让用户或应用以一种无缝而自动的方式 使用安全体系所提供的安全功能。与原来将安全功能内嵌于某个应用不同，新 的安全体系将安全机制从现在的应用中脱离出来，应用不在需要在内部直接调 用安全功能。这些安全功能使用网格服务的技术转化成一种网格安全服务，网 格系统将他们作为一种基础服务来代表应用实现其安全需求。 网格环境需要一个o g s a 平台安全机制，用于支持、集成和统一常用的 安全模型、机制、协议、平台以及技术。在网格计算中，各种应用和服务需要 支持许多安全功能，如认证、授权、证书转换、委托、审计等。网格应用在进 行安全交互时，都要涉及很多安全机制。基本的o g s a 安全模型必须具备以 下安全功斛1 3 , 1 4 , 1 5 】： 认证：负责处理身份的具体细节，并为多个认证机制( 可能是自定义认证 机制或者工业标准的技术) 提供接入点，为传输特定机制提供方法，接入点对 于任何一种认证机制来说都是未知的。 委托：一个用户能够授予一个程序代表自己身份的权力，以便该程序可以 访问用户被授予的资源，另外。该程序也可以经一步委托另一个程序。动态信 任域的建立需要把服务请求者的访问权限委托给服务并定义代理策略。委托的 权限必须有限定的生命周期，以减小滥用权限的危害。 单点登录：单点登陆的目标就是让用户秩序输入一次密码，就可以多次的 认证，并且准许代表用户来进行资源的申请。用户只需在开始启动计算时进行 一次登陆( 身份认证) ，然后就可以访问任何被授权可访问的资源，既在计算过 程中获得资源、使用资源、使用资源、内部通信时无需用户进行再次认证。这 样的安全机制必须考虑到一个请求跨越多个安全域带来验证域的联合和身份的 映射问题。 证书期限和证书更新：证书需要被限制在一个