（计算机系统结构专业论文）网格数据服务访问控制的研究与实现.pdf

绺大学拇一j 学靛沧义 摘要 数槲库在众多的关键应用中扮演了重要的角色。 放式刚格服务体系结构一 数搌访问与集成( o g s a - d a i ) 中间 牛煮效豹实现了羟网接环境f 以统一的拨k t 防问分布的异构数据库资源。为了防止对数掘资源的非法防问和操作， o g s a d a i 嚣要姿源提供者维护个r o l e m a p 文件对每个网标用户进行授权。 然而在刚格这种跨多个管理域、具有极强动态性的坏境中，o g s a d a i 现有的 j s 闽羟割方式绘资源提供者带来了极大的系统管理和维护玎销。 本文的熏点在于研究直何解决o g s a d a i 的访问控制管列的瓶颈问题、社 分析和罨嚣究了o g s a d a i 以及与其媚关的访问控制技术的基础之t ，结合纂于 角色的访问控制理沦模型，提出了一种解决o g s a d a i 访问控制的方案。在该 方寨中，我们引入一令受信任的第三方作为管理震撼组织用户角色的权威鼹务， 资源提供者将用户角色的授权委托给该服务。资源提供者无需蹦每个v o 刖户 鹭访嚏衩凝1 遘行直接控制，丽楚基于用户所属的角色进行访问控测。通过这种 方式大人的减少了r o l e 。m a p 的聚目，使得资源提供者既保持了列其资源授权的 最终控嚣刊，又在建低了管理牙销的嗣时提高了对阀格大量用户的可管理性。 在改方案的基础之上，文章给出了两种不同控制粒度的实现。第一种方式 采用证书委托褫制实现了一个粗粒度的轻晕缎访阉控射船务；第二耪力式给出 一种结合团体授权服务( c a s ) 达到细粒度访问控制的实观。文章还分别对这两 种实王蜃进孬了簿要的分祈和评估，绘出了各鸯的饯挟点稻适用蓬图。 关键词：o g s a d a l ，访闷控涮，基于角孝。的访阏控制，d a c s ，c a s v 婚人学坝l 学位论文 a b s t r a c t d a t a b a s ep l a y sav e r yi m p o r t a n tr o l e i nm a n yc r i t i c a la p p l i c a t i o n so p e ng r i d s e r v i c e sa r c h i t e c t u r e - d a t aa c c e s sa n di n t e g r a t i o n ( o g s a d a i ) i sa ne f f i c i e n t g r i d e n a b l e d m i d d l e w a r e i m p l e m e n t a t i o n w h i c hc a l la c c e s sd i s t r i b u t e da n d h e t e r o g e n e o u sd a t a b a s er e s o u r c e st h r o u g hau n i f i e di n t e r f a c e q oc o l l t r o t h ca c c e s s r i g h to ft h e i rd a t ar e s o u r c e si no g s a d a if r a m e w o r k ，r e s o u l 。c cp r o v i d e r s h a v et o m a n a g ear o l e m a pl i l ec o n t a i n i n ga u t h o r i z a t i o ni n f o r m a t i o nf o ri n d i v i d u a lg r i du s e r s h o w e v e r ，i nt h ed y n a m i cg r i de n v i r o n m e n t sw h i c hc r o s sm u l t i p l e a u t o n o l a l o u s a d m i n i s t r a t i o nd o m a i n s ，t h ea c c e s sc o n t r o lm e c h a n i s mu s e di no g s a d aic a u s e s u b s t a n t i a la d m i n i s t r a t i o no v e r h e a d sf oj 1r e s o u l c ep r o v i d e r s i nt h i st h e s i s ，w ef o c u so nh o wt os o l v et h eb o t t l e n e c kp r o b l e mo la c c e s s c o n t r o li n0 g s a d a if r a m e w o r k a f t e ra l lo v e r v i e w o f0 g s a i ) a ia n d1 。e l a t e d s e c u r i t ya n da c c e s sc o n t r o lt e c h n o l o g i e s ，w ep r o p o s eas o l u t i o nb a s e do nr o l eb a s e d a c c e s sc o n t r o lr r a b c 、t h e o r yt os o l v et h ep r o b l e mw ci n o d u c eat r u s t e dm j l d p a r t ya u t h o r i z a t i o ns e r v i c et o c o n t r o 】u s c l 。s r o l e si nv i r t u a lo r g a n i z a t i o n s ( v ( ) s 1 r e s o u r c ep r o v i d e r sd e l e g a t et h ea u t h o r i z a t i o nt ot h et h i r dp a r t ys e l v i c ew h i c h a u t h o r i z e su s e r si nv or o l e st h e r e f o r e ，r e s o u r c ep r o v i d e r sd on o tn e e dt oc o n t r o l t h ea c c e s sr i g h tf o re a c hu s e rb u to n l ym a i n t a i nt h ec o n t r o lf o re a c hv or o l e f h i s a p p r o a c hd r a m a t i c a l l yr e d u c e st h en u l n b e r so fe n t i t i e si nt h er o l e m a pf i l e i h u s ，i t p r o v i d e si n c r e a s e dm a n a g e a b i l i t yf o ral a r g en n n l b e ro fr i s e r sa n d1 1 e d u c e sd a yt o d a y a d m i n i s t r a t i o nt a s k so fr e s o u r c ep r o v i d e r s ，w h i l et h e ym a i n t a i nu l t i m a t ea u t h o r i t y o v e rt h e i rr e s o u r c e s b a s e do nt h e p r o v i d e ds o l u t i o n ，w e d e m o n s t r a t et w od i f f e r e n tk i n d so f i m p l e m e n t a t i o n s ，o n ea p p r o a c h i m p l e m e n t s ac o a r s e g a i n e dl i g h t w e i g h ta c c e s s c o n t r o l s e r v i c eb yc e r t i f i c a t ed e l e g a t i o n ；t h eo t h e ru s e sc o m n l u n i t ya u t h o r i z a t i o n s e r v i c e ( c a s ) t og a i nf i n e g a i n e d a c c e s sc o n t r o lw ea l s oe v a l u a t et h e s et w o d i f l ) r e n ti m p l e m e n t a t i o n sa n dp o i n to u tt h ea d v a n t a g e sa n dd i s a d v a n t a g e so ft h e m a n dt h e i ra p p l i c a b l ec i r c u m s t a n c e s k e y w o r d s ：o g s a d a i ，a c c e s sc o n t r o l ，r a b c ，d a c s ，c a s v 原创性声明 本人声明：所晕交的论文怒本人在导鄹指导下遴行的研究i 礅一。， 除了文中特别加以标注和致谢的地方外，沦文中不包禽其他人已发 表或撰写过的研究成果。参与潮 二作豹箕德同志蹦本研究嚣；傲的 任何贡献均已在沦文中作了明确的说明并表示了喇意。 签名：丧勇曰 本论文使用授权说明 舰叠蕊3 ， 本人完全了解上海大学有关保留、使爝学位论文的规定，即： 学校有权保留论文及送交论文复印件，允许论文被查阅和借阅；学 校司以公布沧文的全部或部分内容。 ( 保密的论文在解密后应遵守此规定) 签名：遢导师签名 维氩j 珊地立! _ 海人学坝i 学位论史 1 1 课题研究背景 第一章绪论 数字化数据是利学和工程中所有分支利学的基础。这些数据在利学研究、 企业应用以及政府决策等领域扮演着重要的角色。然而1 i 同组织、不同系统的 数据集大多数都是以不同的方式保存并分布在不同的地理位置。随着时问的不 断推移，这些数据每天还在以飞快的速度不断增长。 在一个大的组织或企业l 二| = l 经常会有多个独而的应用及其数据集供内i 引n 不 刊组织和部门使用。由于政策、机制和决策等方面的因素以及棚关技术万咖的 原因，这些彼此独立的不同应用仍然在企业或其他组织内部不断出现。然而， 随着网络连接的不断普遍以及问题规模的逐渐扩大，大量的应用丌始需要来自 各个方面的不同系统的信启、和数据进行普遍合作。冈此，系统资源的共享和整 合成为企业和组织信息化中一个重要的阶段。但是由于原有这些数捌集分圳眶 务于不同部门，甚至于某个单独的应用，它们之矧存在的差异。陆和较羞西操作 性严重的阻碍了整个企业或组织的应用系统的整合和进化，使得难以为用户提 供个统一一的服务界面去访问组织或企业内部可获得的数据资源。 网格技术【。3 1 的发展为各种异构数据资源的共享与整合带来r 个新的希 望。网格技术最初起源于研究和学术领域对于相互协作的迫切需求。利学冢们 的最初研究目的就是如何将跨地域的多台高性能计算机、大型数据库等整合成 一台巨大的超级计算机系统，支持科学计算和科学研究。由于网格计算是一种 新兴的技术，对于不同的人来说可能会有不同的定义。美国阿岗国家实验室的 资深科学家、美国计算网格项目的领导人i a nf o s t e r 这样定义嘲格：“网格是构 筑在因特网上的一组新兴技术，它将高速互联网、高性能计算杌、大型数据库、 传感器、远程设备等融为一体，为科技人员和普通老百姓提供更多的资源、功 能和交互性。因特网主要为人们提供电子邮件、网页浏览等通信功能，而网格 功能更多更强，能让人们透明地使用计算、存储等其它资源”【“。但是无玲 哪 种定义，它背后的本质却是相同的，那就是：网格是联合各种计算资源形成一 个大的系统，从而为用户提供功能强大的多系统资源来处理特定的任务，并提 海入学俩f 学位论文 供个资源的虚拟化界面。 就像w w w 或：苦i n t e m e t 技术样，嗍格技术i i 在从实验室志m ，钦向业， 界开始逐渐使用，并以此带来了新型的商业和应用模型，也带来了新的技术挑 战。不管是科学研究中还是商业应用中，几乎所有业务流程部需要对共享数据 进行可靠、快速的访问。在网格环境中，虽然很多情况r 数掘只是简单的被存 储于文件中，然而存包括电子商务、e s c i e n c e 等各个方而的大多数应j l j 系统中， 数据库管理系统处在一个核心的地位，它负责了系统中数据的存储、访问、组 织以及授权等等方面。虚拟化组织( v i s u a lo r g a n i z a t i o n ，v o ) 【j 1 利用网格技术 实现某些目标需要利用数掘库和数 ；岱库管理系统，集成现有的这些数掘库提供 的信息资源也需要数掘库系统的支援。就如同企业或组织内部系统进行整合一 样，在嘲格环境下需要不同组织问的数据库资源进行 ! ：j j 、作时，也出! 1 1 9 l i 了不i 司数 据库系统的互操作性问题。因此如何解决现有不同数掘库系统的互联互通f i 经 成为一个广泛存在的迫切问题。 全球网格论坛( g l o b a lg r i df o r u m ，g g f ) 的主要目标是通过创立并形成技术 标准和最佳方法文档，包括技术规范、用户体验和实现指南，来促j ) i ： 1 1 支持网 格计算技术与应用程序的丌发、部署和实现。丌放式网格服务体系结构( o p e n g r i ds e r v i c e sa r c h i t e c t u r e ，o g s a ) 【6j 是g g f 制定的网格系统结构标准，它作 为工业标准的网格计算蓝本，为跨组织、部门的异构信息和资源的共享指明了 方向。数据访问和整合服务工作组( d a t a a c c e s sa n di n t e g r a t i o ns e r v i c e sw o r k i n g g r o u p ，d a i s w g ) 隶属于g g f ，其主要研究内容是如伺在数扼：库与网格服务 之间建立接f i 。开放式网格服务体系结构一数扼访问与集成t o p e n g r i ds e r v i c e s a r c h i t e c t u r e d a t aa c c e s sa n di n t e g r a t i o n ，o g s a d a i _ j ) 是d a i s 参考规范的一j 个实现，其没计目标是提供一种简便的方法，在网格环境中实现数据的访问和 集成。 o g s a d a l 是一个带有许多扩展点的工具包，它为丌发者提供了便利，以 适应各自特定的不同的需要。o g s a d a i 为o g s a 规范提供扩展，允许数据源， 如数据库，在一个统一的框架中被访问。通过o g s a d a i 接口所能达到的最终 目标是：分散的、异构的数据源能够像单一逻辑的数掘源一样被访问和控制。 辩j 、学鲠t 掌位圣 = 交 o g s a d a i 组件提供的潜能在构建高级腿务中可以作为基础组中i 二，支持符v o 中黪鼗囊联会秘分奄式查幸鳕处瑾f s l 。 由于o g s a d a i 具有的各种优势【7 1 以及数据库系统在企业应用和科学f i j i 究 中的重要作用，研究和使用o g s a d a i 系统构建高层应用系统和其他刚格应用 已经褥裂越来越多静重裰。 1 2 问题的提出 在任何嘲络环境中，安全性都是一个非常重要的闷燧。不管是资源的提供 者还是资源的使用者都必须保护自己免受外部的威胁。这种需要剥j ：网格环境 寒隧茏箕重要，邋惫在网格繇麓中，客户祝可以经予不淄熬 整理空闷秘缨织中， 隐藏在那些发现、中介、协商或者调度等服务的后丽。因此，对于参与网格应 用的资源提供者都希望自己提供的数掘和资源能在一个安全的、可控的范闭内 菝餐都臻户使j 鬟。理所当然，安全和访问控捌成为使捌o g s a d a l 桷建网揍遴 用系统中的一”个关键问题。 网格安全一j 涉及到身份认证、授权、完整性和机密性等部分。网格安全基 鳓设施( g r i ds e c u r i t yi n f r a s t r u c t u r e ，g s i ) f 睁。2 1 是g l o b u st o o l k i t i 3 瓣筷的套 网格安全中间件。它的所有功能部是基于公钥加密体系( p k i ) ，斛决r 用户的 验汪和代理、滏托、单一登录等问题，并且保i e t 消息层和传输层的数据安全， 溅为瞬揍安全阉题熬一个大统一弱集成方褰。g s i 栗溺身份映射祝割寒避毒亍溺 格服务的访问授权。通过一个身份映射文件( g r i d m a p ，f i l e ) 将网格用户同本地用 户相关联，由操作系统根据本地安全机制来控制用户对本地系统资源和服务的 滂滔。这静方法虽然配嚣麓单，毽是其司扩震缝鞠警趱整帮毙鞍差。由于虚拟 组织的动态性伴随着网格用户的不黔f 加入和离丌，| = 【_ | 系统管理员去不断地 维护这样一个映射文件是一件非常困难和乏味的事情，特别是在大型的域中这 萋孛弱隈性更热鸹显。为此，青摄多磅究缀织万震了鸹哆潮捂授权熬罨箨究顼爱。 o l o b u s 组织也注意到这个问题，在最新版本的g l o b u st o o l k i t 中提供了多种授 权接口u 3 允许服务开发者通过一些可扩展的接口柬替换默认的基于身份映刺 鲍援毅撬割。 o g s a d a i 安全体系结构建立在g s i 之上，客j 、端与服务之问的身份认征、 数据加密等都是依靠g s i 提供的功能来完成。然而，数据库资源作为一种独特 的网格资源在安全控制上不同与一般的计算资源。通常，个成用或用户可能 只被允许访问数据库内的某一部分特定数据。现有的大多数数据库管理系统都 通过基于角色的访问控制模型( r o l eb a s e da c c e s sc o n t r 0 1 r a l 3 c ) g k 实现对陔功 能的支持 1 4 - 1 6 】。一个数据库角色代表了一系列数据库操作权限的集合。一个数 据库用户代表了一个或多个数掘库角色的组合。o g s a d a i 目丽通过一个角色 映剩文件( r o l e m a pf i l e ) 将一个网格用户映射到一个本地数据库用户1 ，由数抓：库 管理系统控制该角色对具体数据的操作权限。然而在构建网格应用系统时，可 以发现它同g s i 的g r i d m a p f i l e 具有同样的局限性：在极具动态性的网格环境下， 任伺一个v o 用户的加入或离开都需要所有的资源提供者列其r o l em a p 文件进 行更新，大大的增加了资源提供者的系统维护丌销。因此一个有。效的济问拧制 解决方案亟待提出。 1 3 当前研究现状 目前国外有多个研究项目在研究有关网格授权系统。其中比较典型的授权 系统有两个：团体授权服务( c o m m u n i t y a u t h o r i z a t i o ns e r v i c e ，( , a s ) t l v s i 和虚拟 组织成员服务( v i r t u a lo r g a n i z a t i o nm e m b e r s h i ps e r v i c e ，v o m s ) i9 , 2 0 。c a s 和 v o m s 结构相似，都包含一系列的虚拟组织角色和用户鲴关系，角色的管理是 集中在c a s 或者v o m s 服务器上面。它们都通过一些策略描述为资源提供者 展示v o 对用户的授权信息，并由资源提供者解析这些策略并决定是否允许用 户访问资源。它们的主要不同在于c a s 的策略声明直接包含了用户对资源的访 问权限，并不需要由资源提供者来解释权限；而v o m s 的策略声明只包含一个 角色或用户所属用户组的列表，由资源提供者基于本地的访问控制策略并结合 用户的角色信启、来决定具体的访问权限。从效果上看，v o m s 用户的角色村1 成 员属性是集中在v o m s 服务器控制，但是对于这些成员具体的权限的控制策略 则是分布在不同节点：而c a s 策略由v o 的c a s 服务直接提供用户权限，而 不要资源进行任何解释。另外，其它的授权系统还有像a k e n t i ”i 、p e r m i s ( ” 等。对于a k e n t i 和p e r m i s ，其工作流程很类似：都是酋先由资渊验证清求者， 确定它积魏身份藤箱关藩性：蘩磊资源寝受耩解析用户渗隶，势怒浚求者的话 - t 5 、相关属性和操作请求传送到a k c n t i 服务器或者p e r m i s 服务器端，术请 求授权决定；a k e n t i 服务器或者p e r m i s 服务器会根挪 策略逐刚个决策f 接 受或者拒绝) 绘资源去技行。 以上多种系统和解决方案都是针对g s i 授权系统的不足或蝥代g s l 的授权 系统为研究目的的。到目前为止，并没有发现专门针对o g s a d a i 系统的访问 授权静辩决方案和磺究顼醛。 1 4 论文的主要内容和组织结构 本文的霞点在于研究如何解决o g s a 。d a i 的访问控制管理部分的瓶颈问 题。在分析和研究了o g s a + d a l 以及与其相关的安全和访问控制技术的基础之 羔，结台基予筠色鹊访同控戳理论旗鍪撬出了一静解决o g s a d a i 访闻羧蠲的 解决方案。在浚方案中，我们引入一个受信任的第三方作为管理虚拟组织用户 角色的权威服务，资源提供者将用户角色的授权委托给该服务，南浚服务负责 分瓣和管理蘩拿v o 豹爱琶。爱滚提供者秃露露每个v oj 磊户戆游趣投蔟进行 蕊接控制，而烃基于用户所属的角色进行授权。通过这种方式大大的减少了 m l e 。m a p 的条瞬，使得资源提供者既保持了对其资源授权的最终控制，又存降 低了管理爵镑粒越露提高了怼瓣揍夫量翻户故爵营理性。 在浚方案的基础之上，文章还给出了两种不同控制粒度的实现。一种方案 依靠g s i 实现个独立的访问控制服务：d a c s ( d a t a a c c e s sc o n t r o ls e r v i c e ) ， 透过证书委叛静方式按角邑划分不| 毳】豹璎户，吸适应o g s a d a i 藩鸹静访闷控 制机制；另种方案通过对o g s a d a i 部分模块的修改并结合c a s 系统达到 烫细粒度访问控制，使得o g s a - d a i 的访问控制系统能够更好的适应于网格应 瘸耱痉羧组织瓣嚣要。 文章的组织结构如下： 第一章为绪论，阐述了课题研究的背景、问题、当前的硼究现状以及文章 熬内容帮组织结襁。 商、学! j ! i 学位论空 第二章详细的介窖 = ；了确关的背景知以。卜要涉及炎全的基 i l 慨l 、身份认 证、授权以及g s i 的相关内容。其后介绍了有关o g s a ，d a 【系统，并在此楚甜： 之上分析了其授权系统的机铜j 。 第三章洋自i i 介绍j 基j r a l 3 ( m 州晓提h 1 种解决o g s a i ) a f 攫议j i ；“，o ! 的解决方案。 第四、血章详细的介绍了两种不同解决方案的系统架构、i ! _ ! ：h 实现及技术 难点讨论等。 第六章对全文进行了总结并指出，需要进一步研究的问题引i 一j r 潍人学倒：学位沦义 第二章相关技术背景 2 1 身份认证和授权 在网格计算中，个重要的基本概念就是“虚拟组织”( v o ) 。v o 是多个分 柿的个体和组织的集合，其目的足以。种协同的方式共享和使州多种多样的资浙1 9 j 。作为v o 中的一个资源提供者，将其资源共享出来在v o 的范围内使用，应改 有一定的机制由其决定哪些用户以何种方式访问资源或者哪些用户被禁止。 访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源 不被非法的访问和使用，它是保证网络安全最重要的核心、策略之l i 。与圻j ，： 制关系最为密切的两项技术就是：身份认证和授权。通过身份认证来验证最终用 户是否 崩有其所声称的身份，这是授权的6 h 提。授权则是基于定的访问控制策 略决定已被确认身份的用户是否拥有访问资源或者服务的权限。 21l 安全基础 在一个安全会话过程中应该能够保证参与会话的实体拥有其所声称的身 份，不能被恶意者伪装。身份认证主要关系着如何验证一个实体的身份。它主 要基于加密、解密技术2 m ”。 1 ) 加密解密： 大多数的加密算法采用同一个密钥进行加密，解密。由于加密、解密使用 同一个密钥，这种密码算法通常被称为对称加密算法。尽管这种算法通常效率 比较高并且简单易于实现，然而它只能保证保密性。而且它也要求双方必须在 通信前对密钥达成一致，这严重影响了它在分布式系统中的使用。日i 口，大多 数安全系统采用非对称加密算法。在这种系统中，消息的加密和解密采用不同 的密钥。公共密钥设施( p u b l i ck e yl n f f a s t r u c l u r e ，p k i ) 是这种系统中应用最为普 遍的一种。 2 1p k i 海人学倾f ，学位沧卫 与对称加密不同，p k i 引入了一对密钥：公钥和私钥。私钥由它自( 朋i 柏者 秘密保管，公钥则自由分发给各个参与者。用公钥加密的数据只能用相关联的 私钥进行解密，反之亦然。这样，如果想创建只能由特殊的一方读取的消息， 则使用他们的公钥进行加密，然后剥方使用其私钥束解密该消息。通常与公钥 系统相关联的还有以i j 1 个概念： 1 1 数字证书( d i g i t a lc e r t i f i c a t e ) 数字证书提供了一种利用公钥加密系统验证实体身份的方法。数字证 书一般由受信任的第三方注册组织用其私钥签署颁发，该组织又叫认旺权 威机构( c e r t i f i c a t ea u t h o r i t y ，c a ) 。c a 是参与安全通信的发送者和接收 者都信任的公众组织。一个实体的数字证书是包含了该实体的公钥、标以 名( d i s t i n g u i s h e dn a m e ，d n ) 以及签发c a 名称的二二进制文件。i ) n 与其 他信息，如证书的期限、证书序列号等，共同唯一的标识了实体的身份。 由于实体证书由c a 用其私钥签发，因此如果接收方持有c a 证书签名验 证所需要的公钥，则它可以验证己签名证书的有效性，并从中提取发送方 的身份标识和公钥。 2 ) 数字签名( d i g i t a ls i g n a t u r e ) 数字签名是公钥加密系统中用来保证数据完整性的方法，以防l l 对通 信中内容的恶意篡改。例如在公钥系统中如何判断接收到的公钥是对疗的 而不是被蓄意替换过的l 呢? 数字签名采用消息摘要获取消息作为输入并 生成位块( 通常是几百位长) ，该位块表示了该消息的指纹。消息l _ 串很小 的更改( 比如既，由闯入者和窃听者造成的更改) 将引起指纹发生显著更 改。然后由发送方用私钥对这段消息摘要进行签名并将这段摘要和其明文 发送出去，接收方用发送方的公钥束解密消息摘要并和未加密的消息摘要 进行对比。因为只有发送方才知道私钥，通过对比，所以接收方司以确保 消息确实是来自发送方。 3 1 证书链 c a 可以用自己的私钥对证书签名，因此，如果接收方持有的c a 讧e 书具有签名验证所需要的公钥，则它可以验旺已签名汪书的有效性。以止r 海人学坝l 学位比女 为基础，可以组成一个层次化的c a 模型。根c a 采用自签名方式，它负 责签发t + l 问c a 证二f ，中阃c a 证书再签发其他实体证二| = 5 或者下层c ai i l ： 书。以此类推，绸成个证：n 链。”链的存在m 促成，信i 门_ 链的建t 。 如果通信双方在各自的信任的证书链中存在个交集，到5 么舣方就认为列 方是可信任的。 通常我们可以通过多种方式识别用户的身份，如用户- 名密码等。在这掣我 们主要描述采用旺书识别的过程。在证书识别过程中，通信双方可以先通过交 换身份证书的方式实现双向身份认证。当然，在双向认证之前，签署通信双方 实体证书的c a 必须在双方信任的c a 链中，并且双方都拥有这些c a 的征书 拷贝。具体过程如下： 1 1 首先客户机a 同服务器b 建立个连接，并出具自己的实体证二l = 5 给j 3 。 陔实体证书包含a 所声称的实体身份、a 的公钥以及签署陔征二| = cc a 的名称。 2 ) b 首先校验a 实体证书的c a 数字签名，检查陔汪二| = 5 是否合法。在这 罩，关键是签署a 实体证书的c a 必须足b 所信任的。 3 ) 检查过a 的证书后，b 还需要确认a 确实是证书所声称的实体。b 生 成一串随机消息发送给a ，要求对方加密。 4 ) a 用其私钥加密这串消息并送回给b 。b 用a 的公钥解密。如果解密 后的消息和发送前相同，那么b 就可以确认a 的身份。 5 1 然后b 重复a1 4 步的操作，直到a 确认b 的身份。 至此，a 和b 建立起一个连接而且确认了对方的身份。 213 授权 双向身份认证是安全通信的丌端，是授权操作的胁提。授权是根据晴求用 户的身份并结合一定的访问控制策略允许访问和操作一段敏感软件或系统资源 的过程。这两个概念密不可分。没有授权，就无需知道用户的身份。没能认证， 州4 人学坝1 学亿论义 就不可能区分可信和不可信用户，更不可能安全地授权坊问许多系统部分。 通常一个授权系统被按照功能划分为两个实体 2 5 1 ：策略决矗? 点( 1 ，o l i e y d e c i s i o np o i n t ，p d p ) 平! j 策略拟l 行点( p o l j c ye n f o r c e m e n lp o i n l ，p h j 。p d i 4 k 抓： 晴求的主体、资源和访问策略对该次的请求做出授权决定。p e p 负责执行p d p 做出的决定。根据系统结构和应用的不同，p d p 和p e i ，有可a 月q n - i 二l r 处于同系统 内部也可能是相互独立的。 授权的过程通常有三二种不同的顺序模式吲：拉( i ，u 1 1 ) 、推( 1 ，t l s h ) 5 f 1 ：1 代理式 ( a g e m ) 。图2 一l 、图2 - 2 和图2 - 3 分别描述这几种模式。在p u l l 模式下，主体向 p e p 发出一个资源的访问或执：| t r q 求，p e p 根据p d p 做出的授权结果决定主体 是否被允许或拒绝访问资源。p e r m i s 和a k e n t i 就采用这种模式。存：p u s h 模式 下，主体首先防问p d p 获得授权决定，然后在访问资源时向p e t ，出示) l ，返 回的授权决定，p e p 根据授权决定允许或拒绝主体的防问请求。c a s ，v o m s 等 大多数授权系统采用这种模型实现。在代理式模式下，主体向p d p 发起资源清 求，p d p 执行授权策略并代表被授权的主体访问p e p 执行资源防问。 广_ 锇咯f 儿定点 ，一，一 爪 。i 、 【2 授权青求 o 一 一【 j l 【= l 务晴求】一l l 刮。 人旦堂型生l ： j 一角】 图2 1 拉式授权模式 芒角2 图2 - 2 推式授权模式 闰2 - 3 代理式授权模式 2 2 阏格安全基础设施g s i 22 1o g s a 与g l o b u st o o l k i t 瓷篱l 开旅丽格溅务体系结梅( o g s a ) 是一个体系结构标准，它试图使用较少 的熊中控制，同时又要用最商质量的服务求实现跨众多瞧拟组织共享的资源之 蚓的高度交互。o g s a 班缀务为中心，将熬个婀格看作是缀务豹集会以馒提供 更佳的软件互搽作性、高级剐的安全性、资源定义和发现、策略和可管理性。 o g s a 是一个层次化的体系结构 6 1 ，其模型如图2 。4 所示。浚图的每层 都渍搿的定义了相应豹功能，其核心是w e bs e r v i c e 和o g s a 搬务层。褒o g s a 中所有的资源( 包括逻辑资添与物理资源) 都是服务。w e b 暇务屡为支持服务 提供了坚实的基础，o g s a 背后的概念都是建立在w e b 服务标准之上的。 o g s a 对w e b 缀务进行了扩壤，在溺格中实现了孵态黻务与状态管理共存。 爵蘸，o g s a 的基础设施已经发展成为w e bs e r v i c e 资源框架( w e bs e r v i c e r e s o u r c ef r a m e w o r k ，w s r f ) 2 6 1 。w e bs e r v i c e w s r f 为网格系统提供包括捕 述期发现骚务属性、剑建服务实例、管理鼹务生命周期、管理服务缀以及发匆 和订阅服务通知等标准接口和及其相关行为，支持创建、管理酬梧聪务以及网 格服务的信息交换。网格服务偿基于w e bs e r v i c e w s r f 创建了一套标准网格 援努，包括注臻、认证、鉴控以及数据访潮接到等，献两为构造网掇痘翅提供 了可重用的基石出腋务。 诲人学帧i 。学位论文 l 一望_ c ! ! i _ i 蕊赢i 赢i i _ i 控，投 l _ | 方剐管珊等其他高崖服务【 图2 4o g s a 体系结构 g l o b u st o o l k i t 是g l o b u s 联盟对o g s a 参考的一个实现，也是同的网格基 础没施的事实标准。到本文写作的时候o l o b u s t o o l k i t 已经发展到了4 0 1 12 7 l 版。 g l o b u s t o o l k i t 实现了一系列的用柬构建网格应用的高层服务，这些服务大多数 满足了o g s a 提出的很多抽象需求。它主要包含5 类组件1 ：安全，数据管理， 执行管理，信息服务以及通用运行环境。 通用运行环境：它是g l o b u s 系统的基础，为w e bs e r v i c e 服务和非w c b s e r v i c e 服务提供了一系列它们运行所必须的基础程序库和工具。 安全：基于安全基础设施( g s i ) 为保证安全通信提供j 7 基础。 数掘管理：用来管理虚拟组织中大量的数掘。 信息服务：包含了系列的组件来发现和监控虚拟组织内的资源。 执行管理：执行管理用束处理初始化、监控、管理和调度协调网格内的 任务。 网格安全基础设施( g s i ) 是g l o b u st o o l k i t 提供的一套网格安全工具包和 程序库。目前，g g f 已经将其纳入到了标准行列。g s i 基于p k i 、征1 ： 认证和 x ，5 0 9 证书刚。它提供了以下功能： 传输层和消息层安全 使用x 5 0 9 证书进行身份认证 多种授权模式( 非w e b 服务平台只有有限模式的支持) 海人学彻l 学位沦文 身份委托和单点登录 不同层次的安全控制：容器、服务和资源 g s l 支持安全上下文的建立，提供传输层的安全保证。传统的g s i 采用ii 。s 传输层咖汉保证安全 下文的建立和信息保护。从( m o b u st o o l k i l3 丌始，( j s l 通过实现相关的w s s e c u r e c o n v e r s a t i o n 和w s f r u s t 规范支持最新i 均w e b | 杰务 安全标准，利用x m l 签名等技术实现信息保护。g s i 也支持不建立安全上下文， 直接通过x m l 签名规范实现消息层安全。 g s i 使用标准的x 5 0 9 证书进行身份认证并使用资源提供者的访问控制列 表进行访问授权。g r i d m a p 是g s i 授权的缺省模式。g r i d m a pf i l c 又件是一个 防问控制列表，其中是所允许的调用者标识，每个标识都有一个或多个到本地 用户名的映射。在允许访问之前，还要将实体映射到在g r i d m a p f i l e 文件，中列 出的本地用户名。如果请求者的全局用户标识在g r i d m a p i h e 中，那么 ? 的访闯 请求将被授权。在这种情况下，请求者的全局用户标识将被映射至个本地用 户，由本地操作系统或资源进行更细粒度的访1 4 控制。这科，方式使得g s i 能够 完全的建立在不同的操作系统之上，并使用统一的证书和认汪系统而不用考虑 底层的本地的安全机制。然而这种方式使得g s 只能使用有限的防问控制，同 时需要将大量的网格用户映射至本地用户电带来了巨大的维护和管理丁t 销。从 g 1 0 b u st o o l k i t4 的w e bs e r v i c e 版本丌始引入了w s a a ( w e bs o l - v i c e a u t h e n t i c a t i o n a u t h o r i z a t i o n ) 的安全性框架【l “，实现了一种可定制、可插拔的 架构，使得系统管理员和开发人员不必局限于g l o b u st o o l k i t 本身提供的授权机 制，可结合其他授权系统实现自定义的访问控制方案。 为了解决单点登录和委托功能，g s i 引入了用户代理( p r o x y r ) 1 2 9 1 的概念， 这为网格环境下多系统协调时的安全控制带来了极大的方便。如果个网格运 算需要用多个网格资源，或者况需要一个代表用户的代理来请求资源时，就可 以通过用户代理代表用户与资源进行安全交互，这样用户便不需要直接参与安 全交互了。 一个用户代理包含一个新的证书，这个新的证书由用户来签署，而不是认 证中心。证书中有新的公钥和私钥、用户的标识、代理标记和时问戳。剥删戳 海人学蛳| i 学位浍文 表示在一定时间范幽内，这个代理是有效的。由于代4 ；f - 一i ；- j 山用j 、- 的私例签 署的，这样将在代理证书、用户证书以及签发用户证书的c a 之削建立起个 证二捧信任链，如图2 - 5 所示，通过该链我们可以验证代理证书的有效性。通过 这种方式，一个代理证书就可以代表用户的身份参与网格应用的交互。旦代 理被创建并存储，则用户和资源之削就可以使用代理征二b 进行相互鉴别，并且 不需要输入口令。当采用代理进行棚瓦身份认证时，以证过程与用户和代列! 之 问的认证过程有所不同，被请求方将会收到请求方的代理汪二 5 ( 由用户签署) 及其证书。因为在认证过程中，用户的实体证书中的公钥被用来确认代理证二 5 中数字签名的合法性，而c a 的公钥用来检查用户证书的数字签名的合法性。 代理旺书也可以再次派生新的代理证书，从而实现多级委托功能。 c ac ! r i f i c a t 8 图2 - 5 使用代理征书的证书链 2 3 o g s a d a ! 及其授权机制 231o g s a d a i o g s a d a 致力于建造通过网格访问和集成来自不同的孤立数据源的中州 件。该项目是由u k d a t a b a s e a s k f o r c e 提出构想，并紧密地和g g f d a i s w g 以及g l o b u s 团队一起工作。它基于o g s a 标准提供网格数掘库服务，使网格用 户或其他刚格服务可通过网格数据库服务访问网格中的各种异构数据库，从而 扭砒 舭 对 e 操爱至鱼罢三兰阿躜丙忑i二竺 盛奢一 撼冒里 国一 ， 海j 、学f 觇i 学位诊殳 达到数据资源的高度共享和协同处理，使得数据资源的访问更加透明、高效、 可靠，网格数掘处理的能力更强，满足虚拟组织的数掘处理需求。 o g s a d a i 在g l o b u st o o l k i t 的基础上进行丌发，支持d b 2 、o r a c l e 、m ss q s e r v e r 、m y s q l 等关系数据库，还支持诸如x i n d i c e 等x m i 。数捌阵以及格式文 本系统。o g s a d a i 通过提供统一的服务接口进行数据防问和集成。j 皿过 o g s a d a i 的接口，不同的、异构的数据源和资源被视为逻辑上的单一资源， 以标准的s q 。语句或x q u e r y 方式进行查询和操纵。它还允许这些资源存o g s a 的框架内进行集成。o g s a d a i 服务提供基本的操作来完成复杂的操作，l r 如 数据联盟、在虚拟组织进行分布式查询，但是它隐藏了如数据库驱动、数据格 式和从客户端的传输机制等技术细节。 图2 - 6 经典o g s a d a 系统结构 一个经典的o g s a d a i 系统( 基于g l o b u st o o l k i t32 1 ) 的结构旧i 如图2 - 6 所示。客户端首先根据数掘注册器定位能够生成所需的访问和集成设施的州格 数据服务：一( g r i dd a t as e r v i c ef a c t o r y ，g d s f ) 。根掘返回的信息，客户端州选 择一个合适的g d s f ，并用它的网格服务旬柄( g r i ds e r v i c e h a n d l e ，g s h ) 激活它