（计算机软件与理论专业论文）基于扩展rbac及xacml的网格资源访问控制策略的研究.pdf

南京邮电大学硕士研究生学位论文 摘要 摘要 随着人们对高性能计算和资源分布共享需求的增加，传统的高性能计算模式和计算共 享模式已经不能满足人们的需要，人们期望能够像访问电力资源一样随时随地的获取需要 的计算和存储等资源，期望不仅仅在本地计算机上找到所需的服务，而是在整个网络范围 内找到最佳的服务，希望将整个网络虚拟成为一个整体。传统的高性能计算模式和资源共 享模式因其灵活性差、系统扩充和升级代价高而无法适应这些持续增长的计算要求。技术 的发展和新的应用需要新的具有革命性进步的计算模式，网格计算就是在这一需求下应运 而生的一种新的计算模式。 网格计算作为一种新模式的分布式计算基础架构，因其资源和服务的异构、动态、多 域的特征，决定了安全机制的重要性。网格的安全问题包括许多方面例如验证、授权、审 核、保密以及交叉信任等。访问控制是安全的一个非常重要的部分，但是在目前，还没有 一个很好的方法解决这个问题。 本文首先分析了网格的安全需求，提出了一个可实现的网格安全策略模型，并给出了 模型的物理视图和逻辑视图。然后在分析r b a c 模型的基础上，结合网格环境，扩展了 r b a c ，提出了基于角色的网格访问控制机制。接着利用x a c m l 作为网格策略表达，提出 了网格访问控制的策略决策模型。最后设计了一个网格安全原型，着重讨论了网格访问控 制原型的设计与实现。 关键词：网格计算，访问控制，x a c m l ，安全策略，r b a c 旦蔓型皇查兰型塑里兰兰垡堡塞 竺! ! 坠! ! a b s t r a c t a sp e o p l er e q u i r em o r ea n dm o r eh i g hp e r f o r m a n c ec o m p u t i n ga n ds h a r i n go fr e s o u r c e s ， t r a d i t i o n a lh i g hp e r f o r m a n c ec o m p u t i n gp a t t e r na n dc o m p u t i n gs h a r ep a t t e mc a nn o tf u l f i l lt h e n e e d s p e o p l ee x p e c tt og a i nt h er e q u i r e dc o m p u t i n ga n ds t o r i n gr e s o u r c e sl i k eo b t a i n i n ge l e c t r i c p o w e r a l s ot h e yh o p et of i n dt h er e q u i r e ds e r v i c e sn o to n l yf r o mt h el o c a lc o m p u t e r sb u ta l s o f r o mt h ew h o l en e t w o r k t r a d i t i o n a lh i g l ac o m p u t i n gp a t t e r na n dr e s o a r c es h a r i n gp a t t e r nc a nn o t s a t i s f yt h er e q u i r e m e n t s t h ed e v e l o p m e n to f t e c h n o l o g ya n d t h ea p p e a r a n c eo f n e wa p p l i c a t i o n s n e e dn e wr e v o l u t i o n a r yc o m p u t i n gp a t t e r n g r i dc o m p u t i n gi ss u c han e wc o m p u t i n gp a t t e r nt o s a r i s f yt h er e q u i r e m e n t s t h es e c u r i t yo fg r i dc o m p u t i n gi so n eo ft h ek e yp r o b l e m s ，e s p e c i a l l ya st h eg r i dc o m p u t i n g t e c h n o l o g ym o v e sf r o mas c i e n t i f i cc o m p u t a t i o np h r a s et oac o m m e r c i a la p p l i c a t i o np h r a s e ，a n d r e s o l v i n gt h es e c u r i t yp r o b l e mi sv i t a l t h es e c u r i t yp r o b l e m so fg r i dc o m p u t i n gc o m p r i s em a n y i s s u e ss u c ha sa u t h e n t i c a t i o n ，a u t h o r i z a t i o n ，a u d i t ，k e e p i n gc o n f i d e n t i a l ，c r o s st r u s ta n ds oo n a c c e s sc o n t r o li sa nv e r yi m p o r t a n ta s p e c to fs e c u r i t y ，b u tt h e r ei ss t i l ln o tf lp e r f e c tm e t h o dt o s o l v ei t t h i sp a p e rc h o o s e ss o m et y p i c a la s p e c t sf o rd e e pr e s e a r c h f i r s t l yi ti n t r o d u c e st h eg r i d c o m p u t i n gt e c h n o l o g ya n dg i v e st h eb a s i so fr e s e a r c ho fg r i ds e c u r i t yp o l i c y i ta l s og i v e st h e g r i ds e c u r i t ym o d e l t h e ni ta n a l y z e st h er e q u i r e m e n t so fg r i ds e c u r i t yw i t has c e n a r i o a n a l y z e d b a s e da p p r o a c ha n dh a sp r o p o s e dar o l eb a s e da c c e s sc o n t r o lc o m b i n e dw i t hx a c m l t e c h n o l o g yb a s e dg r i da c c e s sc o n t r o la p p r o a c h i nt h ee n d ，i tp r e s e n t st h es e c u r i t yp r o t o t y p e f o c u s i n go nt h ea c c e s sc o n t r o lp o l i c ye x p r e s s i o n k e yw o r d s ：g r i dc o m p u t i n g ，s e c u r i t yp o l i c y ，x a c m l ，r b a c ，a c c e s sc o n t r 0 1 n 南京邮电大学 硕士学位论文摘要 学科、专业：工学计算机软件与理论 研究方向： 基于网络的计算机软件技术 作 者：j 塑坠级研究生 张奇指导教师至这笾 题目：基于扩展r b a c 及x a c m l 的网格资源访问控制策 略的研究 英文题目：t h er e s e a r c h o ng r i dc o m p u t i n gr e s o u r c ea c c e s s c o n t r o lp o l i c yb a s e do ne x t e n d e dr b a ca n dx a c m l 主题词：网格计算访问控制策略角色 k e y w o r d s ： c r i dc o m p u t i n g a c c e s sc o n t r o lp o l i c yr o l e 课题来源：1 江苏省高科技重大项目“网格计算开发平台 g b u i l d e r 研究与实现”( 编号b g 2 0 0 4 0 0 4 ) 2 江苏省自然科学基金项目“基于移动代理网格计 算中关键技术研究”( 编号b k 2 0 0 3 1 0 5 ) 南京懿电大学硕士研究生学位论文 缩略词 缩略词 g s i g t o g s a o g s i p 2 p p k c s p l ( i r b a c s a m l s s 0 v o x a c m l x m l 缩略词 英文全称 译文 g l o b u ss e c u r i t yi n f r a s t r u e g l o b u s 安全基础架构 g l o b u st o o l k i t o p e ng r i ds e r v i c ea r c h i t e c t u r e o p e ng r i ds e r v i c ei n f r a s t r u c t u r e p e e r t op e e r p u b l i ck e yc r y p t o g r a p h ys t a n d a r d s p u b l i ck e yi n f r a s t r u c t u r e r o l eb a s e da c c e s sc o n t r o l g l o b u s 工具箱 开放网格服务体系结构 开放网格服务基础架构 对等 公钥加密标准 公钥基础架构 基于角色的访问控制 a u t h o r i z a t i o na n da u t h e n t i c a t i o n 授权和验证断言 a s s e r t i o n s s i n g l es i g n o n 单一登录 v i r t u a lo r g a n i z a t i o n 虚拟组织 e x t e n s i b l ea c c e s sc o n t r o ln a r k u p 可扩展访问控制标记语 l a n g u a g e 言 e x t e n s i b l em a r k u pl a n g u a g e 可扩展标记语言 v - 南京邮电大学硕士研究生学位论文 引言 引言 课题骜景： 网格计算是伴随着互联网技术而迅速发展起来的，专门针对复杂科学计算的新型计算 模式。这种计算模式是利用互联网把分散在不同地理位置的电脑组织成一个“虚拟的超级 计算机”，其中每一台参与计算的计算机就是一个“节点”，而整个计算是由成千上万个 “节点”组成的“一张网格”， 所以这种计算方式叫网格计算。这样组织起来的“虚拟 的超级计算机”有两个优势，一个是数据处理能力超强；另一个是能充分利用网上的闲置 处理能力。简单地讲，网格是把整个网络整合成一台巨大的超级计算机，实现计算资源、 存储资源、数据资源、信息资源、知识资源、专家资源的全面共享。 网格计算要解决的一个关键问题是网格环境下的安全机制。网格强调资源的充分共 享、互连、互通，消除信息孤岛，并不意味着共享是无原则的完全开放和不受约束的访问 权限，实际上共享是为资源的提供者和使用者所高度控制的，他们应能清楚而细致的定义 共享什么资源，共享的粒度，允许共享给谁和共享发生的条件。而网格可以跨越多个企业、 多种系统，他们对访问控制的需求和采用的安全策略可能完全不同，并且这种需求也不是 一成不变，而是发展变化的。因此，信息网格的安全控制机制应该具有良好的通用性，既 能满足信息共享的全局需要，又能满足用户自主控制的需要。网格的特点和对资源共享更 高的要求决定了其安全控制比一般的信息系统复杂的多。虽然传统分布式系统中已有许多 安全控制机制，计算网格的研究中提供了网格安全基础设施g s i ，但并不能完全照搬和满 足网格的需要。这方面的研究还不成熟，正处于重要的探索阶段。 课题来源及本人i 作： 本文所涉及的课题主要来源于江苏省自然科学基金项目“基于移动代理的网格计算关 键技术研究”( 项目编号b k 2 0 0 3 1 0 5 ) 、江苏省自然科学基金预研项目“网格计算安全策 略实现模型研究”( 项目编号b k 2 0 0 4 2 1 8 ) 。 本人作为项目组成员之一，完整的参加了这个课题。在整个课题研究期间，本人对该 课题所涉及的相关背景、国内外研究现状和方案的可行性进行了一定深度的研究a 在提出 网格安全策略模型的基础上，提出了一种基于扩展r b a c 的网格资源访问控 | c i t t 略，讨论了 其中访问控制的关键问题和实现机制，总结和提出了跨管理域共享时的访问控制策略机 制，重点讨论了基于x a c d l 的策略表达及策略决策机制，并加以实现，对此问题进行了一 南京邮电大学硕士研究生学位论文 引言 些探索和尝试。 本文组织： 全文共分五个章节，内容组织如下： 第一章是网格计算技术的概述，首先介绍了网格的定义及其特点，然后介绍了网格计 算技术的研究和发展趋势，接着介绍了网格计算关键技术，最后介绍了目前提出的一些网 格体系结构等； 第二章在分析网格安全需求的基础上，提出了一个网格策略模型，详细分析了模型的 物理视图和逻辑视图： 第三章深入分析了各类r b a c 模型，指出了现有模型对于网格环境的不足，对现有模 型进行了扩展： 第四章讨论了基于x a c m l 的网格访问控制策略决策模型，把r b a c 与x a c m l 结合 起来，重点分析了策略的表达机制： 第五章介绍了网格访问控制模型的设计与实现，详细讨论了各种策略的表达； 最后，总结了本文所作的工作，并对该课题进一步研究的重点方向进行展望。 南京邮电大学硕r l 二研究生学位论文 第一章网格计算概述 第一章网格计算概述 1 1 网格的基本概念 什么叫网格? 简单地讲，网格是一种把地理上广泛分布的各种计算资源( 各类计算机、 存储系统、i o 设备、通信系统、文件、数据库、程序等) 全面整合在一起的技术，其目的 是为了向用户提供相对透明的高性能计算环境，并实现计算资源、存储资源、通信资源、 信息资源、知识资源的全面共享。许多人将网格计算定义为一个广域范围的“无缝的集成 和协同计算环境”。 i a nf o s t e r ，美国g l o b u s 网格项目的领导人之一，他这样描述网格：“网格是构筑在 互联网上的一组新兴技术，它将高速互联网、计算机、大型数据库、传感器、远程设备等 融为一体，为科技人员和普通老百姓提供更多的资源、功能和服务。传统的互联网技术主 要为人们提供电子邮件、网页浏览等通信功能，而网格的功能则更多更强，它能让人们共 享计算、存储和其他资源。”3 通俗地况，网格计算的基本思想，就是像人们f 1 常生活中从电网中获取电能样获取 高性能计算能力。几乎不会有人在打开电灯的时候考虑电是从哪个电站来的。但是，目前 人们从传统的i n t e r n e t 获取信息时，必须告诉计算机去访问某一个网站，这就好比我们在 打开电灯的开关时必须告诉它我们需要某电站来的电一样笨拙。网格的目标就是让人们 使用网络资源像用电一样简单。 从本质上说，网格计算需要解决的问题是如何在动态、异构的虚拟组织问实现资源共 享以及协同的解决某一问题。这其中包含的几个概念解释如下： ( 1 ) 虚拟组织 所谓虚拟组织，它是由遵守资源共享规则的一组个体、机构组成，虚拟组织的典型例 子有：应用服务提供商、存储服务提供商、企业及企业所采用的应用所构成的系统等。虚 拟组织的动态性是指组织结构、对外交互、管理模式及业务模式等是随时间变化的；虚拟 组织的异构性是指各组织在目标、结构、规模、管理、运行模式等方面是不同的a ( 2 ) 资源 在网格中的资源包括各类计算设备、存储设备、i o 设备、通信系统、文件、数据库、 程序、信息、知识，以及天文望远镜、加速器、雷达、家用电器等仪器，并具有面向用户 和透明性的特点，用户可以在不考虑资源物理位置的情况下，方便的使用资源。此外，资 南京邮电大学硕士研究生学位论文 第一章网格计算概述 源也具有动态变化的特性。 ( 3 ) 共享 共享与以往所说的共享己有很大不同，它是在更深程度上的共享，更具目的性。它已 经不再是简单的资源互连和单一使用，而是通过互连、组合、协作解决用户需要解决的问 题，产生具有附加值的新服务、数据、信息等资源，满足用户的新需求。 ( 4 ) 协同性 协同性包括资源共享的协同性和问题解决的协同性。1 。资源共享的协同性以资源互连 为基础，既包括资源使用时不同用户因时间、空间、权限等差异引起的协商，也包括资源 的组合。问题解决的协同性是指虚拟组织之间通过协作共同解决某一问题，以满足用户的 新需求。 最“正统”的网格研究起源予美国政府过去十年来资助的高性能计算科研项目，以及 欧洲一些团体进行的高性能计算项日。这类研究的目标是将跨地域的多台高性能计算机、 大型数据库、贵重科研设备( 电子显微镜、雷达阵列、粒子加速器、天文望远镜等等) 、通 信设各、可视化设备和各种传感器等整合成一个巨大的超级计算机系统，支持科学计算和 科学研究。这方面的代表性研究工作包括美国国家科学基金会资助的n p a c i 、国家技术网 格( n t g ) 、分布式万亿次级计算设施( d t f ) ，美国能源部的a s c ig r i d ，以及欧盟的d a t ag r i d 等。 由于网格是一种新技术，因此，目前它的精确含义和内容还没有固定，而是在不断变 化；并且，不同的群体可能会用不同的名词来称谓它。有人把网格看成是未来的互联网技 术。国外一些媒体也经常用“下一代i n t e r n e t ”，“i n t e r n e t 2 ”，“下一代w e b ”等词语 来称呼与网格相关的技术。目前许多专家认为，网格实际上是继传统i n t e r n e t ，w e b 之后 的第三次网络技术大浪潮，可以称之为第三代i n t e r n e t “1 。简单地讲，传统i n t e r n e t 实现 了计算机硬件的连通，w e b 实现了网页的连通，而网格试图实现互联网上所有资源的全面 连通，包括计算资源、存储资源、通信资源、软件资源、信息资源、知识资源等。 还有一类与网格相关的研究项目，其侧重点是智能信息处理，它关注的是如何消除信 息孤岛和知识孤岛，实现信息资源和知识资源的智能共享，常见的名词包括语义网 ( s e m a n t i cw e b ) 、知识管理( k n o w l e d g em a n a g e m e n t ) 、知识本体( o n t o l o g y ) 、智能主体 ( a g e n t s ) 、信息网格、知识网格、一体化智能信息平台等。1 。 目前，企业界出现的许多概念和名词都与网格相关，包括内容分发( c o n t e n t s d e l i v e r y ) 、服务分发( s e r v i c ed e l i v e r y ) 、电子服务( e s e r v i c e ) 、实时企业计算 ( r e a 卜t i m ee n t e r p r i s ec o m p u t i n g ，简称r t e c ) 、分布式计算、p e e r t o p e e rc o m p u t i n g ( 简 4 要至些曼查兰塑主塑壅兰兰垡笙苎 一一一 笙二至塑堡生苎塑鎏 y e $ p 2 p ) ，w e b 月e 务( w e bs e r v i c e s ) 等”1 。这些名词所代表的技术有一个共同点，即将i n t e r n e t 上的资源整合成一台超级服务器，有效地提供内容服务、计算服务、存储服务、交易服务 等。另一个共同点是这些技术会尽量利用现有的i n t e r n e t w e b 技术。 1 2 网格体系结构 一、体系结构的基本构成 网格体系结构可以分为三个基本层次：资源层、中间层和应用层吼 网格资源层是构成网格系统的硬件基础，它包括各种计算资源，如超级计算机、贵重 仪器、可视化设备、现有应用软件等，这些计算资源通过高速网络通信设备连接起来。网 格资源层仅仅实现了计算资源在物理上的连通，但从逻辑上看，这些资源仍然是孤立的， 资源共享问题仍然没有得到解决。因此，必须在网格资源基础上通过网格中间件层来完成 广域计算资源的有效共享。 网格中间件是指一系列工具和软件协议软件，其功能是屏蔽网格资源层中计算资源的 分布、异构特性，向网格应用层提供透明、一致性的使用接口。网格中间件层也称为网格 操作系统( g r i do p e r a t i n gs y s t e m ) ，它同时需要用户编程接口和相应的环境，以支持网格应 用的开发。 网格应用层是用户需求的具体体现。在网格操作系统的支持下，网格用户可以使用其 提供的工具或环境开发各种应用系统。能否在网格系统上开发应用系统以解决各种大型计 算问题是衡量网格系统优劣的关键。 二、网格体系结构 在图1 1 中，我- f r 出示了美国著名网格计算研究项目g l o b u s 提出的网格协议结构模型a 南京邮电大学硕士研究生学位论文 第一章网格计算概述 图1 1 网格协议结构与i n t e m e t 协议结构 g l o b u s 提出的网格协议模型充分参照了i n t e m e t 协议模型，并以i n t e r n e t 协议中的通信、 路由、名字解析等功能为基础。g l o b u s 提出的网格协议结构分为五层：构造层、连接层、 资源层、汇集层和应用层。每层都有自己的服务、a p i 和s d k 9 ，上层协议调用下层协议 的服务。 1 、构造层( f a b r i c ) 它的功能是向上提供网格中可供共享的资源，它们是物理或逻辑实体。常用的资源包 括处理能力、存储系统、目录、网格资源、分布式文件系统、分布式计算机池、计算机集 群等。o l o b u s 提供的网格计算软件包t o o l k i t 中的相应组件负责侦测可用的软硬件资源的 特性、当前负荷、状态等信息，并将其打包供上层协议调用。 2 、连接层( c o n n e c t i v i t y ) 它是网格中网络事务处理通信与授权控制的核心协议。构造层提交的各种资源间的数 据交换都在这一层的控制下实现。各种资源间的授权验证、安全控制也在这里实现。在 g l o b u s 的t o o l k i t 中。安全组件g s i 提供单一登录、委托、兼容不同的本地安全方案、基 于用户的信任关系等功能。资源间的数据交换通过传输、路由及名字解析实现。 3 、资源层 这一层的作用是对单个资源实施控制，与可用资源进行安全握手、对资源做初始化、 监测资源运行状况、统计与付费有关的资源使用数据。在g l o b u s 提供的t o o l k i t 中有一些 列组件用来实现资源注册、资源分配和资源监视。t o o l k i t 还在这一层定义了客户端的c 、 j a v a 的a p i 和s d k 。 4 、汇集层( c o l l e c t i v e ) 6 南京邮电大学硕士研究生学位论文 第章网格计算概述 这层的作用是将资源层提交的受控资源汇集在一起，供虚拟组织的应用程序共享、调 用。为了对来自应用的共享进行管理和控制，汇集层提供目录服务、资源分配、日程安排、 资源代理、资源监测诊断、网格启动、负荷控制、账户管理等多种功能。 5 、应用层( a p p l i c a t i o n s ) 这层是网格上用户的应用程序。应用程序通过各层的a p i 调用相应的服务，再通过服 务调用网格上的资源来完成任务。应用程序的开发涉及大量库函数。为便于网格应用程序 的开发，需要构建支持网格计算的库函数。 1 3 网格的关键技术 目前，网格计算的研究主要包括下面几个方面的内容。 1 ) 网格的体系结构 从第一台计算机出现到现在，计算机体系结构已经发生了一系列变化，经历了大规模 并行处理系统、共享存储型多处理器系统、群集系统等各个发展阶段，这些系统的共性是 构成系统的资源相对集中。与此相反的是，组成网格系统的资源是广域分散的，不再局限 于单台计算机和小规模局域网范围内。网格计算的目标是将地理上广泛分布的各种计算资 源整合起来构成一台虚拟的超级计算机，因此，网格系统的体系结构是需要首先研究的问 题。简言之，网格系统有哪些组成部分、组成部分之间的关系以及如何协同工作是网格体 系结构研究需要解决的问题。 2 ) 网格的操作系统 伴随着计算机体系结构的发展，计算机操作系统也经历了一系列发展变化，总的发展 趋势是如何更高效、更合理地使用计算机资源。网格操作系统是网格系统资源的管理者， 它所管理的将是广域分布、动态、异构的资源，现有操作系统显然无法满足这一需求。 3 ) 网格的使用模式 网格使用模式解决的是如何使用网格高性能计算环境的问题。在现有的操作系统上， 计算机用户可以使用各种软件工具来完成各种任务。而在网格环境下，用户可能需要通过 新的方式来利用网格系统资源。因此在网格操作系统上设置开发各种工具、应用软件是 网格使用模式研究需要解决的关键问题。 在这些研究内容中，需要解决下面一些关键技术问题。 1 ) 网格资源的管理 网格环境包含各种各样的资源，这些资源具有动态变化、地域分布、系统异构等特性。 堕蔓坚皇查兰堡主竺窒兰堂竺笙苎 苎二童型堑兰苎竖堡 在网格计算中，首先需要查清网格里所有可用资源，比如哪些主机可供访问、还空置多少 处理能力、数据库里可供使用的数据是什么、共享的应用程序是否已准各好、共享主机采 用何种文件系统等。资源管理的目的就是解决资源的描述、组织、管理等一系列关键问题。 2 ) 任务的调度与管理 用户提交的任务要由系统来分配资源并控制其运行，包括要将其分配到哪些主机上运 行、调用哪些数据、启动何种应用程序、何时开始运行等。任务调度与管理的作用就是根 据当前系统负载状况，对系统内的任务进行动态调度，其调度算法及调度过程设计的好坏 对系统效率的高低起着至关重要的作用。 3 ) 网格安全技术 网格是通过开放的网络环境向用户提供服务的，因此它不可避免地要涉及到网络安全 问题。并且，与传统网络应用相比，网格的目标是实现更大范围和更深层次的资源共享， 所以它存在更重要的安全问题，并提出了更高的安全需求。由于网格系统一般规模大、牵 涉面广，并且拥有超强的计算能力：因此，与传统的网络入侵活动相比，如果网格系统 旦遭到攻击破坏，或者被非法利用，其潜在的损失更大，潜在的危害更严重。 与传统网络环境相比，网格计算环境极其复杂，它具有大规模、分布、异构、动态、 可扩展等特性，因此与传统的网络安全相比，网格安全所涉及的范围更广，解决方案也更 加复杂。 4 ) 网格监测工具 为了管理和维护复杂的网格环境，需要提供监视系统资源和系统运行情况的工具，即 网格监测工具。网格监测工具可以监视系统的运行状态，并提供性能分析等功能。 5 ) 编程工具和图形用户界面 网格系统应该能提供丰富的用户接口和编程环境。通过直观友好的用户访问接口，使 用户可以在任何位置、任何平台上方便地使用系统资源。另外，网格计算的主要领域是科 学计算，它往往伴随着海量的数据，面对浩如烟海的数据想通过人工分析得出正确的判断 十分困难。如果把计算结果转换成直观的图形信息，就能帮助研究人员摆脱理解数据的困 难。 6 ) 高速网络系统 高速网络系统是在网格计算环境中，提供高性能通信的必要手段。通信能力的好坏对 网格计算提供的性能影响甚大，要做到计算能力“即连即用”必须要高质量的宽带高速网 络系统支持。用户要获得延迟小、可靠的通信服务也离不开高速的网络。 南京邮电大学硕士研究生学位论文 第二章网格安全策略模型研究 2 1 安全的概念 第二章网格安全策略模型研究 网格建立在个开放式的网络环境中( 如i n t e r n e t ) ，这种环境可能会遭受来自内部或 外部的安全威胁。这些威胁可能是用户的偶然失误，也可能是故意的针对系统安全脆弱点 的非法攻击，它们往往会带来严重的后果。那么如何解决开放式网络环境的安全问题就显 得尤为的重要。 网络安全技术的目的就是授予合法用户访问数据和执行操作的权限，防止用户执行非 法操作或因操作失误而造成数据泄密，防止数据被非法访问和修改或非法用户伪造数据来 进行欺骗活动，防止合法用户被其他人冒充，并且可以对用户进行审计或记费等等“。我 们可以将这些目标总结成如下几个方面： 保密性( c o n f i d e n t i a l i t y ) ：通过对数据加密，使只有拥有密钥的合法用户才能访 问，而未授权者不能访问数据。这样，即使未授权者拿到数据的加密文件，也不可能看到 其明文，密文对他没有意义。 完整性( i n t e g r i t y ) ：保证信息在传送或存储过程中没有被篡改、破坏或丢失。 身份鉴别( a u t h e n t i c a t i o n ) ：验证通信对象或资源访问者逻辑上的身份证明与其 真实身份相符合，从而防止合法用户被冒名顶替者。 授权( a u t h o r i z a t i o n ) ：当验证完用户的身份属实后。根据其身份赋予相应的，使 用户可以在不超出权限的情况下访问资源或执行操作。 反否认( n o n r e p u d i a t i o n ) ：保证信息的发布者就是其本人，而不是其他人通过假 冒其身份而发布的虚假信息，另一方面也保证信息发布者不能抵赖， 信息的真正发布者只能是信息发布者本人而不可能是其它人。 可用性( a v a i l a b i l i t y ) ：保证系统或资源不会因为遭受非法攻击( 如病毒、d o s 等) ， 而造成系统瘫痪或资源的不可用。 另外，一个好的安全技术或结构必须符合如下原则： 可靠性原则：安全技术或安全结构本身没有技术缺点和漏洞，从而使自己不被攻 击或利用，保证对系统的安全服务确实可靠。 整体性原则：由于没有完全可靠的网络安全机制，安全系统应该包括安全保护、 安全检测和安全恢复等机制。安全保护机制是根据具体系统存在的各种安全漏洞和安全威 o 塑塞墅里查兰堡圭竺塞兰兰垡堡苎 苎三兰旦整塞全整堕塑型堕塞 胁采用相应的防护措施避免非法攻击的进行；安全检测机制是监测系统的运行情况，及时 发现和制止对系统的攻击；安全恢复机制是在安全防护机制实效的情况下，进行应急处理， 尽可能及时恢复信息并减少攻击的破坏程度。 有效性原则：安全技术所带来的额外负载对系统的影响是否可以接受。 方便性原则：安全机制对用户来说不会造成太多的麻烦，对开发人员屏蔽层实现。 动态化原则：由于密码破解和攻击技术的不断发展和一些人为原因，一个机密的 算法可能也不是牢不可破，所以对密钥的使用应该周期性的动态的 更换，或者使用代理、一次性对话密钥等技术。使密钥临时化有助于减少密钥被人盗取的 可能性。 权限最下化原则：就是给与用户能够执行某个操作或访问某些数据的最低权限， 保证用户不会因越权而造成系统的损失“。 2 2 网格安全问题 网格的安全体系必须考虑的因素总结如下：( 1 ) 网格计算的用户数量大，且动态可变。 ( 2 ) 网格计算中的资源数量很大，且动态可变。( 3 ) 网格计算中的计算过程可以在其执行过 程中动态的申请、释放资源。( 4 ) 一个计算任务可以由多个进程组成，进程间存在不同的 通信机制，例如多播或单播，底层的通信连接在程序的执行过程中可以动态的创建并执行。 ( 5 ) 资源可以支持不同的认证和授权机制。( 6 ) 为了记帐和访问控制，一个用户在不同的站 点可能有不同的名字空间、证书或帐号。( 7 ) 资源和用户可属于多个组织。总之，网格的 安全体系必须建立在一个动态，需要协调不同访问控制策略和不同的安全互操作的环境 中。 目前的安全技术很多，比如k e r b e r o s ，s s h 和s s l ，它们都不能完全解决网格的安全问 题。k e r b e r o s 不如一些公钥密码技术，它的执行开销是很大，适合于c s 模型的应用，也 就是说它更适合于小规模范围内的安全保护管理，对基于跨i n t e r n e t 、系统动态改变的网 格计算并不合适。s s h 广泛应用于g s 模式的应用，它满足网格计算的某些要求，提供加密 的远程登录和远程数据传送，而且是基于公钥密码体系。但是它需要用户拷贝其公钥到所 有用户需要访问的节点上，拷贝管理跨节点的认证关系，并且它不提供授权和代理的功能 还有它对一些服务( 如并行计算) 不能提供有效的身份鉴别。“s s l 也是基于公钥密码体系， 它建立在面向连接的网络传输层之上，不提供无连接的服务，而且它主要提供的是点到点 的数据保密性和完整性，它的安全机制和通信服务连接紧密，不利于扩展和上层开发。 堕至堡里查堂堡圭婴塞生兰垡堡壅 苎三皇塑鳖室全墼堕壁型塑塞 另外，目前的网络安全技术还包括防火墙技术、网络入侵检测技术等，它们在i n t e r n e t 中也起到很重要的作用。防火墙的作用在一个被认为是安全和可信的内部网络和一个被认 为是不安全和可信的外部网络i n t e r n e t 之间提供一个过滤工具。网络入侵检测则更加主动 一些，它通过分析外网和内网的通信信息，从中智能的识别出对内部主机的攻击，并能及 时地采取相应的措施。这些技术是一些对高级别的安全性有迫切需要的组织出于是使用的 目的建造的，它们不能代替谨慎的安全措施，只能是网络安全体系中的一个组成部分。 网格环境中所面临的安全性问题可以大致分为三类：现有技术和安全协议的集成及扩 展；不同主机环境之间协同工作的能力：相互影响的主机环境之间的信任关系。 2 2 1 现有技术的集成及新技术的发展 不论是出于技术还是其他原因，现有的安全架构不可能在夜之间被取代，并且使用 现有的安全设施来构建网格安全也利于降低开发成本，如可以通过使用成熟的网络安全协 议如i p s e c 、s s l t l s 来保证基本的传输安全。同样，现有环境中被认为安全可靠的认证 等安全机制也会继续使用。 因而，网格安全体系结构需要过渡到对现有安全体系结构和跨平台、跨主机模式的集 成。这意昧着该体系结构仍可由现有的安全机制( 如：k e r b e r o s ，p k i ) 来实现。但是， 由于传统的安全设施集中在独立的体系，通过提供限制用户的策略来保护资源，比如大 多数组织都安装了防火墙来保护内部网的敏感数据，而网格技术的核心在于使资源能够在 现存的组织性和地域性边界间达到共享，这样就使得如防火墙之类的安全机制很难实行； 在网格环境中，参与者通常形成了动态的虚拟组织，在先于合作之前建立的信任关系通 常发生在组织之间而不仅仅是个体层次上，因此那些建立在用户一用户基础上的表达限制 性的策略通常证明也是很难实行的；另外频繁的单次交互发生在很多网格结点之间并且是 动态的、不可预知的，并且不象网络，网格提供了一个外部者对资源的完全访问，相应的 也增d n t 安全风险。因而又要求使用新的安全机制来保证网格环境的正常运行t 比如使用 x i i l l 安全协议( x m l 签名、加密、x i c m s 、s a m l 、x a c m l 等) 和新出现w e b 服务安全规范 ( w s s e c u r i t y ) 等。因而网格安全需要具有可集成性和可扩展性。 2 2 2 协同工作的能力 穿越多个域和主机环境的服务需要能够互相影响，协同工作。协同工作能力主要表现 在下面几个层面。 1 1 南京邮电大学硕士研究生学位论文 第二章网格安全策略模型研究 协议层：即消息传输过程中需要保证消息的完整性和保密性并对消息进行数字签名， 这就需要安全的域间交换信息的机制，比如附加了w s s e c u r i t y 规范的s 0 a p h t t p 。 策略层：为了进行安全的会话，参与协同工作的每一方必须能够详细说明它要求的任 何策略，比如隐私权策略，要求使用特定的加密算法如( t r i p l e - d e s ) 等，同时这些策略 也要能容易地被其它方所理解。这样，各方才能尝试建立安全的通信信道和有关互相认证、 信任关系的安全语义。 身份鉴定层：在进行交互的过程中需要有在不同域间相互鉴别用户身份的机制。，由 于网格环境中交互的动态性，一种确定的身份不能被预先定义成跨越多个域。为了在安全 环境中成功实现跨越多个域，必须要实现身份和信任的映射，这可以通过建立相应的身份 代理服务来完成。 2 2 3 信任关系的建立 网格服务需要跨越多个安全域，在这些域之间建立起相互信任的关系就很重要。服务 提供者需要将它的访问要求明确化，保证服务的请求者能够知道如何才能访问到该服务。 端点之间的信任关系可以以策略的形式预先规定并以某种信任状的形式进行交换，但是网 格环境的动态性及虚拟组织之间的分布性使这种信任关系很难预先建立。信任的建立过程 对每个会话来说或许是一次性的活动，也有可能对于每一次请求都要动态地进行评估。假 定不同虚拟组织间使用了不同的认证机制( 如k e r b e r o s ，p k i ) ，因而就需要所谓的联合认 证方式来实现信任关系。 这三方面的安全性问题间的依赖关系如图2 1 所示，每一问题的解决通常依赖于另一 问题的解决，比如不同虚拟组织间为了获得相互协作的联合信任，就依赖于定义在虚拟组 织内部的信任模型及服务集成标准，而定义一个信任模型又是相互协作的基础但同时又独 立于协作的特性，同样，服务集成及扩展标准暗含了信任关系标准也和协作操作有关。 图2 1 网格环境的安全性问题 要塞墅里奎堂堡圭翌塑皇兰垡堡塞 蔓三童塑堑室全墼堕塑型堕塞 2 3 网格安全需求分析 可见，与传统网络环境下客户服务器应用模型相比，网格应用所涉及的安全问题要 复杂得多。针对以上网格安全问题的特点，下面我们讨论网格应用系统的安全需求。 我们知道，在开放系统互联( o s i ) 安全体系结构模型中，定义了以下5 组安全服务： ( 1 ) 认证( a u t h e n t i c a t i o n ) 服务：主体、客体的标识与认证。 ( 2 ) 访问控制( a c c e s sc o n t r 0 1 ) 服务：主体的授权与访问控制。 ( 3 ) 数据完整性( i n t e g r i t y ) 服务：数据存储与传输的完整性。 ( 4 ) 数据保密性( c o n f i d e n t i a l i t y ) 服务：数据存储与传输的保密性。 ( 5 ) 抗抵赖( n o n r e p u d i a t i o n ) 服务：防止主体否认自己进行的操作。 由于网格技术也属于开放系统互联的技术范畴，因此，概括地说，网格环境也需要提 供包括认证、访问控制、数据完整性、数据保密性、抗抵赖等所有o s i 定义的5 种标准安全 服务。不过，具体来说，针对网格安全问题的特殊性，网格环境还应该具有以下安全要求： 1 、网格认证要求 ( 1 ) 单一登录( s i n g l es i g no i l ) 用户只需在开始启动计算时进行一次“登录”( 身份认证) ，然后就可以在无需进一步 干预的情况下访问任何被授权可访问的资源，即在计算过程中获得资源、使用资源、释放 资源、内部通信时无需对用户进行再次的认证。 ( 2 ) 委托( d e l e g a t i o n ) 一个用户能够授予一个程序代表自己身份的权利，以便该程序可以访问用户被授权的 资源。另外，如果需要的话，该程序也可以进一步委托另一个程序。 ( 3 ) 可兼容不同的本地安全方案 网格环境中的每个站点或资源提供者可能实施了不同的本地安全方案，诸如 k e r h e r o s 、u n i x 系统安全、s s l 等。整体的网格安全解决方案应该能兼容这些不同的本地 解决方案，而不能要求改变本地安全方案。 ( 4 ) 基于用户的信任关系 为了便于用户在计算过程中同时使用多个资源提供者提供的资源，网格安全方案在配 置安全环境时不应该要求各个资源提供者彼此之间两两交互和协商的过程。换句话说，如 果一个用户有权利访问站点a 和b 上的资源，那么，在无需站点a 和b 的管理员之间进行交互 和协商的情况下，这个用户就可以同时使用站点a 和b 上的资源。 2 、两格通信保护要求 ，1 3 南京邮电大学硕七研究生学位论文 第二章网格安全策略模型研究 ( i ) 灵活的消息保护机制 一个应用可以动态地配置服务协议，可以灵活地选用不同级别的消息保护机制，可选 用的消息保护机制包括以下几种：a 、无保护b 、完整性保护c 、完整性和保密性保护。选用 的根据是消息的敏感性、性能要求、通信的参与者等因素。 ( 2 ) 支持不同的可靠通信协议 网格安全方案不但可以支持目前流行的t c p 通信协议，还可以支持其他的可靠通信协 议。 3 、网格授权要求 ( 1 ) 由资源所有者或资源所有者代理决定授权 应该由资源所有者或资源所有者代理决定允许访问资源的主体，以及访问的条件。 ( 2 ) 受限委托 为了减少委托凭证被破解或盗用的风险，应该能限制由委托关系继承来的权利的使 用。 2 4 网格安全模型 网格安全模型应该是一个松耦合的、中立于语言的、独立于平台的模型。在如下的网 格安全模型中，当我们把网格安全中的功能看成分布在网格中的一个个独立的组件时，就 得到网格安全模型的物理视图；当我们把网格安全中的功能看成一个个松耦合的安全服务 时，我们就得到网格安全模型的逻辑视图。也就是，网格安全模型的物理视图将安全组件 映射网格组件并反映网格安全模型的分布式特征；而网格安全模型的逻辑视图描述了在网 格安全模型