（计算机软件与理论专业论文）网格安全体系结构的研究和设计.pdf

四川大学硕士学位论文 网格安全体系结构的研究和设计 计算机软件与理论专业 研究生靳泰戈指导教师常致全 网格是近年来发展起来的新兴技术，并己成为越来越重要的研究领域。网 格安全问题是网格计算中的一个核心问题，对网格安全问题的研究与分析同样 刻不容缓。网格环境由于具有若干的特性，决定了网格环境中的安全问题比一 般网络环境下的安全问题更复杂，而且在网格环境下出现了许多新的安全问题， 传统的网络安全技术已经不能很好地满足网格安全需求，因此网格安全研究是 一个重要、复杂而艰巨的工作。 本文首先介绍了网格技术和网格的安全的概念以及需求，并深入剖析了 g l o b u s 下的网格安全基础设旄和基于o g s a 的网格安全体系结构两种典型的网 格安全解决方案，然后详细探讨了网格的安全认证模型，在网格信任关系模型 的基础上，独创性地提出了网格本地用户身份认证机制和基于w e bs e r v i c e 的网 格跨系统的身份认证模型；详细探讨了网格的安全访问控制模型，独创性地提 出了网格环境下基于角色的访问控制模型以及复杂网格环境下一种基于多策略 的访问控制模型m p b a c ( m u l t i p d i c y - b a s e da c c e s sc o n t r 0 1 ) ，网格环境下基 于角色的访问控制模型将基于角色的访问控制较好地用于了网格环境中： m p b a c 模型实现了各个域的独立自治，在域间操作的情况下更是兼顾了各个 域的安全策略，具有高安全性和低系统开销的特点，是一个在复杂的网格环境 中实现访问控制的一个很好的解决方案。最后探讨了m p b a c 模型的设计方案 关键宇：网格g l o b u so g s ag s i 安全认证访问控制 2 四川大学硕士学位论文 t h er e s e a r c ha n dd e s i g no fs e c u r i t ya r c h i t e c t u r e f o r g r i d s t u d e n tj i nt a l g ea d v i s o rc h a n gz h i q u a n g r i di sa r i s i n gt e c h n o l o g yd e v e l o p e di nr e c e n ty e a r s ，i tb e c o m e s a l l i n c r e a s i n g l yi m p o r t a n t f i e l do f r e s e a r c h g r i ds e c u r i t yi s s u e si sac e n t r a lo n ei n g r i dc o m p u t i n g ，t h er e s e a r c h e sa n da n a l y s i sf o rg r i ds e c u r i t yi s s u e sa r ee m e r g e n t b e c a u s eo f an u m b e ro f c h a r a c t e r i s t i c so f g r i de n v i r o n m e n t ，t h eg r i dc o m p u t i n g c o n c e r n sm o r es e c u r i t yp r o b l e m st h a na n yo t h e rc o m m o np r o b l e m s a n dal o to f n e ws e c u r i t yp r o b l e m sh a v ea p p e a r e di nt h eg r i de n v i r o n m e n t s ot h et r a d i t i o n a l t e c h n o l o g yo f n e t w o r ks e c u r i t yc a nn o ts o l v et h ep r o b l e m so f 鲥ds e c u r i t yw e l l ， s ot h er e s e a r c ho f 断ds e c u r i t yh a sb e c o m eav e r yi m p o r t a n t , c o m p l e xa n dt o u g h j o b h e r ef i r s ti n t r o d u c e dg r i dt e c h n o l o g ya n dt h ec o n c e p ta n dd e m a n do f g r i d s e c u r i t y , t h e ni n - d e p t ha n a l y s e dt w ot y p i c a l 鲥ds e c u r i t ys o l u t i o n s - - t h eg l o b u s s e c u r i t yi n f r a s t r u c t u r ea n dg r i ds e c u r i t yi n f r a s t r u c t u r eb a s e d o nt h eo g s a ，a n d t h e ne x p l o r e ds e c u r i t yc e r t i f i c a t em o d e l sf o rg r i di nd e t a i l ，o nt h eb a s i so fg r i d r e l a t i o n s h i po f t r u s tm o d e l ，i n g e n u i t yt om a k eac e r t i f i c a t em e c h a n i s m f o rg r i d o fl o c a lu s e ra n dt h ew e bs e r v i c eb a s e d 鲥dc r o s s - s y s t e mc e r t i f i c a t em o d e l s ； e x p l o r e ds e c u r i t ya c c e s sc o n t r o lm o d e lf o rg r i di nd e t a i l s ，i n g e n u i t yt om a k ea r o l eb a s e da c c e s sc o n t r o lf o rg r i de n v i r o n m e n ta n dm p b a c ( m u l t i - p o l i c y - b a s e d a c c e s sc o n t r o di nc o m p l e xg r i de n v i r o n m e n t ，t h er o l eb a s e da c c e s sc o n t r o lf o r g r i de n v i r o n m e n ta p p l i e sr o l eb a s e da c c e s sc o n t r o lt o 面de n v i r o n m e n tw e l l ； 3 ，-r。 稻弼太学壤士学往诔文 氧p 嚣a em o d e l sn o to n l ya c h i e v e d i n d e p e n d e n ta u t o n o m ya m o n gt h ed i f f e r e n t d o m a i n s s e c u r i q , s t r a t e g yo f e a c hd o m a i nb u ta l s oi st a k e ni n t oc o n s i d e r a t i o n w h e no p e r a t i n gi sb e t w e e nt h ed i f f e r e n td o m a i n s , t h em o d e lh a sf e a t u r e so f h i g h s e c u r i 锣a n dl o wc o s l , i ti s 鑫g o o da c c e s s n t r o ls o l u t i o n si nc o m p l e xg r i d e n v i r o n m e n lf i n a l l yw 0h a v ee x p l o r e dt h ed e s i g no f m p b a cm o d e l k e y w o r d s ：g r i do l o b u so g s ag s i s e c u r i t yc e r t i f i c a t e a c c e s sc o n 黯o l 四川大学硕士学位论文 第一章绪论 1 1 课题背景 互联网又称作因特网( i n t e m e t ) ，它始建于上世纪6 0 年代，当时采用数据包 交换方式和统一标准的信息传输协议t c p i p ，其网状的数据传输方式可以在即 使局部设施遭受核打击后整体仍能工作 t c p i p ( t r a n s m i s s i o nc o n t r o lp r o t o c o l i n t e m e tp r o t o c 0 1 ) 是因特网最基本的 协议，是因特网上的“世界语”。正是通过t c p i p 协议的支撑，我们实现了计算 机之间的互连，为h n c m c t 发展奠定坚实的基础。这个阶段，互联网的典型应 用是收发电子邮件、传输文件、发布文字新闻及言论等，我们称之为第一代互 联网。 进入2 0 世纪9 0 年代后，欧洲高能物理研究中, l , ( c e r n ) 为了能更好地与全 世界的高能物理研究人员开展联合研究，发明了超文本格式，把分布在网上的 文件链接在一起。这样用户只要在图形界面上点击鼠标，就能从一个网页跳到 另一个网页，不仅可以看到文字信息，还可以欣赏到丰富多彩的图片、声音、 动画、影像等多媒体信息。这个阶段的互联网被称作环球网( 又叫万维网、w w w 或w e b ) ，它用超文本和多媒体技术改造了第一代互联网。被称为第二代互联网。 第二代互联网虽然比第一代互联网先进了许多，但它也暴露出了严重的弱 点。一方面，这两代互联网使用的都是i p v 4 协议，其3 2 位的地址空间只有大 约4 0 亿个地址可用，已经有7 0 被分配完了，而且由于i n t c m e t 在早期缺乏规 划，造成了口地址分配“贫富不均”的现象。到2 0 0 5 年，i p v 4 地址将全部分 配完毕，将严重制约互联网的发展；另一方面，整个互联网就像一座堆满了书 籍、无人整理的图书馆，而用户只能通过手工检索乱七八糟的书目，以求找到 自己需要的信息，互联网上的信息未经过有效的规范和整理，使用起来非常不 方便。因此，我们现在这个“网络时代”，是可以加个限定词的，叫做“手工 作坊式的网络时代” 针对第二代互联网所暴露的问题，第三代互联网从两个角度来解决：一个 四川大学硕士学位论文 角度是发展i p v 6 ，将地址空间由3 2 位扩展到1 2 8 位，这样，原来有限的口地 址将变得无限丰富，真正让数字化生活变成现实。 i p v 6 还能够改善端到端的安全性，有利于移动通信的发展，提高服务质量 以及减轻系统管理负担基于i p v 6 的下一代互联网至少有三种提法：n g i 、 i n t e m e t 2 和n g n 。 克服第二代互联网所暴露问题的另一个角度是发展网格技术，更好地管理 网上的资源，将之虚拟成为一个空前强大的一体化信息系统，在动态变化的网 络环境中，共享资源和协同解决问题，从而让用户从中享受可灵活控制的、智 能的、协作式的信息服务，并获得前所未有的使用方便性和超强能力。在这一 点上，世界主要国家和地区都把发展网格技术放到了战略高度，纷纷投入巨资， 抢占战略制高点。 简单地讲，网格是把整个互联网整合成一台巨大的超级计算机，实现计算 资源、存储资源、数据资源、信息资源、知识资源、专家资源的全面共享。当 然，我们也可以构造地区性的网格( 如中关村科技园区网格) 、企事业内部网格、 局域网网格、甚至家庭网格和个人网格。网格的根本特征并不一定是它的规模， 而是资源共享，消除了资源孤岛。 网格概念的提出给了目前有些混乱的互联网当头一棒。人们对网格的初始 印象就集中在一个问题上，那就是“网格是未来的互联网吗? ”，对这个问题 的回答是肯定的又是否定的，肯定在于网格对未来互联网的发展有着指导作用， 比如其严格的安全性要求和较为完善的体系结构是未来互联网发展的方向，其 基于互联网之上的整合也说明了网格和互联网之间密切的关系；否定则在于网 格是强调资源的调度和整合，其目标是充分利用空闲资源以获得足够强大的计 算能力 清华大学李三立院士将网格与宽带网络作了比较，他说：“将先进计算基 础设施( 即网格) 与信息高速公路( 宽带网络) 相比较，可以说，信息高速公路是信 息传输和获取的信息基础设旖；而先进计算基础设施则是信息处理的信息基础 设施。虽然，国内外都有不断把信息高速公路扩充频带宽度、改进路由器性能 的计划：但是，国外科学家认为：真正的下一代信息基础设施是先进计算基础设 施。它将使以计算机为主体的信息处理发生根本性的变化。”【l j 2 四川大学硕士学位论文 网格计算作为新一代的分布式计算方法，与传统分布式计算的主要区别在 于在没有集中控制机制的情况下，通过对计算资源进行大规模共享，满足应用 对高性能计算要求，并且这种对计算资源进行大规模共享是动态的、柔性的、 安全的和协作式的，所以网格安全问题成为了网格计算中的一个核心问题。我 们都知道，安全与便利是一对矛盾的结合体。因为在保证网格计算安全性的同 时，还必须要尽量方便用户和各种服务的交互与使用。在设计网格安全机制时 特别要考虑网格计算环境的动态主体特征及复杂性。要保证网格计算环境中不 同主体之间的相互鉴别和各主体间通信的保密性和完整性。基于以上原因，在 网格计算环境中，安全问题比一般意义上的网络安全问题的覆盖面更广。而网 格技术作为新一代互联网技术，在实现资源共享上有巨大的优势，对其应用的 研究也越来越多，而对随之而来的网格安全问题的研究与分析也同样刻不容缓。 1 2 网格安全技术的研究现状 网格安全的研究是伴随着网格计算技术的发展而不断深入的。网格安全发 展到现在已经取得了很多成果，下面对网格安全研究的现状进行介绍。 网格安全是在传统互联网安全技术基础上发展而来的，在传统的互联网环 境下发展出来的主要安全技术包括： 密码技术：对称加密、非对称加密、h a s h 函数、数字签名等； 安全传输协议：i p s e c i p v 6 ，s s l s s h ，s m i m e 等； 安全认证协议：p 和k e r b e r o s ： 访问控制技术：d a c m a c r b a c ，防火墙； w e bs e r v i c e s 安全技术：x m l 加密、x m l 签名、s o a p 安全等。 网格安全系统在构建时集成了这些技术，目前发展较好的网格安全体系结 构是g l o b u s 项目的g s i 以及基于o g s a 的网格安全体系结构。网格技术已经 和w e bs e r v i c e s 技术融合在一起网格安全设计上也考虑了这一变化，在采用 o g s a 的g l o b u s 网格中，最新的网格安全体系结构已经把w e b s e r v i c e s 安全和 网格安全结合在一起。 3 四川大学硕士学位论文 1 3 本论文实现的主要工作 本文主要实现了如下工作： 1 ) 网格是近年来发展起来的新兴技术，并已成为越来越重要的研究领域， 而随之而来的网格安全问题成为了网格计算中的一个核心问题，本文介绍了网 格技术和网格的安全的概念以及需求； 2 ) 深入剖析了g l o b u s 下的网格安全基础设施基于o g s a 的网格安全体系 结构两种典型的网格安全解决方案； 3 ) 认证是形成安全政策的基础，它可以使各个局部安全策略都被集成为一 个全局的框架。从而更加有利于网格实体之间实现安全的通信。本文详细研究 了网格的安全认证模型，在网格信任关系模型的基础上，独创性地提出了网格 本地用户身份认证机制和基于w e bs e r v i c e 的网格跨系统的身份认证模型； 4 ) 网格要达到资源共享的目的，必须解决资源的访问控制问题，现有的访 问控制系统必须进行扩展才能移植到网格系统中本文详细研究了网格的访问 控制模型，在传统的访问控制模型和已有的基于虚拟组织的访问控制服务基础 上，独创性提出了网格环境下基于角色的访问控制模型以及复杂网格环境下一 种基于多策略的访问控制模型m p b a c ( m u l t i p o l i c y - b a s e d a c c e s sc o n n 0 1 ) 。 网格环境下基于角色的访问控制模型将基于角色的访问控制较好地用于了网格 环境中；m p b a c 模型实现了各个域的独立自治，在域间操作的情况下更是兼 顾了各个域的安全策略，具有高安全性和低系统开销的特点，是一个在复杂的 网格环境中实现访问控制的一个很好的解决方案； 5 ) 探讨了m p b a c 模型的设计。 1 4 论文的结构 第一章( 即本章) 讲述课题背景、来源，研究现状及本文工作； 第二章简要介绍了网格技术，重点阐述了网格的体系结构； 第三章描述了网格环境下存在的安全问题、安全需求、网格安全体系结构 4 四川大学硕士学位论文 的构建原则以及构建网格安全体系结构的关键技术； 第四章重点分析了两种具有代表性的网格安全解决方案： 第五章研究了网格的安全认证模型，并独立提出了两种安全认证模型； 第六章研究了网格的访问控制模型，并独立提出了两种安全访问控制模型， 并提出了设计方案。 5 四川大学硕士学位论文 第二章网格技术 网格是近年来发展起来的新兴技术，并已成为越来越重要的研究领域。由 于应用的需求是朝着高性能、多样化、多功能发展，许多大规模科学计算应用 不仅仅需要一台高性能计算机，它还需要由多种机器组成、多个系统合作、多 个科学仪器设备连接的网络虚拟超级计算机。这些应用要求将地理上分布、异 构的多种计算资源通过高速网络连接起来，共同完成计算问题。网格于是应运 而生，它可以将地理上分布、异构的高性能计算机、数据服务器、可视化、虚 拟现实系统等通过高速互联网连接起来，从而实现资源的全面连通和有效组织。 福布斯杂志曾有这样一段论述；“信息技术的下一波大浪潮将在 2 0 0 4 2 0 0 5 年度出现，并造就2 0 0 5 - 2 0 2 0 十五年的黄金时代。这个大浪潮将极大 地改变我们的工作和生活。到2 0 2 0 年，由此产生的互联网将成长为一个2 0 万 亿美元产值的大工业。信息市场从2 0 0 0 年的1 万亿美元增长2 0 倍。这一波浪 潮的本质特征，就是万维网( w o r l dw i d ew e b ) 升华为网格( g r e a tg l o b a lc - r i d ) 。” 无疑网格将成为继互联网和w e b 之后正在到来的第三大浪潮。 2 1 网格介绍 2 1 1 网格概念 网格1 2 】产生于9 0 年代中期，最早是从电力网中的“电力网格”概念借鉴过 来的。在构成电力网格以后，用户“接入”电力网格，就根本不必关心发电厂 在何方，电力如何传输，电力是用于冰箱还是空调等。同理，如果能建成网格 基础设施，那么当用户“接入”网格后，就根本不必关心超级计算机在何方， 要用多少的计算能力，用它来解决有限元，还是用它来解决微分方程等。这一 切问题都将由网格中的资源调度等软件来解决。 6 四川大学硕士学位论文 学术界对网格的研究起步不久，众多研究者从不同的角度和侧重点给出了 不同的定义，但是到目前为止还没有一个准确的定义。目前对网格的定义主要 有以下几个 m m 认为，概括的说，网格就是把整个国际互联网集成为一台虚拟的巨人 的超级计算机，实现全球范围的计算资源、存储资源、数据资源、信息资源、 知识资源、专家资源、设备资源的全面共享 美国阿冈( 啦o n n e ) 国家实验室的i 粕f o s t e r 和c a r lk e s s e l m a n 于1 9 9 8 年在 t h eg r i d ：b l u e p r i n tf o ran e wc o m p u t i n gh 沿a s 廿l l c t l 】一书中曾尝试着给网 格下定义。他们在此书中写道：“一个计算网格是一个硬件和软件基础没旖，此 基础设施提供对高端计算能力可靠的、一致的、普遍的和不昂贵接入”。在2 0 0 0 年的一篇题为1 h ea n a t o m yo ft h e 西d ：e n a b l i n gs c a l a b l ev i r t l l a lo r g a n i z a t i o n s l j j 的文章中，i a n f o s t e r , c a r l k e s s e l m a n 和s t e v e n t u e c k e 共同提出了网格中的虚拟 组织问题，并进一步明确了网格的概念。他们指出，网格计算关心的是“在动 态的，多机构的虚拟组织中协调资源共享和协同解决问题。”其核心概念是“在 一组参与节点( 资源提供者和消费者) 中协商资源共享管理的能力，利用协商得 到的资源池共同解决一些问题。共享主要不在于文件交换，而在于对计算机、 软件、数据和其它资源的直接按入使用，这是工业界、科学界中大量出现的协 同解决问题和资源代理策略的需要。这种共享必须被高度控制，资源提供者和 消费者要清晰和详细的定义哪些资源可被共享，谁可以享用这些资源，及共享 发生的条件。用这样的共享规则定义的一组个人和机构，称之为虚拟组织。” 在总结了以上网格定义后i a nf o s t e r 在2 0 0 2 年7 月发表的论文 w h a t i s c n - i d ，【4 i 中提出了鉴别网格的三个指标。指标一，要协调而非集中控制资源。 也就是说网格要整合各种资源，协调各种使用。而这些资源和使用者要在不同 控制域中。网格还必须解决在分布式环境中出现的安全、策略、使用费用和成 员权限等问题。否则，只能算本地管理系统而非网格。指标二，要使用标准、 开放、通用的协议和界面。网格要建立在多功能的协议和界面之上，用这些协 议和界面解决认证、授权、资源发现和资源存取等基本问题。否则，只算一个 具体应用系统而非网格。指标三，要得到非平凡的服务质量网格允许它的资 源被协调使用，以满足不同使用者的需求如系统响应时间，流通量，有效性， 7 四川大学硕士学位论文 安全性，及资源重定位，使得联合系统的功效比其各部分的功效总和要大得多。 2 1 2 网格的特点 网格技术作为一种新型的并在将来将起到重要作用的技术，拥有复杂的内 在机制和实现方法，它相对于现在的网络技术有其鲜明的技术特点，比如分布 性、共享性、自相似性、异构性等特点。【习 分布性：分布性是网格的一个最主要的特点。网格的分布性首先是指网格 的资源是分布的。组成网格的计算能力不同的计算机，各种类型的数据库乃至 电子图书馆，以及其他的各种设备和资源，是分布在地理位置互不相同的多个 地方，而不是集中在一起的。分布的网格一般涉及的资源类型复杂、规模较大、 跨越的地理范围较广因为网格资源是分布的，因此基于网络的计算一定是分 布式计算而不是集中式计算。在网格这一分布环境下，需要解决资源与任务的 分配和调度问题、安全传输与通信问题、实时性保障问题、人与系统以及人与 人之间的交互问题等等。 共享性：网格资源虽然是分布的，但是它们却是可以充分共享的。即网格 上的任何资源都是可以提供给网格上的任何使用者。共享是网格的目的，没有 共享便没有网格，解决分布资源的共享问题，是网格的核心内容。这里共享的 含义是非常广泛的，不仅指一个地方的计算机可以用来完成其他地方的任务， 还可以指中间结果、数据库、专业模型库以及人才资源等各方面的资源。 自相似性：网格的局部和整体之间存在着一定的相似性，局部往往有许多 地方具有全局的某些特征，而全局的特征在局部也有一定的体现。可以认为国 家级的网格是在省一级的网格基础之上建造起来的，国家级主干网要有更大的 带宽，只有这样才可以将不同省份的子网格连接起来提供满足的通信服务。 动态性：对于网格来说，不是一成不变的。网格的动态性包括动态增加和 动态减少两个方面的含义。原来拥有的资源或者功能，在下一时刻可能就会出 现故障或者不可用；而原来没有的资源，可能随着时间的推移会不断的加入进 来。这种动态变化的特点就要求网格管理者充分考虑并解决好这一问题，对于 网格资源的动态减少或者资源出现故障的情况，要求网格能够及时采取措施， 8 四川大学硕士学位论文 实现任务的自动迁移，做到对高层用户透明或者尽可能减少用户的损失 多样性：网格资源是异构的和多样的。在网格环境中有不同体系结构的计 算机系统和类别不同的资源，因此网格系统必须能够解决这些不同结构、不同 类别资源之问通信和互操作问题。正是因为异构性或者说多样性的存在，为网 格软件的设计提出了更大的挑战，只有解决好这一问题，才会使网格更有吸引 力 自治性：网格上的资源，首先是属于某一个组织或者个人的，因此网格资 源的拥有者对该资源具有最高级别的管理权限，网格应该允许资源拥有者对他 的资源有自主的管理能力，这就是网格的自治性。 多重性：多个资源必须接受网格的统一管理，否则不同的资源就无法建立 相互之间的联系，无法实现共享和操作，无法作为一个整体为更多的用户提供 方便的服务 2 1 3 网格研究的意义 网格概念的提出将从根本上改变人们对“计算”的看法，因为网格提供的 是与以往根本不同的计算方式。网格提供的计算能力是以前所无法得到的，而 且也是不能够通过其他的方式得到的。网格概念的核心就是突破了以往强加在 计算资源之上的种种限制，使人们可以以一种全新的更自由、更方便的方式使 用计算资源，解决更复杂的问题。1 5 】 ( 1 ) 突破了计算能力大小的限制 以前大部分的用户无法得到足够的计算能力，因此许多问题的解决是不能 够通过计算或者是不能完全靠计算来实现的，对模型以及算法的化简是最常见 的近似方法。而网格所提供的计算能力要远远超过以前我们所能够想象的程度， 对于大多数用户来说，网格提供给他们的计算能力足以满足其计算需求，在这 种计算能力的支持下，人们可以作许多以前无法想象和无法完成的工作。 ( 2 ) 突破了地理位置的限制 计算资源是分布在各处的，有些资源是稀缺或不可复制的，有些资源甚至 是无法和特定的地理位置分开的，因此要使用这些资源，在以前许多情况下必 9 四川大学硕士学位论文 须到相应的地方去，这在很大程度上限制了这些资源的使用。而网格把。到资 源所在的位置”这种对资源使用的限制打破了，使得资源的使用、使用者所在 地及资源所在地三者之间，实现了位置无关性。突破了资源使用时对地理位置 的限制，是网格具有突出意义的功能。 ( 3 ) 打破了传统的共享或协作方面的限制 以前对资源的共享往往停留在数据文件传输的层次，而网格资源的共享允 许对其它的资源进行直接的控制，而且共享资源的各方在协作时可以以多种方 式更广泛地交流信息，充分利用网格提供各种功能。比如为了分析臭氧层问题 可以通过将各个领域的专家、各种大型专业数据库、大型计算设备、各种模型 库和算法库等充分结合起来，来协同研究这一问题。网格使得共享与协作的方 式更广泛了。而且为这种合作提供了各种控制策略与手段，可以根据需要，动 态地与不同的组织和个人建立各种级别的工作关系。 过去人们往往很自然地把计算资源和特定的有形的计算机等联系起来，而 网格就是在剥去了各种具体的计算资源外在的“形”的基础上，将其内在的“神” 即计算能力抽取出来，形成了一种分布在网上的抽象的计算能力，在实现 了“形”和“神”分离的同时，将原来有形的、专用的计算能力转化成，一种 和统一的电力一样的东西。 这种概念和使用方式上的改变，是网格技术支持的，不是凭空产生的网 格的意义，就如同互联网改变了人们传统的通信方式和通信手段一样，它将改 变人们传统的计算方式和计算手段，网格技术将为人们提供更强大、更方便、 更高级的问题求解手段。 2 2 网格的体系结构 网格体系结构是划分网格系统基本组件、指定系统组件的目的与功能、以 及说明组件之间如何相互作用的技术。在当前，比较重要的网格体系结构有两 个，一个是f o s t e r 等人在早些时候提出的五层沙漏结构，另一个是在考虑到 w e b 技术的发展和影响后，结合w e bs e r v i c e 提出的开放网格服务结构o g s a ( o p e ng r i ds e r v i c ea r c h i t e c t u r e ) 1 0 四川大学硕士学位论文 2 2 1 五层沙漏结构【6 】 这里简要介绍一下五层沙漏结构的网格体系结构模型，它是以协议为中心 的层次结构，以沙漏模型的原则刻画了计算网格的体系结构五层沙漏结构如 图2 1 所示： 回 口困 图2 1 网格的五层沙漏结构 各层的功能特点如下： ( 1 ) 构造层( f a b r i c ) 局部控制的界面。网格构造层的基本功能就是控制局部的资源，向上提供 访问这些资源的接口。构造层的资源是非常广泛的，可以是计算资源，存储系 统，目录，网络资源和传感器。构造层网格组件实现对本地特定资源的访问， 向上提供访问这些资源的接口。因此在构造层各种功能实现上，有紧密和互相 依赖的联系，还有对共享的支持。构造层实现的基本功能包括查询机制、控制 服务质量的资源管理能力等。 ( 2 ) 连接层( c o n n e c t i v i t y ) 支持便利安全的通信。连接层的基本功能是保证构造层的资源实体问相互 通信的便利和安全，在这一层，网格定义了核心的网络事务处理所需要的通信 和认证协议。通信协议允许在构造层资源之间交换数据，建立在通信服务上的 认证协议提供加密的安全机制，用于识别用户和资源。通信的必要条件包括传 l l 四川大学硕士学位论文 输，路由和命名等功能。在实际上，通信协议大部分是从t c p i p 协议栈中抽出 的。比如i n t e r a c t 体系结构的i n t e r a c t 层( i p 与i c m p ) ，传输层( t c p 与u d p ) ， 和应用层( d n s ，o s p f ，r s v p 等) ( 3 ) 资源层( r e s o u r c e ) 共享单一的资源。资源层建立在连接层的通信和认证协议之上，定义的协 议包括安全的连接、初始化、监视和控制、审计、计费等。资源层的协议实现 调用构造层的功能以访问和控制本地资源。资源层的最重要的两个协议是信息 协议和管理协议，前者用于获得关于资源结构和状态的信息，后者用来协商对 共享资源的访问。 ( 4 ) 汇聚层( c o l l e c t i v e ) 协调各种资源。汇聚层的基本功能是协调多个资源的共享，实现虚拟组织。 汇聚层组件建立在资源层和连接层形成的协议瓶颈之上，它们能够在不对资源 强加新的要求的情况下实现广泛的和多样化的共享行为，如目录服务，协同分 配，调度和代理服务等。 ( 5 ) 应用层( a p p l i c a t i o n ) 虚拟组织中的所有用户应用构成了网格的应用层，它调用下一层次中的服 务来构造网格应用。从网格应用开发者的角度来看，下面各个层次的协议和服 务都提供了相应的a p i 和s d k ，使得用户可以很容易地构建网格应用。 可见，以资源共享协议和资源间的通信协议为核心，网格环境实现了广域 范围内的资源共享和协同工作，将面向i n t e r a c t 的计算推进到了一个新的阶段。 计算网格体系结构中的连接层、资源层和汇聚层的功能需要由架构在资源 层之上、应用层之下的网格中间件实现。 2 2 2 开放网格服务体系结构m 在过去几年里，以开放网格服务体系结构o g s a 为标志，网格技术变得明 显成熟和标准化了o g s a 是五层沙漏结构之后最重要的网格体系结构。 o g s a 网格技术是基于面向服务体系结构的。服务就是一种通过信息交换 来提供给客户某种能力的实体。服务可定义为导致服务执行某些操作的特定信 1 2 四川大学硕士学位论文 息交换的序列。只按照信息交换来定义服务操作，给如何实现服务以及定义服 务带来了极大的灵活性。在面向服务体系结构中，内部实体都是服务，因此任 何对体系结构来说可见的操作都是消息交换的结果。 下面三个特征强调了服务概念的一般性和应用的广泛性。服务也包括从低 级的资源管理功能到高级的系统监控功能。 ( 1 ) 存储服务可以提供操作来存储和检索数据，预留空间，监控存储服务的 状况，并查询和定义服务访问政策，以决定谁能够访问服务。 ( 2 ) 数据传输服务提供操作己将数据从一个存储服务迁移到另一个存储服 务，对传输状况进行管理和监控，并查询和定义传输请求优先级排序的策略。 ( 3 ) 故障处理服务可以监控其他各种服务的状况，例如存储服务和数据传输 服务，并提供操作使得其他实体获得与错误有关的通知，以及查询和定义通知 策略，即谁能够接受通知。 设计o g s a 的一个目标是使得服务能以标准方式表示而不依赖于上下文， 这样可以简化应用设计并有利于代码重用 为了实现行为重用，需要把操作组合起来形成服务接口，然后接口也可以 组合起来规定期望行为的服务。o g s a 的第二个主要设计目标是使服务组合更 容易。 下面我们介绍一种面向服务的体系结构实现，也就是开放网格服务体系结 构实现。重点集中在o g s a 的核心组件上 如图2 4 表示，o g s a 的三个主要组件是开放网格服务基础结构、o g s a 服务和o g s a 模式。o g s a 是构筑在w e b 服务之上的w e b 服务是一个基于 标准的、广泛部署的分布计算模式，提供了用于描述和调用网格服务的基本机 制o g s a 服务可以驻留在各种环境下 w e b 服务提供了一种重要手段，但是现有的w e b 服务标准不能解决有关 基本服务语义相关的问题，例如服务是怎样创建的，存活多久，怎么处理错误， 怎样管理长期状态。这些服务语义和其他重要的服务行为必须予以标准化，以 便使服务虚拟化和服务键能相互操作。通过开放式网格服务基础结构o g s i s l 的核心接口集可以解决这些问题。符合o g s i 标准的w e b 服务就称为网格服务。 四川大学硕士学位论文 曰 图2 2 开放网格服务体系结构的核心组件 o g s i 为分布式系统定义了基本的构造块，包括描述和发现服务属性、创 建服务实例、管理服务生命期、管理服务组以及发布和订阅服务的标准接口和 相关行为。但是，o g s i 并没有定义创建大规模系统时所出现的所有组成成分。 我们还需处理许多其他问题。例如：如何建立身份识别以及协商认证：如何发现 服务：如何协商和监控服务级协议以及如何监控和管理服务集等等。在这些区域 内如果没有一个标准，将会很难以一个标准的样式建造大规模系统以便实现代 码重用和组件互操作。因此，o g s a 必须在这些区域以及相关区域定义附加服 务。 可操作不仅仅是与一种公共语言有关，而且还需要一组能够描述具有共同 兴趣对象的公共词汇因此，o g s a 必须定义标准模式来描述网格公共实体的 属性。 四川大学硕士学位论文 第三章网格安全 由于网格的建立，是以h 妇m c t 作为通信的支撑平台，而蛐e r n e t 是一个开 放性、异构性极大的公共网络，这使得在h 她m c t 上运行的网格作业面l 临着各 种各样的安全威胁，如技术缺陷、外界入侵、内部泄密等。在网格环境中，需 要采取各种有效的安全措施防止这样的情况发生，确保系统安全。 3 1 网格安全的概念 网格计算作为新一代的分布式计算方法，与传统分布式计算的主要区别在 于在没有集中控制机制的情况下，通过对计算资源进行大规模共享，满足应用 对高性能计算要求，并且这种对计算资源进行大规模共享是动态的、柔性的、 安全的和协作式的。所以网格安全问题成为了网格计算中的一个核心问题。我 们都知道，安全与便利是一对矛盾的结合体。因为在保证网格计算安全性的同 时，还必须要尽量方便用户和各种服务的交互与使用。在设计网格安全机制时 特别要考虑网格计算环境的动态主体特征及复杂性。要保证网格计算环境中不 同主体之间的相互鉴别和各主体间通信的保密性和完整性。基于以上原因，在 网格计算环境中，安全问题比一般意义上的网络安全问题的覆盖面更广。 一般来说，一个典型的网格作业执行过程中，需要经过访问授权，用户单 一登录，身份验证，审计，入侵检测，数据机密性与完整性检查等安全步骤。 在一个网格计算环境中。网格安全体系必须考虑网格计算环境的如下特性： ( 1 ) 网格计算环境中的用户数量很大，且动态可变； ( 2 ) 网格计算环境中的资源数量很大，且动态可变； ( 3 ) 网格计算环境中的计算过程可在其执行过程中动态地请求，启动进程和 申请，释放资源； ( 4 ) 一个计算过程可由多个进程组成，进程间存在不同的通信机制，底层的通 信连接在程序的执行过程中可动态地创建并执行； 1 5 四川大学硕士学位论文 ( 5 ) 资源可支持不同的认证和授权机制； ( 6 ) 用户在不同的资源上可有不同的标识； f 7 ) 资源和用户可属于多个组织。 正是由于网格计算环境的特殊性，所以在设计网格安全机制时特别要考虑 网格计算环境的动态主体特性，并要保证网格计算环境中不同主体之间的相互 鉴别和各主体问通信的保密性和完整性。 根据前面所述网格计算环境的特性，网格计算面临的安全问题可分为如下 三类【5 】： 1 集成问题( i n t e g r a t i o n ) ：网格是异构的，决定了网格安全体系结构 要具有灵活性和动态性，方便地对现有安全体系结构和跨平台、跨主机环境进 行集成。 2 协同问题( i n t e r o p e r a b i l i t y ) ：一个网格作业，往往需要访问多个不 同的域和主机环境才能获得所需的资源。这需要域和主机环境能够协同工作， 协同工作需要域间有严格的用户身份认证机制，以及安全的通信通道等来作为 保证。 3 信任关系问题( t r u s tr e l a t i o n s h i p s ) ：网格作业需要跨越多个安全域， 这些域中的信任关系在点对点的跨越中起着重要的作用。网格安全体系结构必 须对网格系统不同域间的信任关系进行定义、管理和执行。并且由于网格的动 态特性，使得信任关系很难预先建立，网格安全体系结构需要支持动态的信任 关系。 3 2 网格安全需求 一个好的安全技术或结构必须符合以下原则： ( 1 ) 可靠性原则：安全技术或安全结构本身没有技术缺点和漏洞，从而使得 自己不被攻击和利用，保证对系统的安全服务确实可靠； ( 2 ) 整体性原则：由于没有安全可靠的网络安全机制，安全系统应该包括安 全保护、安全检测和安全恢复等机制。安全保护机制是根据具体系统存在的各 种漏洞和安全威胁采用相应的防护措施避免非法攻击的进行；安全检测机制就 1 6 四川大学硕士学位论文 是监测系统的运行情况，即使发现和制止对系统的攻击；安全恢复机制是在安 全防护机制失效的情况下，进行应急处理，尽可能及时恢复信息并减少攻击的 破坏程度； ( 3 ) 有效性原则：安全技术所带来的额外负载对系统的影响是否可以接受； ( 4 ) 方便性原则：安全机制对用户来说不会造成太多的麻烦，对开发人员屏 蔽底层实现； ( 5 ) 动态化原则：由于密码破解和攻击技术的不断发展和一些人为因素，一 个机密的算法可能也不是牢不可破的，所以对密钥的使用应该周期性的动态更 换，或者使用代理、一次性对话密钥等技术使得密钥临时化有助于减少密钥 被人盗取的可能性； ( 6 ) 权限最大化原则：就是给与用于能够执行某个操作或访问某些数据的最 低权限，保证用户不会因越权而造成系统的损失。 安全设施必须能够无缝的结合网络应用到数据服务的边界，允许安全机制 不仅仅在中间件，还能在运行服务的主机环境的平台上进行联合。安全基础设 施必须解决以下安全需求【9 】： 1 认证：为多个认证机制( 可能是用户认证机制或者工业标准的技术) 提供 接入点，这个接入点对于任何一种特殊的认证机制来说都是不可知的； 2 代理：提供工具以允许服务请求者通过代理来访问资源，对这个代理授 权主体的权利子集并限定在任务的需要上。还必须赋予生命周期。总之，以最 小化代理的权利为原则； 3 单点登录：实体在和o g s a 管理的资源之间进行一次交互认证以后，在 一段合理的时间内，实体和同一个安全域内的其他资源交互认证就不需要用户 的参与了，从下面两个方面讲，单点登录的需求是非常重要的： ( 1 ) 根据策略，它产生了一个委托实体权限的需求，这里还需要对这个委托 的权限进行生命周期、权限约束管理； ( 2 ) 假如证书材料被委托给中间件，根据策略，必须得到中间件的i d e n t i t y ， 以便调整策略。 4 证书的生命周期和更新：在许多情况中，用户发起的一个工作时间将比 用户代理证书的生命周期长，用户需要延长证书的过期时间，或者更新证书的 1 7 四川大学硕士学位论文 能力； 5 授权：基于授权策略来控制o g s a 服务的访问( 谁可以访问服务，什么条 件下) ，或者允许服务请求者指定调用策略( 谁决定) 。授权必须适应各种访问控 制模型和实现； 6 保密：允许服务请求者和服务提供者定义和执行保密政策，比如考虑到 用户个人的鉴别信息，请求服务的目的等。保密政策也可以看作是授权政策的 一方面； 7 通讯机密性：保护底层通讯的安全，消息或者文件传输的机密性，为o g s a 传输机制提供端对端通讯的安全： 8 消息完整性：确保接受者能发现对消息或者文件未经授权的修改，消息 或者文件层的完整性检查可以有策略决定，并与o o s 服务绑定； 9 策略交换：允许服务请求者和提供者动态地交换他们的安全政策信息以 便在他们之间建立一个协商的安全上下文，这些政策信息可能包括认证需求， 功能支持、约束、保密规则等等； 1 0 安