（计算机系统结构专业论文）基于evp资源空间模型的授权与访问控制关键问题研究.pdf

摘要 网格操作系统是网格应用开发、运行和维护所依赖的环境和平台本文研究了基于 e v p 资源空问模型构建的织女星网格操作系统( v e g a g o s ) 的授权和访问控制机制的 相关问题。 e v p 资源空日j 模型这种采用有效资源、虚拟资源、物理资源的三层方法在提高网格 软件的好用性、透明性、自治性、模块性的同时，也给系统的授权和访问控制机制带来 了很多挑战，这些挑战要求我们回答的问题包括：策略如何表示、如何存储、策略如何 传递到访问控制决策点、怎样合并策略、不同层策略的一致性如何维护等。 最终用户直接使用有效资源，他希望看到的是面向有效资源和有效层主体的策略管 理，同样的道理，资源所有者直接控制本地的物理资源和主体信息，他希望看到的是面 向物理资源和物理层主体的策略管理，因此系统需要对不同的角色提供不同的策略管理 视图。 在进行有效资源到虚拟资源的资源选择时，如果用户对被选中的虚拟资源没有访问 权限，那么系统将不得不重新进行资源选择，为了避免这种影响系统响应时问的情况发 生，我们把资源选择和授权操作结合起束考虑，保证进行资源选择的虚拟资源一定是用 户有权使用的虚拟资源，这样也提高了资源选择的效率。 本文介绍了基于e v p 资源空间模型和e v p 主体空问模型构建的织女星网格操作系 统的授权与访问控制机制的设计和实现，并对由于使用安全机制引起的性能损失进行了 测试和分析。 关键词：e v p 资源空日j 模型，访问控制策略，资源选择，社区原理，织女星网格操作系 统 s t u d y 0 1 1 t h e k e y i s s u eo f e v p r e s o u r c e s p a c e m o d e la n d e v p s u b j e c t s p a c e m o d e l b a s e da u t h o r ；z a t i o na n da e e e s sc o n t r o l j i n g j i n gx u ( c o m p u t e ra r c h i t e c t u r e ) d i r e c t e db yz h i w e ix u t h eg r i do p e r a t i n gs y s t e mi sa l le n v i r o n m e n ta n dp l a t f o r mt h a ts u p p o r td e v e l o p m e n t a n dr u n n i n go ft h e 西da p p l i c a t i o n s t h i sp a p e rt a k eas t u d yo nt h er e l a t e di s s u e so f a u t h o r i z a t i o na n da c c e s sc e n t r e li nt h ev e g ag r i do p e r a t i o ns y s t e m , w h i c hi sc o n s t r u c t e d b a s e do ne v pr e s o u r c es p a c em o d e l t h eu s e ru s ee f f e c t i v er e s o u r c ed i r e c t l y , t h e yh o p et om 锄a g ee f f e c t i v er e s o u r c ed i r e c t l y , i nt h es a m ec a s e ，r e s o u r c eo w n e rc o n t r o ll o c a lp h y s i c a lr e s o u r c ea n ds u b j e c ti n f o r m a t i o na n d t h e yh o p et om a n a g ep o l i c yb yt h ew a yo r i e n t e dp h y s i c a lr e s o u r c e ，s o t h es y s t e mw e c o n s t r u c t e dm u s e ts u p p o r td i f f e r e n tv i e wt oa l lk i n d so f r o l e s w h e nw et a k ear e s o u r c es c h e d u l i n g ，i fu s e rd o n th a v ea c c e s st ot h ev i r t u a lr e s o u r c e w h i c hi ss c h e d u l e d t h es y s t e mw i l lh a v et or e s c h e d u l i n gt h er e s o u r c e i no r d e rt oa v o i dt h i s i s s u et h a ta f f e c tt h er e s p o n s et i m eo ft h es y s t e m ，t a k ei n t oa c c o u mt h ea u t h o r i z a t i o nw i t h r e s o u r c es c h e l u d l i n ga n dm a k es u r et h a tt h er e s o u r c es c h e d u l e dm u s tb ea c c e s sb yu s e r 1 1 1 i s c a r la l s oi m p r o v et h ee f f i c i e n c yo f s c h e d u l i n g t l l i s p a p e ri n t r o d u c et h ed e s i g na n di m p l e m e n t a t i o no ft h ee v pr e s o u r c e s p a c e m o d e l 南a s e da u t h o r i z a t i o na n da c c e s sc e n t r e lm e c h a n i s m ，a n dt a k eam e a s u r e m e n ta n d a n a l y s i st ot h ep e r f o r m a n c ep e n a l t yd u et ot h eu s eo f s e c u r i t ym e c h a n i s m k e y w o r d s ：e v pr e s o u r c es p a c em o d e l ，a c c e s sc o n t r o lp o l i c y , r e s o u r c es c h e d u l i n g ，v e g a g o s l l 声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得 的研究成果。就我所知，除了文中特别加以标注和致谢的地方外，论文中 不包含其他人已经发表或撰写过的研究成果。与我一同工作的同志对本研 究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 作者签名：日期： 关于论文使用授权的说明 中国科学院计算技术研究所有权处理、保留送交论文的复印件，允许 论文被查阅和借阅；并可以公布论文的全部或部分内容，可以采用影印、 缩印或其它复制手段保存该论文。 作者签名：导师签名： 日期： 1 1 网格简介 第一章引言 网格是构筑在互联网上的一组新兴技术，它将高速互联网，计算机、大型数据库、 传感器、远程设备等融为一体，为 技人员和普通老百姓提供更多的资源、功能和服务。 互联网主要为人们提供电子邮件、网页浏览等通信功能，而网格则能提供更多更强的功 能，它能让人们共享计算资源、存储资源和其他资源。p l 。 1 1 1 网格定义 网格的定义是近些年来高性能计算学术界的热点论题，至今也没有统一的定义 g l o b u s 仓f j 始人i a i lf o s t e r 曾经对网格做过如下定义【2 1 ：“( 1 ) 在非集中控制的环境中协同使 用资源；( 2 ) 使用标准的、开放的和通用的协议和接口；( 3 ) 提供非平凡的服务”。以现在 的观点看，这样的定义过于严苛，p 2 p 等公认的网格和并行计算技术也被排除在外，因 此在实际研究工作中并没有被广泛的认同。 简单地讲，网格是把整个因特网整合成一台巨大的超级计算机，实现计算资源、存 储资源、数据资源、信息资源、知识资源、专家资源的全面共享和协同，它是1 9 9 5 2 0 1 0 年时段计算机体系结构、操作系统、用户界面领域最重要的突破性创新机会。i j j 1 1 2 网格系统的基本特征 总体而者，网格应该具备以下基本特征【4 1 ： 分而与共享 简要概括起束就是资源在物理上是分如的，在逻辑上是共享的。 自相似性 网格作为一个复杂系统具有自相似特征，即局部与整体存在着一定的相似性 动念性与多样性 网格的动态性是指网格资源会动念增加和动态减少；网格的多样性足指网格资源的 种类是异构的且多样的。 自治性和管理的多重性 烈格资源的自治性是指网格资源的所有者具有对该资源最高级别的管理能力；网格 管理的多重性是指资源作为网格的一个组成部分又必须接受整个网格的资源凋度和管 理 聃j l , v p 争0 ：。p j 砖一“1 j 巩f r 驯天鼬u j 也驯究 t 2 网格软件的发展和现状 1 2 1 网格软件发展历程 元计算( m e t a c o m p u t i n g t 。9 1 ) 项目i 、y 1 2 0 】出现以后，众多网格核心软件相继出现这 类网格核心软件的主要目标是将各种各样的分白的、异构的计算和存储资源统一成一个 虚拟的超级计算机，提供无缝的高性能计算环境州，相关项目如c a c t u s 2 1 1 项目和欧洲 粒子物理领域的数掘网格( p a r t i c l ep h y s i c s d a t a g r i d l 2 3 1 ) 项目。 这一时期网格面临的主要问题是： ，p 异构问题，网格连接的各种资源是异构的，而网格系统提供给应用层的却足一 个统一的接口。 扩展性问题，同其他分布式系统一样，网格是否存在随着节点数目的增加系统 性能下降的问题，网格的规模可以膨胀到多大。 自适应性问题，网格的高度动态性决定了节点失效在如此庞大的系统中是无法 避免的。且失效率非常高，这就需要网格具有很强的容错能力和提供冗余的能 力，否则网格系统的可靠件将很难得到保证。 随着网格技术的进一步发展，大规模数据计算已经不足主要的技术挑战和需求，面 向服务的( s e r v i c e o r i e m e d ) 底层支撑环境为整合大量可重用组件服务( s e r v i c e ) 提供了可能。虚拟组织( v i r t u a lo r g n a z a t i o n ) 1 7 1 和分布式协同工作( d i s t r i b u t e d c o l l a b o r a t i o n ) 成为了这一时代的重点，肓代表性的技术包括w e bs e r v i c e ，w s d l l s l 2 4 1 ， x m l l 2 5 1 ，s o a p i m i ，u d d l l 2 7 l 等。为了适应从m e t a c o m p u t i n g 到m e t a d a t a l 2 8 1 。再到 m e t a c o n t e n t 2 9 1 的发展过程，o g s a i 驯和o g s l l 3 1 1 在这种趋势下应运而生。刚格计算开始 以“服务”的方式参与到电子商务和电f 政务当中。以a c c e s sg r i d l 3 2 1 为代表的分白式协 同工作，为网格提供了多种交互f 段， e 如视频会议，聊天室和虚拟现实等。 ， 1 2 2 g i o b u s 和o g s 鲇w s r f g l o b u s 项目的土要成果体现为g l o b u st o o l k i t 。在其1 x ，2 x 版本中，g l o b u s 提出 了一种沙漏型的网格体系结构【7 1 ，指出列格的意义在于实现了虚拟组织的概念：即“基 于商度可控的的共享规则，出一口；个人或肯团体形成的集合体”，并认为为了网格的长 远发展，需要定义和广泛部髫i n t e r g r i d 协议，如同i p 协议把计算机网络互联起来一样， i n t e r g r i d 协议能使不同的组织互相操作和交互或者共事资源。 g l o b u s 在其3 0 版本中提出了o g s a ( o p e ng r i ds e r v i c e sa r c h i t e c t u r e ) 1 9 1 的概念， 希望把g r i d 与w e bs e r v i c e l 8 技术帽结合，使g r i d 更加适合于商业运算。其3 0 版本完 全用j a v a 实现，并遵循被称为o g s l l 叫的规范。o g s a 定义了一种统一丌放的服务语义： 网格服务；定义了创建，命名和发现瞬时网格服务实例的标准机制：提供了服务实例的 位置透明性和多种协议的绑定：并支持对于底层的本地平台设施的集成o g s a 还按照 w s d l i s l 的接口和相关约定定义了创建和组织复杂的分布式系统所需要的机制，包括尘 命周期的管理，变更管理和通知机制。o g s a 的服务绑定支持可靠的调用，认证，授权 和代理。 早期的五层沙漏结构与o g s a 的设计出发点不同，应用领域也不尽相同五层沙漏 结构以协议为中心，主要适用于计算网格领域，而o g s a 以服务为中心( s o a ) ，更适 合商业领域的应用。这也是造成g l o b u s 2 x 与g l o b u s 3 x 在一段时期内并存的根本原因。 2 0 0 4 年初g l o b u s 又提出了w s r f ( w s r e s o u r c ef r a m e w o r k ) h i 的概念，对o g s i 做了修改，并把它分离为6 个w e bs e r v i c e 的标准：w s r e s o u r c e p r o p e r t i e s ， w s r e s o u r c e l i f e t i m e ，w s r e n e w a b l e r e f e r e n c e s ，w s - s e r v i c e g r o u p ，w s b a s e f a u l t ， w s - n o t i f i c a t i o n 。这样做的主要目的是希望、bs e r v i c e 业界能够更好的接收网格概念， 从而达到两者最终的融合。 1 2 3 织女星网格( v e g ag r i d ) 1， 织女星网恪【幢l 足中科院计算所网格研究的重点课题，是中国科学院计算机技术研究 所具有自主知识产权的网格系统，共包括从低到高的网格操作系统、信息网格、知识网 格三个层。目前取得的成果是：在网格硬件层面，计算所的主要工作是研究下一代曙光 高性能计算机，它们将是面向网格的超级服务器：在网格系统软件层面，设计并实现了 织女星网格操作系统g o s 2 0 版，并把它当作网格计算环境，在其上开始相关的研究工 作；在网格应用层面，计算所主要丌展了信息网格和知识网格的研究工作，科学计算类 的应用网格研究则由合作伙伴完成。 从用户的角度看，整个网格就像一台虚拟的超级计算机。因此网格强调的是体系结 构上的全局统一。它把无序的，不稳定的网格资源组织起来，使其有序化、稳定化，为 用户提供了统一的网格资源使用视图。织女星网格体系结构研究的思路就是将网格看成 是一台虚拟的、具有单一系统映像的计算机系统1 1 3 1 ，在设计中借鉴了传统计算机系统的 构造方式，由网格资源、网格系统软件、网格使用环境和网格应用这四层结构组成。网 格系统软件与计算机操作系统的地位类似，足对网格资源进行管理的软件集合。网格系 统软件组织并管理表现形式为服务的网格资源，通过单一系统映象的访问接口，为网格 使用环境及网格应用提供了简单且友好的访问网格资源的界面。【1 4 】 织女星网格遵循v e g a 原理，即通用服务( v e r s a t i l es e r v i c e s ) ，辅助智能( e n a b l i n g i n t e l l i g e n c e ) ，全局一体( g l o b mu n i f o r m i t y ) 和自主控制( a u t o n o m o u sc o n t r 0 1 ) 。 通用服务 琅 iv pt ；，7 ：h 以j f f j h + j o sn 4 f - 埘m i u j 题研， “通用”指支持多种心用炎型，支持多种应用模式及支持多种现有技术。织 女星网格支持的应用类犁包括通讯服务，商务服务、计算服务等；应用模式 则涵盖了c s 、p 2 p 等经典模式；同时，织女星网格使用并支持g r i ds e r v i c e 、 。 w e bs e r v i c e 等i n t e m e t 计算领域的成熟技术。 “服务”指所有应用和服务交互均采用服务方式，采用服务接口统一管理织 女星网格应用的开发、构造、部署、运行、使用和管理： 辅助智能 织女星网格本身不涉及人工智能范畴，而是提供人机交互过程中的辅助功能。织女 星网格提供的是基于开放标准的、通用的辅助智能功能。有关辅助智能评价从以下 几方面考虑： 注册：网格用户需要注册、登陆爿+ 能使用网格提供的服务。 部署：应该为物理服务提供商提供方便的部署和发布工具。， 管理：应该提供为管i 里员提供工具。 全局一体 网格作为一个整体，不应存在信息孤岛。有关全局一体的评价从以下三方面考虑： 连通性：注册后的用户、部署后的资源( 服务) 是连通的。 互操作性：通过服务屏蔽底层平台和资源的异构性。 单一信息源：在一般情况下，用户看到单一的虚拟服务和资源。 自主控制 从管理模式束看，资源的拥有右致有自主控制权。网格内没有绝对的管理者，用户 自主地使用网格，而不是让刚格控制用户。它不只是体现在运行管理，它也体现生 命周期的其他时段，其中部署的自t 控制特别重要。 织女星网格试图用户提供下列好处：网格具有更强大的资源，并能更有效地使用这 些资源。用户看到一个网格整体所仃服务请求向网格发出，而不是某个网站或某台服 务器撇丌安全性和权限限制，刚格中的所订资源都联成了一个整体，实现全面的资源 共享和协同工作。网格支持信息和知识的自动生产。 1 3 相关标准 ， 一 为了达成受信并且通用的授权数掘的表示，以解决分布式授权及其相关问题， w 3 c 、i e t f 和o a s i s 的s s t c , 静j 定丁或i l - 在制定很多相关的标准。这些标准包括x 5 0 9 属性证书1 3 3 1 、s e c u r i t ya s s e r t i o nm a r k u pl a n g u a g e ( s a m l ) 1 3 ”、e x t e n s i b l e a c c e s sc o n t r o l m a r k u p 亭l l a n g u a g e ( x a c m l ) 1 3 5 j 等等。 ， 1 3 1s a m l 由o a s i s 审定通过的s a m l 是一个用于交换认证和授权信息的框架这种安全信 息以断言的形式表示，断言内容中的主体是在某个安全域内有身份标识的实体。断言作 为容器保存了一些授权相关的信息，这些信息包括主体发起的认证行为、主体的属性或 者主体是否被允许访问某个资源的授权决策。s a m l 标准还定义了一种协议，通过这个 协议，客户端可以从一个特定的权威请求断言，并接收到包含相应断言的回应。由于 s a m l 只是定义了授权信息如何在实体之日j 互相通讯，他不需要原有系统在内部安全结 构上做任何改变。因此，不同的管理域可以在保持现有的内部机制的同时高效地与其他 管理域通讯，协同完成授权过程。 1 3 2x 5 0 9 属性证书 类似于x 5 0 9 公钥证书把一个身份绑定到一个公钥，x 5 0 9 属性证书用来把一系列属 性绑定到它的持有者，这些属性用于描述发布者给予持有者的各式各样的权限信息。这 个发布者被称为属性权威，因为它是属性的可信提供者属性和发布者的例子包括：由 某所大学所授予的学位，由q a 组织发放的i s o9 0 0 0 证书，由文件所有者授予的文件 访问权限。每一张属性证书中都包含了持有者、发布者、用于创建证书签名的算法和属 性证书有效期的详细信息。整个数掘结构经过了属性权威的数字签名，因此提供了数据 完整性和对弱性发行者的认证； 1 4 相关工作 网格研究人员从不同的方向解决网格环境下的授权问题。每种方法总会考虑到譬如 访问控制策略的表示、策略的实施、权限的代理以及用户管理这一类的问题。对于分布 式授权问题，当前有许多系统实现了可选的解决方案。这些系统包括：v i r g i n i at e c h u n i v e r s i t y 的p r i m a 3 6 j 系统，i s i 的社区授权服务( c a s ) f 3 7 】1 3 8 1 ，e u r o p e a nd m ag r i d 的 v o m s t 妒! 系统，还有p e r m i s t 4 0 1 系统。根掘所天注的问题的不同，每一个系统都各自对 授权问题进行了建模。 1 4 1p r i m a 系统 p r i m a 系统提供了一种机制，这种机制关注于细粒度访问控制的管理和实施。这种 方法采用属性证书把权限绑定到用户( 或他们的代理) ，并且支持对细粒度权限的高层 管理。p r i m a 通过p o s i x 操作系统扩展提供访问控制的实施，这种扩展推广了标准的 文件许可权限并且使用访问控制列表束规范资源的使用。这些扩展完全支持流行的平台 和遗留服务。 艰卜e v p 争。聍1 n ：k ；一n 援k 1j 山f ，：| j 叮天钳f u j 题研究 1 4 2p e r m i s 系统 作为另一种方案，p e r m i s 系统同时关心认证和授权它使用身份证书和属性证书 来表现用户易变和不易变化的模式虽然系统是使用x m l 和j a v a 技术来实现，但访问 控制a p i 以及分配权限的机制在当前是自定义的实现。另外，按照拉( p u l l ) 模式来搜 集属性、用x 5 0 9 属性证书标准负载属性值表明了不必跨越异质环境的假设。 1 4 2 社区授权服务 社区授权服务( c a s ) 使用g l o b u s 的g s i ，允诈资源提供者把社区作为一个整体来 指定粗粒度的访问控制策略。资源管理者把细粒度的访问控制策略管理代理给社区本身 来完成因此资源提供者维护了对资源的最终权威而同时又节省了日复一日的策略维护 负担c a s 要求每一个社区成员在使用社区权限访问资源的时候都使用社区的凭证来做 认证另外，虽然管理职能被合理分配给社区和资源管理员，但对资源的知识、用户身 份、社区访问权限和组成员关系必须在授权发生之前建立。 1 5 安全技术发展趋势 过去的几代网格安全技术都或多或少直接构建在知名的身份管理( i d e n t i t y m a n a g e m e n t ) 和访问控制( a c c e s sc o n t r 0 1 ) 等技术的基础之上，其中值得一提的便是基 于公钥基础设施( p u b l i ck e yi n f r a s t r u c t u r e ) 的安全工具。 现在，新的网格安全技术不断出现，并丌始解决应用程序和基础设施的安全性问题， 其中包括对应用程序的保护和节点到节点的通信。在取得其他进展的同时，出现了一些 将k e r b e r o s 安全性与p k i x 5 0 9 机制相结合的网格安全技术，可以使网络节点之日j 的 对等连接变得安全，从而更好地保护网格用户及应用程序免遭恶意或拙劣代码的侵害。 1 1g l o b u st o o l k i t l 5 i g l o b u st o o l k i t 足一组用于构建列格的组件，应用十分广泛，其中包含一种最流行 的网格计算安全机制。 这个工具集由g l o b u sp r o j e c t 丌发，它通过其中的网格安全基础设旌( g r i ds e c u r i t y i n f r a s t r u c t u r e ，g s i ) ，提供认证、授权和安全通信。g s i 通过使用公钥密码系统，特别足 公钥私钥和x 5 0 9 证书，为创建安全网格提供了基础。 x 5 0 9 也许是应用最为广泛的数字证书定义标准，企业i t 管理人员对它都十分熟 悉，并且也具备支持它的基础设施。与此同时，这种标准相当灵活，可以很巧妙地在网 格中使用。 g s l 的主要目标是：为多个网格系统和应用程序提供单点登录；提供可以在多个组 织之间使用，而不要求集中管理授权的安全技术；以及在同一网格中的多个不同元素之 问提供安全的通信机制。 6 赫辛i 二 g s i 认证 g s i 基于用户的私钥创建时廿j 戳代理，从而为用户提供了一种安全认证的方法用 户如果没有创建这个代理，就不能提交作业，也不能传输数据这个代理一经创建，就 可以用于授权或者拒绝对整个网格内所有资源的访问因为这个代理可以在整个系统中 使用，这就使得最终用户可以只登录一次。 另外一种认证方法是使用具有g s i 功能的o p e n s s h ，其中也使用了相同的认证机 制但是这种方法就是在g l o b u st o o l k i t 核心功能之外实现的了 + g s i 授权 g s i 处理用户授权的方法是将用户映射为所访问系统的本地用户。在启用了g s i 的网格中。接收请求的系统从代理中读取用户的名字，然后根据一个本地文件将这个名 字映射为本地用户名。 为了避免在不同的网格系统中创建很多额外的用户m 。管理员可以将用户划分为 虚拟的组某个特定域下面的所有用户在访问某项特定的网格资源时。都可以映射到一 个公用的用户i d 上g s i 的这种设计方式有助于管理员将运行网格计纂的外部用户和 需要本地管理与支持的本地用户区分丌来。 g s i 安全通信 缺省条件下，g s i 用数字证书进行相互认证，并通过s s i t l s 实现对数掘的加密， 以保证通信的安全。g l o b u st o o l k i t 中包含o p e n s s l ，用于在网格客户机和服务器之间 创建加密的管道。 如果某些用户不具备到网格客户机和服务器的物理连接，而要实现对网格的安全远 程访问，那么g l o b u s 建议使用具有g s i 功能的o p e n s s h 。安全s h e l l ( s e c u r es h e l l ， s s h ) 可以在用户的客户机和网格服务器之问建立加密的会话。 2 1 与k e r b e r o s 集成 前面大致介绍了一下g l o b u s 中使用的方法，这种方法已经足够成为开展网格应用 的，轻实基础，特别是对于会融服务以及医药行业而苦更是如此。 然而，毕竟还足有一些组织被排斥在外。比如说，g s i 并不与k e r b e r o s 认证机制 直接兼容，而后者的应用十分广泛且与已有的x 5 0 9 机制有很大区别。 现在出现了一种网格安全技术，试图通过将k e r b e r o s 基础设施与x 5 0 9 证书相融 合来回避这一问题。荚国密歇根大学丌发的k x 5 0 9 ，其设计目标就是在k e r b e r o s 和 p 之间架起一座桥梁。 k x 5 0 9 是一种“k e r b e r o s 化“的客户端程序，它用现有的k e r b e r o s 票掘获取x 5 0 9 证书合法登录到k e r b e r o s 领域、k e r b e r o s 客户机软件及进入k e r b e r o s 认证机构 ( k e r b e r o sc e r t i f i c a t e a u t h o r i t y ) 服务器系统的用户可以参与 通常情况下，用户要使用g l o b u s 工具，就必须通过使用长期x 5 0 9 证书的机器 肚卜e v p 资打牛：懂0 援仪o j 访扣埘走钍r u j 题研究 的认证。长期x 5 0 9 证书用于生成短期代理，然后这个代理将用于网格中的认证这 个代理在预先设胃的时问期限之后就会过期。 k x 5 0 9 就其自身来说，可以用束代替永久性的长期证书。k x 5 0 9 通过用用户已 经拥有的k e r b e r o s 票掘创建x 5 0 9 凭证( 包括证书与私钥) 味做到这一点。然后，用 这些凭证生成g l o b u s 代理证书。运行g l o b u s 软件的系统( 标准g l o b u s 客户机或 c o n d o r - g ) 可以设置成识别k x 5 0 9 证书，就好像它是标准的x 5 0 9 事务一样。 k x 5 0 9 生成的证书和私钥通常与k e r b e r o s 凭证存储在同一个缓冲区中。n e t s c a p e 或i n t e r a c te x p l o r e r 随后会加载p k s c ll 库，以确保所有w e b 活动的安全 不过，k x 5 0 9 并不是完全自动的。对于想利用x k 5 0 9 凭证的用户而言，目标机 器的管理员必须特别指明可以接受k x 5 0 9 凭证 管理员还必须修改客户机系统中的一些文件，为运行k x 5 0 9 的可执行文件，必须 设置若干环境变量。可能会要求用户在他们个人的初始化文件中放入所需的脚本，或者 由管理员在系统级的启动文件中放入一些脚本 3 ) s h a r p ：安全资源共享1 4 2 i 目前还出现了另外一组网格安全技术，致力于安全的网格资源管理，以便帮助使用 网格的公司更高效地共享系统。 在这方面有一个例子，即所谓的s h a r p 研究项目( s e c u r eh i i g h l ya v a i l a b l er e s o u r c e p e e r i n g ，安全高可用资源直连) ，这是杜克大学开发的一个项目，目标是为共享网格资 源和委托授权使用这些资源定义新的方法。 s h a r p 提出了一种新的网格安全基础设施，称为“策略服务器( p o l i c ys e r v e r ) ”， 负责控制用户访问网格资源的时问、地点、以及范围。这些策略服务器给用户一个票掘， 用于向资源的所有者证明这台经过授权的服务器已经给予他访问权限。 我们过去使用的安全方法直足在资源孤岛的周围创建一个边界，但是那样的方法 不适合网格。其中一点就是，它没有提供控制资源的方式。新的模型为全世界的用户创 建了一种流体结构，可以将控制什么人访问什么资源的策略广泛分钿在其中。 s h a r p 有一项蓖要特性，可以不创建集中的认证机构来管理对资源的请求，就能 实现安全共享。s h a r p 网格内的有效主站通过获取“卢明( c l a i m ) ”来控制对网格资源 的共享；不同的主站可以像i s p 在路由时交换网络带宽那样相互交换声明。 在s h a r p 模型内部，每一个站点都作为一个中央认证机构来验证密钥、签名、以 及检测对其本地资源的声明冲突。声明经过密码签名，可以保证不可更改性、不可否认 性，并能够由第三方机构进行验证。 声明一旦建立，就可以通过“代理( a g e n t ) ”对其进行管理。所谓代理，足一些可插 入的模块，能够对声明进行细分，并将其分配给相应的客户机。设计这些代理能够使对 资源声明的处理更加高效。 为了避免过度使用系统资源。返些声明被设置了时l 日j 限制，在某段特定期限之后就 会过期，因此如果声明持有者没有进行操作，系统就可以将资源恢复。 在某些情形下，代理可能会给资源超额分配额外的声明，这样即便某些声明不能成 功使用资源或是超时，也可以保证资源池被充分利用。 这些技术的最终目标是实现按需计算。尽管网格技术对于研究者而言十分重要， s h a r p 的开发人员关注的焦点却是有效的计算。目前，网格被看作是实现这一目标的 一种手段 4 ) 构建沙盒 另外类发展中的网格安全技术足用来帮助公司保护网格免受恶意代码、病毒以及 其他基于网格基础设施之上的有意无意的攻击、 一 其中一个例子来自位于得克萨斯州奥斯汀的商业网格计算公司u n i t e dd e v i c e s l 4 ”。 u n i t e dd e v i c e s 跟商业网格计算领域内的其他公司一样，一直致力于创建安全的共享环 境。不仅能保护用户设备不受网格代理的干扰，而且能保护网格设备不受用户应用程序 的干扰。其中的思想是保证用户和网格应用程序都只能访问一组适当的系统资源。 u d 的技术与一些类似公司的技术相同，都是将运行在最终用户环境上的网格应用 程序放到一个“沙盒( s a n db o x ) ”中。这个沙盒是一个受保护的代码包装器，遍布于整 个网格应用程序环境，并捕获所有的调用。沙盒的功能通常是网格代理的一部分，这个 代理也位于用户的机器上。 沙盒设计用丁二保证只有安全的调用j 能在主机，用户环境中执行。在u d 的安全模型 中，。网格系统截获每一个文件系统调用，并在沙盒中对其进行检验，如果该调用是不允 许执行的，那么网格安全系统就不让其继续执行。这样就保护了网格用户不会受到恶意 代码或应用程序中的拙劣代码的攻击。 如果有什么人向网格中插入了一个恶意程序，并企图访问用户的p c ，那么沙盒会 阻止它。比如说，在w i n d o w s 环境中，您可能不希望外来应用程序对注册表进行修改， 因此您不会让这样的调用走出沙盒。 u d 。一直与m i c r o s o f t 进行合作，即在沙盒中使用增强版本的w i n d o w s 系统调用， 以确保微软的技术能与他们的网格协调工作。他们也针对n e t 平台进行了微调。如果 使用的是n e t 环境，可以通过n e t 运行库中的大量控件来捕获不希望从网格应用程序 中执行的功能。 u d 还采取了一些措施来保护网格应用程序中使用的数据。该技术在这一方面的设 计目标是保证网格应用程序的用户不能在数掂返回网格中央服务器之前查看或者修改 网格数据。 u d 使用了一组标准的数掘保护技术，如在数据写出到磁盘上之后进行加密，以及 用基于p k i 的认证束保证对方的数掘交换系统使用用于数字签名与认证的p k i 和 i l 卜e v p 舞只- t n j 髓：的拦议j 曲m r q ；t , c t g f , , l 题研究 x 5 0 9 证书时网格川户和应用程j 卜进行验证。 作为u d 系统安装过程的一部分，用户可以用他们自己已有的密钥组为所有的网格 应用程序创建一个签名。当代理启动时，会与中央服务通信，并请求工作在这个过程 中，代理会被认证，以证明它是网格中的合法组成部分。然后，用户的系统就通过检查 数字签名，判断网格应用程序的町信性 5 ) 未来发展方向 前齑的概要介绍表明，网格安全性的研究正开始解决企业i t 经理所关注的可操作性 和策略问题。然而下一步，网格安全工作应该趁它依然是主流社团开发中的前沿技术时， 迅速转向技术方面。 比如说，在最近几个月中，g l o b u sg r i df o r u m 已经开始在基于网格的w e b 服务环 境中尝试安全技术。与g g f 合作的是丌放网格服务架构( o p e ng r i ds e r v i c e s a r c h i t e c t u r e ， o g s a ) ，意在结合网格和w e b 服务的概念与技术，提出一种网格服务架构。 o g s a 安全工作组的成员计划利用由i b m 、微软和v e r i s i g ni n e 支持的w s - s e c u r i t y 标准。来实现o g s a 安全性。w s s e c u r i t y 除了其他特性之外，还提供针对s o a p 消息 的安全性增强机制，以及对x 5 0 9 证书与k e r b e r o s 票据进行编码的方法。 虽然o g s a 安全工作组的工作仍然处于早期阶段，其最终工作产品还是能为网格在 企业界的逐渐发展与广泛接受作出一定的贞献。随着w e b 服务等关键技术安全地启用 网格技术，网格技术应该很快就能成为任意企业网络策略的核心。 1 4 论文的组织 论文总体结构如f ： 第r 章是网格概述，介绍了网格的定义、特征和发展。概述了国内外网格领域研究 的现状，重点介绍了中国科学院计算技术研究所主持研发的织女星网格计划。 第二章介绍网格系统软件的体系结构和总体设计方案。提出网格系统软件面i 临的主 要问题，并针对这些l u 】题介绍了g o s 2 中使用的虚拟化和面向服务的技术。提出网格社 区的解决方案。 第三章介绍网格社区关键模块的设计。重点放在将s o a 和虚拟化原则应用丁二织女 星网格系统软件的设计方案。 第四章是社区服务关键模块u m s 和r m s 的具体实现，包括详细设计和实现要点。 第五章足社区服务关键模块的评测。本章提出了测试网格社区的评测标准，设计并 实施了实验方案。之后对试验数据进行数理分析，找n - f 当前版本社区服务关键模块的 性能瓶颈，提出了改进方案。 第六章总结本文的贡献和下一步工作计划。 o 第二章织女星网格系统软件体系结构及关键问题 2 1 网格系统软件的地位和组织形式 网格是构筑在i n t e r n e t 及i n t e r n e t 计算技术之上的，但网格并不仅仅意味着i n t e m e t 和w e b 技术。如前文所述，以用户的角度看网格，这个网格是一台虚拟的超级计算机： 网格软件相比其他网络应用，更强调体系结构上的全局统一。它应该具备将散乱的资源 有序的组织起来，易于最终用户和开发用户使用这些资源的能力。矗 织女星网格借鉴了传统计算机系统的构造方式。如图2 1 所示，织女星网格系统由 网格资源，网格系统软件、网格使用环境和网格应用这四层结构组成。网格系统软件与 计算机操作系统的地位是类似的，在网格中也是不可或缺的重要组成部分网格系统软 件可以将全网格环境中无序的、不稳定的、不可靠的网格资源组织为有序的、稳定的、 可靠的有效资源虚拟资源( 见网格系统软件关键技术) ，为网格应用和最终用户提供统 一可靠的资源视图；同时管理网格用户，实现单一节点登录，并根据一定的授权和访问 控制策略实现资源使用的安全和q o s 。 网格系统软件组织并管理表现形式为服务的网格资源，通过单一系统映像的访问接 口，为网格使用环境及网格应用提供了简单、友好的访问网格资源的界面。 、。 一一 图2 1 织女星网格系统与传统计算机系统的层次结构对比 2 2 网格系统软件面临的关键问题 2 2 1 网格资源 传统计算机操作系统对硬件资源进行了很好的分类。如u n i x 操作系统中，不同的 赫一审织t ：1 1 堵彖锰j f l - 体彖铝构殷天l i m 也 硬件通过不的驱动程序门为曲种设备即字符设备和块设备，它们均以文件的形式存 在，通过统一的文件语义和访| d 】控制语义使得访问计算机资源的方式得到统一。在织女 星网格中，网格系统软件要能够管理网格资源；同时，相当于计算机硬件的网格资源需 要统一接口，以及有效组织和访问控制。在网格系统软件设计过程中，需要解决网格资 源方面的问题。 ，网格资源表现形式 因为织女星网格是分布式体系结构的系统，这就要求网格资源须具备网络接口而 且，网格资源必须要有统一的表现形式。这样才能保证对网格资源的统一描述，统一管 理以及统一访问，降低网格系统软件的设计与开发复杂度现存的i n t e r n e t 应用对资源 没有明确的定义。 网格资源管理与定位 ， 即使是具有相同功能的两个网格资源，其访问接口也可能因开发者不同而完全不 同，因此其种类和数量是无限的。网格系统软件要想有效管理这些网格资源，关键须解 决网格资源在网格系统软件中的命名和描述问题。此外，网格系统软件向上提供网格资 源的高级抽象功能，避免直接对无限的网格资源直接访问，这需要网格系统软件内部解 决无限的网格资源的有限组织问题。 2 2 2 网格用户 ， 面对网格中无限的网格资源，网恪要解决用户的单一登录问题。这就涉及网格用户 的全局命名及身份标识，以及网格用户组织与管理，网格用户身份在本地计算机上的映 射问题。 2 2 3 网格安全 网格从体系结构和访问协议柬说都是一个丌放系统，安全性问题对丌放系统尤为重 要。在网格计算环境中，通信安全性问题町以采用消息签名加密方法解决。t 要的安全 性问题分为认证和访问控制两个方面： 认证 用户或应用端与网格资源端需要双向认证机制，保证用户或应用和网格资源身份上 的正确性，刚格系统软件要能够支持这种双向认证机制。 访问控制 网格资源的自治性决定了只有网格资源有最终的访问控制决定权。 2 3 织女星网格的社区原理及在g o s 2 中的应用 7 织女星网格的社区原理为：“通过用户与资源组成的社区，提升表示抽象，降低知 块卜e v p 资所审i “】较掣以墨k j 山t - j n ，：天付i u l 恐研究 识结构需求变免界为有界、变正序为仃序，利用上下文，实现放大效应，从而e m p o w e r u s e r 。”p l 社区原理是解决网格开