（计算机系统结构专业论文）存储虚拟化系统安全设计和实现.pdf

华中科技大学硕士学位论文 摘要 随着电子信息技术迅猛发展，信息存储逐渐成为计算机科学技术研究的重要 领域。存储虚拟化系统是指通过将具体的物理存储设备和服务器操作系统相分 离，在广域网范围内将零散分布的存储资源进行整合，构造统一的逻辑存储视图， 为用户提供大容量、高性能和高可用的存储服务。 在国家高技术研究发展8 6 3 计划的资助下，集群和网格计算湖北省重点实验 室承担了存储虚拟化及其文件系统的研究，并成功的自主研发出广域分布式存储 虚拟化系统g d s s ( g l o b a ld i s t r i b u t e ds t o r a g es y s t e m ) ，该系统是将分布在互联 网上的各种存储资源整合成具有统一逻辑视图的高性能存储系统。 数据的安全性问题是存储虚拟化系统所面临的关键问题之。在传统的附属 于某个主机的存储模式，如d a s ( d i r e c ta t t a c h e ds t o r a g e ) 和r a i d ( r e d u n d a n t a r r a yo f i n d e p e n d e n td i s k ) 等存储结构中，数据专属于某个主机，因此数据的安 全性可以保障。但是现在的存储网络模式，在带来高性能、高可用性等优点的同 时，也由于大量数据在广域网上传输，一定程度上降低了系统的安全性。因此在 广域网范围内对存储虚拟化系统的安全进行研究和设计有着相当重要的意义。 如何保证数据的安全访问是存储虚拟化系统安全设计所要解决的核心问题。 存储虚拟化系统安全设计所要解决的主要问题是身份认证、访问控制和安全通 信，而核心的问题就是分布式系统中的身份认证问题，可以说解决身份认证问题 是实现访问控制和安全通信的最基本的前提和保证。 本文通过分析传统分布式安全机制的不足，结合通用p i g 系统中的层次c a 模型和网状c a 模型，提出了一种新的认证中心结构t 3 d s s p i g 。该结构是适合 于广域存储虚拟化系统应用的扩展p i g 系统，具有以下的优点是：在整个p i g 系统内划分自治域，各个自治域都有相对独立的根c a 作为本域的单一信任点， 从而避免了层次结构p k i 模型的全系统单一信任点的不足；仅仅采用各个自治域 的根c a 作为网状p k i 结构中的节点，大大减少了网状p k i 结构中的节点数目， 降低了跨域证书路径处理的复杂性。同时，在g d s s p i g 结构的实现中，引入了 跨域信任证书和相应的跨域信任证书路径构造算法，解决了双向网状信任关系的 证书路径扩展和发现过于复杂的问题。 关键字：安全认证，访问控制，广域存储虚拟化系统，公钥基础设施认证中心 华中科技大学硕士学位论文 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to f e l e c t r o n i c sa n di n f o r m a t i o n t e c h n o l o g y , n o w a d a y s ， i n f o r m a t i o ns t o r a g ei sb e c o m i n ga n i m p o r t a n tf i e l do fc o m p u t e rt e c h n o l o g yg r a d u a l l y t h eg l o b a ld i s t r i b u t e ds t o r a g es y s t e m ( g d s s ) i sas y s t e mw h i c hi n t e g r a t e sa l lt h e s c a t t e r e da n dd i s t r i b u t e ds t o r a g er e s o u r c e si n t ou n i f i e dl o g i c a ls t o r a g e v i e w , p r o v i d i n g l a r g ev o l u m e ，h i g hp e r f o r m a n c ea n dh i g ha v a i l a b i l i t ys t o r a g e s e r v i c e u n d e rt h es u p p o r to fn a t i o n a lh i g h - t e c hr e s e a r c ha n dd e v e l o p m e n tp l a n ，t h e c l u s t e ra n dg r i dc o m p u t i n gk e yl a b o r a t o r yh a st a k e no nt h er e s e a r c hw o r ka b o u tt h e v i r t u a l s t o r a g e a n di t sf i l e s y s t e m t h r o u g h2y e a r s 。h a r dw o r k ，w es u c c e s s f u l l y d e v e l o pt h eg l o b a l d i s t r i b u t e ds t o r a g es y s t e mv e r s i o n1 0 t h i s s y s t e mi s ah i g h p e r f o r m a n c es t o r a g es y s t e mw h i c hi n t e g r a t e sa l lt h es c a t t e r e da n dd i s t r i b u t e ds t o r a g e r e s o u r c e si ni n t e m e ti n t ou n i f i e dl o g i c a ls t o r a g ev i e w d a t a s e c u r i t yi so n eo f t h ek e yq u e s t i o n st ob es o l v e db yg d s s i n t h et r a d i t i o n a l s t o r a g em o d e ，s u c ha sd a s ( d i r e c ta t t a c h e ds t o r a g e ) ，r a i d ( r e d u n d a n ta r r a yo f i n d e p e n d e n td i s k ) s t o r a g es y s t e m ，d a t ab e l o n g t oac e r t a i nh o s t ，s od a t as e c u r i t yc a n b eg u a r a n t e e d b u ti nt h em o d e m s t o r a g e n e t w o r k p a t t e r n w i 廿lt h ea d v a n t a g e so fh i g h p e r f o r m a n c e ，h i g ha v a i l a b i l i t ya n ds oo n ，t h es e c u r i t yo f s t o r a g es y s t e mi sa l s od e s c e n t i nac e r t a i ne x t e n t t h e r e f o r e ，i ti sg r e a ts i g n i f i c a n tt or e s e a r c ha n dd e s i g nt h es e c u r e i n f r a s t r u c t u r eo fg d s s d u r i n g g d s s d e s i g n ，i d e n t i t y a u t h e n t i c a t i o n ，a c c e s s c o n t r o la n ds e c u r e c o m m u n i c a t i o na r et h r e ek e yi s s u e s ，t h em o s tf u n d a m e n t a li s s u eo fw h i c hi si d e n t i t y a u t h e n t i c a t i o n h o wt os o l v e i d e n t i t y a u t h e n t i c a t i o ni sb a s i c p r e c o n d i t i o n a n d g u a r a n t e eo f a c c e s s c o n t r o la n ds e c u l ec o m m u n i c a t i o ni s s u e s g d s s p k is y s t e mi sae x t e n dp i gm o d e lw h i c hc o m b i n e st h eh i e r a r c h i c a lc a s t r u c t u r ea n dt h em e s h yc as t m c a t r e i ti ss u i t a b l et ot h eg l o b a ld i s t r i b u t e ds t o r a g e s y s t e m t h ea d v a n t a g eo f g d s s p k is t r u c t u r ei st od i v i d eal o to f a u t o n o m yd o m a i n s i n s i d ep k i s y s t e m ，a n de a c ha u t o n o m y d o m a i nt r e a t si t so w n i n d e p e n d e n t r o o tc a a s t h es i n g l et r u s t i n ga n c h o r s oi ta v o i d st h es i n g l er o o tc a p r o b l e m sh o l db yt h e h i e r a r c h i c a lc as t r u c t u r ea n dt h es i n g l ec a s t r u c t u r e o n l ya d o ) p t i n gr o o tc a i n s i d e e a c h a u t o n o m yd o m a i n a sn o d e si n m e s h yp k i s t r u c t u r e g r e a t l y r e d u c e st h e c o m p l i c a t i o no fc r o s s d o m a i nc e r t i f i c a t er o u t e ，a tt h es 龇w l et i m e ，w ei n t r o d u c et h e c r o s s d o m a i nc e r t i f i c a t ea n di t s c o r r e s p o n d i n gc e r t i f i c a t er o u t i n ga l g o r i t h mt o s o l v e i l 华中科技大学硕士学位论文 t h e p r o b l e m so fc o m p l i c a t e ds c a l a b i l i t ya n d t h ed i f f i c u l t i e st of i n df o rt h o s ec e r t i f i c a t e r o u t e si nb i d i r e c t i o n a lm e s h yt r u s tr e l a t i o n s h i p sc o n d i t i o n k e y w o r d s ：s e c u r ea u t h e n t i c a t i o n ，a c c e s sc o n t r o l ，o d s s ，p k i c a i i i 华中科技大学硕士学位论文 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的 研究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他个 人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体， 均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名：警一i 疑 日期：砂弘年弓月罗目 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和 借阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密口，在年解密后适用本授权书。 本论文属于 不保密口。 ( 请在以上方框内打“4 ”) 学位论文作者签名：_ 黉辑 日期：二柙尹年乡月了日 指导教师签 日期：玉叫 华中科技大学硕士学位论丈 1 1 课题背景 1绪论 当今社会，信息正以超乎人们想象的速度增长，这对信息存储系统的容量和 速度提出了空前的要求，由此引发的各种问题也随之而来。人们对信息数据目益 广泛的需求导致存储系统的规模变得越来越庞大，管理越来越复杂，信息资源的 爆炸性增长和管理能力的相对不足之间的矛盾日益尖锐。同时，这种信息资源的 高速增长也对存储系统的可靠性和扩展性提出了挑战，信息资源的共享也显得越 来越重要。 在广域网中存在大量相互独立的数据孤岛，它们之间的数据资源不能共享， 存储空间不能得到有效使用，数据的传输性能不足。存储虚拟化是指将用户看到 的存储资源同具体的物理存储设备分隔开来，为存储用户提供统一的虚拟存储 池。它是具体存储设备或存储系统的抽象，展示给用户一个逻辑视图，同时将应 用程序和用户所需要的数据存储操作和具体的存储控制分离。存储虚拟化的任务 首先是在多个物理存储设备或存储系统上创建一个抽象层，屏蔽复杂性，简化管 理；其次是对存储资源进行优化。 据统计，在企业网、局域网内部采用分布式存储技术的企业，其存储服务器、 磁盘阵列甚至p c 的存储空间利用率一般只达到5 0 ，很多设备甚至还达不到， 用户投资被大量浪费。由于文件服务器系统缺乏对并行i o 的支持，在大量用户 访问或遭到恶意访问攻击时，系统将很快达到饱和而无法完成服务。通过存储虚 拟化技术，不仅可以简化异构存储管理的复杂性，更可以高效充分地利用存储空 间。通过在互连网络环境中引入分布式r a i d ( r e d u n d a n ta r r a yo fi n e x p e n s i v e d i s k s ) 功能，能够实现数据有效备份和容灾，提高信息的安全可靠性。通过将 三级存储设备虚拟为二级存储，可以为用户提供快速海量存储。 广域网的虚拟化存储管理方式将地理上分布的各种高性能存储系统集成为 一体，形成庞大的分布存储空间，充分实现资源共享，提高资源利用率，有效解 决存储数据的爆炸性增长和存储管理能力相对不足之间的矛盾。 在国家高技术研究发展8 6 3 项目“存储虚拟化及其文件系统研究”的资助下， 对存储虚拟化及其相关技术进行了深入研究。经过两年的探索、研究和开发，本 项目组成功研制了虚拟化存储系统g d s s ( g l o b a ld i s t r i b u t e ds t o r a g es y s t e m ) 。 如何保证数据的安全访问既是存储虚拟化所面临的关键问题之一，也是本论 华中科技大学硕士学位论文 文集中探讨的问题。存储虚拟化系统安全设计所要解决的主要问题是身份认证、 访问控制和安全通信，而核心的问题就是分布式系统中的身份认证问题【1 ，可以 说解决身份认证问题是实现访问控制和安全通信的最基本的前提和保证。存储虚 拟化系统的安全设计采用了访问控制和安全认证相结合的方式保证数据的安全。 g d s s 安全架构综合考虑k e r b e r o s 私钥认证方式和p k i 公钥认证方式两者的特 点，并将其有效结合，提供了一种能够适应广域网环境下身份认证和授权访问要 求的系统的安全认证架构g d s s p k i 。g d s s p k i 采用公钥基础设旅p k i ( p u b l i c k e yi n f r a s t r u c t u r e ) 2 1 的方法，用户身份采用基于i t u 定义的x 。5 0 9 的公钥证书【3 l 4 】 来区分，身份认证方式采用c a ( c e r t i f i c a t e a u t h o r i t y ) 认证模式。在访问控制方 面，系统采用基于票据对和访问控制列表相结合的策略，具有可靠性、安全性和 灵活机动性。 1 2 广域存储虚拟化及其文件系统介绍 虚拟化存储系统g d s s 将分布在互联网上的各种存储资源整合成具有统一 逻辑视图的商性能存储系统，它主要包括存储服务点s s p ( s t o r a g es e r v i c ep o i n t ) 、 全局命名服务器g n s ( g l o b a l n a m e s e r v e r ) 、资源管理器r m ( r e s o u r c em a n a g e r ) 、 认证中心c a ( c e r t i f i c a t ea u t h o r i t y ) 、客户端、存储代理s a ( s t o r a g ea g e n t ) 及可 视化管理。 s s p 是整个系统的入口，对系统所有模块的访问都通过s s p ，它主要提供 f t p 接口、c a 接口、r m 接口和g n s 接口；在整个系统中s s p 不是唯一的，系 统可以根据需要动态增加，s s p 实现了传统方案中命名服务器的部分功能，减轻 了g n s 的负载，提高了系统的可扩展性。 g n s 负责系统的元数据管理，主要包括元数据操作接口、元数据容错系统、 元数据搜索系统。r m 主要负责资源的申请和调度，同时提供透明的副本策略， 主要包括资源调度器和副本管理模块。副本技术和副本机制减少了访问延迟和带 宽消耗。通过创建同一数据的多个副本，副本机制有助于改善负载平衡和可靠性。 尤其是动态副本机制，即自动的选择存储点进行副本创建、删除和管理，并根据 用户的特征而自动变化副本策略，给用户提供了更高的灵活性。 客户端目前支持通用f t p 客户端、文件访问接口和特制客户端。用户通过 系统提供的特制客户端，不但能够进行用户组操作，具有搜索和共享等功能，还 可以获得更高性能的服务。c a 包含证书管理系统，主要负责系统的安全性和数 据的访问控制，同时它记录了用户的注册信息。 s a 屏蔽了存储资源的多样性，为系统提供统一存储访问接口，同时提供了 华中科技大学硕士学位论文 文件操作方式和扩展的f t p 操作方式，另外它对文件复制管理操作提供支持， 为高效传输提供服务。同时s a 这一级实现了局域存储资源的虚拟化，包括了统 一s a n 和n a s ，分布式的磁盘虚拟化、磁带库虚拟化和s a n 内部共享管理等。 广域网的存储虚拟化系统结构如图1 1 所示。s s p 是整个存储服务的核心构 件，它为用户提供存储服务的统一接臼和单一存储映像。s s p 与c a 和g n s 的 交互操作为广域存储服务提供必要的权限控制信息和数据分布信息。s a 是具体 存储系统的逻辑抽象，它屏蔽了本地存储系统的具体特性，为其提供了参与广域 存储服务的接口，并且执行和调度本地存储任务。 图1 1 所示的系统结构基本工作流程如下：( 1 ) 用户向s s p 发出存储请求； ( 2 ) s s p 向c a 提供用户的身份信息和服务请求信息，c a 根据访问权限控制机 制向s s p 反馈是否接受用户请求以及用户的访问权限；( 3 ) 认证通过后，s s p 将用户服务请求交给g n s 解析，通过g n s 返回的信息得到相应的存储任务：( 4 ) s s p 将存储任务发给能够满足用户请求的最合适的s a ，并将相关服务信息反馈 给用户；( 5 ) 用户与s a 建立连接，在s a 的控制下进行直接数据传输。 权限认证服务 d i ? 孓 c a h c 琶苎壁墨穿i 圈 蒜 俞o t 全局命名服务 矗神 童 g n $ ) _ “g n $ + 控制】丘垣 - - - - 卜数据通道 回$ t o r a g e s e r v i c ep o i n t c e r t i f i c a t e a u t h 。r i t y g 1 0 b a l n a m e s e r v e r 田s t o r a g e a g e n t j r 厂i r j f 存储代理 否否否 图1 i 存储虚拟化系统整体结构图 这种高性能存储系统从三个方面保证了虚拟化存储方式。首先，s s p 的用户 接口为存储用户提供了单一存储映像，对存储用户而言，s s p 将广域存储资源虚 拟为一个逻辑存储池供其方便使用：其次，s a 对广域存储服务屏蔽了本地存储 系统的具体特性，保证了虚拟化存储能够适应异构存储环境；最后，g n s 保证 了逻辑存储池到具体物理存储系统的对应关系，提供了虚拟化存储系统的内部实 现机制。 s s p 的缓存管理模块和s a 相互协作，为整个系统提供广域数据缓存服务。 华中科技大学硕士学位论文 通过s a 纪录的存储数据访问频率，方面s s p 根据g n s 中的全局数据分布情 况，主动将热点数据复制多个拷贝并传送到没有该数据的s a 上，使用户能够从 较近的s a 获得该数据，减少了系统响应时间，同时也保证了整个系统的负载均 衡；另一方面s s p 将热点数据放置到自身缓存中，以直接满足大量存储用户的 服务请求，避免频繁访问s a ，从而提高系统性能。此外，根据g n s 的信息，s s p 可以很容易地在多个s a 之间进行关键数据的远程备份。通过s s p 和s a 对系统 服务状况的监测，备份时间选择在系统较空闲时期。同时，c a 服务器为整个系 统提供了数据保护和访问权限控制能力。 1 3 国内外安全技术研究现状 1 3 1 概述 目前比较成熟的安全技术主要有网络传输层安全技术、身份认证技术以及应 用于分布式系统的访问控制技术。在网络传输层，其主要代表性的技术有s s l 口j 、 t l s t “、i p s e c 7 】 8 】、防火墙技术。对于数据加密技术而言，目前在网络应用中一 般采取两种加密形式：秘密密钥和公开密钥。身份认证技术可分为两类：有身份 标识的和无身份标识的身份认证。前者主要有两种：p k i 和k e r b e r o s ；后者主要 是帐号密码技术。访问控制技术主要包括：基于角色的访问控制、访问控制列表、 自主访问控制d a c ( d i s c r e t i o n a r ya c c e s sc o n t r 0 1 ) 以及强制访问控制m a c ( m a n d a t o r ya c c e s sc o n t r 0 1 ) 【9 l 等。随着广域分布式环境下各种具体计算应用和 信息处理的需要，对安全也提出了极大的挑战，w e bs e r v i c e s 的安全技术能够较 好地解决异构分布式环境下安全的交互，而网格安全技术研究正是用来解决这种 环境下异构、动态、联合的安全问题。下面将从具体方面进行说明。 1 3 2 安全传输技术 由于分布式网络应用环境必然会对当前大型网络的资源进行整合，如 c e r n e t 、下一代c e 鼢厄t 以及n s f c n e t ，这些大型网络基于的网络传输协议 不一样，采用的安全技术也不一样，下面分别介绍i p v 4 和i p v 6 采用的安全技术。 目前i p v 4 采用的安全技术包括四个方面：信息加密与认证技术，包括对称 密码体制、公开密码体制、数字签名与认证技术、强用户认证；防火墙技术，包 括包过滤技术、应用网关技术、代理服务技术；入侵检测技术i d s ( i n t r u s i o n 华中科技大学硕士学位论文 d e t e c t i o ns y s t e m ) ；s s l s h t t p 等。但i p v 4 安全技术存在以下六个方面的缺陷： 脆弱的认证机制；容易被窃听和监视；假冒合法用户s p o o f i n g ；有缺陷的l a n 服务和相互信任的主机：复杂的设置和控制：数据明文传输等。 随着i n t e m e t 的不断发展，i p v 6 网络将会逐步代替现有i p v 4 网络，i p v 6 的 安全机制 1 0 【l l 】的设计和实现已经提上了日程。由于i p v 4 安全机制是外置的，基 于i p v 4 的互联网非常不安全。i p v 6 协议内置已经标准化的安全机制，支持对企 业网的无缝远程访问。对于从事移动性工作的人员来说，i p v 6 是i p 级企业网存 在的保证。i p v 6 利用数据包头的扩展部分提供路由器级的安全性。i p v 6 中强制 性的安全性包括两方面的内容。一方面，i p v 6 数据包的接收者可以要求发送者 首先利用i p v 6 认证头( 数据包头的扩展部分) 进行“登录”，然后才接收数据包， 这种登录是算法独立的，可以有效地阻止网络“黑客”的攻击。另一方面，也可 以利用i p v 6 的封闭安全头部( 数据包头的扩展部分) 加密数据包，这种加密也 是算法独立的，这意味着可以安全地在i n t e m e t 上传输敏感数据，不用担，心被第 三方截取。 i n t e m e t 工程任务组i e t f 在制订i p v 6 的同时规定了i p 层的安全机制( i p s e c ) ， 并通过i p v 6 来提供这支持能力，而在i p v 4 中i p s e c 只是一个附加组件。i p s e c 能提供的安全服务包括访问控制、无连接的完整性、数据源认证、抗重播( r e p l a y ) 保护、保密性和有限传输流保密性在内的服务。i p s e c 主要包含i p s e c 认证与i p s e c 加密两大部分。i p s e c 认证包头a h ( a u 廿1 e n t i c a t i o nh e a d e r ) 是一个用于提供i p 数据报完整性和认证的机制。其完整性是保证数据报不被无意的或恶意的方式改 变，而认证则验证数据的来源( 识别主机、用户、网络等) 。i p s e c 加密则由封包 安全协议e s p ( e n c a p s u l a t i n gs e c u r i t yp a y l o a d ) 包头提供i p 数据报的完整性和可 信性服务。e s p 协议以两种模式进行工作：隧道( t u n n e l i n g ) 模式和传输 ( t r a n s p o r t ) 模式。在隧道模式中，整个i p 数据报都在e s p 负载中进行封装和 加密。在传输模式中，只有更高层协议帧( t c p 、u d p 、i c m p 等) 被放到加密 后的i p 数据报的e s p 负载部分。 由于目前不可能立刻将i p v 4 网络全部替换为i p v 6 网络，所以存在着i p v 4 与i p v 6 并存的情况，也有一些i p v 4 向i p v 6 演化的技术，主要有双协议栈技术、 隧道技术 1 2 与n a t - p t ( n e t w o r k a d d r e s st r a n s l a t o r - p r o t o c o lt r a n s l a t o r ) 删技术， 这些技术主要考虑的是如何在两种不同的网络中无缝的传输i p v 4 数据与i p v 6 数 据，目前并没有过多的考虑两种体系中安全技术的交互。单从网络层来看，i p v 6 也不是十全十美的。它毕竟同i p v 4 有着极深的渊源。并且，在i p v 6 中还保留着 很多原来i p v 4 中的选项，如分片、t t l 。而这些选项曾经被黑客用来攻击i p v 4 协议或者逃避检测，很难说i p v 6 能够逃避类似的攻击。同时，由于i p v 6 引进了 华中科技大学硕士学位论文 加密和认证，还可能产生新的攻击方式。另外，当前的网络安全体系是基于现行 的i p v 4 协议的，防范黑客的主要工具有防火墙、网络扫描、系统扫描、w e b 安 全保护、入侵检测系统等。i p v 6 的安全机制对他们的冲击可能是巨大的，甚至 是致命的。 对于一些典型的网格系统来说，其安全传输技术主要是基于i p v 4 ，例如： g l o b u s g t 2 ( g l o b u s t o o l k i d s v e r s i o n 2 ) 1 4 - 1 9 1 支持s s l 协议，g t 3 支持w e b s e r v i c e s 的s e c u r e c o n v e r s a t i o n 、x m l e n c r y p t i 0 1 3 和x m l s i g n a t u r e 等。l e g i o n t 2 u j 的安全通信技术也是基于s s l 的，采用一神可供选择的机制，可以选择无安全、 保护、隐私三种模式进行传输。u n i c o r e 2 1 2 2 1 是独立于g l o b u s 的一种网格架 构，它强调各个层面上的安全，u n i c o r e 所有通过外部可靠的网络通信都是基 于s s l 的，在提交任务时，通过用户的私钥加密，防止第三方篡改任务内容。 1 3 3 安全认证技术 安全认证技术可分为两类：有身份标识的身份认证和无身份标识的身份认 证。前者主要有两种：p k i 和k e r b e r o s ；后者主要是帐号密码技术。p k i 是一种 应用于i n t e r n e t 的可以提供身份鉴别、信息加密、防止抵赖的应用方案。p k i 系 统定义了严格的操作协议，严格的信任层次关系。任何向c a 申请数字证书的人 必须经过离线的身份验证，因此其存在扩展问题。并且，由于存在交叉认证等问 题，必须忽略信任策略，因此p k i 本质上仅仅起到身份验证的作用。k e r b e r o s ”“1 是基于k d c 概念和n e e d h a m s c h m e d e r 方法的分布式鉴别服务系统，是大多数 分布式计算环境( d c e ) 的安全服务的基础，可在不安全网络环境中为用户远程 访问提供自动鉴别、数据安全性、完整性及密钥管理服务。 g t 2 的网格安全框架g s i ( g r i d s e c u r i t yi n f r a s t r u c t u r e ) 提供了单一登录、跨 域认证协议以及为网格应用提供了一套底层的a p i ( g s s a p i ) 。具体地说，g t 2 使用统一的用户身份证书以及主机身份证书来进行身份的相互认证，并且使用代 理证书来实现单一登录的功能。g t 3 的认证技术在g t 2 的基础上有了一部分的 改进，主要是代理证书的格式，g t 3 的g s i 库支持的代理证书按g g f 讨论的格 式向后兼容。 l e g i o n1 2 6 是一种基于对象的网格系统，l e g i o n 中也采取了p k i 的模式来实 现安全，在用户登录时，l e g i o n 为用户的s e s s i o n 生成证书。用户访问被管理的 证书要通过一个s e s s i o ni d ( 每个s e s s i o n 有一个s e s s i o ni d ) ，s e s s i o ni d 生成后 是难以被复制的。s e s s i o n 具有时效性，这样可以进一步保证会话的安全。 u n i c o r e 使用x 5 0 9 证书鉴别用户身份与软件组件。u n i c o r e 的网关部 华中科技大学硕士学位论丈 件用来认证通过应用程序和服务器的证书的连接请求。网关可以和防火墙一起协 同工作，只允许合法的u n i c o r e 系统的连接通过。 1 3 4 访问控制技术 访问控制列表( a c l ) 技术通过维护关于主体对客体的权限列表来实现访问 控制，这是最早的访问控制技术，其灵活性和可管理性有很大的局限。自主访问 控制d a c 的主要特征是：主体( s u b j e c t s ) 可以自主地把自己所拥有的客体 ( o b j e c t s ) 的访问权限授予给其它客体，并可以从其它客体收回授予的权限， d a c 允许不经过系统管理员而根据用户的意愿授予或取消权限。强制访问控制 m a c 的主要特征是：“根据对象里面包含信息的敏感性以及正式授权来确定主体 是否能够存取这种敏感性的信息”。m a c 根据客体的敏感级和主体的许可级来限 制主体对客体的访问。m a c 要求当存取数据时除应具有自主访问权限以外，还 要受到强制访问权限的控制。m a c 有着比缺省的d a c 保护更细粒度的保护。 m a c 适合于多级安全控制模型，而d a c 适合于单级安全控制模型。基于角色 的访问控制技术r b a c ( r o l eb a s e d a c c e s sc o n t r 0 1 ) 2 7 - 3 1 1 是一种根据用户在组织 里承担的角色来控制用户访问对象的访问控制机制。r b a c 的中心概念是将对客 体操作的授权同角色相关联，而用户被赋予合适的角色，从而获得相应的授权。 r b a c 极大地简化了权限管理，它直接支持三个安全原则：最小权限，责任分离 和数据抽象【3 2 j 。 下面是网格访问控制方面现有系统的现状： g l o b u s 的g s i 主要作为一个网格身份认证系统，其授权和访问控制功能十 分薄弱。 g t 2 的访问控制功能是通过g r i d - m a p f i l e s 的资源授权来实现的，因此 它实际上采用的是访问控制列表技术，其访问控制的灵活性和粒度都有很大的局 限。 区域授权服务c a s ( c o m m u n i t y a u t h o r i z a t i o ns e r v i c e ) 是在g s i 的基础上扩 充所实现的一种访问控制模式，这是一种基于能力的访问控制模型。解决了群组 中的授权可扩展性、灵活性、策略的层次等问题。在c a s 中，资源的所有者将 访问权限授予群组中的一个全局帐号，c a s 服务器作为群组中所有实体维护授 权信息，用户需要与c a s 服务器交互获得访问能力，然后请求资源时附带自己 的访问能力，资源服务器判断请求的访问能力和本地的授权策略信息来作出访问 决策。 、 l e g i o n 中的访问控制机制是基于访问控$ i j y 0 表实现的，每个对象都具有一个 访问控制列表，对象通过m a y i 层来验证调用请求中的证书的有效性，从而做出 华中科技大学硕士学位论文 访问决策。 p e r m i s l 3 3 1 是种策略驱动的基于角色的特权管理架构，角色信息以x 5 0 9 属 性证书的方式存储在l d a p ( l i g h t w e i g h t d i r e c t o r y a c c e s sp r o t o c 0 1 ) 目录中，授 权策略以及策略信息都以x 5 0 9 证书的方式存储在l d a p 目录中。授权策略以 l 方式表示。p e r m i s 是一个成功的基于r b a c 的访问控制系统，它的主要目 的是为商业应用服务。它基于r b a c 的访问控制框架和标准的策略表达方式可 作为网格访问控制系统的借鉴。 a k e n t i 是一种基于规则的访问控制的实现，其方法是利用证书来实现分布式 的安全。用户条件证书、属性证书、身份证书分别由资源所有者、属性中心、证 书中心签发。对于一个资源访问请求，资源服务器从策略引擎获取决策信息，策 略引擎搜集有关的用户条件证书和属性证书以做出访问决策。a k e n t i 通过三种类 型的证书避免了集中式的访问策略管理。 s e s a m e ( s e c l r ee u r o p e a n s y s t e m f o r a p p l i c a t i o n s i nam u l t i v e n d o r e n v i r o l m a e u t ) 3 4 - 3 6 j 是在基于角色的访问控制的基础上引入了动态的思想，访问 能力和特权( 包括用户与角色的对应关系，以及角色与权限的对应关系) 不仅仅 取决于实体( 用户或角色) 的身份，还取决于它的当前的上下文( 当前时间、位 置、系统资源、网络状态等等) 和状态。s e s a m e 是根据网格的动态特点在基 于角色的访问控制的基础上的一种扩展。 k k e a h e y 等人对g l o b u s 的g r a m ( g l o b u s r e s o u r c ea l l o c a t i o nm a n a g e r ) 做了修改，提出了一种细粒度的网格授权模型。该模型对r s l ( r e s o u r c e s p e c i f i c a t i o nl a n g u a g e ) 语言做了扩充，加入了授权策略部分，并在g r a m 中加 入了策略评估模块。这种方法有其局限性，因为是针对于g l o b u s 的修改，该策 略语言不具有通用性，而且策略的管理极不灵活。 1 3 5w e bs e r v i c e 安全技术 w e bs e r v i c e s 作为异构环境下标准的互操作中间件，其安全技术对解决网络 计算环境的安全问题将起到极大的推动作用。目前已存在一些基于x m l ( e x t e n s i b l em a r k u pl a n g u a g e ) 的安全技术，主要包括x k m s ，s a m l ，x r m l ， x a c m l ，w s r o u t i n g ，w s r e f e r r a l ，x m l e n c r y p t i o n 以及x m l s i g n a t u r e 等。 x k m s 是w 3 c 制定的一项标准，它定义了分发和注册x m l 签名规范所使用的 公共密钥的方法。x a c m l 是用来决定是否允许一个请求使用一项资源，比如它 是否能使用整个文件，多个文件，还是某个文件的一部分。s a m l 出白o a s i s ， 和x a c m l 相对，它处理证书授权的请求响应的消息交换。x r m l 提供了安全 华中科技大学硕士学位论丈 地规定和管理有关任何数字内容和服务版权条件的一个通用性方法。w s r o u t i n g 定义了路由s o a p 消息的机制，通过定义一个方法来说明一个预先设计好的路由 或传输路径，这个路径将从消息源，经过若干中介，最后到达消息的最终接受者。 w s - r e f e r r a l 是与w e b 服务路由协议( w s - r o u t i n g ) 相正交的协议，它提供了如何 配置s o a p 路由器以建立一个消息路径的方法，而w s r o u t i n g 则提供了描述消 息实际路径的机制。x m l e n c r y p t i o n 为需要结构化数据安全交换的应用程序提 供了一种端到端安全性。x m l s i g n a t u r e 和x m l e n c r y p t i o n 紧密相关，与安全认 证签名相似，用于确保x m l 文件内容没有被篡改。 w e bs e r v i c e s 安全模型由初始规范与后续规范组成，初始规范包括消息安全 模型( w s s e c u r i t y ) 、w e b 服务端点策略( w s p o l i c y ) 、信任模型( w s t r u s t ) 和隐私权模型( w s p r i v a c y ) ；后续规范包括安全会话( w s s e c u r e c o n v e r s a t i o n ) 、 联合信任( w s f e d e r a t i o n ) 和授权( w s a u t h o r i z a t i o n ) 。w s s e c u r i t y 用于描述 如何向s o a p 消息附加签名和加密报头。另外，它还描述如何在消息上附加安全 性令牌( 包括二进制安全性令牌，如x 5 0 9 证书和k e r b e r o s 票据) 。w s - p o l i c y 将 描述中介体和端点上的安全性( 和其它业务) 策略的能力和限制( 例如，所需的 安全性令牌、所支持的加密算法和隐私权规则) 。w s t r u s t 将描述使w e b 服务能 够安全地进行互操作的信任模型的框架。w s p r n a c y 描述w e b 服务和请求者如 何声明主题隐私权首选项和组织隐私权实践声明的模型。 w s s e c u r e c o n v e r s a t i o n 描述如何管理和认证各方之间的消息交换，包括安全性上 下文交换以及建立和派生会话密钥。w s f e d e r a t i o n 描述如何管理和代理异类联 合的环境中的信任关系，包括支持联合身份。w s a u t