（计算机应用技术专业论文）网格安全认证机制的研究与实现.pdf

网格安全认证机制的研究与实现李柏丹( 计算机应用技术)指导教师：时念云刘素芹摘要随着网格技术的发展和应用范围的扩大，不同的资源特性和独立的安全策略使得网格的安全方案异常复杂。如何安全的共享分布于不同领域不同平台的网格资源，成为网格安全面临的主要问题。身份认证是实现网格安全的重要机制之一，也是网格应用中的第一道防线，相当于安全系统的门户。目前，网络中的安全认证技术已相当成熟，主要有基于对称密钥的k e r b e r o s 认证机制和基于公钥和x 5 0 9 证书的认证机制。本文着重研究k e r b e r o s 认证机制和g s i 认证机制，实现这两种机制相整合，以达到更好的安全效果。通过分析比较目前广泛应用的几种安全认证机制的安全性，提出了网格安全的特殊需求，基于g l o b u st o o l k i t 4 0 网格平台的安全性分析基础上，借鉴k x 5 0 9 的代理思想，在g l o b u s 环境下提出了一种采用w e b登陆模块构建的网格身份认证模型，为校园网格用户提供透明的证书生成、使用和管理。在用户注册和认证过程中，w e b 登陆模块自动为用户产生数字代理证书，使用户不需拥有自己的数字证书。最后，给出了本文所提出的网格安全认证模型的实现方法和功能演示，包括用户注册和用户登陆、证书生成等功能的实现，并对该模型的安全性做出了客观评价。关键词：网格安全，认证，k e r b e r o s ，k x 5 0 9 ，网格安全基础设旆t h er e s e a r c ha n dr e a l i z a t i o no fg r i ds e c u r i 够a u t h e n t i c a t i o nm e c h a n i s ml ib a i - d a n ( c o m p u t e r a p p l i c a t i o nt e c h n o l o g y )d i r e c t e db ya s s o c i a t ep r o f e s s o rs h in i a n - y u na s s o c i a t ep r o f e s s o rl i us u - q i na b s t r a c tw i t ht h ed e v e l o p m e n ta n dt h ee x p a n d i n go fa p p l y i n gr a n go f 鲥d ，t h eg r i ds e c u r i t ys c h e m eb e c o m ev e r yc o m p l e xb e c a u s eo ft h ep r o p e r t ya n ds e c u r i t yp o l i c yo fd i f f e r e n tr c s o u r c e h o wt os h a r et h e s e 鲥dr c s o u r w h i c hd i s t r i b u t e di nd i f f e r e n ta t e l la n dp l a t f o r m , b e c o m em a i np r o b l e mf a c e db yt h eg r i ds e c u r i t y i d e n t i t ya u t h e n t i c a t i o ni st h ei m p o r t a n tm e c h a n i s mt oi m p l e m e n tt h eg r i ds e c u r i t y i ti st h ef i r s tl i n eo fd e f e n s ef o rt h e 鲥da p p l i c a t i o n , a n di st h eg a t eo f s e c u r i t ys y s t e m i np r e s e n t , t h et e c h n o l o g yo f w e ba u t h e n t i c a t i o nh a v eb e e nf a i r l ym a t u r e ，t h e r em o s t l ya r ck e r b e r o sa u t h e n t i c a t i o nm e c h a n i s mb a s e do ns y m m e t r i c a lk e ya n dt h ea u t h e n t i c a t i o nm e c h a n i s mb a s e d0 1 1p u b l i ck e ya n dx 5 0 9c e r t i f i c a t e t h i sp a p e rw i l lt a k ee m p h a s i s0 1 1t h es t u d yo fk e r b e r o sa n dg s ia u t h e n t i c a t i o nm e c h a n i s m , i n o s c u l a t et h et w ok i n d so f m e c h a n i s mi no r d e rt or e a c ht h ep o i n to f b e t t e rs e c u r i t ye f f e c t w i t ht h ea n a l y s i so fs e v e r a ls e c u r i t ya u t h e n t i c a t i o nm e c h a n i s mc m - r e n ta d o p t e db r o a d l y , g i v et h es p e c i a ln e e do f 鲫s e c u r i t y , o nt h eb a s i so fa n a l y z e dt h es e c u r i t yo fc u r r e n tb r o a d l ya d o p t e da u t h e n t i c a t i o nm e c h a n i s mw h i c hb a s e do ng l o b a st o o l k i t4 0p l a t f o r m , a n di n t e g r a t e dt h en e e d so f 鲥di i id e v e l o p m e n t , r e s e a r c h e dg s ia n dk x 5 0 9i nd i f f e r e n tg r i de n v i r o n m e n t d r a w i n gt h ep r o x yi d e ao fk x 5 0 9 ，g i v eag r i da u t h e n t i c a t i o nm o d e l ，w h i c ha d o p tw e b l o g i nm o d u l ei nt h eg l o b u se n v i r o n m e n t f o rt h ec a m p u sg r i du s e rp r o v i d e st h et r a n s p a r e n tc e r t i f i c a t ec r e a t i o n , e m p l o y m e n ta n dm a n a g e m e n t i l lt h ep r o c e s so fr e g i s t r a t i o na n da u t h e n t i c a t i o n , w e b h i g i na u t o m a t i c a l l yc r e a t ed i g i t a lp r o x yc e r t i f i c a t ef o ru s e r s ，a n du s e r sn e e d n th a v et h e i ro w nd i g i t a lc e r t i f i c a t e f i n a l l y , g i v eo u tt h ei m p l e m e n t a t i o nm e t h o da n df u n c t i o nd e m o n s t r a t eo ft h eg r i ds e c u r i t ya u t h e n t i c a t i o nm o d e ls u g g e s t e db yt h i sp a p e r , i n c l u d i n gt h ei m p l e m e n t a t i o no fu s e rr e g i s t r a t i o n , u s e rs i g no na n dt h ec r e a t i o no fc e r t i f i c a t e ，a l s om a d eo b j e c t i v ev a l u a t i o na b o u tt h es e c u r i t yo f t h i sm o d e l k e yw o r d s ：鲥ds e c u r i t y , a u t h e n t i c a t i o n , k e r b e r o s ，k x 5 0 9 ，g r i ds e c u r i t yi n f r a s t r u c t u r e独创性声明本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得中国石油大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。签名：窭越2 0 0 7 年4 月关于论文使用授权的说明本人完全了解中国石油大学有关保留、使用学位论文的规定，即：学校有权保留送交论文的复印件及电子版，允许论文被查阅和借阅；学校可以公布论文的全部或部分内容，可以采用影印、缩印或其他复制手段保存论文。( 保密论文在解密后应遵守此规定)学生签名：查出盎2 和7 年耳月f 日导师签名：葩垒0 缉印d 7 年尹月f 日中国石油大学( 华东) 硕士论文第1 章前言第1 章前言1 1 研究背景网格计算充分利用了个人电脑到超级计算机的计算系统，让用户可以共享位于不同地理位置和组织上的计算资源和数据程序。这一全新的计算技术可以把现有的计算基础设施转换成一个集成的无处不在的虚拟计算环境【1 1 。然而，即使商业组织和研究机构出于技术合作或者商业目的，同意共享资源，如果他们不能信任共享的安全性，如通信的保密性、数据和资源的完整性以及用户信息的隐私性等，他们是不会接受这种分布式计算基础设施的。简言之，只有网格用户充分信任网格的安全性，网格才能真正大规模地得到应用田。传统的安全措施都着眼于孤立的系统，采用严格的用户策略保护资源。例如目前的绝大多数组织是在其计算机网络周围布置网络防火墙来保护重要数据。但是网格计算的核心思想是使资源能够超越现存组织的壁垒以及地理区域的界限，实现资源最大程度的共享。网格环境下，参与者都是动态地来自于虚拟组织，先于共享行为建立起来的信任关系往往是在组织层面上的，而非个体层面【3 1 。因此，网格环境采取面向单个用户的严格安全策略是很行不通的。一般情况下，单一用户的事务处理往往涉及几个或多个节点，而这些网格节点是动态的，不可预知的。另一方面，与传统i n t c r n e t 不同，网格会对外部用户提供很大程度的访问权限，因而增加了安全隐患。1 2 问题的提出早期出现的网格主要分布在一些互相信任的安全域中，例如学术组织和研究机构。目前由g l o b u s 和其相关研究机构和商业组织联合开发的开放网格体系结构o g s a 已经被广泛接受。o g s a 致力于定义统一创建、命名和发现网格服务的行为和机制。随着o g s a 逐渐成为网格体系结构的行业标准，众多知名公司也开始使用网格技术。这些组织越来中国石油大学( 华东) 硕士论文第1 章前言越关注网格环境下的知识产权、隐私性和保密性等问题。开发一个安全的网格体系结构面临的主要问题就是如何使网格能够支持一系列的安全需求，包括从最简单的安全需求级别到最高保密级别的问题空间集。网格包含不同的安全域，每个安全域都有各自独立的安全机制。一个安全可靠的网格安全体系结构必须提供用于不同安全域鸿沟之间牵线搭桥的协议和机制，同时保留每个安全域对于自己的本地资源的完全控制权。1 3 论文研究的内容与目标本文主要目的是研究基于网格技术的安全认证机制，分析网格环境对安全的特殊需求，对网络环境下的k e r b e r o s 认证机制和网格环境下的g s i 安全机制的深入研究，并分别对两种机制的安全性做出客观分析。在此基础上，结合这两种安全机制提出了一种新的网格安全认证模型，并构建基于网格技术的安全认证系统，为后续的网格安全研究打下坚实基础。研究内容主要有以下几个方面：( 1 1 研究k e r b e r o s 和k x 5 0 9 安全认证机制，并分析其安全性；( 2 ) 搭建g l o b u s 网格平台，研究基于公钥x 5 0 9 证书的g s i 网格认证机制，并分析其安全性；( 3 ) 借鉴网络环境下k e r b e r o s 认证机制的代理思想，以解决网格环境中跨域认证问题；( 4 ) 提出一种新的基于网格技术的安全认证模型；( 5 ) 建立基于网格技术的安全认证系统；( 6 ) 对理论方法的设计与实现。通过以上六部分，提出并建立了一种基于w e b 登陆模块的网格安全认证模型，通过对主要模块部分功能的设计，实现了基于网格技术的安全认证系统的运行。通过功能测试，证明了本模型的可行性。以下将对本文的组织给出说明。2中国石油大学( 华东) 硕士论文第1 章前言1 4 论文的组织与安排论文共分六章，研究内容按下列章节组织：第l 章前言，主要是本文的研究背景、研究内容和组织方式。第2 章网格安全技术，本章阐述了网格的基本概念、体系结构以及网格发展情况，重点介绍了网格安全的特殊需求以及目前流行的网格安全标准及安全技术。第3 章网格认证机制的研究，本章首先阐述了认证的基本概念及相关技术，深入研究了k e r b e r o s 、k x 5 0 9 、g s i 等安全机制进行了研究，针对上述机制的安全性进行了分析和比较。最后引入了网格安全代理m y p r o x y 技术。详细论述了该技术的的结构和工作原理，并对其安全性进行了分析。第4 章一种基于w e b 登陆模块的安全认证模型，本章提出了一种新的网格安全认证模型，并对该模型的结构组织、工作原理、模块功能进行了详细的阐述。第5 章模型的实现，本章针对提出的基于w e b 登陆模块的认证模型，确定了最佳的开发平台，实现了模块的基本功能，在此基础上对该模型的安全性做出了客观评价。第6 章全文总结与未来工作，本章主要总结了作者在完成论文期问所做的研究和创新工作，并对将来的工作提出一些设想。中国石油大学( 华东) 硕士论文第2 章网格安全技术第2 章网格安全技术2 1 网格技术综述随着对高性能计算能力需求的迅猛发展，解决超大规模应用问题所需要的计算能力单一计算机已无法实现。因此，将地理区域分布和系统异构的多种计算资源通过高速网络连接起来，构建网络虚拟超级计算机，成为共同解决大型应用问题的发展趋势【4 】。2 1 1 网格的概念网格是一个集成的计算和资源的环境，或者说是一个计算资源池，能够充分吸纳各种计算资源，并将其转化成一种随处可得、可靠的、标准的、经济的计算能力。网格通过智能化的分布式和相互协作式的信息处理，使用户仅通过单一入口即可访问所有信息。简言之，网格将整个因特网整合成一台巨大的超级计算机，实现计算资源、存储资源、数据资源、信息资源、知识资源、专家资源的全面共享1 5 】。应该指出，网格规模不一定要很大，我们可以构建区域性的网格，如中关村科技园区网格、企业内部网格、局域网网格，甚至家庭网格和个人网格。因为，网格的根本特征是资源共享而不是规模。网格作为一种新的技术日新月异，具备两个典型特征：其一，不同的群体必须用不同的名词来定义它；其二，学术界对网格真正的含义和内容还没有权威的认知。网格计算需要解决的根本问题是如何在动态和异构的虚拟组织之间实现资源共享以及相互协作。网格具有以下特点：( 1 ) 扩展性：网格计算系统初期的规模较小，随着超级计算机系统的不断加入，系统的规模随之扩大嘲；( 2 ) 系统多层次的异构性：构成网格计算系统的超级计算机有多种类型，不同类型的超级计算机在体系结构、操作系统及应用软件等多个层次上具有不同的结构i h ；( 3 ) 结构的不可预测性：与一般的局域网系统和单机的结构不同，网中国石油大学( 华东) 硕士论文第2 章网格安全技术格计算系统的地域分布和系统结构复杂多变。( 4 ) 动态和不可预测的系统行为：传统的高性能计算系统中，计算资源是独占的，因此系统的行为是可以预测的，而在网格计算系统中，由于资源的共享造成系统行为和系统性能是不可预测的。( 5 ) 多级管理域：由于构成网格计算系统的超级计算机资源通常属于不同的机构或组织，而且使用不同的安全机制，因此需要各个机构和组织相互协作以解决多级管理域的问题哺j 。2 1 2 网格的体系结构网格体系结构就是关于如何建造网格的技术 9 1 。到目前为止，比较重要的网格体系结构有两种，五层沙漏模型和开放网格服务结构( o g s a ，o p e ng r i ds y s t e ma r c h i t e c t u r e ) 。五层沙漏模型是l a n f o s t e r 等在早些时候提出的体系结构。该模型的基本思想和构架类似于计算机网络体系结构中的t c p i p 协议的架构。图2 1 是五层沙漏结构和t c p i p 协议结构的对比图。图2 - 1 五层沙漏结构与t c p i p 协议结构对比( 1 ) 构造层( f a b r i cl a y e r ) ：向上提供网格中可供共享的资源，它们是物理或逻辑的实体。( 2 ) 连接层( c o n n e c t i v i t yl a y e r ) ：网格中网络事务处理通信与授权控制的核心协议。( 3 ) 资源层( r e s o u r el a y e r ) ：对单个资源实施控制，与可用资源进行安全握手、对资源进行初始化、监测资源运行状况、对付费资源的使用6中国石油大学( 华东) 硕士论文第2 章网格安全技术数据进行统计。( 4 ) 汇聚层( c o l l e c t i v el a y e r ) - 汇集资源层提交的受控资源，供虚拟组织的应用程序共享。( 5 ) 应用层( a p p l i c a t i o nl a y e r ) ：网格用户的应用程序。五层模型中，每层协议数量都不相同。核心部分既要实现上层协议向核心协议映射，又要实现核心协议向下层协议映射，核心协议在所有支持网格计算的地点都应得到支持，因此数量不能太多，这样核心协议就形成了协议层次结构中的一个瓶颈。在五层结构中，资源层和连接层共同组成这一构造的瓶颈部分，从而形成了一个沙漏形状的结构，如图2 2 所示。工具与应用应用层嚣汇聚层哕删安弋资源层连接层磊、燃网络、构造层图2 - 2 沙漏形状的五层结构另一种重要的网格体系结构是开放网格服务体系结构( o g s a ，o p e ng r i ds y s t e ma r c h i t e c t u r e ) ，也被称为下一代网格体系结构。它是一种基于网格服务的分布式交互计算体系结构，用来确保异构系统间的互操作性，使得不同类型的系统可以相互通信、共享信息。i a nf o s t e r , k e s s e l m a n和t u e c k e 定义o g s a 是支持虚拟组织来维持全体服务的创建、维持和应用【l l l 。g g s a 以服务为中心，把任何资源等都抽象定义为服务1 1 2 】。它是在g l o b u s 的基础上，结合最新的w e bs e r v i c e 技术提出来的，它利用w e bs e r v i c e 定义了w s d uw e bs e r v i c e sd e f i n i t i o nl a n g u a g e ) ，w s d l 定义了服务访问的参数及其类型。所有的网格服务都是用g l o b u s t o o l k i t 工具包中国石油大学( 华东) 硕士论文第2 章网格安全技术来构建的，所以简单地说“o g s a = 网格结构+ w e bs e n d c + 工具包”。0 g s a 是一个层次结构体系，每层都有非常清晰的功能划分，核心层是o o s l ( o p 锄g r i ds y s t e mi n f r a s t r u c t u r e ) ，它提供了基础构件和o g s a的核心平台服务，是一个标准服务集。最高层的应用和服务使用低层核心平台组件和o g s i t ”j 。2 1 3 网格的研究现状及其发展美国和欧洲较早开展了网格方面的研究。美国用于网格技术基础研究的经费已经超亿，其中包括美国军方规划实施的一个宏大的网格计划，称为“全球信息网格( g l o b a li n f o r m a t i o ng r i d ) ”，预计在2 0 2 0 年完成。g l o b u s 是美国阿尔贡国家实验室( a n l ) 的研发项目，全美已有1 7 所大学和研究机构参与了该项目，同时g l o b u s 还开发了一个源码开放的工具集( g l o b u st o o l k i t ) ，目前已经发行了第四版【1 4 1 。在欧洲，英国政府也投资超亿英镑，用来研发。英国国家网格( u k n a t i o n a lg r i d ) ”。在亚洲，日本、印度等国家也都启动了建设国家网格的计划。我国开始网格计算研究时间不长，但也取得了显著的成绩。由中国科学院负责的“国家高性能计算环境( n h p c e ) ”项目和由清华大学负责的“先进计算基础设施( a c i 卜q b 京上海试点工程”两个网格计算项目已取得初步成果。目前中国己初具规模五大网格分别是：中国国家网格( c n o r i d ) 、8 6 3 空间信息网格、国家自然科学基金委网格( n s f cg - r i d ) 、中国教育科研网格( c h i n a g r i d ) 和上海信息网格( s h a n g h 丑i g r i d ) 。其中，中国国家网格的试验床环境已经建设成8 个结点，主结点2个，分别是中科院计算机网络信息中心和上海超级计算机中心；普通结点有6 个，分别是清华大学( 北京) 、中科院应用物理所( a t 京) 、中国科学技术大学( 合j i e ) 、西安交通大学( 西安) 、国防科技大学( 长沙) 、香港大学( 香港) 。上海信息网格是为2 0 1 0 年上海世博会以及将上海建成国际经济、贸易、金融、航运中心而建立的，目前已经连接了上海交通大学、同济大学、上海大学、上海超级计算中心和复旦大学的超级计算机，形成了聚合计算能力6 0 0 0 亿次，秒、存储能力4 t b 的上海网格试验床。目前国内外的网格研究十分活跃，面对即将到来的第三代互联网应8中国石油大学( 华东) 硕士论文第2 章网格安全技术用，很多国家都投人了大量研究经费。网格的发展呈现以下趋势：( 1 ) 网格计算的标准化。由于网格属于新兴技术，没有统一权威认可的标准，研究机构和研究网格的厂商都使用各自的机制和规范，使得各种类型的网格很难统一起来。g l o b u s 作为一种开放架构和开放标准基础设施，提供了构建网格所需的基本服务，如安全、资源发现、资源管理、数据访问等，目前得到了大多数大型网格项目的支持，逐步成为一种网格标准。( 2 ) 专用网格的研发将成为一个重要的研究方向。这是因为网格是面向具体问题的应用，而专用网格在这方面具有独特的优势，可以为通用网格技术提出最直接、最具体的需求。( 3 ) l i n u x 将奠定网格计算的基础。网格计算和l i n u x 开放环境将改变企业的计算方式，它将打破计算机公司强加在客户身上的枷锁。( 4 ) 网格计算是i n t e m e t 的未来。i n t e m e t 最初是作为一种通信平台出现的，但随着i n t c m e t 的不断发展，将演变成为一个计算平台。为了使网格的应用更为广泛，让用户随心所欲地共享网格计算中的各种资源，必须解决网格计算所面临的一些问题，例如：( 1 ) 互连网的数据传输能力不足；( 2 ) 实现人机通信；( 3 ) 网格资源共享中的知识产权；( 4 )网格计算的安全性；( 5 ) 制定统一的标准，设计网格操作系统。2 2 网格安全需求2 2 1 基本的安全需求广义上讲，任何信息系统的安全目标都是要阻止没有被正确授权的用户来访问相应的资源和信息。下面说明网格环境下安全问题的基本要素以及这些要素的重要性。( 1 ) 鉴定。鉴定是一个验证身份的过程。在传统的信息系统中，鉴定通常都是对客户端的身份进行验证以确保服务端的安全【1 6 1 。而在网格环境下，除了要对客户端进行身份验证外，还要对服务端进行身份验证，以防止有冒名顶替者提供虚假服务。( 2 ) 授权。授权机制决定系统是否允许一个请求的操作活动【1 7 1 。在网格环境下，这种机制必须在做出决策之前综合考虑所有与资源相联系9中国石油大学( 华东) 硕士论文第2 章网格安全技术的分布式策略f 瑚。( 3 ) 完整性和保密性。保证数据的完整性和保密性是非常重要的。数据在传输和存储的过程中必须有有效的安全机制来阻止未经授权的访问，并且在有些情况下还必须阻止未经授权的组织来获取数据是否存在的相关信息1 1 9 】。( 4 ) 账号与审计。账号与审计在网格环境下扮演着非常重要的角色。随着构件商业性的大规模网格，商业组织需要一种机制来控制它们并对于消费资源和所提供的服务进行收费t 2 0 。账号机制可以确保所有的用户遵守资源使用协议，而执行操作的审计信息记录则可以对威胁或破坏事件进行追踪。( 5 ) 不可抵赖性。不可抵赖性是指即使在嫌疑人否认的情况下，也能够证明嫌疑人曾经执行过或同意过某一具体的任务。在网格这种多方参与的环境里，能够证明任务和人员之间的相互关系是非常重要的，尤其是当有争议出现时更是如此。2 2 2 网格中特有的安全需求早期的网格主要分布在互相信任的一些安全域中，例如学术组织和研究机构。目前，g l o b u s 和其他一些研究机构和商业组织等联合开发的开放网格体系结构o g s a 已经被广泛接受。o g s a 致力于定义用来统一创建、命名和发现网格服务的行为和机制【2 。随着o g s a 逐渐成为网格体系结构的标准，许多大公司也开始使用网格技术。这些组织越来越关心网格环境下的一些诸如知识产权、隐私性和保密性等问题。开发一个安全的网格体系结构所面临的一个主要的挑战，就是要使得网格能够支持一系列的安全需求，即从最简单的安全需求到最高保密级别的问题空间集【2 2 1 。大型的网格组织中会包含不同的安全域，每个安全域都有各自自主安全策略的安全域。一个有效的网格安全体系结构必须能提供一种安全协议和机制，在这些不同安全域鸿沟之间牵线搭桥，同时又能够保留每个安全域对于它自己本地资源的完全控制权。( 1 ) 身份i o中国石油大学( 华东) 硕士论文第2 章网格安全技术每个组织都要通过某种形式与用户进行联系，例如用户名、密码或数字证书等l 。网格环境中，为了在不同组织之间建立联系以及能够进行账号管理，每一个用户必须拥有一个网格身份。一个本地的用户身份要和网格身份匹配，而网格身份又要和用户指定的远程资源上的身份匹配。在多组织协作的环境下，建立信任关系非常困难【冽。通常，虚拟组织会采取集中身份服务的方式来实现信任关系的管理瞄】，例如社区授权服务c a s ( c o m m u n i t ya u t h o r i z e ds e r v i c e ) 。每一个资源提供者都要通知c a s 服务器关于虚拟组织成员对于它的资源所拥有的权限集。访问一个资源，用户需向c a s 服务器申请基于自身权限的权限证书。用户向需要访问的资源出示申请的证书，资源对证书验证后才准许用户访问。( 2 ) 多样性参与网格的组织，通常都有各自独立的内部安全机制。理想情况下，每一个组织都应该使得自身的资源适应网格环境：用户使用本地身份在自身的安全域中进行鉴定，然后使用鉴定文本访问远程站点闭。因此，安全结构必须能从本地安全域中提供其他站点可以使用的鉴定文本。也就是说用户访问一个远程站点时，安全体系结构应该验证用户提供的鉴定资料并将其转换成远程站点使用的协议形式。这样远程站点才可以使用其本地协议和策略来验证用户的访问权限。( 3 ) 分布式框架在任何形式的协作环境中，不同组织都会希望采用它们各自特殊的规则。例如，一个组织希望把远程用户的访问时间限制在非高峰时段内，从而确保该组织内部的本地非网格用户不受影响。为了实现这一目标，虚拟组织必须集合相关的本地策略并评估用户请求访问资源时的结果。与传统的系统不同，在网格环境下涉及服务的策略设置和策略决定以及强制点等都分布在不同的机器上。网格环境中的信任关系很复杂。例如，实体a 加入一个具有两个互为竞争关系的协作组织，而这两个竞争实体彼此都不应该知道对方有了a 的参与，在这种情况下，鉴定文本必须保持独立，而且每个文本的存在这一事实也应该保持在秘密状态。另一个网格应用的场景涉及到信任证书的委托，也就是说用户a 可能会将他的访问权限委托给用户b ，允1 1中国石油大学( 华东) 硕士论文第2 章网格安全技术许用户b 代表a 的身份访问网格资源。这种情况下信任关系异常复杂，因为资源信任的也许只是最初始的用户a ，而不是具有了委托证书的用户b 。为了提供容错机制并提高性能，网格会在不同的资源节点之间复制数据。此外，服务或者处理过程也会在它的生存期间从一个网格资源向另一个网格资源移植。传统的访问控制策略适用于拥有数据的资源，而不是数据本身。利用o g s a 把资源和数据都抽象成服务，可以减少这种问题。网格在不同节点之间不仅可以复制应用数据，还可以复制策略数据。因此，网格需要一个实时的数据同步机制来保持较高的安全层次。( 4 ) 终端用户目前许多网格通过使用公钥安全基础设施( p k i , p u b l i ck e yi n f r a s m j c t u r e ) 提供安全的鉴定和通信。然而在基于p k i 的系统中，网格用户发现密钥管理是一项非常繁琐的工作，因为用户要负责保护好个人密钥。而且，一个网格用户也许会从不同的访问节点来访问网格，在不同的机器上复制密钥有可能导致密钥泄露出去。目前，很多网格组织通常采用来自用户永久信任证书的短期信任证书。m y p r o x y 是一个在线信任证书仓库，可以存储用户的信任证书并且在需要时可以提供短期信任证书。网格体系结构应该在提供网格服务的同时，给用户提供一个简单的使用环境，使用户能够保持本地的访问模式。然而，当用户访问网格的方法不同时，提供单点登录能力就变得非常困难，而且网格应用还有更具体的安全需求，网格安全中间件中必须包括支持这些需求的组件。巧) 资源管理资源管理者需要确保用户和资源的隐私性和保密性【2 ”，不仅要保护好数据本身，还要保护好数据存在的证据。而且，安全体系结构应该严格阻止来自于其他组织的用户的恶意代码。网格参与者希望能够确保他们的系统不被误用。同时还要求其他的参与者按照协议提供特定质量的服务。防火墙虽然能够防止组织的系统被误用，但同时也阻止了经过鉴定的正当的安全通信。如果在严密防范之下仍然有危险或者攻击出现，账号信息必须能够识别出入侵者的身份，中国石油大学( 华东) 硕士论文第2 章网格安全技术因为账号信息是分布式的，所以要获得这些信息将十分繁琐。因而所有的参与者是否都能提供有效的信息就变得非常关键。网格信任关系的动态特性也会影响资源安全圆。例如，在任何特定的合作活动的终端，涉及到的组织必须能够宣布访问无效从而阻止未经授权的访问，鉴定和授权信息的变化必须通知到网格上所有相关实体。如果能证明在p k i 系统中使用的证书已撤回，就不能够很好地满足这些需求。证书的撤回必须是实时的而且是分布式的。针对成千上万个网格上的节点，资源管理策略是一个巨大难题，管理员必须配置并监视资源以监测是否被误用。2 3 现有的网格安全技术与标准目前，网格安全研究都集中在创建一种保护模块，该模块能够对面向各种各样的网格应用提供一种分布式安全基础设施。通过定义一系列的安全协议和安全机制，在虚拟组织间建立一种安全域，从而为资源共享提供一个可靠的安全环境。下面分别分析目前网格安全研究方面的一些技术和标准。2 3 1w e b 服务安全标准表2 - 1 w s 安全标准规范规范目的w s 策略定义表达安全策略能力和约束的方法w s 信任提供一种建立直接和中介的信任关系模型w s 隐私在w e b 服务环境下建立和增强文本的隐私性w s 安全会话描述安全信息交换的方法：细化安全文本交换以及建立和提取会话密钥的方法w s 联盟在异构的分部式环境中实现信任关系的中介管理w s 授权标准化授权数据以及w e b 服务的策略管理m m 、微软等大公司己经联合向高级结构化信息标准组织o a s i s ( o r g a n i z a t i o nf o r t h ea d v a n c e m e n to fs t m c n m mi n f o r m a t i o ns t a n d a r d s ) 提交了一种w e b 服务6 v s ，w e bs e r v i c e ) 安全规范该规范提供一种简单的目标访问协议s o a p ( s i m p l eo b j e c ta c c e s sp r o t o c 0 1 ) 消息1 3中国石油大学( 华东) 硕士论文第2 章网格安全技术框架来集成并支持各种现有的安全模型，并且还建议对s o a p 进行扩展以实现这种集成以及保密性，s o a p 提供了一个标准的、与平台无关的、语言中立的机制，用来进行安全的消息交换。尽管w s 安全规范本身并不提供一套完整的解决方梨2 9 1 ，但是它定义了构建保护模块，开发w e b服务时可以使用该模块在更高的层次上构建安全框架。因此，网格安全体系结构把w s 安全规范作为构建跨越不同安全模型的网格安全结构的基础。w s 安全的一些被建议的标准规范见表2 1 。2 3 2 消息层的安全传统的传输层安全是指通过支持x 5 0 9 代理证书的传输层安全t l s ( t r a n s p o r tl a y e rs e c u r i t y ) 来实现身份鉴定。传输层安全主要依赖于传输机制自身的安全保障，尽管这种方法可以确保网格服务安全，但是它也被完全限制在所使用的传输机制上，从而为这种方法的使用带来许多不便。随着网格与w e b 服务的整合，网格逐渐向使用消息层安全转换。消息层安全支持w s 安全标准和w s 安全会话规范，并为s o a p 消息提供保护【3 0 】。因为消息层安全的工作方式是确保每一条s o a p 消息的安全，因此可以和任何形式的传输层协议配套工作，并且允许根据数据的重要程度和敏感程度来执行不同级别的安全保护。2 3 3 安全声明标记语言不同的组织共享资源时，需要使用一种通用的语言，以便网格实体能够交换安全信息。安全声明标记语言s a m l ( s e c u r i t y a s s e r t i o nm a r k u pl a n g u a g e ) 是o a s i s 认可的标准，s a m l 定义了一种语言和协议来交换鉴定和授权的信息。s a m l 声明包含了关于鉴定的参考标准、授权的决策以及与某一特定主体相关联的属性等相关信息。s a m l 策略可以寄存于w e b 策略存储环境中，而这一特性就使得虚拟组织可以很容易地在本地安全域中使用各种现有的策略。s a m l 定义了一种查询响应协议接口，以便客户端向s a m l 授权中心查询声明。这种基于x m l 消息格式组成的协议，能够轻松地与很多不同的底层通信和传输协议绑定在一起。而且附着在s a _ m l 声明和中国石油大学( 华东) 硕士论文第2 章网格安全技术查询上的时间标签使得虚拟组织的状态和用户属性有了实时的限制，从而在网格环境中建立动态的信任关系。2 3 4 网格安全基础设施目前，绝大部分网格系统使用的都是网格安全基础设施g s i ( g r i ds e c u r i t yi n f 瑙t r u c t m ) j 。g s i 作为o l o b u st o o l k i t 的一个组成部分，提供了基于p k i 的安全鉴定和安全通信。g s i 的关键在于与网格实体相关的信任证书，系统通过标准的x 5 0 9 证书来鉴别网格上每一个用户和服务。x 5 0 9 证书通常由第三方证书权威组织签发包含用户和服务的信息，以便确认实体身份的合法性。g s i 使用安全套接层s s l ( s e c u r i t ys o c k e tl a y e r ) 和t l s 相互鉴别网格中实体的身份，这两部分互相交换证书，在确认了彼此身份的合法性之后，就可以建立经过鉴定的安全会话。g s i 通过执行通用安全服务标准g s s ( g c n e r i cs e c u r i t ys e r v i c e s ) 来实现本地安全域异构性。o s s 定义了一个a p i 给用户一个标准的安全服务接口。g s i 授予网格用户单点登陆和代理的能力0 2 。一个网格会话使用一个被称作代理的短期证书，该证书是由用户证书签发的用于鉴定身份的代理证书，这意味着用户访问网格服务时不必每次都输入他们的密码。同理，网格用户也可以把他们的代理证书委托给其他的用户，让其他的用户以他们的身份来进行网格操作。因为这种代理证书的有效期限很短，所以安全风险并不大。2 4 本章小结网格的目标是通过开放的网络环境向用户提供服务，这就不可避免地要涉及到安全问题。并且，网格的目标就是要实现更大范围和更深层次的资源共享，所以网格的安全问题彰显重要，网格安全需求的级别也更高。随着网格安全技术的不断发展以及相关的经济和法律的配套措施不断完善，可以预见，确保数据资源等的安全性，大规模的网格应用是可以实现的。中国石油大学( 华东) 硕士论文第3 章网格安全认证机制的研究第3 章网格认证机制的研究网格发展的过程中，为了对网格共享资源获得最适宜的使用，形成了合作群落机构，称之为虚拟组织( v o s ) ，在虚拟组织中，必须对资源采用灵活的使用和获取手段，但是随着参与者之间信任程度的变化，必须以损失安全性为代价。在这样一个开放的动态环境中，加强安全性面临很大挑战，任何一种解决办法都必须允许实现大量有条理的安全策略，同时这个体系结构必须易于使用、启动和配置。最常用的方法是建立安全认证，一个用户提出动作请求时，需要证明自己的身份。3 1 认证技术概述在加密技术相对成熟的今天，计算机的安全性主要考虑在认证和访问控制方面寻求突破，认证包括对有效用户的确认和识别 3 3 1 。访问控制致力于避免对数据文件和系统资源的篡改【3 4 1 。在一个孤立、集中、单用户系统中( 例如一台p c ) ，通过钥匙锁上存放计算机的房间和存放磁盘的抽屉就能够实现其安全性。只有拥有房间和抽屉钥匙的用户才能访问系统资源和文件，这就同时实现了认证和访问控制。因此，安全性实际上就相当于锁住计算机和房间的钥匙。多用户组成的孤立、集中系统中，安全性略显复杂。在这种情况下，认证包括有效用户的确认和识别，通常通过某种形式的口令和用户识别的结合来进行管理。对文件、数据和资源的访问控制可以避免恶意篡改，一般通过权限或访问列表来实现，并作为操作系统的一部分进行管理f 3 卯。鉴别或验证一个用户的身份是网格计算环境中安全认证所需的关键步骤之一p “。实现这一步有三种基本方法：第一种方法，可以通过一个用户所知道的某些信息进行验证，例如口令，这是最常用的方法，虽然不一定是最安全的方法；第二种方法，通过用户所拥有的某些东西进行验证，例如钥匙；第三种方法，通过用户本身所具备的某些特性进行验证，例如用户的指纹或者视网膜，这是最安全但也是最昂贵的方式。综中国石油大学( 华东) 硕士论文第3 章网格安全认证机制的研究上所述，这些方法都可以用于集中式系统。一个网格体系中还必须考虑以下几个问题：1 、偷听：我们如何阻止别人在通信线路上进行偷听：2 、多口令管理：如果我们正在访问多个系统，每个系统是否都保留了用户旧的口令和口令的副本呢? 每个存储认证信息的数据库都是系统安全漏洞的攻击目标。而且我们每次做些什么的时候，是否都需要提供口令呢；3 、重放：有人可能在认证信息在网络中传输的过程中对它进行复制，即使这些信息经过了加密，以后进行重放，获得不正当的访问；4 、信任：认证是否应该是单方面的呢? 或者用户是否也应该检验和相信所使用的服务是合法的? 集中系统信任自己而分布式系统必须寻找一个方法来信任其他系统。为了解决通用方案的问题，可以使用一种证书管理系统。证书是一种由计算机生成并在一段时间内有效的和经过认证的信息包，可以通过它在分布式系统中方便的访问各种资源，时间有效特性可以避免以后的重放攻击。该特性可以通过时间戳或现时实现。现时( n o n c e ) 是一个随机值，对于每个会话来说都是唯一的。因此，没有两个会话会共享同一个现时，从而能够容易的监测到重放。证书管理有两种基本方法。第一种是使用证书列表，在列表中包含了一系列来自可靠证书颁发机构发布的证书，x 5 0 9 就采用了这种方法。所有希望检验身份的服务都必须检查这个列表，检验客户端的真实性。第二种方法是采用集中式的证书分发中心，在那里客户端将获得适合每个希望使用的服务的证书。然后，当客户端使用服务时就提供相应的服务证书。下面简要介绍认证的几个重要概念：( 1 ) 证书证书( c e r t i f i c a t e ) ，是附有所有人( o w n e r ) 的资料( 公司名称、机器名称、个人真实姓名、e - m a i l 地址、通讯地址等资料) ，后面加上数字签名的公钥( p u b l i ck e y ) 。认证一般附有几个数