（计算机应用技术专业论文）基于gsi的数据库网格安全基础架构.pdf

基于g s i 的数据库网格安全基础架构摘要 摘要 网格足下一代i n t e r n e t 上的计算平台，其核心任务是管理分布在i n t e r n e t 广域环境中的各种类型的数据与服务资源，并为基于i n t e r n e t 的分布式应用提 供一个统一的、虚拟的共享资源的计算平台。作为数据存储与管理的常用媒介， 数据库在网格计算中扮演着重要的角色，由广域分布的，众多的，自治的数据 库组成的网格环境称之为数据库网格。在这样的环境中，数据库资源被广泛共 享，而且动态组合成虚拟组织解决某一个领域的问题或者提供专门的数据服务。 本文首先介绍了数据库网格环境的概念与特点，然后从动态开放的数据库 网格环境下资源共享与协作过程中如何确保信息安全的应用需求背景出发，综 合了现有的i n t e r n e t 下的数据资源的信息共享与整合管理的安全解决方案，提 出了一套面向数据库资源的网格安全基础架构：d a t a b a s eg r i ds e c u r i t y i n f r a s t r u c t r u e ( d g s i ) 模型。d g s i 是一个基于g s 验证机制，符合网格体系 标准，针对数据库资源，面向网格环境的信息保护与共享安全的基础架构，旨 在为解决网格环境下的数据库资源授权、验证、信任等等问题提供一套可参考 的设计与实现。 本文阐述了数据库网格安全管理的基本思想，描述了针对数据库网格环境 的安全架构d g s i 的重要组成即一系列关于授权，验证，信任等安全问题的 协议，还有实现这些协议的一个d a t a b a s eg r i ds e c u r i t yi n f r a s t r u c t r u e ( d g s i ) 的实现原型d a r t d g s i 。本文还介绍了d a r td g s i 在中医药研究中 的一个应用场景。最后，本文进行了总结并提出了进一步的工作展望。 关键字：数据库网格、数掘库网格安全、授权、验证、信任。 基于g s i 的数据库网格安全基础架构 摘要 a b s t r a c t n l em o v et o w a r d ss u p p o r t i n gm o r ed i s t r i b u t e da n d a u t o n o m o u s l ym a n a g e dd a t a b a s e g r i ds y s t e m s ，w h e r ed a t a b a s e sa r ei n t e g r a t e dt e m p o r a r i l yt os o l v ep a r t i c u l a rs c i e n c e o ri n d u s t r yp r o b l e m s ，c r e a t e sn e ws e c u r i t yc h a l l e n g e s t h i st h e s i s a r g u e st h a tt h e a n s w e r ss h o u l dc o m b i n et h eu s eo fg r i ds e c u r i t yi n f r a s t r u c t u r e ，w h i c hi sp r o p o s e d t os o l v es e c u r ep r o b l e m si nc o m p u t a t i o n a lg r i de n v i r o n m e n ta n do f f e r i n gm u l t i s i t e a u t h e n t i c a t i o n ，晰t 1 1e x i s t i n gs e c u r i t ym e c h a n i s mi nd b m sp r o d u c t s ，a n dn e w t e c h n o l o g yi na u t h o r i z a t i o n ，a u t h e n t i c a t i o na n dt r u s te t c w eh a v ed e v e l o p e da s e c u r i t yi n f r a s t r u c t u r et h a tm e e t st h e s er e q u i r e m e n t s ：t h ed a t a b a s eg r i ds e c u r i t y i n f r a s t r u c t u r e ( d g s i ) ，w h i c h e x t e n d sg s it oo f f e rs e c u r e da u t h o r i z a t i o n ， a u t h e n t i c a t i o na n dt r u s tf o rd a t a b a s eg r i d t h i st h e s i sb e g i n sw i t l lt h ea n a l y s i so fs e c u r i t yr e q u i r e m e n ti nt h ep r o c e s so f d a t a b a s er e s o u r c es h a r i n ga n dc o l l a b o r a t i n gi nt h ed y n a m i ca n do p e n 鲥dc o n t e x t ， a n dp r o p o s e st h ec o n c e p to fd a t a b a s eg r i ds e c u r i t yi n f r a s t r u c t u r e ，b a s e do na c o m b i n a t i o no ft h ec u r r e n tm e t a l so fs e c u r i t y a s s u r i n gi n 鲥dc o n t e x ta n d d a t a r e s o u r c ec e n t e r e di n f o r m a t i o ns h a r i n g d a t a b a s eg r i ds e c u r i t yi n f r a s t r u c t u r e ( d g s i ) ，c o m p a t i b l e 埘t ht h ee x i s t i n gg r i da r c h i t e c t u r es p e c i f i c a t i o no g s i w s r f a n dw e bs e r v i c es e c u r i t ys t a n d a r d sa n ds p e c i f i c a t i o n s ，i sas e c u r i t yi n f r a s t r u c t u r e o r i e n t e dt ot h ed a t a b a s eg r i de n v i r o n m e n t w i t hab a c k b o n eo ns e v e r a ls e c u r i t y p r o t o c o l s ，d a t a b a s eg r i ds e c u r i t yi n f r a s t r u c t u r e ( d g s i ) o f f e r ss o l u t i o n st oas e r i e s o fd a t a b a s eg r i ds e c u r i t yp r o b l e m s ，s u c ha sa u t h o r i z a t i o n ，a u t h e n t i c a t i o na n dt r u s t t h i st h e s i si n t r o d u c e st h ep r i n c i p l eo f d a t a b a s eg r i ds e c u r i t yi n f r a s t r u c t u r e ( d g s i ) ， d e s c r i b e si t sl a y e r e da r c h i t e c t u r ea n dd e f i n e st h es e c u r i t yr u l e so nt h ed a t a b a s eg r i d i nf o r mo fp r o t o c o l s t h ek e ye f f o r to ft h i st h e s i sf o c u s e so nt h ed a t a b a s eg r i d s e c u r i t yi n f r a s t r u c t u r e ( d g s i ) p r o t o c o l s ，w h i c ha r ei n t e n d e dt op r o v i d ea s e to f r e f e r e n c es p e c i f i c a t i o nf o rs e c u r i t yi s s u e si nd a t a b a s eg r i de n v i r o n m e n t t h i st h e s i s a l s od e s c r i b e sd e s i g na n di m p l e m e n t a t i o no fap r o t o t y p es y s t e mn a m e dd a r t d g s i ， w h i c hc o n f o r m st ot h ed a t a b a s eg r i ds e c u r i t yi n f r a s t r u c t u r e ( d g s i ) p r o t o c o l s f i n a l l yw ei n t r o d u c ea na p p l i c a t i o ns c e n e k e y w o r d s ：d a t a b a s eg r i d ，d a t a b a s eg d ds e c u r i t y , a u t h o r i z a t i o n ，a u t h e n t i c a t i o na n d t n l s t 基于g s i 的数据库网格安全基础架构 第一章绪论 第一章绪论 1 1 数据库网格介绍 网格计算( g r i dc o m p u t i n g ) 的概念源自高性能科学研究领域。在大型科学研 究和工程领域中，大量高性能的网络应用，如科学仿真，实时监控，由多个合 作机构合作完成，需要共享各个合作成员单位拥有的资源。合作机构之间通过 高速网络共享合作伙伴所拥有的计算、存储和显示资源，以获得复杂问题的求 解能力。这些地理上分布的资源形成了资源网格( g r i d ) ，而利用资源网格上的 资源进行的分布式计算则被称为网格计算( g r i dc o m p u t i n g ) 。简单地讲，g r i d 就 是将位于全球不同地方的研究机构所拥有的硬件和软件设施联合起来以解决极 端复杂的科学研究和计算问题【1 】。 海量数据的产生与分布是互联网发展的必然结果，而大规模数据资源的开 放式共享与协同管理则是网络时代所产生的必然需求。从上个世纪6 0 年代起， 数据库技术经历了几十年的发展和积累，已经形成了一套完整的理论，并被广 泛应用于人类生产生活的各个领域。伴随着网格计算技术的兴起和实际需要的 产生，数据库走出后台，参与网格数据管理，已经成为了一种必然趋势。数据 库网格也将成为资源网格的重要子环境 2 。 广泛分布的，自治的数据库系统为了解决一个共同问题或是提供专门的服 务动态联合起来组成虚拟组织。我们将向虚拟组织提供数据或者服务的组件称 为资源提供者。因此，当数据库管理系统参与到虚拟组织之中，并为之提供数 据或者服务时，我们称之为数据库资源提供者。数据库网格环境里存在着许多 虚拟组织和数据库资源提供者，它们之间的联系是多对多，灵活而且动态的。 1 2 数据库网格的环境特点与安全需求 形成数据库网格环境的要求是不影响各节点的数据库资源提供者的管理和 自主性，不改变各节点原有的操作系统、网络协议和服务，但同时要保证远程 节点的安全性，允许远程节点选择加入或退出，尽量使用已存在的标准以便和 已有应用兼容并能提供可靠的容错机制。总而言之，数据库网格环境特点有： 数据库资源提供者数量庞大，分布广泛，自治性强； 用户数量很大，而且动态可变； 基于g s i 的数据库网格安全基础架构 第一章绪论 数据库资源提供者可属于多个虚拟组织； 一个由用户请求而创建的过程可能要求在执行期间动态地申请，使用或 释放数据库资源； 不同的虚拟组织可支持不同的认证，授权和信任机制，这些机制和策略 的变化是受限的； 数据库网格环境存在多个信任域； 数据库本身已经有一套比较成熟的安全机制，包括数据安全，数据库文 件安全，用户安全( 连接安全) ，网络安全；以及熟悉这些安全机制的 数据库管理者。 由于数据库网格环境的特殊性，在设计数据库网格安全架构中既要考虑网 格环境的动态主体特性，保证网格环境中不同主体间的相互鉴别和各主体问通 信的保密性和完整性以及相互的信任，也要保证原有的数据库系统的安全机制 能很好的集成进来。既要保护数据和信息在数据库网格环境里能安全地被传递， 不被未经授权的用户或程序使用，也要建立良好的代理，信任，单一登录等机 制，促进数据和信息的安全共享。 我们认为数据库网格安全包含以下几个层次，每个层次都有其需求： 1 ) 物理安全 主要指设备安全，人员安全。在数据库网格环境中没有什么新的变化与 需求，就不详述了。 2 ) 数据库资源提供者的安全 在原有的数据库系统安全机制的基础上，必须考虑加入数据库网格后带 来的安全环境的变化：用户量猛增，连接量增加而且动态变化，必须控制 数据库资源对各个虚拟组织的开放程度，以及与虚拟组织之间关于授权， 信任等策略方面的协商。必须开发新的针对网格的管理工具。而数据库管 理者要应对这些安全环境变化，必须接受学习新的知识和工具。 3 ) i n t e m e t 安全( 通信安全) 数据库网格以i n t e m e t 作为通信支撑平台，而i n t e m e n t 是一个开发性、 异构性极大的公共网络，这就使得在i n t e m e t 上运行的网格作业面临着各种 各样的安全威胁，如数据被截取、信息的内容被篡改或删除、假冒合法用 6 基于g s i 的数据库网格安全基础架构 第一章绪论 户和服务器等等。因此，必须支持在网格环境中主体之间的安全通信，防 止主体假冒和数据泄密。 4 ) 网格安全 网格是一个异构的环境，用户和资源数量庞大，动态可变，而且可属于 多个组织。网格作业可在其执行过程中动态地申请、启动进程和申请、释 放资源，而且资源可能需要不同的认证和授权机制，这些机制和策略的改 变是受限制的。这些网格特性决定了网格安全必须是标准的、自治的、可 扩展的和透明的。因此，网格安全研究就要求：支持跨虚拟组织边界的安 全，避免采用集中管理的安全系统；需要支持网络用户的“单一登录”，包 括跨多个资源和站点的计算所进行的信任委托和信任转移。 5 ) 应用程序安全 包括安全监控，安全审计，入侵监测与报警，与防火墙的兼容集成。这 些传统的安全机制要与网格环境相适应。 综合各层次需求，我们需要制定一套新的体系结构，实现数据库网格环境 下的信息保护与安全共享。它需要考虑网格现有的安全标准，规范与技术与现 有的数据库管理系统及数据库安全技术的整合；它必须是标准的，灵活的，可 扩展的，以适应数据库网格环境；它必须尽量简单和易于理解，实现起来易于 操作便于用户与数据库资源管理者接受与操作；它必须兼容多种安全策略，安 全机制，以适应异构的环境。 1 3 本文的主要研究内容 本文基于以上的背景和需求，探索解决数据库网格环境下的安全问题。数 据库网格环境是这样的一个环境：动态、开放、松耦合的、面向大量分布的、 自治的、异质异构的数据库的环境。我们关注的问题主要有两点： 1 1 数据库网格环境下的信息保护 数据库网格中需要保护的信息包括：1 ) 用户信息：在注重隐私的现 代社会，保护用户个人信息是非常重要的。在用户使用数据库网格中 的服务时，用户的某些信息可能被散发用来完成授权或者验证等过程。 在这些过程中，必须保证这些信息的合法传播。用户信息还包括用户 使用数据库服务的信息，这是为了防止有人恶意窥探用户使用数据库 7 基于g s i 的数据库网格安全基础架构 第一章绪论 服务时的偏好等等，包括用户经常查询何种数据，经常访问哪些数据 库服务之类；2 ) 各个主体( 用户，网格应用程序，数据库，网格代理 等等) 之间的通信信息：要保证通信信息的来源可靠，中途不被修改 等等；3 ) 数据库资源信息：当数据库资源加入了动态变化，共享更加 广泛深入的数据库网格环境，就意味着资源信息更加容易被未经授权 者盗取。这些资源信息包括数据库里的数据信息，用户信息等。 综上，我们的研究必须解决这几个问题：1 ) 在开放的，动态的网格环境 中如何保护以数据库为存储介质的信息资源。在数据库网格中，存在 众多数据库资源，它们可能为不同的机构所拥有，也许还分布在不同 的国家里，在任何给定的网格中，都可能具有多层的所属关系。2 ) 在 异构环境中如何对用户进行管理，防止未经授权的访问? 并且保护用 户本身的信息。由用户请求而创建的网格服务可能需要通过各种可能 的授权环境。而用户所持有的身份可能是多样的，从简单的用户名 密码到x 5 0 9 证书或是k e r b e r o s 证书等等。3 ) 如何保护用户使用信息 资源的私密性。4 1 如何保证主体之间的通信安全。网格的通信方式可 能是多样的。 2 1 数据库网格环境下的信息共享安全 此类问题主要包括：1 ) 如何为数据库管理人员提供方便可靠的共享管 理机制，来适应网格环境。2 ) 如何为用户提供方便可信的数据库信息 服务。不同的用户群有不同的习惯，不同持有身份认证方式。如何为 不同的用户群提供统一的，方便的安全服务，使他们能够安全地，方 便地使用数据库网格中的服务。3 ) 如何表述和传送各个虚拟组织的安 全策略? 用何种语言表述安全策略? 策略一旦成文，该如何将之分发 到整个网格中，让所有的系统，用户和代理都能接收到并理解这项策 略。 本文描述的一组数据库网格安全协议是文章的重点。这些协议分别从授权， 认证，信任三个方面定义了数据库网格的安全规则，解决了以上两个研究点的 大部分问题。 摧r g s l 的数据库网格安生基础架构第一章绪论 1 4 本文的组织结构 本文的剩余部分由以下几章构成： 第二章数据库网格安全现状：简要介绍了数据库网格安全应符合的现 有标准，以及数据库网格安全管理的相关项目，分析各项目的特点与不 足。 第三章d g s i 总体概述：阐述d g s i 的总体设计，定义了基于g s i 的数 据库网格安全架构的模型，介绍了模型中各模块的工作原理。 第四章d g s i 协议：描述d g s i 架构中的组成协议，给出协议的规范说 明。 第五章d g s l 原型系统d a r t - d g s i 的设计与实现：介绍在g l o b u s f 台 上、基于g s i 设计与实现的d g s i 原型系统，阐述关键模块和算法的设 计与实现。 第六章d g s 的中医药应用场景：介绍d g s i 在传统中医药研究中的应 用，阐述中蜓药数据库网格中d o s i 的构建方案。 第七章总结和展望：全文总结及今后研究方向展望。 第七章总结和展望：全文总结及今后研究方向展望。 9 垄! 里型塑壁旦堡室全兰壁墨塑 笙三主墼塑窒塑堂室全堡鲨 第二章数据库网格安全现状 2 1 引言 本章主要介绍了数据库网格安全相关的标准以及目前正在进行的，影响比 较大的几个相关项目。 2 2 数据库网格安全相关标准 由于网格服务与w e bs e r v i c e 的融合，网格服务的安全标准基本上也是采用 了w e bs e r v i c e 的安全标准，下面两节分别介绍了网格服务与w e bs e r v i c e 的渊 源以及网格服务所遵循的w e bs e r v i c e 安全标准和规范。 2 2 1网格服务与w e bs e r v i c e 2 0 0 2 年2 月2 0 目，g l o b u s 联盟和i b m 在全球网格论坛上发布了开放性网 格服务架构o g s a ( o p e ng r i ds e r v i c e s a r c h i t e c t u r e ) 及其详细规范o g s i ( o p e n g r i ds e r v i c e si n f r a s t r u c t u r e ) ，把g l o b u s 标准与支持商用的w e bs e r v i c e s 的标准 结合起来。2 0 0 4 年1 月2 0 日，g l o b u s 联盟、i b m 和h p 等又联合发布了新的 网格标准草案w s r f ( w e bs e r v i c e sr e s o u r c ef r a m e w o r k ) ，干脆把o g s i 转换成 了4 个用于扩展w e bs e r v i c e s 的规范。这时，网格服务已经与w e b 服务彻底融 为一体了。 o g s a 从抽象的层次定义了网格服务，而o g s i w s r f 则具体地规定网格 服务要遵从的规范。o g s i w s r f 确定并定义了网格服务的基本接口和行为。简 单点说，一个网格服务就是一个基于w s d l 定义的服务，这种服务遵循一定的 接口和行为规范，这些规范包括：w e b 服务资源特性( w s r e s o u r c ep r o p e r t i e s ) 定义了如何使用w e b 服务技术来查询和改变与个有状态资源相关联的数据。 w e b 服务资源生命周期( w s r e s o u r c el i f e t i m e ) 定义了两种毁坏w e b 服务资源 的方法：直接的和预先计划的。w e b 服务基本故障( w s b a s e f a u l t s ) 为基本故 障定义了一个x m l 模式类型以及w e b 服务如何使用这种故障类型的规则。 w e b 服务服务组( w s s e r v i c e g r o u p ) 定义了一种方法，通过这种方法，w e b 服 务和w e b 服务资源可以为了某个领域的特定目的而聚集或组合在一起【3 】。 由此可见，在网格标准草案w s r f 中，网格服务是一类特殊的w e bs e r v i c e ， 基于g s i 的数据库网格安全基础架构 第二章数据库网格安全现状 它需要遵循w e bs e r v i c e 的安全标准，数据库网格安全要与其他环境融合，也必 须要遵循这些标准。下一节将简单介绍这些标准。 2 2 2w e bs e r v i c e 安全标准 w e bs e r v i c e 安全规范体系可以用下图来表示( 此图参考i b m 和m i c r o s o f t 共同提出的w e bs e r v i c es e c u r i t y 发展协议栈图【4 】) ： 图l - 1w e bs e r v i c e 安全规范体系 w s s e c u r i t y 描述如何向s o a p 消息附加签名和加密报头，还描述如何向消息附加安 全性令牌，比如二进制安全性令牌的x 5 0 9 证书和k e r b e r o s 票据。提 供了一个通用机制把可扩展的安全性令牌与消息关联起来。使用x m l 签名和安全性令牌可以确保消息的完整性，消息在传输过程中未被修 改。同样地，使用x m l 加密和安全性令牌可以使s o a p 消息的一部分 保密，提供消息机密性。 w s p o l i c y 描述中介体和端点上的安全性策略的能力和限制，比如所需的安全性令 牌、所支持的加密算法和隐私权规则。这是可扩展的，并且不会对可以 描述的要求和能力的类型做甜么限制，此规范识别几个基本的服务属 性，包括隐私权属性、编码格式、安全性令牌要求和支持的算法。 w s t i u s t 描述使w e b 服务能够安全地进行互操作的信任模型的框架。此规范描 述如何通过创建安全性令牌保证服务把现有的直接信任关系用作代理 信任的基础。这些安全性令牌保证服务建立在w s s e c u r i t y 的基础上， 辩婚&g#番熏蠢_葺0一 基于g s i 的数据库网格安全基础架构 第二章数据库网格安全现状 用一种保证令牌的完整性和机密性的方式传送那些必需的安全性令牌。 w s s e c u r e c o n v e r s a t i o n 描述如何管理和认证各方之问的消息交换，包括安全性上下文交换以及 建立和派生会话密钥。 w s p r i v a c y 将描述w e b 服务提供者和请求者如何声明主题隐私权首选项和组织隐 私权实践声明的模型。通过使用w s p o l i c y 、w s s e c u r i t y 和w s t r u s t 的组合，商业机构可以声明并指出遵守声明的隐私权策略。此规范描述 一个关于如何把隐私权语言嵌入到w s p o l i c y 的描述，以及如何使用 w s s e c u r i t y 把隐私权声明与消息关联起来的模型，它还描述如何使用 w s t r u s t 机制，同时为用户首选项和组织实践声明评价这些隐私权声 明。 w s f e d e r a t i o n 将描述如何管理和代理异类联合的环境中的信任关系，包括支持联合身 份。此规范定义如何使用w s s e c u r i t y 、w s p o l i c y 、w s t r u s t 和 w s s e c u r e c o n v e r s a t i o n 规范构建联合信任案例，例如如何把k e r b e r o s 和p k i 基础架构联合起来。 w s a u t h o r i z a t i o n 将描述如何管理授权数据和授权策略，如何在安全性令牌内指定声明， 以及这些声明在端点处将如何被解释。此规范在授权格式和授权语言上 是灵活且可扩展的。 f 注：以上概述分别参考i b m 和m i c r o s o f t 共同提出的w e bs e r v i c e s e c u r i t y 体系结构【4 】和各标准，规范定义【5 】【6 【7 】【8 】) 这些规范中，w s s e c u r i t y 已经于2 0 0 4 年被o a s i s 批准成为标准，而 w s t r u s t w s s e c u r i t y p o l i c y ( w s p o l i c y 的子规范) 和w s s e c u r e c o n v e r s a t i o n 于2 0 0 5 年9 月被提交给o a s i s ，由技术委员会来实现标准化，而图中剩下的 规范w s f e d e r a t i o n ，w s p r i v a c y 和w s a u t h o r i z a t i o n 还未正式发布。我们 在设计数据库网格安全架构时遵循了这些标准和规范，并且随时关注规范的变 化，使我们的架构与未来的标准接轨。 1 2 基于g s i 的数据库网格安全基础架构 第二章数据库网格安全现状 2 3 数据库网格安全相关项目 随着人们对安全问题的关注，网格安全的研究与开发也不断深入。围绕着 验证，授权，信任等普遍安全问题的项目层出不穷，本节简要介绍了其中比较 有代表性，影响比较大的，综合分析它们的特点和不足。 2 3 1t h eg l o b u s 的安全体系 目前的g l o b u s 可以认为是网格技术的典型代表和事实上的规范，它的安全 组件具有很强的参考价值。g l o b u s 的安全组件主要有g s i 和c a s ： g s i ( g r i ds e c u r i t yi n f r a s t r u c t u r e ) 9 g s i 是g l o b u s 的安全基础构件工具包，为用户和应用程序提供用来安全地 访问网格资源的一组工具、类库和协议。它是网格安全体系结构的一个实现。 g s i 的主要目标是：为多个网格系统和应用程序提供单点登录；以及在同 一网格中的多个不同主体之间提供安全的通信机制。 为获得网格安全，g s i 既提供了资源端工具，又提供了客户端工具。在资 源端，g s i 工具包括用来识别资源的x 5 0 9 证书。客户端工具包括用来创建临 时证书( 称为代理证书) 的工具，以及用来执行单点登录和权限委托的工具。 客户机与目标资源使用上面介绍的证书相互进行身份验证，并在第一次握手之 后，建立一个安全的加密通信通道，该通道类似于支持安全传输h t t p s 和 s e c u r es h e l l ( s s h ) 的传输层安全协议( t l s ) 中涉及的通道。另外，客户机 可以选择将自己的证书委托给资源，让后续的资源访问得以继续，而不用再进 行任何干涉。资源利用网格映像文件将目前的证书与一个本地用户帐号关联在 一起。然后，它可以使用这个本地帐号的权限派生一些进程。另外，它可以利 用诸如c a s ( c o m m u n i t y a u t h o r i z a t i o ns e r v i c e ) 之类的工具进行更细粒度的身 份验证操作。 c a sf c o m m u n i t ya u t h o r i z m i o ns e r v i c e ) 1 0 c a s 也是属于t h eg l o b u sa r o j e c t t m 。它是一个基于g s i 的授权系统。资源 提供者将自身粗粒度权限交给c a s ，由c a s 控制细粒度权限分配。权限以 p e n n i s s i o ne n t r y 为单位。c a s 是一种中心控制的授权服务，资源提供者虽然可 以更改用户权限，但必须登录c a s 服务。 基于g s i 的数据库网格安全基础架构 第二章数据库网格安全现状 2 3 2 d a t a g r i d 的安全体系 d a t a g r i d 1 1 是一个为e s c i e n c e 提供数据解决方案的系统框架。它由u s c 的a n nc h e r v e n a k 和u c l l i c a g o 的i a nf o r s t e r 等人提出，并且建立在g l o b u s 基础之上。d a t a g f i d 由g r i df t p 和r e p l i c am a n a g e m e n t 两个基本部分组成， 以文件为最小的数据存储单元，所以d a t a g r i d 关注的实际上是网格上的分布式 文件管理。d a t a g r i d 的安全体系包括v o m s ( v i r t u a lo r g a n i z a t i o nm e m b e r s h i p s e r v i c e ) ，t r u s tm a n a g e r , a u t h o r i z a t i o nm a n a g e r , l c a s l c m a p s v o m s ( v i r t u a lo r g a n i z a t i o nm e m b e r s h i ps e r v i c e ) 【1 2 v o m s 是由e ud a t a c 耕d t m 研发的颁发用户虚拟组织身份的服务，它可以 看做是分布式的授权机制，v o m s 为虚拟组织用户颁发带属性的证书( x 5 0 9 证书的扩展，尚未成为标准) ，将用户在虚拟组织的身份，角色写入属性证书， 也可以说它是基于角色的授权方式。当用户访问虚拟组织中的本地资源时，需 要携带属性证书。本地资源提供者端需要验证属性证书，并按照本地资源的授 权策略为该用户分配权限。 v o m s 做为欧洲数据网格的虚拟组织授权方式，具备了分布，灵活的特点。 但是它颁发的属性证书还不具备标准性，也没有考虑遵循w e bs e r v i e 安全标准。 t r u s tm a n a g e r 1 3 】 当用户请求到达本地资源时，由t r u s tm a n a g e r 验证用户证书( x 5 0 9 格式) ， 判断它是不是来自所申明的组织。t r u s t m a n a g e r 并非管理虚拟组织之间信任关 系而类似一个验证系统。它是t o m c a t 里s s l s e v e r s o c k e t f a c o t r y 的替换实现， 扩展了原有j a v a 类，并且提供了以下新特性：验证g l o b u sp r o x yc e r t i f i c a t e 的 证书链，验证证书撤销列表。 a u t h o r i z a t i o nm a n a g e r 13 本地授权策略的决定点。a u t h o r i z a t i o n m a n a g e r 得到用户证书的属性信息之 后判断用户的权限。它是一个粗粒度的权限控制模块，根据用户证书主体名来 推断是否应该映射到一个属性( 即角色) 。 l c a s l c m a p s 13 本地授权策略的执行点。l c a s l c m a p s 将根据用户权限为用户创建本地 映射关系例如操作系统用户，或者其他用户身份比如k e r b e r o s 证书等等。 1 4 基于g s i 的数据库网格安全基础架构 第二章数据库网格安全现状 2 3 3 s h i b b o l e t h s h i b b o l e t h 是由i n t e r n e t2 r m 开发的为网格环境中的各种组织之间身份转换 提供支持的项目，它的设计场景是大学，企业，政府。当有未知用户访问一个 组织内的服务时，s h i b b o l e t h 服务会截取未知用户的消息，获得未知用户的所属 组织，然后联系该组织的s h i b b o l e t h 服务获得用户在该组织的角色等信息，由 此来决定是否赋予权i 寝 1 4 1 。 2 3 4小结 g s i 是一个普遍使用的，架构良好的安全基础构件工具，它的验证体系被 网格服务广泛应用，但是它的授权机制过于简单，而且对于网格其他的安全需 要考虑不足，不是一个完整的网格安全基础架构。由于g s i 的普遍使用，我们 将它作为我们思考数据库网格安全的基础，我们力求根据我们数据库网格安全 环境的需要，通过扩展g s i ，构建我们自己的数据库网格安全基础架构。因此，g s i 作为我们d g s i 设计与实现的基础，将在后文中再次详细介绍。 c a s 做为g s i 授权机制的补充，过于中心化，而且授权单位是一条条的许 可，不适应数据库网格授权机制的要求。 欧洲数据网格的安全体系比较灵活，分布性强。但是它解决的是网格环境 中的文件系统的管理问题。没有集成数据库的安全技术。它的授权机制尽管使 用的是属性证书，标准性不强，但是本地资源参与授权的思想值得借鉴。 s h i b b o l e t h 关注的是网格中虚拟组织之间身份的对应转换问题。 综合起来看，虽然每个项目都在某方面特点上契合了数据库网格安全的要 求，但是对于数据库网格安全基础架构来说，这些项目没有提出完推的架构和 实现。 基于g s i 的数据库网格安全基础架构 第四章d g s i 协议 第三章d g s i 总体概述 3 1 引言 本章是对d g s i 体系结构以及系统功能的概要性介绍。d g s i 遵循了网格的 w s r f 体系结构和一系列w e bs e r v i c e 安全标准，从多方面扩展了t h eg l o b u s 的g s i ，旨在成为一个完整的数据库网格安全基础架构。 3 2d g s i 技术基础 3 2 1 基于g s i 的设计模型 上一章介绍过：g s i 是g l o b u s 的安全基础构件工具包，为用户和应用程序 提供用来安全地访问网格资源的一组工具、类库和协议。它是网格安全体系结 构的一个实现。由于目前的g l o b u s 可以认为是网格技术的典型代表和事实上的 规范，g s i 被各种网格项目广泛应用，也成为事实上的安全规范。但是由于g s i 在功能上的不足和不完整，不能成为数据库网格的安全基础架构。 我们在设计d g s i 时，继承了g s i 的一些设计思想与实现，尤其是通信保 护，认证和代理证书机制。g s i 做为d g s i 的重要技术基础，值得更为详细的 介绍： g s i 1 5 1 中的主要安全技术手段包括：认证证书、双向认证、保密通信、安 全私钥、授权委托和用户单一登录。g s i 认证证书采用了x 5 0 9 的证书格式， 可被其它基于公钥的软件共享；g s i 采用s s l 作为它的双向认证协议，实体之 间通过认证证书证明彼此的身份；g s i 采用公钥技术与对称加密技术结合的加 密方式，在保证通信安全性的同时尽量减少加解密的开销；g s i 将用户的私钥 以文件的形式加密存储在用户计算机上，以此来保护用户的认证证书；g s i 对 标准的s s l 协议进行了扩展，使得g s i 具有授权委托能力，减少用户必须输入 口令来得到私钥的次数；g s i 使用用户代理解决用户单一登录问题。 在g t 4 中，g s i 可以同时支持传输层的安全性和消息级的安全性 1 5 】。在 g s l 中，传输层的安全实现可以在网格实体之间使用t l s 和x 5 0 9 证书进行身 份验证。消息级的安全性实现了对w s - s e c u r i t y 和w s s e c u r e c o n v e r s a t i o n 规范 的支持。通过使用这种安全性，您可以在每个消息的级别上为s o a p 消息提供 基于g s i 的数据库网格安全基础架构 第四章d g s i 协议 安全保护。在g t 4 中，传输层的安全性被设置为默认设置，这是为了提高性能 才这样考虑的。随着消息级安全性的性能的提高，这种方式将会得到抑制，但 是在最近可能还达不到。 d g s i 在认证机制上基本采用了g s i 的认证体系和w s s e c u r i t y 标准；在授 权上，借鉴了v o m s 分布式的思想，使虚拟组织和本地资源都参与授权；另外， 增加了信任安全的内容。d g s i 对于g s i 的扩展可以用下图表示： 图3 1d g s i 对g s i 的扩展 3 2 2 遵循w s - s e c u r i t y 标准和w s - s e c u r e c o n v e r s a ti o n 规范 w s s e c u r i t y 5 标准的目的是确保w e b 服务应用软件处理数据的完整性及保 密性，规定了w e b 服务协议s o a p 的扩展及消息头( m e s s a g eh e a d e r ) 。它是 w e bs e r v i c e 安全规范里目前唯一成为标准的。它描述通过消息完整性、消息机 密性和单独消息认证提供对s o a p 消息传递安全性的增强。这些机制可以用于 提供多种安全性模型和加密技术。w s s e c u r i t y 还提供关联安全性令牌和消息的 通用机制。w s s e c u r i t y 不需要特定类型的安全性令牌。它在设计上就是可扩展 的( 例如支持多安全性令牌格式) 。另外，w s s e c u r i t y 还描述如何对二进制安 全性令牌编码。此规范特别描述如何对x 5 0 9 证书和k e r b e r o s 票据编码以及如 何加入难于理解的加密密钥。它还包括可以用于进一步描述消息中包含的凭证 特征的扩展性机制。 w s s e c u r i t y 很灵活，它被设计成用来构建多种安全性模型( 包括p k i 、 k e r b e r o s 和s s l ) 的基础。w s s e c u r i t y 特别为多安全性令牌、多信任域、多签 名格式和多加密技术提供支持。规范提供了三种主要的机制：安全性令牌传播、 消息完整性和消息机密性。这些机制本身并不提供完整的安全性解决方案。相 反，w s s e c u r i t y 是一一种构件，它可以与其它w e b 服务扩展和更高级的特定于 基于g s i 的数据库网格安全基础架构 第四章d g s i 协议 应用程序的协议联合使用，以适应多种安全性模型和加密技术。这些机制可以 独立使用( 例如传送安全性令牌) ，或以紧密集成的方式使用( 例如，对消息签 名和加密，并提供与用于签名和加密的密镅相关的安全性令牌层次结构) 。 尽管消息验证对简单或单向消息非常有用，但希望交换多个消息的机构通 常会建立一个受保护的安全上下文，以在其中交换多个消息。w s s e c u r e c o n v e r s a t i o n 规范 8 】引入了安全上下文及其使用。安全上下文在通讯连接 的有效期限内由通讯方共享。在此规范中，安全上下文 安全令牌表示。一旦建立( 验证) 了某个上下文和机密，派生密钥中描述的机 制就可以用来计算此安全上下文中每个密钥使用的派生密钥。 3 3d g s i 协议分层模型