（计算机应用技术专业论文）基于globus下的网格技术和安全分析.pdf

北京邮电大学硕士学位论文基于g o b u s 下的网格技术和安全分析 基于g i o b u s 下的网格技术和安全分析 摘要 随着大规模应用程序的发展，仅仅只靠一台高性能电脑或者一群 协同工作的电脑进行运算已经远远不够了。而与之相对的情况是，大 部分个人电脑在9 0 以上的时间内都处于空闲状态。网格技术能够 把这些零散的空闲资源充分利用起来，整合成为一个透明的虚拟高性 能计算环境以满足计算能力的需要。目前，网格已成为当前的一个研 究热点，全球各大公司都在开展网格方面的研究。2 0 0 3 年1 0 月，i b m 公司与中国教育部宣布，双方将采用网格技术促进中国高校在教育、 科研及更广泛项目上的合作，推进中国教育科研网格的建设。 由于网格计算环境是一种动态的、多协议的环境，因此它引入了 复杂的安全性问题，需要用新的技术进行处理。网格安全性问题是网 格技术的基础性问题，它的解决直接关系到网格未来发展的前景。 本文系统地论述了以下几个方面的问题： 1 网格的相关概念和变化发展； 2 网格体系结构和基于g l o b u s 下的网格技术； 3 网格安全的主要技术细节，包括网格安全基础措施g s i 的证书 格式、安全身份的相互鉴别、g s i 安全策略、g l o b u s t o o l k i t3 0 下的 安全模型等等； 4 重点是根据基于g s i 的安全代理验证设计一个g l o b u s 下的安 全应用程序的证书授权和访问控制部分； 北京部堍戈学硕士学位论文豢于g l o b u s 下砖翳格技术争安全分辑 5 论述影响网格安全的相关技术并提出解决措施 6 综合国外网格安全方法的研究现状并总结未来网格安全发展 戆方囱。 关键词：网格；g l o b u s 网格计算工具包；开放式网格服务结构；网 播安全基硪设麓；公镪基磋设施；虚拟缌织； 北京邮电欠学硕士学位论文基予g l o b u s 下的网络技术和安全分辑 a n a l y s i so f g l o b u s b a s e dg r i d t e c h n o l o g ya n ds e c u m t y a b s t r a c t w i t ht h ed e v e l o p m e n to fl a r g e s c a l ea p p l i c a t i o n s ，i ti si m p o s s i b l et os o l v et h e p r o b l e m su s i n gas i n g l eh i g h - p e r f o r m a n c ec o m p u t e ro ras i n g l ec o m p u t e rc l u s t e r h o w e v e r , m o s tp e r s o n a lc o m p u t e r sa r ei ni d l ec o n d i t i o ni nm o r et h a n9 0 o ft h e i r a v a i l a b l ep o w e rt i m e g f i dt e c h n o l o g yc a nm a k ef u l lo fu s i n gt h e s es c a t t e r e di d i e r e s o u r c ea n di n t e g r a t et h e mi n t oat r a n s p a r e n tv i r t u a lh i g h - p e r f o r m a n c ec o m p u t i n g e l l v i r o l l m e n tt om e e tt h ec o m p u t i n gp o w e rn e e d s n o w , g r i dh a sb e c o m eah o t r e s e a r c hi t e mi ut h ew o r l d a sm o r ec o m p a n i e s p r o v i d eg r i ds e r v i c e st h a ta r ee a s ya n d f i e x i b l et ou s e m o r ea n dm o r ep e o p l ew i l lm a k eu s eo fg r i ds e r v i c e sa n dp r o v i d e g r i ds e r v i c e so f t h e i ro w n 。 a sg r i d c o m p u t i n gi s 簌d y n a m i c a n dm u l t i i n s t i t u t i o n a l n a t u r eo ft h e e n v i r o n m e n t s ，i ti n t r o d u c e sc h a l l e n g i n gs e c u r i t yi s s u e st h a td e m a n dn e wt e c h n i c a l a p p r o a c h e s b e c a u s es e c u r i t yo fg r i ds e r v i c e si s t h ef u n d a m e n t a lp r o b l e mo fg r i d t e c h n o l o g y h o w t os o l v ei tw i l li n f l u e n c et h ef u t u r eo fg r i dt e c h n o l o g yd i r e c t l y t h ef o l l o w i n ga s p e c t sa r ed i s s e r t a t e db yt h en u m b e r s ： 1 c o n c e p t so f g r i d a n di t sd e v e l o p m e n t ； 2 g r i da r e h i t e c t u r ea n dg r i dt e c h n o l o g yb a s e do i lg 1 0 b u s ； 3 ，飘瓣m a i nt e c h n i c a ld e t a i l so fg r i d s e c u r i t y , i n c l u d i n gg s i ( g r i ds e c u r i t y i n f r a s t r u c t u r e ) c e r t i f i c a t ef o r m a t ，m u t u a la u t h e n t i c m i o n ，g s is e c u r i t yp o l i c y , s e c u r i t ym o d e l o ng l o b u st o o l k i t3 ，0 4 h o wt 0d e s i g na u t h o r i z a t i o na n da c c e s sc o n t r o lo fas e c u r t ya p p l i c a t i o n 抽 g l o b u sb a s e do ng s i s e c u r i t yp r o x y c e r t i f i c a t e si st h em a i n p a r t so f t h i st h e s i s ； 5 d i s c u s s i n gs o m ei n f l u e n t i a lf a c t o r so f g r i ds e c u r i t ya n dp u t t i n gf o r w a r dt h e s o l v i n g m e t h o d s ， 6 c o n c l u d i n g t h ew a yo fg r i ds e c u r i t yd e v e l o p m e n ti nt h ef u t u r eb y s e t t i n gf o r t h t h ec u r r e n tr e s e a r c ho f g r i ds e c u r i t ym e t h o d si nt h ew o r l d k e yw o r d s ： g r i d ；g l o b u st o o l k i t ；o g s a ( o p e ng r i ds e r v i c e sa r c h i t e c t u r e ) ； g s i ( g r i ds e c u r i t yi n f r a s t r u c t u r e ) ；p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) ；v i r t u a l o r g a n i z a t i o n s ；x 。5 0 9 北京邮电大学硕士学位论文 基于g l o b u s 下的网格技术和安全分析 第一章绪论 本章首先描述了网格的有关概念，列举了自上世纪末网格概念提出之后的有 关变化，并简单介绍g l o b u s 对整个网格技术的推动作用，着重强调网格中的有 关技术，尤其是安全性方面的技术将成为整个网格技术未来前进的重要基础和动 力。 1 1 研究背景 进入2 1 世纪之后，因特网和万维网呈现飞速发展的状态。在现实生活之中， 网络的影响也随处可见。“上网”已经不是上世纪末的那种很稀罕的前卫词语。 然而纵观任何科学技术的发展，都有一个“s 曲线”的发展状态，那就是一个从 诞生，到快速成长、到成熟，到衰亡的过程。今天还能称为高科技的东西，明天 可能就会成为传统产业，甚至是人们口头中的“低科技”。因此，对于因特网和 万维网的未来发展，人们有着两种完全不同的意见，一方面有人认为，网络技术 和信息技术还处于快速发展之中，不管是在技术、应用或者市场方面还有很多创 新的机会，而另一方面的观点则针锋相对，他们认为因特网和万维网技术已经进 入成熟期，这些技术即将被更先进的技术所取代。不管采取什么样的观点，有一 点是肯定的，那就是“因特网和万维网之后到底会是什么? ”而面对这个问题， 越来越多的科学家们给了一个相同的回答，那就是网格。 网格概念的提出给了目前有些混乱的互联网当头棒，人们对网格的初始印 象就集中在一个问题上，那就是“网格是未来的互联网么? ”对这个问题的回答 是肯定的又是否定的，肯定在于网格对未来互联网的发展有着指导作用，比如其 严格的安全性要求和较为完善的体系结构是未来互联网发展的方向，其基于互联 网之上的整合也说明了网格和互联网之间密切的关系；否定则在于网格是强调资 源的调度和整合，其目标是充分利用空闲资源以获得足够强大的计算能力。 笔者是2 0 0 2 年底开始接触网格的有关概念，那时候国内网格的第一本书籍， 也是世界上网格的第二本书籍，由都至辉、陈渝和刘鹏编著的网格计算h 1 刚刚出版。直到今天，这本书籍对笔者的研究仍然具有重要的参考价值。国外关 于网格方面的研究起步要早一些，大概是开始于上世纪的9 0 年代，主要是美国 a r g o n n e 国家实验室进行的g l o b u s 项目研究。经过几年的发展，如今的n 格概念 和内涵都和当初提出网格概念的时候有了很大的区别了，但不管网格技术如何发 展，有点没有变化，那就是网格的目标，即整合空闲资源实现有效的资源利用， 因为这是网格之所以发展的原始动力。， 藐京邮电走孝矮士学位论文 基于g d t u s 下的秘穆技拳和安全分蓊 目前国内的网格研究已经兴起，从最开始1 9 9 9 年底中科院计算所牵头的国 家8 6 3 蘼点项目“国家高性能计算环境”到目前国内几十所大学和研究机构开始 开展各种网格研究，中国的网格研究正进入一个前所未有的高潮之中。但由于我 藿筑鬻辏鼓术骚突起步较爨努唆，不褥不傻愆霞努有关斡磅究戏鬃遴行二次开 发，掰以如何热强丽格核心技泰的研究，瓷爨中毽特色的嘲捂标壤蹙弱掊研究者 们共间努力的方向之一。正如国家8 6 3 重大项目总体组组长钱德沛在l e g e n d w o r l d2 0 0 2 关联基础架构论坛上作出的一个犄辟总结，我国的网格技术应该是 “研究内容与目标对应，第一要研究支持高憔能计算、资源共事、协同工作的国 家毅一代国家信怠基磷设撼斡关键接术，包疆隧穆的体系结构，嚼掺安全、网格 运季亍管濮维护秀嚣薅疆嚣遮行梳镱等等。另羚，我们要醑鞠大型行照藏瘸弼辏豹关 键技术，包括网格应用技术、服务模式等等。闽对要研制应用潮格的原型。第三 要研制丽向网格具有良好的应用开发环境的商性能计算机的体系结构和实现技 术。对于网格软件方面，臻突破关键的核心技术。通过这些研究，推动网格的产 业亿避稷。” 本文扶两穆款定爻入手，遥过羁穗赣念翡变纯撬塞其骜蜃戆含蕊两监声爨应 用背景：然后摇述网稽的体系结构，同样通过前后两种体系结捣i ! 勺比较突出当前 网格技术中的关键在于网格安全性技术；在接下来的网格安全性描述中，笔者为 了实现一个网格应用程序的证书授权和访问控制部分，先从网格安全基础设施 g s i 入手，通过分析其特点并结合开发工具g t 3 魄有关规定讨论了有关安全孝几 帮安全搂型懿内容，髯谈诗崮该瘟焉程序懿帮癸代强；文章戆激器蘩分是对影 响网稽安全技术儆了一个总结和归纳，提出了一些可能豹改进臻施，并在综合国 外相关的研究现状下提觇自己对对网格安全米来发展方向的看法。 1 2 网格的定义 1 2 ，1 翮捂的传统定义 网格的出现和现实怒息息相关的，我们都知道，计算机在大多数时间中都是 空闲的，它并不处理任何事务，只是在设备之间来回发送电子，可能最后就显示 出雳户设定鲍屡蓁保护獠黪。这些计算枫在溺糕戆量，但楚实际上它豹处理器中 并没褥产生任何有薅静攀掌 藏信息。摇绩诗，蠹诗篓瓿矮寒菝行薰要处理茬务 的时间少于其处理能力的5 。甚至大多数撇务器只使用了其1 5 以下的赶理 能力米满足用户的需要，剩下的服务器时间( c p u 、r a m 、硬盘铸等) 仍然空 闲着末被使用。那么，怎样才能把这些“空闲服务”充分利用起来呢? 于是，网 格鼹务的壤念出现了，葵寒浓取决于人们用爨蓊的技术与服务对獒送行宣扬、促 4 北京邮电大学硕士学位论文 基于g l o b u s 下的网格技术扣安全分析 进和扩充，尤其是在市场化应用上，其能否真正取代当前的流行技术。 网格到底是什么? 全球网格研究的领军人物、美国a r g o n n e 国家实验室的资 深科学家、美国g l o b u s 项目的领导人i a nf o s t e r 曾在1 9 9 8 年出版的网格：2 1 世纪信息技术基础设施的蓝图1 2 2 一书中是这样描述的：“网格是构筑在互联网 上的一组新兴技术，它将高速互联网、高性能计算机、大型数据库、传感器、远 程设备等融为一体，为科技人员和普通老百姓提供更多的资源、功能和交互性。 互联网主要为人们提供电子邮件、网页浏览等通信功能，而网格功能则更多更强， 让人们透明地使用计算、存储等其他资源。”从广义上的概念看，网格应该是一 种所谓的巨大全球网格g g g ( g r e a tg l o b a lg r i d ) ，它不仅包括计算网格、数据 网格、信息网格、知识网格、商业网格，还包括一些已有的网络计算模式，例如 对等计算p 2 p ( p e e rt op e e r ) ，甚至就是一些专业性比较强的，如我国公安部提 出要建立的刑侦信息网格系统都可以包括在这个广义的概念之中。从网格技术本 身的发展来看，网格技术尤其体现了一种“共享包容”的精神，正如中科院计算 所李国杰院士说的那样，“网格其主要特点是不仅仅包括计算机和网页，而且包 括各种信息资源，例如数据库、软件以及各种信息获取设备等，它们都连接成一 个整体，整个网络如同一台巨大无比的计算机，向每个用户提供体化的服务。” 网格概念的另一方面在于其特殊的狭义性，为了严格的把网格与第2 代 i n t e m e t 或下一代i n t e m e t 区分开来，体现网格作为信息处理的基础设施作用，不 少人认为应当更强调网格的狭义性，即正如i a nf o s t e r 在其2 0 0 0 年重新诠释网格 的网格是什么? 鉴别网格的三个指标| 2 l j 一文中说到网格核心概念在于“在 一组参与节点( 资源提供者和消费者) 中协商资源共享管理的能力，利用协商得 到的资源池共同解决一些问题。”由于不愿意用网格来包容任何计算机系统，尤 其是那些完全控制每个成员行为的管理系统，i a nf o s t e r 将集群管理系统、网页， 甚至某些开放性和标准性不够严格的p 2 p 系统都排除在网格概念之外。他提出了 新的判断网格的三个指标，那就是“协调非集中控制资源；使用标准，开放，通 用的协议和界面；得到非平凡的服务质量”，而基于这三个指标所开发的g l o b u s t o o k l i t 系统，已逐渐成为网格技术中事实上的标准，得到了越来越多人的赞同。 关于网格，本人认为，不管是广义还是狭义的网格，其目的都在于利用互联 网络把分散在不同位置的计算机组合成一个具有超级计算能力的“虚拟超级计算 机”，同时能够实现各种资源的共享。然后在此基础上保证不同地理位置的人们 不会因为所处的自然环境的不同而改变其获取资源的能力以及得到足够“计算能 力”的可能性。同时，这种网格的出现，还将极大提高人类的资源整合能力，尤 其是在天文学、生物学等需求极大计算资源的专业领域，利用网格将有可能完成 几台甚至上百台电脑无法完成的工作。换句话而言，传统的互联网是实现单独一 北京邮电大学硕士学位论文 基于g l o b u s 下的网格技术弄口安全分析 台台计算机的连通，同时利用w e b 来共享网页资源，而网格则力图在互联网的 基础上实现所有资源全面、透明且高效率的连通。 122 网格定义的新发展 进入到2 0 0 3 年之后，网格技术出现了新的发展，最重要的在于美国a r g o n n e 国家实验室于7 月1 日正式发布了g l o b u st o o l k i t3 0 版i ”，这是一个完全支持开 放网格服务体系结构o g s a 版本。作为国际上最有影响的和网格相关的项目之 一，g t 3 已经成为建造网格应用和网格环境的首选。 回顾近几年来整个网格技术的发展，我们可以得出这样的一卜结论，那就是 网格已经从“理想化”走向了“现实化”。 当a r g o n n e 国家实验室的资深科学家、美国g l o b u s 项目领导人i a n f o s t e r 在 1 9 9 8 年第一次作网格定义时还使用了“网格功能则更多更强，让人们透明 地使用计算、存储等其他资源”【丑j 这样的理想化描述时，到了2 0 0 0 年，为了不 让网格成为定义所有技术的“综合体”，i a n f o s t e r 提出了限定网格的三个条件【2 “， 而正是这三个严格的条件把p 2 p 、s u ng r i de n g i n e 等都排除在网格之外，确立了 o l o b u s 作为事实上网格的标准地位。然而到了2 0 0 3 年，为了使网格能真正从实 验室走向市场化并追求更好的应用技术开发，在以i b m 为代表的工业界支持之 下，a r g o n n e 提出的g t 3 0 正式将w e bs e r v i c e 包括在g l o b u s 之中，这不仅仅开 辟了网格技术强大的市场空间，同时也必将使得网格成为绝大多数开发者关注的 焦点之一。 未来的网格技术发展将着重于把异质的系统和应用程序集成到一个范围更 加广泛的逻辑网格上，从而为关键的企业应用程序带来更高的性能，最终的目标 是包括在计算能力上的完全资源共享。换句话而言，就正如一些人提出的那样， 计算能力最终也会像水力、电力那样成为整个商业社会发展的基础设施。计算能 力能够象电力、自来水一样当作商品由公共购买，做到随需所用。当一个企业在 解决某项问题需要计算能力时，他的第一反应不是去购买计算机等i t 设备，而 是像购买水力、电力一样去购买计算能力。这样企业界( 各个i t 公司如i b m 、 h p 、s u n 、m i c r o s o f t ) 必须能够像水力、电力公司( 如自来水公司、发电厂) 那 样方便、简捷的提供计算能力。 总之，从i a nf o s t e r 的言论中可以大致估计到，网格的发展和市场的应用两 者之间的关系是非常紧密。一个好的概念要能够真正成为市场上事实的标准，其 应用的广泛性和易接受性非常重要，因为这些将决定了它在市场上的竞争力。因 此，把网格概念从一个略微显得高不可攀的程度放到紧密和w e bs e r v i c e 等较为 纯粹的应用相结合，这些都体现了美国a r g o n n e 国家实验室力推g l o b u s 项目的 6 北京邮电大喾硕士学位论文 基- t - g i o b u s 下的弼格技术和安全分折 决心。两扶疆前的情况看来，g l o b u s 的确徽褥不错，在推动网格技术的离时， 确定了自己在网格技术开发应用中的核心地位。 1 ，3 g i o b u $ 项目对网格技术的推动 3 1 8 o b u s 壤誊的起源 g l o b u s 项目是美国a r g o n n e 国家实验室等科研单位的研发项目。作为当前国 际上晟有撮；响的与网格计算相关的项目之一，它越来越成为开发网格应用程序的 事实上的橼准。 g l o b u s 矮嚣发莛予主整缀年钱孛鞭，英疆镪瓣嚣魏是受了将焚鹫凌痰熬 各个高性能计算机中心通过离。陡能网络连接起来，方便大学和研究枫构从事大型 计算方面的研究，同时也能掇商高性能计算机的使用效率【7 。之后随潜研究的进 展，g l o b u s 项目组提出自己关于网格的初始概念并着手开发了能在多种平台下 运行的鄹格计算工具包软件g 1 0 b u st o o l k i t ，能够用于帮助规划和缀建大型的网 罄试验零应逶平台，开发遥会大型霹疆系统运行滤大垒应霉翟枣。瓣蓠，g l o b u s 项目把裔业计算领域中的w e bs e r v i c e 技术融入到焚g t o b u st o o l k i t3 0 之中，希 望不仅仅把网格概念局限于科学计算领域，还能够推进市场之中，对各种商业应 用进行广泛而基础性的网格环境支持，从而真正带动整个g l o b u s 项目的快速发 展。 g 1 0 b u s t o o l k i t 是g t o b u s 磺鏊中豹开发工翼魄，箕筹一叛是在】9 9 9 年攘出， 之后比较慧要的版本有1 。l ，3 、1 1 ，4 版以及2 ，2 敝。2 0 0 3 年，g l o b u s 项蟊推出基 于o g s a 体系结构并且融合w e bs e r v i c e 技术的g i o b u st o o l k i t3 0 版1 1 j ，目前， g l o b u s 的缴新版本是3 0 2 版，可以到h t t p ：w w w 幽上下载缀新的版本。 t ，3 。28 i o b u s 对嗣接计算的定义 传统的网格计算偏重于大娥模的分布式应用，如何调用有关的资源，实现有 效的资源调度算法是传统网格计算考虑的关键因豢。而在g l o b u s 中，尤其是 g l o b u st o o l k i t3 0 发布之后，鞭多的考虑不在予网络中相关资源的县体情况，而 是在于始褥怨这些资源安全、青教豹提供用户捷鼹，强调豹是一种“服务”的观 点。交鼗，淡潺豹访逮接瑟残谤弱赛垂或了g l o b u s 蓑关心戆凌题p l 。 在g l o b u s 的观点中，提如了个“虚拟缀绞”( v i r t u a lo r g a n i z a t i o n ) 弹j 的概 念。它认为，大型应用项目应该是由许多组织协同完成，这些组织邋过网格计算 环境形成“r 一个统一的“虚拟组织”，而网格计算环境中的任何资源，甚至用户、 北京邮电史学硕士学位论文 基于g l o b u s 下的阀播技术扣安全分析 成员都可以随时加入这个虚拟组织。这样在虚拟缀织之中，各种计算资源和存储 资滚帮懿缀方镬夔为纛羧堪缓戒员掰调用。熬嚣运个又荣来了令阉蘧，郑簸是 在网格计簿环境中，各种用户、成员和资源之间都是动态变化的，一个用户可能 这段时间怒这个“虚拟组织”中的成员，那段时间就有可能跳到其他的“虚拟组 织”中去。那么，如傍商效的对虚数缓织和其中溅员进行警瑾是g t o b u s 甏蛩磅 究的一个纛要课题，而这个阔题还籁网格安全构成了紧密的联系。正如( ( s e c u r i t y f o rg r i ds e r v i c e s 中曾这样描述，“一个使用网格技术的普通脚本中包含了动 态的虚拟组织结构。这种结构怒内一个普通觏的域整合单个互有联系的资源 帮鼗务懿缀梅盛豹，蠢不是蔹一令零令警理装搿定垃懿。在纛羧缝绥孛对整 合和管理资源的需求引入了复杂的安全问题。对于有关认证、缎成员、授校蒋一 系列问慰，虚拟组织成员之间的联系表示成种对那些成攒和他们的取菜组 织之闯联存关系款覆整。这耱覆盖存在予郡些双紊缓织之中，糕壤据售任又校握 安全性邋程和规剿来邋行。”扶这个意义上说，嘲格安全性方躐的技术迸靛将直 接决定了g l o b u s 项目的未来发展，撼至对于整个网格技术也慰具有极其重袋的。 目静+ 有关数据共枣移互操作能方案很多，如c o r b a 、j 2 e e 、e o m 毋c o m 、 p 2 p 等等。鞠这些方寨勰毙，g l o b u s 鹣譬标莠不怒取代餮有爨技术，两是希勰戆 在现有技术上建立更高层次的共享 】。为了达到遮样的目标，g l o b u s 需要开发相 应的通用协议，比如网格安全协议、网格数据传输协议等，并能通过这些协议实 褒挺应静耀辏鼹务，这个与建立在t c p i p 强议上豹w e b 骚务暇理程屈。g l o b u s 的网格计算工具包g l o b u s t o o l k i t 藏是为了这样纳蟊的推出的，并在实际成翻开 发市场上取得了不错的成绩，有望形成未来的标准。 ，3 ，3 嚣懿囊要魏霹捂并发乎宝 随着g l o b u s 项目的进展，越来越多的公司参与到网格计算的研究之中。同 时，很多公司考接出了爨己的一套嬲撩开发平台。选择一个开发平台，需簧研究 的一个关键特桎就楚怒否与开放潮格裰务禁鞠o g s a ( o p e ng r i d s e r v i c e s a r c h i t e c t u r e ) f 1 9 】及与之相伴的开放网格服务基础设施o g s i ( o p e n g r i ds e r v i c e s i n f r a s t r u c t u r e ) 2 0 1 相兼蜜。这些标准通过设置一数特定的参数，使不同的网格服 务之闽麓够遘李亍交互，惩户l 够鼹多耱不嚣茨工灸禧寒没诗帮开发痤霜程澎，这 些应用程序之间也能够桶互对话。 与此同时，还有一个问题值得考虑，即系统怒否能长久使用，是否具脊灵活 壁至。在这个方面开款滚代码的解决方案吸g l 力更大一些，因为遂横魇户就能通过 对源代确避行修改和扩展，来扩充系统的功髓。 目前使用较多的网格开发工具包括： 8 北京邮电大学硕士学位论文基于g t o b u s 下的网格技术和安全分析 ( 1 ) g l o b u st o o l k i t 是第一个支持o g s a 的通用工具箱：g l o b u s 是第一个 用于开发网格应用程序的通用工具箱，其中的组件可以在多种不同的网格系统中 使用。作为系统灵活性的部分体现，g l o b u s 工具箱提供了一组连接器( 称为 c o m m o n d i t yg r i dk i t s ) ，这使得用户能够在j a v a 、p y t h o n 以及p e r l 的应用程序 中使用g 1 0 b u s 系统。 ( 2 ) i b m g r i d t o o l b o x ：这个工具箱基于g l o b u s t o o l k i t 开发平台，是i b m 公司目前在主推的网格开发工具 2 9 】。i b m 在o l o b u st o o l k i t 中扩充了文档，并专 门为运行a i x 或l i n u x 的i b m 服务器硬件系统开发定制的脚本和组件。这个 工具箱的主要目标是计算网格，即将独立的计算任务分割成若干规模较小的工作 单元组，并单独进行处理。 ( 3 ) o g s i ，n e t ：这是用m i c r o s o f t n e t 技术实现的o g s a o g s i 标准， 可以在已有的w i n d o w s 系统上运行网格系统，是微软n e t 战略中的一部分。 9 北京邮电大学硕士学位论文 基于o o b u s 下的网格技术和安全分析 第二章网格体系结构和基于g i o b u st w i n 格技术 2 1 网格体系结构概述 网格体系结构是体现网格各组成部分的关系和它们集成的方式或方法，目前 主要有两种网格体系结构，一种是i a nf o s t e r 等一些人较早提出的五层沙漏结构 【23 1 ，另一种就是目前在结合w e b s e r v i c e 之后提出的种开放网格服务结构 o g s a ( o p e n g r i ds e r v i c e s a r c h i t e c t u r e ) 。两者的比较如表2 一l ： 【 基本思想结构与t c p i p 关系开发工具 g l o b u s 中有对 【五层沙漏结构以协议为中心五层比较紧密应各层次功能 的部分 g l o b u s + w 曲 f 开放网格服务 以服务为中心 接口+ 服务 比较松散s e r v i c e 构成两 结构数据 大支撑技术 2 2 五层沙漏结构 表2 1五层沙漏结构和开放网格服务结构的对比 在五层沙漏结构中，个最重要的思想是以“协议”为中心，这种协议是指 为了实现特定的操作而定义的分布式系统元素之间交互的方式以及交互过程中 交换信息的结构。与其他的协议不同的在于这些协议侧重于外部的行为而不是内 部的特征，从另外一种意义上同时说明这种协议虽然是一种“协议结构”，但从 根本上说，这些协议最重要的作用在于是同外部的行为块构成相关的服务。换 句话说，五层沙漏协议使得定义相关的标准服务( 比如对数据的存储和管理、资 源的发现和协同调度等等) 变得更加容易，这样使得虚拟组织参加者能够得到更 多的服务，又因为这些服务抽象掉了与资源相关的细节，所以非常有利于虚拟组 织应用的开发。除了这些协议之外，五层沙漏结构中还提供了a p i 和s d k ，这 样更加方便了应用代码的开发，同时对代码的共享已经增强其的可移植。t 生；b - n t g 具有很重要的作用j 。 五层沙漏结构的大致结构如图2 1 2 4 1 ： 北京邮电大学硕士学位论文基于g l o b u s 下的网格技术和安全分析 1 。8 。一”5 “。”“。”“ “m v 。i 一 魅j 寝哦 麓接 “致 ；_ l 求1 l 碰 蘑 慧i 断j 啦等一尹 弘聚接 、勰。黜 嶷源o i 纂时蟹垒访问蘩 遗拯牒 一 。悔迅瑶 汐潺形状的五屡端蜘 图2 1 五层沙漏结构 在五层沙漏结构中，最底层是构造层( f a b r i c ) ，其功能是向上提供网络中可 供共享的资源，它们是物理或逻辑实体。常见的资源包括计算机的处理能力、存 储系统、网络资源等。在构造层上面是连接层( c o r m e c t i v i t y ) ，这层是网格中 网络事务处理通信与授权控制的核心协议，构造层提交的各种资源间的数据交换 都在这一层的控制下实现，连接层使得孤立的单个资源之间建立了联系。连接层 的上面是资源层( r e s o u r c e ) ，它的作用是对单个资源实施控制，包括资源的初 始化、监测运行状况等相关操作。再往上就到了汇聚层( c o l l e c t i v e ) ，这一层的 功能是将资源曾提交的己受控的资源汇集在一起，供虚拟组织的应用程序共享和 调用，同时还包括对多个资源之间的协调。最上面一层是应用层( a p p l i c a t i o n s ) ， 这一层包括所有的应用程序，应用程序通过各层的a p i 调用相应的服务，再通过 服务调用网格上的资源来完成某个任务。为了方便应用程序的开发和维护，需要 建立支持网格计算的库函数，这些也是应用层上的重要内容之一。 在沙漏结构中，横向的宽度表示各层协议的数量多少。在五层之中，资源层 和连接层是五层协议中的核心部分，由于最核心的部分不仅仅要能够实现上层各 种协议向核心协议的映射，而且还要实现核心协议向下层各种协议的映射，因此 这一部分的协议数量不应该太多。从图中可以看出，正是资源层和连接层共同组 成了这一核心的瓶颈部分，使得整个结构呈现出一种“沙漏”形状。 北京邮电大学硕士学位论文 基于g l o b u s 下的网格技术和安全分析 2 3 开放式网格服务结构o g s a 与五层沙漏结构不同的开放网格服务结构o g s a ( 0 d e l lg r i ds e r v i c e s a r c h i t e c t u r e ) i ”j 是目前最新的种网格体系结构。o g s a 是由g l o b a l g r i df o m m ( g g f ) 的o p e n g r i ds e r v i c e si n f r a s t r u c t u r e ( o g s i ) 州工作小组于2 0 0 2 年6 月 制定的。它是以服务为中心的“服务结构”。这里所说的服务是指的具有特定功 能的网络化实体，因此服务的概念非常广泛，包括各种计算资源、存储资源、网 络、程序、数据库等等。与五层沙漏结构不同的在于，由于o g s a 将五层沙漏 结构中对资源的共享转成对服务的共享，这样不仅仅在概念上更加包容万象，同 时也使得分布式系统管理有了标准的接口和行为。 在o g s a 中，为了使服务的思想更加明确和具体，它定义了“网格服务”( g r i d s e r v i c e ) ，这是一种w e bs e r v i c e l 2 5 1 。这种网格服务的提出，实际上是将网格定义 为可扩展的网格服务的集合，即网格= 网格服务) ，而这种抽象，将有利于聚 集不同的网格服务来满足虚拟组织的需要，同时虚拟组织本身也可以定义一些新 的有用的服务来扩充相关的网格服务。 在用网格服务解决具体问题的时候，o g s a 将互操作性问题转化成为两个子 问题，即定义服务的接口和识别激活特定接1 3 的协议，强调的是与协议消息相对 应的服务，侧重于实体表现出来的行为特征。 在o g s a 以网格服务为中心的模型中，由于网格环境中所有的组件都是虚 拟的，因此通过提供一组相对统一的核心接口，所有的网格服务都可以基于这些 接口实现，这样在同一层中若干个低级网格服务就很容易构造出具有层次结构 的、更高级别的服务，这些服务可以跨越不同的抽象层次，以一种统一的方式来 看待。同时，当对服务进行组合时，可以不必考虑具体的实现，只要以底层资源 组成为基础，就能在虚拟组织中进行资源管理。这样，通过网格服务的虚拟化， 可以将通用的服务语义和行为，无缝的映射到本地平台的基础设施之上。 o g s a 想要实现的目标总结如下： ( 1 ) 跨分布式异构平台管理资源。即一定的网格能够管理其内部不同操作 平台、不用系统结构的资源，并将其整合以更好的为用户提供服务。简单说来， 就是在网格内部按照一定的资源调度算法和安全性要求等相关技术实现一定的 网格服务。 ( 2 ) 交付无缝的服务质量( q u a l i t y o f s e r v i c e ，o o s ) 。网格的拓扑结构通常 十分复杂，而且网格资源的交互往往是动态的。为了实现动态的资源交互，有 点很重要，即网格可以提供健壮的后台服务，比如授权、访问控制和委托a ( 3 ) 为自治管理解决方案提供公共基础。网格可以包含许多资源，还有大 苎童兰燮兰翌主主竺丝圭 垄王鱼! ! ! 竺! 竺璺竺垫查塑圭全坌堑 量的配置组合、交互以及状态与故障模式的改变。对于这些资源来说，一些智能 自动调节与自治管理方式是必不可少的。 ( 4 ) 定义开放的、己公布的接口。o g s a 是种由g g f 标准团体进行管理 的开放式标准。为了不同资源的互操作性，网格必须构建在标准接口及协议之上。 ( 5 ) 利用行业标准的集成技术。在这一点上，o g s a 的基础就是w e bs en ，i c e 。 23 1 o g s a 的主要架构 o g s a 的主要架构从下至上大致由四层组成啪，其结构图如图2 - - 2 所示 圈圈圈困回圈 图2 2o g s a 架构图 ( 1 ) 资源层，主要包括物理资源和逻辑资源。资源的概念是o g s a 以及通 常意义上的冈格计算的中心部分。构成网格能力的资源并不仅限于处理器等目前 常用的概念。在资源层中，物理资源包括服务器、存储器和网络。物理资源之上 是逻辑资源。它们通过虚拟化和聚合物理层的资源来提供额外的功能。例如文件 系统、数据库管理员、目录和工作流管理人员等，可以在物理网格之上提供这些 抽象服务。 ( 2 ) w e b 服务层，这一层还包括了定义网格服务的o g s i 扩展。w e b 服务 层作为o g s a 架构中的第二层，提出了一条重要的o g s a 原则：即所有网格资 源( 包括逻辑资源与物理资源) 都被建模成服务。o g s i 规范定义了网格服务并 建立在标准w e b 服务技术之上。o g s i 利用诸如x m l 与w e b 服务描述语言( w e b 北京邮电大学硕士学位论文 基于g l o b u s 下的网格技术和安全分析 s e r v i c e sd e s c r i p t i o n l a n g u a g e ，w s d l ) 这样的w e b 服务机制，为所有网格资源 指定标准的接口、行为与交互。o g s i 进一步扩展了w e b 服务的定义，提供了动 态的、有状态的和可管理的w e b 服务的能力，这在对网格资源进行建模时都是 必需的。 ( 3 ) 基于o g s a 架构的网格服务层。w e b 服务层及其o g s i 扩展为下一层 提供了基础设施：基于架构的网格服务。g g f 目前正在致力于在诸如程序执行、 数据服务和核心服务等领域中定义基于网格架构的服务。随着这些新架构的服务 开始出现，o g s a 将变成更加有用的面向服务的架构( s o a ) 。 ( 4 ) 网格应用程序层。这一层主要包括使用一个或多个基于网格架构的服 务的网格应用程序。所有这些开发出来的应用程序构成了o g s a 架构的第四个 主耍层。 2 3 2o g s a 中w e b 服务的交互模型 上文中简述了o g s a 的主要架构，其中以w e b 服务层和基于o g s a 架构的 网格服务层最为重要。在w e b 服务层中还包括了o g s i 的扩展，这种o g s i 扩展 是为了通过增加核心w e b 服务功能来满足网格服务需求的。具体而言，o g s i 通 过在以下两个领域引入接口和约定来扩展w e b 服务1 2 6 j ： 第一，网格中服务具有动态及可能瞬变的特性。在网格中，特殊的服务实例 会随着工作的分派、资源的配置与供给以及系统状态的变化而不断地产生和销 毁。因此，网格服务需要接口来管理它们的创建、销毁以及生命周期管理。 第二，状态。网格服务可以拥有与自身相关的属性和数据。这在概念上类似 于面向对象编程中对象的传统结构。对象有其行为和数据。同样地，w e b 服务需 要得到扩展，从而支持与网格服务相关的状态数据。 在w e b 服务层，o g s i 定义的有关组件和接口 2 0 】如图2 - - 3 ： 北京邮电大学硕士学位论文 基于o l o b u s 下的嘲格技术和安全分析 o g s l 扩曩 国2 3o g s 接口闰 o g s i 弓l 入t 一耪隧壤鼹务懿交亘模型。遴避提供发瑗、生食魇期、状态管 理、剑建与销毁、事件通知以及引踊管理的接翻，o g s i 为软 牛开发人员提供了 一种统一的建模和与网格服务进行交互的方式。不论开发人员正在开发的是网格 服务还是应用程序，o g s i 编程模型都会为网格软传提供一种致的交互方式。 有关缀徉霾揍强麓大致定义露下： 生命周期：因为网格服务可能魁瞬变的，所以网格服务实例必须是使片j 指定 的生命周期来创建的。用户可以根攒依赖或管理该服务的组件的需要，确定和扩 震 王馋褥鼹薮务实爨黪是禽周期。生| 属期瓿铡艨璎大致基予这撵兹耪凝巷l ， 即在不需黉大规模分稍斌垃圾收集满瑷程序的情况下，防止潮格服务无限趣消耗 资源。 状态繁理：网格服务可以具有状态，o g s i 搬定了一个用予袭示这种状态的 s e r v i c ed a t a 框架，以及一个蠲予梭套或嫠改该状态静名为f i n & t s e t s e r v i c e d a t a 机制。此外，o g s i 要求每个网格服务都必须支持的s e r v i c ed a t ae l e m e n t s 中要 有最低数赞的状态，并凝求所有服务都要实现f i n d s e t s e r v i c e d a t a 。 鼹务缀：骚务缀怒溺辏骚务载蘩合，它餐搜髑s e r v i c ed a t a 寒建立索g | 戮鼹 于特定髫的。例如，用户可以使用它们来收集所定义韵服务，如网格内特定群集 节点中资滁的状况。 工厂：实现此接口躲网格服务掇供了一辩创建耨网格服务的方式。工厂司。懿 剑建有隈功能的骚对实镄，魄舞创建服务以表示飘行特殊任务鹃调度程穿，域者 它们也可以创建生存时间更长的服务，比如一个常用