（计算机软件与理论专业论文）ca交叉认证在网格中的研究.pdf

华北电力大学硕士学位论文摘要 摘要 公钥基础设施( p k i ) 作为网格安全基础设施( g s i ) 的一部分，为网格中不同的实 体( e n t i t y ) 提供基本的认证服务。网格的虚拟性、开放性、扩展性要求不同组织间的 实体相互访问时需要进行身份认证，而且还要求证书验证有很好的实时性。o c s p 协议是 一种在线证书查询协议，它可以提供实时的证书验证服务，这正好符合网格系统的要求。 本文提出了一种扩展的o c s p 协议，即添加了证书可信性信息，并把它应用到网格c a 交 叉认证系统中，从而建立一种高效、有良好扩展性的c a 交叉认证系统。在文中，我们 对扩展o c s p 协议进行了描述，并阐明了其工作机制和系统框架，在扩展o c s p 系统中， 证书信任链建立和验证的工作分布给各个扩展o c s p 响应服务器执行，使证书链建立和 验证的时间( t ) 与证书链的长度( m ) 成正比，即有f = 帕，相比现在的集中式搜索， t ：。( ，一) ，极大的提高了证书链建立和验证的效率。在网格环境下，我们设计了扩展 o c s p 响应器的结构图和消息处理算法，并验证了其可行性。为了提高系统的效率，文中 采用了一种改进的距离向量路由算法转发证书，大大的提高了系统的效率。 为了适应各种专业网格的需求，本文提出了一种超拓扑层次信任模型( h t t m ) ，具 有证书路径建立和验证效率高、系统健壮性强、有良好扩展性的特点，为专业网格中的 实体提供高效、安全的交叉认证环境。并对h t t m 在电力网格中的应用进行了探讨。 关键词：c a 交叉认证，g s i ，扩展o c s p 协议，超拓扑层次信任模型 a b s t r a c t p u b f i ck e yi n f r a s t r l l c u l r e s ( p k u ，a sa p a r to fg r i ds e c u r i t yi n f i a s t r u c t u r e s ( g s d ，o f f e r s b a s i c 蛇r v i c ef o ra u t h e n t i c a t i o n sa n da u t h o r i z a t i o nf o rg r i de n t i t i e s i ng r i de n v i r o n m e n t ，a s ad i s t r i b u t e ds y s t e m ，e a c ha d m i n i s c a f i v ed o m a i nh 勰i t so w np k ia n dt r u s tc a s 。a n de n t i t i e s i nd i f f e r e n td o m a i n sn e e da u t h e n t i c a t i o nw h e na c c e s s i n ge a c ho t h e r , s oam e c h a n i s mt ob u i l t t r u s tr e l a t i o m h i pa m o n ge a c hd o m a i ni sn e e d e da n dt h ec ac r o s s c e r t i f i c a t i o ni si n t r o d u c e d i ng r i d mo n l i n ec e r t i f i c a t es t a t u sp r o t o c o l ( o c s ns t a n d so u td u et oi t sa b i l i t yt oc a r r y n e a r a lt i m ec e r t i f i c a t e8 t a r n si n f o r m a t i o na n dm e e tt h en e e do fg r i de n v i r o n m e n t t h i s p a p e rp r o p o s e se x t e n d e do c s pp r o t o c o lt h a tc a np r o v i d et r u s t e ds t a t u sf o rc e r t i f i c a t et o b e n e f i tt h ec e r t i f i c a 主ev a l i d a t i o nb e t w e e nd i f f e r e n ta d m i n i s t r a t i v ed o m a i n s i nt h i sp a p e r w e d e s c r i b et h ee x t e n d e do c s p p r o t o c o la n dt h ef r a m e w o r ko fe x t e n d e d0 c s ps y s t e ma n dt h e w o r km e c h a n i s mo ft h es y s t e m 。i nt h ee x t e n d e do c s p s y s t e m 。t h ew o r k l o a do fb u i l d i n ga n d v a l i d a t i n gc c r t i 矗c a t ep a t hd i s t r i b u t e st od i 岱e t e n te x t e n d e do c s pr c s p o n d e r s ，a n dt h e nt h e i 华北电力大学硕士学位论文摘要 t i m eo fb u i l d i n ga n dv a l i d a t i n gc e r t i f i c a t ep a t h ( t ) h a st h ed i r e c tr a t i ow i t ht h ec e r t i f i c a t ep a t h l e n g m t h e nw eh a v e ，f = 咖) c o m p a r e dt ot h ep r e s e n ta l g o r i t h m , f = o ( r 。) ，t h e e x t e n d e do c s ps y s t e mg r e a t l yi 刀1 p 咖鼯t h ee f f i c i e n c yo fv e r i f i c 碘i o n a n dw ea l s od i s c u s s t h er e q u i r e m e n t sf o ru s i n gt h ee x t e n d e do c s pp r o t o c o li ng a d t h e nw ed e s i g na l le x t e n d e d o c s pr e s p o n d e ra n db u i l tag r i de n v i r o n m e n tt ov e r i f yt h ef e a s i b i l i t yo ft h ee x t e n d e do c s p p r o t o c o lf o rg r i d f o ri n i p f o v i n gt h ee f f i c i e n c yo ft h es y s t e m , t h i sp a p e ru s 髓ai m p r o v e d d i s t a n c ev e c t o rr o u t i n g a l g o r i t h n x f o rt h ep r o f e s s i o n a lg r i d t h i sp a p e rp r o p o s ean e wh y p e rt o p o l o g yt r u s t m o d e l ( h t r m ) t h i sm o d e lh a sh i g he f f i c i e n c ya n di sn 蛐s a f e l y h t t mp r o v i d eah i g h e f f i c i e n c ya n ds a f ec a c r o s s - - c e r t i f i c a d o ne n v i r o n m e n tf o rp r o f e s s i o n a lg r i d t h i sp a p e ra l s o d i s c u s s e st h ec a s eo fh t t mu s e df o rp o w e r g r i d h u i t a og o n g ( c o m p u t e rs o f t w a r ea n dt h e o r y ) d i r e c t e db yp r o f s h a o m i nz h a n g k e yw o i m s ：c a - c r o s s c e r t i f i c a t i o n ，g s i ，e x t e n d e do c s pp r o t o c 0 1 h t t m h 声明 本人郑重声明：此处所提交的硕士学位论文基于移动a g e n t 的网络拓扑发 现技术研究，是本人在华北电力大学攻读硕士学位期问，在导师指导下进行的研 究工作和取得的研究成果。据本人所知，除了文中特别加以标注和致谢之处外， 论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得华北电力大 学或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究 所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 学位论文作者签名：乏! 丝整日期：望1 6 ：1 21 匿 关于学位论文使用授权的说明 本人完全了解华北电力大学有关保留、使用学位论文的规定，即：学校有 权保管、并向有关部门送交学位论文的原件与复印件；学校可以采用影印、缩 印或其它复制手段复制并保存学位论文；学校可允许学位论文被查阅或借阅； 学校可以学术交流为目的，复制赠送和交换学位论文；同意学校可以用不同方 式在不同媒体上发表、传播学位论文的全部或部分内容。 ( 涉密的学位论文在解密后遵守此规定) 作者签名：礁塾垫导师签名： 日 期：2 1 1 ：! 羔：互 华北电力大学硕士学位论文 第一章绪论 1 1 网格c a 交叉认证的背景 网格是一种新型的计算平台u l 2 1 ，是一种分布式计算基础设施，用来实现在动 态的、跨域管理的虚拟组织内实现协同的资源共享和问题求解。一个开放的网络环 境下，系统面临着各种各样的威胁，网格环境也不例外。一般来说i n t e r n e t 的安全 保障应提供下面两方面的安全服务：( 1 ) 访问控制服务，( 2 ) 通信安全服务。但这 两个方面不足以完全解决网格计算环境中的安全问题。网格一方面要能够满足用户 安全高效的使用其提供的各种资源。同时为了方便用户的使用，网格计算必须连接 在i n t e r n e t 上并提供方便使用的服务供用户使用，这样网格就必须具备抵抗各种非 法攻击和入侵的能力，而且由于网格的动态性，分布性，共享性，自相似性，自治 性这些特点就决定了网格安全问题要解决的问题更多，解决方案更复杂。 网格安全的主要内容包括：支持在网格计算环境中主体之间的安全通信，防止 主体假冒和数据泄密；支持跨虚拟组织的安全；支持网格计算环境中用户的单点登 录等。这些涉及到的技术手段有安全身份相互认证、通信加密、私钥保护及委托与 单点登录等。 g l o b u s 项目是目前国际上最有影响的与网格计算相关的项目之一。它发起于九 十年代中期，其最初的目的是希望把美国境内的各个高性能计算中心通过高性能网 络连接起来，方便美国的大学和研究机构使用，提高高性能计算机的使用效率。 g l o b u s 中的安全服务组件网格安全基础设施( g s i ) ，g s i 负责网络下的安全认 证和加密通信，提供单点登陆功能，原地身份鉴别功能，数据传输加密功能，提供 了基于g s i 协议的g e n e r i cs e c u r i t ys e r v i c e sa p i 接口。是保证网格计算环境安全 的核心部分。 g s i 贮 是基于公钥基础设施( p k i ) 的，它的主要目标包括：( 1 ) 支持在网格计 算环境中主体之间的安全通信，防止主体假冒和数据泄密；( 2 ) 支持跨虚拟组织 的安全，这样就不能采用集中管理的安全系统：( 3 ) 支持网格计算环境中用户单 点登陆，包括跨多个资源和地点的信任委托和信任转移等。 数字证书认证中心【3 】【4 】( c a ) 在网格安全中起到重要的作用，它主要功能是给网 格中的各种实体颁发证书，认证实体合法性。 网格计算环境有以下特点：( 1 ) 网格计算环境中用户数量大，而且是动态可变 的，这就要求网格c a 必须是高效的和开放可扩展的。( 2 ) 网格计算环境中的计算过 程是动态的，这就要求c a 必须足够的灵活。( 3 ) 计算进程间的相互验证和跨域资源 华j b 电力大学硕士学位论文 的访问。( 5 ) 资源可支持不同的认证和授权机制，这是对网格透明性和开放性的要 求，但在这里我们主要研究基于公钥基础设施( p k i ) 中c a 的交叉认证，使用x 5 0 9 格式的证书。( 6 ) 资源和用户可以属于多个组织，这种结构就必然会对c a 认证策略 产生影响。 因为网格是个开放的环境，随着网格规模的扩大，在不同c a 认证下的实体间通 信和互操作就出现问题，为此，网格环境下c a 问的交叉认证就成为一个紧迫需要解 决的问题。 1 2 国内外研究动态 公钥基础设施( p k i ) 作为网格安全基础设施( g s i ) 的一部分，为网格中不同 的实体( e n t i t y ) 提供基本的认证服务。信任模型是建立信任关系和验证证书时寻找 和遍历信任路径的模型。现有的p k i 信任模型有严格层次信任模型，网状模型，中 心辐射模型( 桥c a 方式) ，w e b 模型等。各种信任模型有其自身的特点，适应于不 同的认证环境。网状模型和中心辐射模型这两种分布式信任模型适合一般网格的特 点，文【3 】【5 】对分布式信任模型在一般网格环境下的应用进行了研究网格环境下域 间c a 建立信任关系有多种方法，如建立信任列表和互相颁发信任证书实现交叉认 证，美国v e r g i n i a 大学和h l i n o i sa tu r b a n a - c h a m p a i g n 大学的m a r t yh u n p h r c y ，j i m b a s n e y 等人在g t 2 环境下通过b c a ( b r i d g ec a ) 建立了网格环境下的交叉认证关系，并 探讨了在网格环境下使用b c a 来建立交叉认证的情况【7 j 。o c s p 应用到网格中，为 证书提供实时的验证服务，所以许多组织探讨了o c s p 在网格环境中应用的要求，其 中比较出名的有c a o p s - w g ，这个工作组探讨了在网格环境下o c s p 的一些特点怕j ， 并且开发了o p e ng r i do c s p ( o g r o ) 等应用工具。在文【8 】中，作者在广域网环境下实 现了网格实验床设计，并建立了两个c a ，探讨了多c a 域的交互问题。 1 3 研究方案。工作特色及难点 本课题主要特点是理论和实践相结合，一方面对网格环境c a 互联的理论研究， 如结构的设计，协议的设计和验证。一方面是用实践来检验理论的可行性和正确性。 拟采用的方案如下： ( 1 ) 通过b c a 来实现c a 间的交叉认证，这是因为b c a 结构灵活，可扩展性强， 而且它不影响原有c a 的功能，这能够很好的适应网格的可扩展性和开放性。 ( 2 ) 建立一个简单的网格环境，使用o l o b u s 工具包，虽然o l o b u s 自身提供了 一个s i m p l e c a ，但它结构简单，不易与实现c a 间相互验证等功能。在此使用j c e 包 来实现网格中的c a 功能。 2 华北电力大学硕士学位论文 ( 3 ) 探讨新的交叉认证机制，符合分布式c a r 叉认证的特点和网格环境的需 要。 难点有以下几点： ( 1 ) 本课题比较前沿，相关资料比较缺乏； ( 2 ) 网格是个新兴的领域，概念也不尽相同，相关的开发软件也不十分成熟， 这就给网格环境的构建带来困难； 1 4 预期成果和可能的创新点 预期有以下可能成果： ( 1 ) 研究并设计网格环境下数字c a 交叉认证的框架结构，在这个框架内，以 已有的交叉认证协议为基础，结合网格环境的特点设计新的交叉认证协议，并通过 形式化的方法理论上证明其有效性和可行性； ( 2 ) 构建一个简单的网格环境，对上述框架、方法、协议验证其可行性； ( 3 ) 对如何在网格环境下实现证书路径的查询和提高其查询效率提出一个可 行的方案。 可能的创新点是： ( 1 ) 在一般的网络环境下数字c a 交叉认证的框架、协议并不能满足网格环境 下的要求，例如虚拟性要求、实时性要求、基于x m l 消息传递要求，所以本次研究 提出的网格环境下交叉认证的框架、协议无论在理论上和实际应用上都是一个创新 点； ( 2 ) 在一般网络环境下，c a 间的交叉认证都是通过增加其客户端的功能来实 现的，对证书路径查询的实现一般有两个方案：一个是被验证方提供证书路径；一 个是验证方自动寻找证书路径。由于网格是个虚拟的环境，证书的验证和路径的寻 找对网格中的实体是透明的，本研究拟采用以下方法提高c a 交叉认证证书路径查找 的效率： ( 1 ) 使用轻量级目录访问协议( l d a p ) 和在线证书状态查询协议( o c s p ) 提 高证书的查询效率； ( 2 ) 在网格环境下提供一个证书路径查询服务i 对数字c a 交叉认证的证书路 径进行查询。 华北电力大学硕士学位论文 2 1 网格概述 2 1 1 网格概念 第二章网格安全 随着i n t e r n e t 的迅猛发展，网上已有成千上万的各类计算机，包括为数众多 的高性能计算中心。同时，实际的网络资源利用率是很低的，据有关统计，系统平 均利用率仅为3 4 左右，有的空闲率竟达9 1 。如何更好的利用网络资源已经成为人 们日益关注的课题。如果网络上的计算机能被组织起来加以协调工作，将会形成有 巨大潜力的并行计算环境，直至形成一个能力无比的全球计算环境。网格是借鉴电 力网( e l e c t r i c p o w e r g r i d ) 的概念提出来的。简单地讲，网格是把整个互联网整合 成一台巨大的超级计算机，实现计算资源、存储资源、数据资源、信息资源、知识 资源、专家资源的全面共享。这样组织起来的“虚拟的超级计算机”有两个优势， 一个是数据处理能力超强；另一个是能充分利用网上的闲置处理能力。网格比较确 切的定义是：建立在i n t e r n e t 、w e b 等技术之上的综合软硬件的基础设施，采用开 放、统一、标准的协议，、通过对大规模分散资源的有效共享，动态参与的多个机构 所组成的虚拟组织协同完成某项科学、工程或工业上的应用提供可扩展的、安全的、 一致的、普及的、不同等级质量的服务。可以从以下三方面理解网格概念：第一， 从概念上，网格的目标是资源共享和分布协同工作。网格的这种概念可以清晰地指 导行业和企业中各个部门的资源进行行业或企业整体上的统一规划、部署、整合和 共享，而不仅仅是行业或大企业中的各个部分自己规划、占有和使用资源。第二， 网格是一种技术。为了达到多种类型的分布资源共享和协作，网络计算技术必须解 决多个层次的资源共享和合作技术，制定网格的标准，将i n t e r n e t 从通讯和信息交 互的平台提升到资源共享的平台。但是目前并行计算、分布计算中间件等现行技术 远远没有解决多组织之间资源的共享闻题，以及广域范围的多系统之间联合处理和 计算等网格计算所面临的关键问题。因此，网格计算技术研究具有独特性、紧迫性 和挑战性。第三，网格是基础设施，是通过各种网格综合计算机、数据、设备和服 务等资源的基本设施。这种设施的建立，将使用户如同今天我们按需使用电力一样， 无需在用户端配套大量的全套计算机系统和复杂软件，就可以简便地得到网格提供 的各种服务。这样，设备、软件投资和维护开销将大大减少。 2 1 2 网格特点 建立在现有的i n t e r n e t 和分布计算技术之上的网格，又被称为第三代的 i n t e r n e t ，其基本特点有h 】【2 l ： 4 华北电力大学硕士学位论文 ( 1j 异构性( h e t e r o g e n e i t y ) 可以包含多种异构资源，包括跨越地理分布的多个管理域。构成网格计算系统 的超级计算机有多种类型，不同类型的超级计算机在体系结构、操作系统及应用软 件等多个层次上可能具有不同的结构。 ( 2 ) 可扩展性l s c a l 曲i l i t y ) 元计算( m e t a c o m p u t i n g ) 系统初期的规模较小，随着超级计算机系统的不断加 入，系统的规模随之扩大。网格可以从最初包含少数的资源发展到具有成千上万资 源的大网格。由此可能带来的一个问题是随着网格资源的增加而引起的性能下降以 及网格延迟，网格必须能适应规模的变化。 ( 3 ) 可适应性( a d a p t a b i l i t y ) 在网格中，具有很多资源。，资源发生故障的概率很高。网格的资源管理或应用 必须能动态适应这些情况，调用网格中可用的资源和服务来取得最大的性能。与一 般的局域网系统和单机的结构不同，网格计算系统由于地域分布和系统的复杂使其 整体结构经常发生变化，网格计算系统的应用必须能适应这种不可预测的结构。 ( 4 ) 结构的不可预侧性 网格具有动态和不可预测的系统行为。在传统的高性能计算系统中，计算资源 是独占的，因此系统的行为是可以预测的。而在网格计算系统中，由于资源的共享 造成系统行为和系统性能经常变化。 ( 5 ) 多级管理域 由于构成网格计算系统的超级计算机资源通常属于不同的机构或组织并且使 用不同的安全机制，因此需要各个机构或组织共同参与解决多级管理域的问题。 2 1 3 网格体系结构 网格体系结构圆就是关于如何建造网格的技术。它给出了网格的基本组成与功 能，描述了网格各组成部分的关系以及它们集成的方式或方法，刻画了支持网格有 效运转的机制。网格体系结构必须要能够标识出网格的基本组成成分，要能够清楚 地说明网格整体是由哪些关键部分结合在一起形成的，还必须能够对各个部分的功 能、目的、特点等进行清晰地描述，使人们能够了解各个组成部分的作用。 网格的体系结构比因特网更能有效地利用网上的所有资源。如何自动地把用户 最需要的信息放在离用户最近的服务器上，如何让用户尽快得到所需信息而不管信 息到底存放在什么地方，如何去自动平衡负载，如何使网格上的多台高性能计算机 协同工作等，都是设计网格系统的体系结构所要考虑的问题。所以网格体系结构应 该满足以下的基本要求： 华北电力大学硕士学位论文 不能破坏现有系统； 为应用提供单一分布资源全局视图和聚集各种分布的自治资源成为一个系 统； 不导致应用程序的重新编写； 不同组织之间的资源共享互操作； 标准的协议。 2 1 3 1 五层筛漏结构 五层沙漏结构嘲根据该结构中各组成部分与共享资源的距离，将对共享资源进 行操作、管理和使用的功能分散在五个不同的层次，越向下层就越接近于物理的共 享资源，因此该层与特定资源相关的成分就比较多：越向上层就越感觉不到共享资源 的细节特征，也就是说上层是更加抽象共享资源的表示，因此就不需要关心与底层 相关的具体实现问题。 如图2 1 所示为五层结构及其与t c p 八p 网络协议的比较。五层结构由下向上 依次是：构造层( f a b r i c ) 、连接层( c o n n e c t i v i t y ) 、资源层( r e s o u r c e ) 、汇聚层( c o l l e c t i v e ) 、 应用层( a p p l i c a t i o n ) 。 图2 1 五层结构及其与t c p 1 p 网络协议的对比 构造层：它的基本功能就是控制局部的资源，向上提供访问这些资源的接口。 构造层资源是非常广泛的，可以是计算资源、存储系统、目录、网络资源以及传感 器等。构造层应该实现的基本功能包括：查询机制、控制服务质量的资源管理能力等。 连接层：基本功能是实现相互的通信。定义了核心的通信和认证协议，用于网 格的网络事务处理之中。通信协议允许在构造层资源之间交换数据，要求包括传输、 路由、命名等功能。实际中这些协议大部分是从t c p i p 协议栈中抽出的。建立在通 6 詈一 华北电力大学硕士学位论文 信服务之上的认证协议提供加密的安全机制，用于识别用户和资源。 资源层：主要功能就是实现对单个资源的共享。资源层建立在连接层的通信和 认证协议之上，定义的协议包括安全初始化、监视、控制单个资源的共享操作、审 计、以及付费等。值得注意的是，资源层协议考虑的完全是单个的局部资源，因此 忽略了全局状态和跨越分布资源集合的原子操作。 汇聚层：主要功能是协调“多种”资源的共享。汇聚层协议和服务描述的是资 源的共性，并不涉及资源的具体特征，说明不同资源集合之间是如何相互作用的。 由于汇聚层建立在资源和连接层形成的协议瓶颈之上，因此不需要在资源上强加其 他新的要求。 应用层：应用层是在虚拟组织环境中存在的。从应用程序员的角度来看网格结 构，应用是根据在任一层定义的服务来构造的。这里的应用可以调用更高级的框架 和库。这些框架本身可以低估难以协议、服务和a p i ，这里只是提出网格中要求的 基本服务与协议。 将这样的五层结构称为沙漏形状，内在含义是因为各部分协议的数量是不同 的，对于核心的部分，要能够实现上层各种协议向核心协议的映射。同时实现核心 协议向其它各种协议的映射。在五层结构中，资源层和连接层共同组成这一核心的 瓶颈部分。如图2 2 所示。 工具与应用 应用层 峙代理，诊断，屉控 汇聚层 土源与服务的去全访问 资源连接层 警。一弋 构造层 图2 2 沙漏形状的五层结构 2 1 3 2 开放网格服务体系结构 在过去几年里，以开放网格服务体系结构o g s a 为标志闼，网格技术变得明显成 熟和标准化了。o g s a 是五层沙漏结构之后最重要的网格体系结构。 o g s a 网格技术是基于面向服务体系结构的。服务就是一种通过信息交换来提 供给客户某种能力的实体。服务可定义为导致服务执行某些操作的特定信息交换的 7 华北电力大学硕士学位论文 序列。只按照信息交换来定义服务操作，给如何实现服务以及防治服务带来了极大 的灵活性。在面向服务体系结构中，内部实体都是服务，因此任何对体系结构来说 可见的操作都是消息交换的结果。 下面三个特征强调了服务概念的一般性和应用的广泛性。服务也包括从低级的 资源管理功能到高级的系统监控功能。 ( 1 ) 存储服务可以提供操作来存储和检索数据，预留空间，监控存储服务的状况， 并查询和定义服务访问政策，以决定谁能够访问服务。 ( 2 ) 数据传输服务提供操作已将数据从一个存储服务迁移刭另一个存储服务， 对传输状况进行管理和监控，并查询和定义传输请求优先级排序的策略。 ( 3 ) 故障处理服务可以监控其他各种服务的状况，例如存储服务和数据传输服 务并提供操作使得其他实体获得与错误有关的通知，以及查询和定义通知策略， 即谁能够接受通知。 设计o g s a 的一个目标是使得服务能以标准方式表示而不依赖于上下文，这样 可以简化应用设计并有利于代码重用。为了实现行为重用，需要把 图2 3 开放网格服务体系结构的核心组件 操作组合起来形成服务接口，然后接口也可以组合起来规定期望行为的服务。o g s a 的第二个主要设计目标是使服务组合更容易。 下面我们介绍一种面向服务的体系结构实现，也就是开放网格服务体系结构实 现。重点集中在o g s a 的核心组件上。 如图2 3 所示，o g s a 的三个主要组件是开放网格服务基础结构、o g s a 服务和 o g s a 模式。 o g s a 是构筑在w e b 服务之上的。w e b 服务是一个基于标准的、广泛部署的分布 华北电力大学硕士学位论文 计算模式，提供了用于描述和调用网格服务的基本机制。o g s a 服务可以驻留在各 种环境下。 w e b 服务提供了一种重要手段，但是现有的w 曲服务标准不能解决有关基本服 务语义相关的问题，例如服务是怎样创建的，存活多久，怎么处理错误，怎样管理 长期状态。这些服务语义和其他重要的服务行为必须予以标准化，以便使服务虚拟 化和服务键能相互操作。通过开放式网格服务基础结构( o g s l ) 的核心接口集可以解 决这些问题。符合o g s i 标准的w e b 服务就称为网格服务。 o g s i 为分布式系统定义了基本的构造块，包括描述和发现服务属性、创建服务 实例、管理服务生命期、管理服务组以及发布和订阅同志的标准接口和相关行为。 但是，o g s i 并没有定义创建大规模系统时所出现的所有组成成分。我们还需处理许 多其他问题。例如：如何建立身份识别以及协商认证女n 何发现服务；如何协商和监控 服务级协议以及如何监控和管理服务集等等。在这些区域内如果没有一个标准，将 会很难以一个标准的样式建造大规模系统以便实现代码重用和组件互操作。因此， o g s a 必须在这些区域以及相关区域定义附加服务。 可操作不仅仅是与一种公共语言有关，而且还需要一组能够描述具有共同兴趣 对象的公共词汇。因此，o g s a 必须定义标准模式来描述网格公共实体的属性。 2 2 网格安全 2 2 i 网格安全概念 网格是建立在一个开放的网络环境中，这种环境可能会遭受来自内部或外部的 安全威胁h 1 】。这些威胁可能是用户的偶然失误，也可能是故意的针对系统脆弱点的 非法恶意攻击，它们往往会产生严重的后果。如何解决网格安全问题也显得尤为重 要。 网格安全技术的目的就是授予合法用户访问数据和执行操作的权限，防止用户 非法操作或因操作失误而造成数据泄密，防止数据被非法访问和修改或合法用户伪 造数据进行欺骗行动，防止合法用户被他们冒充，并且可以对用户进行审计和收费 等等。我们可以将这些目标总结成以下几个方面： ( 1 ) 保密性：通过对数据迸行加密，使得只有拥有密钥的合法用户才能访问，而 未经授权者不能访问数据。这样，即使未授权者拿到数据的加密文件，也不可能看 到其明文。 ( 2 ) 完整性：保证信息在传输或者存储过程中没有被篡改、破坏或丢失。 ( 3 ) 身份鉴别：验证通信对象或资源访问者逻辑上的身份证明与其真实身份相符 合，从而防止合法用户被冒名顶替。 q 华北电力大学硕士学位论文 ( 4 ) 授权：当验证完用户的身份属实后，根据其身份赋予相应的权限，使得用户 可以在不超出权限的情况下访问资源或执行操作。 ( 5 ) 反否认：保证信息的发布者就是其本人，而不是其他仍通过假胃其身份而发 布的虚假信息，另一方面也保证信息发布者不能抵赖，信息的真正发布者只能是信 息发布者本人而不可能是其他人。 ( 6 ) 可用性：保证系统或资源不会因为遭受非法攻击( 比如病毒等) 而造成系统瘫 痪或资源的无法使用。 另外，一个好的安全技术或结构必须符合以下原则： ( 1 ) 可靠性原则：安全技术或则安全结构本身没有技术缺点和漏洞，从而使得自 己不被攻击和利用，保证对系统的安全服务确实可靠。 ( 2 ) 整体性原则：由于没有安全可靠的网络安全机制，安全系统应该包括安全保 护、安全检测和安全恢复等机制。安全保护机制是根据具体系统存在的各种漏洞和 安全威胁采用相应的防护措施避免非法攻击的进行；安全检测机制就是监测系统的 运行情况，即使发现和制止对系统的攻击：安全恢复机制是在安全防护机制失效的情 况下，进行应急处理，尽可能及时恢复信息并减少攻击的破坏程度。 ( 3 ) 有效性原则：安全技术所带来的额外负载对系统的影响是否可以接受。 ( 4 ) 方便性原则：安全机制对用户来说不会造成太多的麻烦，对开发人员屏蔽底 层实现。 ( 5 ) 动态化原则：由于密码破解和攻击技术的不断发展和一些人为因素，一个机 密的算法可能也不是牢不可破的，所以对密钥的使用应该周期性的动态更换，或者 使用代理、一次性对话密钥等技术。使得密钥临时化有助于减少密钥被人道区的可 能性。 ( 6 ) 权限最大化原则：就是给与用于能够执行某个操作或访问某些数据的最低权 限，保证用户不会因越权而造成系统的损失。 2 2 2 网格安全面临的问题 为了解决高级别的安全需求，一个全面深入的网格安全模型应该可以协调和解 决各种各样的安全问题： 身份验证：为了提供互操作性，必须提供多种验证机制的插入点和在验证过程 中使用特殊机制的方法。脸证机制可以使用基于工业标准的方法或自定义的方法。 插人点对任何特定的身份认证技术应该是不可知的。 委托：动态信任与的建立需要把服务请求者的访问权限委托给服务并定义代理 策略。在实体问进行权限委托时，应该注意委托的仅仅是为了完成任务而需要的那 1 0 华北电力大学硕士学位论文 部分权限，而且委托的权限必须有限定的生命周期，这样可以减小滥用权限造成的 危害。 单点登陆：网格的参与者经常需要协调多个资源来完成单一的任务。如果每一 次身份鉴别操作都有一个身份验证过程( 例如输入密码) ，那将是一件很烦人的事情。 安全机制必须保证一个实体在成功完成了一次身份验证操作后，在一段合理的时间 里( 在和别的资源进行交互的时候) ，不需要重新进行身份验证。这样的安全机制必 须考虑到一个请求跨越多个安全域带来验证域的联合和身份的映射问题。这样要求 的重要性反映在两个方面：一是它要求网格的实现能够依据策略委托实体的权限( 例 如证书的生命周期，实体所加的限制) ；二是如果证书委托给代理，就需要知道代理 的身份以及其相关策略。1 证书生命周期和更新：为了限制委托和单点登陆所带来的危险，证书需要被限 制在一个合理的生命周期里。我们不可能总是准确的预测任务的执行时间，而且在 许多情况下，一个用户启动的一个任务的时间比用户初始委托证书的生命周期要 长。在这种情况下，证书过期前要通知用户，并更新证书以便保证完成任务。 授权：访问网格服务必须由每个服务的授权策略所控制( 例如谁可以在什么情况 下访问一个服务) 。除了有资源所有者所规定的标准策略模型以外，还可能有v o 或 是家庭组织制定的策略。另外，请求者还可以定义他们请求的调用策略( 例如哪些是 用户信任的并能提供所要求的服务) 。授权应该可以适应多种访问控制模型和实现。 隐私：服务请求者和服务提供者都必须能够定义和执行隐私策略，比如记录可 辨别的信息和调用的动机( 隐私策略可以被视为授权策略的一个方面，用来解决诸如 信息用法这样的隐私定义，而不是简单的信息访问) 。 机密性：通信( 传输) 机制的机密性必须被保护。同样，在特定传输机制之上传 输的消息或文档的机密性也要得到保护。机密性的要求包括点到点的传输以及存储 一转换机制。 消息的完整性：接受方能够探测刭对消息和文档非授权的修改。消息或者文档 层的完整性监测是有策略决定的，与提供的服务质量相关。 策略交换：服务请求者和服务提供者必须可以动态的交换安全策略信息，从而 在彼此之间建立协商好的安全上下文环境。这样的策略信息包含身份验证要求、支 持的功能、约束、隐私规则和其他的相关内容。 安全日志：必须提供安全服务、时间戳工具和机制来安全地记录各种操作信息 和事件。这里的安全是指日志是可靠的和准确的，也就是说，这样的一个集合是不 能被恶意的代理打断和修改的。安全的日志是实现公证、不可抵赖的审计的基础。 保证：必须有办法来满足一个主机环境的安全保证级别。该信息包括病毒防护、 华北电力大学硕士学位论文 i n t e r n e t 访问中防火墙的使用和内部虚拟专用网( v p n ) 的使用。用户可以在决定在什 么样的环境下部署一个服务的时候考虑这些信息。 可管理性：在网格中，安全管理是需要的。举例来说，除了身份管理、策略管 理和密钥管理等，安全管理还包括一些诸如病毒防护、入侵检测这样高级别的需求。 举例包含哪些需求要有自己确定，但必须作为安全管理的一部分来实现。 防火墙的通过：今天的动态跨域网格计算的一个主要障碍就是防火墙的存在。 虽然防火墙在网络环境中只提供相当有限的功能，但它们也不会一下子就消失。所 以，网格安全模型必须考虑防火墙的存在，而且提供一种能够穿越防火墙而不破坏 本地防火墙控制策略的机制。 华北电力大学硕士学位论文 3 1 认证技术概述 第三章网格c a 认证技术 随着网络时代的到来，人们可以通过网络得到需要的信息。但不幸的是，由于 网络的开放性，它正面i 临着许多安全威胁 3 6 1 d 8 1 1 3 9 1 ，如计算机病毒、人为的恶意攻击、 网络软件的漏洞和“后门”、非授权访问等。因此，计算机安全越来越受到重视。 主要考虑在认证和访问控制两个方面寻求突破。认证包括对有效用户的确认和识别； 访问控制致力于避免对数据文件和系统资源的有害篡改。 在多用户组成的孤立、集中系统中，安全问题稍显复杂。在这种情况下，认证 包括了有效用户的确认和识别，通常通过某种形式的口令和用户识别的结合来进行 管理。对于文件、数据和资源的访问控制可以避免有害的篡改，一般通过权限或访 问列表来实现，并作为操作系统的一部分进行管理。 网格环境中的认证需要几个必需的步骤。第一步是鉴别或验证一个用户的身 份。实现这一步有三种基本的方法。第一种方法是可以通过一个用户所知道的某些 信息对其进行验证，例如口令，这是最常用的方法。第二种方法，通过用户所拥有 的某些东西进行验证，例如密钥。第三种方法，通过用户本身所具备的某些特征对 其进行验证，如用户的指纹或者视网膜，这是最安全也是最昂贵的方式。就上面讨 论中所涉及的观点来看，这些方法也都可以用在集中式系统中。一个网格认证体系 中还必须考虑以下几点： ( 1 ) 偷听：如何阻止别人在通信线路上对信息进行偷听? ( 2 ) 口令管理：如果我们正在访问多个系统，每个系统是否都保留了用户d 和口 令的副本呢? 每个存储认证信息的数据库都是系统安全漏洞的目标。而且，每次我们 需要做什么的时候，是否都需要提供口令呢? ( 3 ) 重放：有人可以在认证信息在网络中传输的时候对它进行复制，即使这些信 息经过了加密，然后在以后进行重放，从而获得不正当的访问。 ( 4 ) 信任：认证是否应该是单方面的呢? 或者用户是否也应该检验和相信使用的 服务是合法的? 集中系统信任它自己；分布式系统必须寻找一个方法来信任其他系 统。 华北电力大学硕士学位论文 3 2 理论基础 3 2 1 系统目标 认证中- l i , c a r 4 3 3 1 ，也即是认证机构，是一个负责发放和管理数字证书的权威机 构。它为各个实体颁发电子证书，即对实体的身份信息和相应公钥数据进行数字签 名，用以捆绑该实体的公钥和身份，以证明各实体在其功能上身份的真实性，并负 责检验和管理证书。 c a 系统目标是为信息安全提供有效的、可靠的保护机制，提供网上身份认证服 务，提供信息保密性、数据完整性以及收发双方的不可否认性服务。 3 2 2 系统功能 作为一个功能完善的系统，其功能有： 1 、证书申请 证书申请一般有两种方式： ( 1 ) 离线申请方式：用户持有关证件到注册中心r a 进行书面申请，填写按一定标 准制定的表格。 ( 2 ) 在先申请方式：用户连接上i i i t e m e t ，通过自己的网络浏览器，到认证中心的 主页上下载申请表格，按内容提示进行填写；也可通过电子邮件和电话呼叫中心传递 申请表格的有关信息，有些信息仍然需要人工录入，以便进行审核。 2 、证书审批 用户提交的证书申请表须经r a 中的审查人员进行核查。 3 、证书颁发 证书发放有两种方式： ( 1 ) 离线发放方式：即面对面发放，r a 将用户证书通过软盘或i c 卡的方式发放 给用户。 ( 2 ) 在线方法方式：用户通过i n t e r n e t 使用数据库或l d a p 获得证书。 4 、证书撤销 在证书的有效期内，由于私钥丢失泄密等原因，必须废除证书。此时证书的持 有者要提出证书撤销申请。以一旦受到证书撤销请求，就可以立即执行证书撤销， 并同时通知用户，使之知道特定证书已撤销。从安全角度来说，每次使用证书是， 系统都要检查用户的证书是否己被撤销。 5 、证书更新 1 4 华北电力大学硕士学位论文 用户证书过期后，可以申请更新。更新方式有两种： ( 1 ) 执行人工密钥更新：用户向r a 提出更新证书的申请，r a 根据用户的申请信 息更新用户的证书。 ( 2 ) 实现自动密钥更新：p k i 系统就是采用对管理员和用户透明的方式进行的， 对快要国旗的证书进行自动更新，生成新的密钥对。 6 、证书撤销列表管理 证书撤销列表管理c r l 是自动完成的，对用户应是透明的。c r l 中并不存放撤 销证书的全部内容，只是存放证书的序列号，以便提高检索速度。c r l 产生的主要 步骤是： ( i ) r a 建立与c a 的连接，提出撤销申请( 包括撤销证书的序列号以及撤销理由) 。 ( 2 ) 以将撤销证书的序列号签发到c r l 中，同时将该证书放入撤销证书数据库。 ( 3 ) 系统通过数据库或l d a p 目录等方式发放新的c r l ，并且提供用户在线查询。 7 、证书的归档 除用户的签名密钥外，对证书所有数据信息都要进行归档。 8 、c a 的管理 应该具有以下管理功能： ( 1 ) 上级c a 对下级的管理功能：上级签发下级的证书，同时对下级c a 所签发的 证书负责。 ( 2 ) 完善的管理手段和管理界面：c a 为管理员提供友好的图形用户界面，进行 制定加密和签名密钥的有效期、c r l 发布间隔等配置操作。 ( 3 ) c a 的远程管理和维护：在分布系统中，c a 必须由远程管理和维护的功育旨。 ( 4 ) 自身证书的查询：对c a 的证书和状态进行查询。 (