（计算机系统结构专业论文）网格环境中的域间安全认证和授权机制研究.pdf

中国科学技术大学硕二e 学位论文 摘要 摘要 网格技术是近年来从广域网络计算，特别是广域网的高性能计算发展而来的一种技术。 网格被认为是信息技术发展的下一波大浪潮，它使用户能够协同地使用地理上分布的各种资 源，达到资源的全面共享，因而也被称作下一代互联网。网格有如下性质：资源的地理分布 极广，资源之间、资源和用户以及用户之间往往通过广域网( 如i n t e r n e t ) 连接；资源的类型 和数量巨大，而且要求一定程度的协同工作；资源是动态变化的，包括资源属性的变化以及 在网格内的复制和迁移等：资源工作在异构平台上，并且由不同的管理策略控制。 网格环境的这些特殊性质引发了很多安全问题，这些安全问题正受到越来越多的关注。 网格计算系统要求不影响本地节点的管理和自主性，不改变原有的操作系统、网络协议和服 务方式，保证用户主机和远程节点的安全性，允许远程节点选择加入或退出系统，尽量使用 已存在的标准技术，以便与已有的应用兼容，并提供可靠的容错机制。这就涉及到了网格环 境中的域闻安全认证和授权问题，现已成为了当前网格安全研究的一个热点。随着技术的发 展，资源共享变得越来越重要。因此我们不得不根据逻辑或地域关系将整个网格环境划分成 多个域。在完成一个应用时，不同的域问需要进行合作，因而，需要一种能为不同系统间的 协作提供相对安全服务的标准或方法。 本文的研究工作集中在以下几点： ( 1 )介绍g l o b u s 项目，并深入剖析网格安全架构g s i ( g r i ds e c u r i t yi n f r a s t r u c t u r e ) 的安全策略方案，在借鉴其长处的基础上，提出了我们网格实验床的证二降格式和 设计方案。 ( 2 ) 深入剖析基于角色的访问控制策略r b a c ( r o l e b a s e da c c e s sc o n t r 0 1 ) 和基于 属性的访问控制策略a b a c ( a t t r i b u t e b a s e da c c e s sc o n t r 0 1 ) 两种策略的优缺 点，提出了适合于瀚海网格的域间访问控制方案。 ( 3 )研究基于s a m l 的联盟域之间授权、认证信息的传输机制，并尝试使用这种技术 为中国科学技术大学的瀚海网格加入一种新的访问控制模型，同时要求这种控制 模型能充分和瀚海网格中管理资源提供者和资源消费者的界面p o n a i 集成。 ( 4 )为了验证上面提出的域间认证方案，我们搭建了一个简单的实验床用于仿真此系 统。该仿真系统采用j a v a 开发，使用了s e r v l e t 、r m i 、j d b c 等技术，数据库 采用m c k o i 。 本文的创新点在于提出一种域间认证的方案，并仿真验证了该方案的可行性。本文通过 引进安全断言标记语言s a m l 技术，采用基于属性的访问控制策略和安全断言映射方法，为 校园网格引入一种新的访问控制模型，和网格中资源提供者与消费者之间的界面p o r t a l 充分集成，提高了访问的灵活性和可靠性。在引入新模型的同时本文还详细讨论了访问控制 的流程及相关的授权、认证服务。 关键词：网格，网格计算，网格安全凭证，访问控制，s a m l ，域问认证 中国科学技术大学硕士学位论文 a b s t r a c t a b s t r a c t t h eg r i dt e c h n o l o g yi sa nu p - t o d a t et e c h n o l o g yi nt h ea r e ao fw i d e a r e an e t w o r kc o m p u t i n g ， e s p e c i a l l yi nt h ea r e ao fw i d e - a r e ah i g h - p e r f o m l a n c ec o m p u t i n g i te n a b l e sc o o r d i n a t e du s eo f g e o g r a p h i c a l l yd i s t r i b u t e dr e s o u r c e s t h eg r i dt e c h n o l o g yi st h o u g h tt ob et h en e x tw a v eo f i m p r o v e m e n to fi n f o r m a t i o nt e c h n o l o g y , i t sa l s oc o n s i d e r e dt ob et h en e x tg e n e r a t i o ni n t e m e t t h e 鲥dh a st h ef o l l o w i n gc h a r a c t e r s ：r e s o u r c e si nt h eg r i da r cg e o g r a p h i c a l l yd i s t r i b u t e d ；r e s o u r c e sa n d c l i e n t sa r ec o n n e c t e dt h r o r l 曲w i d e a r e an e t w o r ks u c ha sh a t e m e t ；t h ec a t e g o r i e sa n dq u a n t i t i e so f r e s o u r c e sa r et r e m e n d o u s ；r e s o u r c e sn e e dt oc o o p e r a t ew i t he a c ho t h e rt os o m ee x t e n t ；r e s o u r c e sa r e d y n a m i ci n c l u d i n gt h ea t t r i b u t e sc h a n g e s ，t h em i g r a t i o na n dr e p l i c a t i o ni nt h eg r i d ；r e s o u r c e sw o r ki n h e t e r o g e n e o u sp l a t f o r m sa d m i n i s t r a t e db yd i f f e r e n tp o l i c i e s h o w e v e gt h ec h a r a c t e r so f 卵de n v i r o n m e n tb r i n gm a n ys e c u r i t yp r o b l e m s t h es e c u r i t y p r o b l e m si ng , l de n v i r o n m e n ta r eb e i n gp a i dm o r ea n dm o r ea t t e n t i o nt o n o ta f f e c t i n gl o c a l m a n a g e m e n ta n da u t o n o m y , n o tc h a n g i n go p e r a t i n gs y s t e m ，n e t w o r kp r o t o c o l sa n ds e r v i c e ，g r i d c o m p u t i n gs y s t e ms h o u l dg u a r a n t e et h es e e u d t yo fu s e rh o s t sa n dr e m o t en o d e s ，a n dt h ej o i no r l e a v eo fr e m o t en o d e s ，w h i c hh a sr e l a t e dt ot h es e c u r ea u t h e n t i c a t i o na n da u t h o r i z a t i o nb e t w e e n d o m a i n si n 鲥de n v i r o n m e n ta n di th a sb e c o m et h er e s e a r c hf o c u so fg r i ds e c u f i t y w i t ht h e d e v e l o p m e n to ft h et e c h n o l o g y , t h er e s o u r c e ss h a r i n gi sb e c o m i n gm o r ea n dm o r ei m p o r t a n t ，s ow e h a v et od e v i d et h e 鲥de n v i r o n m e n tt os e v e r a ld o m a i n sa c c o r d i n gt ot h ep h y s i c a lo rl o g i c a lr e l a t i o n s s o m e t i m e sad o m a i nh a st oc o l l a b r a t ew i t ho t h e r st oc o m p l e t ea na p p l i c a t i o n s oas t a n d a r do r m e t h o di sn e e d e dt os u p p o gc o o p e r a t i o ni nd i f f e r e n tk i n d so f s y s t e m s t h em a i nw o r k so f t h i st h e s i sa r ei nt h ef o l l o w i n g ： ( 1 )a n a l y z i n gt h ea r c h i t e c t u r em o d e lo fg r i dc o m p u t i n gs y s t e mb a s e do ng l o b u s t h e n p u t t i n gt h ee m p h e s i so ng r i ds e c u r i t yi n f r a s t r u c t u r ea d o p t e db yg l o b u s ( 2 ) w es t u d yt w oe x i s t i n gk i n do fa c c e s sc o n t r o lp o l i c i e s ：r o l e b a s e da c c e s sc o n t r o la n d a t t r i b u t e - b a s e da c c e s sc o n t r 0 1a n ds u n m l a r i z e dt h ed i f f e r e n c e so ft h e m b a s e do nt h e m ， an e wa c c e s sc o n t r o lm o d e lh a sb e e na d d r e s s e da d a p t i v et ot h eh a n h a i 曲d ( 3 ) an e wa c c e s sc o n t r o lm o d e lb a s e do ns a m li sa d d e dt oh a n h a ig r i ds y s t e ms u p e r v i s e d b yt h eu n i v e r s i t yo fs c i e n c ea n dt e c h n o l o g yo fc h i n a t h ea c c e s sc o n t r o lm o d e li sw e l l i n t e g r a t e dw i t ht h ep o r t a l ，w h i c hi si nc h a r g eo f t h ei n t e r f a c eb e t w e e nr e s o u r c ec o i l s u m e r s a n dr e s o u r c ep r o v i d e r s ( 4 ) w eh a v es e tu pat e s tb e do nw h i c ha ne m u l a t i o ns y s t e mi sb u i l tt ot e s t i f yf e a s i b i l i t yo f o u rn e wa c c e s sc o n t r o lm o d e l t h ec r e a t i v ew o r k so ft h i st h e s i sc a nb es u m m a r i z e da san e wa c c e s sc o n t r o lm o d e lb a s e do n s a m li sa d d e dt oc a m p u sg r i d s y s t e m t h es e c u r i t ya s s e r t i o nm a r k u pl a n g u a g e ( s a m l ) p r o v i d e s as t a n d a r d i z e d w a yo fp a s s i n ga u t h e n t i c a t i o n a n da u t h o r i z a t i o ni n f o r m a t i o na m o n g f e d e r a t e dd o m a i n st h ea t t r i b u t e b a s e da c c e s sc o n t r o lp o l i c ya n dt h es e c u r i t ya s s e r t i o nm a p p i n g s o l u t i o na r ea l s oa d o p t e di nt h i ss y s t e m t h ea c c e s sc o n t r o lm o d e li sw e l li n t e g r a t e dw i t ht h ep o r t a l w h i c hi si nc h a r g eo ft h ei n t e r f a c eb e t w e e nr e s 0 1 1 r e ec o n s u m e r sa n dr e s o u r c ep r o v i d e r s d e p e n d i n g o nt h ea t t r i b u t e su s e r sh a v e ，a t t r i b u t e b a s e da c , c e s sc o n t r o li n t e g r a t e dw i t hr o l e b a s e da c c e s s c o n t r o lp o l i c yh a sb e e ni n t r o d u c e di n t oo u rs y s t e m ，w h i c hs h o w sm o r ep o w e r f u la n da g i l i t y a n di t h a ss h o w nm o r e f l e x i b i l i t y a n dr e l i a b i l i t y w o r k f l o wo fa c c e s sc o n t r o l t o g e t h e r w i t ht h e a u t h o r i z a t i o ns e r v i c ei sd i s c u s s e di nd e t a i l s ，t o o k e y w o r d s ：g r i d ，g r i dc o m p u t i n g ，g r i ds e c u f i t nc r e d e n t i a l ，a c c e s sc o n t r o l ，s a m l ，i n t e r - d o m a i n a 1 1 t h e n t i c a t j o n 中国科学技术大学硕：匕学位论文图表目录 图1 1 图1 2 图2 1 表2 1 表2 - 2 图2 2 图2 3 图3 1 图3 2 图4 1 图4 2 图5 1 图5 世 图5 3 图5 4 图5 - 5 图5 6 网格的物理结构示意图 域问的认证和授权方案一 g l o b u s 构造 ( 3 l o b u s 软件提供的服务 图表目录 中科大网格研究组的网格计算资源 中国科学技术大学瀚海网格实验床 中国科大网格实验床网络中心部分拓扑图 用户、角色* | 】权限间的关系 r b a c 的模型 s a m l 的授权管理体系结构 校园网格中策略机制的部署一 认证过程示意圈 x 5 0 9 证书格式 g s i 的证书链 交换代理凭证 域间认证流程 认证和授权模块固们佰佰倡倡约：f；5；耵 中国科学技术大学硕：b 学位论文 绪论 第一章绪论 随着科学技术的发展，高性能计算的应用需求使计算能力不可能在单一计算机上获得， 因此，必须通过构建“网络虚拟超级计算机”或“元计算机”来获得超强的计算能力。网格 技术【1 】就是在这种情况下产生和发展起来的。网格被视为继传统因特网、w e b 之后的第三次 互联网浪潮，或称之为第三代因特网应用。传统的因特网实现了计算机硬件的连通，w e b 实 现了网页的连通，而网格则试图实现互联网上所有资源的全面连通，其中包括计算资源、存 储资源、通信资源、软件资源、信息资源、知识资源等。 目前国外的网格计划已经开展了多年，许多大型的网格试验床已经建成并已投入具体使 用。在这过程中产生了一些典型的网格相关软件，如：g l o b u s 软件【2 3 】、l e i g o n 软件 4 5 】、 c o n d o r 6 7 等。其中g l o b u s 由于其开放性已经被许多网格项目所采用，成为目前的一个事实 标准。在g l o b u s 的基础上许多研究小组还研究开发了一些相关软件系统和开发工具软件包， 如g p d k ( g r i dp o r t a ld e v e l o p m e n tk i t ) 1 4 和g f i d p o r t ( g r i dp o r t a l ) f 5 】等。国内的网格研究 大都处于理论研究阶段，仍然没有一个可以实际应用的网格试验床，目前国内还没有面向某 些特定应用领域的成熟的网格应用系统，但国内的网格研究也在如火如禁地展开，如由中国 教育和科研网格开发的中国网格支撑平台( c g s p ，c h i n a g r i ds u p p o r t i n gp l a t f o r m ) 已经取得 了初步进展。虽然国内对网格系统及其应用的研究与开发工作与国外相比有不小的差距，但 国内的一些研究单位已在该方面进行了相当多的研究工作，并取得了一些初步的成果。中国 科学技术大学和中国科学院计算技术研究所联合搭建的基于g l o b u s 的广域网格实验环境目前 在国内处于一定的领先地位。 1 1 网格的概念 简单地讲，网格是把整个因特网整合成台巨大的超级计算机，实现计算资源、存储资 源、数据资源、信息资源、知识资源和专家资源的全面共享。当然，网格并不定非要这么 大，也可以构造地区性的网格，如园区网格、企事业内部网格、局域网网格、甚至家庭网格 和个人网格。事实上，网格的根本特征是资源共享而不是它的规模。 由于网格是一种新技术，因此具有新技术的两个特征：其一，不同的群体用不同的名词 来称谓它；其二，网格的精确含义和内容还没有固定，而是在不断变化。因此，我们不应该 空谈和争论什么是网格，什么不是网格，而应该集中精力解决关键问题。 网格是借鉴电力网格( e l e c 订o n i e p o w e r g r i d ) 的概念提出来的，网格的最终目的是希望用 户在使用网格计算能力时，像现在使用电力样方便。网格的最终目的就是给用户提供与地 理位置、具体的计算设施无关的计算能力f 6 】。网格的物理结构如图1 1 所示 7 】。 从网格要解决的问题入手，网格的本质表现为：在缺乏中央控制、全局信息和严格信任 关系的情况下，在动态、异构虚拟组织间实现协同的资源共享以及协同的解决某一问题。这 是网格领域的专家，最早的网格系统原型的开发者之一和第一本网格方面著作的作者l a n f o s t e r 对网格的高度概括，这个定义较为严格和全面，目前得到大部分学者的理解和认同。 该定义体现出网格无论从范围、程度还是功能上与目前i n t e m e t 的明显的不同，主要包括： 2 中国科学技术大学硕士学位论文 绪论 虚拟组织( v o ，v i r t u a lo r g a n i z a t i o n ) ：网格环境由多个虚拟组织构成。虚拟组织由遵 守瓷源共享规则的一组个体、机构组成，虚拟组织的典型例子有：应用服务提供商、 存储服务提供商、企业及企业所采用的应用所构成的系统等。虚拟组织具有动态性， 异构性的特点。 对称 p c i 作站p c 个人处理器 凰 摸m p p 集群系统 图1 - 1网格的物理结构不恿圈 资源：网格环境下资源的概念很广泛，包括服务、应用软件、数据、信息、知识以及 计算机、天文望远镜、雷达、家用电器等设备和仪器，并具有面向用户和透明性的特 点，用户可以在不考虑资源物理位置的情况下，方便的使用资源。此外，资源也具有 动态演化的特性。 共享：网格中的共享与传统概念上的共享已有很大不同，更具目的性。目的性体现在 它已经不再是如i n t e m e t 那样简单的资源互连和单一使用，而是通过互连、组合、协作 解决用户需要解决的问题，产生具有附加值的新服务、数据、信息等资源，满足用户 的新需求。 协同性：网格的协同性包括资源共享的协同性和问题解决的协同性。资源共享的协同 性以资源互连为基础，既包括资源使用时不同用户因时间、空间、权限等差异引起的 协商，也包括资源的组合。问题解决的协同性是指虚拟组织之间通过协作共同解决某 一问题，以满足用户的新需求。 问题存在的环境：网格问题存在的环境具有异构、分布、动态、演化的特点，这主要 体现在虚拟组织、资源的异构、分布、动态、演化特性虬及共享模式、协同方式的变 化上。 以上就是网格要解决的问题范围针对这个范围，网格的研究也相应的划分为多个领域， 如信息网格、数据网格、计算网格等，进一步的细分还出现了天文网格、生物信息网格等。 当然它们在体系结构、要解决的问题类型等方面也存在一些交叉领域和共同点。 1 2 网格中的安全问题 网格计算( g r i dc o m p u t i n g ) 环境的出现使得大规模跨组织、跨区域的数据共享和分布式 应用程序发布成为可能，其核心内容是以基础设施的方式对虚拟组织的创建和维护进行支持。 由于网格的跨组织性，使得网格的安全性支持显得尤为重要。因此，网格计算系统的安全问 题是网格计算系统的基本问题，网格计算系统的安全研究成为网格计算系统研究中的热点和 难点。 网格计算系统必须能够满足用户安全高效的使用资源的需求。同时为了用户使用的方便， 网格计算系统必须连接在i n t e r a c t 上，这就要求网格计算系统必须具有抗拒各种非法攻击和入 侵的能力，并且在受到攻击和入侵的时候能够采取某些措施以维持系统的正常高效运行和保 3 中国科学技术大学硕士学位论文绪论 证系统的各种信息安全。网格计算系统中的安全问题比一般意义上的网络安全问题的覆盖面 更广，解决方案也将更加复杂。 网格计算系统涉及的安全问题包括以下这些情况：防止伪装用户、防止伪装服务器、防 止对用户数据的窃听和篡改、防止用户否认、防止远程攻击和入侵、防止非法用户使用资源、 防止合法用户越权使用资源、保证进程间的通信安全、防止恶意程序运行、保证系统的完整 性。 对于网格计算系统涉及的大部分安全问题，可以采用目前已有的安全技术( 双向认证、 加密传输和签名传输、对摘要进行签名、防火墙和入侵检测系统、完整性检查机制) 加以解 决。但是在网格计算系统这样一个复杂的、动态的、广域的范围内，对用户进行限制性授权 等无法使用目前已有的安全技术加以解决，这是网格计算系统的安全研究领域一个具有挑战 性的研究方向。 网格计算系统的安全问题是网格计算系统的一个核心问题，网格计算系统的安全保证是 网格计算系统正常运行的保证。网格计算系统的安全机制必须考虑网格计算系统的如下特性： ( 1 ) 网格计算系统中的用户和资源可以属于多个不同的组织。 ( 2 ) 网格计算系统中的用户数量非常庞大，而且用户动态可变。 ( 3 ) 网格计算系统中的资源数量非常庞大，而且资源动态可变。 ( 4 )网格计算系统中的进程数量非常庞大，而且进程动态可变。 ( 5 ) 网格计算系统中的同一个用户可以在不同的资源上有不同的用户标识。 ( 6 ) 网格计算系统中的资源可以支持不同的认证和授权机制，可以有不同的访问控制 策略。 ( 7 ) 网格计算系统中的计算可以在执行过程中动态地申请和启动进程，可以动态地申 请和释放资源。 ( 8 ) 网格计算系统中的一个计算过程可以由大量进程组成，这些进程之间存在不同的 通信机制，底层的通信连接可在进程的执行过程中动态地创建并执行。 网格计算系统由属于多个不同组织的资源组成。这些资源可以支持不同的认证和授权机 制，可以有不同的访问控制策略，网格计算系统中的用户数量、资源数量和进程数量都非常 庞大，而且用户、资源和进程动态可变，这就决定了网格计算系统中的计算是一个复杂的、 动态的过程。正是由于网格计算系统的特殊性，在设计网格计算系统的安全机制时，要特别 考虑网格计算系统的实体的动态特性，并要保证网格计算系统中的不同实体之间的相互鉴别， 以及各个实体之间通信的保密性、完整性和不可否认性。 网格计算系统的安全机制需要做到以下几点【8 】： ( 1 ) 用户单一登录：用户只需要登录一次即可使用网格计算系统的资源，使用属于多 个组织的多个资源时不需要进行多次登录。 ( 2 ) 对证二l = 进行保护：证书是用来证明实体身份的信息或文件，对证二辟进行安全保护， 防止对证书的窃取、伪造或破坏。 ( 3 ) 与本地的安全方案协同工作：对资源的具体访问由本地的安全策略珧定，安全机 4 中国科学技术大学硕士学位论文 绪论 制需要和本地的安全方案协同工作。 ( 4 )统一的证书和认证机制：使用统一的证书格式和统一的认证机制，简化跨多个管 理域的实体之间的认证。 ( 5 )授权委托和授权转移：允许将一个实体的授权委托给其它的实体，或将一个实体 的授权转移给其它的实体。 ( 6 )提供安全可靠的组通信：一个计算过程由大量进程组成，这些进程形成一个动态 的组，组成这个组的进程之间需要交换大量信息。 传统的传输层安全机制无法满足网格计算系统特有的用户单一登录要求，分布式系统采 用的安全机制无法满足与本地的安全方案协同工作要求，特别是在跨多个管理域的资源访问 方面。我们无法完全使用现有的安全技术解决网格计算系统的安全问题，这就需要研究新的 安全技术和新的安全机制。 安全问题一直是影响网格技术得以广泛应用的绊脚石之一，因此对网格安全的研究与网 格技术开发同样重要。然而由于网格技术对网络安全的要求很高，要求不同的资源自动进行 相互作用，同时这种行为不能影响资源的可用性，也不能引发在独立系统或整个环境下的安 全漏洞，这就使网格安全有别于一般的网络安全而面临新的挑战。 1 3 本文的研究背景 随着网格和p 2 p 计算的发展，安全问题已越来越受到人们的重视，成为研究热点。传统 计算很少需要用户间进行合作，所谓的安全问题仅仅是指单一域中的安全。然而随着技术的 发展，资源共享变得越来越重要。因此我们不得不根据逻辑或地域关系将整个网格环境划分 成多个域。同一个域中的节点采用同样的访问控制策略，彼此相互信任。因此，域内的访问 控制问题主要集中在可扩放性和欺骗问题上。由于不同的域之间通常采用不同的访问控制策 略，因而域间的访问控制主要集中在访问控制燕略的协商问题上。随着用户对资源需求的增 加，域间的访问控制已经成为一个亟待解决的问题。因而，需要一种能为不同系统间的协作 提供相对安全服务的标准或方法。在网格环境中，安全方面的研究主要包括信任管理和访问 控制。信任是对一个实体身份和行为的可信度的评估，与这个实体的可靠性、诚信和性能有 关。而访问控制则决定了在网格环境中谁能够访问系统，能访问系统的何种资源以及如何使 用这些资源，它与用户的身份、所在的信任域有关简言之，访问控制方法主要用来管理授权。 信任管理可以应用到访问控制中，为它服务。 在标准的非网格n 层架构中，访问控制通常在其中的某一层，即在主要的访问点进行。 这个点可以是一个w e b 应用程序的前端，这时证二捧都保存在c o o k i e 或s e s s i o n 中。然而，在网 格基础设施中情况就不同了，网格应用程序分布在组机器上，用户必须有权访问其中的任 何一台机器。当我们改变网格应用程序的证b 时，必须在运行该应用程序的所有机器上都将 这个改变反映出来。因而需要一种机制来解决域问的认证和授权问题，使得底层的资源和证 书对用户完全透明。安全断言标记语言( s a m l ，s e c u r i t y a s s e r t i o n m a r k u p l a n g u a g e ) 【1 0 1 2 】 是一种传输授权和认证信息的标准方法，它通过所谓的“断言”在两个联盟域f 1 3 1 间传递信息， 其中，一个域是源地址，主要负责管理认证，另一个域是目标地址，负责控制对请求资源的 访问。一般来说，有三种类型的断言认证断言，授权断言和属性断言。认证断言是对用 户身份的认证，属性断言是对用户拥有属性的断言，而授权断言则是根据用户的属性给用户 5 中国科学技术大学硕士学位论文 绪论 颁发授权。 目前有很多关于网格环境中的域间认证和授权方法研究，其中比较典型的是角色映射的 方法，每个角色与一组用户和有关的动作相互关联，角色中所属的用户可以有权执行这些操 作。即一个域中的用户访问另个域中的资源时，根据一定的策略将该用户映射为这个域中 的角色，并赋予其一定的权限，角色不同，用户的权限就不同。r b a c ( r o l e b a s e da c c e s s c o n t r 0 1 ) 【1 4 1 5 】就是一种基于角色的访问控制策略，它给予某种规则为用户分配固定的角色， 在需要时蒋进行显式的修改。但随着用户的增加，这种方法使得认证授权中心成为瓶颈，可 扩展性比较差。a b a c ( a t t r i b u t e - b a s e da c c e s sc o n t r 0 1 ) 【1 6 1 7 】是一种基于属性的访问控制策 略，它是对r b a c 的一种改进和扩展，它根据系统中事先定义好的集合理论，依据用户属性 为用户动态地分配角色，消除了系统瓶颈，从而达到对用户进行动态认证和授权的目的。域 间的认证和授权方案如图1 2 所示 5 5 1 。 d o m a i na0 0 m a i nb f 咤戥兰舾 “ 带、5 ) 祷里= 劣 1 4 本文的主要工作和结构 图1 - 2域问的认证和授权方案 本文首先对网格的基本概念进行了介绍，并列举了目前关于网格计算的一些研究项目， 其中重点介绍了g l o b u s 项目和中国科学技术大学网格研究目前的进展情况，对瀚海网格实验 床的建设情况进行了简要介绍。然后对网格环境中存在的安全问题以及进行认证和授权等问 题的必要性进行了阐述，详细介绍目前的两种访问控制策略基于角色的访问控制策略 r b a c ( r o l e b a s e da c c e s sc o n t r 0 1 ) d 基于属性的访问控制策略a b a c ( a t r r i b u t e - b a s e da c c e s s c o n t r 0 1 ) ，并将这两种访问控制策略进行结合，提出了一种适台于校园网格环境的认证和授权 部署方案，并对这种部署方案的工作过程进行了详细介绍，论文的最后一部分研究了网格环 境中动态认证和授权机制，同时介绍了强们设计年 1 开发的基于g s i 安全策略的域间访问控制 系统，这个系统主要用于对我们提出的认证和授权方案的仿真和验证。 为了实现对网格环境中的用户进行动态认证和授权，本文研究了s a m l 的联盟域之间认 证、授权信息的传输机制，综台现有的安全访问控制策略，提出了一种新的认证授权机制， 并为校园网格加入了一种新的访问控制模型，这种模型能和校园网格的p o r t a l 进行充分集成。 这种访问控制模型可以提高用户访问资源的灵活性和可靠性，同时还可以减轻管理员的负担， 从而网格环境中的访问控制策略注入了一股新鲜血液。为了验证这种认证方案，我们搭建了 一个简单的实验床进行仿真。 本文的章节结构如下： 第一章绪论 6 中国科学技术大学硕士学位论文 绪论 首先介绍了网格和网格中目前存在的安全问题，接着介绍了本文的研究背景并介绍了 现有的域间认证和授权方案，这都是我们工作的基础。 第二章网格研究项目g l o b u s 和中国科学技术大学瀚海网格实验床介绍 本章重点介绍了g l o b u s t o o l k i t 软件架构，它能够帮助规划和组建大型的网格试验和应用 平台，开发适合大型网格系统运行的应用程序。在本章最后，介绍了中国科学技术大学的网 格研究情况，并对已搭建的瀚海网格实验床进行了简要介绍。 第三章网格环境中的访问控制策略 在本章中先对r b a c 进行介绍，它为网格管理员提供了一种灵活和抽象的授权机制，减 小了管理员的负担，但同时这种手动分配用户角色的方法很容易造成系统的瓶颈。基于属性 的访问控制策略a b a c 是根据系统预先定义的规则为用户动态分配角色，解决了单点登录的 问题。在本章中，我们对这两种访问控制策略进行了详细介绍，并对基于角色的信任管理模 型r t 给出了一个概括i 生的描述。 第四章校园网格中基于s a m l 的策略机制的部署和访问控制的实现 在本章中，我们首先介绍s a m l 的授权体系结构，并介绍了校园网格中基于s a m l 的策 略机制的部署和实现，同时，我们还描述了瀚海网格中基于s a m l 的策略执行点和策略决定 点的配置。在我们这个模型中，我们使用了相对安全的机制并对p o r t a l 进行完全的封装，从而 提高了不同系统间的协作能力。 第五章基于g s i 安全策略的域问访问控制系统的设计与开发 我们首先介绍了g s i 的安全策略设计和网格中的凭证管理方案，同时为我们的策略部署 模型搭建了一个简单的实验床用于仿真域间认证，为了简洁，我们采用j a v a 的远程系统调用 ( r m d 方式。认证中心采用g l o b u st o o l k i t 中提供的s i m p l e c a 软件包。本章最后给出了模 块图及相应程序代码 第六章结束语 本论文的主要贡献在于提出一种域间认证的方案，并仿真验证了该方案的可行性。本文 通过引进安全断言标记语言s a m l 技术，采用基于属性的访问控制策略和安全断言映射方法， 为校园网格引入一种新的访问控制模型，和网格中资源提供者与消费者之间的界面p o n a l 充分集成，提高了访问的灵活性和可靠性。 7 中国科学技术大学硕士学位论文网格研究项目g l o b u s 和中国科学技术大学瀚海网格实验床介绍 第二章网格研究项目g l o b u s 和中国科学技 术大学瀚海网格实验床介绍 从网格概念的诞生之日起，国内外的学术界和工业界就开展了大量的研究工作，这些研 究项目就有网格实验床的搭建，也有网格硬件设施和软件工具的开发，其中，g l o b u s 1 8 - 1 9 项目是目前国际上最有影响的网格计算项目之一。 根据研究的目的和内容，我们可以将学术界的网格研究项目分为四种类型：开发通用软 件的研究项目、与应用相关的项目、从事网格建设的应用项目和其它研究项目。国内学术界 的网格研究项目主要有研究机构和高等院校独立或联合开展，这些研究项目大都得到了国家 和政府的研究基金支持。我们的网格研究则主要受国家8 6 3 计划和国家自然基金的支持。 在本章中我们将对g l o b u s 项目和我们搭建的中国科学技术大学瀚海网格实验床进行介 绍，其中重点介绍由g l o b u s 项目开发的g l o b u s 软件，并对其网格安全架构g s i 进行详细介绍。 2 1g l o b u s 介绍 在本节中，我们首先介绍g l o b u s 项目的相关情况，然后介绍g l o b u s 构造的三层结构，最 后介绍g l o b u s 软件的主要功能。 2 1 1g l o b u s 项目 g l o b u s 是目前国际上最有影响的网格研究项目之一，始于1 9 9 6 年，由美国d a r p a ( d e f e n s e a d v a r t c e d r e s e a r c h p r o j e c t a g e n c y ) 、美国能源部、美国国家科学基金、美国航空航天局等机构 共同资助项目的承担单位是美国a r g o n n e 国家实验室和南加州大学，全美国共有1 2 所大学 和研究机构参与了该项目 2 0 。 g l o b u s 是一个研究性项目，其主要的研究目标是网格技术的研究及相应软件的开发和标 准的制定。同时，g l o b u s 项目还涉及到网格应用的开发以及其实验床的搭建。g l o b u s 项目是 一个较为长期的项目，对网格技术进行了深入的研究，并开发了比较成熟的软件g l o b u s t o o l k i t s 。该项目对信息安全、信息管理、资源管理、数据管理以及应用开发环境等网格计算 的关键理论和技术进行了广泛的研究，开发能在各种平台运行的网格计算软件，帮助规划和 组建大型网格试验平台，开发适合于大型网格系统运行的大型应用程序，并制定相应的标准。 g l o b u s 项目完成了多篇学术论文，其研究成果在国际上产生了重要的影响，网格技术已经成 为高性能计算研究领域中的热点。 g l o b u s 项目主要针对以下几个方面进行了研究： ( 1 ) 资源管理：主要的工作集中在通信资源和计算资源的命名和定位。 ( 2 ) 数据管理：主要集中在分布式环境下如何对数据进行管理，特别是涉及到数据密 集型的高性能计算问题。同时提出j d a t ag r i d 。 ( 3 ) 应用开发环境：主要研究如何为网格应用，包括精密仪器、显示、计算资源和信 息资源提供易用的开发环境和编程语言( 如c o r b a ，j a v a ，p e r i ，p y t h o n ) 。 8 中国科学技术大学硕士学位论文网格研究项目g i o b u s 和中国科学技术大学瀚海网格实验床介绍 ( 4 )信息服务：主要研究如何提供准确、实时的信息来配置计算机、网络以及协议、 算法等资源，实现高性能的分布式计算环境。 ( 5 ) 安全：主要研究如何在多个管理域、多种安全策略，以及主体动态变化的条件下 提供网格统一的安全方案。 根据g l o b u s 的观点，在网格计算系统中，所有可用于共享的主体都是资源，g l o b u s 关心 的不是资源的本身，而是如何把资源安全、有效、方便地提供给用户使用。网格计算通常用 于大型应用项目，这些项目需要许多组织协同完成，因而需要通过网格计算系统形成一个统 一的“虚拟组织”，网格中的资源和用户可以随时加入和离开虚拟组织。在网格计算系统中， 各组织拥有的计算资源、存储资源等各种资源可以被虚拟组织中的成员共享，并且各成员可 方便地协同完成一个大型分布式应用。因而如何有效地对虚拟组织中的成员和资源进行管理 是g l o b u s 项目研究的一个重要课题。 g l o b u s 软件是g l o b u s 项目的重要研究成果，它是开放源代码的，于1 9 9 9 年推出了其1 0 的版本，目前的最新版本是2 0 0 3 年初推出的基于o g s a 体系结构并且融合了w e bs e r v i c e 技 术的30 版本。在下节中，我们将对g l o b u s 软件进行介绍。 2 1 2g l o b u s 构造 g l o b u s 构造 2 1 从上到下分别是：g l o b u s 实验室床、g l o b u s 软件、g l o b u s 高级服务，它 的结构如图2 - 1 所示。 g l o b u s 新级h * g l 曲u s 鞍什 删o o b s 实验球 圆圈圈圈圈圆圈 图2 - 1g i o b u s 构造 1 ) g l o b u s 实验床 目前使用o l o b u s 软件搭建的实验床 2 2 主要有： 美国国家技术网格( n a t i o n a lt e c h o n o l o g yg r i d ) 欧洲数据网格( e u r o p e a n d a t a g r i d ) 美国航空航天管理信息网格( n a s a i n f o n n a t i o n p o w e r g r i d ) a s c l 分布式资源管理实验床( a s c id i s t r i b u t e dr e s o u r c em a n a g e m e n tt e s t b e d