（计算机应用技术专业论文）网格柔性认证中心体系结构研究与设计.pdf

哈尔滨工程大学硕士学位论文 摘要 网格作为一种新兴的将在未来起重要基础作用的技术，其安全性是其核 心问题，决定着网格技术能否得到广泛的应用。 网格认证是网格安全技术中的重要问题，防止数据在网格上传输时被任 何方式篡改，是保证网格数据安全流转的关键性环节。 本文分析了网格认证的关键性技术和常用的x 5 0 9 认证框架。同时，分 析了认证中心常用的体系结构，并对其各部分功能进行了详细描述。 针对原认证中心体系结构功能模块耦合度高和灵活性差的特点，本文设 计了柔性认证中心体系结构，在保持其原有功能的基础上，充分考虑软件架 构优先的原则，将系统区分认证中心业务过程的执行和认证中心管理过程的 执行。 此柔性认证中心体系结构基于事件和消息机制，采用e c a 规则技术。当 一个事件发生后，相应的消息就被发出，搜索与之相匹配的e c a 规则并执行 相应规则，使得系统的灵活性和可靠性有了很大的提高。 本文设计的柔性认证中心体系结构在降低原有结构的功能模块耦合度的 同时，重视其重用性，使其更符合软件构件的标准。同时，为用户设计了统 一的用户接口，使逻辑更清晰，层次更合理。 关键词： 网格安全；认正中心；柔性系统；e c a 规则；软件构件 堕2 ：鎏王翟盔主鎏圭兰鳘笙銮 a b s t r a c t g r i di san e wt e c h n o l o g y ，w h i c hw i l lb ev e r yi m p o r t a n ti nt h ef u t u r e ，a n d g r i ds e c u r i t yi st h ek e yr e s e a r c ho fg r i d w h e t h e rg r i dc o u l db eu s e dw i d e l yi n t h ef u t u r ed e p e n d so ng r i ds e c u r i t y g r i dc e r t i f i c a t ei st h ee m p h a s i si ng r i d s e c u r i t y g r i dc e r t i f i c a t ep r e v e n t st h ed a t at r a n s p o r t e di nt h eg r i df r o mb e i n g t a m p e r e db ya n ym e a n s i ti st h ek e yt oe n s n r ed a t as e c u r i t yi ng r i d t l l i st h e s i sa n a l y s e st h ek e yt e c h n o l o g yi ng r i dc e r t i f i c a t ea n dt h em o s t c o m m o nu s e dx 5 0 9c e r t i f i c a t es y s t e m w h a t sm o r e i ta n a l y s e sw i d e l yu s e d c e r t i f i c a t ea u t h o r i t ya r c h i t e c h t u r e ，a n dd i s c u s s e st h ef u n c t i o no f e v e r ym o d u l e s i n c et h em o d u l e so ft h ef o r m e rc e r t i f i c a t ea u t h o r i t ya r c h i t e c h t u r ec o u p l i n g w i t i le a c ho t h e rh e a v i l ya n da r en o ts of l e x i b l e t h i st h e s i sd e s i g n saf l e x i b l e c e r t i f i c a t ea u t h o r i t ya r c h i t e c h t u r e i tp r e s e r v e sm o s to f t h ef u n c t i o no f t h ef o r m e r s y s t e m ，a n dc o n s i d e r e dt h es o f t w a r ea r c h i t e c t u r et o d i v i d et h e s y s t e mi n t o c e r t i f i c a t ea u t h o r i t yb u s i n e s sp r o c e s sa n dc e r t i f i c a t ea u t h o r i t ym a n a g e m e n t p r o c e s s t h ef l e x i b l ec e r t i f i c a t ea u t h o r i t ya r e h i t e c h t u r ei sb a s e do nt h em e s s a g ea n d r u l em e c h a n i s m ，i e e c ar u l et e c h n o l o g y w h e na ne v e n ti sd o n e ，t h er e l e v a n t m e s s a g ei ss e n d ，a n dt h e nt h er e s p o n s i b l er u l ei sm a t c h e d ，a n dt h ec o r r e l a t i v e a c t i o ni sc a r r i e do u t b a s eo nt h i sm e c h a n i s m , t h ef l e x i b i l i t ya n dr e l i a b i l i t yo ft h e s y s t e mi se n h a n c e d t h ef l e x i b l ec e r t i f i c a t ea u t h o r i t ya r c h i t e c h t u r e d e s i g n e di n t h i s t h e s i s r e d u c e st h ec o u p l i n go ft h em o d u l e so ft h ef o r m e rs y s t e m ，a n de m p h a s i z e st h e r e n f p eo ft h em o d u l e s hm a t c h e st h es t a n d a r d so ft h es o f t w a r ec o m p o n e n t ，t h e f l e x i b l ec e r t i f i c a t ea u t h o r i t ya r c h i t e c h t u r ea l s od e s i g n su n i f o r mi n t e r f a c ef o rt h e u s e r s i tm a k e st h es y s t e mm o r el o g i c a la n da r c h i t e c t u r ei sm o r er e a s o n a b l e k e y w o r d s ：g r i ds e c u r i t y ；c e r t i f i c a t ea u t h o r i t y ；f l e x i b l es y s t e m ；e c ar u l e ； s o f t w a r ec o m p o n e n t 哈尔滨工程大学 学位论文原创性声明 本人郑重声明：本论文的所有工作，是在导师的指导下， 由作者本人独立完成的。有关观点、方法、数据和文献等的 引用已在文中指出，并与参考文献相对应。除文中已经注明 引用的内容外，本论文不包含任何其他个人或集体已公开发 表的作品成果。对本文的研究做出重要贡献的个人和集体， 均已在文中以明确方式标明。本人完全意识到本声明的法律 结果由本人承担。 作者( 签字) ：_ 二塞缯塑整 日 期：晒年p 月，g 日 堕玺鎏苫堡盔堂鎏土邀鲨銮 1 1 弓l 言 第1 章绪论 网格是构筑在互联网上的一种新兴技术，它将高速互联网、高性能计算 机、大型数据库、传感器、远程设备等融为一体，为科技人员和普通老百姓 提供更多的资源、功能和交互性【l 】。 网格概念的提出将从根本上改变人们对计算的看法，因为网格提供的是 与以往根本不同的计算方法。网格概念的核心就是突破以往强加在计算资源 之上的种种限制，使人们可以以一种全新的更自由、更方便的方式使用计算 资源，解决更复杂的问题。 网格建立在一个开放式的网络环境中，如i n t e r n e t 。这种环境可能会遭受 来自内部或外部的安全威胁。这些威胁可能是用户的偶然失误，也可能是故 意的针对系统安全脆弱点的非法攻击，、它们往往会带来严重的后果。因此如 何解决开放式网格环境的安全问题就显得尤为重要。同时，网格安全也是决 定网格是否能够走出研究领域，得到商业应用的决定性因素。 同行，由于网格的基本前提访问、共享和协作计算，认证、授权、 访问控制等问题在网格环境中变得更加重要。由于连接在网格上的任何人都 可以访问、修改或删除流经网格的数据可能是无意的，也可能是恶意的， 因此必须对收到的数据进行认证，以保证数据在网格上传输时未被任何方式 篡改。 对现有的认证中心( c a ) 认证体系结构分析知，它虽能较好的完成c a 认证。但是各模块之间的耦台性较高，不利于更好地扩展其性能，这种体系 结构在复杂多变的网格环境中，显然是需要改进的。同时，由于模块独立性 差，可重用性差，也不能满足先进的软件构件标准的要求。 本课题就是在这样的背景下产生的，旨在利用灵活的消息处理机制，重 组个模块之间组织关系，建立灵活的软件体系结构，满足网格环境中复杂多 i 哈尔滨工程大学硕士学位论文 变的c a 认证的需求。 1 2 网格技术综述 1 2 1 网格的定义 网格一词最早出现在2 0 世纪9 0 年代中期，而网格计算的概念在1 9 9 5 年的i w a y 项目中被提出。网格概念是在问题和应用的推动下不断发展、丰 富和完善的。 网格的产生主要有以下几个方面的原因：计算资源的广域分布、广域互 联技术的发展、广域范围内资源共享的需求。网格将分布在不同地理位置到 计算资源包括c p u 、存储器、数据库等，通过高速的互联网组成充分共享的 资源组合，从而提供一种高性能计算、管理及服务的资源能力。可以这么说， 传统互联网实现了计算机硬件的连通，w e b 实现了网页的连通，而网格正试 图实现互联网上所有资源的全面连通，实现计算资源、存储资源、数据资源、 信息资源、软件资源、存储资源、通信资源、知识资源、专家资源等的全面 共享，最终实现在网络虚拟环境上的资源共享和协同工作，消除信息孤岛和 资源孤岛。简单的讲，网格是把整个互联网整合成一个巨大的超级计算机， 实现资源的全面共享。当然，网格并不一定非要那么大，也可以构造一些地 区性的网格，如企事业内部网格、局域网网格，甚至家庭网格和个入网格等 等。网格根本特征不是它的规模，而是资源共享，消除资源孤岛【2 l 。 狭义的网格概念被称为计算网格，就是主要用于解决科学与工程计算问 题的网格。美国网格项目的领导人之一的i a nf o s t e r 在其编著的网格：2 1 世纪信息技术基础设施的蓝图中曾给出了网格的狭义描述：“网格是构筑在 互联网上的一组新兴技术，它将高速互联网、高性能计算机、大型数据库、 传感器、远程设备等融为一体，为科技人员和普通老百姓提供更多的资源、 功能和交互性。互联网主要为人们提供电子邮件、网页浏览等通信功能，而 网格功能则更多更强，让人们透明地使用计算、存储等其它资源。” 但是仍有许多人赞同广义的网格概念。它被称为g g g ( g r e a tg l o b a l 2 哈尔滨t 程大学硕士学位论文 g r i d ) ，它不仅包括计算网络、数据网格、信息网格、知识网格、商业网格， 还包括一些已有的网格计算模式，例如对等计算p 2 p ( p e e r t o p e e r ) 、寄生计 算等。 1 2 2 网格的特点 网格作为一种新兴的将在未来起重要基础作用的技术，拥有复杂的内在 机制和实现方法，它相对于现在网络技术尤其鲜明的技术特点 3 1 。 1 异构性：网格资源是多种多样的，包括跨地理分布的多个管理域，组 成网格计算系统的计算机也有多种类型，不同类型的计算机在体系结构、操 作系统等多个层次上可能具有不同的结构。 2 可扩展性：网格资源不是一成不变的，它可以从最初包含少数的资源 发展到具有成千上万资源的大网格。由此可能带来网格性能的巨大变化，网 格必须能够适应规模的变化。 3 可适应性：随着网格资源的增加，资源发生故障的概率也随之增高， 而且由于地理分布和系统的复杂性使网格系统整体结构经常发生变化，网格 计算系统也必须能够适应这种不可预测的结构。 4 分布性：网格计算必须是分布式的，这主要是指网格计算所涉及的计 算资源、进行网格计算的实体和其它的各种网格资源在地理位置上并不局限 在一个很小的范围内。 5 自相似性：网格的局部和整体之间存在着一定的相似性，局部往往在 许多地方具有全局的某些特征，而全局的特征在局部也有一定的体现。具体 来说，一个大型的网格自身又是由许多子网格组成，这就好比现在的主干网 和其子网的关系，这种个性在今后的网格的建造和研究过程中将起重要的作 用。 6 管理的多重性：网格计算资源首先是隶属于某个具体单位的，因此该 单位对它所拥有的资源具有最高级的管理和控制权限。但是，另一方面，网 格资源也是提供给整个网格的，因此网格系统也应该对该资源有相应的管理 和控制权限，这样就必须解决管理的多重性问题，实现各种管理的协调一致 问题。 哈尔滨工程大学硕士学位论文 _ i i i ii ii - 网格是构筑于互联网的基础上的，它的出现并非是要抛弃和完全取代互 联网，但与当前的互联网相比具有更高的性能，体现在以下四个方面： 1 网格的网络比互联网具有更大的带宽，“它就像用1 0 0 条车道的高速 公路取代了今天的道路”。 2 网格上将有更多高性能计算机，其计算速度、数据处理速度将达幅度 提高。 3 网格的体系结构使它能更有效的利用各种资源，如网格将采用广域缓 存技术，自动地把用于最需要的信息放在离用户最近的服务器上。 4 网格还将促进更多、更大的网上社区的出现，这些相互连接的社区最 终将构成一个庞大的网络社区，将我们地球上的所有人连为一体。 1 2 3 发展网格的意义 网格概念的提出将从根本上改变人们对计算的看法，因为网格提供的是 与以往根本不同的计算方法。r a n d yb r a m l e y 认为网格提供的计算能力是以 前所无法得到的，而且也是不能够通过其它方式得到的。网格概念的核心就 是突破以往强加载计算资源之上的种种限制，使人们可以以一种全新的更自 由、更方便的方式使用计算资源，解决更复杂的问题p j 。 首先是计算能力大小的限制，以前大部分的用户无法达到足够的计算能 力，因此许多问题的解决不能够通过计算或者是不能完全靠计算来实现的， 对模型以及算法的化简是最常见的近似方法。而网格所提供的计算能力要远 远超过以前我们所能够想象的程度，对于大多数用户来说，网格提供给他们 的计算能力是足以满足其计算要求的，在这种计算能力的支持下，人们可以 做许多以前无法想象和无法完成的工作。 其次是地址位置的限制，计算资源是分布在各处的，有些资源是稀缺或 不可复制的，有些资源甚至是无法和特定的资源位置分开的，因此要使用这 些资源，在以前情况下必须到相应的地方去，这在很多程度上限制了这些资 源的使用。而网格把“到资源所在的位置”对资源进行使用的现状打破了， 对资源的使用和使用者所在地位置以及资源所在地位置无关，突破了在使用 资源是对位置的限制，使网格具有突出意义的功能。 4 哈尔滨工程大学硕士学位论文 最后也是非常重要的点就是网格打破了传统的共享或协作方面的限 制，以前对资源的共享往往停留在数据文件传输层次，而网格资源的共享允 许对其它的资源进行直接的控制，而且共享资源的各方在协作是可以以多种 方式更广泛地交流信息，充分利用网格提供的各种功能。比如为分析大气系 统可以通过网格将各个领域的专家、各种大型专业数据库、大型计算设备、 各种模型库和算法库充分的结合起来，协同研究这一问题。网格使得共享与 协作的方式和方法更广泛了，而且为这种合作提供了各种控制策略与手段， 可以根据需要，动态地与不同的组织与个人建立各种级别的工作关系。 过去人们往往很自然地把计算资源和特定的有形的计算机联系起来，而 网格就是在剥去了各种具体的计算资源外在的“形”的基础上，将其内在的 “神”即计算能力抽取出来，形成一种分布在网上的抽象的计算能力，在实 现了“形”和“神”的分离的同时，原来有形的、专用的计算能力转化为一 种无形的、更通用的计算能力，正如同电力网将具体的各种类型的发电机的 电力转化为一种我们认为根本没有什么差别的统一的电力一样。 网格的意义，就如同互联网改变了人们传统的通信方式和通信手段一样， 它将改变人们传统的计算方式和计算手段，网格技术将为人们提供更强大、 更方便、更高级的问题求解手段。 1 2 4 国内外研究动态 在世界范围内，网格计算正处在迅速发展的阶段。近凡年来，网格计算 已经成为超级计算发展的一个重要趋势，它可以解决仅靠本地资源无法解决 的复杂问题。在美国由自然科学基金资助的p a c i 项目，包括两个重要部分： n c s a 和n p a c i 。这一项目通过将学术界、政府部门和工业界的力量结合起 来，建立一个网格计算基础设施的伙伴联盟。来出进科学发现和工程研究的 发展。美国的n a s a 正在构造一个网格计算试验床，成为 p g ，它可以将 n a s a 分布在各地的资源通过网络( 包括无线通信手段) 连接起来，解决 n a s a 目前无法解决的科学与工程计算等问题。如今，美国政府用于网格技 术基础研究的经费达5 亿美金，美国军方正在实施为期达二十年，投资数百 亿美元的“全球信息网格”。英国政府也已决定投资1 亿英镑，用来建设“英 5 哈尔滨工程人学硕士学位论文 国国家网格”。目前已经出现了不少在一定程度上支持网格计算的系统，比较 著名的是g l o b u s ，它是美国能源部a r g o n n e 国家实验室于1 9 9 5 年启动的高 性能计算研究项目 7 1 。 最近，企业也感到了网格蕴藏着巨大的市场，所以也纷纷加入了网格开 发的队伍。美国的微软公司已经决定支援g l o b u s 计划，s u n 公司也早已在 开发一系列支持网格计算的软件g r i d e n g i n e ，日本的软库( s o f t b a n k ) 公司 也向从事网格计算研究的新兴企业u n i t e dd e v i c e s 投资。除此之外，辉瑞 ( p f i z e r ) 制药公司以及飞机制造商波音公司等大公司，都已开始进行有关网 格计算的试验，目前他们实验的目标主要着眼于将其应用于大规模科学仿真。 i b m 公司则在2 0 0 1 年8 月启动投入4 0 多亿美元“网格计算创新计划”，全 面支持网格计算。i b m 认为网格是下一代互联网发展的趋势，具有战略重要 性【8 1 1 9 。 在国内，网格计算目前也正处于快速发展时期，主要项目有中科院牵头 的“国家高性能计算环境”项目。中科院计算所正在进行“织女星网格计划”， 目前已取得了一定成果。国内的另一个重要的项目是由清华大学牵头，教育 部支持的重点项目“先进计算基础设施北京上海试点工程”，其目的是建立一 个主要为教育系统各单位提供资源共享的科研、教育、培训等高性能计算基 础设旌，实现跨学科、跨地域合作与人才培养。 网格的研究在计算机科学发达的西方国家仍处于实验性阶段，而在我国 则刚刚起步，属于高性能网络计算的前沿课题，具有重要的理论价值和广泛 的应用前景。估计还有约2 3 年的时间可以进入初步的商业应用【lo j 【“j 。 国际网格研究主要采用开放源码和公开合作的模式。全球网格论坛 ( g l o b a lg r i df o r u m ) 是目前主要的合作组织。网格利用现有的网络基础设施、 协议规范、w e b 和数据库技术，为用户提供一体化的智能信息平台，其目标 是创建一种架构在o s 和w e b 之上的基于i n t e r n e t 的新一代信息平台和软件 基础设施。在这个平台上，信息处理是分布式、协作和智能化的，用户可通 过单一入口访问所有信息。网格的体系结构、信息表示、信息连通和一致性、 安全技术等都是目前网格研究的重点。 6 哈尔滨工程大学硕士学位论文 1 3 本文结构和组织 全文共分五章。 第1 章绪论 介绍本文的研究背景、意义、主要内容以及结构组织，并介绍了网格技 术的基本概念及其特点，发展网格的意义及国内外网格研究动态。 第2 章网格安全技术 在分析网格计算面临的安全问题及网格计算的安全要求后，详细介绍了 网格安全的基本概念和网格的安全策略。并介绍了网格安全的流行的解决方 案，并重点对最新的0 g s a 进行了分析。 第3 章网格认证系统 网格认证是网格安全技术中的核心内容，本章分析了网格认证技术，并 介绍了常用的x 5 0 9 认证框架。 第4 章柔性认证中心体系结构设计 提出了柔性认证中心体系结构，给出统一的用户接口和c a 服务器设计 方案。 第5 章认证中心处理引擎设计 详细描述c a 处理引擎中的各部分，给出了u m l 图，并与原有c a 认证 体系结构进行比较分析。 本文所做的工作主要有以下几点： 1 介绍了网格及网格安全技术当前发展现状，分析了研究网格安全性 的必要性及目前流行的网格安全解决方案。 2 分析了常用c a 认证体系结构，介绍了其工作情况及各模块具体功能 3 针对原有c a 认证体系结构灵活性差的特点，提出柔性c a 认证体系 结构设计方案，并利用u m l 类图详细描述了其核心部分c a 处理引擎( 包括 消息引擎和规则引擎) 设计方案，同时对其统一的用户接口进行了描述。 7 堕玺鎏占耋盔兰鎏圭主笔j 彗 第2 章网格安全技术 网格建立在一个开放式的网络环境中，这种环境可能会遭受来自内部或 外部的安全威胁。这些威胁可能是用户的偶然失误，也可能是故意的针对系 统安全脆弱点的非法攻击，它们往往会带来严重的后果。因此如何解决放式 式网格环境的安全问题就显得尤为重要。同时，网格安全也是决定网格是否 能够走出研究领域，得到商业应用的决定性因素。 2 1 网格计算面临的安全问题 网格计算的应用与传统的客户服务器应用的不同在于：它要求同时使用 大量的资源、动态的资源请求、对多个管理域中资源的使用、复杂的通信结 构，以及严格的性能要求等。 由于可扩展性的要求，性能和异构是任何分布式系统的奋斗目标，但网 格计算的特点导致了在分布式系统中已有的安全技术尚不能解决的问题。例 如：由多个可计算资源组成的并行计算要求建立的安全关系要比客户服务器 模式复杂得多，涉及多个管理域；网格计算的动态特征使得应用在执行前不 可能在站点之间建立信任关系；网格所使用的域间安全解决方案必须能与不 同的域内访问控制技术协同工作，甚至代替其工作。 具体地说，网格计算所面临的安全问题可以分为三类：现有系统和技术 的集成；不同主机环境协同工作的能力；相互影响的主机环境之间的信任关 系i 川。 1 技术集成 不论是出于技术原因还是其他原因，期望某一种安全技术来解决所有网 格计算的安全问鼷是不现实的。现有的安全架构不可能在一夜之间被取代。 例如：网格环境中的每一个域可能有一个或多个用来存放用户帐户的寄存器 ( 如：l d a p 目录) ，这些寄存器是不可能与其他组织或域共享的。同样，现 有环境中被认为安全可靠的认证机制也会继续使用。因此，这些倾向于使用 8 哈尔滨工程大学硕士学位论文 单一模式或机制的技术不大可能轻易被取代。 为了获得成功，网格安全体系结构需要过渡到对现有安全体系结构和跨 平台、跨主机模式的集成。这意味着该体系结构可由现有的安全机制( 如： k e r b e r o s ，p k i ) 来实现，同时，要有可扩展性和可集成性。 2 协同工作的能力 穿越多个域和主机环境的服务需要能够互相影响，协同工作。协同工作 能力主要表现在下面几个层面。 协议层：我们需要域间交换信息的机制，这可以通过s o a p h t t p 获得。 策略层：为了进行安全的会话，参与协同工作的每一方必须能够详细说 明它想要的任何策略，同时这些策略也要能容易地被其它方所理解。这样， 各方才能尝试建立安全的通信信道和有关互相认证、信任关系的安全语义。 身份鉴定层：我们需要有从一个域中可以鉴定另一个域中用户身份的机 制。这种要求超过了定义信任关系和在安全机制间( 如：从k e r b e r o s 票据 到x 5 0 9 证书) 获得联盟的需要。如果一种确定的身份可以被预先定义成跨 越多个域，这当然最好，但实际上往往做不到。为了在安全环境中成功实现 跨越多个域，必须要实现身份和信任的映射，这可以通过代理服务器或信任 代理来完成。 3 信任关系 网格服务需要跨越多个安全域，这些域中的信任关系在点对点的跨越中 起着重要的作用。每一种服务要将它的访问要求阐述清楚，这样，需要访问 这些服务的实体就可以安全地访问。端点间的信任关系应该用策略来清楚地 描述。信任的建立过程对每个会话来说或许是一次性的活动，也有可能对于 每一次请求都要动态地进行评估。由于网格的动态特性，有些情况下不可能 在应用程序执行前预先在这些域中建立信任关系。总之，网格环境中的信任 关系非常复杂，它需要支持动态的、用户控制的配置和瞬间服务的管理。瞬 间服务是用户为了执行特定请求任务而生成的，这些任务甚至包括用户代码 的执行。 解决网格环境的安全问题可分为以下三个研究领域： 1 集成解决方案 着重解决如何使用现有的服务以及接口应该被抽象成可扩展的体系结 9 堕玺鎏士堡銮兰鎏圭兰垒鎏銮 构。 2 协同工作能力解决方案 着重解决如何在有着不同安全机制和策略的虚拟组织中的服务的互相调 用问题。 3 信任策略解决方案 着重解决如何在动态网格环境下定义、管理、执行信任策略。 2 2 网格计算的安全要求 网格系统和应用要求所有的标准安全功能，包括认证、访问控制、完整 性、隐私权和抗抵赖性。这里主要讨论认证和访问控制。尤其是：( 1 ) 提供 认证解决方案，允许用户，包含用户计算的过程以及该过程使用的资源来证 明彼此的身份。( 2 ) 在任何时候都尽可能地不改变访问控制机制。认证形成 了安全政策的基础，使得各个局部安全策略被集成为一个全局框架f 1 3 】。 要开发种满足这些要求的安全体系结构，需要满足以下的限制条件： 1 单一登陆点：用户只需要在开始计算时进行_ 次认证：在获得资源、 使用资源、释放资源、内部通信时不用对用户进行再次的认证。 2 信用凭证保护：用户的凭证( 密码，密钥等) 必须受到保护。 3 局部安全方案的互用性：当安全解决方案能提供域间访问控制机制 时，对局部资源的访问应由本地安全机制决定。但是，改变局部资源来适应 域问访问是不现实的，这要求有一个或多个实体作为局部资源的远程客户 用户代理。 4 可公开性：要求代码在多个测试床上是可公开的和可执行的。 5 统的认证结构：域间访问要求用最小的、通用的方法来表示安全主 体( 如一个用户或一个资源) 。因此必须使用标准的认证标准( 如x 5 0 9 ) 。 6 支持安全组通信：通信可能包括许多过程，这些过程需要一个组来协 调它们的活动。因此，霈要支持动态组的安全通信。 7 支持多项实旋方案：安全策略不能是专为项特定的应用技术而定。 它应该可以应用于大量的基于公钥和密码的系统中。 1 0 堂：鋈：! ：i ：盔主堡圭兰笙鎏矗 2 3 网格安全基本概念 与网格安全性相关的关键性术语有：鉴别( a u t h e n t i c a t i o n ) ，授权 ( a u t h o r i s a t i o n ) ，审计( a u d i t a c c o u n t i n g ) ，保密性( c o n f i d e n t i a l i t y ) ，隐 私( p r i v a c y ) ，完整性( i n t e g r i t y ) ，结构管理( f a b r i c m a n a g e m e n t ) ，信任( t r u s t ) 1 4 1 。 所有的这些术语对网格都十分重要，但是一些应用可能比其它的更多地 强调某个概念。在介绍这些术语之前，先介绍几个基本的概念： 1 主体( s u b j e c t ，简称s ) ：主体是个参与安全互操作的参与者。在 网格系统中，主体一般代表一个用户或是一个代表用户进程，还可能是一个 资源或是代表资源的进程。主体一般是主动方。 2 客体( o b j e c t ，简称o ) ：客体是被安全策略保护的资源，是被动方。 3 进程( p r o c e s s ，简称p ) ：一个逻辑实体，代表一个用户在特定资源 上进行的计算。 4 用户( u s e r ，简称u ) ：一个网格任务的请求者，通常是人或代表人 的进程。 5 资源( r e s o u r c e ，简称r ) ：在一个计算过程中使用的计算、存储、 文件系统，也可能是一组机群、一个分布式的内部网络。 分别介绍这些术语如下： 1 鉴别( a u t h e n t i c a t i o n ) ：是主体向请求者证明自己身份的过程，通常 使用一个凭证。两方( 请求者和被请求者) 鉴别时彼此之间同时鉴别的相互 鉴别( 鉴别别人时，自己也被鉴别) 。 2 授权( a u t h o r i s a t i o n ) ：是一个过程，由我们决定是否允许一个主体 访问或使用个对象。 3 审计( a u d i t a c c o u n t i n g ) ：对账目( 如安全事务日志) 记录的分析来 研究安全事务，程序或记录本身。 4 保密性( c o n f i d e n t i a l i t y ) ：通过对数据加密，使只有拥有密钥的合法 用户才能访问，而授权者不能访问数据。这样，即使未授权者拿到数据的加 密文件，也不可能看到其明文，密文对他没有意义。 哈尔滨工程大学硕士学位论文 5 隐私( p r i v a c y ) 对于处理个人信息的项目或是与宗教限制相关的主 体特别重要。隐私需求与数据的使用相关，在数据所有者建立一致认可的环 境中。 6 完整性( i n t e g r i t y ) , 保证信息在传送或存储过程中没有被篡改、破坏 或丢失。 7 结构管理( f a b r i cm a n a g e m e n t ) ：包括支持网格应用的分布式计算， 网络资源和相关的连接。 8 信任( t r u s t ) ：如果主体a 假设信任任何有主体b 签署的信息这个 前提是正确的，则a 信任b 。 2 4 网格计算的安全策略 利用上文中的术语和基本概念，定义网格的安全策略如- f t l 5 】【1 6 l ： 网格环境包括多个信任域。该策略元素说明网格安全策略必须集成一个 局部可管理的用户和资源的异构集合。从总体上看，网格环境将限制或不影 响局部安全策略。这样，我们既不用代替局部安全策略，也不能覆盖局部策 略决定。因此，网格安全策略必须集中于域间相互作用和映射域问操作为局 部安全策略。 单一信任域内的操作仅受局部安全策略的影响。网格安全策略没有在局 部操作中增加安全操作和服务。局部安全策略可以通过许多种方法来执行， 包括防火墙、k e r b e r o s 和s s h 。 对每个信任域，都存在一个c o n 从全局到局部主体的映像。实际上，每 个资源用户将有两个名字，一个全局名字和一个局部名字。全局名字到局部 名字的映像是特定的位置说明。 位于不同信任域的实体间的操作要求相互鉴别。 一个被鉴别的全局主体映像为一个局部主体被看作等同于局部主体的本 地认证。换言之，在一个信任域内，网格鉴别策略的局部映像的结合满足于 主机域内的安全对象。 所有访问控制决定都由局部主体在本地做出。该策略组成部分要求访问 控制决定权保留在系统管理员手中。 1 2 哈尔滨工程大学硕十学位论文 一个程序或过程可以代表用户操作，从属于用户权利的子集。该策略对 支持长生命周期程序的执行是必须的，这些程序可以获得动态资源而无需额 外的用户相互作用。它也要求支持过程的创建。 代表同一信任域内同一主体的过程可以共享一个单一的信用集。网格计 算可能包含一个单一资源上的上百个进程。该策略组成部分通过避免为每个 过程创建一个唯一凭证，是安全结构可扩展到大规模的并行应用。 2 5 网格安全具体解决方案 2 5 1k e r b e r o s k e r b e r o s 是第一个广泛使用的分布式认证协议，影响了很多后来的协议， 如s e s a m e 和k r y p t o k n i g h t 。它可以从网上免费获得。k e r b e r o u s 的目的是 提供一个可信的第三方认证系统。通过使用第三方认证，使得每个分布式系 统中涉及到的位置不在需要存储用户i d 和口令的复杂数据库。实际上， k e r b e r o s 保存了一个单独的认证信息主数据库，成为k e r b e r o s 数据库管理系 统( k d b m ) 。另外，有多个可能的k e r b e r o s 密钥分发服务对k d b m 提供协 助，这些密钥分发服务包括数据库的只读副本，并且有助于避免k d b m 的瓶 颈。k e r b e r o s 密钥分发服务还允许系统在k d b m 临时无法访问时继续工作。 k e r b e r o s 系统包括4 个阶段： 阶段o ：使用k e r b e r o s 注册 在用户建立一个会话之前在k e r b e m s 密钥分发中心必须首先离线建立 用户的身份。当这个工作完成时，用户的i d 和口令就以加密形式存储在 k e r b e r o s 数据库管理器中。这里，用户被认为是已注册的，并已准备好通过 k e r b e r o s 协议使用网络服务。 阶段1 ：获得系统票据 用于认证的k e r b e m s 证书成为票据。阶段1 包括系统票据的获得，在阶 段2 中，这个系统票据可以用来从票据授予服务( t g s ) 去获取服务票据。 为了得到系统证书，用户必须使用k e r b e r o s 注册( 阶段o ) 。所获得的k e r b e r o s l3 哈尔滨工程大学硕士学位论文 系统票据使用t g s 专用私钥进行加密。系统票据中包括了客户端的鉴定信 息，包括：临时会话密钥，由t g s 和客户端使用；客户端身份；t g s 身份； 票据有效期：客户端的网络地址。 阶段2 ：获得服务票据 为了获取一个服务票据，客户端需要将一个数据包发送给t g s ，并使用 客户端和t g s 共享的会话密钥对这个数据包进行加密。这个数据包中包括客 户端名称、网络地址、一个现时值以及客户端希望使用的服务的名称。另外， 同时还发送系统票据，只是不对其进行加密。 阶段3 ：利用间接服务 现在客户端拥有了一个服务票据， 据允许范围认证获验证客户端的身份。 并已准备好使用服务了。这个服务票 要使用一个服务，客户端需要向服务 发送一个数据包，其中包括服务票据和客户端身份。服务票据是使用服务的 密钥加密的，包含客户端身份和时间戳。如果时间戤没有到期，而且身份相 互匹配，则客户端通过认证，可以自由使用这个服务。 2 5 2g l o b u s 工具包 g l o b u st o o l k i t ( g l o b u s 工具包) 是一组用于构建网格的组件，应用十分 广泛，其中包括现今最流行的网格计算安全机制。 这个工具集由g l o b u sp r o j e c t 开发，它通过其中的网格安全基础设施( g r i d s e c t t r t i t yi n f r a s t r u c t u r e ，g s i ) 提供认证、授权和安全通信。g s l 支持用户代 理、资源代理、认证机构和协议的实现，通过使用公钥密码系统，特别是公 钥私钥和x 5 0 9 证书，为创建安全阙格提供了基础。 x 5 0 9 也许是应用最为广泛的数字证书定义标准，企业i t 管理人员对它 都十分熟悉并且也具备支持它的基础设施。与此同时，这种标准相当灵活， 可以很巧妙地在网格中使用。 g s i 的主要目标是：为多个网格系统和应用程序提供单点登陆，提供可 以在多个组织之间使用，而不要求集中管理授权的安全技术，以及在同一网 格中的多个不同元素之间提供安全的通信机制。 1 g s i 认证 1 4 堕j 鎏三堡盔兰譬圭堂磐兰銮 g s i 基于用户的私钥创建时间戳代理，从而为用户提供了一种安全认证 方法。用户如果没有创建这个代理，就不能提交作业，也不能传输数据。这 个代理一经创建，就可以用于授权或者拒绝整个网格内所有资源的访问。因 为这个代理可以在整个系统中使用，这就使得最终用户可以只登陆一次。 另外一种认证方式是使用具有g s i 功能的o p e n s s h ，其中也使用了相同 的认证机制，但这种功能就是在g 1 0 b u s t o o l k i t 核心功能之外实现了。 2 g s i 授权 g s i 处理用户授权的方法是将用户映射为所访问系统的本地用户。在启 用了g s i 的网格中，接受请求的系统从代理中读取用户的名字，然后根据一 个本地文件将这个名字映射为本地用户名。 为了在不同的网格系统中创建很多额外的用户i d ，管理员可以将用户划 分为虚拟的组。某个特定域下面的所有用户在访问某项特定的网格资源时， 都可以映射到一个公用的用户i d 上。g s i 的这种设计方式有助于管理员将 运行网格计算的外部用户和需要本地管理与支持的本地用户区分开来。 3 g s i 安全通信 缺省条件下，g s i 用数字证书进行相互认证，并通过s s l t l s 实现对数 据的加密，以保证通信安全。g l o b u st o o l k i t 中包含o p e n s s l ，用于在网格 客户机和服务器之间创建加密的管道。 如果某些用户不具备到网格客户机和服务器的物理连接，而要实现对网 格的安全远程访问，那么g l o b u s 建议使用具有g s i 功能的o p c n s s h 。安全 s h e l l ( s e o u r es h e l l ，s s h ) 可以在用户的客户机和网格服务器之间建立加密 的会话。 2 5 3s h a r p 安全赘源共享 目前还出现了另外一组网格安全技术，致力于安全的网格资源管理，以 便帮助使用网格的公司更高效地共享系统。在这方面有一个例子，即所谓的 s h a r p 研究项目( s e c u r eh i g h l ya v a i l a b l ei e s o u r c gp e e r i n g ，安全高可用资源直 连) ，这是杜克大学开发的个项目，目标是为募享网格资源和委托授权使用 这些资源定义新的方法。 t 5 氅奎鎏士鎏盔主堡土主堡鎏銮 s h a r p 提出了一个新的网格安全基础设施，成为“策略服务器”( p o l i c y s e r v e r ) ，负责控制用户访问网格资源的时间、地点以及范围。这些策略服务 器给用户个票据，用于向资源的所有考证明这台经过授权的服务器已经给 予它访问权限。 杜克大学计算机科学系副教授兼s h a r p 程序组成员j e f fc h a s e 说，“我 们过去使用的安全方法一直是在资源孤岛的周围创建一个边界，但是那样的 方法不适合网格。其中一点就是，它没有提供控制资源的方式。新的模型为 全世界的用户创建了一种流体结构，可以将控制什么人访问什么资源的策略 广泛分布在其中。” 在s h a r p 模型内部，每一个站点都作为一个中央认证机构来验证密钥、 签名以及检测对其本地资源的声明冲突。声明经过密码签名，可以保证不可 更改性，不可否认性，并能够由第三方机构进行验证。 声明一旦建立，就可以通过“代理”( a g e n t ) 对其进行管理。所谓代理， 是一些可插入的模块，能够对声明进行细分，并将其分配给相应的客户机， 设计这些代理能够使对资源声明的处理更加有效。 为了避免过度使用系统资源，这些声明被设置了时间限制，在某段特定 期限之后就会过期，因此如果声明持有者没有进行操作，系统就可以将资源 恢复。 在某些情形下，代理可能会给资源超额分配额外的声明，这样即便某些 声明不能成功使用资源或是超时，也可以保证资源被充分利用。 这些技术的最终目标是实现按需计算。尽管网格技术对于研究者而言十 分重要，s h a r p 的开发人员关注的焦点却是有效的计算。 2 5 4 构建沙盒 另外一类发展中的网格安全技术是用来帮助公司保护网格免受恶意代 码、病毒以及其他基于网格基础设施之上的有意无意的攻击。 其中一个例子来自于德克萨斯州奥斯汀的商业网格计算公司u n i t e d d e v e c e s 。u n i t e dd e v i c e s 跟商业网格计算领域内的其他公司一样，一直致力 于创建安全的共享环境，不仅能保护用户设备不受网格代理的干扰，而且能 1 6 哈尔滨工程大学硕士学位论文 保护网格设备不受用户应用程序的干扰。其中的思想是保证用户和网格应用 程序都只能访问一组适当的系统资源。 u d 的技术与一些类似公司的技术相同，都是将运行在最终