（计算机软件与理论专业论文）网格安全的认证和访问控制技术研究.pdf

摘要 摘要 网格技术是一门新兴的技术，有着非常广泛的应用前景和发展空间。在网格 强大的功能给科学研究带来极大便利的同时，也不得不担心网格应用的安全性。 本文通过对网格安全的需求的分析，设计了一种基于代理的网格安全体系模 型，并对其中重要的认证和访问控制技术进行了分析和改进。本文首先分析了目 前与网格相关的一些安全技术，以此作为网格安全模型构建的基础。其次在对网 格面临的安全问题的分析的基础上，探讨了网格安全应该提供的服务，提出了一 种基于代理的网格安全体系模型。然后，针对目前认证模型的缺陷，本文设计了 一种星形认证模型，改善了网格的认证机制。最后，本文介绍了访问控制机制， 探讨了基于角色的访问控制机制在网格安全应用中的不足，并在分析了网格对访 问控制的要求及目标的基础上，对角色概念进行了扩展，还引入了客体角色的概 念，改进了网格的访问控制模型，使网格不仅对用户进行了管理，而且对资源也 进行了有效的管理。 关键词：网格安全认证客体角色访问控制 a b s t r a c t a b s t r a c t g r i dh a sb e e nm o r ea n dm o r ep o p u l a ri nr e c e n ty e a r s i th a sb e e nw i d e l ya p p l i e d a n dh a sab r i g h tp r o s p e c t g r i dm a k e sr e s e a r c ha n ds t u d yc o n v e n i e n tb u tt h es e c u r i t yo f 西r dm u s tb et a k c ni n t oa c c o u n t a g e n t - b a s e dg r ds e c u r i t ya r c h i t e c t u r ew a sd i s c u s s e di nt h i sp a p e r , a c c o r d i n gt ot h e r e q u i r e m e n ta n a l y s i so f 鲥ds e c u r i t y c o m p a r e dw i t h t r a d i t i o n a l g r i ds e c u r i t y a r c h i t e c t u r e ，t h ea u t h e n t i c a t i o na n da c c e s s c o n t r o lm e c h a n i s ma l e s i g n i f i c a n t l y i m p r o v e d t h et e c h n o l o g i e sr e l a t e dt o 鲥ds e c u r i t ya r ei n t r o d u c e df i r s t l yi nt h i sp a p e r , w h i c hi st h ef o u n d a t i o no fg r ds e c u r i t ym o d e l s e c o n d l y , b a s e do nt h ea n a l y s i so fg r d s e c u r i t yp r o b l e m sa n dd i s c u s s e dt h es e r v i c ew h i c ht h eg r i ds a f es h o u l dp r o v i d e ， a na g e n t - b a s e d 研ds e c u r i t ya r c h i t e c t u r em o d e lw a sp r o p o s e d a st h el i m i t a t i o no ft h e p r e s e n ta u t h e n t i c a t i o nm o d e l ，as t a rt o p o l o g ya u t h e n t i c a t i o nw a sp r o p o s e dt oi m p o v et h e a u t h e n t i c a t i o nm e c h a n i s m f i n a l l y , a c c e s sc o n t r o lm e c h a n i s m w a si n t r o d u c e d ；t h e d e f e c t i o no fr o l e - b a s e da c c e s sc o n t r o lm e c h a n i s mw a sd i s c u s s e da n dt h ec o n c e p t i o n “o b j e c tr o l e ”i si n t r o d u c e dt oi m p r o v et h ea c c e s sc o n t r o lm o d e l t h u s ，g r i dc a l ln o to n l y m a n a g eu s e r s b u ta l s om a n a g er e s o u r c e s k e y w o r d s ：g r i ds e c u r i t y a u t h e n t i c a t i o n o b j e c tr o l e a c c e s sc o n t r o l 声明 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做 的任何贡献均已在论文中做了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕 业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。 学校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全 部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文( 保密的论文 在解密后遵守此规定) 。 本人签名： 季天泽 导师签名：止翌i日期：盟：! ：z ： 第一章绪论 1 1 1 网格概述 第一章绪论 1 1 课题研究背景 随着科学技术的飞速发展，人们研究的事物越来越复杂，对计算能力的要求 也越来越高。计算机技术的不断进步，使得网上遍布了成千上万的各类高性能计 算机，如何更好地扩展和利用这些网络资源已成为一个重要研究方向，网格技术 也就应运而生。网格“1 是构筑在互联网上的一组新兴技术，它将高速互联网、计算 机、大型数据库、传感器、远程设备等融为一体，为科技人员和普通老百姓提供 更多的资源、功能和服务。其目标是把整个因特网整合成一台巨大的超级虚拟计 算机，实现互联网上所有资源的互联互通，完成计算资源、存储资源、通信资源、 软件资源、信息资源、知识资源、专家资源等的智能共享。网格以其重要的战略 意义以及广阔的应用前景成为当今吸引众多研究人员和巨大资金投入的研究热 点。很多行业对高性能网格计算的需求量也都非常巨大，比如生物、能源、交通、 气象、水利、农林、教育、环保、国防等。通过使用网格计算，希望能够实现廉 价、普遍的高性能计算，能够随心所欲地访问各种信息，完成原有计算模式无法 胜任的工作。 判断是否是网格的三个要素。1 ： ( 1 ) 在非集中控制的环境中协同使用资源网格能够整合各种资源，协调 各种使用者，这些资源和使用者可以在不同控制域中；网格还必须解决在这种分 布式环境中出现的安全、计费、权限等问题。否则，只能算作本地管理系统而非 网格。 ( 2 ) 使用标准的、开放的、通用的协议和接口网格应用要建立在多功能 的协议和界面之上，这些协议和界面要解决认证、授权、资源发现和资源存取等 基本问题。否则，只算作一个具体应用系统而非网格。 ( 3 ) 提供非平凡的服务质量网格允许它的资源被协调使用，以得到多种 服务质量，满足不同使用者的需求，如系统响应时间、流通量、有效性、安全性 及资源重定位，使得联合系统的功效比其各部分的功效总和要大得多。 一些研究机构正在使用这三个指标建立自己的网格系统，例如，“数据网格”、 n a s a 信息动力网格、连接五个荷兰大学的分布式a s c i 超级计算机系统d a s 2 、 网格安全的认证和访问控制技术研究 连接d o e 实验室中各系统的d o e 科学网格和d i s c o m 网格、连接美国各主要学 术机构的t e r a g r i d 。这些系统从多个组织中整合资源，每个系统分别有自己的策略 和机制：使用开放的、通用的协议乜l o b i l st o o l k i t 来协商和管理资源共享；能 得到多种服务质量，包括安全性、可靠性和良好的性能。 上述的这些网格系统都具有分布式系统的一些特征，但作为一种新的计算机基 础设施，网格还具有一些重要的特点。1 ： ( 1 ) 分布性。网格的资源有很多种，都分布在地理位置不同的许多地方，因 此要解决网格资源针对任务的分配和调度问题，传输和通信问题，人与系统以及 人与人之间的交互和协同问题，网格应用在分布式环境中自动执行和协作问题。 ( 2 ) 异构性。组成网格的资源是异构的，各不相同的。网格既要具有利用资 源的异构特点进行处理的能力，也要具有提供一致资源管理的能力。 ( 3 ) 自治性。网格上的资源首先是属于某一本地的个人或者组织，网格资源 的拥有者对资源具有最高级别的管理权限。同时这些资源根据一定的约束和规则 接受网格的统一管理，实现资源的共享和操作。资源的管理具有多重性。 ( 4 ) 动态性。网格资源具有自治性，因此网格资源可能动态地加入或者退出 网格，或因故障而导致资源不可用。因此对于这种动态性需要一种机制来保障网 格应用的运行不会遭受比较大的影响。 ( 5 ) 自相似性。网格的局部和整体之间存在着一定的相似性，局部在许多地 方具有全局的某些特征，而全局的特征在局部也有一定的体现。网格的构建通过 小的局部网格可以形成更大的网格，其构成方式具有相似性。 1 1 2 网格安全在网格中的作用 网格技术虽然有着非常广泛的应用前景和发展空间，但是对它的研究还处在 起步阶段，还有很多关键技术问题需要解决。网格技术强大的功能在给科学研究 带来极大便利的同时，也不得不担心网上应用的安全性，从而使得网格用户在获 取便利、快捷的功能和服务的同时不用担心资源的泄漏或被窃取。在网格环境下， 安全意味着合法用户可以合法地使用网格中的资源，用户信息和资源信息能够在 网格中畅通无阻，而不会受到安全威胁。网格的安全管理机构应该提供合法网格 用户访问网格的授权功能，检查证书的有效性和有效期，禁止资源的非授权访问， 检查合法用户访问资源的正确性，提供合法的集成功能。网格环境的安全应该充 分尊重用户的需求，灵活提供不同级别、不同层次的安全保证。 网格安全系统既要提供现有的i n t e m e t 服务具备的各种安全功能，主要包括认 证、存取控制、完整性、机密性和不可否认性等，同时，还需要满足网格环境特 有的一系列安全需求。网格环境中用户与资源的动态性，以及申请释放资源等操 第一章绪论3 作的动态性，使得网格安全面临了新的挑战，对系统的高可扩展性，灵活性等方 面提出了更高的要求。 网格安全技术的发展总是滞后于网格技术的发展，迄今为止，大多数的网格 标准都没有过多的去解决安全性问题，对于现有网格来说，还是应该将安全问题 考虑周全，因为安全性对于网格服务而占是至关重要的需求。随着网格已经从实 验和科研阶段进入商业领域，理解并解决网格计算的安全问题己经成为当务之急。 1 2 网格安全的研究现状 网格安全是网格中的一个重要组成部分，其直接影响着网格的发展，影响网 格系统软件的实际应用情况。在i n t e m e t 上，为了确保安全，所有被传输的作业和 数据都需要进行认证和保护，以免遭受各种各样的安全威胁，如假冒合法用户身 份或者假冒网站，或截取、篡改数据等。网格安全目前主要研究网格环境中的安 全认证、访问控制、数据完整性、通信机密性、用户行为的不可否认性、以及单 登录等。 在对网格安全的研究中，产生了多种网格安全解决方案，典型的方案有下面 几种： g l o b u s 是美国a r g o n n e 国家实验室的研发项目，全美有1 2 所大学和研究机构 参与了该项目。g s i “”是g l o b u s 初期采用的网格安全解决方案，也是后来很多网 格安全方案的基础。g s i 提供了一系列的安全技术手段，包括认证证书、身份相互 鉴别、通信加密、私钥保护及委托与单点登录等等。但g s i 存在一些明显的局限 性，主要体现在可扩展性差，缺乏策略描述方式，策略分发困难等问题。 c a s 鳓“1 是g l o b u st o o l k i t3 2 “包括的一个新组件，它解决了传统g s i 系统面 临的一些问题，提供了一个细粒度的网格资源访问控制方案。在c a s 系统中，资 源的访问控制分为两个部分：虚拟组织的访问控制和资源提供者直接的访问控制。 该系统要求资源和用户必须加入同一虚拟组织。在每次访问前，用户需要通过该 虚拟组织的c a s 服务器的验证，并获得包含用户对资源访问权限的签名证书，用 户凭此证书才能对资源进行访问。 v o m s “与c a s 在操作方面有类似之处：用户如果要取得对资源的访问，必 须首先获得v o m s 服务器签发的证书。两者之间的区别主要在粒度的控制方面。 v o m s 签发的证书只包括了在虚拟组织中的身份信息，至于该身份能够获得什么 样的权限完全由资源管理者决定。 a k e n t i “”是一个基于证书的访问控制系统，该系统使用到三种证书类型：x 5 0 9 用户身份证书，用户属性证书，以及资源使用条件证书。a k e n t i 系统解决了其他 系统都忽略的一个问题：如果资源具有多个享有者，如何实现分布式的访问控制， 4 网格安全的认证和访问控制技术研究 即授权管理问题。该问题的解决是通过资源使用条件证书来实现的。a k e n t i 系统 的核心是a k e n t i 策略引擎。该引擎被用来搜集和验证证书；并基于这些证书，判 断用户访问资源的权限。 p e r m i s “”“”是一种基于角色的访问控制系统。该系统使用x 5 0 9 属性证书存 储用户角色，所有属性证书存储在一个或者多个l d a p 目录中，其访问控制决策 由授权策略驱动。授权策略在p e r m i s 系统中是一个重要的概念，该系统中的授 权策略不是由资源管理者制定，而是全局性的，与应用无关的。 1 3 论文的主要内容及结构 网络安全技术是网格安全技术的基础，本文首先介绍了网格所使用的网络安 全技术及一些网格安全技术。针对网格区别于现有网络的特点，分析了网格面临 的安全问题，据此探讨了网格安全应该提供的安全服务，并在此基础上提出了一 种基于代理的网格安全模型。然后，对网格安全中的认证和访问控制策略进行了 研究和改进。论文分析了目前网格的各种信任关系模型，并对各种模型进行了分 析，提出了一种改进的星形网格安全信任模型，使得各种机制之间能够互相兼容。 接着分析了访问控制技术，并对基于角色的访问控制机制进行了研究，由于网格 环境的特殊性，其对访问控制又有自己的要求和目标，在探讨基于角色的访问控 制模型在网格安全应用中的优缺点后，对角色进行了扩展，并引入了客体角色的 概念，使得网格安全访问控制不仅对用户进行了很好的管理，而且对资源也进行 了有效的管理。最后提出改进的基于角色的网格访问控制模型，为以后的研究和 实现提供了理论依据。全文内容安排如下： 第一章对网格技术进行了简要的概述，说明了网格安全在网格中的重要作用， 分析了当前网格安全的研究现状，并对论文的主要内容及结构做了介绍。 第二章对网格安全中使用的安全相关技术进行了介绍，包括密码技术，认证 所使用的公开密钥基础设施、安全通信所使用的技术以及在线证书仓库。 第三章介绍了网格所面临的安全问题，在此基础上分析了网格安全应该提供 的安全服务，针对这些服务提出了一种基于代理的网格安全模型，并对其中网格 安全组件进行了分析。 第四章首先介绍了现有的信任关系模型，并分析了这些信任关系模型的优缺 点，由于各种信任关系的互不兼容，本章提出一种改进的星形信任模型，使得各 种信任关系能够兼容起来，体现了网格的灵活性和可扩展性。然后介绍了网格的 认证过程。 第五章先对访问控制进行了概述，然后介绍了现在常用的基于角色的访问控 制策略。根据网格对访问控制的要求及目标，在分析基于角色的访问控制策略在 第一章绪论 网格应用中存在的问题后，对角色进行了扩展，并引入了客体角色的概念，使得 改进后的网格安全策略能够很好的融入到网格安全环境中。 第六章是总结和展望。对全文的工作进行了总结，并提出需要改进的地方以 及进一步研究的方向。 第二章网格安全相关技术 7 第二章网格安全相关技术 2 1 密码技术 密码技术，是网络安全的基础核心技术，也是数字签名、身份认证等安全技 术的基础。同样，在网格安全系统中，密码技术也是最基础的核心技术。 根据密钥类型不同将现代密码技术分为两类：一类是对称加密技术，另一类 是非对称加密( 公开密钥加密) 技术。 2 1 1 对称密码技术 对称加密技术”1 是一种传统的密码技术，对称加密系统的加密和解密均采用同 一个密钥，而且通信双方都必须获得这个密钥，以进行信息的加解密，并保持密 钥的秘密性。 对称加密系统最著名的是美国数据加密标准d e s “、a e s ( 高级加密标准) 和 欧洲数据加密标准i d e a 。 对称算法最主要的问题是：由于加、解密双方都要使用相同的密钥，因此在 网络安全中，发送、接收数据之前，必须完成密钥的分发。因而，密钥的分发便 成了该加密体系中最薄弱且风险最大的环节。各种基本的手段均很难保障安全、 高效地完成此项工作。在对称算法中，尽管由于密钥强度的增强，跟踪找出规律 破获密钥的机会大大减小了，但密钥分发的困难问题几乎无法解决。例如，设有1 1 方参与通信，若n 方都采用同一个对称密钥，一旦密钥被破解，则整个体系就会 崩溃。而且对称加密系统中一个密钥仅在两方之间使用，这样密钥的分发和管理 又非常复杂、代价高昂。比如对于具有n 个用户的网络，需要n ( n - 1 ) 2 个密钥， 在用户群不是很大的情况下，对称加密系统是有效的。但是对于大型网络，比如 网格，用户群很大，分布很广，密钥的分配和保存就成了大问题。对称加密算法 另一个缺点是不能实现数字签名。对称加密算法的优点是效率高，速度快。对称 加密算法一般用于对数据内容加密，解决机密性功能需求问题。 对称加密技术的主要点在于密钥的分发，这也就成为我们研究的一个重点。 在网格安全中我们可以使用下一节介绍的非对称密码技术束实现密钥的分发。 8 网格安全的认证和访问控制技术研究 2 1 2 非对称密码技术 传统的对称加密算法遇到了密钥分发管理的难题，再优秀的算法，如果密钥 在分发、转发时泄漏，则整个安全体系会毁于一旦。不对称加密算法则有效地避 免了其分发管理密钥的难题。不对称密码学中使用到一对公钥和私钥的组合。用 公钥加密的密文只能用私钥解密，反之，用私钥加密的密文只能用公钥解密。在 操作过程中，我们把公钥向外界发布，让外界都知道，自己保存私钥。只有自己 才能知道。如果a 要发一份秘密信息给b ，则a 只需要得到b 的公钥，然后用b 的 公钥加密秘密信息，此加密的信息只有b 能用其保密的私钥解密。反之，b 也可以 用a 的公钥加密保密信息给a 。信息在传送过程中，即使被第三方截取，也不可能 被解密。r s a 公开密钥算法“”就是一种很经典的公钥非对称加密算法。公开密钥体 系的优点是能适应网络的开放性要求，密钥管理简单，并且可方便地实现数字签 名和身份认证等功能，是目前电子商务等技术的核心基础。其缺点是算法复杂， 加密数据的速度和效率较低。因此在实际应用中，通常将对称加密算法和非对称 加密算法结合使用，利用对称加密算法来进行大容量数据的加密，而采用r s a 等 非对称加密算法来传递对称加密算法所使用的密钥，通过这种方法可以有效地提 高加密的效率并能简化对密钥的管理。 非对称密码技术还解决了鉴别与签名的功能。对称密码技术解决了数据机密 性的功能要求，非对称密码技术则相应地解决了鉴别和不可否认性等功能需求。 在非对称密码学中，用自己公钥加密的数据只有自己才能打开，我们就可以把自 己的公钥放在网上，通信的对方可以用自己的公钥加密数据，密文只有我们自己 才能打开，达到了加密数据而不需要通过一种十分可靠的方式来传递对称密钥的 目的。反之，如果我们使用私钥来加密信息，通信的对方用公钥来解密信息，就 可以达到鉴别的目的。 非对称加密技术和对称加密技术在网格用户的认证和网格信息的传输中是两 个很重要的技术。 2 2 1p k i 概述 2 2 公开密钥基础设施p k i 公开密钥基础设旌p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) “”是国际上目前较为成熟 的解决开放式互联网络信息安全需求的一套体系，也是网格安全的基础，很多网 格安全技术都是通过p k i 来实现的。p k i 是通过使用公开密钥技术和数字证书来 确保系统信息安全并通过验证数字证书持有者身份的一种安全机制。 第- 二章网格安全相关技术 9 p k i 是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基 础平台的技术和规范。它能够为所有网络应用提供加密和数字签名等密码服务及 所必须的密钥和证书管理体系，简单来说，p k i 就是利用公钥理论和技术建立的提 供安全服务的基础设施。用户可利用p 平台提供的服务进行安全的电子交易， 通信和互联网上的各种活动。 1 、p k i 的理论基础 p k i 的理论基础是研究信息安全保密的密码学( c r y p t o g r a p h y ) 。现代密码算 法对即将要发的数据进行加密处理，生成一段信息，附着在原文上一起发送。这 段信息类似现实中的签名或印章，接受方对其进行验证，判断原文真伪。利用数 字签名技术，通信双方可以在通信之前彼此之间进行身份认证，同时可以在通信 过程中保证信息的完整性和不可否认性。 ( 1 ) 具有数据摘要的数字签名 这种方法适合对大文件进行签名，先用h a s h 算法将原文压缩为数据摘要，然 后用非对称算法对摘要进行加密和解密。原文的任何变化都会使数据摘要发生改 变，所以它是一种对压缩消息的签名。对一个数字签名的验证，就是对数据摘要 的比较。 ( 2 ) 直接用私钥进行加密的数字签名 这种签名方法是采用非对称算法中的私钥对原文直接进行加密，而不是先用 h a s h 函数生成数据摘要，因此是一种对整体消息的签名，适合于小文件。 ( 3 ) 数字信封 数字信封( d i g i t a le n v e l o p e ) 技术是指信息发送端使用接收端的公钥对一个 通信密钥进行加密，形成一个数字信封，然后传送给接收端。只有指定的接收端 才能用自己的私钥打开数字信封，获取其中的通信密钥，用它解读发送端的加密 信息。 2 、p k i 的安全服务 p k i 作为安全基础设施，能为不同用户按不同安全需求提供多种安全服务，其 中包括以下4 种核心的( 或基本的) 安全服务： ( 1 ) 认证服务 认证服务又称身份识别与鉴别，就是确认实体即为自己所声明的实体，从而 鉴别身份的真伪。通过使用己颁发的数字证书，结合对应的私钥，完成对实体的 单向或双向身份认证。以甲乙双方的认证为例：首先甲要验证乙的证书的真伪，当 乙在网上将证书传送给甲时，甲先用以的公钥解丌证书上的c a 签名，如果签名通 过验证，则证明乙持有的证书是真的：接着甲还要验证乙身份的真伪，乙可以将自 己的口令用自己的私钥进行数字签名传送给甲，甲己经从乙的证书中查得了乙的 网格安全的认证和访问控制技术研究 公钥，甲就可以用乙的公钥来验证乙的数字签名，如果该签名通过验证，则乙在 网上的身份就确凿无疑。 ( 2 ) 数据完整性服务 数据完整性服务就是确认数据没有被修改。实现数据完整性服务的主要方法 是数字签名，它既可以提供数据来源认证，又可以保障被签名数据的完整性，实 现这一目标依赖于密码算法中的哈希算法和签名算法。哈希算法的特点是输入数 据的任何变化都会引起输出数据不可预测的极大变化，而签名是用自己的私钥将 该哈希值进行加密，然后与数据一起传送给接收方。如果敏感数据在传输和处理 过程中被篡改，接收方就不会收到完整的数据签名，验证就会失败。反之，如果 签名通过了验证，就证明接收方收到的是未经修改的完整数据。 ( 3 ) 数据机密性服务 数据机密性服务就是确保数据的秘密性，即除了指定的实体外无人能读出这 段数据。p k i 的数据机密性服务采用了“数字信封”机制，即发送方先产生一个对 称密钥，并用该对称密钥加密敏感数据。同时，发送方还用接收方的公钥加密对 称密钥，就像把它装入一个“数字信封”。然后，把被加密的对称密钥( “数字信 封”) 和被加密的敏感数据一起传送给接收方。接收方用自己的私钥拆开“数字 信封”，并得到对称密钥，再用对称密钥解开被加密的敏感数据。 ( 4 ) 不可否认性服务 不可否认性( 不可抵赖性) 服务就是保证发送方不能否认自己所发送过的信 息。利用数字签名可以实现该服务。因为只有信息发送者拥有自己的私钥，并且 信息具有发送者自己的签名，接收者只有用发送者的公钥才能还原出明文，所以 发送者不可抵赖己经发送信息的事实。 这4 个主要服务可以通过公钥证书机制来实现，以x 5 0 9 标准公钥证书最为 广泛使用。除了上述核心服务外，p k i 还提供了如下支撑服务：安全通信服务( 包括 安全电子邮件、安全w e b 服务器访问和安全虚拟专用网) 、公证服务、安全时间戳 及特权管理。这些服务不是p k i 本身所固有的功能，但它们都建立在p k i 之上 1 0 。 2 2 2 证书认证中心 证书认证中心( c e r t i f i c a t ea u t h o r i t y ，c a ) 是数字证书的签发机构，是p k i 的核心，并且是p k i 应用中权威的、可信任的、公正的第三方机构，承担公钥体 系中公钥的合法性检验的责任。c a 中心为每个使用公开密钥的客户发放数字证书， 数字证书的作用是证明证书中列出的客户合法拥有证书中列出的公开密钥。c a 机 构的数字签名使得第三者不能伪造和篡改证书。它负责产生、分配并管理所有参 与网上信息交换各方所需的数字证书，因此是安全电子信息交换的核心。 第二章网格安全相戈技术 c a 的核心功能就是发放和管理数字证书。概括地说，c a 认证中心的功能主要 有：证书发放、证书更新、证书撤销和证书验证。具体描述如下： ( 1 ) 接收验证用户数字证书的申请。 ( 2 ) 确定是否接受用户数字证书的申请，即证书的审批。 ( 3 ) 向申请者颁发( 或拒绝颁发) 数字证书 ( 4 ) 接收、处理用户的数字证书更新请求。 ( 5 ) 接收用户数字证书的查询、撤销。 ( 6 ) 产生和发布证书的有效期。 ( 7 ) 数字证书的归档。 ( 8 ) 密钥归档。 ( 9 ) 历史数据归档。 2 2 3x 5 0 9 证书 x 5 0 9 “”是一种通用的证书格式。在一份证书中，必须证明公钥及其所有者的 姓名是致的。对x 5 0 9 证书来说，认证者总是c a 或由c a 指定的人，一份x 5 0 9 证书是一些标准字段的集合，这些字段包含有关用户或设备及其相应公钥的信息。 x 5 0 9 标准定义了证书中应该包含哪些信息，并描述了这些信息是如何编码的( 即 数据格式) ，标准的x 5 0 9 第3 版证书包含以下数据： ( 1 ) 版本。版本域指出x 5 0 9 证书的版本、版本的格式及对扩展域的规定。 ( 2 ) 序列号。序列号域指定了证书的数字标示符，这个标识符在由c a 签发 的所有数字证书中是唯一的。 ( 3 ) 签名算法。算法标识符指定c a 签名证书使用的公钥算法和哈希算法， 例如r s a 和m d 5 。 ( 4 ) 颁发者。该域用于表示生成和签发该证书的c a 的可识别名( d n ) ，这 是必须的。 ( 5 ) 有效期。有效期域指定了证书的有效时间段，证书起始日期和时间以及 终止日期和时间，指明证书在这两个时间内有效。 ( 6 ) 主体。主体域提供证书拥有者的可识别名，该字段必须是非空的，除非 使用了其它的名字形式( 参见扩展字段) 。 ( 7 ) 主体公钥信息。主体公钥信息域包含主体拥有的公钥的值、公钥所应用 的算法的标识符及算法所使用的任何相关参数。该域必须有且仅有一个条目。 ( 8 ) 颁发者唯一标识符。此项属于可选项。该字段在实际应用中很少使用。 ( 9 ) 主体唯一标识符。此项属于可选项。该字段在实际应用中也很少使用。 ( 1 0 ) 扩展。在证书后面可以添加一系列的扩展项。扩展项又分为标准扩展 1 2 网格安全的认证和访问控制技术研究 和私有扩展。一个扩展项包括3 部分：扩展项类型、扩展项关键度和扩展项值。 常用的标准扩展项包括：机构密钥标识符，主体密钥标识符，密钥用途，扩展密 钥用途，c r l 分布点，私钥的使用期限，证书策略，策略映射，主体别名，颁发者 别名。 通常情况下，长期x 5 0 9 证书用于生成短期代理，然后这个代理将用于网格 中的认证。这个代理在预先设置的时间期限之后就会过期。 2 3 1s s l 概述 2 3s s l 安全通信技术 安全套接层协议( s s l ，s e c u r i t ys o c k e tl a y e r ) “”是网景( n e t s c a p e ) 公司提 出的基于w e b 应用的安全协议，它包括：服务器认证、客户认证、链路上的数据完 整性和s s l 链路上的数据保密性。对于电子商务应用来说，使用s s l 可保证信息 的真实性、完整性和保密性。 2 3 2s s l 子协议 s s l 协议的主要用途是在两个通信应用程序之间提供私密性和可靠性，这个过 程通过3 个子协议来完成： ( 1 ) 握手协议：这个协议负责客户机和服务器之间会话的加密参数。当一个 s s l 客户机和服务器第一次开始通信时，它们在一个协议版本上达成一致，选择加 密算法和认证方式，并使用公钥技术来生成共享密钥。 ( 2 ) 记录协议：这个协议用于交换应用数据。应用程序消息被分割成可管理 的数据块，还可以压缩，并产生一个m a c ( 消息认证代码) ，然后结果被加密并传输。 接受方接受数据并对它解密，校验m a c ，解压并重新组合，把结果提供给应用程序 协议。 ( 3 ) 警告协议：这个协议用于表示在什么时候发生了错误或两个主机之间的 会话在什么时候终止。 2 3 3s s l 通信过程 s s l 协议通信的握手步骤如下： 1 、s s l 客户机连接至s s l 服务器，并要求服务器验证它自身的身份。 2 、服务器通过发送它的数字证书证明其身份。这个交换还可以包括整个证书 链，直到某个根证书颁发机构( c a ) 。通过检查有效日期并确认证书包含可信任c a 第二章两格安全相关技术 1 3 的数字签名来验证证书的有效性。 3 、服务器发出一个请求，对客户端的证书进行验证。 4 、协商用于加密的消息加密算法和用于完整性检查的哈希函数，通常由客户 端提供它支持的所有算法列表，然后由服务器选择最强大的加密算法。 5 、客户机和服务器通过以下步骤生成会话密钥： ( 1 ) 客户机生成一个随机数，并使用服务器的公钥( 从服务器证书中获取) 对 它加密，以送到服务器上。 ( 2 ) 服务器端用自己的私钥解密后，会话密钥协商成功，双方即可用同一份 会话密钥来通信。 2 4 在线证书仓库 m y p r o x y “”是一个用于网格的在线证书仓库系统。在m y p r o x y 仓库中存储网格 证书，使用户随时都能检索到所需的代理证书，而不必担心对私钥和证件的管理。 l y p r o x y 仓库是由用户所信赖的专业工作人员来管理的，从而保证了它的安全性。 2 4 1m y p r o x y 简介 m y p r o x y 提供一系列灵活的授权机制来控制对仓库的访问，其管理者可以控制 如何使用仓库，用户可以依照证书策略来规定如何访问每一个证书。在证书期满 之前，l d y p r o x y 通过授权服务器更新用户授权证书，来支持证书更新。m y p r o x y 证 书的更新服务为用户证书提供了一个值得信任的控制和审核点，而不是直接通过 网格授权长期证书。 m y p r o x y 系统由一个m y p r o x y 仓库服务器和一系列用于将证书委托给仓库和从 仓库中检索证书的客户工具组成。利用m y p r o x y 系统进行证书管理的操作过程如 图9 - 1 所示，其管理过程如下： ( 1 ) 用户利用w e b 浏览器为前台，使用网格资源。 ( 2 ) 用户利用经c a 认证的用户证书对网格端口进行鉴别，该证书包括用于身 份验证的证明文件和私钥。对网格端口的鉴别完成后，用户可能在不同的时间和 地点，用w e b 浏览器连接到网格端口上，并通过w e b 形式或相似的界面将由用户 证书生成的代理证书发送给网格端口。 1 4 网格安全的认证和访闷控制技术研究 图2 - im y p r o x y 系统证书管理操作过程 ( 3 ) 网格端口将用户发送的代理证书通过m y p r o x y i n i t 客户程序，提交给 m y p r o x y 证书仓库进行存储、管理。给用户配置的m y p r o x y 仓库有可能不止一个， 用户还可能为端口指定一个m y p r o x y 仓库来使用。 ( 4 ) 用户在使用网格时，系统需对用户身份进行鉴别。端口用 m y p o x y g e t d e l e g a t i o n 程序连接到m y p r o x y 仓库，将用户鉴别信息提供给仓库， 为用户请求代理证书。 ( 5 ) 仓库在验证完所有提交的信息之后，将该用户的代理证书发送给网格端 口，然后端口就可以像用户一样，利用网格应用程序安全地访问网格资源。而此 时，用户也可以通过现有的w e b 浏览器的连接来控制端口。 2 4 2m y p r o x y 的安全问题 m y p r o x y 系统最主要的安全风险是用户委托给仓库管理的用户证书集合的安 全。如果仓库系统主机泄密。那么攻击者就很可能访问蓟这些证书，因此只有非 常安全的主机才能运行仓库系统。此外，为了将风险降至最小，可以利用证书中 用户提供的密码将仓库中的证书进行加密。这样即使仓库系统主机泄密，入侵者 仍需对证书进行解密。解密需花费时间，从而使系统检测到入侵，或使证书期满 而无效。 另一个风险就是那些将m y p r o x y 服务器和授权请求连接起来的端口的泄密。 为了将风险降至了最小，m y p r o x y 服务器除了要对端口进行鉴别外，还要对用户进 行进一步的鉴别。入侵者必须等待用户连接仓库并提供用户鉴别信息后才有机会 获得有用信息，这样也会花费时间，使系统有可能检测到入侵，或使证书期满而 无效。 2 5 本章小结 本章主要介绍网格安全设计相关的技术。由于网格提供的安全服务包括两种； 访问控制服务和通信安全服务。上述的这些技术都是网格安全服务的基础。为网 格安全模型的各种组件的设计提供了理论依据。 第三章网格安全模型的总体设计 第三章网格安全模型的总体设计 3 1 网格面临的安全问题 网格安全问题是网格广泛应用的关键技术之一。网格安全的基本需求主要包 括：认证、授权、保密、完整性、不可否认性、可用性、审核等。 网格的安全体系还必须考虑的网格计算环境下的许多特殊属性嘲：( 1 ) 网格 计算环境中的用户数量很大，且动态可变；( 2 ) 网格计算环境中的资源数量很大， 且动态可变；( 3 ) 网格计算环境中的计算过程可在其执行过程中动态地请求，启 动进程和申请，释放资源： ( 4 ) 一个计算过程可由多个进程组成，进程间存在不 同的通信机制，底层的通信连接在程序的执行过程中可动态地创建并执行；( 5 ) 资 源可支持不同的认证和授权机制；( 6 ) 用户在不同的资源上可有不同的标识；( 7 ) 资源和用户可属于多个组织。正是由于网格计算环境的特殊性，在设计网格安全 机制中特别要考虑网格计算环境的动态主体特性，并要保证网格计算环境中不同 主体问的相互鉴别和各主体间通信的保密性、完整性。 网格计算的这些特点，对网格安全提出了更高的要求。为了适应网格计算的 这些特点，针对i a nf o s t e r 给出的网格计算的每一条性质，我们分析并给出了网 格安全体系结构应当具有的性质1 ： 1 、网格安全的属性( 1 ) 要求网格安全应当解决好用户证书的请求、存放、 检索和吊销等问题，否则这将成为一个瓶颈。同时，网格中的一个用户往往会从 一个地方移动到另一个地方，这就需要一种良好的在线证书提供功能。g l o b u s 中 提供了m y p r o x y 服务来提供类似的功能，以解决这个问题。 2 、网格安全的属性( 2 ) ( 5 ) 说明了网格安全体系结构应当找到一种很好的 方法来和各种不同的本地安全机制进行交互。鉴于当前各种企业安全技术和分布 式安全机制已经很有效，并且应用很广，我们不赞成用网格的安全机制来取代本 地资源的安全机制，否则网格应用的开展将受到很大的阻力，同时，这也是不现 实的。 3 、网格安全的属性( 3 ) ( 4 ) 说明了网格安全体系结构应当解决进程之问组 通信的问题。一个网格计算往往由几十个、甚至几百个进程组成，如果给每个进 程都要分配一个证书，这些进程之问通信都要进行双向认证，那么这必将成为网 格计算的一个瓶颈。对于属于同一个任务的进程之间的信任问题，我们应当找到 一种高效的认证机制。 1 6 网格安全的认证和访问控制技术研究 4 、网格安全的属性( 6 ) 说明了网格安全体系结构应当具有一种安全的方法， 自动的建立网格用户全局i d 和本地用户i d 之间的映射。显然，我们不可能让用 户自己手工建立它的全局i o 和本地i d 之间的映射。g l o b u s 中就是采用人工的方 法建立这种映射的，这是它的一个缺陷。 5 、网格安全的属性( 7 ) 说明了网格安全体系结构应当建立一个处理不同管 理域之间信任问题的机制，解决好交叉认证等问题。同时，应当有一个很好的安 全策略，处理信任传播和信任委托等问题。 3 2 网格安全应该提供的安全服务 前面对网格计算的安全特性进行了分析，网格安全体系结构除了要提供一些 常规的安全功能之外，还应该提供下面一些特殊的安全服务： 单点登录：两格用户运行网格作业时，只要登录、认证一次，就可以获得作 业在运行过程中所需的各种资源。一次网格作业的计算往往要运行很长时间，网 格用户不可能一直等待作业运行，同时，由于一个作业往往由几十个、甚至几百 个进程组成，需要大量的资源，如果每次申请资源都需要用户进行认证，这简直 是不可能的，也是不现实的。网格用户应该只要在登录系统时认证一次，以后可 以不需要用户的交互，就可以自动完成资源申请时的认证。 与本地安全机制的交互：最终决定资源的访问控制和安全策略的只能是资源 的拥有者。为了网格的安全策略而让每个资源的拥有者修改自己的本地安全机制 是不现实的。网格安全应该有一种很好的机制同各种不同的本地安全机制进行交 互，而且这种机制应该具有很好的可扩展性。 全局统一的证书格式：采用公钥加密和数字证书是安全技术的主流。网格跨 越不同的组织、机构和管理域，为了便于交叉认证，应该拥有统一的证书格式。 可扩展的c a 管理：网格中存在着不同的信任域，网格应该有一个良好的信任 管理模型，建立一个可扩展的c a 管理机制，处理好各种信任传递和信任委托等闯 题。 高效的在线证书提供、检索和吊销等功能：网格中存在大量的用户和资源，每 个用户和资源都有各自不同的证书，甚至有的用户拥有不同的证书，同时，网格 用户往往会在不同的地点运行网格应用程序，网格应该具有在线证书提供的功能。 高效安全的进程组通信机制：一个网格计算任务往往由几十个、甚至几百个 进程组成，如果让这些进程每个都分配一个证书，并且通信时进行双向认证，这 将成为网格的一个瓶颈。代表同一个用户的迸程之间应该有一个高效安全的组通 信机制。 高效可行的全局i d 和本地i d 之间的映射：一个网格作业的运行往往要涉及 第三章网格安全模犁的总体设计 1 7 到许多的资源。每一次使用资源，都要把全局i d 映射到本地i d 。网格安全应该有 一种高效的建立这种映射的方法。 上述这些要求，都是同网格的自身特点相结合提出来的，是建立一个良好的 网格安全体系结构应该考虑和解决的问题。 3 3 网格安全体系模型的设计 网格安全体系模型就是要为用户和资源之间资源的利用提供安全的网格环 境。通过上一节对网格安全应该提供的安全服务的探讨，本文构建了一种基于代 理的网格安全体系模型。 3 3 1 基于代理的网格安全体系模型 网格安全一般包括访问控制和通信安全两方面的安全服务。其中，访问控制 保护各种资源不被非法使用，通信安全提供数据保密与完整性等服务。在第二章 中，我们介绍的s s l 通信技术就可以解决通信安全的问题，在这里我们就不再作 研究。本文主要针对网格安全的访问控制服务进行研究。 模型中涉及到的概念： c a 服务器：为用户和资源提供统一的认证证书。这里就是指第二章介绍的证 书认证中心。目的就是为用户和资源的证书提供依据，确保双方就是所要连接的 对象。 用户：资源的请求者，可以是人或者代理。 用户代理：在有限时间内可代表用户行使一定的权限。 进程：代替一个用户在特定资源上使用资源。 资源代理：由网格创建的进程，完成资源的认证、分配、回收等工作。 资源：提供资源服务的网格节点所提供的资源。 网格安全体系结构模型如图3 - 1 所示： 在设计的模型中，一次资源的请求可分成如下几个过程：用户获取证书、用 户创建用