（计算机软件与理论专业论文）网格安全信任模型与认证机制的研究.pdf

网格安全信任模型与认证机制的研究 摘要 伴随着互联网技术的迅速发展，网格计算技术也日益发展壮大，它是专门 针对复杂科学计算领域的新型分布式计算方法，简单地讲，网格是把整个因特 网整合成一台巨大的“超级虚拟计算机 ，因此它被称为第三代因特网。不同 的是，传统因特网实现了计算机硬件的连通，w e b 实现了网页之间的连通，而 网格试图实现互联网上所有资源的全面连通，包括计算资源、存储资源、通信 资源、软件资源、信息资源、知识资源等。 网格环境的若干特性，决定了网格环境中的安全问题比一般网络环境中的 安全问题更加复杂，同时在网格环境中出现了许多新的安全问题，这些安全问 题正受到越来越多的关注，目前尚未研究出一体化的安全解决方案来满足这些 安全需求， 本文重点研究了网格安全中的信任模型和身份认证机制，主要做了以下的 工作： ( 1 ) 介绍了网格的概念及两格安全中的关键技术，介绍了网格安全目前的 需求，总结比较了三种网格安全体系结构各自的特点和应用环境，分析了各自 的优缺点。 ( 2 ) 详细介绍了网格中的信任机制，介绍了信任及其相关概念。分析归纳 了两种具有代表性的信任评估模型，总结了他们的不足。 ( 3 ) 针对现有基于域的信任模型中存在的问题和不足进行了深入的分析， 提出了一种改进了网格信任模型，有效的增强了信任模型的安全性、准确性及 效率。 ( 4 ) 深入的分析了网格安全中的身份认证机制，并通过对现有网络安全中 身份认证的研究，提出了一种基于s o a p 的跨域身份认证机制，提高了网格系统 的整体安全性。 关键字：网格计算；网格安全；信任模型；身份认证 r e s e a r c ho nt r u s tm o d e la n da u t h e n t i c a t i o nm e c h a n i s mo fg r i d s e c u r i t y a b s t r a c t d e v e l o p i n gw i t ht h ei n t e m e t ，g r i dc o m p u t i n gi saf l e wd i s t r i b u t e dc o m p u t i n gw h i c hi s s p e c i a lf o rt h ed o m a i n c o m p l i c a t e ds c i e n c ec o m p u t i n g i tc a l lb ed i s t r i b u t e da sag i a n t s u p e r - v i r t u a l - c o m p u t e r w h i c hi si n t e g r a t e d 、撕t ht h ew h o l ei n t e r n e t t h et r a d i t i o n a l i n t e m e tr e a l i z e st h ec o n n e c t i v i t yo ft h ec o m p u t e rh a r d w a r e ，a n dw e bw h i c hc o n n e c t st h e w e bp a g e s ，b u t 酣da i m sa tt h ec o n n e c t i v i t yo fa l lt h er e s o u r c e so ft h ei n t e r a c ti n c l u d i n g c o m p u t i n gr e s o u r c e s ，s t o r a g er e s o u r c e s ，c o m m u n i c a t i o nr e s o u r c e s ，s o f t w a r er e s o u r c e s ， i n f o r m a t i o nr e s o u r c e sa n dk n o w l e d g er e s o u r c e se t c b e c a u s eo fan u m b e ro fc h a r a c t e r i s t i c so fg r i de n v i r o n m e n t ，t h e 蛳dc o m p u t i n g c o n c e r n sm o r es e c u r i t yp r o b l e m st h a na n yo t h e rc o r f l n l o np r o b l e m so fn e t w o r k e n v i r o n m e n t ，a n dal o to fn e ws e c u r i t yp r o b l e m sh a v ea p p e a r e di nt h eg r i de n v i r o n m e n t , t h e s es e c u r i t yp r o b l e m sa r er e c e i v i n gm o r ea n dm o r ea t t e n t i o n s a tp r e s e n t ，t h e r ei sn o ta l l i n t e g r a t e ds o l u t i o nt os a t i s f yt h e s es e c u r i t yd e m a n d s a g a i n s tt h eb a c k g r o u n do fb a s i cc o n c e p t ，c u r r e n ts i t u a t i o na n de x i s t i n gs e c u r i t yi s s u e o fg r i dt e c h n o l o g y , t h i sd i s s e r t a t i o nf o c u s e so nt h er e s e a r c ho fg r i ds e c u r i t yt e c h n o l o g y , i t a n a l y z e st h ee x i s t i n gg r i ds e r v i c ea r c h i t e c t u r e s b a s e do nt h i s ，i tg e n e r a l i z e st h ea p p l i c a t i o n o ft h et e c h n o l o g yi nt h eg r i ds e c u r i t y ；a l s oi ts u m m a r i z e st h e i ra p p l i c a t i o nc o n t e x ta n d a n a l y z e st h e i ro w ns u p e r i o r i t y t h e k e yt ot h es t u d yo ft h et h e s i si st r u s tm o d e la n dg r i da u t h e n t i c a t i o nt e c h n o l o g y t r u s tr e l a t i o n s h i pi st h ei m p o r t a n tm e a n st h a tg u a r a n t e et h es e c u r i t yo fg r i d ，b a s e do nt h e r e s e a r c ho ft h ee x i s t i n gt r u s tm o d e l ，an e wt r u s tm o d e lh a sb e e np r o p o s e d ，t h i sm o d e lc a n d e a lw i t ht r u s tr e l a t i o n s h i po fg r i de n v i r o n m e n tm o r ee f f i c i e n t i tt a k e sd i f f e r e n tw a y st o d e a lw i t ht r u s tr e l a t i o ni na n db e t w e e nd o m a i n s c o m p a r e dw i t hp r e v i o u st r u s tm o d e l a p r e f e r a b l ep e r f o r m a n c ei na v a i l a b i l i t yo ft h em o d e li si n d i c a t e dt h r o u g ha n a l y s i sa n d e x p e r i m e n ts i m u l a t i o n ，a n dt h es e c u r i t yp r o b l e m sh a v eb e e ns o l v e dm o r ee f f e c t i v e l yw h i c h e x i s ti ng r i de n v i r o n m e n t i d e n t i t ya u t h e n t i c a t i o nt e c h n o l o g yi st h ef i r s td u t yo fg r i d s e c u r i t y , t h r o u g ht h ei n t e n s i v ea n a l y s i so ft h ea u t h e n t i c a t i o nt e c h n o l o g yo ft h en e t w o r k s e c u r i t y , c o m b i n gw i t hs o a pt e c h n o l o g y , an e w a u t h e n t i c a t i o nm e c h a n i s mi sp r o p o s e da n d d e s i g n e d ，a n dt h ee n t i r es e c u r i t yo ft h e 鲥ds y s t e mc a nb er e m a r k a b l yi n c r e a s e d k e yw o r d s ：g r i dc o m p u t i n g ；g r i ds e c u r i t y ；t r u s tm o d e l ；a u t h e n t i c a t i o n 插图清单 图2 1五层沙漏结构1 0 图2 2网格服务示意图1 l 图2 3基于w e bs e r v i c e 的o s g a 的四个抽象层1 2 图4 1改进的信任模型框架2 2 图4 2信任值准确度随攻击节点比例的变化2 6 图4 3信任值准确度随时间的变化2 6 图5 1r m i 系统结构图3 0 图5 2 s o a p 消息结构3 2 图5 3本地身份认证机制示意图3 4 图5 4跨域身份认证机制示意图3 5 图5 5 基于s o a p 的跨域用户身份认证示意图3 6 图5 6网格认证系统登录界面3 8 图5 7认证成功后系统界面3 9 表格清单 表2 1w s r f 中5 个标准化的技术规范1 3 表4 1域内节点信任关系表2 3 表4 2 域节点信任推荐表2 3 表4 3 域信任关系表2 3 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究 成果。据我所知，除了文中特别加以标志和致谢的地方外，论文中不包含其他人已 经发表或撰写过的研究成果，也不包含为获得 金肥王些太堂 或其他教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已 在论文中作了明确的说明并表示谢意。 学位论文作者签字：4 百等签字日期：劫j 睥月牙日学位论文作者签字： 巧穸1 等签字日期：劫j 睥月珂日 学位论文版权使用授权书 本学位论文作者完全了解金壁王些太堂 有关保留、使用学位论文的规定， 有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅或借 阅。本人授权 金壁工业太堂 可以将学位论文的全部或部分论文内容编入有关数 据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文者签名：中可才 签字日期：2 0 p 年牛月姐日 导师躲妄i i 动黏导师签名：彳叼” 签字日期：州口年哆月二8 日 学位论文作者毕业后去向：2 弓p 狂蟛 工作单位：中多。讯二陶研疙盱 电话：，；弘7 2 岁和j 岁 通讯地址：斯卿私彦庙事声困丞髫移 邮编：2 ，够多 路8 卵焉 致谢 两年多的学习生活即将结束，在毕业论文完成之际，谨向在我攻读硕士学 位期间指导、关心、帮助过我的导师、同学、家人和朋友表示诚挚的感谢。 首先要感谢我的导师吴国凤教授对我的悉心指导，从课程学习、论文选题 到文章的撰写、修改直至定稿，吴老师都给予了孜孜不倦的指导。吴国风老师 严谨的治学态度，勤恳的工作作风，一丝不苟的工作精神，注重理论和实践相 结合的科研作风，使我在学业和人生方面受益匪浅，各方面都得到了很大的提 高。正是在她的严格要求和耐心指导下，我的理论知识和实践能力都得到极大 的提高。在此向恩师致以最诚挚的谢意! 同时，感谢我实验室的同学邵臣以及师弟师妹们，大家一起对相关课题的 研究及讨论，对我理念为完成有很大的启发和帮助，和他们共同经历的一切将 是我人生中应用的财富。 另外还要真诚的感谢我的父母，我的成长伴随了父母的辛劳与关爱，在研 究生期间更给予我无私的关心和鼓励，使我得以完成学业。 还要特别感谢计算机与信息学院的老师们，使他们给我提供了良好的实验 实施和优越的科研环境，感谢所有在研究生学习期间教导过我，帮助过我的许 许多多的老师! 感谢各位评委的批评和指正! 最后，再次向所有给予我指导、关心、帮助和支持的老师、同学和朋友致 以最深切的谢意! 作者：何宇 2 0 1 0 年4 月 第一章绪论 本章首先介绍了网格的基本概念和特征，然后引出网格中的安全问题，论 述了课题研究的背景和主要内容，最后给出了本文主要工作和组织结构。 1 1 引言 伴随着计算机网络规模的不断扩大，网络中接入的计算机数量日益增多。 但是互联网上存在着大量的计算机资源仅仅完成如文字处理这类简单的工作， 或直接处于闲置状态，这些计算资源的使用率很低。同时互联网上的信息不断 增长和实时更新，不可能有一种单一的服务器能够掌握全部的资源，快捷便利 地为用户提供所需的信息和服务。因此，迫切需要一种新的思想来改变传统网 络环境中存在的问题，网格技术的出现正好满足了上面所述的要求，它是继 i n t e r n e t 、w w w ( w o r l dw i d ew e b ，万维网) 技术之后的第三次网络技术浪潮。 网格技术实现了互联网上所有资源的全面连通，最终实现网络环境中的资 源全面的共享和协同的工作，消除了资源孤岛和信息孤岛。由于网格计算系统 可以连接广域范围内不同标准、不同结构的“孤岛”，形成庞大的全球性计算 体系，因此网格系统是因特网发展的高级形式。 1 2 什么是网格 网格计算是伴随着互联网而迅速发展起来的，它利用互联网把分散在世界 各地的计算机组织成一台“超级虚拟计算机 ，整个计算体系是由成千上万个 节点组成的“一张网格 ，参与其中的每一台计算机都是其中的一个组成节点， 这种计算方式就叫做网格计算【l j 。 上面给出了广义的网格定义，而在狭义网格定义中，作为分布式计算的一 种，网格计算是指将广域分布的计算机资源组织起来协同解决复杂的科学计算 问题1 2 j 。 此外，也有人把网格看成是互联网技术未来发展的方向。国外媒体常用“下 一代i n t e r n e t ”、“i n t e r n e t 2 ”等名词来称呼相关的网格技术。还有关于智能信 息处理的网格研究方向，它关注的是如何消除知识孤岛和信息孤岛，实现知识 资源和信息资源的智能共享1 3 j 。 目前，业界出现的许多新的概念和名词都与网格技术相关，包括电子服务 ( e s e r v i c e ) 、内容分发( c o n t e n t sd e l i v e r y ) 、服务分发( s e r v i c ed e l i v e r y ) 、分布 式计算、w e b 服务( w e bs e r v i c e ) 、p e e r t o p e e rc o m p u t i n g ( 简称p 2 p ) 等。这 些名词所代表的技术都有一个共同点，即将i n t e r n e t 上的资源进行整合，提供 有效的计算服务、存储服务和交易服务等。还有个共同点是这些技术会尽量 利用已有成熟的w e b 技术1 4 j 。 最后，用网格技术的权威专家i a nf o s t e r 的话来总结网格：“网格是基于 互联网的新兴技术，它将高速互联网、计算机、大型数据库等结合为一体，为 科研人员和普通用户提供更多的资源和服务。传统的互联网主要提供收发邮 件、浏览信息等简单功能，而网格的功能则更丰富更强大，它能让人们共享计 算、存储等资源 垆j 。 总之，作为一个新出现的服务系统，相对于传统的分布式系统，网格系统 的特征主要包括1 6 j ： ( 1 ) 分布与共享。网格系统的分布与共享比传统的分布式系统更为突出， 跨越的地理范围更广，规模也更大。实现网格系统的根本目的就是资源的共享， 而且要求实现无缝、透明的资源共享。 ( 2 ) 动态与异构。网格系统允许所有用户和资源自由的加入和离开。同时 网格系统中的客户端和资源提供商在硬件和软件两个方面都存在着差异，从而 导致通信和互操作的异构问题。 ( 3 ) 自治与管理。网格系统的特点就是跨管理域，因此网格系统不能干涉 现有的各组成域的管理和自治，不能危及现有的用户和站点的安全，要在不改 变现有的操作系统类型和服务类型的同时实现对整个网格系统的统一管理。 ( 4 ) 不可靠和容错。网格系统运行过程中各种差错的出现不可避免，因此 网格必须提供一个可靠、容错的底层，使网格服务安全运行在其中。 1 3 网格中的安全问题 网格计算的出现使得大规模跨组织、跨域的数据共享成为可能，同时出现 的安全问题也值得关注。因特网的安全机制提供两方面的安全服务：一是访问 控制服务；二是通信安全服务，这两方面目前在网格环境下还不能完全解决。 上节所述网格系统具有规模大、分布广、动态异构、自治、系统可扩展、网络 延迟不稳定、并发执行等特点，这些特点决定网格计算环境下的安全问题有着 自身独特的需求。 网格系统要求不影响节点的自治性，允许节点自主选择是否加入或退出系 统，不改变原有的操作系统类型、通信传输协议等，使用网络安全中已有的标 准技术，并提供可靠稳定的容错机制。根据网络系统的这些要求，将网格中安 全问题简单总结如下【7 】【驯： ( 1 ) 认证问题，主要包括：一站式认证、协同认证、代理、资源认证、信 任关系。 ( 2 ) 授权问题，主要包括：资源所有者授权、限制代理。 ( 3 ) 通信保护问题，主要包括：提供可靠的信息保护机制，支持各种稳定 的通信协议，如h t t p 协议、t c p 协议等，支持独立数据单元的安全通信。 ( 4 ) 安全策略问题，主要包括：名称映射策略、安全证书策略、可供用户 选择的安全策略等。 2 ( 5 ) 支持安全的组通信【9 】，其中包括：动态组密钥更新、组成员认证等。 ( 6 ) 控制管理，主要包括：通信数据的完整性、机密性和不可否认性。 ( 7 ) 记账和审计b o ，使用资源的用户要知道资源的用途，描述资源调度的 标准。 国外关于网格安全方面的研究工作已经开展很久，主要的解决方案有： g l o b u sp r o j e c t 开发的o s i ( g r i ds e c u r i t yi n f r a s t r u c t u r e ，网格安全基础设施) 、 s h a r p ( s e c u r eh i g h l ya v a i l a b l er e s o u r c ep e e r i n g ，安全高效可用资源连接) 2 。、 s a n db o x i n g 1 3 】等，这些解决方案注重于解决可操作性和策略管理等方面的问 题，但对于网格系统的全面安全防护还有待进一步研究。 1 4 本文研究背景 互联网技术的迅速发展，使网上遍布了成千上万的各种高性能计算机，如 何更好地扩展和利用这些资源已成为一个重要的研究方向，这也是推动网格计 算发展的动力。高速发展一定会带来网格计算的安全问题，网格系统作为在网 络环境下构建的应用系统，必须在其中集成现有的网络安全技术。计算机网络 是网格计算系统的载体和基石，二者的关联体在于： ( 1 ) 网格系统中的各种资源通过网络动态地进行互连，可以采用专用的或 通用的连接设备与通信协议。 ( 2 ) 网格系统节点大多基于i n t e r n e t i n t r a n e t 协议进行互连，节点间的通信 一般基于t c p i p 协议来完成的。 ( 3 ) 网格系统支持用户通过w e b 、t e l n e t 等方式向系统提交任务来获得良 好的运行结果。 ( 4 ) 所有网格实体都可以自由的、动态的选择加入或退出网格中的虚拟组 织。 正是这些关联使得网格系统面对的安全问题相对于传统网络环境更加复 杂。由于网格环境的动态性，越来越多的应用需要在本来互不相识的实体之间 建立信任，网格实体之间的交易就建立在互信的基础上。信任( t r u s t ) 是网格安 全问题的重要方面。信任机制在网络安全中作为硬安全( h a r ds e c u r i t y ) 机制的 补充【1 4 】，对应的被称为软安全( s o f ts e c u r i t y ) 机制。传统的计算机安全研究的 主要内容都是针对系统外部的威胁，提高系统外部入侵的安全性可以通过一系 列的加密机制来实现。然而网格系统中的用户管理己经从集中封闭演变成开放 的、分布式的，系统中的资源容易受到恶意节点入侵，严重的入侵可能导致整 个网格系统瘫痪。针对网格系统中这些安全问题，对实体行为的可信度进行评 估就显得尤为重要，可以通过实体的可信度来判断该实体的行为是否安全可信 任。因此，网格安全体系需要建立一种信任度评估模型来评估实体行为的综合 值。 网格系统实现的根本目的是资源的共享，因此对资源的安全性和完整性的 保障就显得特别重要。网格系统可以跨越多个系统和个人，其跨域的特性决定 了建立统一的身份认证机制非常必要，这不仅便于管理系统的用户认证，同时 也消除了多次重复认证所造成的网络带宽的浪费与可能出现的安全隐患。网格 系统身份认证机制是网格安全首要保证，作为网格安全的第一道屏障，可以保 证网格用户的真实可靠以及合适的访问资源的权限。 本文鉴于借鉴于网络安全技术，同时结合网格系统自身的一些特点，对网 格安全体系中的信任模型和统一身份认证机制进行了研究和改进，提出了更好 的、更科学的网格信任模型和统一身份认证机制，完善了网格安全机制。 1 5 本文主要工作和结构 1 5 1 主要研究内容 本文在掌握网格技术的基本概念、研究现状、现有安全问题的背景下，着 力研究网格安全机制，分析了现有的几种网格体系结构，并在此基础上归纳了 这些技术在网格安全中应用，并总结了他们的应用环境，分析了他们的各自优 势。本文研究的主要内容是网格信任模型和网格统一身份认证技术，信任关系 是保证网格安全的重要手段，用户身份认证机制是网格安全的首要保证，文章 着力研究网格安全中这两个重要方面，提出了网格环境下信任评估机制和身份 认证机制的解决方案。 1 5 2 拟解决的关键问题 网格安全机制的建立是保证网格系统正常运行的必要条件，本文在研究网 格安全技术的基础上，着力解决以下问题： ( 1 ) 信任机制的解决方案。信任机制是实现网格安全的有力保障，所以网 格实体之间的信任评估问题亟待解决。 ( 2 ) 身份认证机制的解决方案。身份认证机制是网格安全的首要保证，是 网格系统的第一道门户，只有解决了网格用户身份认证问题，才能保证网格系 统的正常有序运转。 1 5 3 创新之处 ( 1 ) 分析总结了三种网格体系结构，比较了他们的优缺点和各自的应用环 境。 ( 2 ) 在研究现有信任模型的基础之上，针对其中的不足，提出了一种改进 的基于域的信任模型来处理网格环境中实体之间的信任关系。模拟实验结果表 明，与以往的信任模型相比，改进的信任模型能更加精确的评估实体之间的信 任关系，从而能更加有效的解决网格环境中存在的安全问题。 ( 3 ) 通过对网络安全中的身份认证技术的研究，结合w e bs e r v i c e s 技术， 4 设计出一种基于s o a p 的身份认证机制，实现了网格环境下的统一身份认证，提 高了网格系统的安全性和应用效率。 1 5 4 本文组织结构 全文组织结构如下： 第一章绪论。主要介绍了网格技术的概念，介绍了本文研究背景、主要 工作以及结构内容安排。 第二章网格安全技术。主要介绍了网格安全概念需求及其关键技术，总 结了三种网格体系结构，分析了他们的优劣性。 第三章网格信任机制。介绍了信任的基本概念、性质等问题，分析了两 种经典的信任评估模型，归纳总结了它们特点和一些问题。 第四章一种改进的网格信任模型。提出一种改进基于信任域的网格信任 模型，改进现有的模型的不足，并通过实验仿真验证了它的高效性。 第五章网格身份认证机制。分析网络安全中的认证机制，结合w e b s e r v i c e s 技术，提出网格环境下的基于s o a p 的单点登录身份认证机制。 第六章总结与展望。全文的总结，对本文的主要研究工作做了简要的总 结说明，提出了一些尚需改进的地方，对下一步的工作进行了展望和探讨。 第二章网格安全技术 随着网格技术从传统的科学计算进入商业应用领域，安全问题就亟待解 决。本章首先描述了网格安全的概念、目标，继而介绍了网格计算的安全需求 和网格安全中的关键技术，最后重点介绍了网格体系结构，并比较了他们各自 的优缺点。 2 1 网格安全的概念 我们知道，安全与便利总是相互矛盾的，高安全性总是影响系统的易用性。 因此我们要尽力做到保证网格系统安全性的同时，还必须要方便用户使用各种 资源和服务。在设计网格安全机制时要考虑其自主性、动态性、异构性等特性， 能保证不同主体之间通信的完整性。基于以上原因，网格计算环境中的安全问 题比传统意义上的网络安全问题的要求更广泛。 由于网格系统的开放性，所以无论是应用于大规模并行计算，还是进行信 息共享，都会出现各种各样的安全问题。网格用户要使用网格资源就要注册并 登录网格系统，但是由于用户、应用和网格资源不再满足互利、互信的关系使 得网格安全问题变得更加复杂。网格用户登录后要有相应的访问权限，但由于 网格用户和资源的数量巨大，势必导致对权限的控制更加复杂。同时由于分布 式环境的特点对传输的安全也要有保证。总结起来，网格的安全机制必须考虑 网格的如下特性【l5 j ： ( 1 ) 多变性。网格中的用户和资源的数量巨大且动态可变。 ( 2 ) 多元性。网格中的资源可以支持不同的认证和授权机制，可以有不同的 访问控制策略。 ( 3 ) 用户标识复杂。网格中的同一个用户可以在不同的资源上有不同的用 户标识。 ( 4 ) 单点登录( s i n g l es i g no n ) 。网格中的资源数量大，为了保证资源的安全 性和完整性，为了简化网格系统的使用，实现用户的单点登录是必须的。 ( 5 ) 动态特性。网格系统的用户和资源可能动态加入或退出系统。 ( 6 ) 进程通信复杂。网格中的进程数量巨大。一个计算过程可以包括大量 进程，这些进程之间可能存在不同的通信机制。 综上所述，安全问题已经渗透到网格系统的各个部分中，包括用户、应用、 资源以及身份认证、访问控制等各个环节。 2 2 网格安全目标 开放式的网络环境可能会遭受来自内部或外部的安全威胁，网格正是建立 在这样一个网络环境中，这些安全威胁的存在严重影响了网格系统的正常运 6 行，如何解决这些安全问题就显得尤为重要。网格安全技术的目的就是授予合 法用户访问数据和执行操作的权限，防止用户执行不合法操作造成数据泄密， 防止合法用户被恶意冒充，并且可以对用户进行审计或记费，防止数据被非法 修改或非法用户伪造数据来进行欺骗活动等等。网格安全系统的目标可以总结 如下几个方面【6 j ： ( 1 ) 保密性。应用加密算法对数据加密，使只拥有密钥的合法用户才能访 问，而未授权用户不能访问。 ( 2 ) 完整性。保证信息在传输过程中没有被修改、截获或丢失。 ( 3 ) 身份认证。验证网格系统使用者或资源提供者的身份，证明用户的合 法身份。 ( 4 ) 授权访问。当验证用户的真实身份后，根据其身份对应的权限访问资 源或执行相应的操作。 ( 5 ) 资源可用性。保证系统或资源不会因为遭到非法攻击而造成系统瘫痪 或资源不可用。 ( 6 ) 抗否认性。保证信息的发布者就是其本人不能抵赖，同时也要保证信 任是自己本人发布的，没有被其他人冒名顶替。 2 3 网格计算的安全需求 与传统网络环境下客户机，服务器模式相比，网格应用所涉及的安全问题要 复杂得多。在开放系统互联( o s i ) 安全体系结构模型中，描述了如下的安全服务： ( 1 ) 认证服务：主客体的标识与相互认证。 ( 2 ) 访问控制服务：主体的授权机制与访问控制。 ( 3 ) 数据保密性服务：数据存储与传输的保密性。 ( 4 ) 数据完整性服务：数据存储与传输的完整性。 ( 5 ) 抗抵赖服务：主体对自己之前的操作不能抵赖。 由于网格技术也从属于o s i 的技术范畴，因此，网格环境也需要提供所有 o s i 中定义的安全服务。同时考虑到网格安全问题的特殊性，网格环境还应该 具有以下安全要求： ( 1 ) 网格认证需求 单点登录 用户只需在进入系统时进行一次登录，然后就可以在不受干预的情况下访 问任何被授权的合法资源而无需进行再次认证。 委托 用户可以授予相应的权利给系统中的某个程序，该程序有了用户的身份后 就可以访问被授权的资源。 兼容不同的本地安全方案 网格环境中的每个用户或服务提供者可能使用了不同的安全方案，整体的 7 网格安全解决方案应该能兼容这些安全方案，且尽量不改变它们。 信任关系 为了方便用户同时使用多个提供者所提供的资源，网格安全方案引入信任 机制，保证各个资源提供者彼此之问不需要协商即能提供资源。 ( 2 ) 网格通信保护需求 消息保护机制 一个应用可以动态地配置服务协议，也可以灵活地选用不同级别的消息 保护机制：无保护、完整性保护、完整性和保密性保护这几个级别。选用某个 机制的标准是该消息的敏感性、对性能的要求等因素。 支持多种通信协议 网格安全方案可以支持包括t c p i p 在内的各种主流通信协议。 ( 3 ) 网格授权需求 由资源所有者或代理决定授权他们允许访问资源的主体和访问条件。 为了减少委托凭证被破解或被盗的风险，通过委托关系继承过来的权 利应加以限制，防止恶意使用。 2 4 网格安全关键技术 目前利用各种安全技术提出了很多安全问题的解决方案。这些方案已经被 广泛应用于电子商务、电子政务、通信保密、金融交易等多个领域。这些安全 方案主要包括：p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) i t 6 】、单点登录【17 1 、s s l t l s t l 8 】、 i d s 19 1 、v p n 2 0 1 以及i ps e c 等，以上这些机制在网络安全技术研究中已经很成 熟，应用也比较广泛。限于篇幅我们只对单点登录机制做简单的介绍，对于网 格安全技术而言，它是非常重要的。另外介绍了w e bs e r v i c e 技术，我们后面 提到的身份认证机制都是以此为基础的。 2 4 1 单点登录 随着企业信息化和电子商务的高速发展，越来越多的信息系统都基于网络 平台来实现。这些系统都独自使用自己的一套安全策略，这就造成用户使用任 何企业的系统平台都要进行身份认证，而且每次认证使用的认证信息不能保证 一致，用户必须记住登录过的系统的用户名和密码，同时系统管理员要针对每 一个系统设置一种单独的安全策略，而且为了保证用户访问未授权的资源，就 需要为每个系统用户单独授权，严重影响了系统的使用效率。 为了解决传统认证机制带来的不便，研究提出了单点登录的概念。单点登 录机制是指用户在特定的域中只需登录一次，就能够访问在此区域中的不同系统中 的被授权资源，当超过了安全域范围时系统才提示用户再次登录，避免了重复登录。 典型的单点登录机制如微软的p a s s p o r t 。另外个与微软并列的组织是“自 由联盟计划”( l i b e r t ya l l i a n c ep r o je c t ) 。l i b e r t ya l l i a n c ev e r s i o n1 0 是基于 8 “s a m l ( s e c u r i t ya s s e r t i o nm a r k u pl a n g u a g e ) 【2 3 】开发的。s a m l 是由电子商 务技术的标准化团体制定的基于x m l ( e x t e n s i b l em a r k u pl a n g u a g e ) 的机制。 如果使用该机制，用户可以自己指定单一登录的服务范畴。 2 4 2w e b 服务 w e b 服务【2 4 1 概念提出的目的就是在现有的各种异构平台之上构筑一个通 用的、与平台无关的技术层，基于这个技术层，各种不同平台上的应用可以实 现互连接和集成。 w e b 服务是基于x m l t 2 5 】消息机制和h t t p 协议的一种服务，其通信协议 主要基于s o a p 消息协议，服务的描述通过w s d l ( w 曲s e r v i c e sd e s c r i p t i o n l a n g u a g e ，w e b 服务描述语言) ，通过u d d i ( u n i v e r s a ld e s c r i p t i o n ，d i s c o v e r y ， a n di n t e g r a t i o n ，统一描述、发现和集成) 来发现和获得服务的元数据。 w e b 服务和c o b r a 、r m i 等技术一样，都是分布式系统的实现技术的一 种，但w e b 服务的分布概念比起传统技术更加广泛，相对于c o b r a 等技术的 紧密耦合性，w e b 服务之间是松散耦合的，连接双方中的任何一方可更改服务 执行机制，同时不影响另一方，而且分布在网络上的各种资源还可以通过w e b 服务有机的整合在一起，加入某个特定的应用中。 除了松耦合性和分布性外，w e b 服务还具有以下特点： ( 1 ) 互操作性。w e b 服务之间可以相互交互； ( 2 ) 普遍性。w e b 服务基于h t t p 通信协议和x m l 消息来实现，这两项技 术又是网络通信技术的基础，任何支持这两项技术的设备都可以访问w e b 服 务； ( 3 ) 广泛支持性。s o a p 协议和相关的w e b 服务技术得到几乎所有的厂商 的支持。 ( 4 ) 易实现性。w e b 服务不像现有的分布式系统那样具有复杂接口，它实 现简单且结构清晰。 2 5 网格体系结构 网格体系结构是构建网格系统的关键技术，它包括两个方面的涵义：一是 要标识出网格系统的组成部分，描述各个部分的功能和特点；二是要描述出各 组成部分之间的关系，将各组成部分有效的结合为一个整体，从而保证网格系 统正常有效运转。网格技术的权威i a nf o s t e r 将它定义为“用来划分系统基本 组件，指定组件的目的与功能，说明组件之间如何相互作用的技术。显然网 格体系结构是网格系统的骨架，当前较流行且有影响力的三种网格体系结构 为：五层沙漏结构【26 1 、开放网格服务体系结构( o g s a ) 2 7 1 、w e b 服务资源框架 ( w s r f ) t 2 s 。 9 2 5 1 五层沙漏结构 五层沙漏结构根据其结构中各组成部分与共享资源的距离，将对共享资源 进行操作和应用的功能分散在不同层，自上而下分别为应用层( a p p l i c a t i o n ) 、 汇聚层( c o l l e c t i v e ) 资源层( r e s o u r c e ) 、连接层( c o n n e c t i v i t y ) 与构造层 ( f a b r i c ) ，结构如图2 1 所示。 、强驰胁 应用层p 、器 j 聚层一 麓器i 瓷源层一 与连接层p 各种资源一 如计算资源、存储a j 资源、仪器设备、j 构造层p 网络资源、软件等p 图2 1 五层沙漏结构 从结构中可以看出，资源层和连接层组成了沙漏中的瓶颈部分。各层协议 数量的不同决定了该模型成为沙漏结构，沙漏中的核心部分要能实现上层协议 向核心协议层的映射的同时，又要实现核心协议层向下层协议的映射，核心协 议在各层都要被支持，这就要求它的数量不应该太多，必然导致核心层成为结 构中的瓶颈部分。 其中各层的涵义如下： ( 1 ) 构造层是网格中可以被共享的资源所在层，该层包括各种物理设备和 逻辑实体。 ( 2 ) 资源层的作用是对网格资源进行控制，对资源进行初始化，检测资源 运行情况。连接层的作用是控制构造层中的资源之间的数据交换。 ( 3 ) 汇聚层的作用是聚集下层提交过来的受控资源，供应用层共享使用。 ( 4 ) 应用层提供应用程序供用户使用，应用程序使用其他层的a p i 调用相 应的服务，再通过调用网格资源来完成任务。 2 5 2 开放网格服务体系结构( o g s a ) 开放网格服务体系结构包含了两个关键技术，即网格技术和w e bs e r v i c e 技术。它是结合了w e bs e r v i c e 里的关键技术，在五层沙漏结构的基础上提出 来的，它解决了标准服务接口的定义和协议的识别这两个关键问题。o g s a 将 一切都抽象为服务，它的意义就是将网格技术学术研究领域扩展到更广泛的社 会经济领域。 2 5 2 1o g s a 基本思想 1 0 o g s a 的核心思想就是以服务为中心，这里服务的概念要比五层沙漏结构 中的服务更广。在五层沙漏结构中，强调的是被共享的物理资源，而在o g s a 中服务包括各种资源，如计算资源、存储资源、网络、数据库等等。这种改变 有利于实现统一管理和应用网格系统。 o g s a 提出了网格服务( g r i ds e r v i c e ) 这一新名词，作为w e b 服务的一种， 网格服务提供了一组接口，这些接口的定义要明确且遵循特定的管理，能够解 决服务发现、动态创建服务、管理生命周期、通知等问题。综合来说，网格服 务就是一组接口和行为与服务数据的结合，对网格服务的结构描述，如图2 2 所示。 服务数据访问 显示撤销 软状态生命周期 绑定属性 一可靠激活 一认证 g r i ds e r v i c e 一( 必须的) 其他接口 ( 可选的) 图2 2 网格服务示意图 2 5 2 2o g s a 的体系结构 o g s a 主要分为四层，如图2 3 所示。 网格应用层 基于o g s a 的网格服务层 w e b 服务层 物理和逻辑资源层 标准接口： 通知 授权 一服务创建 一服务注册 一管理 一开发 应用相关接口 图2 3 基于w e bs e r v i c e 的o s g a 的四个抽象层 ( 1 ) 物理和逻辑资源层 该层是网格计算的基础核心部分，其中物理资源是构成网格能力的资源， 逻辑资源则提供除物理资源外附加的功能。 ( 2 ) w e b 服务层 把一切网格资源都抽象为服务是o g s a 最重要的原则，o g s i ( o p e ng r i d s e r v i c e si n f r a s t r u c t u r e ，开放式网格服务基础架构) 定义了网格服务，它基于标 准的w e b 服务技术，同时进一步扩展了w e b 服务的定义，提供了动态的、可 管理的、有状态属性的w e b 服务。 ( 3 ) 基于o g s a 架构的网格服务层 w e b 服务层的提出和o g s i 的扩展延伸为基于面向服务架构的网格服务层 提供了基础设施。 ( 4 ) 网格应用层 通过对网格技术的不断研究，更加丰富的基于网格体系结构的服务一定会 开发出来，同时会出现很多基于这些服务的应用程序，这些应用程序构成了 o g s a 的网格应用层。 2 5 3w e b 服务资源框架 2 5 3 1w s r f 的提出 为了实现网格与w e b 服务的有效融合，并利用w e b 服务的已有功能，i b m 、 g l o b u s 联盟和h p 在2 0 0 4 年共同提出了w e b 服务资源框架和w e b 服务通知规 范( w s n o t i f i c a t i o n ) 。 w s r f ( w e bs e r v i c er e s o u r c ef r a m e w o r k ) 与网格服务的定义完全不同， w s r f 认为资