網格安全問題研究

[摘要] 網格技術是一門新興的信息技術，是Internet發展的必然結果。網格的安全問題由于關系到網格技術能否在企業和商業領域得到廣泛的應用，所以顯得尤為重要。通過對網格安全的特殊性和網格安全所面臨的問題進行分析，詳細敘述了網格安全的需求，當前網格安全的幾種技術和解決方案。

[關鍵詞] 網格網格安全安全技術Globus

一、引言

網格(Grid)技術是近年來國際上信息技術領域的熱門研究課題，是以互聯網為基礎的一門新興技術。網格是高性能計算機、數據源、因特網三種技術的有機組合和發展，它把分布在各地的計算機連接起來，使用戶分享網上資源，感覺如同個人使用一臺超級計算機一樣。從數量上說，網格的帶寬更高，計算速度和數據處理速度更快，結構體系比現有的網絡更能有效地利用信息資源。簡而言之，網格是一種信息社會的網絡基礎設施，它將實現互聯網上所有資源包括計算資源、存儲資源、通信資源、軟件資源、信息資源、知識資源等在內的互聯互通。

網格技術的最大優點之一是有利于實現地理上廣泛分布的各種計算資源和數據資源的共享，但這些共享必須建立在安全訪問的基礎上。由于網格技術的大規模、高速、分布、異構、動態、可擴展等特性，使得安全問題成為網格技術得到普遍使用的一大阻礙，并且隨著網格逐漸從實驗和科研階段進入商業領域，解決網格環境中的安全問題已經成為當務之急。

二、網格安全的特殊性

Internet的安全保障主要提供兩方面的安全服務:(1)訪問控制服務，用來保護各種資源不被非授權使用;(2)通信安全服務，用來提供認證，數據保密與完整性，以及通信端的不可否認性服務。但這兩個安全服務不能完全解決網格系統的安全問題。網格系統必須具有抗拒各種非法攻擊和入侵的能力，確保系統的正常高效運行和保證系統中的各個信息的安全。因此，網格系統的安全問題的覆蓋面更廣，解決方案也更加復雜。

一個網格系統的網格安全體系在考慮Internet安全問題之外，還必須考慮網格計算環境的如下特征:(1)網格計算環境中的用戶數量很大，且是動態可變的;(2)網格計算環境中的資源數量很大，且是動態可變的;(3)網格計算環境中的計算過程可在其執行過程中動態請求，啟動進程和申請、釋放資源;(4)一個計算過程可由多個進程組成，進程間存在不同的通信機制，底層的通信連接在程序的執行過程中可動態地創建并執行;(5)資源可支持不同的認證和授權機制;(6)用戶在不同的資源上可有不同的標識;(7)資源和用戶屬于多個組織。正是由于網格計算環境的特殊性，因此在設計網格安全機制時特別要考慮計算環境的動態主體特性，并要保證網格計算環境中不同主體之間的相互鑒別和各主體間通信的保密性和完整性。

三、網格環境中面臨的安全問題

網格環境中所面臨的安全性問題可以大致分為3類:現有技術和安全協議的集成及擴展；不同主機環境之間協同工作的能力;相互影響的主機環境之間的信任關系。

1.現有技術的集成及新技術的發展

不論是出于技術原因還是其他原因，期望某一種安全技術來解決所有網格計算的安全問題是不現實的?，F有的安全架構不可能在一夜之間被取代。例如:網格環境中的每一個域可能有一個或多個用來存放用戶賬戶的寄存器(如:LDAP目錄)，這些寄存器是不可能與其它組織或域共享的。同樣，現有環境中被認為安全可靠的認證機制也會繼續使用。因此，這些傾向于使用單一模式或機制的技術不大可能輕易被取代。

為了獲得成功，網格安全體系結構需要過度到對現有安全體系結構和跨平臺、跨主機模式的集成。這意味著該體系結構可由現有的安全機制來實現，同時，要有可擴展性和可集成性。

2.協同工作的能力

穿越多個域和主機環境的服務需要能夠互相影響，協同工作。協同工作能力主要表現在下面幾個層面：

(1)協議層:即消息傳輸過程中需要保證消息的完整性和保密性并對消息進行數字簽名，這就需要安全的域間交換信息的機制，比如附加了WS-Security規范的SOAP/HTTP。

(2)策略層:為了進行安全的會話，參與協同工作的每一方必須能夠詳細說明它要求的任何策略比如隱私權策略 ，要求使用特定的加密算法 (如 triple DES)等，同時這些策略也能容易地被其他方所理解。這樣，各方才能嘗試建立安全的通信信道和有關互相認證、信任關系的安全語義。

(3)身份鑒定層:在進行交互的過程中需要有在不同域間相互鑒別用戶身份的機制。由于網格環境中交互的動態性，一種確定的身份不能被預先定義成跨越多個域。為了在安全環境中成功實現跨越多個域，必須要實現身份和信任的映射，這可以通過建立相應的身份代理服務來完成。

3.信任關系的建立

網格服務需要跨越多個安全域，這些域中的信任關系在點對點的跨越中起著重要的作用。每一種服務要將它的訪問要求闡述清楚，這樣，需要訪問這些服務的實體就可以安全地訪問。端點間的信任關系應該用策略來清楚地描述。信任的建立過程對每個會話來說或許是一次性的活動，也有可能對于每一次請求都要動態地進行評估。由于網格的動態特性，有些情況下不可能在應用程序執行前預先在這些域中建立信任關系?？傊?，網格環境中的信任關系非常復雜，它需要支持動態的、用戶控制的配置和瞬間服務的管理。瞬間服務是用戶為了執行特定請求任務而生成的，這些任務甚至包括用戶代碼的執行。

這3方面的安全性問題間的依賴關系如圖1所示，每一個問題的解決通常依賴于另一問題的解決，比如不同虛擬組織間為了獲得相互協作的聯合信任就依賴于定義在虛擬組織內部的信任模型及服務集成標準。而定義一個信任模型又是相互協作的基礎但同時又獨立于協作的特性，同樣，服務集成及擴展標準暗含了信任關系標準也和協作操作有關。

四、安全需求

網格系統及其應用可能需要任何或全部的標準安全功能，包括鑒別、訪問控制、完整性、保密性和不可抵賴性。這里主要論述鑒別和訪問控制問題，特別地我們希望解決:提供鑒別解決方案，允許用戶完成計算的進程和這些進程所使用的資源彼此相互驗證;在任何時候都盡可能地不改變訪問控制機制。鑒別是安全策略的基礎，使得各個局部安全策略被集成為一個全局框架結構。

要開發一個滿足這些要求的安全體系結構，需要滿足以下限制條件：

單一密鑰，網格計算環境需要一種機制對密鑰進行統一管理，以實現不同域之間的有效訪問控制。

信用數據的保護，眾多用戶的私鑰、口令等要確保萬無一失。

與本地安全機制的互操作，不必改變每個本地資源的安全策略，就可借助跨域的安全服務器方便地訪問各地資源。

可輸出性，要求在不同國家的試驗床上代碼是可提供、可執行，也就是安全策略不應直接或間接要求過多的加密。

證書結構的一致性，為了不同域、不同類型用戶之間的認證，統一規范的格式是必須的。

支持動態群組通信，網格計算中，時常會有臨時的組隊需求，目前的安全機制（即使是 GSS-API）不具備這樣的特點。

支持多種實現技術，安全策略應該不局限于特定的實現技術，應該對包括公鑰、秘密鑰等多種安全技術有包容性。

五、網格安全技術

目前，網格安全技術主要有：密碼技術，安全傳輸技術，安全認證技術，訪問控制技術和Web Server 安全技術。密碼技術是以保護信息傳遞的機密性、獲得對所發出或接收信息在事后的不可抵賴，以及保障數據的完整性為目的。根據加密密鑰類型的不同將密碼技術分為兩類：對稱加密系統和非對稱加密系統。安全傳輸技術主要有SSL／SSH，IPSEC／IPv6，S／MIME，這些技術保證了數據安全有效的傳輸。

安全認證技術主要包括PKI和Kerberos，其中PKI（Public Key Infracture） 技術是目前應用最廣泛的網格安全技術，即公開密匙基礎設施。它是用一個公鑰（Public Key）概念和技術來實施和提供安全服務的具有普適性的安全基礎設施。而在PKI系統中，CA（Certificate Authority）是一個域中的認證中心，是一個可信任的第三方機構。用戶之間的通信和驗證都依賴CA所頒發的證書。

訪問控制技術主要有自主型訪問控制（discretionary access control，DAC），強制型訪問控制（mandatory access control，MAC），基于角色的訪問控制（role- based access control， RBAC），防火墻等。Web Service 安全技術中，Web Service 由 WSDL（Web Service Description Language）進行描述，處理由XML編碼的SOAP信息。WS-Security為 Web Services提供全面保證。

六、網格安全的一種具體解決方案

Globus是目前國際上最具影響的網格計算項目之一，它是由多個機構聯合開發的項目，力圖在科學計算領域和商業領域對各種應用進行廣泛的、基礎性的網格環境支持，實現更方便的信息共享和互操作。

GSI（Grid Security Infrastructure，網格安全基礎設施）是Globus的安全基礎構件包，也是保證網格計算安全性的核心。GSI 支持用戶代理、資源代理、認證機構和協議的實現。

GSI的主要目標是要為多個網格系統和應用程序提供單點登錄，提供可以在多個組織之間使用而不要求集中管理授權的安全技術，以及在同一網格中的多個不同元素之間提供安全的通信機制。

為了對協議和機制進行隔離(如圖2)，GSI采用GSS—API（Generic Security Service Application Programming interface）作為其安全編程接口。GSS—API定義提供了通用的安全服務，支持各種安全機制和技術，還支持應用程序在源碼級的可移植性，GSS—API主要面向主體之間的安全鑒別和安全通信操作，它提供的功能包括:獲得證書、執行安全鑒別、簽署消息和加密消息等。

GSS—API在安全傳輸和安全機制上是獨立的，這體現在兩個方面:

（1)傳輸獨立性。GSS不依賴于特定的通信方法或通信庫，而且某個GSS調用會產生一系列的標記并進行通信，目前可支持TCP、UDP等通信協議。

（2)機制獨立性。GSS不依賴于特定的安全算法，如Kerberos、DES、RSA公鑰密碼。它是根據安全操作過程定義相應的函數，每個操作可通過不同的安全機制來實現。

GSS—API符合簡單公鑰機制SPKM(Simple public Key Mechanism）。而SPKM的密鑰管理與X.509兼容。GSS—API支持在安全上下文建立過程中的安全授權數據通信，當然，它也支持其他的安全機制。為了保證對通信內容的保密性和高效性，可對通信內容進行加密，提供某種程度的服務并保證質量。

Globus項目的GSI是解決網格計算中安全問題的一個集成方案，已經成功應用于一個連接4個國家近20家機構的實驗網。 GSI的特點在于在保證網格計算安全性的同時，盡量方便用戶和各種服務的交互。GSI還充分利用了現有的網絡安全技術并對其中某些部分進行了擴充，使得GSI在網格計算環境下擁有一個一致的安全性界面，極大地方便了網格應用的開發和使用。

七、結束語

在網格環境中，安全問題比一般意義上的網絡安全問題的覆蓋面更廣，解決方案也更加復雜，只有在實踐中摸索出切實、可靠的安全策略，才能真正使網格這一新興技術煥發蓬勃的生命力。

參考文獻:

[1]Foster I， Kesselman C. The Grid: Blueprint for a New Computing Infrastructure [M]. Morgan Kaufmann Publishers， Inc.， San Francisco， California， 1999: 205-236

[2]Foster I， Kesselman C， Tuecke S. The Anatomy of the Grid: Enabling Scalable Virtual Orgnization [J]. International Journal of Supercom- puter Applications， 2001， 15(6): 200-222

[3]Pearlman L， Welch V， Foster I， et al. A Community Authorization Service for Group Collaboration [R]. In: IEEE 3rd International Workshop on Policies for Distributed Systems and Networks， 2001

[4]The Globus Project http://www.globus.org

[5]都志輝陳渝劉鵬:網格計算.北京:清華大學出版社，2002

[6]劉華志李連朱愛紅:網格安全問題初探. 微機發展，2004，14（2）

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。