網(wǎng)格環(huán)境中的安全性問題研究

摘要:網(wǎng)格作為第三代網(wǎng)絡(luò)信息技術(shù)，它所具備的虛擬性、異構(gòu)性、集成性及動(dòng)態(tài)自適應(yīng)性特征，決定了網(wǎng)格安全面臨著巨大的困難和挑戰(zhàn)。本文討論了網(wǎng)格安全目前面臨的問題及其安全策略。

關(guān)鍵詞:網(wǎng)格安全；安全策略；安全模型

網(wǎng)格技術(shù)是近年來國際上信息技術(shù)領(lǐng)域的熱點(diǎn)研究課題，是以互聯(lián)網(wǎng)為基礎(chǔ)的一門新興技術(shù)。它的目標(biāo)是將地理上廣泛分布、系統(tǒng)異構(gòu)的各種資源(如高性能計(jì)算機(jī)、大型數(shù)據(jù)庫、傳感器、遠(yuǎn)程設(shè)備等)全面整合在一起， 實(shí)現(xiàn)網(wǎng)絡(luò)虛擬環(huán)境上的高性能資源共享和協(xié)同工作。

網(wǎng)格技術(shù)有下列特點(diǎn)：(1) 用戶數(shù)量大并且動(dòng)態(tài)變化；(2) 資源種類繁多，數(shù)量巨大，分布廣泛并且動(dòng)態(tài)變化；(3) 一個(gè)計(jì)算過程可由多個(gè)進(jìn)程組成并且可以在執(zhí)行期間動(dòng)態(tài)的申請、使用和釋放資源；(4) 資源和用戶可屬于多個(gè)不同的組織，資源可支持不同的認(rèn)證、授權(quán)機(jī)制以及策略；(5) 用戶在不同的資源上可有不同的標(biāo)識，為了記賬和訪問控制，一個(gè)單獨(dú)的用戶將和不同站點(diǎn)的不同本地名字空間、憑證以及賬號相關(guān)聯(lián)。

網(wǎng)格技術(shù)的最大優(yōu)點(diǎn)之一是有利于實(shí)現(xiàn)地理上廣泛分布的各種計(jì)算資源和數(shù)據(jù)資源的共享，但這些共享必須建立在安全訪問的基礎(chǔ)上。由于網(wǎng)格技術(shù)的大規(guī)模、高速、分布、異構(gòu)、動(dòng)態(tài)、可擴(kuò)展等特性，也使得安全問題成為網(wǎng)格技術(shù)得到普遍使用的一大阻礙，并且隨著網(wǎng)格逐漸從實(shí)驗(yàn)和科研階段進(jìn)入商業(yè)領(lǐng)域，解決網(wǎng)格環(huán)境中的安全問題已經(jīng)成為當(dāng)務(wù)之急。

1.網(wǎng)格安全需求

在網(wǎng)格環(huán)境中，不同網(wǎng)格結(jié)點(diǎn)間的通信是通過Internet 來完成的。因此，網(wǎng)格環(huán)境是建立在Internet安全的基礎(chǔ)上。目前Internet 一般提供兩種安全保障機(jī)制：訪問控制和安全通信。訪問控制用來保護(hù)各種資源不被非授權(quán)用戶使用，而安全通信保證數(shù)據(jù)的保密性和完整性，以及各通信端的不可否認(rèn)性。

然而，網(wǎng)格特性在于大量資源的使用、資源的動(dòng)態(tài)請求、對多個(gè)管理域中資源的使用、復(fù)雜的通信結(jié)構(gòu)以及嚴(yán)格的性能要求等。現(xiàn)有安全技術(shù)已經(jīng)不能勝任這種共享化更高的要求。這就決定了網(wǎng)格面臨著更多安全問題，這也為網(wǎng)格提出了一系列新的安全需求。

目前，網(wǎng)格安全問題可以歸納為以下三個(gè)方面：

(1) 整體性問題：因?yàn)槠谕荒骋环N安全技術(shù)解決所有網(wǎng)格的安全問題是不現(xiàn)實(shí)的， 那么應(yīng)如何實(shí)現(xiàn)對現(xiàn)有安全體系結(jié)構(gòu)和跨平臺、跨主模式的集成？

(2) 共同協(xié)作性問題：如何在有著不同安全機(jī)和策略的虛擬組織中的相互調(diào)用服務(wù)。

(3) 信任關(guān)系問題：如何在動(dòng)態(tài)網(wǎng)格環(huán)境下定、管理和執(zhí)行信任策略。

針對以上網(wǎng)格安全存在的問題，實(shí)現(xiàn)安全網(wǎng)需要滿足以下三個(gè)方面的要求：

(1) 網(wǎng)格認(rèn)證要求，包括單一登陸、代理、協(xié)同認(rèn)證、資源認(rèn)證、基于用戶的信任關(guān)系。

(2) 網(wǎng)格通信保護(hù)要求，包括靈活的信息保護(hù)策略、支持各種可靠的通信協(xié)議、支持獨(dú)立數(shù)據(jù)單元的安全通信。

(3) 網(wǎng)格授權(quán)要求，包括資源所有者或者資源所有者代理授權(quán)、限制代理。

2.網(wǎng)格安全模型視圖

根據(jù)開放網(wǎng)格服務(wù)結(jié)構(gòu)(Open Grid Service Architecture，OGSA)中的網(wǎng)格服務(wù)概念，結(jié)合網(wǎng)格環(huán)境的安全問題抽象出網(wǎng)格安全模型視圖，如圖1所示。

網(wǎng)格安全模型視圖主要分為3層：網(wǎng)絡(luò)安全傳輸層、網(wǎng)格安全服務(wù)層、網(wǎng)格安全服務(wù)集成接口層。其中，網(wǎng)格安全服務(wù)主要包括授權(quán)服務(wù)、委托服務(wù)、加密服務(wù)、認(rèn)證服務(wù)、防火墻、入侵檢測、審核服務(wù)、數(shù)字簽名、安全登錄，以及其它安全服務(wù)。網(wǎng)格安全服務(wù)層中的服務(wù)是一個(gè)可擴(kuò)充的結(jié)構(gòu)。在網(wǎng)絡(luò)安全傳輸層、網(wǎng)格安全服務(wù)層涉及到網(wǎng)格安全管理的策略問題。網(wǎng)格安全策略管理主要是解決網(wǎng)格安全服務(wù)之間如何無縫連接，以及對這些服務(wù)進(jìn)行比較靈活的配置的問題。網(wǎng)格安全服務(wù)集成接口主要通過安全服務(wù)接口為網(wǎng)格其他非安全服務(wù)(例如，虛擬組織服務(wù)、資源管理服務(wù)、任務(wù)調(diào)度服務(wù)等)和網(wǎng)格應(yīng)用提供安全保障機(jī)制。網(wǎng)絡(luò)傳輸安全為以上的安全服務(wù)提供在網(wǎng)絡(luò)上安全地傳輸機(jī)制。

在網(wǎng)格安全模型邏輯視圖中，各個(gè)安全功能組件之間存在著交互。比如，在需要數(shù)字簽名服務(wù)的時(shí)候，就需要調(diào)用加密服務(wù)的功能。至于采用何種加密算法，這就是安全策略的管理的內(nèi)容。安全管理策略將為用戶提供靈活的服務(wù)界面，讓用戶自己進(jìn)行選擇。

一般良好的網(wǎng)格安全模型應(yīng)滿足以下安全服務(wù)的特性：

(1) 認(rèn)證：對實(shí)體所宣稱的身份確定其有效性的過程。那些請求訪問某個(gè)受保護(hù)組件的請求發(fā)起者，或者是某個(gè)安全會(huì)話或事務(wù)處理的發(fā)起者，必須提供能夠證實(shí)其身份的憑證信息。

(2) 授權(quán)：根據(jù)屬性、斷言或相關(guān)環(huán)境來確定某個(gè)已被證實(shí)身份的實(shí)體是否被允許訪問某個(gè)受保護(hù)資源的過程。

(3) 完整性：防止由某個(gè)未授權(quán)用戶或?qū)嶓w對某個(gè)資源進(jìn)行修改或破壞。它通常和數(shù)據(jù)完整性同義，數(shù)據(jù)完整性確保數(shù)據(jù)未被惡意或偶然修改或破壞。

(4) 機(jī)密性：信息對于未授權(quán)用戶、實(shí)體或過程不能泄露。

(5) 審核：將所有系統(tǒng)活動(dòng)以足以再現(xiàn)事件的程度來進(jìn)行記錄。

(6) 不可否認(rèn)性：在某個(gè)通信或事務(wù)處理過程結(jié)束之后，防止其中的任何參與者否認(rèn)他(她)在該過程所充當(dāng)?shù)慕巧?/p>

(7) 安全的單點(diǎn)登錄：這一能力允許某個(gè)經(jīng)過認(rèn)證的用戶 能夠在不用重新認(rèn)證的情況下，訪問所有允許訪問的資源。用戶會(huì)話的有效性可以通過諸如已連接時(shí)間、日期時(shí)間、憑證信息的到期或任何其他系統(tǒng)級屬性等因素來進(jìn)行限制。一旦系統(tǒng)終止了用戶的會(huì)話，則系統(tǒng)中的所有組件應(yīng)拒絕該用戶的訪問，直到他(她)重新被認(rèn)證。

(8) 安全性管理：對系統(tǒng)中的安全性控制，以及相關(guān)數(shù)據(jù)的管理必須是安全的。此外，安全性管理不能給系統(tǒng)體系結(jié)構(gòu)或設(shè)計(jì)帶來不合理的限制。

(9) 統(tǒng)一的安全性粒度：這一屬性確保網(wǎng)格體系結(jié)構(gòu)中的不同組件和子系統(tǒng)具有類似的資源定義和粒度，并以類似的方式定義訪問控制規(guī)則。如果在某個(gè)體系結(jié)構(gòu)中，其中一個(gè)子系統(tǒng)在其數(shù)據(jù)庫中定義了多個(gè)級別的安全性，而另外一個(gè)子系統(tǒng)則只能識別兩種級別的用戶(如具有root權(quán)限的管理員和沒有root權(quán)限的客戶) ，則顯然在這一體系結(jié)構(gòu)中定義安全性策略是很困難的。

3.網(wǎng)格安全策略

為了更系統(tǒng)、更有效地解決網(wǎng)格安全問題，滿足網(wǎng)格安全的要求，網(wǎng)格安全策略為此定義了安全主體、安全客體以及它們之間的關(guān)系，定義了一系列的規(guī)則。

(1) 網(wǎng)格環(huán)境包括多個(gè)信任域。該策略元素說明網(wǎng)格安全策略必須集成一個(gè)局部可管理的用戶和資源的異構(gòu)集合。總體上，網(wǎng)格環(huán)境限制或者不影響局部安全策略。這樣，既不用代替局部安全策略，也不允許覆蓋局部策略決定。因此，網(wǎng)格安全策略必須集中于控制域間相互作用和映射域間操作作為局部安全策略。

(2) 單一信任域內(nèi)的操作僅受局部安全策略的影響。網(wǎng)格安全策略沒有在局部操作中額外增加安全操作和服務(wù)。局部安全策略可通過許多種方法來執(zhí)行。

(3) 對每個(gè)信任域，都存在一個(gè)從全局到局部主體的映象。實(shí)際上，每個(gè)資源用戶將有兩個(gè)名字，一個(gè)全局名字和一個(gè)局部資源名字。全局名字到局部名字的映射是特定的位置說明。

(4) 位于不同信任域的實(shí)體間的操作要求相鑒別。一個(gè)被鑒別的全局主體映象為一個(gè)局部體被看作等同于局部主體的本地認(rèn)證。換言之，在一個(gè)信任域內(nèi)，網(wǎng)格鑒別策略和局部映象的結(jié)合滿足于主機(jī)域內(nèi)的安全對象。

(5) 所有訪問控制決定都由局部主體在本地做出。該策略組成部分要求訪問控制決定權(quán)保留在局部系統(tǒng)管理員手中。

(6) 一個(gè)程序或過程可以代表用戶操作，從屬于用戶權(quán)利的子集。該策略對支持長生命周期程序的執(zhí)行是必須的，這些程序可以獲得動(dòng)態(tài)資源而無需額外的用戶相互作用。它也要求支持過程的創(chuàng)建。

(7) 代表同一信任域內(nèi)同一主體的過程可以共享單一的信用集。網(wǎng)格計(jì)算可能包含一個(gè)單一資源上的上百個(gè)進(jìn)程。該策略組成部分通過避免為每個(gè)進(jìn)程創(chuàng)建一個(gè)惟一憑證，使得安全結(jié)構(gòu)可擴(kuò)展到大規(guī)模的并行應(yīng)用。

如何將現(xiàn)有的各種標(biāo)準(zhǔn)協(xié)議有機(jī)地融合在一起，從而無縫地將這些協(xié)議和技術(shù)集成到網(wǎng)格環(huán)境中是網(wǎng)格研究的難點(diǎn)，而如何在這個(gè)過程中解決網(wǎng)格安全問題更是網(wǎng)格研究的核心問題，如何形成一體化的安全規(guī)則是網(wǎng)格安全研究中的關(guān)鍵。因此，對網(wǎng)格安全的基礎(chǔ)研究顯得至關(guān)重要而又刻不容緩，而對網(wǎng)格安全技術(shù)的創(chuàng)新更是大有可為的。本文根據(jù)網(wǎng)格安全的需求，分析了網(wǎng)格安全策略和實(shí)現(xiàn)技術(shù)， 其中主要包括PKI、SSL/ TLS、單點(diǎn)登錄和MyProxy 等等。在網(wǎng)格安全的實(shí)施方案中主要闡述了GSI 的實(shí)現(xiàn)機(jī)制，并給出網(wǎng)格安全解決方案的發(fā)展趨勢，即將XML 安全標(biāo)準(zhǔn)和Web服務(wù)的安全性規(guī)范融合到網(wǎng)格安全的體系結(jié)構(gòu)中。

參考文獻(xiàn)：

[1] 吳羽.網(wǎng)格計(jì)算安全研究與解決途徑[J].計(jì)算機(jī)與現(xiàn)代化，2005.

[2] 陳華.網(wǎng)格的安全體系結(jié)構(gòu)[D].西安電子科技大學(xué)，2004.

[3] 王一夫，陳松喬，范國闖.基于網(wǎng)格計(jì)算中的安全問題研究[J] .湖南師范大學(xué)自然科學(xué)學(xué)報(bào)，2005.