（计算机系统结构专业论文）网格计算系统的安全和域间认证机制研究.pdf

摘要 网格计算系统就是将地理分柿、系统异构、性能各异的各种资源，通过高速 旺连网络连接，形成广域范围的无缝集成和协同计算环境。这些资源包括高性能 计算机、计算机机群、大型服务器、贵重科研设备、大型通信设备、可视化设备 等。网格计算系统的本质是资源的联合和资源的虚拟化，他最终为使用者提供与 地理位置无关、与具体物理设施无关的通用计算能力。 网格概念的提出从根本上改变了人们对计算的看法，因为网格突破了汁算能 力大小的限制、突破了地理位置的限制、打破了传统的共享或协作方面的限制， 它的核心就是突破了以往强加在计算资源上的种种限制，使人们能够以一种全新 的、更自由、更方便的方式使用计算资源，解决以前无法解决的复杂问题。 网格计算系统要求不影响节点本地的管理和自主性，不改变原有的操作系统、 网络协议和服务方式，保证用户主机和远程节点的安全性，允许远程节点选择加 入或退出系统，尽量使用已存在的标准技术，以便与已有的应用兼容，并提供可 靠的容错机制。网格计算系统的这些要求对传统的计算机技术提出了巨大挑战。 缺乏有效地安全机制将会限制网格技术的进一步发展和网格应用的进一步推广， 因此安全问题是网格计算系统的基本问题，网格计算系统的安全研究成为网格计 算系统研究中的热点和难点。国内外已经开展了很多网格计算系统安全方面的研 究工作，试图解决网格计算系统中的安全问题。 本文的研究工作集中在以下几点： ( 1 )以g l o b u s 为核心分析网格计算系统的体系结构模型，在此基础上重点 研究g i o b u s 的网格安全架构g s i ( g r i ds e c u r i t yi n f r a s t r u c t u r e ) 。 ( 2 )经过剖析网格安全架构解决方案g s i ，在借鉴其长处的基础上，以资 源映射与管理为切入点提出了较为灵活全面的网格计算系统安全体系 结构模型。 ( 3 )深入理解g l o b u s 中的证书与凭证的概念，从它们的构造、原理和应用 等方面进行了细致分析，在指出g l o b u s 的凭证管理方法的不足后提出 了另外两种凭证的管理方案并进行了对比。 ( 4 )研究基于s a m l 的联盟域之间授权、认证信息的传输机制，并尝试使 用这种技术为中国科学技术大学的瀚海网格加入一种新的访问控制模 型，同时要求这种控制模型能充分和瀚海网格中管理资源提供者和资 源消费者的界面p o r t a i 集成。 ( 5 )为了验证上面提出的域间认证方案，我们搭建了一个简单的实验床用 于仿真此系统。仿真系统采用j a v a 开发，使用了s e r v l e t 、r m i 、j d b c 等技术，数据库采用m c k o i 。 本文的刨新点在于： 【1 】提出网格计算系统的安全体系结构模型 安全体系结构模型建立在深入理解网格安全基础设施的基础上，它是一个丌 放的、沙漏型的体系结构模型，层与层之问有明确的界限，每一层都有特定的技 术内涵。安全体系结构模型给出了网格安全的基本组成和功能，描述了各个基本 组成部分之间的关系以及它们集成的方式。安全体系结构模型有利于从整体上理 解网格安全，深入了解和掌握各种网格安全技术，开展各种网格安全研究和丌发。 【2 】提出一种域间认证的方案，并仿真验证了该方案的可行性 随着s a m l 规范的正式发布，使用这种技术为中国科学技术大学的瀚海网格 加入一种新的访问控制模型成为有意义的尝试。新的访问控制模型能充分和瀚海 网格的p o r l a i 负责管理资源提供者与消费者之间的界面集成。为了突出高效灵 活，本系统采用了以基于属性的访问控制为主，以基于角色的访问控制为辅的方 案。 关键词：网格，网格计算，网格安全，安全体系结构模型，凭证管理，访问控制 s a m l ，域间认证 a b s t r a c t g r i d c o m p u t i n gs y s t e m i sa n i n t e g r a t e d c o o p e r a t i v ec o m p u t i n g e n v i r o n m e n tt h a ti sc o m p o s e do fd i s t r i b u t e dh e t e r o g e n e o u sr e s o u r c e s t h e s e r e s o u r c e sc o u l db eh i g hp e r f o r m a n c ec o m p u t e r s c o m p u t e rc l u s t e r s ，l a r g e s c a l e s e r v e r s c o m m u n i c a t i o ne q u i p m e n t s ，h i g h s p e e di n t e r c o n n e c t i o nn e t w o r k s e t c gr i dc o m p u t i n gs y s t e mc o u l di n t e g r a t ea l lk i n d so fc o m p u t a t i o n a lr e s o u r c e sa n d l r a n s l a t e st h e s er e s o u r c e s i n t os t a n d a r da b s t r a c t c o m p u t i n gp o w e r g r i d c o m p u t i n gs y s t e mp r o v i d e sg e n e r a lc o m p u t i n gp o w e rt h a t i s i n d e p e n d e n to f l o c a t i o na n dp h y s i c a le q u i p m e n t s t h ei d e a lo fg r i dh a sc h a n g e dt r a d i t i o n a lt h o u g h to fc o m p u t i n g s i n c eg r i d b r e a k st h o u g h tt h ep o w e ro fc o m p u t i n g ，t h el o c a t i o no fg e o g r a p h y , a n dt h e m e a n so fs h a r eo rc o o p e r a t i o n ，p e o p l ew o u l du t i l i z ec o m p u t a t i o n a lr e s o u r c e si n an e w w a y u s i n gg r i dc o m p u t i n gs y s t e m ，u s e r sc o u l ds o l v em a n yp r o b l e m s t h a tc o u l dn o tb es o l v e dp r e v i o u s l y n o ta f f e c t i n gl o c a l m a n a g e m e n ta n da u t o n o m y , n o tc h a n g i n go p e r a t i n g s y s t e m ，n e t w o r kp r o t o c o l s a n d s e r v i c e ，g r i dc o m p u t i n gs y s t e m s h o u l d g u a r a n t e e t h es e c u r i t yo fu s e rh o s t sa n dr e m o t en o d e s a n dt h ei o i no rf e a v eo f r e m o t en o d e s b yu s i n ga l r e a d ye x i s t i n gs t a n d a r dt e c h n i q u e s ，g r i dc o m p u t i n g s y s t e mc o u l de x e c u t ea l r e a d ye x i s t i n ga p p l i c a t i o n sw i t h o u ta n yc h a n g e t h i si s ag r e a tc h a l l e n g et ot r a d i t i o n a lc o m p u t e r t e c h n i q u e s l a c ko fe f f e c t i v es e c u r i t ym e c h a n i s mw o u l ds l o w d o w nl h ed e v e l o p m e n to f g r i dt e c h n i q u e sa n dt h ep o p u l a r i z a t i o no fg r i da p p l i c a t i o n s s e c u r i t yr e s e a r c ho n g r i dc o m p u t i n gs y s t e mi sb e c o m i n gah o ts p o ta n dah a r ds p o to fg r i dr e s e a r c h m a n y r e s e a r c hp r o j e c t sh a v eb e e nl a u n c h e di no r d e rt os o l v es e c u r i t yp r o b l e m s e x i s t i n gi ng r i dc o m p u t i n gs y s t e m t h em a i nw o r k so ft h i st h e s i sa r ej nt h e f o l l o w i n g ： ( 1 )a n a l y z i n gt h ea r c h i t e c t u r em o d e lo fg r i dc o m p u t i n gs y s t e mb a s e d o ng l o b u s t h e np u t t i n gt h ee m p h e s i so ng r i ds e c u r i t yi n f r a s t r u c t u r e a d o p t e db yg l o b u s ( 2 ) am o r ec o m p r e h e n s i v ea n df l e x i b l es e c u r i t ya r c h i t e c t u r em o d e lo f g d d c o m p u t i n gs y s t e mh a sb e e np r o p o s e do nb a s i so fe x p l o s i o no f g s l ( g r i ds e c u r i t yi n f r a s t r u c t u r e ) c o m p a r e d w i t hg s i ，r e s o u r c e m a p p i n ga n dm a n a g e m e n t a r ec h a r a c t e r i s t i co ft h en e wm o d e l ( 3 ) w es t u d i e dt h em e t h o d so fh o wt o m a n a g ec r e d e n t i a l s i n g r i d e n v i r o n m e n tw h e r em a c h i n e sc a nd i s c o n n e c lf r o ml h er e t w o r ka t a n y t i m e w es u m m a r i z e dt h r e ed i f f e r e n ta p p r o a c h e s ，w i t ht h e i rp r o s a n dc o n s f 4 )a n e wa c c e s sc o n t r o im o d e lb a s e do ns a m li sa d d e dt oh a n h a ig r i d s y s t e ms u p e r v i s e db yu n i v e r s i t yo f s c i e n c ea n dt e c h n o l o g yo fc h i n a t h ea c c e s sc o n t r o lm o d e li sw e l li n t e g r a t e dw i t ht h ep o r t a l ，w h i c h w a si n c h a r g eo ft h ei n t e r f a c e b e t w e e nr e s o u r c ec o n s u m e r sa n d r e s o u r c ep r o v i d e r s ( 5 ) w eh a v es e tu pat e s tb e do nw h i c ha ne m u l a t i o ns y s t e mw a sb u i l tt o v e r i f yf e a s i b i l i t yo fo u r n e wa c c e s sc o n t r o lm o d e l t h ec r e a t i v ew o r k so fl h i st h e s i sc a nb es u m m a r i z e da sf o l l o w s ： ( 1 ) p r o p o s i n gas e c u r i t ya r c h i t e c t u r em o d e l o fg d d c o m p u t i n gs y s t e m am o r ec o m p r e h e n s i v ea n df l e x i b l e s e c u d t ya r c h i t e c t u r e m o d e lo fg r i d c o m p u t i n gs y s t e mh a s b e e np r o p o s e d0 1 3b a s i so f e x p l o s i o n o fg s l ( g r i d s e c u r i t yi n f r a s t r u c t u r e ) a d o p t e db yg l o b u s c o m p a r e d w i t h g s ，r e s o u r c e m a p p i n g a n dm a n a g e m e n ta r ec h a r a c t e r i s t i co ft h en e wm o d e l as e c u r i t y s c h e m at h e nh a sb e e nb r o u g h ti n t oe f f e c tu n d e rt h eg l o b u se n v i r o n m e n tb a s e d o nt h a ts e c u r i t ya r c h i t e c t u r em o d e l ( 2 ) an e w a c c e s sc o n t r o lm o d e lb a s e do ns a m li sa d d e dt oh a n h a ig r i d s y s t e m t h e s e c u r i t ya s s e r t i o nm a r k u pl a n g u a g e ( s a m l ) p r o v i d e s as t a n d a r d i z e d w a yo fp a s s i n ga u t h e n t i c a t i o na n da u t h o r i z a t i o nj n f o r m a t i o na m o n gf e d e r a t e d d o m a i n s an e wa c c e s sc o n t r e lm o d e lb a s e do ns a m li sa d d e dt oh a n h a ig r i d s y s t e ms u p e r v i s e d b yu n i v e r s i t yo fs c i e n c ea n dt e c h n o l o g yo fc h i n a t h e a c c e s sc o n t r o im o d e | i sw e lj i n t e g r a t e dw i t ht h ep o r t a l w h i c hw a s i nc h a r g eo f l h ej n t e r f a c eb e t w e e nr e s o u r c ec o n s u m e r sa n dr e s o u r c ep r o v i d e r s d e p e n d i n g o nt h ea t t r i b u t e su s e r sh a v e a t t r i b u t e b a s e da c c e s sc o n t r o i i n t e g r a t e dw i t h r o l e - b a s e da c c e s sc o n t r o fp o l i c yh a sb e e ni n t r o d u c e dj n t oo u rs y s t e m w h i c h s h o w sm o r ep o w e ra n d a g i l i t y k e y w o r d s ：g r i d ，g r i dc o m p u t i n g ，g r i d c r e d e n t i a lm a n a g e m e n t ，a c c e s sc o n t m l s e c u r i t y ，s e c u r i t ya r c h i t e c t u r em o d e s a m l i n t e r - d o m a i na u t h e n t i c a t j o n 中困“学技术人学颂l ：学位论史痢一币时_ i f 和州f 汁算 第一章网格和网格计算 网格作为2 0 世纪9 0 年f 出现的新概念，r 辟了一个新的研究领域。随着学 术界对其研究的深入，众多研究者从不同的角度和侧重点给出了不同的定义，到 目前为止还没有一个令大家都能认可的精确定义。 1 1 网格的概念 什么是网格( g r i d ) 1 。2 】? 网格就是一种集成的资源和服务的环境。这驻劂格 集成的东西包括计算能力、数据信息和知识、软件等各种相关的资源和服务。网 格的目的是要利用互联网络把分散在不同地理位置的电脑组织成一台“虚拟的超 级计算机”，实现计算资源、存储资源、数据资源、信息资源、软件资源、通信资 源、知识资源、专家资源等的全面共享。传统互联网实现了计算机硬件的连通， w e b 实现了网页的连通，w e b 服务实现了程序和程序之间的共享，而网格试图实 现互联网上更广泛资源的全面连通。网格希望用户在使用网格时，就如同现在使 用电力一样方便地使用分布在网络上强大而丰富的各种资源。 1 2 网格计算( g r i dc o m p u t i n g ) 的概念 “网格计算使用开放的标准和协议来启用分布计算资源的虚拟化，从而在异 构、地理上分散的j t 环境中创建单一的系统映像”，简单地说就是基于网格的 问题求解。 当人们在谈论网格时，喜欢用电力网的例子来类比网格。如使用电力时，用 户通过电源插头获得所需的电力，但并不在乎这些电力来自那个发电厂的那台发 电机，而电力网中的输配电系统保证根据用户的需要供应电力。有关电压、频率 等标准使这种电力的动态组合和分配成为可能。而网格也希望给最终的使片j 者提 供的是与地理位置无关、与具体的设施无关的通用的解决问题的能力( 计算能力) 。 既然网格是如此和电力网相像，我们为什么不认为网格也是整个社会发展的基础 设施的一部分昵? 它就像水力、电力、交通等基础设施一样，用一种统一的方式 向人们提供计算能力，做到按需应变、随需所用。也就是说，原来我们把l t 设施 当作商品来购买，而网格环境下，作为商品的不仅是l t 设施本身，还有它们自身 所具有的计算、存储、软件等资源。当然这是网格的最终目标，要达到这一步我 们还有漫长的路要走。 般说来，网格中除了作为其基础的计算机、存储器、通信线路等硬件外， 还有用于集成这些硬、软件资源的软件。我们把这些在分布式网络上共享的计算 能力和其他硬件资源称之为物理网格( p h y s i c a lg r i d ) ，而把集成、整合这些硬件 第1 搬 中田科学技术人学颂i 。学位论文帮一帝煳格和州格计算 资源按某一业务流程以完成某项任务的软件和控制流程称之为逻辑网格( l o g i c a l g r i d ) 。物理网格可以被多个逻辑网格使用，而逻辑网格可以使用多个物理网格来 完成菜任务。从某种意义上说，逻辑网格是网格的核心。网格中最难解决的又 是如何把动态地按需配置逻辑网格以建立能够完成用户要求的网格系统( 如满足 某种要求的某个企业的b 2 b 电子商务系统等) 。 图1 1 对比了一台p c 机提供计算能力的方法和刚格提供计算能力的方法。 1 3 为什么需要网格计算 图1 - 1网格计算的比喻 网格计算最初的由来是设备利用率问题。参看下面的统计数字 3 】 大型机有4 0 的时间处于空闲状念 u n i x 服务器有9 0 的时间处于空闲状态 多数的p c 有9 5 的时间处于空闲状态 这一点从我们实验室的现状也可以看到。平时我们的p c 机使用效率很低，从 w i n d o w s 自带的任务管理器上可以看出，c p u 的使用经常在1 - 2 0 之问。只 用在启动一个程序或者运行一个大型程序时，c p u 的使用率才高一些。与此相对 的是，有些大型机或资源是稀缺或不可复制的，有些资源无法和特定的地理位置 分开。这一切都造成了资源的极大浪费，我们投入大量的资会购置的i t 设备，却 又一半以上的时间没有利用，而有人却急需这些资源，却没有购买这些昂贵的i t 没备的资金，那么多余的计算能力该如何处理呢? 如何解决这一矛盾呢? 网格计算的第二个由来是系统之间的集成问题( 如动念的电子商务) 。我们知 道现阶段我们丌发的软件有一个很严重的问题就是所谓的”烟囱式”问题。即各个应 用程序之问的联系是很弱或是没有的。如各个企业系统之阃信息交互问题这是 企业进行电子商务所必须解决的问题。这一问题在企业规模较小时可能体现不出 来，但一旦企业的规模很大，要和其伙伴或客户进行电子商务时这一阅题就缀明 第2 丑1 中田科学技术人学帧l 学位论文第一章州恪和叫格汁搏 显的暴露出来。因此，为了更好的集成、实现和维护这些系统，需要标准的技术 和平台构架以支持系统之间的集成。 网格计算就是提供这种计算能力和解决系统集成所需要的步骤中的个阶 段。网格环境把网络上现有的计算资源、存储资源能看作一台虚拟的“超级计算 机”，用户就像使用本地机群一样使用和管理网格上的各种资源。如同电力网中的 电压、频率一样，网格环境也提供了一系列的标准来解决异构、异种平台系统之 | 、日j 的集成问题。网格计算的基础是基于x m l 的消息传递。它用x m l 格式束包装 各种数据、消息在各个系统之间进行信息交换。 1 4 典型网格计算环境 现在我们再回顾一下关于网格计算标准的定义“网格计算使用开放的标 准和协议来启用分稚计算资源的虚拟化，从而在异构、地理上分散的i t 环境中创 建单一的系统映像”中所蕴涵的我们需要解决的几点问题。 首先，虽然诸如g l o b a lg r i df o r u m ( g g f ) 之类团体的长期目标是建立必要 的规范和标准来允许构建基于各种标准的网格，但是现有的网格计算环境大部分 是使用非标准的技术构建的，包括商业组织、学术机构和开源项目。希望利用网 格计算优点的客户要么必须接受既有的基于非标准网格的事实，要么必须花大量 的时间和努力来追随标准及其实现，并接受在使用这些方法构建的解决方案中存 在大量漏洞的事实。 其次，存在异构性的问题。虽然网格应该可以采用运行不同操作系统的混合 系统但是目前现有的大部分商业组织实际上都是同构的。只有在学术环境中爿+ 会真j 下构建异构的网格。这可能是由于很多因素，包括不同组织的定购策略、可 管理性问题或个人的偏好。虽然我们后面将讨论的例子实际上是一个异构系统， 但是每个位置的系统都是完全同构的。在这种情况中，通过父公司进行采购的子 公司就属于这种情况，而不存在具体的定购决策过程。 最后，存在地理上分散的问题。有些人坚持网格只有在扩展到多个组织或多 个物理位置时才成为网格。现在使用的大部分网格都只在一个站点上。 我们先给出个典型网格计算环境的示意图，如图1 2 所示 4 1 。 媳3 负 本章介绍了网格和网格计算的概念，在后续章节中将以g l o b u s 为核心分析网 格计算系统的体系结构模型，重点研究g l o b u s 的网格安全架构g s l ( g r i ds e c u r i t y i n f r a s t r u c t u r e ) 。经过剖析g s i ，在借鉴其长处的基础上，以资源映射与管理为切 入点提出了较为灵活全面的网格计算系统安全体系结构模型。 第4 贞 p 困科学技术人学硕l j 学位论史第一章蹦 各和州渐汁鲜 任何安全模型都会涉及证书和凭证的运用，我们从这两者的构造、原理和应 用等方面对g l o b u s 中的证书与凭证进行了细致分析，在指出g l o b u s 的凭证管理 方法的不足后提出了另外两种凭证的管理方案并进行了对比。 域问认证始终是安全热点问题，我们研究了基于s a m l 的联盟域之问授权、 认证信息的传输机制，并尝试使用这种技术为中国科学技术大学的瀚海网格j u 入 一种新的访问控制模型，同时要求这种模型能充分和瀚海网格的p o r t a l 集成。为 了验证上面提出的域阃认证方案，我们搭建了一个简单的实验床用于仿真此系统。 本文章节结构如下： 第一章网格和网格计算 第二章网格的特殊性和安全需求 第三章g l o b u s 项目与实验床的搭建 第四章网格计算系统的安全体系结构模型 第五章g s i 安全策略的实现与网格应用的凭证管理 第六章基于s a m l 的策略机制的部署与访问控制的实现 第七章域间认证仿真系统的设计与实现 第八章结束语 1 6 本章小结 网格计算系统就是将地理分却、系统异构、性能各异的各种资源，通过高速 互连网络连接并集成起来所形成的广域范围内的协同计算环境。本章首先介绍了 网格和网格计算的概念，然后分析了个典型的网格计算环境，总结了其特点。 下一章我们将总结网格的特殊性和由此带来的安全需求。 浆5 页 中田 t - 学技术大学硕j 学位论史 第一帝恤畸格的特殊悱乖 安伞需求 第二章网格的特殊性和安全需求 形成网格计算环境的要求是不影响各节点本地的管理和臼主性，不改变原有 的操作系统、网络协议和服务，但同时要保证远程节点的安全性，允许远程符点 选择加入或退出，尽量使用已存在的标准以便和已有应用兼容并能提供可靠的容 错机制。一个理想的网格计算应类似于目前的w e b 服务，可以构建在当时所肖的 硬件和软件平台上，给访问者提供完全透明的计算环境。对用户而言，它是把众 多异构的资源变成了同构的虚拟计算环境。 2 1 网格的特殊性 我们将通过一个例子分析网格的特殊性，如图2 1 所示。设想一个科学家， 在一个合作团体中进行科学研究，他从同事那里收到一封关于新数据集的电子邮 件然后启动一个分析程序( 站点a ) ，该分析程序分配代码到远端数据存储的位置 ( 站点b ) 。分析程序决定要运行一个仿真程序，以便将实际结果和期望的结果牛丹比 较。因此，它与一个资源代理服务器相联系( 站点c ) ，用以查找能够用于仿真的空 闲资源。然后，资源代理在两个站点( d 和e ) 初始化计算，这些计算机( d 和e ) 访 问存放在另个站点( f ) 的文件系统中的参数值，进行彼此之间的通信，或与资源 代理、原始站点及用户之间进行通信( 可能使用特定的协议，例如多播) 。 圈2 1一个科学家的工作流程 这个例子显示了网格计算环境具有许多特殊属性： 用户数量庞大且为动态，参与者变化的频率较高 资源池庞大，且动态可变； 鹕6 吹 q j 问科学技术人学颅i - 学位论义第二母时懈的特蛛悱车f i 盘争需求 一个计算可能要求在执行期间动念地使用或释放资源； 组成计算的进程可以用不同的机制进行通信，如单播或多播。程序执行 期恻，低级别的通信连接( 例如t c p i p 套接字) 可咀被动态地创建或撤销； 资源可支持不同的认证和授权机制，这包括k e r b e r o s 5 6 】、明文口令、 安全套接协 义( s s l ) 、s e c u r es h e ij ( s s h ) ； 用户在不同的资源上可有不同的标识； 资源和用户可属于多个组织。 正是由于网格计算环境的特殊性所以在设计网格安全机制中要特别考虑网 格计算环境的动态主体特性，并要保证网格计算环境中不同主体闯的相互鉴别和 各主体问通信的保密性和完整性。网格计算面临的问题是提供安全解决方案，以 使类似的计算能调整不同的访问控制策略并能在不同性质的环境中安全运行。 2 2 网格安全需求 网格系统及其应用需要所有的标准安全功能，包括认证、访问控制、完整性、 保密性和抗抵赖性。这里着重叙述认证和访问控制问题。它致力于解决： 提供认证解决方案，允许用户、组成计算的进程和这些进程使用的资源 之间彼此相互认证： 在任何时候都尽可能地不改变本地访问控制机制。认证形成了安全策略 的基础，使得各个局部安全策略被集成为一个全局框架。 要，r 发一个满足这些要求的安全体系结构，需要满足以下的限制条件： 单点登录：用户只需认证一次就可获取、使用和释放资源： 认证保护；用户认证( 密码、密钥等) 受到保护； 本地安全解决方案的互用性：当安全解决方案能提供域间访问控制机制 时，对局部资源的访问应由本地安全机制决定。但是，改变每个同部资 源来适应域问访问是不现实的，这要求有一个或多个实体作为局部资源 的远程客户，用户代理； 可输出性：希望代码能在多国语言平台上输出和执行： 统一的认证机构：域问访问用最小的、通用的方法表示安全主体，如川 x 5 0 9 作为标准： 支持安全组通信：通信主体可能包含许多需要作为一组协调活动的进程， 当阿还没有安全解决方案支持该性质，即使是g s s a p i 也一样； 对多项实施方案的支持：安全策略不能专为一项特殊的应角技术而制定。 第7 负 中旧罩 学 点术人学坝 ：学位论史 第一二章州格的特昧性和立伞需求 参照上面提出的属性、需求和限制条件，可定义安全策略如下： 网格环境包括多个信任域，这说明网格安全策略必须集成一个局部可管 理的用户和资源，形成异构集合。总体上，网格环境限制或者不影响局 部安全策略。这样，我们既不用瞥换局部安全策略，也不允许覆盖局部 策略。因此网格安全策略必须集中于域阃认证和映射域l 、j 操作： 单一信任域内的操作仅受局部安全策略的影响。网格安全策略没有在局 部操作中额外增加安全操作和服务；局部安全策略可通过许多种方法柬 执行，包括防火墙、k e r b e r o s 和s s h ： 对每个信任域都存在一个从全局到局部主体的映象； 位于不同信任域的实体间的操作需要相互鉴别； 一个映象为局部主体的被鉴别全局主体等同于局部主体的本地认证： 所有访问控制决定都由局部主体在本地做出： 一个程序或过程可以代表用户操作，从属于用户权利的子集。 这罩强调安全策略是体系结构化的。在设计时要避免使用受国家法律约束的 加密技术。该策略的推动使网格计算环境中遇到的各种本地安全策略的集成统一 成为可能。 2 3 本章小结 实现网格计算需要各种一j 态的资源和有效的通信，因此，对安全提出了更高 的需求，网格安全问题是网格计算中的一个核心。本章讨论了网格特殊性对安全 带来的需求、网格安全定义以及一种典型的安全策略所涉及的问题。 第8 贝 p 冈科学技术人学烦l 。学位论义第三章g i o b u s 项h j 实验眯的搭址 第三章g l o b u s 项目与实验床的搭建 上一章我们总结了网格系统的特殊性以及由此带来的安全需求，这章我们 以实际的网格项目g j o b u s 【7 8 】为蓝图，首先介绍该项目的相关情况，g l o b u s t o o l k i t 软件架构的五层结构，然后介绍该软件的主要功能，最后搭建g l o b u s 实验 床，为下一步的研究打好基础。 3 1g l o b u s 项目 g l o b u s 项目是目前国际上最有影响的网格计算项目，它丌始于1 9 9 6 年，由 美国d a r p a ( d e f e n s ea d v a n c e dr e s e a r c hp r o j e c t sa g e n c y ) 、荚固能源部、美 国国家科学基金、美国航空航天局等机构共同资助，承担单位是美国a r g o n n e 国 家实验室和南加州大学，全美国有1 2 所大学和研究机构参与了该项目【9 】。 g l o b u s 是一个研究性的项目，它的主要工作是建立支持网格计算的通用铷议， 开发支持网格计算的服务，实现支持网格计算系统的软件开发工具。g l o b u s 项目 对信息安全、信息管理、资源管理、数据管理以及应用开发环境等网格计算的关 键理论和技术进行了广泛地研究，开发能在各种平台上运行的网格计算软件，帮 助规划和组建大型的网格试验平台，开发适合大型网格系统运行的大型应用程序， 并制定相应的标准。 g i o b u st o o l k i t 软件是g i o b u s 项目最重要的研究成果，其1 o 版于1 9 9 9 年推 出，目前的最新版为4 0 。g l o b u st o o l k i t 软件的源码向公众开放，遵循g t p l ( g l o b u st o o l k i tp u b l i cl i c e n s e ) 协议【1 0 】，任何人都可以从网站上下载源代码并 进行研究和改进。目前，g i o b u s 技术已在美国国家技术网格( n a t i o n a lt e c h n o l o g y g r i d ) 、欧洲数据网格( e u r o p e a nd a t ag r i d ) 、美国航空航天局信息网格( n a s a l n f o r m a t i o np o w e r g r i d ) 等8 个项目中得到应用。 根据g l o b u s 的观点，在网格计算系统中所有可用于共享的主体都是资源， g l o b u s 关心的不是资源的实体本身，而是如何把资源安全、有效、方便地提供给 用户使用。网格计算通常着眼于大型应用项目，而大型应用项目应该由许多组织 协同完成，这些组织通过网格计算系统形成一个统一的“虚拟组织”，网格中的h 户、成员、资源可随时加入虚拟组织。在网格计算系统中，各组织拥有的计算资 源、存储资源等都可以被虚拟组织中的成员共享，并且各成员可方便地协同完成 再种分向式应用和工作。如何有效地对虚拟组织和其中的成员进行管理是g l o b u s 需要研究的一个重要课题【11 】。 g l o b u s 并不试图取代现有技术，而是希望在现有技术之上建立更高层次的共 笫9 贝 中田科学技术人学坝 j 学位论义第三鼋g l o b u s 项目1 实验眯的搭建 享。g i o b u s 认为要实现网格环境中的共享就意味着：首先需要开发一套支持网恪 计算的通用协议，用它来描述消息的格式和消息交换的规则，然后在这些协议之 上开发一系列支持网格计算的服务。出于需要通过具体的程序实现这些服务，这 就需要首先定义a p i ( a p p l i c a t i o np r o g r a m m i n gi n t e r f a c e s ) ，然后基于a p i 掏建 各种软件丌发工具。 3 2g l o b u s 五层体系结构模型 g l o b u s 体系结构从下到上分为血个层次：构造层、连接层、资源层、汇集层 和应用层【1 2 1 。g l o u b s 五层体系结构模型如图3 1 所示。g l o b u s 体系结构以“协 议”为中心，十分强调服务、a p i ( a p p l i c a t i o np r o g r a m m i n gi n t e r f a c e s ) 和s d k ( s o f t w a r ed e v e l o p m e n tk i t s ) 的重要性，每层都有自己的服务、a p i 和s d k ， 上层调用下层提供的服务，网格内的全局应用都通过提供的服务来调用操作系统 的功能。 i鳖竺j 图3 1g l o b u s 五层体系结构模型 ( 1 ) 构造层 构造层面对的是一个个具体的物理或逻辑资源，通过对这些局部资源的管理， 向上层提供对这些资源的管理和控制界面。g l o b u s 中相应组件负责侦测可用的软 硬件资源的特性、当前负荷、状态等信息，并将其打包供上层调用。 ( 2 ) 连接层 构造层提交的各种资源问的数据交换都在这一层实现，各资源问的授权认证 和安全控制也在这一层实现。g l o b u s 中的相应组件采用基于公钥的g s i ( g r i d s e c u r i t yi n f r a s t r u c t u r e ) ，提供单登录、委托授权、全局局部安全方案整合、基 f 用户的信任关系等功能。 ( 3 ) 资源层 资源层的作用是对单个资源实施控制，与可用资源进行安全握手、对资源做 p 田科学技术人学埘f j 学位论义 第二章g i o b u s 项日实验眯的拼业 仞始化、监测资源运行状况和统计资源使用情况。在g l o b u s 中有一系列组件用来 实现资源注册、资源分配和资源监测。 ( 4 ) 汇集层 汇集层的作用是将资源层提交的受控资源汇集在一起供虚拟组织的j , i i i l 程 序共享和使用。为了对来自应用的共享进行管理和控制，汇集层提供目录服务、 资源分配、f 1 程安排、资源代理、资源监测诊断、负荷控制、账户管理等多种功 能。 ( 5 ) 应用层 应用层和资源的距离最远，它关心的是有什么样的资源可以使_ 肆j 以解决不同 虚拟组织的具体问题。这层是用户的应用程序，应用程序通过各层的a p i 调用相 应的服务，再通过服务使用网格资源来完成任务。 g j o b u s 根据该体系结构中各组成部分与共享资源的距离，把对共享资源进行 操作、管理和使用的功能分散在不同的层次。越向下层就越接近于物理的共享资 源，因此也就更多涉及特定资源相关的成分；越向上层就越感觉不到共享资源的 细节特征，也就是说上层是更加抽象共享资源的表示，因此就不需要关心底层共 享资源的具体实现问题。 g l o b u s 体系结构的另外一个特点就是沙漏形状，g l o b u s 体系结构的沙漏形状 如图3 2 所示。沙漏思想内在的含义就是因为各部分协议的数量是不同的，对于 其最核心的部分，要能够实现上层各种协议向核心协议的映射，同时实现核心协 议向下层其他各种协议的映射。核心协议在所有支持网格计算的地点都应该得到 支持，因此他的数量不应该太多，这样核心协议就形成了协议层次结构中的一个 瓶颈。在g i o b u s 五层体系结构中，资源层和连接层共同组成核心部分。 图3 2g l o b u s 体系结构的沙漏形状 沙漏思想可以和微内核的操作系统进行类比，即操作系统只实现一些关键的 第1 1 负 冒圈圈 t 目科学技术人学坝i 学位论文 第三币g l o b u s 项日j 实验珠的搭缱 基本功能，而把大量与特定设备有关和与应用有关的部分交给其他部分来完成。 一个小的核心既有利于移植，又比较容易实现和得到支持。资源是多种多样的， 应用需求更是复杂多变，因此定义好这样一个核心部分颇为关键。 3 3g l o b u st o o l k i t 软件 g l o b u st o o l k i t 软件是g l o b u s 项目最重要的研究成果，目f i i 的g i o b u st o o l k i t 软件可以认为是计算网格技术的典型代表和事实上的规范。为了有效地支持网格 计算系统，g l o b u st o o l k i t 软件针对g l o b u s 项目中提出的各种协议，提供了一系 列的服务，a p i 、s d k 和使用例子。g l o b u st o o l k i t3 2 软件提供的服务【1 1 1 如表 3 1 所示： 表3 - 1g o b u st o o l k i t 软件提供的服务 服务名称服务的英文名称服务的描述 安全管理g s i ( g r i ds e c u r i t yi n f r a s t r u c t u r e )认证和相关安全服务