网格安全问题研究

网格安全问题研究王佳月刘仲鹏刘丽娟[内容摘要]网格技术是一门新兴的，是internet发展的必定结果。网格的安全问题由于关系到网格技术能否在企业和商业领域得到广泛的应用，所以显得尤为主要。通过对网格安全的特殊性和网格安全所面临的问题进行分析，具体叙述了网格安全的需求，当下网格安全的几种技术和解决方案。[本文关键词语]网格网格安全安全技术globus一、引言网格(grid)技术是近年来国际上信息技术领域的热门研究课题，是以互联网为基础的一门新兴技术。网格是高性能计算机、数据源、因特网三种技术的有机组合和发展，它把分布在各地的计算机连接起来，使用户共享网上资源，感觉好像个人使用一台超等计算机一样。从数量上说，网格的带宽更高层次，计算速度和数据处理速度更快，构造体系比现有的网络更能有效地利用信息资源。简而言之，网格是一种信息社会的网络基础设备，它将实现互联网上所有资源包含计算资源、存储资源、通信资源、软件资源、信息资源、知识资源等在内的互联互通。网格技术的最大优点之一是有利于实现地理上广泛分布的各种计算资源和数据资源的分享，但这些分享必需建立在安全访问的基础上。由于网格技术的大规模、高速、分布、异构、动态、可扩展等特性，使得安全问题成为网格技术得到普遍使用的一大阻碍，而且随着网格逐步从实验和科研阶段进入商业领域，解决网格环境中的安全问题已经成为燃眉之急。二、网格安全的特殊性internet的安全保障重要提供两方面的安全效劳:(1)访问控制效劳，用来保卫各种资源不被非受权使用;(2)通信安全效劳，用来提供认证，数据保密与完好性，以及通信端的不可否认性效劳。但这两个安全效劳不能完全解决网格系统的安全问题。网格系统必需具有抗拒各种非法攻击和入侵的能力，确保系统的正常高效运行和保证系统中的各个信息的安全。因而，网格系统的安全问题的覆盖面更广，解决方案也愈加复杂。一个网格系统的网格安全体系在考虑internet安全问题之外，还必需考虑网格计算环境的如下特征:(1)网格计算环境中的用户数量很大，且是动态可变的;(2)网格计算环境中的资源数量很大，且是动态可变的;(3)网格计算环境中的计算经过可在其履行经过中动态恳求，启动进程和申请、释放资源;(4)一个计算经过可由多个进程构成，进程间存在不同的通信机制，底层的通信连接在程序的履行经过中可动态地开创建立并履行;(5)资源可支持不同的认证和受权机制;(6)用户在不同的资源上可有不同的标识;(7)资源和用户属于多个组织。恰是由于网格计算环境的特殊性，因而在设计网格安全机制时十分要考虑计算环境的动态主体特性，并要保证网格计算环境中不同主体之间的互相鉴别和各主体间通信的保密性和完好性。三、网格环境中面临的安全问题网格环境中所面临的安全性问题能够大致分为3类:现有技术和安全协议的集成及扩展；不同主机环境之间协同工作的能力;互相影响的主机环境之间的信任关系。1.现有技术的集成及新技术的发展不管是出于技术原因还是其他原因，期望某一种安全技术来解决所有网格计算的安全问题是不现实的。现有的安全架构不可能在一夜之间被取代。例如:网格环境中的每一个域可能有一个或多个用来存放用户账户的存放器(如:ldap目录)，这些存放器是不可能与其它组织或域分享的。同样，现有环境中被以为安全可靠的认证机制也会继续使用。因而，这些倾向于使用单一形式或机制的技术不大可能轻易被取代。为了获得成功，网格安全体系构造需要过度到对现有安全体系构造和跨平台、跨主机形式的集成。这意味着该体系构造可由现有的安全机制来实现，同时，要有可扩展性和可集成性。2.协同工作的能力穿越多个域和主机环境的效劳需要能够相互影响，协同工作。协同工作能力重要表如今下面几个层面：(1)协议层:即消息传输经过中需要保证消息的完好性和保密性并对消息进行数字签名，这就需要安全的域间交换信息的机制，比方附加了ws-security规范的soap/http。(2)策略层:为了进行安全的会话，参与协同工作的每一方必需能够具体说明它要求的任何策略比方隐私权策略,要求使用特定的加密算法(如tripledes)等，同时这些策略也能容易地被其他方所理解。这样，各方能力尝试建立安全的通信信道和有关相互认证、信任关系的安全语义。(3)身份鉴定层:在进行交互的经过中需要有在不同域间互相鉴别用户身份的机制。由于网格环境中交互的动态性，一种确定的身份不能被预先定义成跨越多个域。为了在安全环境中成功实现跨越多个域，必需要实现身份和信任的映射，这能够通过建立相应的身份代理效劳来完成。3.信任关系的建立网格效劳需要跨越多个安全域，这些域中的信任关系在点对点的跨越中起侧重要的作用。每一种效劳要将它的访问要求论述清楚，这样，需要访问这些效劳的实体就能够安全地访问。端点间的信任关系应该用策略来清楚地描绘叙述。信任的建立经过对每个会话来说或许是一次性的活动，也有可能对于每一次恳求都要动态地进行评估。由于网格的动态特性，有些情况下不可能在应用程序履行前预先在这些域中建立信任关系。总之，网格环境中的信任关系非常复杂，它需要支持动态的、用户控制的配置和霎时效劳的管理。霎时效劳是用户为了履行特定恳求任务而生成的，这些任务以至包含用户代码的履行。这3方面的安全性问题间的依靠关系如此图1所示，每一个问题的解决通常依靠于另一问题的解决，比方不同虚拟组织间为了获得互相协作的联合信任就依靠于定义在虚拟组织内部的信任模型及效劳集成标准。而定义一个信任模型又是互相协作的基础但同时又独立于协作的特性，同样，效劳集成及扩展标准暗含了信任关系标准也和协作操作有关。四、安全需求网格系统及其应用可能需要任何或全部的标准安全功能，包含鉴别、访问控制、完好性、保密性和不可抵赖性。这里重要阐述鉴别和访问控制问题，十分地我们希望解决:提供鉴别解决方案，允许用户完成计算的进程和这些进程所使用的资源相互互相验证;在任何时候都尽可能地不改变访问控制机制。鉴别是安全策略的基础，使得各个部分安全策略被集成为一个全局框架构造。要开发一个知足这些要求的安全体系构造，需要知足下面限制条件：单一密钥，网格计算环境需要一种机制对密钥进行统一管理，以实现不同域之间的有效访问控制。信誉数据的保卫，诸多用户的私钥、口令等要确保万无一失。与当地安全机制的互操作，不必改变每个当地资源的安全策略，就可借助跨域的安全效劳器方便地访问各地资源。可输出性，要求在不同国家的试验床上代码是可提供、可履行，也就是安全策略不该直接或间接要求太多的加密。证书构造的一致性，为了不同域、不同类型用户之间的认证，统一规范的格式是必需的。支持动态群组通信，网格计算中，时常会有临时的组队需求，当前的安全机制〔即便是gss-api〕不具备这样的特点。支持多种实现技术，安全策略应该不局限于特定的实现技术，应该对包含公钥、机密钥等多种安全技术有包涵性。五、网格安全技术当前，网格安全技术重要有：密码技术，安全传输技术，安全认证技术，访问控制技术和webserver安全技术。密码技术是以保卫信息传递的机密性、获得对所发出或接收信息在事后的不可抵赖，以及保障数据的完好性为目的。根据加密密钥类型的不同将密码技术分为两类：对称加密系统和非对称加密系统。安全传输技术重要有ssl／ssh，ipsec／ipv6，s／mime，这些技术保证了数据安全有效的传输。安全认证技术重要包含pki和kerberos，其中pki〔publickeyinfracture〕技术是当前应用最广泛的网格安全技术，即公开密匙基础设备。它是用一个公钥〔publickey〕概念和技术来施行和提供安全效劳的具有普适性的安全基础设备。而在pki系统中，ca〔certificateauthority〕是一个域中的认证中心，是一个可信任的第三方机构。用户之间的通信和验证都依靠ca所颁发的证书。访问控制技术重要有自立型访问控制〔discretionaryaccesscontrol，dac〕，强迫型访问控制〔mandatoryaccesscontrol，mac〕，基于角色的访问控制〔role-basedaccesscontrol，rbac〕，防火墙等。webservice安全技术中，webservice由wsdl〔webservicedescriptionlanguage〕进行描绘叙述，处理由xml编码的soap信息。ws-security为webservices提供全面保证。六、网格安全的一种详细解决方案globus是当前国际上最具影响的网格计算项目之一，它是由多个机构联合开发的项目，力图在科学计算领域和商业领域对各种应用进行广泛的、基础性的网格环境支持，实现更方便的信息分享和互操作。gsi〔gridsecurityinfrastructure，网格安全基础设备〕是globus的安全基础构件包，也是保证网格计算安全性的核心。gsi支持用户代理、资源代理、认证机构和协议的实现。gsi的重要目的是要为多个网格系统和应用程序提供单点登录，提供能够在多个组织之间使用而不要求集中管理受权的安全技术，以及在同一网格中的多个不同元素之间提供安全的通信机制。为了对协议和机制进行隔离(如此图2)，gsi采取gss—api〔genericsecurityserviceapplicationprogramminginterface〕作为其安全编程接口。gss—api定义提供了通用的安全效劳，支持各种安全机制和技术，还支持应用程序在源码级的可移植性，gss—api重要面向主体之间的安全鉴别和安全通信操作，它提供的功能包含:获得证书、履行安全鉴别、签署消息和加密消息等。gss—api在安全传输和安全机制上是独立的，这具体表现出在两个方面:〔1)传输独立性。gss不依靠于特定的通信方法或通信库，而且某个gss调用会产生一系列的标记并进行通信，当前可支持tcp、udp等通信协议。〔2)机制独立性。gss不依靠于特定的安全算法，如kerberos、des、rsa公钥密码。它是根据安全操作经过定义相应的函数，每个操作可通过不同的安全机制来实现。gss—api符合简单公钥机制spkm(simplepublickeymechanism〕。而spkm的密钥管理与x.509兼容。gss—api支持在安全上下文建立经过中的安全受权数据通信，当然，它也支持其他的安全机制。为了保证对通信内容的保密性和高效性，可对通信内容进行加密，提供某种水平的效劳并保证质量。globus项目的gsi是解决网格计算中安全问题的一个集成方案，已经成功应用于一个连接4个国家近20家机构的实验网。gsi的特点在于在保证网格计算安全性的同时，尽量方便用户和各种效劳的交互。gsi还充足利用了现有的网络安全技术并对其中某些部分进行了扩大，使得gsi在网格计算环境下拥有一个一致的安全性界面，极大地方便了网格应用的开发和使用。七、结束语在网格环境中，安全问题比一般意义上的网络安全问题的覆盖面更广，解决方案也愈加复杂，只要在理论中探索出切实、可靠的安全策略，能力真正使网格这一新兴技术焕发蓬勃的生命力。以下为参考文献:[1]fosteri,kesselmanc.thegrid:blueprintforanewcomputinginfrastructure[m].morgankaufmannpublishers,inc.,sanfrancisco,california,1999:205-236[2]fosteri,kesselmanc,tueckes.theanatomyofthegrid:enablingscalablevirtualorgnization[j].internationaljournalofsupercom-puterapplications,2001,15(6):200-222[3]pearlmanl,welchv,