基于分组认证和协作的网格计算安全体系.docx

基于分组认证和协作的网格计算安全体系.docx

《基于分组认证和协作的网格计算安全体系.docx》由会员分享，可在线阅读，更多相关《基于分组认证和协作的网格计算安全体系.docx（7页珍藏版）》请在冰豆网上搜索。

基于分组认证和协作的网格计算安全体系

基于分组认证和协作的网格计算安全体系

严建伟,梁　力,刘　勇

（西安交通大学电子与信息工程学院,陕西西安710049

摘　要:

介绍了目前主要几种网格计算体系结构的安全框架,Gl

上,根据目前国内所开展的研究现状,,

系,并详细介绍了系统结构图和协作机制。

关键词:

认证;协作;网格计算;安全

中图法分类号:

TP393108　　　:

A100123695（20050820105203

UsingGroupAuthenticationand

CollaborationofGridComputing

YANJian2wei,LIANGLi,LIUYong

（SchoolofElectronic&InformationEngineering,Xi’anJiaotongUniversity,Xi’anShanxi710049,China

Abstract:

Introducessomeprototypesofcomputationalgridsecurity.Accordingtothedomesticresearchactuality,thispaperproposesanewgridsecuritymodelwithgroupauthenticationandcollaboration.Thismodelextendsthecurrentgridsecuritymodel.Thepaperalsodiscussesthesecurityframeworkandcollaborationmechanismindetail.

Keywords:

Authentication;Collaboration;GridComputing;Security

1　引言

　　网格计算是针对当今一些科学难题于20世纪90年代初提出的新概念,是伴随着互联网技术而迅速发展起来的、专门针对复杂科学计算的新型计算模式。

这种计算模式是利用互联网把分散在不同地理位置的电脑组织成一个虚拟的超级计算机,其中每一台参与计算的计算机就是一个节点,而整个计算是由成千上万个节点组成的一张网格。

这样组织起来的虚拟的超级计算机有两个优势:

①数据处理能力超强;②能充分利用网上的闲置处理能力。

实现了计算资源、存储资源、数据资源、信息资源、知识资源、专家资源的全面共享。

惠普、BAE、IBM、Oracle、SUN、微软等公司纷纷开展这些研究,如美国军方的全球信息网格（GIG,IBM的“网格计算创新计划”,SUN的网格引擎软件,欧洲数据网格（DataGrid和欧洲空间网格（SpaceGrid等;我国目前也积极投入到网格研究中,相关的“863”网格研究项目正在开展中,很多企业都已经把网格作为未来几年内的主攻方向,如海尔、TCL、联想曙光等。

网格计算涉及到很多方面的问题,如资源管理、调度、分布式系统等。

与网络安全一样,网格安全问题也是网格计算的一个核心问题。

网格安全解决方案要充分利用现有的网络安全技术并对其进行扩充、融合。

计算网格具有节点数量巨大,资源规模动态可变、异构、可扩展,网络延迟不确定,粗粒度并行等特点,因此与传统的网络安全相比,计算网格安全所涉及的范围更广,解决方案也更加复杂。

2　网格计算中涉及的主要安全问题及安全技术

211　网格计算中面临的主要安全问题

在网格体系结构中,具有代表性的网格原型系统有Glo2bus,Legion,Nimrod/G,UNICORE等,其中Globus是当前最有影响的一个网格系统。

Globus面向计算网格,具有分层的体系结构,其技术核心是GMT,为其提供了较完善的核心服务。

本文主要的研究工作是在Globus基础上展开的。

网格计算的环境和问题比通常的网络安全更复杂,此外,由于网格计算具有强大的计算能力和服务能力,如果被不法分子利用进行非法活动,其后果将不堪设想。

因此,网格计算的安全问题迫在眉睫。

网格安全是网格计算能够正确提供服务的关键,网格安全面临的挑战主要集中在以下几个方面:

（1环境的挑战。

由于网格资源的异构性、动态性、复杂性以及分布性等,决定了网格安全必须能够提供给这些资源安全保证,必须有效地管理这些资源。

同时,在执行一项任务过程中,还可能会需要动态地请求和释放资源,网格安全必须提供动态资源的安全保证。

（2认证的挑战。

它包括用户身份验证问题和资源的认证问题,不同资源的认证方式可能不同,必须有完善的机制来检查用户及其是否具有使用相应资源的权限。

同时,用户数量的增多、变化快给认证带来了难度。

（3数据传输问题。

它涉及到通信加密和数据完整性。

关键信息采用加密通信,一般使用SSLProtocol,也有采用IP2Sec和扩展DNSSEC[2]。

212　网格计算中的几种安全技术

（1认证。

关键是证书,网格计算环境中每个服务和用户・501・

第8期严建伟等:

基于分组认证和协作的网格计算安全体系　　　

收稿日期:

2004207218;修返日期:

2004210223

都需要通过证书来证明。

GSI中的证书包含以下几个方面的信息:

主体名称、主体公钥、认证中心签名和认证中心标志等,其中证书采用X.509的证书格式。

（2身份鉴别包括相互鉴别。

认证前,双方必须相信认证中心。

认证过程如下:

双方建立连接后,用户A发送证书,用户B检验证书的合法性,然后发送一个随机消息给A,A用私钥加密后发送给B,B采用A证书中的公钥解密后,如果与原始信息相同,则B就信任A,建立安全连接通道。

（3私钥保护。

通常GSI要求Globus的私钥保存在本地,为了防止本地其他用户盗用该私钥,必须采用一个口令来加密,用户在使用证书前必须解密。

同时,GSI还可以外部介质来加密。

（4单点登录

多,因此就需要多次输入密码,

计算中,对标准的,

资源。

、。

（5通信安全。

通信加密采用公钥和对称加密技术结合的加密技术,同时也注意到信息的完整性。

目前,虚拟专用网（VPN能够实现认证、完整性、机密性和访问控制,但是不能动态地扩展到新的资源,也不允许控制共享资源。

SecureShell是一个广泛私用的注册协议,配置简单,提供了远程登录和文件传输能力,但是需要SSH用户去管理他们自己的交叉点的认证,阻碍了在扩展环境中的运用。

这就需要其他的一些解决方案。

3　现有网格计算安全体系结构模型分析

目前,在Globus结构框架基础上,主要有以下几种体系结构,这几种体系结构分别有着不同的安全结构和特点。

311　Globus提供的安全策略GSI

Globus项目通过GSI来提供网格计算中的认证安全和通信安全。

GSI是Globus安全基础构件包,位于网格的服务层上,主要集中在网络的传输层和应用层,支持用户代理、资源代理、认证机构和协议的实现。

GSI建立了包括多个不同组织的安全系统,不采用集中管理的安全策略;使用公钥加密、X.509认证以及安全传输层（SSL协议并以GSSAPI作为安全编程接口,实现双重认证和用户的单一登录;提供了用户和用户代理之间的安全,Globus主体与本地资源主体之间的映射,资源代理与资源分配安全和进程与用户代理之间的安全鉴别身份转移等。

相对于GT（GloubsToolkit2.0,建立在GT3.0基础上的GSI有以下几个较大的变化:

（1实现语言上由C转向了Java,加强了与WebService的结合;

（2协议方面,提供了WebService的安全协议和标准,协议包含了XMLSchema2based,WebServicesSecureConversation,XML2Encryption和XML2Signature等,此外也对HTTP协议进行了扩展,使得能够在SSL上使用GSI;

（3在证书上,GT3.0的GSI库支持的代理证书按GGF讨论的格式,但同时还兼容GT2.0的代理证书。

总的来说,GSI是解决网格安全的一个较好的方案,运用得也较广泛,是目前研究的基础。

312　Akenti安全框架

Akenti是美国能源部、科学部等组织,由WilliamJohnston等研究提出的关于分布式安全的系统,是基于证书认证的系统,便于控制和访问分布式资源。

Akenti是能够在高度分布式可以扮演决策中的本地控制器,、授权等策略,1可以明确区分授权,

;,证书中包含用户、、用户属性授权、委托授权等信息。

与PERMIS一样,发布给用户的属性证书持有用户的权限。

目前,Akenti已经有了一些模型,也可以扩展到UNIX平台下的ApacheWeb服务中去;但也存在一些问题,它对分布式的资源证书要求很高,如果网络上资源证书主机不可到达或者受到攻击（集中放置的话,也容易受到攻击的话,系统则无法使用,同时如果撤回的证书没有从CA目录服务中移除,则Akenti会认为继续有效,这就带来了安全隐患。

313　CAS体系框架

在Globus关于安全网格的研究中,美国加州大学L.Pearl2man等人发现在资源数目与用户数目增大时,授权认证的管理会出现困难,这就需要一种可升级扩展（Scalability的资源管理策略和可适应资源内部的动态变化,他们提出了CAS（Com2munityAuthorizationServer模型来管理用户与资源之间的信任证书,如图2所示。

CAS针对团体用户如何使用资源,在团体/团体用户与资源之间加了一层接口,资源提供者将资源使用权限粗粒度地提供给CAS,CAS再将资源权限细粒度地提供给内部的用户。

其安全体系结构也比较简单,就是在用户和资源之间增加了一层CASServer。

CAS还提供给用户及其资源提供者集合级别的整体策略（Collective2LevelPolicy。

它的优点在于具有很高的可扩展性,很好地适应了用户规模大、资源动态变化的情况,一致性好。

但是其缺点是没有考虑到用户的移动性,以及由于过分依赖CAS服务器而使得可靠性不高,如果CAS失效,将使整个系统瘫痪。

目前,CAS已经被集成到GloubsToolkit软件包中

。

314　Symphony（交响乐体系框架

在GSI基础上,VirginiaTech的ShahA和KafuraD提出了一种基于Java的网格安全框架,解决了网格中多个用户协同工作的问题。

JamesMadison大学计算机系提出了一种可以在计算网格中各种实现同步协同工作的安全框架,这种安全框架避免了资源管理者对用户权限的重复检测。

每个组都有一个代理证书支持组之间的协作,可以联合用户之间的证书,并且支持多重信任,支持短期的临时用户[3]。

同时,通过代理证书

来验证,通过属性证书转换精细粒度的权利使得用户能够进行协作。

其缺点是该模型需要进一步的精细化,并希望能够整合现有安全模型,尚不能够支持附加的网格中间件,需要调整现有的GUI并将它转换为三层结构。

4　分组认证和协作的安全框架模型

综上分析,可以发现目前的安全框架大致可以分为集中管理与分布协作两种模式。

集中管理模式如CAS和Akenti可靠性低,如果CAS服务器或者证书仓库发生故障会使得系统处于瘫痪状态;Symphony模式只是提出了协同工作方式,但是仍然依赖现有的安全框架组特性。

411　安全框架

,各个地方都有网格计算节点,、东南大学、西安交大、华中科技大学等都建设有计算节点,因此地域上的广泛分布对系统分布式要求很高,用户之间的互相协作要求也比较高,同时也提高了对资源的分组管理的要求,资源的异构性增加。

在上述分析的安全结构优缺点基础上,我们提出了改进的网格安全结构模型,该系统模型建立在Globus基础上。

在结构设计上,我们采用如图3所示的结构,该结构增加了组用户的概念,去除了

CAS服务器,但引入了多个组管理员用户来认证和授权用户

。

CA中心给组用户颁发标志证书,对组用户的身份进行标

志,证书中包含其主体名称和公钥等信息。

组用户还有属性证书以及颁发和认证组内成员用户标志证书的权限。

同时,引入了代理证书,代理证书具有委托和实现的功能,其中,组用户代理证书扮演组管理员的角色,包含了组用户的标志证书和属性证书中的相关信息,如所代理的主体名称、代理主体公钥、有效期等。

其他组内用户代理证书将代表组内用户与其进行交互认证,代理证书也是决定其访问资源的控制决策的依据。

412　协作策略

分组认证和协作的安全体系扩展了协作的能力,分析上述一些安全结构,发现有如协作能力不够等缺点。

因此引入组用户（GroupUser概念将用户分组。

在同一个小组内,在组管理员用户的授权下,用户可内部建立直接的通信连接,共享资源等。

协作也有生命期限,在时间戳范围内,协作将有效进行,一旦超出时间戳范围将拒绝协作。

组用户之间也可以协作,首先用户发送请求,协作在组管理员用户代理的认证和授权下进

行;如果该用户有组外协作权限,则向其他组管理员用户发送协作请求,其他组管理员用户接收到请求后,判断权限,同意后签发双方认可的临时代理证书。

协作过程如图4所示

。

CAS安全结构的特,,提出用组用户来代替CAS。

这样,即使某个组用户遭受攻击,系统其他的组用户还可以继续工作,同时也解决了CAS结构中如果CAS服务器不可到达或者被攻击后,整个计算网格就无法正常工作的问题,提高了系统的安全性和可靠性。

在协作性方面,使得用户之间的协作性增强,充分发挥了Symphony模型的协作思想,有效地解决了用户分组的问题。

5　结论

本文在分析了目前网格计算的安全框架优缺点的基础上,根据国内外网格计算的研究特点,从以往安全结构的不足点出发,提出了分组认证和协作的安全框架模型。

下一步的工作是在此研究的基础上,对该模型的资源管理性能方面进行深入分析。

参考文献:

[1]MikeSurridge,ColinUpstill.GridSecurity:

LessonsforPeer2to2Peer

Systems[C].Proceedingsofthe3rdInternationalConferenceonPeer2to2PeerComputing（P2P2003,2003.226.

[2]LeV,GuyennetH.IPSecandDNSSECtoSupportGRIDApplication

Security[C].The2ndIEEE/ACMInternationalSymposiumonClus2terComputingandtheGrid,CCGRID2002,2002.4252426.

[3]LorchM,KafuraD.Symphony:

AJava2basedCompositionandMani2

pulationFrameworkforComputationalGrids[C].The2ndIEEE/ACMInternationalSymposiumonClusterComputingandtheGrid,CCGRID2002,2002.1252132.

[4]GaryBuda,BoozAllen.SecurityStandardsfortheGlobalInformation

Grid[C].MilitaryCommunicationsConference（MILCOM2001;CommunicationsforNetwork2CentricOperations:

Creating

the

InformationForce,IEEE,volume1,2001.6172621.[5]

PearlmanL,WelchV,FosterI,etal.ACommunityAuthorizationServiceforGroupCollaboration[C].Proceedingsofthe3rdInterna2tionalWorkshoponPolicesforDistributedSystemsandNetworks,2002.50259.[6]

AzzedinF,MaheswaranM.TrustintoGridResourceManagementSystems[C].ProceedingsoftheInternationalConferenceonParallelProcessing,2002.47254.

作者简介:

严建伟（19772,男,江苏扬州人,硕士研究生,研究方向为网络安全、网格计算;梁力（19542,女,陕西西安人,副教授,本科,研究方向为网络安全、软件工程等;刘勇（19792,男,山东枣庄人,硕士研究生,研究方向为网格计算、软件测试。