基于分组认证和协作的网格计算安全体系文档格式.docx

1、Y AN J ian 2wei, L I A NG L i, L I U Yong（School of Electronic &Infor m ation Engineering, X i an J iaotong U niversity, X i an Shanxi 710049, China Abstract:I ntr oduces s o me p r ot otypes of computati onal grid security . According t o the domestic research actuality, this paper p r oposes a new

2、 grid security model with gr oup authenticati on and collaborati on . This model extends the current grid security model . The paper als o discusses the security fra me work and collaborati on mechanis m in detail .Key words:Authenticati on; Collaborati on; Grid Computing; Security1 引言 网格计算是针对当今一些科学

3、难题于 20世纪 90年代初 提出的新概念 , 是伴随着互联网技术而迅速发展起来的 、 专门 针对复杂科学计算的新型计算模式 。这种计算模式是利用互 联网把分散在不同地理位置的电脑组织成一个虚拟的超级计 算机 , 其中每一台参与计算的计算机就是一个节点 , 而整个计 算是由成千上万个节点组成的一张网格 。这样组织起来的虚 拟的超级计算机有两个优势 : 数据处理能力超强 ; 能充分 利用网上的闲置处理能力 。实现了计算资源 、 存储资源 、 数据 资源 、 信息资源 、 知识资源 、 专家资源的全面共享 。 惠普 、 BAE 、 I B M 、 O racle 、 S UN 、 微软等公司纷纷开

4、展这些研究 , 如美国军方 的全球信息网格 （GI G , I B M 的“ 网格计算创新计划 ” , S UN 的 网格引擎软件 , 欧洲数据网格 （Data Grid 和欧洲空间网格 （Space Grid 等 ; 我国目前也积极投入到网格研究中 , 相关的 “ 863” 网格研究项目正在开展中 , 很多企业都已经把网格作为 未来几年内的主攻方向 , 如海尔 、 T CL 、 联想曙光等 。网格计算涉及到很多方面的问题 , 如资源管理 、 调度 、 分布 式系统等 。 与网络安全一样 , 网格安全问题也是网格计算的一 个核心问题 。 网格安全解决方案要充分利用现有的网络安全 技术并对其进行

5、扩充 、 融合 。 计算网格具有节点数量巨大 , 资 源规模动态可变 、 异构 、 可扩展 , 网络延迟不确定 , 粗粒度并行 等特点 , 因此与传统的网络安全相比 , 计算网格安全所涉及的 范围更广 , 解决方案也更加复杂 。 2 网格计算中涉及的主要安全问题及安全技术211 网格计算中面临的主要安全问题在网格体系结构中 , 具有代表性的网格原型系统有 Gl o 2 bus, Legi on, N i m r od /G,UN I CORE 等 , 其中 Gl obus 是当前最有影 响的一个网格系统 。 Gl obus 面向计算网格 , 具有分层的体系结 构 , 其技术核心是 G M T,

6、 为其提供了较完善的核心服务 。本文 主要的研究工作是在 Gl obus 基础上展开的 。网格计算的环境和问题比通常的网络安全更复杂 , 此外 , 由于网格计算具有强大的计算能力和服务能力 , 如果被不法分 子利用进行非法活动 , 其后果将不堪设想 。因此 , 网格计算的 安全问题迫在眉睫 。 网格安全是网格计算能够正确提供服务 的关键 , 网格安全面临的挑战主要集中在以下几个方面 :（1 环境的挑战 。由于网格资源的异构性 、 动态性 、 复杂 性以及分布性等 , 决定了网格安全必须能够提供给这些资源安 全保证 , 必须有效地管理这些资源 。 同时 , 在执行一项任务过 程中 , 还可能会需

7、要动态地请求和释放资源 , 网格安全必须提 供动态资源的安全保证 。（2 认证的挑战 。它包括用户身份验证问题和资源的认 证问题 , 不同资源的认证方式可能不同 , 必须有完善的机制来 检查用户及其是否具有使用相应资源的权限 。 同时 , 用户数量 的增多 、 变化快给认证带来了难度 。（3 数据传输问题 。它涉及到通信加密和数据完整性 。 关键信息采用加密通信 , 一般使用 SS L Pr ot ocol, 也有采用 I P 2 Sec 和扩展 DNSSEC 2。212 网格计算中的几种安全技术（1 认证 。 关键是证书 , 网格计算环境中每个服务和用户 5 0 1第 8期 严建伟等 :基于

8、分组认证和协作的网格计算安全体系 收稿日期 :2004207218; 修返日期 :2004210223都需要通过证书来证明 。 GSI 中的证书包含以下几个方面的 信息 :主体名称 、 主体公钥 、 认证中心签名和认证中心标志等 , 其中证书采用 X . 509的证书格式 。（2 身份鉴别包括相互鉴别 。 认证前 , 双方必须相信认证 中心 。 认证过程如下 :双方建立连接后 , 用户 A 发送证书 , 用 户 B 检验证书的合法性 , 然后发送一个随机消息给 A, A 用私 钥加密后发送给 B, B 采用 A 证书中的公钥解密后 , 如果与原 始信息相同 , 则 B 就信任 A, 建立安全连

9、接通道 。（3 私钥保护 。 通常 GSI 要求 Gl obus 的私钥保存在本地 , 为了防止本地其他用户盗用该私钥 , 必须采用一个口令来加 密 , 用户在使用证书前必须解密 。 同时 , GSI 还可以外部介质 来加密 。（4 单点登录多 , 因此就需要多次输入密码 ,计算中 , 对标准的 ,资源 。 、 。（5 通信安全 。通信加密采用公钥和对称加密技术结合 的加密技术 , 同时也注意到信息的完整性 。目前 , 虚拟专用网 （VP N 能够实现认证 、 完整性 、 机密性和 访问控制 , 但是不能动态地扩展到新的资源 , 也不允许控制共 享资源 。 Secure Shell 是一个广泛

10、私用的注册协议 , 配置简单 , 提供了远程登录和文件传输能力 , 但是需要 SSH 用户去管理 他们自己的交叉点的认证 , 阻碍了在扩展环境中的运用 。 这就 需要其他的一些解决方案 。3 现有网格计算安全体系结构模型分析目前 , 在 Gl obus 结构框架基础上 , 主要有以下几种体系结 构 , 这几种体系结构分别有着不同的安全结构和特点 。311 Gl obus 提供的安全策略 GSIGl obus 项目通过 GSI 来提供网格计算中的认证安全和通 信安全 。 GSI 是 Gl obus 安全基础构件包 , 位于网格的服务层 上 , 主要集中在网络的传输层和应用层 , 支持用户代理 、

11、 资源代 理 、 认证机构和协议的实现 。 GSI 建立了包括多个不同组织的 安全系统 , 不采用集中管理的安全策略 ; 使用公钥加密 、 X . 509认证以及安全传输层 （SS L 协议并以 GSS AP I 作为安全编程 接口 , 实现双重认证和用户的单一登录 ; 提供了用户和用户代 理之间的安全 , Gl obus 主体与本地资源主体之间的映射 , 资源 代理与资源分配安全和进程与用户代理之间的安全鉴别身份 转移等 。相对于 GT （Gl oubs T oolkit 2. 0, 建立在 GT 3. 0基础上的 GSI 有以下几个较大的变化 :（1 实现语言上由 C 转向了 Java,

12、加强了与 W eb Service 的 结合 ;（2 协议方面 , 提供了 W eb Service 的安全协议和标准 , 协 议包含了 X ML Sche ma 2based,W eb Services Secure Conversati on, X ML 2Encryp ti on 和 X ML 2Signature 等 , 此外也对 HTTP 协议进行 了扩展 , 使得能够在 SS L 上使用 GSI ;（3 在证书上 , GT 3. 0的 GSI 库支持的代理证书按 GGF 讨论的格式 , 但同时还兼容 GT 2. 0的代理证书 。总的来说 , GSI 是解决网格安全的一个较好的方案

13、, 运用 得也较广泛 , 是目前研究的基础 。312 Ake n ti 安全框架Akenti 是美国能源部 、 科学部等组织 , 由 W illia m Johnst on 等研究提出的关于分布式安全的系统 , 是基于证书认证的系 统 , 便于控制和访问分布式资源 。 Akenti 是能够在高度分布式 可以扮演决策中的本 地控制器 , 、 授权等策略 , 1可以明确区分授权 ,; , 证书中包含用户 、 、 用户属性授权 、 委托授权等信息 。 与 PER M I S 一样 , 发布给用户的属性证书持有用户的权限 。目 前 , Akenti 已经有了一些模型 , 也可以扩展到 UN I X 平

14、台下的 Apache W eb 服务中去 ; 但也存在一些问题 , 它对分布式的资源 证书要求很高 , 如果网络上资源证书主机不可到达或者受到攻 击 （集中放置的话 , 也容易受到攻击 的话 , 系统则无法使用 , 同时如果撤回的证书没有从 CA 目录服务中移除 , 则 Akenti 会 认为继续有效 , 这就带来了安全隐患 。313 CAS 体系框架在 Gl obus 关于安全网格的研究中 , 美国加州大学 L. Pearl 2 man 等人发现在资源数目与用户数目增大时 , 授权认证的管理 会出现困难 , 这就需要一种可升级扩展 （Scalability 的资源管 理策略和可适应资源内部的

15、动态变化 , 他们提出了 CAS （Com 2 munity Authorizati on Server 模型来管理用户与资源之间的信任 证书 , 如图 2所示 。 C AS 针对团体用户如何使用资源 , 在团体 /团体用户与资源之间加了一层接口 , 资源提供者将资源使用权 限粗粒度地提供给 CAS, CAS 再将资源权限细粒度地提供给内 部的用户 。 其安全体系结构也比较简单 , 就是在用户和资源之 间增加了一层 C AS Server 。 CAS 还提供给用户及其资源提供 者集合级别的整体策略 （Collective 2Level Policy 。它的优点在 于具有很高的可扩展性 , 很好

16、地适应了用户规模大 、 资源动态 变化的情况 , 一致性好 。 但是其缺点是没有考虑到用户的移动 性 , 以及由于过分依赖 CAS 服务器而使得可靠性不高 , 如果 C AS 失效 , 将 使 整 个 系 统 瘫 痪 。目 前 , CAS 已 经 被 集 成 到 Gl oubs Toolkit 软件包中 。314 Sy mphony （交响乐 体系框架在 GSI 基础上 , V irginiaTech 的 Shah A 和 Kafura D 提出了 一种基于 Java 的网格安全框架 , 解决了网格中多个用户协同 工作的问题 。 Ja mesM adis on 大学计算机系提出了一种可以在 计

17、算网格中各种实现同步协同工作的安全框架 , 这种安全框架 避免了资源管理者对用户权限的重复检测 。每个组都有一个 代理证书支持组之间的协作 , 可以联合用户之间的证书 , 并且 支持多重信任 , 支持短期的临时用户 3。同时 , 通过代理证书来验证 , 通过属性证书转换精细粒度的权利使得用户能够进行 协作 。 其缺点是该模型需要进一步的精细化 , 并希望能够整合 现有安全模型 , 尚不能够支持附加的网格中间件 , 需要调整现 有的 G U I 并将它转换为三层结构 。4 分组认证和协作的安全框架模型综上分析 , 可以发现目前的安全框架大致可以分为集中管 理与分布协作两种模式 。 集中管理模式如

18、 CAS 和 Akenti 可靠 性低 , 如果 CAS 服务器或者证书仓库发生故障会使得系统处 于瘫痪状态 ; Sy mphony 模式只是提出了协同工作方式 , 但是仍 然依赖现有的安全框架 组特性 。411 安全框架, , 各个地方 都有网格计算节点 , 、 东南大学 、 西安交大 、 华中科 技大学等都建设有计算节点 , 因此地域上的广泛分布对系统分 布式要求很高 , 用户之间的互相协作要求也比较高 , 同时也提 高了对资源的分组管理的要求 , 资源的异构性增加 。 在上述分 析的安全结构优缺点基础上 , 我们提出了改进的网格安全结构 模型 , 该系统模型建立在 Gl obus 基础上

19、 。 在结构设计上 , 我们 采用如图 3所示的结构 , 该结构增加了组用户的概念 , 去除了CAS 服务器 , 但引入了多个组管理员用户来认证和授权用户CA 中心给组用户颁发标志证书 , 对组用户的身份进行标志 , 证书中包含其主体名称和公钥等信息 。 组用户还有属性证 书以及颁发和认证组内成员用户标志证书的权限 。 同时 , 引入 了代理证书 , 代理证书具有委托和实现的功能 , 其中 , 组用户代 理证书扮演组管理员的角色 , 包含了组用户的标志证书和属性 证书中的相关信息 , 如所代理的主体名称 、 代理主体公钥 、 有效 期等 。 其他组内用户代理证书将代表组内用户与其进行交互 认证

20、 , 代理证书也是决定其访问资源的控制决策的依据 。412 协作策略分组认证和协作的安全体系扩展了协作的能力 , 分析上述 一些安全结构 , 发现有如协作能力不够等缺点 。 因此引入组用 户 （Gr oup U ser 概念将用户分组 。 在同一个小组内 , 在组管理 员用户的授权下 , 用户可内部建立直接的通信连接 , 共享资源 等 。 协作也有生命期限 , 在时间戳范围内 , 协作将有效进行 , 一 旦超出时间戳范围将拒绝协作 。 组用户之间也可以协作 , 首先 用户发送请求 , 协作在组管理员用户代理的认证和授权下进行 ; 如果该用户有组外协作权限 , 则向其他组管理员用户发送 协作请求

21、 , 其他组管理员用户接收到请求后 , 判断权限 , 同意后 签发双方认可的临时代理证书 。 协作过程如图 4所示C AS 安全结构的特 , , 提出用组用户来代替 C AS 。 这样 , 即使某个组用户遭受攻击 , 系统其他的 组用户还可以继续工作 , 同时也解决了 C AS 结构中如果 C AS 服务器不可到达或者被攻击后 , 整个计算网格就无法正常工作 的问题 , 提高了系统的安全性和可靠性 。在协作性方面 , 使得 用户之间的协作性增强 , 充分发挥了 Sy mphony 模型的协作思 想 , 有效地解决了用户分组的问题 。5 结论本文在分析了目前网格计算的安全框架优缺点的基础上 ,

22、根据国内外网格计算的研究特点 , 从以往安全结构的不足点出 发 , 提出了分组认证和协作的安全框架模型 。 下一步的工作是 在此研究的基础上 , 对该模型的资源管理性能方面进行深入分 析 。 参考文献 :1M ike Surridge, Colin Up still . Grid Security:Less ons for Peer 2t o 2PeerSyste m sC .Pr oceedings of the 3rd I nternati onal Conference on Peer 2t o 2Peer Computing （P2P 2003 , 2003. 226.2Le V, G

23、uyennet H. I PSec and DNSSEC t o Support GR I D App licati onSecurityC .The 2nd I EEE /ACM I nternati onal Sy mposium on Clus 2ter Computing and the Grid, CCGR I D 2002, 2002. 4252426.3Lorch M , Kafura D. Sy mphony:A Java 2based Compositi on and Mani 2pulati on Frame work f or Computati onal Grids C

24、 .The 2nd I EEE /AC M I nternati onal Sy mposium on Cluster Computing and the Grid, CCGR I D 2002, 2002. 1252132.4Gary Buda, Booz A llen . Security Standards for the Gl obal I nf or mati onGridC .M ilitary Communicati ons Conference （M I L COM 2001 ; Communicati ons for Net w ork 2Centric Operati on

25、s:CreatingtheI nf or mati on Force, I EEE, volume 1, 2001. 6172621. 5Pearl m an L, W elch V, Foster I, et al . A Community Authorizati on Service for Gr oup Collaborati on C .Pr oceedings of the 3rd I nterna 2ti onal Workshop on Polices f or D istributed System s and Net w orks, 2002. 50259. 6Azzedi

26、n F, Mahes waran M. Trust int o Grid Res ource Manage ment Syste m sC .Pr oceedings of the I nternati onal Conference on Parallel Pr ocessing, 2002. 47254.作者简介 :严建伟 （19772 , 男 , 江苏扬州人 , 硕士研究生 , 研究方向为网络安全、 网格计算 ; 梁力 （19542 , 女 , 陕西西安人 , 副教授 , 本科 , 研究方向为网 络安全、 软件工程等 ; 刘勇 （19792 , 男 , 山东枣庄人 , 硕士研究生 , 研究 方向为网格计算、 软件测试。