一種代理證書在線簽署的網(wǎng)格安全框架設(shè)計(jì)

摘 要：提出一種新網(wǎng)格安全框架UserCA。它支持跨域的訪問；利用在線簽署代理證書的透明使用，免去了網(wǎng)格用戶在使用網(wǎng)格前需手工提供代理證書的麻煩；減少了私鑰在網(wǎng)上傳輸?shù)拇螖?shù)，增強(qiáng)了系統(tǒng)的安全性；一次提供后還可以多次使用，增強(qiáng)了網(wǎng)格的實(shí)用性。

關(guān)鍵詞：網(wǎng)格安全； 在線簽署； 代理證書； MyProxy

中圖分類號：TP309文獻(xiàn)標(biāo)志碼：A

文章編號：1001—3695(2007)03—0115—03

0 引言

網(wǎng)格(Grid)技術(shù)是近幾年來國際上興起的一種重要的信息技術(shù)[1]。它的目標(biāo)是將地理上廣泛分布、系統(tǒng)異構(gòu)的各種計(jì)算資源全面整合在一起， 實(shí)現(xiàn)網(wǎng)絡(luò)虛擬環(huán)境上的高性能資源共享和協(xié)同工作。與傳統(tǒng)網(wǎng)絡(luò)環(huán)境相比，網(wǎng)格計(jì)算環(huán)境極其復(fù)雜，具有動態(tài)、異構(gòu)分布等特征，其安全系統(tǒng)需提供單點(diǎn)登錄、代理授權(quán)等基本功能[2]。由于網(wǎng)格系統(tǒng)與傳統(tǒng)的網(wǎng)絡(luò)環(huán)境在各個方面存在差異，解決網(wǎng)絡(luò)安全問題的方法已經(jīng)不能完全用來解決網(wǎng)格的安全問題。網(wǎng)格采用GSI作為認(rèn)證網(wǎng)格用戶和資源的手段[3]。網(wǎng)格入口（Portal）是所有用戶訪問網(wǎng)格資源的統(tǒng)一入口[4]，它的使用為用戶省去了開發(fā)和部署特定客戶端的煩惱；所有用戶都使用統(tǒng)一的入口提交網(wǎng)格任務(wù)。在通常情況下，出于安全考慮不使用原始證書，而使用代理證書提交任務(wù)[5]。網(wǎng)格入口在提交用戶任務(wù)時(shí)需提供一個代理證書，代理證書由用戶證書的私鑰簽發(fā)，代表原用戶主體身份，擁有原主體全部或部分權(quán)限。其生命期很短，一旦被攻破可以使系統(tǒng)損失降到最低。

用戶在提交作業(yè)時(shí)，網(wǎng)格入口需要驗(yàn)證提交用戶的身份，這種方式帶來了一個問題，即如何向網(wǎng)格入口提交自己的代理證書。本文提出一種兼顧安全性和實(shí)用性的代理證書簽署方案，代理證書簽署端通過Java Web Start的方式部署在網(wǎng)頁上[6]，用戶只需點(diǎn)擊就可以自動下載到本地運(yùn)行。這個提交代理證書的方案方便靈活，與現(xiàn)行的網(wǎng)格體系結(jié)構(gòu)和安全基礎(chǔ)設(shè)施相兼容。

1 相關(guān)工作

將代理證書上傳至網(wǎng)格入口，目前主要有兩種方式：①在網(wǎng)格入口上部署一個上傳頁面，用戶在本地上傳生成的代理證書，由網(wǎng)格入口將該代理證書存放在固定的位置。在Globus[7]系統(tǒng)中，用戶一般通過其函數(shù)庫grid—proxy—init產(chǎn)生一個代理證書，在網(wǎng)格入口處進(jìn)行上傳。但這種方式一個明顯的缺點(diǎn)是網(wǎng)格用戶需要有一個運(yùn)行命令grid—proxy—init的環(huán)境，一般來說需要安裝Globus這套軟件才可以使用該命令。由于安裝Globus步驟煩瑣，并且使用這個命令對用戶要求高，這種方式實(shí)用性較差。②用戶通過Java Web Start或Applet的方式從網(wǎng)頁上直接啟動上傳代理證書的程序。這種方式被GridSphere[8]項(xiàng)目所采用，其代理證書的上傳要求指定My￣Proxy[9]服務(wù)器的IP地址以及用戶的用戶名、密碼、私鑰的密碼等信息。這種實(shí)現(xiàn)解決了本地安裝Globus環(huán)境的問題，但是出現(xiàn)了另外兩個問題：①用戶需要知道MyProxy 服務(wù)器的IP地址或域名。②提取的證書可能不滿足運(yùn)行任務(wù)要求的時(shí)間。由于用戶很難知道上次保存證書的生命期是否還能滿足本次應(yīng)用的需求，這種方案也存在弊端。

2 體系結(jié)構(gòu)

為了解決以上問題，提出了一種新網(wǎng)格安全框架UserCA。它提供跨域訪問，并且在線透明簽署用戶的代理證書，用戶只需在提交網(wǎng)格任務(wù)前進(jìn)行配置（包括本地證書私鑰的密碼以及運(yùn)行模式）并啟動服務(wù)端就可以提交網(wǎng)格計(jì)算任務(wù)。UserCA安全框架如圖1所示。其主要模塊有代理證書消費(fèi)者、代理證書提供者、代理證書簽署端、身份映射信息服務(wù)器、訪問控制、身份映射策略、CA認(rèn)證策略、CA認(rèn)證中心等。各個模塊功能描述如下：

（1）CA認(rèn)證中心。作為一個全局的證書審核簽發(fā)中心，所有的原始證書均由該認(rèn)證中心簽發(fā)，包括個人證書和主機(jī)證書。用戶要成為合法的網(wǎng)格用戶，必須由CA中心簽署其個人證書；如果用戶需要部署網(wǎng)格服務(wù)并使其受限訪問，則必須由CA中心簽署一個合法的主機(jī)證書。

（2）信息服務(wù)器。它對外提供信息查詢，如某項(xiàng)服務(wù)是否存在、某個用戶能否有權(quán)訪問某類服務(wù)、特定服務(wù)所在節(jié)點(diǎn)信息等。

（3）映射策略。它決定外域的用戶訪問本域時(shí)將被映射為何種身份。

（4）代理證書消費(fèi)者。網(wǎng)格中通過使用代理證書進(jìn)行資源安全訪問。當(dāng)某模塊訪問網(wǎng)格服務(wù)時(shí)，該模塊扮演的角色就是代理證書消費(fèi)者。一般在實(shí)際的系統(tǒng)中表現(xiàn)為資源調(diào)度器（Resource Broker）。

（5）代理證書提供者。代理證書消費(fèi)者在訪問服務(wù)前，必須向被訪問服務(wù)出示自己的身份，即代理證書。代理證書消費(fèi)者通過代理證書提供者請求獲得所需的代理證書，代理證書提供者通過與代理證書簽署端進(jìn)行交互獲得代理證書并返回給代理證書消費(fèi)者。

（6）代理證書簽署端。它部署于用戶的客戶端，可以單獨(dú)配置運(yùn)行。代理證書提供者在訪問代理證書服務(wù)器時(shí)，如果沒有符合條件的代理證書，就將會向代理證書簽署端發(fā)出符合PKCS＃10[3]格式的證書簽署請求；代理證書簽署端將簽署的代理證書返回給代理證書請求者。代理證書簽署端存在自動和手工兩種工作模式。在自動模式下代理證書簽署端會自動完成簽署功能，不需要用戶參與；在手動簽署模式下，每一個簽署請求都需用戶進(jìn)行確認(rèn)，避免了誤簽的可能，這種模式的效果更加安全。

（7）訪問控制。網(wǎng)格用戶在訪問具體的本地服務(wù)時(shí)，先映射為一個具體的本地用戶（根據(jù)Grid—Map—file[3]文件給定的映射關(guān)系）后再訪問本地服務(wù)。 

（8）身份映射。外域用戶在訪問本域時(shí)，他的身份將被映射為本域用戶。

（9）代理證書存放池。代理證書提供者獲得的代理證書雖然生命期很短，但是仍然有被攻擊者利用的可能，因此有必要將代理證書存放在一個可靠的位置供下次使用。

3 代理證書的獲取流程

代理證書的獲取主要是由代理證書提供者、代理證書存放池、代理證書簽署端的交互完成的。當(dāng)前系統(tǒng)的實(shí)現(xiàn)是將代理證書直接放在代理證書存放池中。但如前所述，如果代理證書過期或者不滿足應(yīng)用的需求可能只是返回出錯；出錯后用戶需要再次手工生成代理證書并上傳，這種方式的效率不高。本文通過增加代理證書簽署端，可以在線透明地簽署代理證書，用戶無須知道細(xì)節(jié)，就像永遠(yuǎn)都有一個有效且安全的代理證書一樣。從獲取代理證書的流程可以看出，代理證書簽署端并不是必須運(yùn)行的，因?yàn)槿绻碜C書提供者能夠在代理證書存放池中找到合適的代理證書，那么它就不會與代理證書簽署端通信。這種方式的好處在于網(wǎng)格用戶可以通過預(yù)先訪問網(wǎng)格，將代理證書存入代理證書存放池，當(dāng)在任何其他位置直接訪問網(wǎng)格時(shí)，不需要再次啟動代理證書在線簽署者。

下面給出流程描述：

（1)用戶登錄。首先用戶將從ChinaGrid CA處獲得的證書轉(zhuǎn)換為.pfx（或.p12）[11]格式。本文采用Flexi￣Core￣Provider[12]提供的編程庫實(shí)現(xiàn)一個轉(zhuǎn)換證書的接口。用戶獲得PFX格式的證書后導(dǎo)入瀏覽器，瀏覽器可以為IE或Netscape等；需要支持SSL/TLS[13]，一般都支持PFX個人證書。瀏覽器通過采用SSL/TLS方式訪問網(wǎng)格入口并提交任務(wù)。

（2)提交任務(wù)。在網(wǎng)格入口處，用戶身份將被驗(yàn)證，他的身份也將被記錄，以便傳給代理證書消費(fèi)者（實(shí)際表現(xiàn)為作業(yè)管理器）；代理證書消費(fèi)者通過網(wǎng)格用戶身份確定需要提取哪個網(wǎng)格用戶的代理證書。

（3)代理證書的獲取。代理證書消費(fèi)者直接利用獲得的用戶身份信息，包括用戶名、密碼、IP地址等信息初始化一個代理證書提供者，并且調(diào)用代理證書提供者的接口獲得代理證書。

（4)查看代理證書服務(wù)器。代理證書提供者本身并不能提供代理證書，它將首先到代理證書服務(wù)器中查看符合服務(wù)要求的代理證書是否存在。如果存在，將直接返回代理證書給代理證書消費(fèi)者。

（5)簽署代理證書。如果在代理證書服務(wù)器中沒有符合要求的代理證書，則代理證書提供者將求助于代理證書簽署者。在代理證書提供者向代理證書簽署者證明自己的身份后，代理證書簽署者將處理代理證書提供者的請求。根據(jù)本地策略，代理證書簽署者簽署代理證書，并將簽好的代理證書發(fā)送給代理證書提供者。

（6)存儲代理證書。代理證書提供者獲得剛簽署好的代理證書后，存放于代理證書服務(wù)器，以便下次直接從代理證書服務(wù)器獲取。

（7)訪問服務(wù)。代理證書消費(fèi)者在獲得代理證書后，利用代理證書去訪問服務(wù)。在訪問服務(wù)的過程中，同樣可以通過獲得的代理證書透明地使用GSI。

由于程序認(rèn)證時(shí)并不是直接使用代理證書(Proxy Certificate)的，而是使用代理證書的封裝形式——信任狀（Credential）。在圖2中，代理證書消費(fèi)者（資源調(diào)度器）在訪問服務(wù)時(shí)需要代理證書，系統(tǒng)隱式的實(shí)現(xiàn)是獲取用戶的缺省信任狀，資源調(diào)度器以該用戶的身份運(yùn)行。該用戶信任狀由臨時(shí)目錄（在UNIX下為/tmp/，在Windows下為S│{tempdir}）下的代理證書（x509up_uS│{UID}）生成。UID為用戶系統(tǒng)中的ID，在Windows下為用戶名。本文的實(shí)現(xiàn)就是顯式地設(shè)置了安全環(huán)境中的信任狀。信任狀的獲取由代理證書提供者ProxyProvi￣der給出。ProxyProvider的構(gòu)造很簡單，只需要用到用戶本地的IP以及代理證書存放池的IP，存取代理證書存放池用戶名、密碼，可以生成代理證書提供者ProxyProvider，通過調(diào)用ProxyProvi￣der的getProxy方法可以啟動獲取代理證書的簽署程序，步驟如前所述。

4 身份映射

域A的用戶A—User1訪問域B時(shí)，由于A—User1是在域A中注冊的，在域B沒有關(guān)于域A的身份信息，因此A—User1的身份需轉(zhuǎn)換為域B的身份。圖3給出了身份映射服務(wù)組件部署圖。其中，信息服務(wù)器前面已有描述；域管理器是部署身份映射的載體；GateKeeper[14]部署在作業(yè)管理器的前端，任何作業(yè)調(diào)度請求將首先經(jīng)過GateKeeper驗(yàn)證，驗(yàn)證通過后才能進(jìn)行作業(yè)調(diào)度。由圖3可知，跨域訪問共有三種形式：①跨域查詢，用戶的任務(wù)提交到外域時(shí)，將調(diào)用信息服務(wù)器查詢外域的信息；②跨域作業(yè)調(diào)度，用戶通過信息服務(wù)器查找到相應(yīng)的服務(wù)地址后，將作業(yè)調(diào)度到服務(wù)所在域的作業(yè)管理器；③直接提交作業(yè)到服務(wù)提供者（這種情況出現(xiàn)在程序中直接指定了將要調(diào)用的服務(wù)的物理地址情況下）。

另外值得考慮的是用戶跨域訪問時(shí)，需要使用自身所在注冊域的原始身份。在身份映射時(shí)，始終采用原始身份進(jìn)行映射，而不是采用映射后的用戶身份進(jìn)行映射；否則會出現(xiàn)映射不一致的情況。例如，域A的A—User1用戶在域B被映射為B—User1，在域C被映射為C—User1；而域B的用戶B—User1在域C被映射為C—User2。如果跨域訪問（用戶A—User1通過域B訪問域C）時(shí)采用被映射后的用戶身份進(jìn)行訪問，會出現(xiàn)與直接訪問域C結(jié)果不一致的情形，如表1所示。

因此在跨域訪問時(shí)采用原始身份可以保證在跨多個域后結(jié)果都不會出現(xiàn)映射不一致的情形。例如圖3中的用戶進(jìn)行跨域作業(yè)調(diào)度時(shí)，GateKeeper將調(diào)用身份映射服務(wù)將用戶的原始身份轉(zhuǎn)換為本地用戶，再將作業(yè)提交給服務(wù)。

5 結(jié)束語

通過引入U(xiǎn)serCA的安全體系結(jié)構(gòu)，并重點(diǎn)介紹了UserCA中的兩個主要功能，即代理證書的在線簽署機(jī)制和跨域用戶身份的映射機(jī)制，為用戶展現(xiàn)了一個更加實(shí)用的網(wǎng)格安全框架。除了解決用戶跨域身份映射需求外，該設(shè)計(jì)還具有如下好處：

(1)方便、透明的用戶使用接口。

UserCA 系統(tǒng)的實(shí)現(xiàn)采用了Java Web Start的方式，用戶只需要點(diǎn)擊網(wǎng)頁就可以將UserCA 的服務(wù)端下載到本地運(yùn)行。用戶在訪問網(wǎng)格時(shí)，只需安裝和配置UserCA 的服務(wù)端，不需要在本地手工產(chǎn)生代理證書，使用戶可以透明地訪問網(wǎng)格，不需要考慮自身代理證書是否已經(jīng)提交，極大地方便了網(wǎng)格用戶。

（2）安全性的提高。

程序本身的安全性由Java Web Start來保證。如果訪問網(wǎng)絡(luò)和本地資源都由證書簽署來保證，并且由用戶本身決定是否授權(quán)，則在與網(wǎng)格入口的交互過程中采用SSL/TLS的加密認(rèn)證體系。由于代理證書的申請（Certificate Request）是通過代理證書消費(fèi)者生成的，由PKCS＃10協(xié)議可知，私鑰是臨時(shí)產(chǎn)生的，證書與私鑰組成的信任狀如果不需要放在代理證書存放池中，則可以存放在本地，不需要在網(wǎng)上傳播；即使需要存放于代理證書存放池中，也由SSL/TLS協(xié)議來保證私鑰不被泄漏。與本地產(chǎn)生代理證書并通過網(wǎng)頁上載的方式相比，其減少了私鑰被攻破的可能性，使安全性得到了提高。

本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文。