網格計算安全模型的研究

石繼明

0 引言

網格計算是一種新型的計算模式，具有數據處理能力強和運行成本低的特點。近年來，有關網格計算系統的安全性設計越發受到關注，但現有的網絡安全技術在處理復雜的、動態的網格計算系統時，在訪問控制、權限授予等環節的效果并不理想。通過研究網格計算系統的安全性需求、以及較為成熟的網格安全架構GSI，結合現有安全技術的缺陷與不足，提出了一種新的安全體系結構模型。

1 網格存在的安全問題

Internet的安全保障一般提供下面兩方面的安全服務：一方面是訪問控制服務，用來保護各種資源不被非法用戶或者合法用戶越權使用；另一方面是通信安全服務，用來提供通信段的雙向認證、通信數據的保密性和完整性（防止對通信數據的竊聽和篡改）以及通信端的不可否認性服務。但是這兩個方面的安全服務只能部分解決網格計算系統的安全問題。網格計算系統涉及的安全問題可以分為 3個管理層次：

（1）遠程訪問安全管理：主要是保證用戶與系統之間的數據安全，包括防止偽裝用戶、偽裝服務器、對用戶數據的竊聽和篡改、以及防止用戶否認和遠程攻擊和入侵。

（2）用戶權利安全管理：主要是保證合法用戶使用授權的資源，包括防止非法用戶使用資源、合法用戶越權使用資源。

（3）作業和任務安全管理：主要是保證作業和任務的安全進行，包括保證進程間的通信安全、防止惡意程序的運行、保證系統的完整性。

對于網格計算系統涉及的大部分安全問題，可以采用目前已有的安全技術加以解決。為了防止非法用戶使用資源和防止合法用戶越權使用資源，需要對用戶進行限制性授權，但是在網格計算系統這樣一個復雜的、動態的、廣域的范圍內，對用戶進行限制性授權，無法使用目前已有的安全技術去解決，這是網格計算系統的安全研究領域的一個具有挑戰性的研究方向。網格計算系統的安全，集中于解決如何將網格資源安全地分配給網格用戶，以及如何保證網格用戶安全地使用分配的網格資源。

2 網格計算系統的安全機制

網格計算系統的安全保證，是網格計算系統正常運行的保證。網格計算系統的安全機制，必須考慮網格計算系統的如下特性：

（1）網格計算系統中的用戶和資源量非常大，可以屬于多個不同的組織，而且用戶和資源動態可變。

（2）網格計算系統中的一個用戶，可以在不同的資源上有不同的用戶標識。

（3）網格計算系統中的資源，可以支持不同的認證和授權機制，可以有不同的訪問控制策略。

（4）網格計算系統中的計算，可以在執行過程中，動態地申請和啟動進程，可以動態地申請和釋放資源。

（5）網格計算系統中的進程中信息量非常龐大，而且進程的動態變化極快。一個計算過程可以由大量子進程組成，這些子進程之間，可能存在不同的通信機制，底層的通信連接可在進程的執行過程中動態地創建并執行。

傳統的傳輸層安全機制，無法滿足網格計算系統特有的用戶單一登錄的要求，分布式系統采用的安全機制，無法滿足于本地安全方案協同工作的要求，特別是在跨多個管理域的資源訪問方面。我們無法完全使用現有的安全技術，去解決網格計算系統的安全問題，這就需要研究新的安全技術和新的安全機制。

3 網格安全架構GSI

Globus中的網格安全架構GSI（Grid Security Infrastructure）是解決網格計算系統的安全問題的一個集成方案，它結合目前成熟的分布式安全技術，并對這些技術進行一定的擴展，以適合網格計算系統的特點。GSI的特點在于保證網格計算系統的安全性的同時，盡量方便用戶和各種服務的交互，而且 GSI充分利用現有的網格安全技術，并對某些部分進行擴充，使得在網格計算系統下 GSI具有一個一致的安全性界面，極大地方便了網格應用的開發和使用。

GSI中的主要安全技術手段包括：認證證書、雙向認證、保密通信、安全隱鑰、授權委托和用戶單一登錄。GSI認證證書采用了X.509的證書格式，可被其它基于公鑰的軟件共享；GSI采用SSL作為他的雙向認證協議，實體之間通過認證證書證明彼此的身份；GSI采用公鑰技術與對稱加密技術結合的加密方式，在保證通信安全性的同時盡量減少加解密的開銷；GSI將用戶的私鑰以文件的形式進行了擴展，使得GSI具有授權委托的能力，減少用戶必須輸入口令來得到私鑰的次數；GSI使用用戶代理解決用戶單一登錄的問題。

但是 GSI也存在一些不足之處，如實體之間的認證頻繁而復雜、執行開銷較大，適應性和擴展性比較局限，尤其對系統改變較頻繁和規模不斷增大的環境。

4 網格計算系統安全體系的結構模型

從網格安全設計和實現的角度，對網格計算系統提出一個安全體系的結構模型。主要考慮以下幾點，這幾點應該成為安全體系結構模型的特點和優點。

（1）硬件的物理安全和具體的安全技術應該劃分在不同的層次。

（2）所有的安全技術應該劃分在同一個層次。

（3）不同的安全技術采用不同協議和實現方法，不同的安全技術彼此不兼容，解決辦法是對這些安全技術進行概括和抽象，這種概括和抽象能夠“包容”不同的安全技術。

（4）應該定義一些網格安全協議，這些協議不同于已有的安全協議。

（5）網格應用應該架構在網格安全協議的基礎上。

我們提出的安全體系結構模型如圖1所示，安全體系結構模型的層次從下到上依次為：

（1）節點和互聯層（Node and Interconnection Layer）：包括各種各樣的硬件，這一層的安全主要是硬件的物理安全。

（2）系統和網格安全技術層（System and Network Security Technology Layer）：包括各種各樣的系統安全技術和網絡安全技術，涵蓋防火墻、虛擬專用網、SSL、SSH、加密解密、數字簽名、入侵檢測系統、完整性檢查、Kerberos等。

（3）網格安全基礎層（Grid Security Basic Layer）：提供支撐網格安全協議的基礎技術，這些基礎技術包括證書的獲得和管理以及用戶和資源的映射。

（4）網格安全協議層（Grid Security Protocol Layer）：提供一系列的網格安全協議，這些協議描述網格計算系統如何將網格資源安全地分配給網格用戶以及如何保證網格用戶安全地使用分配的網格資源。

（5）網格安全應用層（Grid Security Application Layer）：基于網格安全協議的各種各樣的網格應用。

安全體系結構模型具有良好的擴展性、能夠適應動態的環境、是研究很多網格問題的良好框架。

5 網格計算系統安全體系結構模型的分析

網格安全協議層和網格安全基礎層，是安全體系結構模型中兩個核心，是解決網格安全問題的關鍵。考察網格用戶使用網格資源進行網格計算時，用戶、資源、進程等實體之間如何進行交互，并針對各種交互情況定義相應的安全策略。當考察的重點放在網格用戶申請分配網格資源和使用分配的網格資源時，網格用戶和網格計算系統進行的復雜交互，這些復雜交互涉及一系列實體間的身份確認。

安全體系結構模型涉及以下幾個概念：

陸徵祥八任外交總長，兩任國務總理，在此期間簽訂了令他痛心的《二十一條》，拒絕了巴黎會議上政府施壓讓他在《凡爾賽和約》上簽字的要求。他在任期間為中國外交的現代化做出了貢獻，創建了外交人才的培養體系。

（1）證書（Certificate）：網格計算系統中，用來證明實體身份的一段信息或一個文件，證書由可供信任的機構（認證中心）進行簽發，有固定的格式。并且有一定的有效時間。

（2）雙向認證（Mutual Authentication）：網格計算系統中的兩個實體進行交互之前，用來證明彼此身份的真實性的一個過程。

（3）用戶代理（User Proxy）：用戶代理是一個由用戶創建的進程，用戶將他的部分或全部權限授予該進程，該進程代替用戶完成雙向認證、申請資源、提交作業、得到結果等工作。

（4）資源代理（Resource Proxy）：資源代理是一個由網格計算系統創建的進程，網格計算系統將一組資源的管理權限授予該進程，該進程負責這組資源的雙向認證，以及分配和回收等工作。

（5）中介（Broker）：中介是一個由網格計算系統創建的進程，中介向用戶代理和資源代理提供中介服務，用戶代理使用中介提供的中介服務可以協同分配到多個資源代理管理的大量資源。

（一）協議

（二）證書的組成、獲得和管理

證書是網格計算系統中的實體，用來證明自己身份的一段信息或一個文件。證書由可供信任的機構（認證中心）進行簽發，有固定的格式，并且有一定的有效時間。為了防止偽造證書，證書至少包含以下幾部分信息：

（1）認證中心的名稱：簽發這個證書的認證中心的名稱。

（2）證書的有效時間：這個證書有效地開始時間和結束時間。

（3）證書擁有者的名稱：擁有這個證書的用戶或資源名稱。

（4）證書擁有者的公鑰信息：擁有這個證書的用戶或者資源的公鑰信息，進行雙向認證時用來證明證書擁有者的合法性。

（5）認證中心的數字簽名：簽發這個證書的認證中心的數字簽名，進行雙向認證時用來證明證書本身的合法性。

（三）用戶或資源獲得的證書

（1）用戶或資源管理者使用命令或相應的函數，創建用于身份鑒別的公鑰、私鑰和未簽名的證書，然后通過電子郵件或其他安全途徑把未簽名的證書，提交給認證中心。

（2）認證中心收到未簽名的證書后，對用戶或資源進行考察。

（3）用戶或資源考察合格后，認證中心用自己的證書（認證中心的證書）對未簽名的證書進行簽名，然后把簽名的證書通過電子郵件或其他安全途徑，返還給用戶或資源管理者。

證書的管理，最主要是證書的存儲和證書的使用。其他對證書的管理包括：建立可供信任的認證中心、使用函數或軟件生成公鑰和私鑰、使用函數或軟件生成未簽名的證書、使用函數或軟件對證書進行簽名、對用戶代理和進程創建臨時證書、撤銷雖然未到期但是不再使用的證書或臨時證書、將證書或臨時證書的使用綁定在固定的節點上。

（四）用戶和資源的映射

因為用戶和資源在網格計算系統的高層（網格用戶和網格資源）和網格計算系統的低層（本地用戶和本地資源）的身份描述是不一樣的，所以首先要在這兩種身份之間建立某種映射關系，才能進行各種本地安全管理和具體的本地計算。

用戶和資源的映射策略和具體的用戶管理策略密切相關，不同的用戶管理策略將會有不同的用戶和資源映射策略。一種簡單的用戶和資源的映射策略是建立用戶和資源映射表，通過查找映射表進行用戶和資源的映射。下面先解釋客體、主體和信任域的概念，然后列出我們總結的四條映射關系。客體（Object）指網格計算系統中受到安全規則保護的資源；主體（Subject）指網格計算系統中可能對客體造成破壞的用戶或進程；信任域（Trust Domain）指網格計算系統中一個邏輯的、可管理的區域，具有明確的邊界。存在的映射關系如下：

關系1：對每一個信任域而言，存在全局客體到局部客體的映射表；

關系2：對每一個信任域而言，存在全局主體到局部主體的映射表和局部主體到全局主體的映射表；

關系3：如果將全局安全規則作用于一個全局主體和一個全局客體，這個全局主體通過了全局安全規則，也就是說這個全局主體可以操作這個全局客體，那么將這個全局主體映射到某個局部信任域內的某個局部主體后，這個全局客體也相應地映射到這個局部信任域內的某個局部客體，若這個局部主體通過了這個局部信任域內的據不安全規則，則該局部主體可以操作這個局部客體；

關系4：如果一個操作跨域多個局部信任域，即這個操作涉及多個局部信任域內的局部主體和局部客體，只有當該操作涉及的每個局部主體都通過相應的局部安全規則，也就是該操作涉及的每個局部主體都可以操作相應的局部客體后，該操作才能夠執行。

6 結束語

通過對網格計算系統的安全性需求、以及較為成熟的網格安全架構 GSI的研究和分析，我們總結了現有安全技術的缺陷與不足，并提出了一種新的安全體系結構模型，其具有良好的擴展性、能夠適應動態的環境，是研究很多網格問題的良好框架。本文最后就網格計算安全體系結構模型中，核心層次所涉及的實體間交互、相應安全策略設計等問題做了充分的闡述，為后期設計實現提供了有效可靠的依據。

[1]The Worldwide LHC Computing Grid (WLCG),in:Proceedings of the Conference on Computational Physics 2006(CCP 2006),vol.177,2007,pp.219-223

[2]The European Grid Initiative Design Study,website at http://web.eu-egi.eu/.

[3]The Enabling Grids for E-sciencE(EGEE)project,http://public.eu-egee.org/.