摘 要: 針對(duì)網(wǎng)格計(jì)算" title="網(wǎng)格計(jì)算">網(wǎng)格計(jì)算所涉及的安全問(wèn)題,,分析了當(dāng)今典型系統(tǒng)Globus實(shí)現(xiàn)的網(wǎng)格安全" title="網(wǎng)格安全">網(wǎng)格安全架構(gòu)GSI(Grid Security Infrastructure),。在借鑒GSI優(yōu)勢(shì)的基礎(chǔ)上,,針對(duì)GSI授權(quán)機(jī)制的不足,提出了一種改進(jìn)的訪問(wèn)控制策略" title="控制策略">控制策略模型——中控訪問(wèn)控制" title="訪問(wèn)控制">訪問(wèn)控制策略模型,并分析了其基本的工作原理,。
關(guān)鍵詞: 網(wǎng)格安全 GSI? 訪問(wèn)控制策略? 中控訪問(wèn)控制策略
?
美國(guó)Globus網(wǎng)格項(xiàng)目之父Ian Foster說(shuō):“網(wǎng)格是構(gòu)筑在互聯(lián)網(wǎng)上的一組新興技術(shù),,它將高速互聯(lián)網(wǎng)、計(jì)算機(jī),、大型數(shù)據(jù)庫(kù),、傳感器、遠(yuǎn)程設(shè)備等融為一體,,為科技人員和普通百姓提供更多的資源,、功能和服務(wù)[1]。傳統(tǒng)的互聯(lián)網(wǎng)技術(shù)主要為人們提供電子郵件,、網(wǎng)頁(yè)瀏覽等通信功能,,而網(wǎng)格的功能則更多、更強(qiáng),,它能讓人們共享計(jì)算,、存儲(chǔ)和其他資源”。從本質(zhì)上說(shuō),,網(wǎng)格計(jì)算需要解決的問(wèn)題就是如何在動(dòng)態(tài),、異構(gòu)的虛擬組織間實(shí)現(xiàn)資源共享并協(xié)同解決某一問(wèn)題。實(shí)質(zhì)上,,網(wǎng)格就是一個(gè)集成的計(jì)算與資源環(huán)境,,或者說(shuō)是一個(gè)計(jì)算資源池。而網(wǎng)格計(jì)算就是指將分布的計(jì)算機(jī)組織起來(lái)協(xié)同解決復(fù)雜的科學(xué)與工程計(jì)算,,使人們能夠以一種更自由,、更方便的方式使用計(jì)算資源。但是,,如果缺乏有效的安全機(jī)制,,將會(huì)阻止網(wǎng)格技術(shù)的進(jìn)一步發(fā)展,限制網(wǎng)格應(yīng)用的進(jìn)一步推廣,。因此,,網(wǎng)格計(jì)算環(huán)境必須具有抗拒各種非法攻擊和入侵的能力,并且在受到攻擊和入侵時(shí)采取某些措施以維持系統(tǒng)的正常高效運(yùn)行和保證系統(tǒng)中各種信息的安全,。所以,,網(wǎng)格安全問(wèn)題比一般網(wǎng)絡(luò)安全問(wèn)題的覆蓋面更廣,解決方案也更復(fù)雜,,這正是本文所要探討的問(wèn)題,。
1 網(wǎng)格計(jì)算的安全問(wèn)題
1.1 網(wǎng)格計(jì)算環(huán)境的主要特性
網(wǎng)格安全技術(shù)是通過(guò)身份認(rèn)證等安全技術(shù)防止非法用戶通過(guò)網(wǎng)絡(luò)使用或獲取網(wǎng)格的任何資源,保障數(shù)據(jù)的安全性,。同時(shí),,通過(guò)權(quán)限控制和數(shù)據(jù)隱藏技術(shù)使用戶只能獲取被許可的信息和知識(shí),,而不能竊取未授權(quán)的信息。在網(wǎng)格安全設(shè)計(jì)中,,需要考慮的網(wǎng)格特性主要有以下幾點(diǎn):
(1)網(wǎng)格是一個(gè)異構(gòu)的環(huán)境,,在計(jì)算網(wǎng)格中,不同的節(jié)點(diǎn)采用不同的硬件或操作系統(tǒng),。
(2)用戶數(shù)量巨大,,且動(dòng)態(tài)變化。
(3)資源數(shù)量巨大,,且動(dòng)態(tài)變化,。
(4)一個(gè)計(jì)算可能在其運(yùn)行期間動(dòng)態(tài)地要求使用或釋放資源,并可能需要?jiǎng)?chuàng)建許多不同的進(jìn)程,。
(5)不同的信任域可能要求不同的安全策略(認(rèn)證和授權(quán)機(jī)制),。
(6)資源和用戶屬于多個(gè)不同的組織。
(7)用戶在不同的資源上可有不同的標(biāo)識(shí),。
1.2 網(wǎng)格環(huán)境的安全需求
從本質(zhì)上講,,Internet的安全保障一般提供以下兩方面的安全服務(wù)" title="安全服務(wù)">安全服務(wù):(1)訪問(wèn)控制服務(wù),用來(lái)保護(hù)各種資源不被非授權(quán)使用,;(2)通信安全服務(wù),,用來(lái)提供認(rèn)證、數(shù)據(jù)保密性與完整性以及各通信端的不可否認(rèn)性服務(wù),。但是這兩方面的安全服務(wù)不能完全解決網(wǎng)格計(jì)算環(huán)境下的安全問(wèn)題,。
為了保障網(wǎng)格計(jì)算環(huán)境的安全,GSI的主要目標(biāo)是:(1)支持網(wǎng)格計(jì)算環(huán)境中主體之間的安全通信,,防止假冒和數(shù)據(jù)泄密,;(2)支持跨虛擬組織的安全,這樣就不用采用集中管理的安全系統(tǒng),;(3)支持網(wǎng)格計(jì)算環(huán)境中用戶的單點(diǎn)登錄,,包括跨多個(gè)資源和地點(diǎn)的信任委托和信任轉(zhuǎn)移等。為此,,GSI為網(wǎng)格計(jì)算環(huán)境提供了一系列的安全協(xié)議,、安全服務(wù)、安全SDK(Soft Development Kits)和命令行程序,。通過(guò)使用這些安全技術(shù),,可有效地保證網(wǎng)格計(jì)算環(huán)境的安全性和方便性。
2 網(wǎng)格安全的實(shí)現(xiàn)
2.1 網(wǎng)格安全基礎(chǔ)設(shè)施
美國(guó)網(wǎng)格研究項(xiàng)目Globus提出的網(wǎng)格安全基礎(chǔ)設(shè)施(GSI)與PKI技術(shù)相結(jié)合提供了滿足網(wǎng)格安全要求的框架,,框架如圖1所示,。
從圖1可以看出,,Globus安全策略由以下五個(gè)部分組成[5]:
(1)用戶User(U):一個(gè)Globus計(jì)算過(guò)程的請(qǐng)求者,,可以是人或代理(一個(gè)進(jìn)程)。
(2)用戶代理UserProxy(UP):在一個(gè)有限時(shí)間內(nèi)代表用戶行使一定權(quán)限的一個(gè)進(jìn)程。
(3)進(jìn)程Process(P):一個(gè)邏輯主體,,提供進(jìn)程管理API創(chuàng)建,,并代表一個(gè)用戶在特定資源上進(jìn)行計(jì)算。
(4)資源Resource(R):在一個(gè)計(jì)算過(guò)程中使用的計(jì)算節(jié)點(diǎn),、文件系統(tǒng),、網(wǎng)絡(luò)或其他主體。
(5)資源代理ResourceProxy(RP):一個(gè)有不定期權(quán)限的資源管理者,。
2.2 網(wǎng)格安全的主要技術(shù)及其不足
2.2.1 網(wǎng)格安全的主要技術(shù)
Globus中的網(wǎng)格安全架構(gòu)GSI是一個(gè)解決網(wǎng)格安全問(wèn)題的集成方案,,它融合了目前成熟的分布式安全技術(shù),并對(duì)這些技術(shù)進(jìn)行一定的擴(kuò)展,,以適合網(wǎng)格計(jì)算環(huán)境的特點(diǎn),。GSI中的主要安全技術(shù)包括:
(1)認(rèn)證證書(shū):GSI認(rèn)證證書(shū)采用X.509的證書(shū)格式,可被其他基于公鑰的軟件共享,。
(2)雙向認(rèn)證:GSI采用SSL作為它的雙向認(rèn)證協(xié)議,,實(shí)體之間通過(guò)認(rèn)證證書(shū)證明彼此的身份。
(3)保密通信:GSI采用公鑰技術(shù)與對(duì)稱加密技術(shù)結(jié)合的加密方式,,在保證通信安全性的同時(shí)盡量減少加解密的開(kāi)銷,。
(4)安全私鑰:GSI將用戶的私鑰以文件的形式加密存儲(chǔ)在用戶計(jì)算機(jī)上,以此保護(hù)用戶的認(rèn)證證書(shū),。
(5)授權(quán)委托:GSI對(duì)標(biāo)準(zhǔn)的SSL協(xié)議進(jìn)行擴(kuò)展,,使得GSI具有授權(quán)委托能力,減少用戶必須輸入口令來(lái)得到私鑰的次數(shù),。
(6)用戶單一登錄:GSI使用用戶代理解決用戶單點(diǎn)登錄問(wèn)題,。
2.2.2 網(wǎng)格安全技術(shù)的不足
GSI授權(quán)是通過(guò)對(duì)一個(gè)文件的操作實(shí)現(xiàn)的,這個(gè)文件提供了證書(shū)標(biāo)識(shí)(全局用戶)到本地賬號(hào)的映射關(guān)系,。但是GSI也存在一些不足,,如:GSI要求每一個(gè)訪問(wèn)資源的全局用戶都要在本地資源服務(wù)器上擁有一個(gè)自己的賬號(hào),每一個(gè)資源服務(wù)器都需要維護(hù)一個(gè)龐大笨拙的全局/本地映射表,,這種授權(quán)機(jī)制難以擴(kuò)展到擁有大量資源和大量用戶的大規(guī)模環(huán)境中,。由此可知,GSI缺乏基于全局策略的具有良好擴(kuò)展性的訪問(wèn)控制機(jī)制,。
3 網(wǎng)格訪問(wèn)控制策略的改進(jìn)
網(wǎng)格要達(dá)到資源共享的目的,,必須解決資源的訪問(wèn)控制問(wèn)題。網(wǎng)格的訪問(wèn)控制必須建立在現(xiàn)有的訪問(wèn)控制系統(tǒng)之上,。但是由于網(wǎng)格跨越多個(gè)不同的地點(diǎn)和不同的自治域,,每個(gè)域的訪問(wèn)控制策略和需求可能十分不同,這使得資源的訪問(wèn)控制更加復(fù)雜?,F(xiàn)有的訪問(wèn)控制系統(tǒng)必須進(jìn)行擴(kuò)展才能移植到網(wǎng)格系統(tǒng)中,。訪問(wèn)控制對(duì)資源的機(jī)密性,、完整性起著直接作用。
3.1 訪問(wèn)控制術(shù)語(yǔ)
(1)訪問(wèn)控制的客體(Object):需要保護(hù)的資源,,又稱作目標(biāo),。
(2)訪問(wèn)控制的主體(Subject):是一個(gè)主動(dòng)的實(shí)體,可以訪問(wèn)客體,,通常指用戶或代表用戶執(zhí)行的程序,,又稱為發(fā)起者。
(3)訪問(wèn)控制的授權(quán)(Authorization):可對(duì)該資源執(zhí)行的動(dòng)作,,例如讀,、寫(xiě)、執(zhí)行或拒絕訪問(wèn),。
(4)訪問(wèn)控制的策略(Policy):基于身份的訪問(wèn)控制或基于規(guī)則的訪問(wèn)控制,。
3.2 傳統(tǒng)的訪問(wèn)控制策略
基于身份的訪問(wèn)控制策略,又叫自主訪問(wèn)控制策略,,是指具有某種訪問(wèn)能力的主體能夠根據(jù)自己的意愿自主地將有訪問(wèn)權(quán)的某個(gè)子集授予其他主體,,如客體的擁有者對(duì)客體有所有的訪問(wèn)權(quán),并能將其權(quán)限子集分配給其他用戶,。自主訪問(wèn)控制是根據(jù)主體的身份及允許訪問(wèn)的權(quán)限進(jìn)行決策的,,這種控制是自主的。它的優(yōu)點(diǎn)是靈活度高,、粒度小,,但是信息在移動(dòng)過(guò)程中其訪問(wèn)權(quán)限關(guān)系很容易被改變,其配置管理工作量很大,,不太適合網(wǎng)格的動(dòng)態(tài)多自治域的環(huán)境,。
基于規(guī)則的訪問(wèn)策略,又稱強(qiáng)制訪問(wèn)策略,,是指獨(dú)立于用戶行為而強(qiáng)制執(zhí)行訪問(wèn)控制的規(guī)則,。這樣的規(guī)則通常按照安全等級(jí)對(duì)數(shù)據(jù)和用戶劃分標(biāo)簽,訪問(wèn)控制機(jī)制通過(guò)比較安全標(biāo)簽來(lái)確定允許還是拒絕用戶對(duì)資源的訪問(wèn),。用戶不能改變他們的安全級(jí)別或?qū)ο蟮陌踩珜傩?。它的?yōu)點(diǎn)是保密性強(qiáng),信息不會(huì)被輕易泄漏,,但是它的配置粒度大,,缺乏靈活性。
3.3 改進(jìn)的訪問(wèn)控制策略模型
在傳統(tǒng)的訪問(wèn)控制策略的基礎(chǔ)上,,采取結(jié)合和折衷的辦法,,提出一種不同于傳統(tǒng)訪問(wèn)機(jī)制的中控訪問(wèn)控制策略模型,其訪問(wèn)主體通過(guò)一個(gè)中控器訪問(wèn)客體,。該模型的簡(jiǎn)化圖如圖2所示,。
從上圖可知,,訪問(wèn)控制策略由中控器決定,它跟據(jù)主體不同的要求為其分配一個(gè)相應(yīng)的訪問(wèn)權(quán)限,。特點(diǎn)如下:
(1)如果用戶要求保密性強(qiáng),則訪問(wèn)控制機(jī)制就通過(guò)比較安全標(biāo)簽來(lái)確定授予還是拒絕用戶對(duì)資源的訪問(wèn),。用戶不能改變他們的安全級(jí)別或?qū)ο蟮陌踩珜傩浴?BR> (2)如果用戶要求比較靈活,,也就是主體能根據(jù)自己的意愿自主地將訪問(wèn)權(quán)的某個(gè)子集授予其他主體,則采用身份訪問(wèn)策略機(jī)制,,即根據(jù)主體的身份及允許訪問(wèn)的權(quán)限進(jìn)行決策,。
(3)如果既要靈活,又要保密,,則由中控器決定不同的角色,,把許可權(quán)分配給這些角色,然后由用戶選擇不同的角色進(jìn)行訪問(wèn),。
總之是由中控器控制決定許可權(quán)的分配,,并且該中控器具有繼承性,這樣既可以保證靈活性好,,又可以保證保密性強(qiáng),。缺點(diǎn)是配置工作量非常大。
本文針對(duì)網(wǎng)格的安全問(wèn)題進(jìn)行了探討,,并且主要對(duì)GSI訪問(wèn)控制策略的不足,,提出了一種改進(jìn)的訪問(wèn)控制策略模型——中控訪問(wèn)控制策略模型,同時(shí)分析了該策略的基本原理和特性,。但是中控訪問(wèn)控制策略還存在一些不足之處,,如配置工作量非常大,還需要進(jìn)一步改進(jìn)和完善,,并且該策略的實(shí)現(xiàn)還有待進(jìn)一步的研究,。同時(shí),網(wǎng)格安全的引入不能影響網(wǎng)格計(jì)算的性能,。
參考文獻(xiàn)
1 都志輝,,陳 渝,劉 鵬.網(wǎng)格計(jì)算[M].北京:清華大學(xué)出版社,,2002
2 關(guān)豪英.初探網(wǎng)格計(jì)算中的安全問(wèn)題[J],,邢臺(tái)學(xué)院學(xué)報(bào),2005,;2(20):119~121
3 應(yīng) 宏,,鐘 靜.網(wǎng)格技術(shù)的安全策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2004,;(7):42~44
4 劉怡文,,李偉琴,,韋 衛(wèi).信息網(wǎng)格安全體系結(jié)構(gòu)的研究[J].北京航空航天大學(xué)學(xué)報(bào),2003,;29(7):19~24
5 GGF OGSA Security Workgroup.Security architecture for open grid services.http://www.ggf.org/ogsa-sec-wg,,2003-06-05