一种代理证书在线签署网格安全框架设计.docVIP

一种代理证书在线签署的网格安全框架设计 　　摘 要：提出一种新网格安全框架UserCA。它支持跨域的访问；利用在线签署代理证书的透明使用，免去了网格用户在使用网格前需手工提供代理证书的麻烦；减少了私钥在网上传输的次数，增强了系统的安全性；一次提供后还可以多次使用，增强了网格的实用性。 　　关键词：网格安全； 在线签署； 代理证书； MyProxy 　　中图分类号：TP309文献标志码：A 　　文章编号：1001―3695(2007)03―0115―03 　　0 引言?? 　　网格(Grid)技术是近几年来国际上兴起的一种重要的信息技术[1]。它的目标是将地理上广泛分布、系统异构的各种计算资源全面整合在一起， 实现网络虚拟环境上的高性能资源共享和协同工作。与传统网络环境相比，网格计算环境极其复杂，具有动态、异构分布等特征，其安全系统需提供单点登录、代理授权等基本功能[2]。由于网格系统与传统的网络环境在各个方面存在差异，解决网络安全问题的方法已经不能完全用来解决网格的安全问题。网格采用GSI作为认证网格用户和资源的手段[3]。网格入口（Portal）是所有用户访问网格资源的统一入口[4]，它的使用为用户省去了开发和部署特定客户端的烦恼；所有用户都使用统一的入口提交网格任务。在通常情况下，出于安全考虑不使用原始证书，而使用代理证书提交任务[5]。网格入口在提交用户任务时需提供一个代理证书，代理证书由用户证书的私钥签发，代表原用户主体身份，拥有原主体全部或部分权限。其生命期很短，一旦被攻破可以使系统损失降到最低。?? 　　用户在提交作业时，网格入口需要验证提交用户的身份，这种方式带来了一个问题，即如何向网格入口提交自己的代理证书。本文提出一种兼顾安全性和实用性的代理证书签署方案，代理证书签署端通过Java Web Start的方式部署在网页上[6]，用户只需点击就可以自动下载到本地运行。这个提交代理证书的方案方便灵活，与现行的网格体系结构和安全基础设施相兼容。?? 　　 　　1 相关工作?? 　　将代理证书上传至网格入口，目前主要有两种方式：①在网格入口上部署一个上传页面，用户在本地上传生成的代理证书，由网格入口将该代理证书存放在固定的位置。在Globus[7]系统中，用户一般通过其函数库grid―proxy―init产生一个代理证书，在网格入口处进行上传。但这种方式一个明显的缺点是网格用户需要有一个运行命令grid―proxy―init的环境，一般来说需要安装Globus这套软件才可以使用该命令。由于安装Globus步骤烦琐，并且使用这个命令对用户要求高，这种方式实用性较差。②用户通过Java Web Start或Applet的方式从网页上直接启动上传代理证书的程序。这种方式被GridSphere[8]项目所采用，其代理证书的上传要求指定My￣??Proxy[9]??服务器的IP地址以及用户的用户名、密码、私钥的密码等信息。这种实现解决了本地安装Globus环境的问题，但是出现了另外两个问题：①用户需要知道MyProxy 服务器的IP地址或域名。②提取的证书可能不满足运行任务要求的时间。由于用户很难知道上次保存证书的生命期是否还能满足本次应用的需求，这种方案也存在弊端。?? 　　 　　2 体系结构?? 　　为了解决以上问题，提出了一种新网格安全框架UserCA。它提供跨域访问，并且在线透明签署用户的代理证书，用户只需在提交网格任务前进行配置（包括本地证书私钥的密码以及运行模式）并启动服务端就可以提交网格计算任务。UserCA安全框架如图1所示。其主要模块有代理证书消费者、代理证书提供者、代理证书签署端、身份映射信息服务器、访问控制、身份映射策略、CA认证策略、CA认证中心等。各个模块功能描述如下：?? 　　（1）CA认证中心。作为一个全局的证书审核签发中心，所有的原始证书均由该认证中心签发，包括个人证书和主机证书。用户要成为合法的网格用户，必须由CA中心签署其个人证书；如果用户需要部署网格服务并使其受限访问，则必须由CA中心签署一个合法的主机证书。?? 　　（2）信息服务器。它对外提供信息查询，如某项服务是否存在、某个用户能否有权访问某类服务、特定服务所在节点信息等。?? 　　（3）映射策略。它决定外域的用户访问本域时将被映射为何种身份。?? 　　（4）代理证书消费者。网格中通过使用代理证书进行资源安全访问。当某模块访问网格服务时，该模块扮演的角色就是代理证书消费者。一般在实际的系统中表现为资源调度器（Resource Broker）。?? 　　（5）代理证书提供者。代理证书消费者在访问服务前，必须向被访问服务出示自己的身份，即代理证书。代理证书消费者通过代理证书提供者请求获得所需的代理证书，