Globus的网格安全与管理模型分析.docxVIP

PAGE 1 PAGE 1 Globus的网格安全与管理模型分析  文章首先分析了网格涉及的安全问题，阐述了对其安全机制的考虑和基础技术。经过剖析当今典型系统Globus实现的网格安全架构解决方案GSI（GridSecurityInfrastructure），在借鉴其特长的基础上，以资源映射与管理为切入点提出了较为敏捷全面的网格安全体系结构模型。然后基于该安全体系结构模型在Globus环境下设计和实现了一个安全方案。  网格就是将地理分布、系统异构、性能各异的各种资源，通过高速互连网络连接并集成起来，形成的广域范围的无缝集成和协同计算环境。这些资源可以是高性能计算机、计算机机群、大型服务器、珍贵科研设备、大型通信设备、可视化设备等。网格给最终用户供应的是与详细地理位置、详细计算设施无关的通用的计算能力。它的核心就是突破了过去强加在计算资源上的种种限制，使人们能够以一种全新的、更自由、更便利的方式使用计算资源。但缺乏有效的安全机制将会限制网格技术的进一步发展和网格应用的进一步推广，因此网格的安全问题是网格的基本问题，网格的安全研究成为网格研究中的热点和难点。  一网格安全体系结构模型的提出  1.1网格涉及的安全问题  从本质上说，Internet的安全保障一般供应下面两方面的安全服务：一方面是访问掌握服务，用来保护各种资源不被非法用户使用或者合法用户越权使用；另一方面是通信安全服务，用来供应通信端的双向认证、通信数据的保密性和完整性（防止对通信数据的窃听和篡改）以及通信端的不可否认性服务。但是这两个方面的安全服务只能部分解决网格的安全问题。网格涉及的安全问题可以分为三个管理层次：  （1）远程访问安全管理：主要是保证用户与系统之间的数据安全，包括防止伪装用户、防止伪装服务器、防止对用户数据的窃听和篡改、防止用户否认、防止远程攻击和入侵。  （2）用户权利安全管理：主要是保证合法用户使用授权的资源，包括防止非法用户使用资源、防止合法用户越权使用资源。  （3）作业和任务安全管理：主要是保证作业和任务的安全运行，包括保证进程间的通信安全、防止恶意程序的运行、保证系统的完整性。  对于网格涉及的大部分安全问题，可以采用目前已有的安全技术加以解决。为了防止非法用户使用资源和防止合法用户越权使用资源，需要对用户进行限制性授权，但是在网格这样一个复杂的、动态的、广域的范围内，对用户进行限制性授权无法使用目前已有的安全技术加以解决，这是网格的安全研究领域一个具有挑战性的研究方向。网格的安全集中于解决如何将网格资源安全地安排给网格用户，以及如何保证网格用户安全地使用安排的网格资源。  1.2网格的安全机制的考虑  网格的安全保证是网格正常运行的保证。网格的安全机制必需考虑网格的如下特性：  （1）网格中的用户和资源量特别浩大，可以属于多个不同的组织、用户和资源动态可变。  （2）网格中的同一个用户可以在不同的资源上有不同的用户标识。  （3）网格中的资源可以支持不同的认证和授权机制，可以有不同的访问掌握策略。  （4）网格中的计算可以在执行过程中动态地申请和启动进程，可以动态地申请和释放资源。  （5）网格中的进程数量特别浩大，而且进程动态可变。一个计算过程可以由大量进程组成，这些进程之间可能存在不同的通信机制，底层的通信连接可在进程的执行过程中动态地创建并执行。  传统的传输层安全机制无法满意网格特有的用户单一登录要求，分布式系统采用的安全机制无法满意与本地的安全方案协同工作要求，特殊是在跨多个管理域的资源访问方面。我们无法完全使用现有的安全技术解决网格的安全问题，这就需要研究新的安全技术和新的安全机制。  1.3网格安全的基础技术  网格安全技术是指解决网格安全问题的详细方法,网格安全技术较多，其中PKI和SSL技术是网格安全关键技术的基础。  PKI（PublicKeyInfracture,公开密钥基础设施）技术是目前应用最广泛的网格安全认证技术。它是建立在公钥密码学基础上，主要包括加密、数字签名和数字证书等技术。在PKI系统中,CA（CertificateAuthority）是一个域中的认证中心,是可信认证的第三方机构。用户之间的通信和验证都要依靠CA所颁发的证书。其主要组成部分和操作流程如图1所示。  图1　PKI的主要组成部分和操作流程  美国密歇根大学开发的KX.509试图将Kerberos基础设施与X.509证书相融合来回避PKI/X.509与Kerberos认证机制的不兼容问题,其设计目标就是在Kerberos和PKI之间建立起一座桥梁。