网格计算安全模型的研究

石继明

0 引言

网格计算是一种新型的计算模式，具有数据处理能力强和运行成本低的特点。近年来，有关网格计算系统的安全性设计越发受到关注，但现有的网络安全技术在处理复杂的、动态的网格计算系统时，在访问控制、权限授予等环节的效果并不理想。通过研究网格计算系统的安全性需求、以及较为成熟的网格安全架构GSI，结合现有安全技术的缺陷与不足，提出了一种新的安全体系结构模型。

1 网格存在的安全问题

Internet的安全保障一般提供下面两方面的安全服务：一方面是访问控制服务，用来保护各种资源不被非法用户或者合法用户越权使用；另一方面是通信安全服务，用来提供通信段的双向认证、通信数据的保密性和完整性（防止对通信数据的窃听和篡改）以及通信端的不可否认性服务。但是这两个方面的安全服务只能部分解决网格计算系统的安全问题。网格计算系统涉及的安全问题可以分为 3个管理层次：

（1）远程访问安全管理：主要是保证用户与系统之间的数据安全，包括防止伪装用户、伪装服务器、对用户数据的窃听和篡改、以及防止用户否认和远程攻击和入侵。

（2）用户权利安全管理：主要是保证合法用户使用授权的资源，包括防止非法用户使用资源、合法用户越权使用资源。

（3）作业和任务安全管理：主要是保证作业和任务的安全进行，包括保证进程间的通信安全、防止恶意程序的运行、保证系统的完整性。

对于网格计算系统涉及的大部分安全问题，可以采用目前已有的安全技术加以解决。为了防止非法用户使用资源和防止合法用户越权使用资源，需要对用户进行限制性授权，但是在网格计算系统这样一个复杂的、动态的、广域的范围内，对用户进行限制性授权，无法使用目前已有的安全技术去解决，这是网格计算系统的安全研究领域的一个具有挑战性的研究方向。网格计算系统的安全，集中于解决如何将网格资源安全地分配给网格用户，以及如何保证网格用户安全地使用分配的网格资源。

2 网格计算系统的安全机制

网格计算系统的安全保证，是网格计算系统正常运行的保证。网格计算系统的安全机制，必须考虑网格计算系统的如下特性：

（1）网格计算系统中的用户和资源量非常大，可以属于多个不同的组织，而且用户和资源动态可变。

（2）网格计算系统中的一个用户，可以在不同的资源上有不同的用户标识。

（3）网格计算系统中的资源，可以支持不同的认证和授权机制，可以有不同的访问控制策略。

（4）网格计算系统中的计算，可以在执行过程中，动态地申请和启动进程，可以动态地申请和释放资源。

（5）网格计算系统中的进程中信息量非常庞大，而且进程的动态变化极快。一个计算过程可以由大量子进程组成，这些子进程之间，可能存在不同的通信机制，底层的通信连接可在进程的执行过程中动态地创建并执行。

传统的传输层安全机制，无法满足网格计算系统特有的用户单一登录的要求，分布式系统采用的安全机制，无法满足于本地安全方案协同工作的要求，特别是在跨多个管理域的资源访问方面。我们无法完全使用现有的安全技术，去解决网格计算系统的安全问题，这就需要研究新的安全技术和新的安全机制。

3 网格安全架构GSI

Globus中的网格安全架构GSI（Grid Security Infrastructure）是解决网格计算系统的安全问题的一个集成方案，它结合目前成熟的分布式安全技术，并对这些技术进行一定的扩展，以适合网格计算系统的特点。GSI的特点在于保证网格计算系统的安全性的同时，尽量方便用户和各种服务的交互，而且 GSI充分利用现有的网格安全技术，并对某些部分进行扩充，使得在网格计算系统下 GSI具有一个一致的安全性界面，极大地方便了网格应用的开发和使用。

GSI中的主要安全技术手段包括：认证证书、双向认证、保密通信、安全隐钥、授权委托和用户单一登录。GSI认证证书采用了X.509的证书格式，可被其它基于公钥的软件共享；GSI采用SSL作为他的双向认证协议，实体之间通过认证证书证明彼此的身份；GSI采用公钥技术与对称加密技术结合的加密方式，在保证通信安全性的同时尽量减少加解密的开销；GSI将用户的私钥以文件的形式进行了扩展，使得GSI具有授权委托的能力，减少用户必须输入口令来得到私钥的次数；GSI使用用户代理解决用户单一登录的问题。

但是 GSI也存在一些不足之处，如实体之间的认证频繁而复杂、执行开销较大，适应性和扩展性比较局限，尤其对系统改变较频繁和规模不断增大的环境。

4 网格计算系统安全体系的结构模型

从网格安全设计和实现的角度，对网格计算系统提出一个安全体系的结构模型。主要考虑以下几点，这几点应该成为安全体系结构模型的特点和优点。

（1）硬件的物理安全和具体的安全技术应该划分在不同的层次。

（2）所有的安全技术应该划分在同一个层次。

（3）不同的安全技术采用不同协议和实现方法，不同的安全技术彼此不兼容，解决办法是对这些安全技术进行概括和抽象，这种概括和抽象能够“包容”不同的安全技术。

（4）应该定义一些网格安全协议，这些协议不同于已有的安全协议。

（5）网格应用应该架构在网格安全协议的基础上。

我们提出的安全体系结构模型如图1所示，安全体系结构模型的层次从下到上依次为：

（1）节点和互联层（Node and Interconnection Layer）：包括各种各样的硬件，这一层的安全主要是硬件的物理安全。

（2）系统和网格安全技术层（System and Network Security Technology Layer）：包括各种各样的系统安全技术和网络安全技术，涵盖防火墙、虚拟专用网、SSL、SSH、加密解密、数字签名、入侵检测系统、完整性检查、Kerberos等。

（3）网格安全基础层（Grid Security Basic Layer）：提供支撑网格安全协议的基础技术，这些基础技术包括证书的获得和管理以及用户和资源的映射。

（4）网格安全协议层（Grid Security Protocol Layer）：提供一系列的网格安全协议，这些协议描述网格计算系统如何将网格资源安全地分配给网格用户以及如何保证网格用户安全地使用分配的网格资源。

（5）网格安全应用层（Grid Security Application Layer）：基于网格安全协议的各种各样的网格应用。

安全体系结构模型具有良好的扩展性、能够适应动态的环境、是研究很多网格问题的良好框架。

5 网格计算系统安全体系结构模型的分析

网格安全协议层和网格安全基础层，是安全体系结构模型中两个核心，是解决网格安全问题的关键。考察网格用户使用网格资源进行网格计算时，用户、资源、进程等实体之间如何进行交互，并针对各种交互情况定义相应的安全策略。当考察的重点放在网格用户申请分配网格资源和使用分配的网格资源时，网格用户和网格计算系统进行的复杂交互，这些复杂交互涉及一系列实体间的身份确认。

安全体系结构模型涉及以下几个概念：

陆徵祥八任外交总长，两任国务总理，在此期间签订了令他痛心的《二十一条》，拒绝了巴黎会议上政府施压让他在《凡尔赛和约》上签字的要求。他在任期间为中国外交的现代化做出了贡献，创建了外交人才的培养体系。

（1）证书（Certificate）：网格计算系统中，用来证明实体身份的一段信息或一个文件，证书由可供信任的机构（认证中心）进行签发，有固定的格式。并且有一定的有效时间。

（2）双向认证（Mutual Authentication）：网格计算系统中的两个实体进行交互之前，用来证明彼此身份的真实性的一个过程。

（3）用户代理（User Proxy）：用户代理是一个由用户创建的进程，用户将他的部分或全部权限授予该进程，该进程代替用户完成双向认证、申请资源、提交作业、得到结果等工作。

（4）资源代理（Resource Proxy）：资源代理是一个由网格计算系统创建的进程，网格计算系统将一组资源的管理权限授予该进程，该进程负责这组资源的双向认证，以及分配和回收等工作。

（5）中介（Broker）：中介是一个由网格计算系统创建的进程，中介向用户代理和资源代理提供中介服务，用户代理使用中介提供的中介服务可以协同分配到多个资源代理管理的大量资源。

（一）协议

（二）证书的组成、获得和管理

证书是网格计算系统中的实体，用来证明自己身份的一段信息或一个文件。证书由可供信任的机构（认证中心）进行签发，有固定的格式，并且有一定的有效时间。为了防止伪造证书，证书至少包含以下几部分信息：

（1）认证中心的名称：签发这个证书的认证中心的名称。

（2）证书的有效时间：这个证书有效地开始时间和结束时间。

（3）证书拥有者的名称：拥有这个证书的用户或资源名称。

（4）证书拥有者的公钥信息：拥有这个证书的用户或者资源的公钥信息，进行双向认证时用来证明证书拥有者的合法性。

（5）认证中心的数字签名：签发这个证书的认证中心的数字签名，进行双向认证时用来证明证书本身的合法性。

（三）用户或资源获得的证书

（1）用户或资源管理者使用命令或相应的函数，创建用于身份鉴别的公钥、私钥和未签名的证书，然后通过电子邮件或其他安全途径把未签名的证书，提交给认证中心。

（2）认证中心收到未签名的证书后，对用户或资源进行考察。

（3）用户或资源考察合格后，认证中心用自己的证书（认证中心的证书）对未签名的证书进行签名，然后把签名的证书通过电子邮件或其他安全途径，返还给用户或资源管理者。

证书的管理，最主要是证书的存储和证书的使用。其他对证书的管理包括：建立可供信任的认证中心、使用函数或软件生成公钥和私钥、使用函数或软件生成未签名的证书、使用函数或软件对证书进行签名、对用户代理和进程创建临时证书、撤销虽然未到期但是不再使用的证书或临时证书、将证书或临时证书的使用绑定在固定的节点上。

（四）用户和资源的映射

因为用户和资源在网格计算系统的高层（网格用户和网格资源）和网格计算系统的低层（本地用户和本地资源）的身份描述是不一样的，所以首先要在这两种身份之间建立某种映射关系，才能进行各种本地安全管理和具体的本地计算。

用户和资源的映射策略和具体的用户管理策略密切相关，不同的用户管理策略将会有不同的用户和资源映射策略。一种简单的用户和资源的映射策略是建立用户和资源映射表，通过查找映射表进行用户和资源的映射。下面先解释客体、主体和信任域的概念，然后列出我们总结的四条映射关系。客体（Object）指网格计算系统中受到安全规则保护的资源；主体（Subject）指网格计算系统中可能对客体造成破坏的用户或进程；信任域（Trust Domain）指网格计算系统中一个逻辑的、可管理的区域，具有明确的边界。存在的映射关系如下：

关系1：对每一个信任域而言，存在全局客体到局部客体的映射表；

关系2：对每一个信任域而言，存在全局主体到局部主体的映射表和局部主体到全局主体的映射表；

关系3：如果将全局安全规则作用于一个全局主体和一个全局客体，这个全局主体通过了全局安全规则，也就是说这个全局主体可以操作这个全局客体，那么将这个全局主体映射到某个局部信任域内的某个局部主体后，这个全局客体也相应地映射到这个局部信任域内的某个局部客体，若这个局部主体通过了这个局部信任域内的据不安全规则，则该局部主体可以操作这个局部客体；

关系4：如果一个操作跨域多个局部信任域，即这个操作涉及多个局部信任域内的局部主体和局部客体，只有当该操作涉及的每个局部主体都通过相应的局部安全规则，也就是该操作涉及的每个局部主体都可以操作相应的局部客体后，该操作才能够执行。

6 结束语

通过对网格计算系统的安全性需求、以及较为成熟的网格安全架构 GSI的研究和分析，我们总结了现有安全技术的缺陷与不足，并提出了一种新的安全体系结构模型，其具有良好的扩展性、能够适应动态的环境，是研究很多网格问题的良好框架。本文最后就网格计算安全体系结构模型中，核心层次所涉及的实体间交互、相应安全策略设计等问题做了充分的阐述，为后期设计实现提供了有效可靠的依据。

[1]The Worldwide LHC Computing Grid (WLCG),in:Proceedings of the Conference on Computational Physics 2006(CCP 2006),vol.177,2007,pp.219-223

[2]The European Grid Initiative Design Study,website at http://web.eu-egi.eu/.

[3]The Enabling Grids for E-sciencE(EGEE)project,http://public.eu-egee.org/.