摘 要: 針對網(wǎng)格計算" title="網(wǎng)格計算">網(wǎng)格計算所涉及的安全問題,分析了當今典型系統(tǒng)Globus實現(xiàn)的網(wǎng)格安全" title="網(wǎng)格安全">網(wǎng)格安全架構(gòu)GSI(Grid Security Infrastructure)。在借鑒GSI優(yōu)勢的基礎(chǔ)上,針對GSI授權(quán)機制的不足,提出了一種改進的訪問控制策略" title="控制策略">控制策略模型——中控訪問控制" title="訪問控制">訪問控制策略模型,并分析了其基本的工作原理。
關(guān)鍵詞: 網(wǎng)格安全 GSI? 訪問控制策略? 中控訪問控制策略
?
美國Globus網(wǎng)格項目之父Ian Foster說:“網(wǎng)格是構(gòu)筑在互聯(lián)網(wǎng)上的一組新興技術(shù),它將高速互聯(lián)網(wǎng)、計算機、大型數(shù)據(jù)庫、傳感器、遠程設(shè)備等融為一體,為科技人員和普通百姓提供更多的資源、功能和服務(wù)[1]。傳統(tǒng)的互聯(lián)網(wǎng)技術(shù)主要為人們提供電子郵件、網(wǎng)頁瀏覽等通信功能,而網(wǎng)格的功能則更多、更強,它能讓人們共享計算、存儲和其他資源”。從本質(zhì)上說,網(wǎng)格計算需要解決的問題就是如何在動態(tài)、異構(gòu)的虛擬組織間實現(xiàn)資源共享并協(xié)同解決某一問題。實質(zhì)上,網(wǎng)格就是一個集成的計算與資源環(huán)境,或者說是一個計算資源池。而網(wǎng)格計算就是指將分布的計算機組織起來協(xié)同解決復雜的科學與工程計算,使人們能夠以一種更自由、更方便的方式使用計算資源。但是,如果缺乏有效的安全機制,將會阻止網(wǎng)格技術(shù)的進一步發(fā)展,限制網(wǎng)格應(yīng)用的進一步推廣。因此,網(wǎng)格計算環(huán)境必須具有抗拒各種非法攻擊和入侵的能力,并且在受到攻擊和入侵時采取某些措施以維持系統(tǒng)的正常高效運行和保證系統(tǒng)中各種信息的安全。所以,網(wǎng)格安全問題比一般網(wǎng)絡(luò)安全問題的覆蓋面更廣,解決方案也更復雜,這正是本文所要探討的問題。
1 網(wǎng)格計算的安全問題
1.1 網(wǎng)格計算環(huán)境的主要特性
網(wǎng)格安全技術(shù)是通過身份認證等安全技術(shù)防止非法用戶通過網(wǎng)絡(luò)使用或獲取網(wǎng)格的任何資源,保障數(shù)據(jù)的安全性。同時,通過權(quán)限控制和數(shù)據(jù)隱藏技術(shù)使用戶只能獲取被許可的信息和知識,而不能竊取未授權(quán)的信息。在網(wǎng)格安全設(shè)計中,需要考慮的網(wǎng)格特性主要有以下幾點:
(1)網(wǎng)格是一個異構(gòu)的環(huán)境,在計算網(wǎng)格中,不同的節(jié)點采用不同的硬件或操作系統(tǒng)。
(2)用戶數(shù)量巨大,且動態(tài)變化。
(3)資源數(shù)量巨大,且動態(tài)變化。
(4)一個計算可能在其運行期間動態(tài)地要求使用或釋放資源,并可能需要創(chuàng)建許多不同的進程。
(5)不同的信任域可能要求不同的安全策略(認證和授權(quán)機制)。
(6)資源和用戶屬于多個不同的組織。
(7)用戶在不同的資源上可有不同的標識。
1.2 網(wǎng)格環(huán)境的安全需求
從本質(zhì)上講,Internet的安全保障一般提供以下兩方面的安全服務(wù)" title="安全服務(wù)">安全服務(wù):(1)訪問控制服務(wù),用來保護各種資源不被非授權(quán)使用;(2)通信安全服務(wù),用來提供認證、數(shù)據(jù)保密性與完整性以及各通信端的不可否認性服務(wù)。但是這兩方面的安全服務(wù)不能完全解決網(wǎng)格計算環(huán)境下的安全問題。
為了保障網(wǎng)格計算環(huán)境的安全,GSI的主要目標是:(1)支持網(wǎng)格計算環(huán)境中主體之間的安全通信,防止假冒和數(shù)據(jù)泄密;(2)支持跨虛擬組織的安全,這樣就不用采用集中管理的安全系統(tǒng);(3)支持網(wǎng)格計算環(huán)境中用戶的單點登錄,包括跨多個資源和地點的信任委托和信任轉(zhuǎn)移等。為此,GSI為網(wǎng)格計算環(huán)境提供了一系列的安全協(xié)議、安全服務(wù)、安全SDK(Soft Development Kits)和命令行程序。通過使用這些安全技術(shù),可有效地保證網(wǎng)格計算環(huán)境的安全性和方便性。
2 網(wǎng)格安全的實現(xiàn)
2.1 網(wǎng)格安全基礎(chǔ)設(shè)施
美國網(wǎng)格研究項目Globus提出的網(wǎng)格安全基礎(chǔ)設(shè)施(GSI)與PKI技術(shù)相結(jié)合提供了滿足網(wǎng)格安全要求的框架,框架如圖1所示。
從圖1可以看出,Globus安全策略由以下五個部分組成[5]:
(1)用戶User(U):一個Globus計算過程的請求者,可以是人或代理(一個進程)。
(2)用戶代理UserProxy(UP):在一個有限時間內(nèi)代表用戶行使一定權(quán)限的一個進程。
(3)進程Process(P):一個邏輯主體,提供進程管理API創(chuàng)建,并代表一個用戶在特定資源上進行計算。
(4)資源Resource(R):在一個計算過程中使用的計算節(jié)點、文件系統(tǒng)、網(wǎng)絡(luò)或其他主體。
(5)資源代理ResourceProxy(RP):一個有不定期權(quán)限的資源管理者。
2.2 網(wǎng)格安全的主要技術(shù)及其不足
2.2.1 網(wǎng)格安全的主要技術(shù)
Globus中的網(wǎng)格安全架構(gòu)GSI是一個解決網(wǎng)格安全問題的集成方案,它融合了目前成熟的分布式安全技術(shù),并對這些技術(shù)進行一定的擴展,以適合網(wǎng)格計算環(huán)境的特點。GSI中的主要安全技術(shù)包括:
(1)認證證書:GSI認證證書采用X.509的證書格式,可被其他基于公鑰的軟件共享。
(2)雙向認證:GSI采用SSL作為它的雙向認證協(xié)議,實體之間通過認證證書證明彼此的身份。
(3)保密通信:GSI采用公鑰技術(shù)與對稱加密技術(shù)結(jié)合的加密方式,在保證通信安全性的同時盡量減少加解密的開銷。
(4)安全私鑰:GSI將用戶的私鑰以文件的形式加密存儲在用戶計算機上,以此保護用戶的認證證書。
(5)授權(quán)委托:GSI對標準的SSL協(xié)議進行擴展,使得GSI具有授權(quán)委托能力,減少用戶必須輸入口令來得到私鑰的次數(shù)。
(6)用戶單一登錄:GSI使用用戶代理解決用戶單點登錄問題。
2.2.2 網(wǎng)格安全技術(shù)的不足
GSI授權(quán)是通過對一個文件的操作實現(xiàn)的,這個文件提供了證書標識(全局用戶)到本地賬號的映射關(guān)系。但是GSI也存在一些不足,如:GSI要求每一個訪問資源的全局用戶都要在本地資源服務(wù)器上擁有一個自己的賬號,每一個資源服務(wù)器都需要維護一個龐大笨拙的全局/本地映射表,這種授權(quán)機制難以擴展到擁有大量資源和大量用戶的大規(guī)模環(huán)境中。由此可知,GSI缺乏基于全局策略的具有良好擴展性的訪問控制機制。
3 網(wǎng)格訪問控制策略的改進
網(wǎng)格要達到資源共享的目的,必須解決資源的訪問控制問題。網(wǎng)格的訪問控制必須建立在現(xiàn)有的訪問控制系統(tǒng)之上。但是由于網(wǎng)格跨越多個不同的地點和不同的自治域,每個域的訪問控制策略和需求可能十分不同,這使得資源的訪問控制更加復雜?,F(xiàn)有的訪問控制系統(tǒng)必須進行擴展才能移植到網(wǎng)格系統(tǒng)中。訪問控制對資源的機密性、完整性起著直接作用。
3.1 訪問控制術(shù)語
(1)訪問控制的客體(Object):需要保護的資源,又稱作目標。
(2)訪問控制的主體(Subject):是一個主動的實體,可以訪問客體,通常指用戶或代表用戶執(zhí)行的程序,又稱為發(fā)起者。
(3)訪問控制的授權(quán)(Authorization):可對該資源執(zhí)行的動作,例如讀、寫、執(zhí)行或拒絕訪問。
(4)訪問控制的策略(Policy):基于身份的訪問控制或基于規(guī)則的訪問控制。
3.2 傳統(tǒng)的訪問控制策略
基于身份的訪問控制策略,又叫自主訪問控制策略,是指具有某種訪問能力的主體能夠根據(jù)自己的意愿自主地將有訪問權(quán)的某個子集授予其他主體,如客體的擁有者對客體有所有的訪問權(quán),并能將其權(quán)限子集分配給其他用戶。自主訪問控制是根據(jù)主體的身份及允許訪問的權(quán)限進行決策的,這種控制是自主的。它的優(yōu)點是靈活度高、粒度小,但是信息在移動過程中其訪問權(quán)限關(guān)系很容易被改變,其配置管理工作量很大,不太適合網(wǎng)格的動態(tài)多自治域的環(huán)境。
基于規(guī)則的訪問策略,又稱強制訪問策略,是指獨立于用戶行為而強制執(zhí)行訪問控制的規(guī)則。這樣的規(guī)則通常按照安全等級對數(shù)據(jù)和用戶劃分標簽,訪問控制機制通過比較安全標簽來確定允許還是拒絕用戶對資源的訪問。用戶不能改變他們的安全級別或?qū)ο蟮陌踩珜傩?。它的?yōu)點是保密性強,信息不會被輕易泄漏,但是它的配置粒度大,缺乏靈活性。
3.3 改進的訪問控制策略模型
在傳統(tǒng)的訪問控制策略的基礎(chǔ)上,采取結(jié)合和折衷的辦法,提出一種不同于傳統(tǒng)訪問機制的中控訪問控制策略模型,其訪問主體通過一個中控器訪問客體。該模型的簡化圖如圖2所示。
從上圖可知,訪問控制策略由中控器決定,它跟據(jù)主體不同的要求為其分配一個相應(yīng)的訪問權(quán)限。特點如下:
(1)如果用戶要求保密性強,則訪問控制機制就通過比較安全標簽來確定授予還是拒絕用戶對資源的訪問。用戶不能改變他們的安全級別或?qū)ο蟮陌踩珜傩浴?BR> (2)如果用戶要求比較靈活,也就是主體能根據(jù)自己的意愿自主地將訪問權(quán)的某個子集授予其他主體,則采用身份訪問策略機制,即根據(jù)主體的身份及允許訪問的權(quán)限進行決策。
(3)如果既要靈活,又要保密,則由中控器決定不同的角色,把許可權(quán)分配給這些角色,然后由用戶選擇不同的角色進行訪問。
總之是由中控器控制決定許可權(quán)的分配,并且該中控器具有繼承性,這樣既可以保證靈活性好,又可以保證保密性強。缺點是配置工作量非常大。
本文針對網(wǎng)格的安全問題進行了探討,并且主要對GSI訪問控制策略的不足,提出了一種改進的訪問控制策略模型——中控訪問控制策略模型,同時分析了該策略的基本原理和特性。但是中控訪問控制策略還存在一些不足之處,如配置工作量非常大,還需要進一步改進和完善,并且該策略的實現(xiàn)還有待進一步的研究。同時,網(wǎng)格安全的引入不能影響網(wǎng)格計算的性能。
參考文獻
1 都志輝,陳 渝,劉 鵬.網(wǎng)格計算[M].北京:清華大學出版社,2002
2 關(guān)豪英.初探網(wǎng)格計算中的安全問題[J],邢臺學院學報,2005;2(20):119~121
3 應(yīng) 宏,鐘 靜.網(wǎng)格技術(shù)的安全策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2004;(7):42~44
4 劉怡文,李偉琴,韋 衛(wèi).信息網(wǎng)格安全體系結(jié)構(gòu)的研究[J].北京航空航天大學學報,2003;29(7):19~24
5 GGF OGSA Security Workgroup.Security architecture for open grid services.http://www.ggf.org/ogsa-sec-wg,2003-06-05