網格計算充分利用了現(xiàn)有的從個人電腦到超級計算機的計算系統(tǒng)，讓用戶可以共享位于不同地理位置和組織上的計算資源和數(shù)據(jù)程序等。這一新的計算技術可以把現(xiàn)有的計算基礎設施轉換成一個集成的無處不在的虛擬計算環(huán)境。然而，盡管商業(yè)組織和研究機構都愿意為了技術合作或是商業(yè)利益上的原因來共享他們的資源，但如果他們無法信任這種共享的安全性，如通信的保密性、數(shù)據(jù)和資源的完整性以及用戶信息的隱私性等，他們是不會接受這種分布式計算基礎設施的。換句話說，只有當網格用戶能夠充分信賴網格的安全性以后，網格才能真正大規(guī)模地開展起來。
　　傳統(tǒng)的安全措施都集中在孤立的系統(tǒng)上，并且采用嚴格的用戶策略來保護資源。例如，目前的絕大多數(shù)組織都在其計算機網絡周圍布置網絡防火墻來保護他們的重要數(shù)據(jù)。但是網格計算的核心思想就是要使得資源能夠超越現(xiàn)存的組織以及地理上的界限，從而實現(xiàn)最大程度上的共享。在網格環(huán)境" title="網格環(huán)境">網格環(huán)境下，網格的參與者都是動態(tài)地來自于虛擬組織。而先于共享行為建立起來的信任關系，常常是在組織這一層面上，而非個體層面^[1]。因此，在網格環(huán)境下采取面向單個用戶的嚴格安全策略被證明是很難行得通的。通常情況下，單個用戶的事務處理往往涉及到許多個網格節(jié)點，而這些網格節(jié)點是動態(tài)的且不可預知的。此外，與傳統(tǒng)的Internet不同，網格會對外部用戶提供更大程度上的訪問權限，從而增加了安全方面的風險。
1 基本的安全需求
　　從廣義上講，任何信息系統(tǒng)的安全目標都是要阻止沒有被正確授權的用戶來訪問相應的資源和信息^[2]。下面說明網格環(huán)境下安全問題的基本要素以及這些要素的重要性。
　　(1)鑒定 鑒定是一個驗證身份的過程。在傳統(tǒng)的信息系統(tǒng)中，鑒定通常都是對客戶端的身份進行驗證以確保服務端的安全。而在網格環(huán)境下，除了要對客戶端進行身份驗證外，還要對服務端的身份進行驗證，以防止有冒名頂替者提供虛假服務。
　　(2)授權 授權機制決定了系統(tǒng)是否允許一個請求的操作活動。在網格環(huán)境下，這樣的機制必須在做出決策之前，綜合考慮到所有與資源相聯(lián)系的分布式策略。
　　(3)完整性和保密性 保持數(shù)據(jù)的完整性和保密性是非常重要的。數(shù)據(jù)在傳輸和存儲的過程中，必須有適當?shù)?a class="cblue" href="http://ihrv.cn/search/?q=安全機制" title="安全機制">安全機制來阻止未經授權的訪問，并且在有些情況下，還必須阻止未經授權的組織來獲取數(shù)據(jù)是否存在的相關信息。
　　(4)賬號與審計 賬號與審計在網格環(huán)境下扮演著非常重要的角色。隨著商業(yè)部門的大規(guī)模網格的開展，商業(yè)組織會需要一種機制來控制它們并對于消費所提供的資源和服務進行收費。賬號機制還可以確保所有的用戶遵守資源使用協(xié)議。而執(zhí)行操作的審計信息記錄則可以對威脅或破壞事件進行追蹤。
　　(5)不可抵賴性 不可抵賴性是指即使在嫌疑人否認的情況下，也能夠證明嫌疑人曾經執(zhí)行過或同意過某一具體的任務。在網格這種多方參與的環(huán)境里，能夠證明任務以及人員之間的相互關系是非常重要的，尤其是當有爭議出現(xiàn)時更是如此。
2 網格中特殊的安全需求
　　最先開始出現(xiàn)的網格主要分布在互相信任的一些安全域中，如學術組織和研究機構。而目前，Globus Alliance和其他一些研究機構和商業(yè)組織等聯(lián)合開發(fā)的開放網格體系結構(OGSA)已經被廣泛接受。OGSA致力于定義用來統(tǒng)一創(chuàng)建、命名和發(fā)現(xiàn)網格服務的行為和機制。隨著OGSA逐漸成為網格的體系結構的標準，許多大公司也開始使用網格技術。這些組織越來越關心網格環(huán)境下的一些諸如知識產權、隱私性和保密性等問題。開發(fā)一個安全的網格體系結構所面臨的一個主要的挑戰(zhàn)，就是要使得網格能夠支持一系列的安全需求" title="安全需求">安全需求，即從最簡單的安全需求到最高保密級別的問題空間集。
　　網格包含不同的安全域，每個安全域都有各自自主的安全機制。一個有效的網格安全體系結構必須能夠提供在這些不同安全域鴻溝之間牽線搭橋的協(xié)議和機制，同時又能夠保留每個安全域對于它自己本地資源的完全控制權。
2.1 身份
　　每個組織都要通過某種形式的身份，如用戶名、密碼或數(shù)字證書等來與用戶進行聯(lián)系。在網格環(huán)境中，為了在不同的組織之間建立聯(lián)系以及能夠進行賬號管理，每一個用戶都必須擁有一個網格身份。一個本地的用戶身份要和網格身份進行匹配，而網格身份又要和用戶指定的遠程資源上的身份進行匹配。在多組織協(xié)作的環(huán)境下，建立信任關系是非常困難的。通常，有這樣的虛擬組織會采取集中身份服務的方式來實現(xiàn)這種信任關系的管理^[3]，例如社區(qū)授權服務CAS(Community Authorization Service)。每一個資源提供者都要通知CAS服務器關于虛擬組織成員對于它的資源所擁有的權限集。要訪問一個資源，用戶需向CAS服務器申請基于其自身權限的權限證書。用戶向其想要訪問的資源出示其申請的證書，由資源對證書進行驗證后，才準許該用戶訪問。
　　圖1給出的是一個網格環(huán)境下的典型的安全流程。用戶從證書頒布機構創(chuàng)建一個臨時證書(步驟①)。有了臨時證書后，通過X.509身份驗證或是通過代理驗證就可以獲得站點A本地域的一個合法身份(步驟②)。站點A上的安全機制在虛擬組織的共同規(guī)則的允許下，負責遞交用戶需求。這其中就包括為用戶簽署虛擬組織身份、特征證書等，并以站點A的虛擬組織身份遞交這種需求(步驟③)。用戶的身份要和站點B的本地身份進行匹配。若站點B上沒有用戶需要的服務，包括數(shù)據(jù)、程序資源等，站點B又會代表用戶獲取站點C上的資源(步驟④)。

2.2 多樣性
　　參與到網格中的組織，通常都有各自不同的內部安全機制。理想情況下，每一個組織都應該能夠使它現(xiàn)有的資源適應網格環(huán)境；用戶亦能夠使用他們的本地身份在他們自身的安全域中進行鑒定，然后再使用鑒定文本訪問遠程站點。因此，安全結構必須能從本地安全域中提供其他站點可以使用的鑒定文本。換句話說，當用戶訪問一個遠程站點時，安全體系結構應該驗證用戶提供的鑒定資料并把它轉換成遠程站點所使用的協(xié)議形式。這樣遠程站點才可以使用其本地協(xié)議和策略來驗證用戶的訪問權限。
2.3 分布式框架
　　在任何形式的協(xié)作環(huán)境中，不同的組織都會希望采用它們各自特殊的規(guī)則。例如，一個組織也許會希望把遠程用戶的訪問時間限制在非高峰時段內，從而確保該組織內部的本地的非網格的用戶能夠不受影響。為了實現(xiàn)這一目標，虛擬組織必須集合相關的本地策略并評估當有用戶請求訪問資源時的結果。不同于傳統(tǒng)的系統(tǒng)，在網格環(huán)境下，有關服務的策略設置和策略決定以及強制點等都分布在不同的機器上。
　　網格環(huán)境下的信任關系會很復雜。例如，實體A加入一個具有兩個互為競爭關系的協(xié)作組織，而這兩個競爭實體彼此都不應該知道對方有了A的參與。在這種情況下，鑒定文本必須保持獨立，而且每個文本的存在這一事實也應該保持在秘密狀態(tài)。另一個網格應用的場景涉及到信任證書的委托，也就是說用戶A可能會把他的訪問權限委托給用戶B，并允許用戶B代表A的身份訪問網格資源。這種情況就會使得信任關系變得復雜，因為資源信任的也許只是最初始的用戶A，而不是具有了委托證書的用戶B。
　　為了提供容錯機制并提高性能，網格會在不同的資源節(jié)點之間復制數(shù)據(jù)。此外，服務或者處理過程也會在它的生存期間從一個網格資源向另一個網格資源移植。而傳統(tǒng)的訪問控制策略則適用于擁有數(shù)據(jù)的資源，而不是數(shù)據(jù)本身。利用OGSA把資源和數(shù)據(jù)都抽象成服務，可以減少這種問題^[4]。網格在不同節(jié)點之間復制應用數(shù)據(jù)的同時，還可以復制策略數(shù)據(jù)。因此，網格需要一個實時的數(shù)據(jù)同步機制來保持較高的安全層次。
2.4 終端用戶
　　目前，許多網格通過使用公鑰安全基礎設施(PKI)來提供安全的鑒定和通信。然而，在基于PKI的系統(tǒng)中，網格用戶會發(fā)現(xiàn)密鑰管理是一項非常繁瑣的工作，因為用戶要負責保護好他們的個人密鑰。而且，一個網格用戶也許會從不同的訪問節(jié)點來訪問網格，而在這些不同的機器上復制這些密鑰就有可能導致密鑰泄露出去。目前，很多網格組織通常都采用來自于用戶永久信任證書的短期信任證書。MyProxy是一個在線信任證書倉庫，可以存儲用戶的信任證書并且在需要時可以提供短期信任證書。
　　網格體系結構應該在提供網格服務的同時，給用戶提供一個簡單的使用環(huán)境，使用戶能夠保持本地的訪問模式。然而，當用戶有不同的訪問網格的方法時，提供單點登錄能力就變得非常困難。而且，網格下的應用也許還會有更具體的安全需求。網格安全中間件必須包括支持這些需求的組件。
2.5 資源管理
　　資源管理者需要確保用戶和資源的隱私性和保密性，不僅要保護好數(shù)據(jù)本身，還要保護好數(shù)據(jù)存在的證據(jù)。而且，安全體系結構應該嚴格阻止來自于其他組織的用戶的惡意代碼。
　　網格參與者希望能夠確保他們的系統(tǒng)不被誤用，同時還要求其他的參與者按照協(xié)議提供特定質量的服務。防火墻雖然能夠防止組織的系統(tǒng)被誤用，但同時也阻止了經過鑒定的正當?shù)陌踩ㄐ?。如果在嚴密防范之下，仍然有危險或者攻擊出現(xiàn)，賬號信息必須能夠識別出入侵者的身份。因為賬號信息是分布式的，所以要獲得這些信息將十分繁瑣，因而所有的參與者是否都能提供有效的信息就變得非常關鍵。
　　網格信任關系的動態(tài)特性也會影響資源安全。例如，在任何特定的合作活動的終端，涉及到的組織必須能夠宣布訪問無效從而阻止未經授權的訪問。鑒定和授權信息的變化必須通知到網格上所有的相關實體。如果能證明在PKI系統(tǒng)中使用的證書已撤回，就不能夠很好地滿足這些需求，證書的撤回必須是實時的而且是分布式的。針對成千上萬個網格上的節(jié)點，資源管理策略是一個巨大難題。管理員必須配置并監(jiān)視資源以監(jiān)測是否被誤用。
3 現(xiàn)有的網格安全技術與標準
　　目前，網格安全研究都集中在創(chuàng)建一種保護模塊，該模塊能夠對面向各種各樣的網格應用提供一種分布式安全基礎設施。通過定義一系列的安全協(xié)議和安全機制，在虛擬組織間建立一種安全域，從而為資源共享提供一個可靠的安全環(huán)境。下面分別分析目前網格安全研究方面的一些技術和標準。
3.1 Web服務安全標準
　　IBM、微軟等大公司已經聯(lián)合向高級結構化信息標準組織OASIS(Organization for the Advancement of Structured Information Standards)提交了一種Web服務(WS)安全規(guī)范。該規(guī)范提供一種簡單的目標訪問協(xié)議SOAP(Simple Object Access Protocol)消息框架來集成并支持各種現(xiàn)有的安全模型，并且還建議對SOAP進行擴展以實現(xiàn)這種集成以及保密性。SOAP提供了一個標準的、與平臺無關的、語言中立的機制，用來進行安全的消息交換。盡管WS安全規(guī)范本身并不提供一套完整的解決方案，但是它定義了構建保護模塊，使得開發(fā)Web服務時可以使用該模塊在更高的層次上構建安全框架。因此，網格安全體系結構把WS安全規(guī)范作為構建跨越不同安全模型的網格安全結構的基礎。表1是WS安全的一些被建議的標準規(guī)范。

3.2 消息層的安全
　　以往使用的傳輸層安全是指通過支持X.509代理證書的傳輸層安全TLS(Transport Layer Security)來實現(xiàn)身份鑒定。傳輸層安全主要依賴于傳輸機制自身的安全保障。盡管這種方法可以確保網格服務安全，但是它也被完全限制在所使用的傳輸機制上，從而為這種方法的使用帶來諸多不便。
　　隨著網格與Web服務的融合，網格正逐漸向使用消息層安全轉換。消息層安全支持WS安全標準以及WS安全會話規(guī)范，并為SOAP消息提供保護。因為消息層安全的工作方式是確保每一條的SOAP消息的安全，它可以和任何形式的傳輸層協(xié)議配套工作，并且允許根據(jù)數(shù)據(jù)的重要程度和敏感程度來執(zhí)行不同級別的安全保護。
3.3 安全聲明標記語言
　　當不同的組織共享資源時，他們需要一種通用的語言，以便網格實體能夠交換安全信息。安全聲明標記語言SAML(Security Assertion Markup Language)是被OASIS認可的標準，SAML定義了一種語言和協(xié)議來交換鑒定和授權的信息。SAML聲明包含關于鑒定的參考標準、授權的決策以及和某一特定主體相關聯(lián)的屬性等相關信息。SAML策略可以寄存于外部策略存儲環(huán)境中，而這一特性就使得虛擬組織可以很容易地在本地安全域中使用各種現(xiàn)有的策略。
　　SAML定義了一種查詢-響應協(xié)議接口，以便客戶端向SAML授權中心查詢聲明。這種由基于XML消息格式組成的協(xié)議，能夠輕松地與許多不同的底層通信和傳輸協(xié)議綁定在一起。而且，附著在SAML聲明和查詢上的時間標簽讓虛擬組織狀態(tài)和用戶屬性有了實時的限制，從而在網格環(huán)境中建立動態(tài)的信任關系。
3.4 網格安全基礎設施
　　目前，絕大部分的網格系統(tǒng)使用的都是網格安全基礎設施^[5]GSI(Grid Security Infrastructure)。GSI作為Globus Toolkit的一個組成部分，提供了基于PKI的安全鑒定和安全通信。GSI的關鍵就在于與網格實體相關的信任證書。系統(tǒng)通過標準的X.509證書來鑒別網格上每一個用戶和服務。X.509證書通常由第三方證書權威組織來簽發(fā)，包含用戶和服務的信息，以便確認實體身份的合法性。GSI使用安全套接層SSL(Security Socket Layer)和TLS來相互鑒別網格中實體的身份。這兩部分互相交換證書，在確認了彼此身份的合法性之后，就可以建立經過鑒定的安全會話。
　　GSI通過執(zhí)行通用安全服務標準GSS(Generic Security Services)來實現(xiàn)本地安全域異構性。GSS定義了一個API來給用戶一個標準的安全服務接口。GSI授予網格用戶單點登錄和代理的能力。一個網格會話使用一個被稱作代理的短期證書，該證書由用戶證書簽發(fā)。使用用于鑒定身份的代理證書，就意味著用戶訪問網格服務時不必每次都輸入他們的密碼。同理，網格用戶也可以把他們的代理證書委托給其他的用戶，讓其他的用戶以他們的身份來進行網格操作。因為這種代理證書的有效期限很短，所以安全風險并不大。
　　Globus項目于2005年8月發(fā)布了最新版本的GSI4.0。GSI4.0既支持傳輸層安全又支持消息層安全。GSI4.0由四部分功能組成：消息保護、鑒定、代理以及授權。圖2給出了GSI4.0與相關的安全標準和功能之間的關系。