淺談網格安全策略

1、1淺談網格安全策略淺談網格安全策略王成剛1，周新力2，劉華志1，張鐵英1（1.海軍航空工程學院研究生大隊；2.海軍航空工程學院電子工程系）摘要摘要:網格需要動態的資源和有效的通信，因而對安全有了更高的需求。本文簡述了網格面臨的安全問題，并討論了安全策略，最后介紹了當今典型網格計算項目中實際使用的安全策略。關鍵詞關鍵詞:網格，安全，解決方案0引言引言隨著Inter的迅猛發展，網上已有數千萬的各類計算機，包括為數眾多的高性能計算中心。如何更

2、好地擴展和利用網絡資源已成為人們日益關注的課題。顯然，信息并不是網上唯一能獲得的資源，網上計算機如果能被組織加以協調工作，將會形成有巨大潛力的并行計算環境，直至形成一個龐大的全球計算環境。同時，實際的網絡資源利用率僅為30%左右，有的空閑率竟達91%，如何利用閑散資源形成強大的并行計算能力已經成為一個重要研究方向。另一方面，單個PC的功能變得越來越強大，PC機的性能在過去幾年中迅速增長，每18～24個月就增長一倍，隨著更快的處理器、效率

3、更高的多處理器計算機進入市場，未來幾年內這種趨勢似乎將繼續。網絡技術不斷突破：通信帶寬在增長，延遲在降低。這都為網格計算的發展提供了廣闊的前景。正如[DES97]中指出的那樣，也許Inter將成為每一個人的超級計算機。網格計算環境要求不影響各節點本地的管理和自主性，不改變原有的操作系統、網絡協議和服務，保證用戶和遠程節點的安全性，允許遠程節點選擇加入或退出系統，盡量使用已存在的標準的技術以便和已有應用兼容并能提供可靠的容錯機制。一個理想

4、的網格計算應類似當前的Web服務，可以構建在當前所有硬件和軟件平臺上，給用戶提供完全透明的計算環境。對用戶而言，它把眾多同異構的資源變成了同構的虛擬計算環境。1網格安全問題網格安全問題設想一個科學家，在一個合作團體中進行科學研究，從同事那收到一封關于新數據集的電子郵件。他啟動一個分析程序(站點A)，該分析程序分配代碼到遠端數據存儲的位置(站點C)。一旦開始，分析程序決定它需要運行一個仿真程序，以便將實際結果和期望的結果相比較。因此，它與

5、一個通過合作維持的資源代理服務相聯系(站點D)，用以查找能夠用于仿真的空閑資源。然后資源代理在兩個站點(E和G)初始化計算。這些計算機(E和G)訪問存放在另一個站點(F)的文件系統中的參數值，并且彼此之間，或與代理、原始站點及用戶進行通信(可能使用特定的協議，例如多播)。這個例子顯示了網格計算環境的許多特殊屬性：?用戶數量龐大，且為動態，參與者變化的頻率較高；?資源池也龐大，且動態可變；?一個計算(由計算創建的過程)可能要求在它的執行期

6、間動態地開始使用或釋放資源；?組成計算的進程可以用不同的機制進行通信，包括單播和多播。程序執行期間，低級別的通信連接(例如：TCPIP套接字)可能被動態地創建或撤銷；?資源可支持不同的認證和授權機制，這包括Kerberos、明文口令、安全套接協議(SSL)、SecureShell(SSH)；?用戶在不同的資源上可有不同的標識；?資源和用戶可屬于多個組織。正是由于網格計算環境的特殊性，所以在設計網格安全機制中特別要考慮網格計算環境的動態主

7、體特性，并要保證網格計算環境中不同主體間的相互鑒別和各主體間通信的保密性和完整性?？傊?，我們面臨的問題是提供安全解決方案，以使如上文所描述的計算問題能調整不同的訪問控制策略并能在不同性質的環境中安全運行。2安全需求安全需求網格系統及其應用需要任何或全部的標準安全功能，包括認證、訪問控制、完整性、保密性和抗抵賴性。這里著重敘述認證和訪問控制問題。我們特別地致力于解決：（1）提供認證解決方案，允許用戶、組成計算的進程和這些進程使用的資源彼此

8、相互34.1GSSAPIGlobus的GSI安全策略沒有解決可移植性的問題，當然這也不是它關注的問題。如果提供一組通用安全編程接口實現和完成對上述Globus安全組成部分的訪問，則可解決可移植性問題，為此Globus采用GSSAPI作為其安全編程接口。GSSAPI定義提供了通用的安全服務，支持各種安全機制和技術，這樣可支持應用程序在源碼級的可移植性。GSSAPI主要面向主體之間的安全鑒別和安全通信操作，提供的功能主要包括：獲得證書、執行

9、安全鑒別、簽署消息和加密消息。GSSAPI在安全傳輸和安全機制上是獨立的，主要體現在兩個方面：（1）傳輸獨立性：GSS不依賴于特定的通信方法或通信庫，而且某個GSS調用會產生一系列的標記并進行通信，目前可支持TCP、UDP和Nexus等通信協議；（2）機制獨立性：指GSS不依賴于特定的安全算法，如Kerberos、SESAM、DES、RSA公鑰密碼等。GSS是根據安全操作過程定義相應的函數，每個操作可通過不同的安全機制實現。GSSAPI

10、符合簡單公鑰機制SPKM（SimplePublicKeyMechanism），而且SPKM的密鑰管理與X.509和PEM兼容。GSSAPI支持在安全環境建立過程中的安全授權數據通信，當然，GSSAPI也將支持其他的安全機制。而GSSAPI中安全環境的建立與用戶本地的安全證書相關。用戶也可有多個安全環境，但這需要相同或不同的安全證書集合。為了支持點到點的安全環境的建立，應用程序必須確定底層安全機制（如SPKM、Kerberos、SESAM

11、等），并且交互雙方都要支持某種機制，這樣才能進行安全通信。為了保證對通信內容的保密性和高效性，GSSAPI允許用戶選擇是否對通信內容進行加密，并提供某種程度的服務質量QoS.直接使用GSSAPI進行基于網格計算環境的安全編程比較復雜，而且GSSAPI函數不支持IO操作，主要由gss_initsec_context和gss_acceptsec_context返回標記。為了進一步簡化Globus的安全編程，Globus提出了用于Globus

12、環境的gss_assist庫，gss_assist庫封裝了GSSAPI，并提供更簡單的編程接口來方便應用程序的開發。GSSAPI主要包含兩大方面的控制：（1）安全證書的控制：每個進程一個證書，有本地用戶和服務器的標識，通過gss_cred_id_t結構來表示，這可能是一個靜態變量；（2）安全環境的控制：每個連接一個安全環境，在安全鑒別過程中建立，通過gss_cred_id_t結構來表示。通過使用gss_assist庫可極大方便基于網格計

13、算環境的安全編程。一般的客戶與服務器間的交互流程如下：1.在客戶端和服務器端獲得安全證書；2.在客戶端和服務器端建立安全環境；3.雙方進行安全鑒別；4.通過安全鑒別后，雙方可進行交互；5.交互完成后，雙方清除安全環境。若還想進一步了解有關GSSAPI的細節，可參考RFC2744文檔。5小結小結本文簡述了網格安全問題、GSI的安全策略和實現。網格安全問題是網格計算中一個核心問題，Globus中的GSI是一個解決網格計算中安全問題的一個集成

14、方案。其特點是在保證網格計算安全性的同時，盡量方便用戶和各種服務的交互（如提供單點登陸等手段）。而GSI充分利用現有的網絡安全技術（如：X.509、Kerberos、SSL），并對某些功能進行擴展（如：增加客戶服務器間的相互鑒別、支持對SSL和FTP的擴展），使得在網格計算環境下GSI具有一個一致安全性界面，極大方便網格開發和使用。GSI下一步的發展方向主要體現在提高WebService的安全性方面[3]。參考文獻：參考文獻：[1]I.

15、FosterC.KesselmanG.TsudikS.Tuecke.ASecurityArchitecturefComputationalGrids[A].Proc.5thACMConferenceonComputerCommunicationsSecurityConferencepp.83921998.[2]都志輝，陳渝，劉鵬.網格計算[M].北京：清華大學出版社2002:7273協議協議1GSSAPI明文SSLKerberos…協議