摘 要: 針對網格計算" title="網格計算">網格計算所涉及的安全問題,分析了當今典型系統Globus實現的網格安全" title="網格安全">網格安全架構GSI(Grid Security Infrastructure)。在借鑒GSI優勢的基礎上,針對GSI授權機制的不足,提出了一種改進的訪問控制策略" title="控制策略">控制策略模型——中控訪問控制" title="訪問控制">訪問控制策略模型,并分析了其基本的工作原理。
關鍵詞: 網格安全 GSI? 訪問控制策略? 中控訪問控制策略
?
美國Globus網格項目之父Ian Foster說:“網格是構筑在互聯網上的一組新興技術,它將高速互聯網、計算機、大型數據庫、傳感器、遠程設備等融為一體,為科技人員和普通百姓提供更多的資源、功能和服務[1]。傳統的互聯網技術主要為人們提供電子郵件、網頁瀏覽等通信功能,而網格的功能則更多、更強,它能讓人們共享計算、存儲和其他資源”。從本質上說,網格計算需要解決的問題就是如何在動態、異構的虛擬組織間實現資源共享并協同解決某一問題。實質上,網格就是一個集成的計算與資源環境,或者說是一個計算資源池。而網格計算就是指將分布的計算機組織起來協同解決復雜的科學與工程計算,使人們能夠以一種更自由、更方便的方式使用計算資源。但是,如果缺乏有效的安全機制,將會阻止網格技術的進一步發展,限制網格應用的進一步推廣。因此,網格計算環境必須具有抗拒各種非法攻擊和入侵的能力,并且在受到攻擊和入侵時采取某些措施以維持系統的正常高效運行和保證系統中各種信息的安全。所以,網格安全問題比一般網絡安全問題的覆蓋面更廣,解決方案也更復雜,這正是本文所要探討的問題。
1 網格計算的安全問題
1.1 網格計算環境的主要特性
網格安全技術是通過身份認證等安全技術防止非法用戶通過網絡使用或獲取網格的任何資源,保障數據的安全性。同時,通過權限控制和數據隱藏技術使用戶只能獲取被許可的信息和知識,而不能竊取未授權的信息。在網格安全設計中,需要考慮的網格特性主要有以下幾點:
(1)網格是一個異構的環境,在計算網格中,不同的節點采用不同的硬件或操作系統。
(2)用戶數量巨大,且動態變化。
(3)資源數量巨大,且動態變化。
(4)一個計算可能在其運行期間動態地要求使用或釋放資源,并可能需要創建許多不同的進程。
(5)不同的信任域可能要求不同的安全策略(認證和授權機制)。
(6)資源和用戶屬于多個不同的組織。
(7)用戶在不同的資源上可有不同的標識。
1.2 網格環境的安全需求
從本質上講,Internet的安全保障一般提供以下兩方面的安全服務" title="安全服務">安全服務:(1)訪問控制服務,用來保護各種資源不被非授權使用;(2)通信安全服務,用來提供認證、數據保密性與完整性以及各通信端的不可否認性服務。但是這兩方面的安全服務不能完全解決網格計算環境下的安全問題。
為了保障網格計算環境的安全,GSI的主要目標是:(1)支持網格計算環境中主體之間的安全通信,防止假冒和數據泄密;(2)支持跨虛擬組織的安全,這樣就不用采用集中管理的安全系統;(3)支持網格計算環境中用戶的單點登錄,包括跨多個資源和地點的信任委托和信任轉移等。為此,GSI為網格計算環境提供了一系列的安全協議、安全服務、安全SDK(Soft Development Kits)和命令行程序。通過使用這些安全技術,可有效地保證網格計算環境的安全性和方便性。
2 網格安全的實現
2.1 網格安全基礎設施
美國網格研究項目Globus提出的網格安全基礎設施(GSI)與PKI技術相結合提供了滿足網格安全要求的框架,框架如圖1所示。
從圖1可以看出,Globus安全策略由以下五個部分組成[5]:
(1)用戶User(U):一個Globus計算過程的請求者,可以是人或代理(一個進程)。
(2)用戶代理UserProxy(UP):在一個有限時間內代表用戶行使一定權限的一個進程。
(3)進程Process(P):一個邏輯主體,提供進程管理API創建,并代表一個用戶在特定資源上進行計算。
(4)資源Resource(R):在一個計算過程中使用的計算節點、文件系統、網絡或其他主體。
(5)資源代理ResourceProxy(RP):一個有不定期權限的資源管理者。
2.2 網格安全的主要技術及其不足
2.2.1 網格安全的主要技術
Globus中的網格安全架構GSI是一個解決網格安全問題的集成方案,它融合了目前成熟的分布式安全技術,并對這些技術進行一定的擴展,以適合網格計算環境的特點。GSI中的主要安全技術包括:
(1)認證證書:GSI認證證書采用X.509的證書格式,可被其他基于公鑰的軟件共享。
(2)雙向認證:GSI采用SSL作為它的雙向認證協議,實體之間通過認證證書證明彼此的身份。
(3)保密通信:GSI采用公鑰技術與對稱加密技術結合的加密方式,在保證通信安全性的同時盡量減少加解密的開銷。
(4)安全私鑰:GSI將用戶的私鑰以文件的形式加密存儲在用戶計算機上,以此保護用戶的認證證書。
(5)授權委托:GSI對標準的SSL協議進行擴展,使得GSI具有授權委托能力,減少用戶必須輸入口令來得到私鑰的次數。
(6)用戶單一登錄:GSI使用用戶代理解決用戶單點登錄問題。
2.2.2 網格安全技術的不足
GSI授權是通過對一個文件的操作實現的,這個文件提供了證書標識(全局用戶)到本地賬號的映射關系。但是GSI也存在一些不足,如:GSI要求每一個訪問資源的全局用戶都要在本地資源服務器上擁有一個自己的賬號,每一個資源服務器都需要維護一個龐大笨拙的全局/本地映射表,這種授權機制難以擴展到擁有大量資源和大量用戶的大規模環境中。由此可知,GSI缺乏基于全局策略的具有良好擴展性的訪問控制機制。
3 網格訪問控制策略的改進
網格要達到資源共享的目的,必須解決資源的訪問控制問題。網格的訪問控制必須建立在現有的訪問控制系統之上。但是由于網格跨越多個不同的地點和不同的自治域,每個域的訪問控制策略和需求可能十分不同,這使得資源的訪問控制更加復雜。現有的訪問控制系統必須進行擴展才能移植到網格系統中。訪問控制對資源的機密性、完整性起著直接作用。
3.1 訪問控制術語
(1)訪問控制的客體(Object):需要保護的資源,又稱作目標。
(2)訪問控制的主體(Subject):是一個主動的實體,可以訪問客體,通常指用戶或代表用戶執行的程序,又稱為發起者。
(3)訪問控制的授權(Authorization):可對該資源執行的動作,例如讀、寫、執行或拒絕訪問。
(4)訪問控制的策略(Policy):基于身份的訪問控制或基于規則的訪問控制。
3.2 傳統的訪問控制策略
基于身份的訪問控制策略,又叫自主訪問控制策略,是指具有某種訪問能力的主體能夠根據自己的意愿自主地將有訪問權的某個子集授予其他主體,如客體的擁有者對客體有所有的訪問權,并能將其權限子集分配給其他用戶。自主訪問控制是根據主體的身份及允許訪問的權限進行決策的,這種控制是自主的。它的優點是靈活度高、粒度小,但是信息在移動過程中其訪問權限關系很容易被改變,其配置管理工作量很大,不太適合網格的動態多自治域的環境。
基于規則的訪問策略,又稱強制訪問策略,是指獨立于用戶行為而強制執行訪問控制的規則。這樣的規則通常按照安全等級對數據和用戶劃分標簽,訪問控制機制通過比較安全標簽來確定允許還是拒絕用戶對資源的訪問。用戶不能改變他們的安全級別或對象的安全屬性。它的優點是保密性強,信息不會被輕易泄漏,但是它的配置粒度大,缺乏靈活性。
3.3 改進的訪問控制策略模型
在傳統的訪問控制策略的基礎上,采取結合和折衷的辦法,提出一種不同于傳統訪問機制的中控訪問控制策略模型,其訪問主體通過一個中控器訪問客體。該模型的簡化圖如圖2所示。
從上圖可知,訪問控制策略由中控器決定,它跟據主體不同的要求為其分配一個相應的訪問權限。特點如下:
(1)如果用戶要求保密性強,則訪問控制機制就通過比較安全標簽來確定授予還是拒絕用戶對資源的訪問。用戶不能改變他們的安全級別或對象的安全屬性。
(2)如果用戶要求比較靈活,也就是主體能根據自己的意愿自主地將訪問權的某個子集授予其他主體,則采用身份訪問策略機制,即根據主體的身份及允許訪問的權限進行決策。
(3)如果既要靈活,又要保密,則由中控器決定不同的角色,把許可權分配給這些角色,然后由用戶選擇不同的角色進行訪問。
總之是由中控器控制決定許可權的分配,并且該中控器具有繼承性,這樣既可以保證靈活性好,又可以保證保密性強。缺點是配置工作量非常大。
本文針對網格的安全問題進行了探討,并且主要對GSI訪問控制策略的不足,提出了一種改進的訪問控制策略模型——中控訪問控制策略模型,同時分析了該策略的基本原理和特性。但是中控訪問控制策略還存在一些不足之處,如配置工作量非常大,還需要進一步改進和完善,并且該策略的實現還有待進一步的研究。同時,網格安全的引入不能影響網格計算的性能。
參考文獻
1 都志輝,陳 渝,劉 鵬.網格計算[M].北京:清華大學出版社,2002
2 關豪英.初探網格計算中的安全問題[J],邢臺學院學報,2005;2(20):119~121
3 應 宏,鐘 靜.網格技術的安全策略[J].網絡安全技術與應用,2004;(7):42~44
4 劉怡文,李偉琴,韋 衛.信息網格安全體系結構的研究[J].北京航空航天大學學報,2003;29(7):19~24
5 GGF OGSA Security Workgroup.Security architecture for open grid services.http://www.ggf.org/ogsa-sec-wg,2003-06-05