网格的数据管理QoS保证技术以及安全技术

　　3 网格安全技术

　　网格是以Internet作为通信支撑平台的开放互联的系统，必然会面临巨大的安全问题，网格技术要得以广泛应用，必须很好地解决这一关键问题。下面我们简要地介绍网格所面临的安全问题，以及网格安全研究的状况。

　　3.1 网格所面临的安全问题

　　开放程度很高的系统是很容易受到攻击的，如果系统所在的LAN是自我封闭的，不向更大的Internet开放，那么这样的系统中就不会存在太多的威胁。如果该系统连接到Internet，那么系统的安全性就会受到极大的挑战。建立在Internet之上的网格就是这样一个面临极大安全挑战的系统。

　　（1）网格安全问题的来源

　　网格的安全威胁是来自多个方面的，有其技术本身缺陷带来的安全威胁，也有来自外部的入侵行为和系统内部泄密带来的安全问题。

　　① 技术缺陷

　　网格是一个复杂的系统，其中的任何一个部分发生问题都会危及系统的安全。因此，要求网格这个大系统中每个部件都要有高可靠性，还需要在系统设计上采取适当措施，保证系统在某些部分出错或失效时仍能正常运行。

　　② 外界入侵

　　外界入侵既包括无组织或自发的入侵活动，即黑客和病毒的入侵，还包括有组织或敌意的入侵活动，即信息战。信息战在规模和危害程度上是更为严重的，它可以使得对方的机密信息外泄或系统瘫痪。在外界入侵方面还有一种特殊的威胁是来自人为的“陷阱”，特别是在系统的核心部件中，如果不是自主技术，那么就很有可能被开设“秘密通道”或埋藏“信息炸弹”，这实际上相当于一种特殊的间接入侵或破坏性入侵。

　　③ 内部泄密

　　内部人员有意无意地外泄机密信息也是需要防范的问题。

　　（2）网格面临的安全挑战

　　网格的建立是以Internet作为通信支撑平台的。Internet是一个开放性、异构性极大的公共网络，这使得在Internet上运行的网格作业面临各种各样的安全威胁，如数据被截取、信息的内容被篡改或删除、假冒合法用户和服务器等。除此之外，网格还会面对一些本身特有的一些安全挑战：

　　① 异构环境中对最终对象的管理

　　在任何一个特定的网格中，都将存在数量众多的不同类型的网格资源，它们可能为不同的机构所拥有，也许还分布在不同的国家里，且都向很多用户群体提供资源或计算力，而这些用户群体可能具有不同的习惯与任务框架，这些对网格安全提出了极高的要求。

　　② 授权与认证的问题

　　在任何给定的网格中，都可能具有多层的所属关系。网络是归组织所有并管理的。独立的机器也归组织所有，但出于操作的目的，是由指定的人在运行。另外，网格中运行的任务归任务创建人所有，但是任务必须设法通过各种可能的授权环境。在此之上，任务创建人还可能是软件进程或智能代理，而不是一个人。为此需要有一套完整的网格授权与认证机制，保证网格应用、用户、资源等的安全。

　　③ 安全策略的表述和传送

　　网格安全通常是依据安全策略实施的，用何种语言表述安全策略？策略一旦成文，该如何将之分发到整个网格中，让所有的系统，用户和代理都能接收到并理解这项策略。这些都是网格安全措施实施过程中必须得到解决的问题。

　　④ 网格的动态变化

　　网格资源和网格用户随时都会加入到网格系统，同时，随时都可能有网格资源或用户离开网格系统。如果用户从网格中断开，该如何处理那个用户已经发出并且可能还存在的所有任务？方法之一就是用户离开后，在中止其用户账号的同时清除掉该用户所有的任务。但这并不一定是合适的，因为有些用户的任务可能是在某个特定部门中通过反复执行查询得到工作结果。即便这个用户退出了，那个部门的其他人还可能认为这些查询应该保存下来。 那么这就为网格安全措施（如账号管理）带来了极大的挑战。

　　3.2 网格安全技术的目标与内容

　　网格安全体系的设计目标是支持在网格环境中主体之间的安全通信，防止主体假冒和数据泄密；支持跨虚拟组织边界的安全，避免采用集中管理的安全系统；需要支持网格用户的“单一登录（Single Sign On）”，包括跨多个资源和站点的计算所进行的信任委托和信任转移。

　　目前已有的网格安全技术有密码技术、安全传输技术、安全认证技术、访问控制技术以及Web Service安全技术。

　　密码技术的目的是保护信息传递的机密性、抗抵赖性以及保证数据的完整性，根据密钥类型的不同可以将现代加密技术分为两类：对称加密和非对称加密技术。

　　安全传输技术是为了保证数据安全有效的传输，主要技术包括IPSEC/IPv6、SSL/SSH、S/MIME等。安全认证技术主要包括PKI（Public Key Infrastructure，公开密钥基础设施）和Kerberos，其中PKI是目前应用最广的网格安全技术，通过被称为CA（Certificate Authority）的权威机构发放的证书实现身份认证，该证书相当于用户在网上的个人电子身份证。

　　访问控制技术主要有DAC（Discretionary Access Control，自主型访问控制）、MAC（Mandatory Access Control，强制型访问控制）、RBAC（Role-Based Access Control，基于角色的访问控制）、防火墙技术等。DAC允许用户自主地将访问权限授予其他用户，而MAC由授权机构为主体和客体分别定义固定的访问权限，用户无权进行修改，RBAC是对DAC和MAC的改进，它基于用户在系统中所起的作用设置访问权限，具有更好的系统安全性和灵活性。

　　Web Service安全技术主要包括WS-Security和WS-License。网格服务结合了计算网格和Web Service，使用SOAP消息来实现节点之间的信息交互，因此网格服务还是使用Web Service框架下人们所提出的安全措施来增强其安全性。WS-Security是一种保障服务安全性的语言，描述了在确保消息完整性和机密性的前提下安全传输SOAP消息的机制，它使用信任状传输、消息集成和消息机密性等三种能力来描述SOAP消息。同时，它也提供了将其他的安全信任状和消息进行关联的机制。而WS-License规范则描述了如何编码信任状以便在WS-Security中使用，但在新提出的安全架构中，它已经被其他规范所取代。

　　3.3 网格安全技术的研究进展情况

　　目前已有的较为完整的网格安全体系结构是美国网格研究项目Globus提出的GSI（Globus Security Infrastructure，网格安全基础设施）。GSI主要集中在网络的传输层和应用层，并强调与现有分布式安全技术的融合。它基于公钥加密体系，采用X.509认证和Secure Sockets Layer（SSL）通信协议，并对他们进行了一定的扩展，使得GSI可以支持单点登录。GSI的实现符合Generic Security Service API（GSS-API），GSS-API是IETF（Internet Engineering Task Force，因特网工程任务组）提出的用于安全系统的标准API。GSI中的主要安全技术手段包括安全认证、安全身份相互鉴别、通信加密、私钥保护以及委托和单点登录等。

　　全球网格论坛（GGF）也成立网格安全问题工作/研究小组，正努力在Globus联盟的开放网格服务架构内开发安全规范。他们的工作重点在于网格基础设施中用户认证和授权等功能上。

　　下面是 GGF网格安全问题工作/研究小组中各个工作组的工作纲要：

　　（1）授权框架与机制工作组（Authorization Frameworks and Mechanisms WG，AuthZ-WG）

　　网格系统当前和未来的安全性需求提倡设计先进的、细粒度的灵活授权机制。该工作组负责为网格开发人员定义概念性的网格授权框架，其目标是为这种网格授权系统的设计提供基础。该工作组的工作首先是对已有的授权模块和系统进行分类，然后将模块之间的接口标准化。这项工作的另一个重要目标就是把已有的服务和模块和目前正在开发的较新的网格架构进行比较。该工作组的工作将与安全领域其他工作组的工作相互协调，尤其关注 S3A（Seamless Security Solutions Architecture，无缝安全解决方案体系结构） 和 OGSA-Sec。

　　（2）开放网格服务架构安全工作组（Open Grid Services Architecture Security Working Group，OGSA-SEC）

　　OGSA 安全工作组的目标是罗列并解决 OGSA 环境下的网格安全需求。由于 OGSA 使用的是Web服务，因此OGSA的安全架构将使用WS-Security规范，以及Web服务安全路线图（2002年4月发布）中定义的 Web 服务安全基础。OGSA-Sec将严密监控其他标准中的相关工作（如OASIS）；其目的并不在于把其他标准的内容拷贝过来。OGSA 安全工作组的主要成果是两份文档：“开放网格服务安全架构，The Security Architecture for Open Grid Services”，这份文档将描述的安全架构与 Web 服务框架中正在定义的用于实现 OGSA 面向服务架构的安全模型兼容；“OGSA 安全路线图，OGSA Security Roadmap”，这份文档列举了全球网格论坛中将被定义的规范建议，其目的是保证 OGSA 安全架构中互操作性的实现。该工作组主要将讨论与发展这两份有关的话题。

　　（3）认证中心运行工作组（Certificate Authority Operations Working Group，CAOPS-WG）

　　认证中心运行（Certificate Authority Operations，CAOPS）工作组的目标是开发可操作的过程和指导，以促进对X.509以及其他跨网格认证技术的使用。通过开发一些通用的项目，该工作组希望促进认证服务间的相互接受。GGF已经开发出CP/CPS模型，可供那些希望部署CA的网站和虚拟组织使用。该工作组的工作将着眼于和认证中心部署有关的问题。CAOPS WG将不涉足用户私钥管理。

　　（4）OGSA授权工作组（OGSA Authorization Working Group，OGSA-AUTHZ）

　　OGSA授权工作组的目标是定义在 OGSA 框架中实现授权组件的基本互操作性和可插拔性（pluggability）的规范。目前网格中已经出现了若干种授权系统（如 Akenti、PERMIS、CAS、VOMS、Cardea 等等），该规范将使得需要授权功能的中间件在对这些解决方案的使用中实现互操作。

　　（5）网站认证授权和记账需求研究小组（Site Authentication, Authorization, and Accounting Requirements RG，SA3-RG）

　　该研究小组的目标是搜集编纂已有的网格资源站点对采纳服务访问网格证书的需求。如果那些需求不统一，甚至相互排斥，那么该小组将致力于向网格工具箱或应用程序推荐应该为网站实现的钩子程序，以便让网站按照自己的需求，插入自己的实现。

　　（6）权威机构识别研究小组（Authority Recognition Research Group，ARRG-RG）

　　在很多事务中，实体之间的信任是通过由独立的权威机构发出的有关身份和/或相关参与者特性的断言（assertions），例如 X.509 证书、SAML 断言、Kerberos 证书等等来实现的。

　　由权威机构发出的断言必须经过识别，认定其为有效的，并且能够满足需要，然后另外一方才能给予其信任。特定权威机构发出的断言是否正确，这取决于若干种因素，其中包括权威机构做出的有关这项断言的承诺、权威机构将会承担的义务、信任方如果采纳该断言需要承担的责任。已有的机制并不能很方便地将这项信息从权威机构分发到信任方，帮助其进行识别判断。

　　权威机构识别研究小组将进一步研究简单、便宜、半自动化的断言机制，供信任方识别权威机构的断言并做出决策。希望这样的机制能够简化并帮助网格参与者之间建立信任关系。