首页 -> 2008年第11期
网格信息服务安全研究
作者:杨 瑶
[关键词]网格 信息服务 安全
上个世纪,计算机和网络技术的出现使我们进入了全新的信息世界,人类社会因此得到了革命性的改变。互联网技术和web技术实现了计算机的连通,并提供邮件收发、网页浏览和信息下载等服务。无论从范围、程度,还是从本质上,网络技术所关心的问题都与互联网所关心的互联问题有很大的不同。网格在连通计算机和网页的基础上,将各种信息资源连接成一个整体,整个网络如同一台巨大的计算机,向每个用户透明地提供包括计算能力、数据存储能力以及各种应用工具等一体化的服务,它强调全面地共享资源和全面地应用服务。网格技术已被称为继Internet和Web之后的“第三代信息技术”,它在产生之初主要集中在高性能科学和工程计算领域,现在则超越了这一范围,出现了适用于不同应用领域的网格技术,并直接服务于生产和各种商业活动。其中,网格信息服务通过将网格中众多的资源包装成网格服务的形式来使用和整合。由此,网格安全也变得越来越重要,成为了网格计算中的核心问题。
(一)网格信息服务
1.网格信息服务的概念。在网格环境下,利用超高速的网络通信技术带来的便利,将异构的、地理分布的、属于不同用户或机构的海量信息资源及信息处理资源(贵重设备、闲置的存贮设备等),通过一体化的智能信息服务平台,向用户或机构提供界面统一的、动态的、透明的、安全的信息服务模式,并最大限度地消除信息孤岛,使用户能方便地发布、处理和获取信息。网格信息服务是网格的基本功能之一,它负责网格资源信息的描述、搜集、存储、查询和更新,并协助其它组件完成网格功能,对网格计算环境进行真实、实时的动态反映,在整个网格系统中处于基础、核心的部位,它是网格最重要的支撑技术之一。
2.网格信息服务的功能。网格信息服务需要提供的基本功能包括信息的注册、更新、查询、注销和分发等。
(1)信息注册。网格信息服务必须为网格内的资源提供者提供发布资源的描述信息的接口,将资源的描述信息添加到某个专用的信息集合中,从而使资源消费者能找到该资源。在网格中,只有经过注册的信息才可以被请求者使用,信息注册是信息被使用的第一步。注册信息可以由人工驱动注册,也可以由处在网格管理体系中的应用、服务或设备注册。注册的信息必须真实,所以要对注册者的真实身份进行核实。
(2)信息更新。网格具有动态性,主要表现为资源可以动态地加入或退出,资源状态也在动态地改变中。因此,网格信息服务不能只存储长期不变的静态信息,还必须支持资源信息的动态更新机制。首先,是指对网格资源对象的更新,包括对网格资源对象的(属性、值)的修改、增加和删除。其次,资源信息更新还指资源对象类的创建、删除和修改,它是对资源信息之间关系的更新。信息更新是信息服务的一个基本操作。
(3)信息查询。信息查询是信息服务最基本的功能,在网格上进行各种活动都要依赖于信息查询功能。信息查询能够迅速地提供良好的查询方式和友好的查询接口。
(4)信息注销。尊重资源拥有者的意愿。无论资源是否在国际互联网上,只要它没有被注册到网格的信息注册处,即使是空闲的,也属于不可共享的资源。从另一个角度讲,如果资源拥有者不愿继续把自己的资源提供给网格用户使用,他只要从网格中简单地注销该资源的信息就可以了,而不需要在资源和网格之间建立物理隔离。
此外,网格上的信息除了拥有者注册的各种资源信息以外,还有分布在网格中的各种传感器收集的信息。传感器发送到注册中心的信息也牵扯到注销的问题:出于信息的不同特点和提供者的具体特点,信息提供者不会主动注销相应信息,导致了大量垃圾信息的产生。因此,网格需要一个垃圾信息处理器来处理垃圾信息,从而提高网格信息服务的性能和信息的准确性。
(5)信息分发。网格信息管理机构还具备信息分发的功能,包括两层含义:首先是把一条信息从一个注册中心分发到多个注册中心中。其次是把一条新信息分发到需要该信息的潜在使用者那里。
(二)网格信息服务的安全需求
与传统的信息服务系统相比,网格信息服务系统实现了更大范围和更深层次的资源共享,从而也提出了更高的安全要求,主要表现在系统安全和网络安全这两个方面。系统的安全包括:操作系统管理的安全、数据存储的安全和数据访问的安全。网络安全则涉及信息传输的安全、网络访问的安全认证和授权、身份认证、网络设备的安全等。网格信息服务的特性要求网格信息服务的安全包括以下几个方面:标准、自主(自治)、可扩展、透明等。网格信息服务需要所有的标准安全功能,包括认证、访问控制、完整性、保密性和抗抵赖性。其中,安全体系结构需要满足以下几个限制条件:
1.单点登录:网格的参与者需要经常协调多个资源来完成单一的任务。如果每一次身份鉴别操作都要经过身份验证的过程,如输入密码等,那就会比较麻烦。因此,安全机制就必须保证实体在成功完成了身份验证后,在一段合理的时间内(在和别的资源进行交互的时候)不再重新验证身份。这样的安全机制必须考虑到一个请求跨越多个安全域带来验证域的联合和身份的映射问题,其重要性反映在两个方面:一是它要求网格的实现能够依据策略委托实体的权限,如证书的生命周期,实体所加的限制等;二是如果证书委托给代理,就需要知道代理的身份及其相关的策略。
2.授权:访问网格服务必须由每个服务的授权策略控制,如规定谁可以在什么情况下访问一个服务等。除了资源所有者规定的标准策略模型以外,还可能有VO或是家庭组织制定的策略。此外,请求者还可以定义他们请求的调用策略,如哪些是用户信任的、能提供所要求的服务等。授权要适应多种访问控制模型。
3.委托:动态信任的建立需要把服务请求者的访问权限委托给服务,并定义代理策略。在实体进行权限委托时,应只委托要完成任务需要的那部分权限,且要有限定的生命周期,以减小滥用权限所带来的危害。
4.认证保护:用户的认证密码、密钥等都应受到保护。
5.本地安全解决方案的互用性:当安全解决方案能提供域间访问的控制机制时,对局部资源的访问就应由本地的安全机制来决定。但是,以改变每个局部资源的方式来适应域间访问是不现实的,还要有一个或多个实体作为局部资源的远程客户或用户代理。
(三) 网格信息服务的安全技术
1.基于GSI的安全解决方案。网格安全的基础设施(Grid Security Infrastructure,GSI)是Globus项目中的安全设施。Globus项目是由美国阿冈国家实验室等科研单位共同研发,是目前国际上最有影响力的网格计算项目之一。GSI主要集中在网络的传输层和应用层,它强调与现有的分布式安全技术的融合,是解决网格计算系统的安全问题的一个集成方案,它结合了目前已成熟的分布式安全技术,并对这些技术进行了一定的扩展,以适应网格计算系统的特点。通过使用这些安全技术和服务,可以有效地保证网格计算环境的安全性和方便性。GSI基于公钥加密体系(Public Key Infrastructure,PKI),采用X.509认证和安全套接字层(Security Socket Layer SSL)通信协议,并对它们进行了一定的扩展,从而使GSI支持单点登录。GSI为网格计算环境提供了一系列的安全协议、安全服务、安全SDK和命令行程序,如安全应用编程接口、相互安全身份鉴别技术、单点登录(single sign-on)技术等。GSI的优点是在保证了网格计算系统的安全性的同时,还能方便用户和各种服务的交互。GSI提供的安全功能主要有:
[2]