大連理工大學 碩士學位論文 基于角色和任務的網格安全需求分析模型 姓名 趙輝 申請學位級別 碩士 專業(yè) 軟件工程 指導教師 李明楚 20061217 大連理工大學碩士學位論文 摘要 網格是一個集成的計算與資源環(huán)境 即通過標準的 開放的 通用的協(xié)議和接口實 現分布式資源的協(xié)同使用并且能夠向用戶提供非平凡的服務質量 網格環(huán)境下多用戶參 與的協(xié)同計算是網格的一個重要應用方向 網格應用的發(fā)展對于運行的可靠性提出了更 高的要求 在網格環(huán)境中 安全協(xié)議是保證安全性的重要手段 網格環(huán)境下的安全需求 包括鑒別 授權 證書的撤回 機密性 分布式信任 信息的完整性 不可抵賴性以及 新鮮性 安全模型是基于系統(tǒng)安全需求建立的模型 用于描述系統(tǒng)的安全需求和安全體 系的邏輯構成 現在安全設計都非常重視安全模型的構建 傳統(tǒng)的安全模型很難適合于 網格環(huán)境下多用戶協(xié)同計算 本文通過現有的安全模型的分析 提出了基于角色和任務的網格協(xié)同計算協(xié)同關系 描述模型T R B C R 而且在其基礎上構建網格協(xié)同計算安全需求分析模型T R B C C 實現 了網格環(huán)境下多用戶協(xié)同計算安全需求的形式化描述 從而把網格協(xié)同計算環(huán)境下的不 同安全需求統(tǒng)一在一個理論體系中 另外 本文通過引入協(xié)同計算信道的概念 在傳統(tǒng)S t r a n dS p a c e 理論的基礎上提出 了一種基于虛擬組織的網格安全協(xié)議形式化驗證方法 實現了網格環(huán)境下多用戶協(xié)同計 算安全協(xié)議的形式化分析與證明 本文通過實例展示T R B C C 網格安全需求分析模型以 及擴展的S t r a n dS p a c e 理論與傳統(tǒng)安全模型的不同 在實例中 本文建立了跨虛擬組 織的網格協(xié)同計算場景 利用T R B C C 網格安全需求分析模型對其多用戶協(xié)同計算安全 需求進行了形式化描述 并且進一步通過基于虛擬組織的網格安全協(xié)議形式化驗證方法 對跨虛擬組織網格協(xié)同計算環(huán)境下的雙向認證協(xié)議進行了驗證 關鍵詞 網格 協(xié)同計算 安全模型 安全協(xié)議 形式化分析 基于角色和任務的網格安全需求分析模型 AG r i dS e c u r i t yR e q u i r e m e n tA n a l y s i sM o d e lB a s e do nR o l e sa n dT a s k s A b s t r a c t G r i di sa l li n t e g r a t e dc o m p u t i n ga n dr e s o u r c ei n f r a s t r u e m r et h a ti m p l e m e n t sd i s t r i b u t e d l e s o U l C ec o o r d i n a t i v eo p e r a t i o n sa n dg u a r a n t e e sac e r t a i nl e v e lo fQ o St ou s e r sb a s e do n s t a n d a r d i z e d o p e na n dc o m m o np r o t o c o l sa n di n t e r f a c e s M u l t i u s e rc o o r d i n a t i v ec o m p u t i n g i ng r i de n v i r o n m e n ti s 缸i m p o r t a n tr e s e a r c hf i e l d W i t ht h ed e v e l o p m e n to f 面da p p l i c a t i o n s h i d e rs y s t e mr e l i a b i l i t yi sr e q u i r e d s e c u r i t yp r o t o c o li sa ni m p o r t a n tm e t h o df o r m a i n t e n a n e e o fs y s t e ms e c u r i t yi n 鰣de n v i r o n m e n t w h i c hh a ss e c u r i t yr e q u i r e m e n t si n c l u d i n g a u t h e n t i c a t i o n a u t h o r i z a t i o n r e v o k eo fc e r t i f i c a t e s c o n f i d e n t i a l i t y d i s t r i b u t e dt r u s t i n t e g r i t y a n dn o n r e p u d i a t i o n S e c u r i t ym o d e li sb a s e do ns y s t e ms e c u r i t yr e q u i r e m e n t sw h i c hp r o r i d e s p e c i f i c a t i o nf o rs y s t e ms e c u r i t yr e q u i r e m e n t sa n dl o g i cs l n d c t u r eo fs e c u r i t ya r c h i t e c t u r e M o d e ms e c u r i t ys y s t e md e s i g ni sv e r yc o n c e r n e dw i t ht h eb u i l d i n go fs e c u r i t ym o d e la n d I r a d i t i o n a ls e c u r i t ym o d e li sn o ta d a p tt ot h em u l t i u s 盯c o o r d i n a t i v ec o m p u t i n gi n 鰣d e n v i r o n m e n t 1 1 l i sp a p e rp r o p o s e sam u l t i u s e rc o o r d i n a t i v er e l a t i o n s h i ps p e c i f i c a t i o nm o d e lT R B C R b a s e do nr o l e sa n dt a s k sf o r 鰣dc o m p u t i n g A d d i t i o n a l l y a 面ds e c u r i t yr e q u i r e m e n t a n a l y s i sm o d e lT I t B C C b a s e do nt h a Oi sd e f i n e dt op r o v i d ef o r m a ls e c u r i t yr e q u i r e m e n t s p e c i f i c a t i o n ss ot h a td i f f e r e n ts e c u r i t yr e q u i r e m e n t sa r eu n i f i e di n t oo n es i n g l et h e o r y a r c h i t e c t u r ef o rm u l t i u s e rc o o r d i n a t i v ec o m p u t i n gi ng r i de n v i r o n m e n t I nt h i sp a p e r t h en o t i o no f 班dc o m p u t i n gc h a n n e li si n t r o d u c e da n daf o r m a lm e t h o d b a s e do nt h et r a d i t i o n a lS t r a n dS p a c et h e o r yi sd e f i n e dt op r o v i d ea n a l y s i sa n dv e r i f i c a t i o nf o r 鰣ds e c u r i t yp r o t o c o l so fm u l t i u 蝌c o o r d i n a t i v ec o m p m i n gi ng r i de n v i r o n m e n t T h e d i f f e r e n c eb e t w e e nT R B C Cm o d e la n dt r a d i t i o n a ls e c u r i t ym o d e li sd e m o n s t r a t e db ya n e x a m p l ei nw h i c hm u l t i V O c o o r d i n a t i v ec o m p u t i n gp r o c e 齬i sb u i l du pa n dt h ef o r m a l s p e c i f i c a t i o no f m u l t i u s e rc o o r d i n a t i v ec o m p u t i n gr e q u i r e m e n t si sp e r f o r m e db yt h eT R B C C m o d e l A d d i t i o n a l l y a u t h e n t i c a t i o np r o t o c o l i nt h em u h i V Oc o o r d i n a t i v ec o m p u t i n g e n v i r o n m e n ti sv e r i f i e db yt h ee x t e n d e dS t r a n dS p a c et h e o r yi nt h ee x a m p l e K e yW o r m G r i d C o o r d i n a t i v eC o m p u t i n g S e c u r i t yM o d e l S e c u r i t yP r o t o c o l F o r m a l A r i a I y s i s I I 獨創(chuàng)性說明 作者鄭重聲明 本碩士學位論文是我個人在導師指導下進行的研究工 作及取得研究成果 盡我所知 除了文中特別加以標注和致謝的地方外 論文中不包含其他人已經發(fā)表或撰寫的研究成果 也不包含為獲得大連理 工大學或者其他單位的學位或證書所使用過的材料 與我一同工作的同志 對本研究所做的貢獻均已在論文中做了明確的說明并表示了謝意 作者簽名 如S l 豫 大連理工大學碩士研究生學位論文 大連理工大學學位論文版權使用授權書 本學位論文作者及指導教師完全了解 大連理工大學碩士 博士學位論文版權使用 規(guī)定 同意大連理工大學保留并向國家有關部門或機構送交學位論文的復印件和電子 版 允許論文被查閱和借閱 本人授權大連理工大學可以將本學位論文的全部或部分內 容編入有關數據庫進行檢索 也可采用影印 縮印或掃描等復制手段保存和匯編學位論 文 作者簽名 壟塑 導師簽名 坐年竺月衛(wèi)日 大連理工大學碩士學位論文 引言 網格是一個集成的計算與資源環(huán)境 其通過網絡連接地理上分布的計算機 數據庫 等各類計算資源 形成了廣域范圍的 無縫和集成的協(xié)同計算環(huán)境 實現了分布式計 算 高吞吐量計算 協(xié)同工程和數據查詢等諸多功能 目前 網格應用范圍涉及科學 軍事和社會經濟等領域 例如用于大規(guī)模軍事仿真的S FE x p r e s s 模擬黑洞的C a c t u s 海量數據處理的D a t a G d d 等 網格已經發(fā)展成為連接和整合各類不同計算資源的一種基 礎設施 網格應用的發(fā)展對于運行的可靠性提出了更高的要求 在網格環(huán)境中 安全協(xié)議是 保證安全性的一種重要手段 網格計算環(huán)境下的安全需求包括鑒別 授權 證書的撤回 機密性 分布式信任 信息的完整性 不可抵賴性以及新鮮性 在所有安全協(xié)議中認證 和授權構成了整個網格安全的基礎 安全需求分析模型是基于系統(tǒng)安全需求建立的模型 著重于描述系統(tǒng)安全需求的邏 輯構成 現在安全設計都非常重視安全模型的構建 在確定安全模型后 可以更精確的 把握住系統(tǒng)的安全需求 從而可以更有效的布置安全策略 設計安全協(xié)議 安全模型的設計主要依靠安全建模技術來實現 即通過對系統(tǒng)安全需求的分析 建 立系統(tǒng)的靜態(tài)和動態(tài)安全需求的形式化描述 對系統(tǒng)安全需求進行形式化描述有助于理 解協(xié)議設計目的 目前人們在安全協(xié)議中采用形式化方法進行研究時 主要工作集中在 了協(xié)議安全性的驗證方面 而在協(xié)議安全需求的形式化描述方面雖然已經做了一些工 作 但此領域仍然很少涉及 目前 在該領域的研究大致有以下兩個方向 1 建立通用的認證協(xié)議安全需求 D i f i i e v a I lO o r s c h o t 和W i e n e r I 對認證協(xié)議安全需求進行了非形式化描述 他們認 為 認證協(xié)議的會話密鑰應該保持秘密 協(xié)議應該匹配運行 其中 協(xié)議匹配運行是指 如果協(xié)議參與者A 與B 運行協(xié)議 那么A 接收來自B 的消息數據和B 發(fā)送給A 的消息 數據要求匹配 B e l l a r e R o g 獅 a y 2 和S y v e r s o n 閉分別對協(xié)議的匹配運行安全需求進行了 形式化描述 并在此基礎上提出各自的安全需求分析模型 目前 得到廣泛認可的是 W o o 和L a i n 4 提出的認證協(xié)議的安全需求定義 W o o 和L a i n 認為認證協(xié)議的基本功能 是認證和密鑰分配 那么相應地 就具備兩個基本安全屬性 對應性和秘密性 對應性是 指對于一個協(xié)議主體的事件發(fā)生 必定有相對的另一主體的相關事件發(fā)生 兩個事件之 間有嚴格的時間先后關系 對應性和協(xié)議的認證功能相對應 對應性和匹配運行的描述 非常相似 卻比匹配運行的應用范圍更廣泛 因為對應性中的關聯(lián)事件并不僅指同一個 基于角色和任務的網格安全需求分析模型 消息數據的發(fā)送和接收 2 針對不同類型協(xié)議 建立不同的安全需求 S y v e r s o n 和M e a d o w s t 5 在為N R L 協(xié)議分析器所設計的語言中首次采用了針對不同 類型的協(xié)議 建立不同的安全需求的方式 其安全需求定義和W o o L a i n 模型中的對應 性概念在形式上有一些相似 都基于事件的發(fā)生次序 但是 和W o o L a i n 模型中對應 性安全需求可應用于所有協(xié)議不同 語言使用者可針對不同協(xié)議定義不同安全需求 它 們已經給出了針對各種消息認證協(xié)議和可重復認證密鑰分配協(xié)議的安全需求形式化描 述方法 安全協(xié)議的分析驗證則是對安全協(xié)議進行評價的一個重要方法 只有在對其進行分 析驗證之后 確認沒有缺陷的安全協(xié)議才是可用的協(xié)議 對應于網格環(huán)境的復雜性 網格安全問題錯綜復雜 為了滿足各種安全需求 必須 根據較為完善的安全模型來設計針對不同安全目標的安全協(xié)議 對于傳統(tǒng)網絡環(huán)境下的協(xié)同計算 由于參與者和使用的資源都是在固定的可信任范 圍之內 認證可以簡單的通過基于角色的授權和訪問控制機制來實現 與傳統(tǒng)的網絡環(huán) 境相比 網格具有分布與共享 自相似性與異構性 自治性與管理的多重性以及動態(tài)性 等特點 網格協(xié)同計算環(huán)境中多個用戶之間的信任關系變得十分復雜嘲 傳統(tǒng)的安全模 型很難適合于網格環(huán)境下多用戶協(xié)同計算 因為 1 無法表達任務約束 即網格協(xié)同計算環(huán)境下的安全協(xié)議必須在相應協(xié)同計算任 務環(huán)境內執(zhí)行 而協(xié)同計算任務形成的用戶之間的協(xié)同關系會對安全協(xié)議的功能產生影 響 2 主要針對靜態(tài)授權環(huán)境下的安全需求 無法適應網格協(xié)同計算任務執(zhí)行過程中 形成的用戶權限的動態(tài)管理環(huán)境 3 安全目標僅限于對應性和保密性安全需求 無法滿足復雜網格環(huán)境的安全需求 在網格計算中最能體現網格的特點 同時安全需求最為復雜的是 多用戶參與的協(xié) 同計算 這種計算方式是指多個接入網格的用戶之間需要協(xié)作共同完成某項計算任務 針對這一特點 本文通過對網格環(huán)境下的 多用戶參與的協(xié)同計算 中安全協(xié)議的 需求分析和驗證問題進行研究 建立起適用于網格協(xié)同計算環(huán)境的安全需求分析模型 同時提出了一種安全協(xié)議形式化分析方法 其主要包括以下內容 1 提出了基于角色和任務的網格協(xié)同計算協(xié)同關系描述模型T R B C R 面且在其基 礎上構建網格協(xié)同計算安全需求分析模型T R B C C 實現了網格環(huán)境下多用戶協(xié)同計算 安全需求的形式化描述 從而把網格協(xié)同計算環(huán)境下的不同安全需求統(tǒng)一在一個理論體 系中 大連理工大學碩士學位論文 佗 通過對傳統(tǒng)S t r a n dS p a c e 理論進行擴展 提出了一種基于虛擬組織的網格安全協(xié) 議形式化驗證方法 實現了網格協(xié)同計算環(huán)境下安全協(xié)議的分析與證明 本文全文共分為五個部分 具體內容安排如下 第一部分介紹了當前網格的研究現狀 第二部分介紹了網格中的安全機制 第三部 分提出了基于角色和任務的網格協(xié)同計算安全需求分析模型T R B C C t 第四部分提出了一 種基于虛擬組織的網格安全協(xié)議形式化驗證方法 第五部分通過實例研究對所提出安全 模型和形式化驗證方法進行驗證 基于角色和任務的網格安全需求分析模型 1 網格基礎 網格是借鑒電力網 E l e c t r i cP o w e rG r i d 的概念提出來的 網格通過整合分布在局域 網或廣域網的資源 使之成為一個巨大的虛擬計算機系統(tǒng) 其目的是在大量個體 機構 組織之間利用安全 協(xié)同式的資源共享 創(chuàng)建一個動態(tài)虛擬組織1 7 1 V i r t u a lO r g a n i z a t i o n V O 基于這種動態(tài)虛擬組織的網格協(xié)同計算不僅跨地域 而且延伸到不同組織中的異 構軟硬件平臺 能夠為每一個連接到網格的用戶提供無限的計算能力 溝通協(xié)作能力及 信息獲得能力 在網格協(xié)同計算環(huán)境下 通過采用基于虛擬組織的分布式管理模式 使得作業(yè)實體 從資源控制 任務調度和管理的復雜工作中解脫出來 為了獲得充分而必需的資源 各 個V O 可以使用標準的 開放的 通用的接口進行信息交互 并根據這些信息來協(xié)調各 自的資源使用策略 從而避免系統(tǒng)的盲目查找和不合理的遠程調用現象 以此大大提高 了網格計算的智能性 在地域上分布的異構網格計算環(huán)境下 計算任務能自主地從某一 計算節(jié)點遷移到另一計算節(jié)點 并可與其它V O 的資源進行交互以實現作業(yè)和資源管理 的自適應 可以從以下三方面理解網格概念 1 網格的目標是資源共享和協(xié)作 網格的這種概念可以清晰地指導對行業(yè)中各個 部門的資源進行整體上的統(tǒng)一規(guī)劃 部署 整合和共享 2 網格是一種技術 為了達到多種類型的資源共享和協(xié)作 網格必須解決多個層 面的資源共享和協(xié)作技術 制定相應的標準 從而將I n t e m e t 從通訊和信息交互的平臺 提升到資源共享的平臺 3 網格是基礎設施 網格通過集成各類計算資源 形成一種 無縫和集成的協(xié)同 計算環(huán)境 從而使得用戶可以簡便地獲取提供的各種服務 1 1 網格的特點 建立在現有的I n t e m e t 和分布計算技術之上的網格 又被稱為第三代的I n t e r n e t 其基 本特點有 1 分布與共享 網格中的資源是分布的 分布的網格一般涉及的資源類型復雜 規(guī)模較大 跨越的地理范圍廣 同時 網格資源卻是可以共享的 即網格上的任何資源 都可以提供給網格上的任何使用者 分布是網格硬件在物理上的特征 而共享則是網格 軟件在邏輯上的特征 2 動態(tài)性與多樣性 網格資源是動態(tài)變化的 一開始網格的規(guī)模往往不是特別大 4 大連理工大學碩士學位論文 但是網格能夠對其自身進行多種形式的擴展 網格中的資源可以跨越地理分布的多個管 理域 同時構成網格資源的計算機在體系結構 操作系統(tǒng)及應用軟件等多個層次上可以 具有不同的結構 3 自相似性 相對于網格具有的動態(tài)性和多樣性特點 網格提供了統(tǒng)一的資源調 用方式 從而實現了異構資源的共享 并且在很大程度上提高了資源的有效利用 4 自治性與管理的多重性 網格資源通常屬于不同的機構或組織 因此網格資源 的擁有者對該資源擁有自主的管理能力 同時 網格資源必須接受網格的統(tǒng)一管理 網 格通過各個機構或組織共同參與虛擬組織來解決多級管理域的問題 1 2 網格的發(fā)展現狀 網格的發(fā)展經歷了三個階段 第一階段是萌芽階段 開始于9 0 年代早期 研究內 容是關于千兆網試驗床以及一些元計算方面的工作 第二階段是發(fā)展階段 時間大概從 9 0 年代中期到晚期 這個階段出現了一些比較重要的開創(chuàng)性和奠基性的研究項目 如 I W A Y G l o b u s L e g i o n 等 當前時期則是網格的迅速發(fā)展階段 這一階段關于網格的 開發(fā)和應用項目大量出現 使得網格計算不再僅僅局限于科學研究 而是在軍事和社會 經濟等更廣泛的領域得到了推廣和應用 目前有美國的G l o b u s L e g i o n C o n d o r I P G 歐洲的C E R ND a t a C 赫d U N I C O R E M O L 澳大利亞的N i m r o d G E o o O r i d 日本的 N h f f B r i c k s 中國的國家網格 上海網格等網格研究項目 當前網格應用主要分為以下四個方面 1 分布式超級計算 將分布在不同地點的超級計算機用高速網絡連接起來 并用 網格中間件 粘合 起來 形成比單臺超級計算機強大得多的計算平臺 如用于大規(guī)模 軍事仿真的S FE x p r e s s 2 數據密集型計算 側重于數據的存儲 傳輸和處理 其基本的思想是把海量數 據分散到全球的計算機上進行處理 并實現結果的共享 如用于海量數據處理的 D a t a G r i d 3 分布式儀器系統(tǒng) 通過網格管理分布在各地的貴重儀器系統(tǒng) 提供遠程訪問和 控制儀器設備的手段 提高儀器的利用率并方便用戶的使用 如x 射線設備的科學門戶 X p o r t 4 遠程沉浸 是一種特殊的網絡化虛擬現實環(huán)境 參與者通過網絡聚在同一個虛 擬空間里 從實現上看 雖然沒有網格的支持 照樣可以開發(fā)遠程沉浸應用 但有了網 格的支持 實現這類應用會簡單得多 如C A V E 虛擬現實環(huán)境 基于角色和任務的網格安全需求分析模型 1 3 網格體系結構 1 3 1 五層沙漏模型 五層沙漏模型i s 用于描述網格中的協(xié)議分層結構 這里的協(xié)議是指為了實現特定的 操作而定義的分布式系統(tǒng)元素之間交互的方式以及交互信息的結構 強調 協(xié)議 的重 要性是五層沙漏模型的顯著特點 類似于網絡中的0 S I 協(xié)議分層結構 五層沙漏模型將整個網格環(huán)境中的各種協(xié)議分 為五層 依次是 構造層 F a b r i c 連接層 C o n n e c t i v i t y 資源層 R e s o u r c e 匯聚層 C o l l e c t i v e 和應用層 A p p l i c a t i o n 在五層沙漏模型中 資源層和連接層共同組成了沙 漏的瓶頸 是該模型的核心協(xié)議部分 起到了承上啟下的作用 構造層的基本功能是通過提供對局部資源進行控制的工具和接口 實現對所控制的 共享資源的局部管轄與調度 構造層的資源非常廣泛 可以是計算 存儲 網絡 數據 和目錄等 顯然 構造層的實現依賴于特定的資源 連接層的基本功能是定義了網格環(huán)境中的網絡事務所需的通信和驗證協(xié)議 其中 通信協(xié)議實現了構造層資源之間的信息交互 驗證協(xié)議則是在通信協(xié)議的基礎上 為用 戶和資源的識別提供加密的安全機制 資源層的基本功能是通過定義單個資源的管理和操作的標準接口 實現資源的共 享 資源層兩個主要的協(xié)議是信息協(xié)議和管理協(xié)議 信息協(xié)議用來獲得資源的結構和狀 態(tài)信息 管理協(xié)議用來協(xié)商對共享資源的訪問 資源層和連接層形成了沙漏模型的瓶頸部分 因此要求其包括的協(xié)議集合要小 而 且要盡量標準化 這些協(xié)議要能夠抓住涵蓋不同資源類型的基本共享機制 而且又能足 夠支持各種類型的高層協(xié)議 匯聚層建立在資源層之上 其主要功能是實現資源之間的協(xié)同 匯聚層的協(xié)議跨越 了從通用到高端特殊應用領域的需求 其可以作為永久的服務來進行實現 應用層的功能則是通過提供的相關工具來實現網格的應用和開發(fā) 1 3 2 開放網格服務體系結構 開放網格服務結構O O S A O p e n G r i d S e r v i c e A r c h i t e c t u r e 9 是G l o b u s d 組和I B M 于 2 0 0 2 年初提出的一個面向服務的網格結構 是W e bS e r v i c e 和G r i d 技術融合的產物 1 基本思想 O G S A 是以服務為中心的 O G S A 在原有永久無狀態(tài)w e b 服務的基礎上 提出了臨 時網格服務的概念 用于解決網格資源的發(fā)現 創(chuàng)建 訪問以及生命周期管理等有關的 問題 大連理工大學碩士學位論文 網格服務調用流程如圖1 1 所示 F a c t o r y 服務發(fā)布到注冊中心后 網格用戶就可以 查詢到自己需要的F a c t o r y 服務 用戶向F a 咖服務發(fā)送服務創(chuàng)建請求 F a m o 穢服務創(chuàng)建 網格服務實例 并將所創(chuàng)建的網格服務實例的網格服務句柄 G r i dS e r v i c eH a n d l e G S H 返回給用戶 用戶獲得G S H 后 繼續(xù)通過句柄映射服務 H a n d l e M a p 中得到網格服務引 N G d d S e r v i c eR e f e r e n c e G s R 并按照G s R 的服務描述進行網格服務調用 圖1 1O G S A 服務調用流程示意圖 F i g 1 1S e r v i c ec a l l i n gp r o c e s si nO G S A C l i e n t A C l i e n t B C l i e n t C 2 網格服務框架 o G S A 涉及以下方面內容 網格服務資源 O G S A 采用面向服務的體系結構 一個網格服務實例維護一個服務數據元素的集合 O G S A 通過由w s D L 定義的網格服務接口進行網格服務屬性定義 并且隱藏了網格服務 的具體實現 從而實現了資源的虛擬化和服務的無縫集成 增加了虛擬組織的靈活性 其中 網格服務質量 認證 授權等相關協(xié)議是通過與網格服務屬性進行綁定來實現的 網格服務的命名和綁定 一個網格服務實例被創(chuàng)建時都被分配一個唯一的G S H G S H 在網格服務的生存期內 是不變的和唯一的 網格服務的其他信息保存在網格服務引用 G s R 中 與G S H 不同的 基于角色和任務的網格安全需求分析模型 是 G S R 中的信息在網格服務的生存期內是可以發(fā)生變化的 如版本信息和協(xié)議綁定信 息 H a n d l e M a p 服務用于從G S H 解析I 丑G S R 這個服務維護最新的G S H 到G S R 的映射 不會返回己經過時的G S R 創(chuàng)建臨時服務 O G S A 定義了一個接口來創(chuàng)建新的網格服務 實現這一接口的服務就是F a c t o r y F a c t o r y 服務從用戶接收創(chuàng)建網格服務請求 并在成功創(chuàng)建網格服務之后返回該網格服務 實例的G S H 和初始的G S R 在O G S A 中 F a e W r y 服務是分層次的 其上層的服務可以將 工作委托給下層的服務 網格服務的生命周期管理 O G S A 通過軟狀態(tài)來實現網格服務的生命周期管理 工廠在創(chuàng)建網格服務時 通過 與用戶進行協(xié)商 賦予網格服務一個初始生存期 創(chuàng)建網格服務后 用戶可以通過 S e t T e r m i n a t i o n T i m e 操作來設置生存期 通過G e t T e r m i n a f i o n T i m e 操作來查詢生存期 在 所設定的生存期到期后 網格服務提供者的運行環(huán)境或者網格服務本身可以決定銷毀服 務以釋放資源 網格服務的注冊和發(fā)現 網格服務的注冊和發(fā)現主要包含二個方面 注冊管理接口 允許網格服務實例周期性地注冊其G S H 到注冊中心 服務發(fā)現接口 允許客戶查詢網格服務實例的信息 從而可以發(fā)現滿足相關查詢條 件的網格服務實例集合 網格服務狀態(tài)管理 網格服務的狀態(tài)在生存期過程中會發(fā)生改變 這就需要對網格服務狀態(tài)進行管理 0 G S A 通過異步的事件消息來表示網格服務狀態(tài)的改變 O G S A 定義了下列網格服務接口 來實現事件消息的訪問 N o t i f i c a t i o n S o u r c e 支持用戶向網格服務提供者訂閱事件消息 N o t i f i c a t i o n S i n k 支持網格服務提供者向用戶發(fā)布的事件消息 用戶首先通過N o t i f i c a f i o n S o u r c e 服務接口向網格服務提供者訂閱其所關注的網格服務 狀態(tài)變化 同時 當網格服務狀態(tài)變化時 網格服務提供者負責通過N o t i f i c a t i o n S i n k 服 務接口通知所有訂閱的客戶 3 網格服務接口與功能機制 開放網格服務基礎設施O G S I O p e nG r i dS e r v i c eI n f r a s t r u c t u r e I o l 是構建O G S A 的基 礎設施 其通過對W e b 服務進行擴展 定義了網格服務的規(guī)范 一8 一 大連理工大學碩士學位論文 O G S I 提出了服務數據 S 甜v i c e D a t a 的概念 用戶通過網格服務接口對網格服務實 例的服務數據進行訪問 包括關于服務數據的增加 刪除 訂閱等相關操作 服務實例 在運行過程中 可以動態(tài)增加和刪除其服務數據 O G S I 通過W S D L 定義網格服務 由于原有W S D L 所定義的元素不足以描述網格服務 的特征 O G S I 對W S D L 進行了擴展 其中包括對W S D L 中的p o r t T y p e 定義了新的模式 以及提出支持p o r t T y p e 的繼承模型 在該繼承模型中 繼承屬性會影響繼承鏈上所有的 服務數據的定義 O G S I 定義了用于網格服務管理的核心服務接口 根據其功能可以分為三類 如下 所示 支持網格服務數據訪問的接口 其中 F a c t o r y 用于創(chuàng)建網格服務實例 R e s t r y 用于注冊一個G S H G r i d S e r v i c e 用于檢索已注冊的G S H 的消息 I I a n d t e M a p 用于把G S H 解析為有效的G S R 支持網格服務狀態(tài)管理的接口 其中 N o t i f i c a t i o n S o u r e e 用于用戶向網格服務 提供者訂閱事件消息 N o t i f i c a t i o n S i n k 用于網格服務提供者向用戶發(fā)布事件消息 支持網格服務分組的接口 其中 S e r v i c e G r o u p 是代表網格服務組的抽象接口 S e r v i e e G r o u p R e g i m a r i o n 接口繼承自S e r v i c e C r r o u p 接1 2 用于管理網格服務組的操作 包括向一個網格服務組中增加和刪除成員網格服務 S e r v i c 潮3 r o u p E n l r y 接口則是由 S e r v i c e G r o u p R e g i s t r a t i o n 接口創(chuàng)建的 用于定位網格服務組中的成員網格服務 1 3 3W S l 強 針對O G S I 的一些缺點 全球網格論壇G G F 的O G S I 工作組 O G S I W G 于2 0 0 4 年提出 了W e b 服務資源框架 W e bS e r v i c eR e s o u r c eF r a m e w o r k W S R F I l 1 W S P e s o u r e e 在W e bS e r v i c e 永久無狀態(tài)服務的基礎上 W s R F 弓I 入了狀態(tài)資源的概念 并且將服務 與狀態(tài)資源區(qū)分開來 一個服務可以對應多個狀態(tài)資源 一個狀態(tài)資源也可以對應多個 服務 服務與狀態(tài)資源的組合構成了W SR e s o u r c e w s R F 引入狀態(tài)資源的動機是 雖然服務在交互過程中并不維護資源狀態(tài)信息 但 是整個交互過程則需要資源狀態(tài)信息 也就是說 資源狀態(tài)通過服務交互得以持久化 并且作為服務交互的結果而保存 另外 在服務交互過程中得到處理的不是狀態(tài)資源本身 而是對狀態(tài)資源的引用 這個引用是狀態(tài)資源的惟一標識 稱為W e b 服務端點引用 主要包括如下屬性 a d d r e s s 標識狀態(tài)資源所在的網絡地址 r e f e r e n c ep r o p e r t i e s 標識得到處理的狀態(tài)資源 基于角色和任務的網格安全需求分析模型 p o l i c y 包含服務交互所需的策略信息 針對W SR e s o u r c e W S R F 進一步制訂了相應規(guī)范 其中某些規(guī)范還在制訂過程中 2 W S R F 規(guī)范 W S R F 規(guī)范按照功能分為六部分 其中每個部分都可以獨立的發(fā)展 也可以通過多 種方式進行組合 具體描述如下 W S 規(guī)范用于定義Resource的類型以及其對應的 RcsourccPropca tiesw s W e b 服務端點引用如何與原有的W e b 服務端點描述相關聯(lián) 同時也定義了W S R e s o u r c e 屬 性的訪問方式 W SR e s o u r c c L i f e t i m e 規(guī)范用于W SR e s o u r c e 的生命周期管理 包括 W S j 沁s o u r c e 的創(chuàng)建 標識和銷毀 W SR e s o l l r c c 是由W e b 服務資源工廠 W S R e s o u r c e F a c t o r y 來創(chuàng)建的 W SR e n e w a b l e R e f e r e n e e 規(guī)范定義了一種機制 通過這種機制可以對己經無效的 W e b 服務端點引用進行更新 從而實現持久 穩(wěn)定的W S 的引用 Resource W SS e r v i c e G r o u p 規(guī)范定義了一種機制 通過這種機制 W e b 服務和W e b 服務資 源可以為了某個領域的特定目的而組合在一起 W SB a s c F a u l t s 規(guī)范定義了基本故障的X M L 模式類型以及這種故障類型的使用規(guī) 則 從而實現對來自于不同W e b 服務的故障進行一致的處理 W SN o t i f i c a t i o n 規(guī)范將企業(yè)級發(fā)布和訂閱消息模式集成到W e b 服務中 其提供 了直接發(fā)布和代理發(fā)布兩種模式 在代理發(fā)布模式中 代理將消息的發(fā)布者和訂閱者分 離開來 大連理工大學碩士學位論文 2 網格安全機制 在計算機通信網絡中 主要的安全保護措施被稱作安全服務 根據1 S 0 7 4 9 8 2 安 全服務包括數據的機密性 鑒別 數據的完整性 不可抵賴性和訪問控制 作為一種新 出現的重要的基礎性設施 網格對于運行的可靠性提出了更高的要求 2 1 網格安全機制 網格環(huán)境下的標準安全功能包括認證 訪問控制 完整性 隱私權保護和抗抵賴性 相對于網格環(huán)境下的安全體系結構 需要滿足以下基本的限制條件 1 單一登陸點 用戶只需要在開始計算是進行一次認證 在獲得資源 釋放資源 內部通信時無需對用戶再次進行認證 2 信用憑證保護 用戶的憑證 密碼 密鑰等 必須受到保護 3 局部安全方案的互用性 當安全解決方案能提供域間訪問控制機制時 對局部 資源的訪問應由本地安全機制決定 但是 改變局部資源來適應域間訪問是不現實的 這要求有一個或多個實體作為局部資源的遠程客戶 用戶代理 在所有滿足這些要求的安全體系結構中 認證和授權構成了整個網格安全的基礎 目前G l o b u s 1 2 是應用最廣泛的網格項目 由于它的開源性 現在的許多網格項目 如 歐洲數據網格 分布式異構計算環(huán)境C a c t u s 等 都是基于它發(fā)展起來的 G l o b u s 所采 用的安全機制是G S I G r i d S e c u r i t yI n f r a s t r u f m r e 1 3 1 4 15 1 G S I 主要解決了認證和消息保 護問題 C A S C o m m u n i t yA u t h o r i z a t i o nS e r v i c e 16 1 刀基于G S I 并通過在每個V O V i r t u a l O r g a n i z a t i o n 中引入一個C A S 服務器 很好地解決了授權問題 2 2 網格安全基礎設施G S I G S I 是基于公鑰加密 X 5 0 9 證書和S S L 通信協(xié)議的一種安全機制 主要解決了V O 中的認證和消息保護問題 在早期的一些工作中 G S I 使用私鑰和X 5 0 9 證書作為用戶向 網格資源認證的基礎 G S I 的主要安全目標包括 1 支持網格計算環(huán)境中的安全通信 2 支持跨虛擬組織的安全 3 支持網絡計算環(huán)境中用戶的單點登陸 包括跨多個資源和地點信任委托和信任 轉移等 現在 G S I 使用一種稱為代理證書 P r o x yC r e d e n t i a l 的臨時憑證 通過代理證書 G S I 用戶在訪問分布在多個站點上的資源時就不必重復認證 亦可實現單點登錄 另外 基于角色和任務的網格安全需求分析模型 通過代理證書G S I 用戶還能夠將用戶權限委托 D e l e g a t i o n 給遠程進程 其具體描述如 下 1 單點登錄 在一個網格計算環(huán)境中 用戶可能需要同時訪問多個站點上的資源 這樣就有可能 要求用戶進行多次認證 從而要求用戶多次鍵入其私鑰加密密碼 這無論從方便性還是 安全性的角度都是不可取的 G S I 使用代理證書解決了這個問題 用戶生成一對新的公私鑰對 并用其用戶證書簽 發(fā)生成一個新證書 新證書包含了用戶的身份和新生成的公鑰 并被略作修改以指示這 是一個代理證書 代理證書是由用戶簽發(fā)的一個短暫證書 代理憑證包含了新生成的私 鑰 代理證書和用戶證書 用戶在使用代理證書認證時 必須向驗證方同時提供用戶證 書和代理證書 驗證方首先檢查用戶證書的有效性 然后檢查代理證書是否為用戶所簽 發(fā) 最后判斷用戶是否擁有代理證書的私鑰 若條件都滿足 用戶認證成功 代理證書的私鑰可以以明文的形式保存在本地存儲系統(tǒng)中 并禁止其他用戶對私鑰 的讀取 這是因為代理證書是一個短期的證書 所以代理證書的私鑰不必像用戶私鑰那 樣加密保存 代理證書一旦創(chuàng)建 在證書過期前 V O 用戶可以用它同資源提供者進行相 互認證 而無須再鍵入原有用戶證書的私鑰密碼 從而提高了系統(tǒng)的安全性 代理證書除了包含用戶身份之外 還可以在其擴展項中承載一些策略信息來限制其 使用 包含有這樣的策略信息的代理證書叫做受限代理 R e s t r i c t e dP r o x y 在后面部分我 們會看到受限代理在C A S 中的使用 2 委托 在分布式應用中 用戶提交一個作業(yè)到某個遠程站點A 上去執(zhí)行 這個作業(yè)可能需 要訪問用戶保存在另一個遠程站點B 上的文件 這樣 用戶在站點A 上的作業(yè)需要能夠以 用戶的身份訪問保存在站點B 上的文件 在這種情況下 G s I 則允許用戶委托一個代理證 書給其在站點A 上的作業(yè) 從而用戶在站點A 上的遠程作業(yè)能夠使用用戶委托的代理證 書通過站點B 的相關系統(tǒng)認證 3 1 授權 關于授權的一種解決方案是 將屬于不同獨立組織的資源和 或人員組織起來創(chuàng)建 一個V O 繼而在V O 中基于計算任務采用動態(tài)的策略來監(jiān)控到底誰可以使用哪些資源 以及出于什么目的使用這些資源 V O 中的資源共享是通過服務實現的 控制用戶對資源服務的訪問權限是通過一個 映射文件來實現的 映射文件由一系列用戶D N 區(qū)別名 到本地賬號 如一個本地的 U N I X 用戶賬號 的映射項組成 用戶認證成功后 資源提供者從用戶的代理證書中提取 大連理工大學碩士學位論文 用戶D N 然后資源提供者根據用戶請求的服務從相應的映射文件中查看是否有該D N 的映 射項 如果存在 則說明用戶有權限訪問其請求的服務 資源提供者將以用戶D N 對應的 本地賬號運行被請求的服務 這樣一來 用戶請求的這個資源服務的行為將受到本地賬 號的約束 換句話說 G S I 是通過映射機制將對用戶的訪問控制轉變?yōu)橘Y源提供者對本 地賬號的訪問控制 如文件訪問控制 C P U 限制等 G S I 采用資源提供者和資源消費者之間直接的信任關系 映射文件中是否有用戶D N 的映射項 來描述授權策略 所以對大規(guī)模的V O 這樣會有擴展性 靈活性 描述性以 及缺少策略層次性的問題 例如 當一個用戶加入V O 時 可能需要同所有資源提供者交 互以建立信任關系 當一個資源提供者加入v O 時 也可能需要同所有V O 用戶交互以建 立信任關系 C A S 服務器是V O 為解決這些問題引入的一個可信第三方 負責管理監(jiān)控 用戶對V O 中資源的訪問 用戶要訪問V O 中的資源時 首先要同c A s 服務器打交道 C A S 服務器根據用戶的請求和其在V O 中的角色授予一定的權限給用戶 C A S 服務器通過為 用戶簽發(fā)代理證書并且把用戶的相關權限寫入到代理證書的策略描述中 實現了V O 對 用戶的授權 相應地 C A S J i 務器為用戶簽發(fā)的代理證書稱為受限代理 用戶繼而可以 將代理證書出示給資源提供者獲取相關資源的訪問權限 用戶最終得到的有效的權限是 資源提供者授予c A S 服務器的權限集合與c A s 服務器授予用戶的權限集合的交集 資源提供者和資源消費者通過C A S 服務器建立信任關系 使得加入V O 的實體只需 要同C A S 服務器打交道 因此擴展V O 變得相當容易 資源提供者提供了哪些共享資源 這些資源用于什么目的等都可直接在C A S 服務器中描述 c A s 提供了策略描述語言 這 又使得我們可以非常方便靈活地反應V O 策略的變化 最后 我們還可以通過建立另一 個C A S J 艮務器 負責管理子V O 的策略來解決策略層次性問題 2 3G l o b u sT o o l k i t4 的安全實現 G l o b u sT o o l K i t 是G l o b u s 網格計算項目在多種平臺上運行的網格計算工具包軟 件 G l o b u s 項目提出通過建立網格安全基礎設施G S I 來保障網絡計算環(huán)境的安全 G S I 已經在G l