|
我们所熟知的网格有GlosbusToolkit,Legion和UNICORE,它们具有访问实际资源、提供管理和安全防护的功能。然而,这些网格之间不能进行无缝操作,这样,一些采用了某种网格的组织机构发现,它们只能同相同系列的网格进行互相操作。全球网格论坛(GGF)重新定义了一种叫做开放网格服务机构(OGSA)的系统体系结构来解决这个问题,它以WebService技术为基础,以交互方式提供核心的功能。许多网格都采用了OGSA标准,这样就可以在不同网格的核心实现间进行交互。 1网格的安全挑战 网格给想加入这个虚拟机构的组织和研究者带来了新的安全方面的挑战。网格环境需要安全机制,它有如下一些特性:①它们穿越了几个管理域;②为动态的用户群提供良好的可扩展性;③为具有不同的认证和授权方式的资源池提供支持;④在运行过程当中,动态的获取或者释放资源。 网格技术的关键为在于现有系统和技术的集成,与不同主机环境的交互操作,交互主机环境中信任关系的管理。 标准化对于网格的交互操作是非常重要的。GGF曾经采纳了将WebService作为实现网格的标准技术。在这里,OGSA安全体系结构表述了OGSA的安全要求。在OGSA中所描述的现有的各层安全技术和标准都是从较低层的资源管理安全层开始的。第二层是网络安全层,第三层是绑定层。在较高层次中包含安全服务层和开发者。在与网络相关的层,可以使用传统的安全技术来实现网格安全。在网络层,可以用SSL,TLS和IPSec来实现虚拟专用网。同时,在绑定层中,也可以根据选用技术的不同,用SSL,TLS和IPSec,HTTP,IIOP,CSIv2以及MQ提供者来实现安全保护。 2网格计算环境 通常网格应用的用户接口是基于web的入口,也叫网格入口。网格入口允许使用各种web浏览器访问网格应用和资源,这可以方便用户使用,并丰富内容的表现形式。 使用这个入口进行初始化计算的用户,需要和入口协商自己的权利,这样他们就能够访问需要的资源。标准的web安全机制不能用于这个协商过程,此外,网格入口要求和用户协商他们的权利,这样用户接下来就可以代表他们自己的活动。网格安全基础设施(GSI)包含了这样的机制,代理证书对网格应用程序来说,web的使用有一些约束,用户必须以某种方式提供他们的凭证,智能卡能解决这样的问题,但是它没有得到广泛的应用。另一个约束是,网格入口必须拿到长时间的凭证。Web浏览器可以对网格进行认证,但是它不能像GSI一样协商用户的凭证,所以就需要用户的长期凭证。因为每个网格入口必须获取和存储用户的长期凭证,用户销毁的凭证数量和他曾使用的网格入口的数量一样。 为解决这个问题,人们提出创建一个在线的用户凭证库。有了这个知识库后,用户就可以与其联系,并与服务器协商代理凭证、认证信息何恢复约束。认证信息可以是用户选择的用户名和口令,在后面凭证的恢复中可以用到。恢复约束包括代理凭证的有效周期。 获得认证信息的网格入口能在任何时候恢复在线知识库中的代理凭证,并且可以像其他用户创建的代理凭证一样使用它们。这样,用户可以用他的客户端联系网格入口,并且可以为代理凭证知识库提供用户名和口令。入口联系凭证知识库并且恢复凭证,这样,用户就可以让入口像代理一样计算。当计算结束,代理凭证就会被从入口中删除。 3网格网络安全 我们已描述了网格安全的一些关键问题。这个处在网格应用层之下来处理安全问题的体系结构在认证和授权方面是很完备的。然而,在网格环境中还有其他方面的安全功能的需求,比如说,数据完整性和加密、计费和日志记录。最后,还有一些开放性的问题,比如网格的部署和机构的安全机制。 3.1防火墙和网格 当一个单位想在基础设施里部署网格时,首先要考虑的安全问题是,如何让网格不影响现有的安全策略和机制。尽管网格的安全基础设施和其他的安全基础设施已经设计好了,但一些小的改动是必要的。 防火墙配置是这些改动里面的一项。当想共享机构里面的一些资源时,这些对于机构网络外部边界的资源必须是直接或间接可达的。同样,机构里面的网格应用也需要访问外部资源。但是所应用的协议却是与具体应用相关的,大多数情况下,就需要改变防火墙现有的规则。由于重新配置防火墙所带来问题的解决方案包括,分隔的子网中不设防火墙,防火墙需要为一系列的系统开放大量的端口,以及使用动态防火墙。另外一个方法就是对可信的主机建立数据库,只有这些主机可以访问共享资源。这种方法的不足之处是会使得访问规则变得复杂,性能也随之下降。 Globus方法则是通过识别域内的网格应用,并将其映射到特定端口来解决这一问题的。这样,它就对网格应用所产生的流量有了一个总体的把握。防火墙的规则可以通过网格中机器的期望流量来调整。GlosbusToolkit要求向外的连接端口不受限制,最后,因为有些服务是有回呼的,所以向内部连接客户端的限制会导致某些功能受限。 另外一个主要问题出在网络地址(NAT)的转换上。在进行网络地址转换过程中,通过NAT的防火墙IP地址协议就可以知道客户端域边界。在这种情况下,认证客户端的名字与从外部所看到的实体名字不匹配,这样共同认证也就失败了。即使认证中使用了NAT防火墙的名字,在域内也还存在相同的问题。可以尝试用回呼技术来解决这个问题,但是会出现上述的限制。 另外一种方法就是使用动态防火墙来解决网格应用的问题。动态防火墙必须能够处理高层的协议,并且能够维护凭证有效。必须注意网格的策略,当且仅当外部用户符合现有的网格策略,并通过了认证,他向网格资源发起的连接才能通过。 |
|
核心期刊网(www.hexinqk.com)秉承“诚以为基,信以为本”的宗旨,为广大学者老师提供投稿辅导、写作指导、核心期刊推荐等服务。 核心期刊网专业期刊发表机构,为学术研究工作者解决北大核心、CSSCI核心、统计源核心、EI核心等投稿辅导咨询与写作指导的问题。 投稿辅导咨询电话:18915033935 投稿辅导客服QQ: 投稿辅导投稿邮箱:1003158336@qq.com |
| 你好,欢迎来到! 设为首页 |收藏本站 | ||
|
