GSI访问控制策略的改进
2008-03-21
作者:赵庆敏1,朱蔓菁1,齐正保2
摘 要: 针对网格计算" title="网格计算">网格计算所涉及的安全问题,分析了当今典型系统Globus实现的网格安全" title="网格安全">网格安全架构GSI(Grid Security Infrastructure)。在借鉴GSI优势的基础上,针对GSI授权机制的不足,提出了一种改进的访问控制策略" title="控制策略">控制策略模型——中控访问控制" title="访问控制">访问控制策略模型,并分析了其基本的工作原理。
关键词: 网格安全 GSI 访问控制策略 中控访问控制策略
美国Globus网格项目之父Ian Foster说:“网格是构筑在互联网上的一组新兴技术,它将高速互联网、计算机、大型数据库、传感器、远程设备等融为一体,为科技人员和普通百姓提供更多的资源、功能和服务[1]。传统的互联网技术主要为人们提供电子邮件、网页浏览等通信功能,而网格的功能则更多、更强,它能让人们共享计算、存储和其他资源”。从本质上说,网格计算需要解决的问题就是如何在动态、异构的虚拟组织间实现资源共享并协同解决某一问题。实质上,网格就是一个集成的计算与资源环境,或者说是一个计算资源池。而网格计算就是指将分布的计算机组织起来协同解决复杂的科学与工程计算,使人们能够以一种更自由、更方便的方式使用计算资源。但是,如果缺乏有效的安全机制,将会阻止网格技术的进一步发展,限制网格应用的进一步推广。因此,网格计算环境必须具有抗拒各种非法攻击和入侵的能力,并且在受到攻击和入侵时采取某些措施以维持系统的正常高效运行和保证系统中各种信息的安全。所以,网格安全问题比一般网络安全问题的覆盖面更广,解决方案也更复杂,这正是本文所要探讨的问题。
1 网格计算的安全问题
1.1 网格计算环境的主要特性
网格安全技术是通过身份认证等安全技术防止非法用户通过网络使用或获取网格的任何资源,保障数据的安全性。同时,通过权限控制和数据隐藏技术使用户只能获取被许可的信息和知识,而不能窃取未授权的信息。在网格安全设计中,需要考虑的网格特性主要有以下几点:
(1)网格是一个异构的环境,在计算网格中,不同的节点采用不同的硬件或操作系统。
(2)用户数量巨大,且动态变化。
(3)资源数量巨大,且动态变化。
(4)一个计算可能在其运行期间动态地要求使用或释放资源,并可能需要创建许多不同的进程。
(5)不同的信任域可能要求不同的安全策略(认证和授权机制)。
(6)资源和用户属于多个不同的组织。
(7)用户在不同的资源上可有不同的标识。
1.2 网格环境的安全需求
从本质上讲,Internet的安全保障一般提供以下两方面的安全服务" title="安全服务">安全服务:(1)访问控制服务,用来保护各种资源不被非授权使用;(2)通信安全服务,用来提供认证、数据保密性与完整性以及各通信端的不可否认性服务。但是这两方面的安全服务不能完全解决网格计算环境下的安全问题。
为了保障网格计算环境的安全,GSI的主要目标是:(1)支持网格计算环境中主体之间的安全通信,防止假冒和数据泄密;(2)支持跨虚拟组织的安全,这样就不用采用集中管理的安全系统;(3)支持网格计算环境中用户的单点登录,包括跨多个资源和地点的信任委托和信任转移等。为此,GSI为网格计算环境提供了一系列的安全协议、安全服务、安全SDK(Soft Development Kits)和命令行程序。通过使用这些安全技术,可有效地保证网格计算环境的安全性和方便性。
2 网格安全的实现
2.1 网格安全基础设施
美国网格研究项目Globus提出的网格安全基础设施(GSI)与PKI技术相结合提供了满足网格安全要求的框架,框架如图1所示。
从图1可以看出,Globus安全策略由以下五个部分组成[5]:
(1)用户User(U):一个Globus计算过程的请求者,可以是人或代理(一个进程)。
(2)用户代理UserProxy(UP):在一个有限时间内代表用户行使一定权限的一个进程。
(3)进程Process(P):一个逻辑主体,提供进程管理API创建,并代表一个用户在特定资源上进行计算。
(4)资源Resource(R):在一个计算过程中使用的计算节点、文件系统、网络或其他主体。
(5)资源代理ResourceProxy(RP):一个有不定期权限的资源管理者。
2.2 网格安全的主要技术及其不足
2.2.1 网格安全的主要技术
Globus中的网格安全架构GSI是一个解决网格安全问题的集成方案,它融合了目前成熟的分布式安全技术,并对这些技术进行一定的扩展,以适合网格计算环境的特点。GSI中的主要安全技术包括:
(1)认证证书:GSI认证证书采用X.509的证书格式,可被其他基于公钥的软件共享。
(2)双向认证:GSI采用SSL作为它的双向认证协议,实体之间通过认证证书证明彼此的身份。
(3)保密通信:GSI采用公钥技术与对称加密技术结合的加密方式,在保证通信安全性的同时尽量减少加解密的开销。
(4)安全私钥:GSI将用户的私钥以文件的形式加密存储在用户计算机上,以此保护用户的认证证书。
(5)授权委托:GSI对标准的SSL协议进行扩展,使得GSI具有授权委托能力,减少用户必须输入口令来得到私钥的次数。
(6)用户单一登录:GSI使用用户代理解决用户单点登录问题。
2.2.2 网格安全技术的不足
GSI授权是通过对一个文件的操作实现的,这个文件提供了证书标识(全局用户)到本地账号的映射关系。但是GSI也存在一些不足,如:GSI要求每一个访问资源的全局用户都要在本地资源服务器上拥有一个自己的账号,每一个资源服务器都需要维护一个庞大笨拙的全局/本地映射表,这种授权机制难以扩展到拥有大量资源和大量用户的大规模环境中。由此可知,GSI缺乏基于全局策略的具有良好扩展性的访问控制机制。
3 网格访问控制策略的改进
网格要达到资源共享的目的,必须解决资源的访问控制问题。网格的访问控制必须建立在现有的访问控制系统之上。但是由于网格跨越多个不同的地点和不同的自治域,每个域的访问控制策略和需求可能十分不同,这使得资源的访问控制更加复杂。现有的访问控制系统必须进行扩展才能移植到网格系统中。访问控制对资源的机密性、完整性起着直接作用。
3.1 访问控制术语
(1)访问控制的客体(Object):需要保护的资源,又称作目标。
(2)访问控制的主体(Subject):是一个主动的实体,可以访问客体,通常指用户或代表用户执行的程序,又称为发起者。
(3)访问控制的授权(Authorization):可对该资源执行的动作,例如读、写、执行或拒绝访问。
(4)访问控制的策略(Policy):基于身份的访问控制或基于规则的访问控制。
3.2 传统的访问控制策略
基于身份的访问控制策略,又叫自主访问控制策略,是指具有某种访问能力的主体能够根据自己的意愿自主地将有访问权的某个子集授予其他主体,如客体的拥有者对客体有所有的访问权,并能将其权限子集分配给其他用户。自主访问控制是根据主体的身份及允许访问的权限进行决策的,这种控制是自主的。它的优点是灵活度高、粒度小,但是信息在移动过程中其访问权限关系很容易被改变,其配置管理工作量很大,不太适合网格的动态多自治域的环境。
基于规则的访问策略,又称强制访问策略,是指独立于用户行为而强制执行访问控制的规则。这样的规则通常按照安全等级对数据和用户划分标签,访问控制机制通过比较安全标签来确定允许还是拒绝用户对资源的访问。用户不能改变他们的安全级别或对象的安全属性。它的优点是保密性强,信息不会被轻易泄漏,但是它的配置粒度大,缺乏灵活性。
3.3 改进的访问控制策略模型
在传统的访问控制策略的基础上,采取结合和折衷的办法,提出一种不同于传统访问机制的中控访问控制策略模型,其访问主体通过一个中控器访问客体。该模型的简化图如图2所示。
从上图可知,访问控制策略由中控器决定,它跟据主体不同的要求为其分配一个相应的访问权限。特点如下:
(1)如果用户要求保密性强,则访问控制机制就通过比较安全标签来确定授予还是拒绝用户对资源的访问。用户不能改变他们的安全级别或对象的安全属性。
(2)如果用户要求比较灵活,也就是主体能根据自己的意愿自主地将访问权的某个子集授予其他主体,则采用身份访问策略机制,即根据主体的身份及允许访问的权限进行决策。
(3)如果既要灵活,又要保密,则由中控器决定不同的角色,把许可权分配给这些角色,然后由用户选择不同的角色进行访问。
总之是由中控器控制决定许可权的分配,并且该中控器具有继承性,这样既可以保证灵活性好,又可以保证保密性强。缺点是配置工作量非常大。
本文针对网格的安全问题进行了探讨,并且主要对GSI访问控制策略的不足,提出了一种改进的访问控制策略模型——中控访问控制策略模型,同时分析了该策略的基本原理和特性。但是中控访问控制策略还存在一些不足之处,如配置工作量非常大,还需要进一步改进和完善,并且该策略的实现还有待进一步的研究。同时,网格安全的引入不能影响网格计算的性能。
参考文献
1 都志辉,陈 渝,刘 鹏.网格计算[M].北京:清华大学出版社,2002
2 关豪英.初探网格计算中的安全问题[J],邢台学院学报,2005;2(20):119~121
3 应 宏,钟 静.网格技术的安全策略[J].网络安全技术与应用,2004;(7):42~44
4 刘怡文,李伟琴,韦 卫.信息网格安全体系结构的研究[J].北京航空航天大学学报,2003;29(7):19~24
5 GGF OGSA Security Workgroup.Security architecture for open grid services.http://www.ggf.org/ogsa-sec-wg,2003-06-05