網(wǎng)格計(jì)算充分利用了現(xiàn)有的從個(gè)人電腦到超級(jí)計(jì)算機(jī)的計(jì)算系統(tǒng)，讓用戶可以共享位于不同地理位置和組織上的計(jì)算資源和數(shù)據(jù)程序等。這一新的計(jì)算技術(shù)可以把現(xiàn)有的計(jì)算基礎(chǔ)設(shè)施轉(zhuǎn)換成一個(gè)集成的無(wú)處不在的虛擬計(jì)算環(huán)境。然而，盡管商業(yè)組織和研究機(jī)構(gòu)都愿意為了技術(shù)合作或是商業(yè)利益上的原因來(lái)共享他們的資源，但如果他們無(wú)法信任這種共享的安全性，如通信的保密性、數(shù)據(jù)和資源的完整性以及用戶信息的隱私性等，他們是不會(huì)接受這種分布式計(jì)算基礎(chǔ)設(shè)施的。換句話說(shuō)，只有當(dāng)網(wǎng)格用戶能夠充分信賴網(wǎng)格的安全性以后，網(wǎng)格才能真正大規(guī)模地開(kāi)展起來(lái)。
　　傳統(tǒng)的安全措施都集中在孤立的系統(tǒng)上，并且采用嚴(yán)格的用戶策略來(lái)保護(hù)資源。例如，目前的絕大多數(shù)組織都在其計(jì)算機(jī)網(wǎng)絡(luò)周圍布置網(wǎng)絡(luò)防火墻來(lái)保護(hù)他們的重要數(shù)據(jù)。但是網(wǎng)格計(jì)算的核心思想就是要使得資源能夠超越現(xiàn)存的組織以及地理上的界限，從而實(shí)現(xiàn)最大程度上的共享。在網(wǎng)格環(huán)境" title="網(wǎng)格環(huán)境">網(wǎng)格環(huán)境下，網(wǎng)格的參與者都是動(dòng)態(tài)地來(lái)自于虛擬組織。而先于共享行為建立起來(lái)的信任關(guān)系，常常是在組織這一層面上，而非個(gè)體層面^[1]。因此，在網(wǎng)格環(huán)境下采取面向單個(gè)用戶的嚴(yán)格安全策略被證明是很難行得通的。通常情況下，單個(gè)用戶的事務(wù)處理往往涉及到許多個(gè)網(wǎng)格節(jié)點(diǎn)，而這些網(wǎng)格節(jié)點(diǎn)是動(dòng)態(tài)的且不可預(yù)知的。此外，與傳統(tǒng)的Internet不同，網(wǎng)格會(huì)對(duì)外部用戶提供更大程度上的訪問(wèn)權(quán)限，從而增加了安全方面的風(fēng)險(xiǎn)。
1 基本的安全需求
　　從廣義上講，任何信息系統(tǒng)的安全目標(biāo)都是要阻止沒(méi)有被正確授權(quán)的用戶來(lái)訪問(wèn)相應(yīng)的資源和信息^[2]。下面說(shuō)明網(wǎng)格環(huán)境下安全問(wèn)題的基本要素以及這些要素的重要性。
　　(1)鑒定 鑒定是一個(gè)驗(yàn)證身份的過(guò)程。在傳統(tǒng)的信息系統(tǒng)中，鑒定通常都是對(duì)客戶端的身份進(jìn)行驗(yàn)證以確保服務(wù)端的安全。而在網(wǎng)格環(huán)境下，除了要對(duì)客戶端進(jìn)行身份驗(yàn)證外，還要對(duì)服務(wù)端的身份進(jìn)行驗(yàn)證，以防止有冒名頂替者提供虛假服務(wù)。
　　(2)授權(quán) 授權(quán)機(jī)制決定了系統(tǒng)是否允許一個(gè)請(qǐng)求的操作活動(dòng)。在網(wǎng)格環(huán)境下，這樣的機(jī)制必須在做出決策之前，綜合考慮到所有與資源相聯(lián)系的分布式策略。
　　(3)完整性和保密性 保持?jǐn)?shù)據(jù)的完整性和保密性是非常重要的。數(shù)據(jù)在傳輸和存儲(chǔ)的過(guò)程中，必須有適當(dāng)?shù)?a class="cblue" href="http://www.shi-ke.cn/search/?q=安全機(jī)制" title="安全機(jī)制">安全機(jī)制來(lái)阻止未經(jīng)授權(quán)的訪問(wèn)，并且在有些情況下，還必須阻止未經(jīng)授權(quán)的組織來(lái)獲取數(shù)據(jù)是否存在的相關(guān)信息。
　　(4)賬號(hào)與審計(jì) 賬號(hào)與審計(jì)在網(wǎng)格環(huán)境下扮演著非常重要的角色。隨著商業(yè)部門的大規(guī)模網(wǎng)格的開(kāi)展，商業(yè)組織會(huì)需要一種機(jī)制來(lái)控制它們并對(duì)于消費(fèi)所提供的資源和服務(wù)進(jìn)行收費(fèi)。賬號(hào)機(jī)制還可以確保所有的用戶遵守資源使用協(xié)議。而執(zhí)行操作的審計(jì)信息記錄則可以對(duì)威脅或破壞事件進(jìn)行追蹤。
　　(5)不可抵賴性 不可抵賴性是指即使在嫌疑人否認(rèn)的情況下，也能夠證明嫌疑人曾經(jīng)執(zhí)行過(guò)或同意過(guò)某一具體的任務(wù)。在網(wǎng)格這種多方參與的環(huán)境里，能夠證明任務(wù)以及人員之間的相互關(guān)系是非常重要的，尤其是當(dāng)有爭(zhēng)議出現(xiàn)時(shí)更是如此。
2 網(wǎng)格中特殊的安全需求
　　最先開(kāi)始出現(xiàn)的網(wǎng)格主要分布在互相信任的一些安全域中，如學(xué)術(shù)組織和研究機(jī)構(gòu)。而目前，Globus Alliance和其他一些研究機(jī)構(gòu)和商業(yè)組織等聯(lián)合開(kāi)發(fā)的開(kāi)放網(wǎng)格體系結(jié)構(gòu)(OGSA)已經(jīng)被廣泛接受。OGSA致力于定義用來(lái)統(tǒng)一創(chuàng)建、命名和發(fā)現(xiàn)網(wǎng)格服務(wù)的行為和機(jī)制。隨著OGSA逐漸成為網(wǎng)格的體系結(jié)構(gòu)的標(biāo)準(zhǔn)，許多大公司也開(kāi)始使用網(wǎng)格技術(shù)。這些組織越來(lái)越關(guān)心網(wǎng)格環(huán)境下的一些諸如知識(shí)產(chǎn)權(quán)、隱私性和保密性等問(wèn)題。開(kāi)發(fā)一個(gè)安全的網(wǎng)格體系結(jié)構(gòu)所面臨的一個(gè)主要的挑戰(zhàn)，就是要使得網(wǎng)格能夠支持一系列的安全需求" title="安全需求">安全需求，即從最簡(jiǎn)單的安全需求到最高保密級(jí)別的問(wèn)題空間集。
　　網(wǎng)格包含不同的安全域，每個(gè)安全域都有各自自主的安全機(jī)制。一個(gè)有效的網(wǎng)格安全體系結(jié)構(gòu)必須能夠提供在這些不同安全域鴻溝之間牽線搭橋的協(xié)議和機(jī)制，同時(shí)又能夠保留每個(gè)安全域?qū)τ谒约罕镜刭Y源的完全控制權(quán)。
2.1 身份
　　每個(gè)組織都要通過(guò)某種形式的身份，如用戶名、密碼或數(shù)字證書等來(lái)與用戶進(jìn)行聯(lián)系。在網(wǎng)格環(huán)境中，為了在不同的組織之間建立聯(lián)系以及能夠進(jìn)行賬號(hào)管理，每一個(gè)用戶都必須擁有一個(gè)網(wǎng)格身份。一個(gè)本地的用戶身份要和網(wǎng)格身份進(jìn)行匹配，而網(wǎng)格身份又要和用戶指定的遠(yuǎn)程資源上的身份進(jìn)行匹配。在多組織協(xié)作的環(huán)境下，建立信任關(guān)系是非常困難的。通常，有這樣的虛擬組織會(huì)采取集中身份服務(wù)的方式來(lái)實(shí)現(xiàn)這種信任關(guān)系的管理^[3]，例如社區(qū)授權(quán)服務(wù)CAS(Community Authorization Service)。每一個(gè)資源提供者都要通知CAS服務(wù)器關(guān)于虛擬組織成員對(duì)于它的資源所擁有的權(quán)限集。要訪問(wèn)一個(gè)資源，用戶需向CAS服務(wù)器申請(qǐng)基于其自身權(quán)限的權(quán)限證書。用戶向其想要訪問(wèn)的資源出示其申請(qǐng)的證書，由資源對(duì)證書進(jìn)行驗(yàn)證后，才準(zhǔn)許該用戶訪問(wèn)。
　　圖1給出的是一個(gè)網(wǎng)格環(huán)境下的典型的安全流程。用戶從證書頒布機(jī)構(gòu)創(chuàng)建一個(gè)臨時(shí)證書(步驟①)。有了臨時(shí)證書后，通過(guò)X.509身份驗(yàn)證或是通過(guò)代理驗(yàn)證就可以獲得站點(diǎn)A本地域的一個(gè)合法身份(步驟②)。站點(diǎn)A上的安全機(jī)制在虛擬組織的共同規(guī)則的允許下，負(fù)責(zé)遞交用戶需求。這其中就包括為用戶簽署虛擬組織身份、特征證書等，并以站點(diǎn)A的虛擬組織身份遞交這種需求(步驟③)。用戶的身份要和站點(diǎn)B的本地身份進(jìn)行匹配。若站點(diǎn)B上沒(méi)有用戶需要的服務(wù)，包括數(shù)據(jù)、程序資源等，站點(diǎn)B又會(huì)代表用戶獲取站點(diǎn)C上的資源(步驟④)。

2.2 多樣性
　　參與到網(wǎng)格中的組織，通常都有各自不同的內(nèi)部安全機(jī)制。理想情況下，每一個(gè)組織都應(yīng)該能夠使它現(xiàn)有的資源適應(yīng)網(wǎng)格環(huán)境；用戶亦能夠使用他們的本地身份在他們自身的安全域中進(jìn)行鑒定，然后再使用鑒定文本訪問(wèn)遠(yuǎn)程站點(diǎn)。因此，安全結(jié)構(gòu)必須能從本地安全域中提供其他站點(diǎn)可以使用的鑒定文本。換句話說(shuō)，當(dāng)用戶訪問(wèn)一個(gè)遠(yuǎn)程站點(diǎn)時(shí)，安全體系結(jié)構(gòu)應(yīng)該驗(yàn)證用戶提供的鑒定資料并把它轉(zhuǎn)換成遠(yuǎn)程站點(diǎn)所使用的協(xié)議形式。這樣遠(yuǎn)程站點(diǎn)才可以使用其本地協(xié)議和策略來(lái)驗(yàn)證用戶的訪問(wèn)權(quán)限。
2.3 分布式框架
　　在任何形式的協(xié)作環(huán)境中，不同的組織都會(huì)希望采用它們各自特殊的規(guī)則。例如，一個(gè)組織也許會(huì)希望把遠(yuǎn)程用戶的訪問(wèn)時(shí)間限制在非高峰時(shí)段內(nèi)，從而確保該組織內(nèi)部的本地的非網(wǎng)格的用戶能夠不受影響。為了實(shí)現(xiàn)這一目標(biāo)，虛擬組織必須集合相關(guān)的本地策略并評(píng)估當(dāng)有用戶請(qǐng)求訪問(wèn)資源時(shí)的結(jié)果。不同于傳統(tǒng)的系統(tǒng)，在網(wǎng)格環(huán)境下，有關(guān)服務(wù)的策略設(shè)置和策略決定以及強(qiáng)制點(diǎn)等都分布在不同的機(jī)器上。
　　網(wǎng)格環(huán)境下的信任關(guān)系會(huì)很復(fù)雜。例如，實(shí)體A加入一個(gè)具有兩個(gè)互為競(jìng)爭(zhēng)關(guān)系的協(xié)作組織，而這兩個(gè)競(jìng)爭(zhēng)實(shí)體彼此都不應(yīng)該知道對(duì)方有了A的參與。在這種情況下，鑒定文本必須保持獨(dú)立，而且每個(gè)文本的存在這一事實(shí)也應(yīng)該保持在秘密狀態(tài)。另一個(gè)網(wǎng)格應(yīng)用的場(chǎng)景涉及到信任證書的委托，也就是說(shuō)用戶A可能會(huì)把他的訪問(wèn)權(quán)限委托給用戶B，并允許用戶B代表A的身份訪問(wèn)網(wǎng)格資源。這種情況就會(huì)使得信任關(guān)系變得復(fù)雜，因?yàn)橘Y源信任的也許只是最初始的用戶A，而不是具有了委托證書的用戶B。
　　為了提供容錯(cuò)機(jī)制并提高性能，網(wǎng)格會(huì)在不同的資源節(jié)點(diǎn)之間復(fù)制數(shù)據(jù)。此外，服務(wù)或者處理過(guò)程也會(huì)在它的生存期間從一個(gè)網(wǎng)格資源向另一個(gè)網(wǎng)格資源移植。而傳統(tǒng)的訪問(wèn)控制策略則適用于擁有數(shù)據(jù)的資源，而不是數(shù)據(jù)本身。利用OGSA把資源和數(shù)據(jù)都抽象成服務(wù)，可以減少這種問(wèn)題^[4]。網(wǎng)格在不同節(jié)點(diǎn)之間復(fù)制應(yīng)用數(shù)據(jù)的同時(shí)，還可以復(fù)制策略數(shù)據(jù)。因此，網(wǎng)格需要一個(gè)實(shí)時(shí)的數(shù)據(jù)同步機(jī)制來(lái)保持較高的安全層次。
2.4 終端用戶
　　目前，許多網(wǎng)格通過(guò)使用公鑰安全基礎(chǔ)設(shè)施(PKI)來(lái)提供安全的鑒定和通信。然而，在基于PKI的系統(tǒng)中，網(wǎng)格用戶會(huì)發(fā)現(xiàn)密鑰管理是一項(xiàng)非常繁瑣的工作，因?yàn)橛脩粢?fù)責(zé)保護(hù)好他們的個(gè)人密鑰。而且，一個(gè)網(wǎng)格用戶也許會(huì)從不同的訪問(wèn)節(jié)點(diǎn)來(lái)訪問(wèn)網(wǎng)格，而在這些不同的機(jī)器上復(fù)制這些密鑰就有可能導(dǎo)致密鑰泄露出去。目前，很多網(wǎng)格組織通常都采用來(lái)自于用戶永久信任證書的短期信任證書。MyProxy是一個(gè)在線信任證書倉(cāng)庫(kù)，可以存儲(chǔ)用戶的信任證書并且在需要時(shí)可以提供短期信任證書。
　　網(wǎng)格體系結(jié)構(gòu)應(yīng)該在提供網(wǎng)格服務(wù)的同時(shí)，給用戶提供一個(gè)簡(jiǎn)單的使用環(huán)境，使用戶能夠保持本地的訪問(wèn)模式。然而，當(dāng)用戶有不同的訪問(wèn)網(wǎng)格的方法時(shí)，提供單點(diǎn)登錄能力就變得非常困難。而且，網(wǎng)格下的應(yīng)用也許還會(huì)有更具體的安全需求。網(wǎng)格安全中間件必須包括支持這些需求的組件。
2.5 資源管理
　　資源管理者需要確保用戶和資源的隱私性和保密性，不僅要保護(hù)好數(shù)據(jù)本身，還要保護(hù)好數(shù)據(jù)存在的證據(jù)。而且，安全體系結(jié)構(gòu)應(yīng)該嚴(yán)格阻止來(lái)自于其他組織的用戶的惡意代碼。
　　網(wǎng)格參與者希望能夠確保他們的系統(tǒng)不被誤用，同時(shí)還要求其他的參與者按照協(xié)議提供特定質(zhì)量的服務(wù)。防火墻雖然能夠防止組織的系統(tǒng)被誤用，但同時(shí)也阻止了經(jīng)過(guò)鑒定的正當(dāng)?shù)陌踩ㄐ拧Ｈ绻趪?yán)密防范之下，仍然有危險(xiǎn)或者攻擊出現(xiàn)，賬號(hào)信息必須能夠識(shí)別出入侵者的身份。因?yàn)橘~號(hào)信息是分布式的，所以要獲得這些信息將十分繁瑣，因而所有的參與者是否都能提供有效的信息就變得非常關(guān)鍵。
　　網(wǎng)格信任關(guān)系的動(dòng)態(tài)特性也會(huì)影響資源安全。例如，在任何特定的合作活動(dòng)的終端，涉及到的組織必須能夠宣布訪問(wèn)無(wú)效從而阻止未經(jīng)授權(quán)的訪問(wèn)。鑒定和授權(quán)信息的變化必須通知到網(wǎng)格上所有的相關(guān)實(shí)體。如果能證明在PKI系統(tǒng)中使用的證書已撤回，就不能夠很好地滿足這些需求，證書的撤回必須是實(shí)時(shí)的而且是分布式的。針對(duì)成千上萬(wàn)個(gè)網(wǎng)格上的節(jié)點(diǎn)，資源管理策略是一個(gè)巨大難題。管理員必須配置并監(jiān)視資源以監(jiān)測(cè)是否被誤用。
3 現(xiàn)有的網(wǎng)格安全技術(shù)與標(biāo)準(zhǔn)
　　目前，網(wǎng)格安全研究都集中在創(chuàng)建一種保護(hù)模塊，該模塊能夠?qū)γ嫦蚋鞣N各樣的網(wǎng)格應(yīng)用提供一種分布式安全基礎(chǔ)設(shè)施。通過(guò)定義一系列的安全協(xié)議和安全機(jī)制，在虛擬組織間建立一種安全域，從而為資源共享提供一個(gè)可靠的安全環(huán)境。下面分別分析目前網(wǎng)格安全研究方面的一些技術(shù)和標(biāo)準(zhǔn)。
3.1 Web服務(wù)安全標(biāo)準(zhǔn)
　　IBM、微軟等大公司已經(jīng)聯(lián)合向高級(jí)結(jié)構(gòu)化信息標(biāo)準(zhǔn)組織OASIS(Organization for the Advancement of Structured Information Standards)提交了一種Web服務(wù)(WS)安全規(guī)范。該規(guī)范提供一種簡(jiǎn)單的目標(biāo)訪問(wèn)協(xié)議SOAP(Simple Object Access Protocol)消息框架來(lái)集成并支持各種現(xiàn)有的安全模型，并且還建議對(duì)SOAP進(jìn)行擴(kuò)展以實(shí)現(xiàn)這種集成以及保密性。SOAP提供了一個(gè)標(biāo)準(zhǔn)的、與平臺(tái)無(wú)關(guān)的、語(yǔ)言中立的機(jī)制，用來(lái)進(jìn)行安全的消息交換。盡管WS安全規(guī)范本身并不提供一套完整的解決方案，但是它定義了構(gòu)建保護(hù)模塊，使得開(kāi)發(fā)Web服務(wù)時(shí)可以使用該模塊在更高的層次上構(gòu)建安全框架。因此，網(wǎng)格安全體系結(jié)構(gòu)把WS安全規(guī)范作為構(gòu)建跨越不同安全模型的網(wǎng)格安全結(jié)構(gòu)的基礎(chǔ)。表1是WS安全的一些被建議的標(biāo)準(zhǔn)規(guī)范。

3.2 消息層的安全
　　以往使用的傳輸層安全是指通過(guò)支持X.509代理證書的傳輸層安全TLS(Transport Layer Security)來(lái)實(shí)現(xiàn)身份鑒定。傳輸層安全主要依賴于傳輸機(jī)制自身的安全保障。盡管這種方法可以確保網(wǎng)格服務(wù)安全，但是它也被完全限制在所使用的傳輸機(jī)制上，從而為這種方法的使用帶來(lái)諸多不便。
　　隨著網(wǎng)格與Web服務(wù)的融合，網(wǎng)格正逐漸向使用消息層安全轉(zhuǎn)換。消息層安全支持WS安全標(biāo)準(zhǔn)以及WS安全會(huì)話規(guī)范，并為SOAP消息提供保護(hù)。因?yàn)橄影踩墓ぷ鞣绞绞谴_保每一條的SOAP消息的安全，它可以和任何形式的傳輸層協(xié)議配套工作，并且允許根據(jù)數(shù)據(jù)的重要程度和敏感程度來(lái)執(zhí)行不同級(jí)別的安全保護(hù)。
3.3 安全聲明標(biāo)記語(yǔ)言
　　當(dāng)不同的組織共享資源時(shí)，他們需要一種通用的語(yǔ)言，以便網(wǎng)格實(shí)體能夠交換安全信息。安全聲明標(biāo)記語(yǔ)言SAML(Security Assertion Markup Language)是被OASIS認(rèn)可的標(biāo)準(zhǔn)，SAML定義了一種語(yǔ)言和協(xié)議來(lái)交換鑒定和授權(quán)的信息。SAML聲明包含關(guān)于鑒定的參考標(biāo)準(zhǔn)、授權(quán)的決策以及和某一特定主體相關(guān)聯(lián)的屬性等相關(guān)信息。SAML策略可以寄存于外部策略存儲(chǔ)環(huán)境中，而這一特性就使得虛擬組織可以很容易地在本地安全域中使用各種現(xiàn)有的策略。
　　SAML定義了一種查詢-響應(yīng)協(xié)議接口，以便客戶端向SAML授權(quán)中心查詢聲明。這種由基于XML消息格式組成的協(xié)議，能夠輕松地與許多不同的底層通信和傳輸協(xié)議綁定在一起。而且，附著在SAML聲明和查詢上的時(shí)間標(biāo)簽讓虛擬組織狀態(tài)和用戶屬性有了實(shí)時(shí)的限制，從而在網(wǎng)格環(huán)境中建立動(dòng)態(tài)的信任關(guān)系。
3.4 網(wǎng)格安全基礎(chǔ)設(shè)施
　　目前，絕大部分的網(wǎng)格系統(tǒng)使用的都是網(wǎng)格安全基礎(chǔ)設(shè)施^[5]GSI(Grid Security Infrastructure)。GSI作為Globus Toolkit的一個(gè)組成部分，提供了基于PKI的安全鑒定和安全通信。GSI的關(guān)鍵就在于與網(wǎng)格實(shí)體相關(guān)的信任證書。系統(tǒng)通過(guò)標(biāo)準(zhǔn)的X.509證書來(lái)鑒別網(wǎng)格上每一個(gè)用戶和服務(wù)。X.509證書通常由第三方證書權(quán)威組織來(lái)簽發(fā)，包含用戶和服務(wù)的信息，以便確認(rèn)實(shí)體身份的合法性。GSI使用安全套接層SSL(Security Socket Layer)和TLS來(lái)相互鑒別網(wǎng)格中實(shí)體的身份。這兩部分互相交換證書，在確認(rèn)了彼此身份的合法性之后，就可以建立經(jīng)過(guò)鑒定的安全會(huì)話。
　　GSI通過(guò)執(zhí)行通用安全服務(wù)標(biāo)準(zhǔn)GSS(Generic Security Services)來(lái)實(shí)現(xiàn)本地安全域異構(gòu)性。GSS定義了一個(gè)API來(lái)給用戶一個(gè)標(biāo)準(zhǔn)的安全服務(wù)接口。GSI授予網(wǎng)格用戶單點(diǎn)登錄和代理的能力。一個(gè)網(wǎng)格會(huì)話使用一個(gè)被稱作代理的短期證書，該證書由用戶證書簽發(fā)。使用用于鑒定身份的代理證書，就意味著用戶訪問(wèn)網(wǎng)格服務(wù)時(shí)不必每次都輸入他們的密碼。同理，網(wǎng)格用戶也可以把他們的代理證書委托給其他的用戶，讓其他的用戶以他們的身份來(lái)進(jìn)行網(wǎng)格操作。因?yàn)檫@種代理證書的有效期限很短，所以安全風(fēng)險(xiǎn)并不大。
　　Globus項(xiàng)目于2005年8月發(fā)布了最新版本的GSI4.0。GSI4.0既支持傳輸層安全又支持消息層安全。GSI4.0由四部分功能組成：消息保護(hù)、鑒定、代理以及授權(quán)。圖2給出了GSI4.0與相關(guān)的安全標(biāo)準(zhǔn)和功能之間的關(guān)系。