浅析基于网格安全技术的研究与实现

摘要:网格作为一种能带来巨大处理、存储能力和其他IT资源的新型网络，可以应付临时之用。该文从当前Internet的安全策略和措施和现有技术的缺陷来分析网格的安全问题。基于这些问题，论述了网格安全所采取的解决方案和策略等，分析了现有网格安全体系结构实现网格安全较为优越的方式。

关键词:网格；安全技术；安全策略；PKI技术

中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)11-2499-03

Analysis Based on Grid Security Technology Research and to Achieve

TIAN Jian-yong

(Mathematics and Computer Science Department, Anshun University, Anshun 561000, China)

Abstract: Grid as a new network can bring great handling, storage capacity and other IT resources to meet temporary use. This article from the current Internet safety strategies and measures and the defects of existing technology to analyze the security issues in the grid. Based on these issues, and discusses the solutions and strategies taken by the grid security analysis of existing grid security architecture of the grid security is more excellent way.

Key words: grid; security technology; security policy; PKI technology

Internet的应用范围由最早的军事、国防，扩展到美国国内的学术机构，进而迅速覆盖了全球的各个领域，运营性质也由科研、教育为主逐渐转向商业化。在互联网的日益发达的今天，人们对网络的资源需求越来越大，因此，各地数以万计的各类高性能计算机相继出现，那么如何更好地扩大和利用这些网络资源的优势，网络已成为一个重要的研究方向，这是一个网格计算的发展前景。网格是新兴技术的最新发展，并已成为一个越来越重要的研究领域。网格技术是计算机发展的重要方向，地域分布的异构资源的连接集成一个有机的整体，为客户提供一种新的计算平台，从而使虚拟组织，以实现大规模资源共享和协同工作成为可能。大量的网格平台，不同结构和不同的实体的地理分布广泛，使网格环境，网格资源描述和管理挑战。因此，网格资源管理已成为网格软件基础设施的重要组成部分，它提供了一套基本的发现和管理网格资源，机制，规划和调整软件的行为，和上层应用的网格资源发现服务，和资源调度。资源信息，以获得准确，实时的呼叫有序管理和资源管理中最重要的问题。

但网格不是万能技术，不是所有问题都能解决，只有那些能并行运算的应用才可能被拆成若干细小任务分配到每个网格计算节点，通过并行处理来提高计算速度。

1网格安全技术

如天，新的网格安全技术的不断涌现，人们在开始着手处理的应用和基础设施的安全，网格计算环境的安全要求是比互联网安全的要求更为复杂。在网格计算环境中的用户数，资源量和动态变量的计算，在这个过程中的多个进程之间不同的沟通机制，资源支持不同的认证和授权机制，可以属于多个组织。由于这些网格独特的特征使得其安全性要求更高了，具体包括支持安全通信的主要网格运算环境之间，预防的主要假冒和数据泄密的结果;支持整个的虚拟组织的安全;支持用户的单一登录网格计算环境，包括跨越多个资源和信托，委托和信任转移。

网格技术可以提高效率，同时降低运营成本，并获得更多的价值，从自己的计算机和数据资产。网格技术的使用，IT部门可以汇集不同的技术功能。网格计算的核心内的各种设备的共享，管理和访问企业，行业或工作组虚拟的方式，无论这些设备的经营特色。通过这些资源的虚拟化，对于那些需要迅速解决复杂的业务问题，计算密集型的研究和数据分析以及实时特性与人的工作，提供所有必要的访问，数据处理能力，网格最初的目标是能够连接的超级计算机成为远程控制的计算机系统（MetaComputers），现在，这一目标已经深化为建立大规模计算和数据处理的支持结构，在网络上应用的各种高性能计算机、服务器、终端、信息系统、海量数据存储、处理系统、仿真系统、虚拟现实系统设备和信息接入设备（如传感器）的应用进行整合，以提供各种的应用开发的提供底层支持，让互联网成为一个功能更加强大的、无处不在的计算基础设施，最终实现资源共享和协同工作。当前风格的安全技术：安全认证技术、加密技术、安全传输技术、访问控制技术和网络服务技术，其中PKI技术和SSL技术是其他网格技术的基础。

1.1 PKl技术

PKl(Public Key Infrastructure公钥基础设施）是一种遵循既定标准的密钥管理平台，它可以提供加密服务，如加密和数字签名所必要的密钥及证书管理系统，由此说来，PKI是利用公钥理论和技术建立的基础设施提供安全服务。PKI技术是信息安全技术，电子商务和基础技术，CA（证书颁发机构）的关键的核心是一个域认证中心，是一个可信的第三方认证，通信和用户之间的身份验证，必须依靠由CA签发的证书。如何确定一个人真正拥有公共密钥（和相应的私钥）是公钥技术的应用是关键。其实，公钥基础设施用以确保正确匹配用户的身份，公钥系统需要一个可靠和独立的第三方机构采取行动，作为CA验证公钥的真实身份。例如公安局在颁发的身份证是就对认证中心发出呼吁，要求“数字证书”的鉴定。数字证书包含用户身份和用户公钥持有的部分信息。身份证在公安局和数字签名的数字证书认证中心使用自己的私钥。发行了自己的公共密钥，你可以去认证中心申请证书。在鉴定人的真实身份认证中心，颁发数字证书包含用户的公钥。其他用户可以验证该证书是真实的，并颁发证书认证中心的信任，您可以确认用户的公钥。在这个过程中，以申请一个证书，用户必须首先生成一个公钥/私钥对，公钥证书请求后，用户证书请求发送到CA中心。这样就实现了PKI中一些很重要的功能，概括地说，CA的功能的核心部分：证书发放，证书更新，证书撤销和证书验证。

1.2 SSL/TLS技术

SSL(Secure Socket Layer，加密套接字层协议)也被称为传输层安全协议，是进行网格安全通讯的基本保障。SSL由Netscape提出，在经历了3个版本之后，由IETF将其标准化，成为TLS，SSL协议是建立在TCP/IP标准套接字基础之上的，采用RSA算法。SSL/ TLS在整个tcp/ip协议栈中的位置如图1所示：

图1 SSL/TLS在tcp/ip协议栈中的位置

正如图1所描绘的，SSL/TLS由两层协议组成，Record Protocol将需要传输的消息分解成易于管理的小块，可选择性的压缩这些小块数据，附加上它们的MAC值，然后加密这些数据，最后传递给传输层协议去处理（如图2所示）；接收数据的时候，则进行相反的操作：解密数据，用MAC值进行验证，解压，然后重新组装成完整消息传递给上层协议处理。这样，通信双方在收到带有MAC的加密信息后，都可以计算出其摘要并和MAC相比较，如果一致则证明消息没有被篡改的，而攻击者很难猜测出正确的MAC值。

图2 SSL封包过程

1.3其他安全技术

在网格技术发展中，还有一些其他新技术正在进行，例如SSH是一个专门的客户端/服务器模式的安全通信技术，提供安全可靠的用户身份验证，加密和传输。它可以完全支持公钥密码体制域之间的安全通信。然而，它只有通过加密技术在通信两端的安全通道可以不提供安全服务的访问控制和授权。SSH是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题。

2网格安全解决方案

网格安全保证网格计算安全性的核心。众所知之，安全和方便是一个矛盾的结合体。确保网格运行安全的同时，我们必须为了方便用户的互动和各种服务和使用。特别是考虑到网格和复杂的动态和复杂性在设计网格安全机制的运行环境。为了确保之间的相互认证和主网格的经营环境之间通信的保密性和完整性的主要区别。在网格环境中，客户端位于不同的地理空间和组织，该组织之间的安全通信，以保证网格实体（用户，资源和程序），以防止篡改，安全机制的互操作性。需要一个统一的网格安全基础设施GSI（网格安全基础设施）是一个综合的解决方案来解决网格计算中安全问题。

网格计算环境的安全服务，安全开发包和命令行程序提供了一系列的安全协议。GSI国际提供安全认证在网格计算环境，支持安全之间的沟通主要网格计算环境，防止主假冒和数据泄漏；网格通信保密性，完整性和重放保护用户提供单点登录、权限委托能力。此外，GSI可以使用物理网格身份验证，以确定该实体可以执行什么样的操作。这些安全技术可以有效地保证了安全和方便的网格计算环境。

确保网格计算，安全是GSI的核心。它支持用户，认证机构，资源和协议的执行情况。它是提供一系列的安全协议，向下支持各种安全机制和技术。GSI使用安全编程接口是GSS-API (Generic Security Service application programming interface)，它为我们提供了一个共同的安全服务，以支持在源代码级的应用程序中的可移植性。它面临在安全认证和安全通信的基础上获得证书和安全的实施，以确定和签署消息和加密消息。

GSI的特点是以方便用户的互动和各种服务，同时保证网格计算的安全性。GSI充分利用现有的网络安全技术，在不同的网络环境下使用网格计算，GSI有一个一致的安全接口，大大方便了网格的发展和使用。

3网格的安全策略

在开放系统互连（OSI）模型的安全体系结构，它定义了一套安全服务：身份认证服务，访问控制服务，数据完整性，数据保密性，不可抵赖性的服务。网格技术也属于开放系统互连技术领域，因此，还需要提供五种标准的安全服务。然而，它也应该有一个特殊的网格环境的主要特点：

1）网格认证要求：单一登录、委托、兼容不同的本地安全方案。

2）网格通信保护要求：灵活的消息保护机制、支持不同的可靠通信协议。

3）网格授权要求：①由资源所有者或资源所有者决定授权；②受限委托（减少风险）。

目前，网格安全技巧重要有：密码技巧，安全传输技巧，安全认证技巧，访问把持技巧和Web Server安全技巧。密码技巧是以掩护信息传递的机密性、获得对所发出或吸收信息在事后的不可抵赖，以及保障数据的完整性为目标。根据加密密钥类型的不同将密码技巧分为两类：对称加密系统和非对称加密系统。安全传输技巧重要有SSL/SSH，IPSEC/IPv6，S/MIME，这些技巧保证了数据安全有效的传输。安全认证技巧重要包含PKI和Kerberos，其中PKI（Public Key Infracture）技巧是目前利用最广泛的网格安全技巧，即公开密匙基础设施。它是用一个公钥（Public Key）概念和技巧来实行和供给安全服务的具有普适性的安全基础设施。而在PKI系统中，CA（Certificate Authority）是一个域中的认证中心，是一个可信任的第三方机构，用户之间的通信和验证都依附CA所颁发的证书。

4结束语

网格代表的下一代互联网的发展方向。在风格技术发展的过程中，不可否认的是，风格的安全问题是网格计算的核心问题，在网格环境中，由于网格环境的特点，确定网格环境中的安全问题网络环境比较复杂，和许多新的安全问题，在网格环境中，传统的网络安全技术不能满足需求，为风格安全，风格安全的研究是一个重要的，复杂的和辛勤工作。总之，安全问题比一般意义上的网络安全问题的笼罩面更广，解决方案也更加复杂，只有在实践中摸索出切实、可靠的安全策略，才干真正使网格这一新兴技巧焕发蓬勃的生命力。

参考文献:

[1] Foster I, Kesselman C. The Grid: Blueprint for a New Computing Infrastructure [M]. Morgan Kaufmann Publishers, Inc., San Francisco, California, 1999: 205-236.

[2]王家耀,祝玉华,吴明光.论网格与网格地理信息系统[J].测绘科学技术学报,2006,23(l): l-7.

[3] Foster I, Kesselman C, Tuecke S. The Anatomy of the Grid: Enabling Scalable Virtual Orgnization [J]. International Journal of Supercomputer Applications, 2001, 15(6): 200-222

[4]王强,杨政,王维宏.网格安全体系结构的研究与改进[J].科技信息:学术研究, 2007(09) .

[5]陈广学,张东,张德,周海燕.网格技术与空间信息共享和服务[J].测绘科学,2005,30(l):42-44.

[6]彭珍,田立勤,耿子林.网格安全研究综述[J].华北科技学院学报, 2006(1).