毕业设计（论文）网格环境下访问控制策略的研究与设计.doc

《毕业设计（论文）网格环境下访问控制策略的研究与设计.doc》由会员分享，可在线阅读，更多相关《毕业设计（论文）网格环境下访问控制策略的研究与设计.doc（39页珍藏版）》请在三一办公上搜索。

1、网格环境下访问控制策略的研究与设计摘要随着世界信息化程度的逐步发展，原有的单一计算机的计算能力，存贮资源的能力和其他数据交换等诸多能力以远远更不上社会的发展。为了达到以上的要求，网格技术就应运而生了。访问控制是限制某个对象（用户或角色）对资源访问或使用，它防止资源被某个对象的越权操作，它是对资源最为重要安全的管理，因此访问控制在在网格技术中是比较重要的一部分。本文将综述国内外的网格发展情况，归纳网格特点及优势；简述Globus平台环境，叙述其特点、结构；总结现有的访问控制策略，介绍自主访问策略,强制访问策略等策略；重点介绍基于基于角色访问控制策略的模型、特点和在网格环境下的优势和不足；跟据网格

2、环境的要求拓展基于角色访问控制策略，添加了基于任务的访问控制策略中的授权步概念，提出了E-RBAC；在Globus ToolKit 4.0 平台下，采用Java 语言实现E-RBAC的访问策略；在理论上与其他访问策略比较,E-RBAC访问策略更为灵活，更能增加网格资源的利用率。关键字：网格；访问控制；RBAC；授权步RESEARCH AND DESIGN OF ACCESS CONTROL STRATEGY IN GRIDAbstractWith the world the extent of the progressive development of information technol

3、ogy, the original single computers computing power, storage resources, capabilities and data exchange, and many other is far less on the ability to keep pace with the social development. To achieve the above requirements, grid technology is brought up. Access control is that an object (user or role)

4、 is restricted to access or use, which prevent resources from being an object of ultra vires action, which is the most important security resource management, so access control is more important part in grid This paper will survey the development of domestic and international grid environmental, sum

5、 up the characteristics and advantages of the grid. Globus platform is briefly describing its characteristics, structure. Summarize the existing access control, introducing Discretionary Access Control, Mandatory Access Control and other strategies. Emphasize role-based access control model, charact

6、eristics, and in the grid environment, the advantages and disadvantages. According to the grid environmental requirements I expand strategy basing on the role-based access control, add the authorization step concept from the task-based access control, bring up the E-RBAC. On the Globus ToolKit 4.0 p

7、latform, the E-RBAC can be put into practice by using Java language. compared with the other in theory, the E-RBAC is more flexible and can increase appropriation rate of the grid resource.Keywords: Grid; Access Control; RBAC; Authorization step目录摘要IAbstractII1 绪论11.1 研究背景及意义11.2 国内外研究现状11.3 本文所做的工作

8、42 网格及GT4平台52.1 网格52.1.1 网格概念52.1.2 网格体系结构52.1.3 网格的特性与优势62.1.4 网格需求72.1.5 网格安全82.2 Globus92.2.1 Globus 项目简介92.2.2 Globus 体系结构102.2.3 Globus 的网格安全结构112.3 小结123 基于角色的访问控制策略及RBAC模型133.1 访问控制的概念133.1.1 定义133.1.2 相关概念133.2 传统的访问控制技术133.2.1自主访问控制DAC133.2.2 强制访问控制MAC143.3 基于角色的访问控制RBAC153.3.1 RBAC简介153.3.

9、2 RBAC96模型153.3.3 RBAC的优点163.3.4 RBAC在网格环境的适用性173.4 小结184 扩展的RBAC（E-RBAC）模型194.1 扩展RBAC的原因194.2 E-RBAC模型194.3 E-RBAC模型的基本元素204.4 E-RBAC基本功能模块214.4.1 ARPFM的具体功能214.4.2 TASFM的具体功能224.5 小结235 E-RBAC的实现245.1 实现E-RBAC的编程平台245.2 Globus ToolKit 4.0 的安装245.3 E-RBAC的流程275.3.1 实现ARPFM功能模块的过程275.3.2 实现TASFM的功能

10、模块的过程295.4 E-RBAC模型与其他模型的比较315.5 小结32结论33参考文献34致谢361 绪论1.1 研究背景及意义网格是一种新兴的技术，正处在不断发展和变化当中。目前学术界和商业界围绕网格开展的研究有很多，其研究的内容和名称也不尽相同因而网格尚未有精确的定义和内容定位企业界用的名称也很多，有内容分发、服务分发、电子服务、实时企业计算、分布式计算、Web服务等。我国科学院计算所所长李国杰院士认为，网格实际上是继传统互联网、Web之后的第三次浪潮，可以称之为第三代互联网应用1。 对于传统的Intemet网络来讲，其安全保障要提供两个方面的服务:访问控制服务，用来防止各种资源不被非

11、授权使用;通信安全服务，用来提供认证、认性服务。但是，这两方面的服务并不能完全满足网格的安全需求，因为网格还具有四点新特性2:1）网格是一个异构的环境;2）分布与共享;3）动态性与多样性;4）自治性与管理的多重性.因此，网格的这些新特性使得网格的安全问题不同于传统的分布式计算环境，符合网格特性需要的网格安全应当是标准的、自主的/自治的、可扩展的和透明的网格安全必须支持在网格计算环境中主体之间的安全通信，防止主体假冒和数据泄密;需要支持跨虚拟组织边界的安全，防止采用集中管理的安全系统;需要支持网络用户的“单一登录”，包括跨多个资源和站点的计算所进行的信任转移和信任委托3。总而言之，网格的种种特性

12、为网格实施带来了复杂的安全问题，安全问题同时贯穿于网格体系结构的各个层次，安全问题对于网格基础设施的有效实施至关重要。设想尽管商业组织和研究机构都愿意为了技术合作或是商业利益上的原因来共享他们的资源，但如果他们无法信任这种共享的安全性，比如数据和资源的完整性、通信的保密性以及用户信息的隐私性等，那么他们不会接受这种分布式计算基础设施。换句话说，只有当网格用户能够充分信赖网格的安全性以后，网格才能真正大规模开展起来。1.2 国内外研究现状网格概念和技术最初的发展是为了促使在先进的科学协作中共享资源。随着网格技术的日益成熟，网格计算的项目涉及到了更多的领域，研究目的也从当初的单纯科学计算转变成为更

13、多团体和机构提供更好的服务。在此期间，针对网格技术的研究浪潮遍及全球。1）OGF开放网格论坛中的相关研究开放网格论坛（Open Grid Forum-OGF）4是由全球网格论坛（Global Grid Forum-GGF）和企业网格联盟（Enterprise Grid Alliance-EGA）合并后成立的新组织，论坛成立的网格安全问题工作/研究小组，正努力在Globus联盟的开放网格服务架构内开发安全规范。他们的工作领域是关注网格环境中技术上和操作上的安全问题，包括认证，隐私，机密，侦听，授权，防火墙，信任建立，策略建立和上述安全方面的动态性，可扩展性和可管理性。以下是OGF网格安全问题工作

14、/研究小组和原GGF网格安全问题工作/研究小组中工作组的对比5。OGF网格安全问题研究组包括三个研究小组，分别是开放网格服务架构授权工作组（OGSAAUTHZ-WG）、防火墙问题研究组（FI-RG）、可信计算研究组（TC-RG）；原GGF网格安全研究组包括六个研究小组，分别是授权框架与机制工作组（AuthZ-WG）、开放网格服务架构安全工作组（OGSA-SEC）、认证中心运行工作组（CAOPS-WG）、OGSA授权工作组（OGSA-AUTHZ）、网站认证授权和记账需求研究小组（SA3-RG）、权威机构识别研究小组（ARRG-RG）。通过以上对比说明，网格中的授权和访问控制研究一直是网格安全工作

15、的重点，其中认证，授权，隐私，私密等也一直是网格安全工作的重要研究对象。2）Globus系统中的服务安全通信和访问控制目前已有的较为完整的网格安全体系结构是美国网格研究项目Globus提出的GSI（网格安全基础设施）6。GSI主要集中在网络的传输层和应用层，并强调与现有分布式安全技术的融合，基于公钥加密体系，采用X.509认证和SSL通信协议，并进行了一定的扩展，使得GSI可以支持单点登录。GSI的实现符合Generic Security Service API（GSS-API），GSS-API是IETF（，因特网工程任务组）提出的用于安全系统的标准API。GSI中的主要安全技术手段包括安全认

16、证、安全身份相互鉴别、通信加密、私钥保护以及委托和单点登录等。Globus系统同样支持SOAP消息的安全传输，并将其作为容器的基础设施部分之一。其实现有两种形式，一种是遵循WS-Security规范的对SOAP消息面向无连接形式保护，另一种是遵循WS-Conversation规范的通过安全上下文建立会话的对SOAP消息的保护。WS-SecureConversation规范是描述如何管理和认证各方之间的消息交换，包括安全性上下文交换以及建立和派生会话密钥。Globus的服务访问控制以策略决定点链的形式实现，PDP授权链中有多个授权决策点，只有每个决策点都通过授权，整个PDP链才能允许请求访问服务

17、。Globus的服务访问控制不支持工作流形式的复合服务的访问控制。3）UNICORE系统的服务安全通信和访问控制UNICORE（Uniform Interface to Computing Resources）7提供了一个可立即运行的网格系统，包括客户端软件和服务端软件。UNICORE使企业内部网和国际互联网间的分布式计算和数据资源无缝地安全地可用。UNICORE安全模型的一个关键特性是数据安全传输和作业认证。UNICORE安全模型支持作业签名和数据加密，这将保护远程用户不被数据盗窃和数据恶意更改。同时该安全模型也为HPC中心提供了高层次的针对非法使用资源和运行包含恶意代码的作业的保护。UNI

18、CORE公钥基础设施（Public Key Infrastructure-PKI），展示了认证权威中心（CertifyingAuthorities-CA）和注册权威中心（RegistrationAuthorities-RA）的结构层次，并描述了各种不同的证书类型。4）工业界J2EE容器的服务安全通信和访问控制目前流行的J2EE服务器8主要有Weblogic，Websphere和Jboss三种，这三种J2EE服务器都对网络服务（Web Service）提供支持，而WebService和网格有密不可分的渊源，因此通过对现有J2EE服务器提供的WebService安全方面的研究，对网格服务安全系统的

19、研究有十分重要的意义。上述商用的Web Service安全产品旨在为Web Service提供身份验证和授权服务的产品。这样，开发人员就无需再在每个不同的Web Service中都嵌入身份验证和授权处理代码。这些商用产品可提供以行业标准，如XML安全和SAML等，为基础的基于策略的身份验证、授权和审计服务。业界流行的三种支持Web Service的服务容器，都提供基于配置的安全通信消息保护策略，通过使用XML安全标准进行SOAP消息的保护。但服务容器对服务的访问控制着重点在于对Web层和业务流程的保护上，对工作流性质的复合服务并没有很好的支持。随着网格技术的不断发展，传统访问控制的安全策略已经

20、很难满足需要。90年代以来出现的一种新的基于角色的访问控制技术RBAC有效地克服了传统访问控制技术中存在的不足之处，可以减少授权管理的复杂性，降低管理开销，而且还能为管理员提供一个比较好的实现安全政策的环境。RBAC是近几年在访问控制领域的研究热点，由于在满足目前大量存在的商业和政府部门系统安全方面显示了极大的优势，因此，它作为传统访问控制的替代和补充而引起了广泛的关注9。目前，美国很多学者和研究机构都在从事这方面的研究，如美国国家标准与技术研究院NIST（National Institute of Standard Technology）和George Mason大学的信息安全技术实验室LI

21、ST（Laboratory of Information Security Technology）等。其中尤以Ravi Sandhu教授提出的RBAC96模型，由于其系统、全面地描述了RBAC的基本含义及关系而成为角色访问控制领域的经典，对RBAC进一步的深入研究奠定了基础。美国NIST主要进行RBAC及其相关模型的标准化工作。2001年，NIST公布了RBAC的建议标准以推进RBAC进一步的应用。国内对RBAC的研究主要有中国科学院软件研究所、华中科技大学等，主要是对RBAC模型扩展和应用方面进行深入的研究10。文献11中认为对基于角色的访问控制模型的研究主要朝着以下方面发展：1）标准化：通

22、过美国国家标准局制定基于角色的访问控制模型标准；2）对RBAC建立更深的理论认识，特别是它与DAC和MAC之间的关系；3）从实现基于角色的访问控制模型的角度进行深入的研究。其中，第一条关于标准化的工作，目前已基本实现。1.3 本文所做的工作本文首先介绍现有的关于网格的具体事项，综述传统反问策略的基本方法，分析网格环境下所需要的独有特点出发，拓展传统的RBAC（基于角色的访问控制策略），了解关于Globus ToolKit 4.0 的相关知识，采用Java语言，实现新的访问策略。第一章，介绍网格技术的研究背景与网格安全的研究意义，了解国内外的关于网格发展的大体情形。第二章，首先主要网格的基础，网

23、格的体系结构，网格的特征与优势以及网格安全的重要性。第二部分则是介绍有关Globus项目的介绍，Globus的协议体系结构，Globus的安装以及Globus中的网格安全结构GSI。第三章，介绍访问控制概念，分别叙述了传统访问控制的DAC和MAC的具体内容和其特点。之后介绍了现在受到普遍关注的RBAC简介和模型，第四章，详细叙述扩展RBAC的原因，具体描述了E-RBAC模型，E-RBAC模型的基本元素。以及E-RBAC的两个基本功能模块ARPFM和TASFM的具体内容。第五章，叙述了E-RBAC模型的具体实现系统，分析功能模块流程图，设置数据库，并按此实现编程。同时从理论上分析E-RBAC模型

24、的优势。2 网格及GT4平台2.1 网格2.1.1 网格概念网格是借鉴电力网(Electric Power Grid)的概念提出来的，建立网格的最终目的是希望用户在使用网格计算能力的时候，就如同现在使用电力一样方便。用户在使用电力的时候，不需要知道它是从哪个发电站送出来的，也不需要知道它是通过什么样的发电机产生的，所使用的是一种统一形式的“电能”；而网格提供给使用者的也是一种与地理位置无关、与具体的计算设施无关的通用的计算能力。“网格”一词在20世纪90年代中期首次被用来描述科学与工程分布式计算的基础设施，它其实就是诸多节点的动态连接体，每个节点都是现存的一个或多个企业或其他机构实实在在的IT

25、架构，包括硬件、软件、数据库等资源。当然，每个节点可能还会派生出诸多类似的子节点。网格技术可以通过一定的方式整合这些节点，在已有的IT架构之上，实现CPU、存储器和数据库等资源的动态共享。我们通常把网格比喻成一台“虚拟的超级计算机”，其中每一台参与的计算机就是一个节点，就像摆放在围棋棋盘上的棋子一样，而棋盘上纵横交错的线条对应于现实世界的网络，所以整个系统就叫做“网格”了。在网格上做计算，就像下围棋一样，不是单个棋子完成的，而是所有棋子互相配合形成合力完成的。传统互联网实现了计算机硬件的连通，Web实现了网页的连通，而网格试图实现互联网上所有资源的全面连通。计算机和网络的发展使网格有了产生和发

26、展的可能。对于网格的应用需求，并不是近年才突显出来的，就像人们旱就渴望信息共享，却等到Web技术出现之后才得偿所愿一样。CPU、存储器、服务器、中间件等相关设备和技术的不断进步都是催生网格的现实因素。不断增加的带宽也使网格上所需的大数据流量得到保证。另外，分布在众多地点的资源需要动态整合，节点之间的互操作是不可避免的，这就需要设计一系列标准协议和中间件来规范用户与资源之间的协同，建立、管理并挖掘共享12。2.1.2 网格体系结构Ian Foster于2001年提出了网格计算协议体系结构，认为网格建设的核心是标准化的协议与服务，并与Internet网络协议进行类比(如图2-1)。该结构主要包括以

27、下五个层次6： 构造层(Fabric)：控制局部的资源。由物理或逻辑实体组成，目的是为上层提供共享的资源。常用的物理资源包括计算资源、存储系统、目录、网络资源等；逻辑资源包括分布式文件系统、分布计算池、计算机群等。构造层组件的功能受高层需求影响，基本功能包括资源查询和资源管理的QoS保证。连接层(Connectivity)：支持便利安全的通信。该层定义了网格中安全通信与认证授权控制的核心协议。资源间的数据交换和授权认证、安全控制都在这一层控制实现。该层组件提供单点登录、代理委托、同本地安全策略的整合和基于用户的信任策略等功能。 资源层(Resource)：共享单一资源。该层建立在连接层的通信和

28、认证协议之上，满足安全会话、资源初始化、资源运行状况监测、资源使用状况统计等需求，通过调用构造层函数来访问和控制局部资源。网格协议体系结构应用层汇聚层资源层连接层构造层应用传输Internet链接Internet协议体系结构图2-1五层沙漏结构与Internet协议的对比汇集层(Collective)：协调各种资源。该层将资源层提交的受控资源汇集在一起，供虚拟组织的应用程序共享和调用。该层组件可以实现各种共享行为，包括目录服务、资源协同、资源监测诊断、数据复制、负荷控制、账户管理等功能。应用层(Application)：为网格上用户的应用程序层。应用层是在虚拟组织环境中存在的。应用程序通过各层

29、的应用程序编程接口（API）调用相应的服务，再通过服务调动网格上的资源来完成任务。为便于网格应用程序的开发，需要构建支持网格计算的大型函数库。2.1.3 网格的特性与优势网格与其他分布式系统相比，具有以下特征：1）异构性：网格可以包含多种异构资源，包括跨越地理分布的多个管理域。如构成网格系统的超级计算机有多种类型，不同类型的超级计算机在体系结构、操作系统及应用软件等多个层次上可能具有不同结构。2）动态性：随着时间的推移，网格拥有的资源或功能可以增加或减少。网格可以从最初包含少量的资源发展到具有成千上万资源的大网格，因此它应从性能、功能、管理软件、兼容性等方面适应规模的变化。3）自相似性：网格具

30、有自相似性特征。网格的局部和整体之间存在着一定的相似性，局部往往在许多地方具有全局的某些特征，而全局的特征在局部也有一定的体现。网格的自相似性在网格的建造和研究过程中有重要的意义。4）共享性：网格的根本特征是资源共享，共享资源是网格的根本目的，因此需要建立一套完整的资源描述、发现与发布机制，来实现资源的共享。5）分布性：分布性是网格的一个最主要的特点。网格上的各类资源通常类型复杂、规模较大、跨越地理范围较广，需要解决在分布式计算环境下资源与任务的分配和调度问题、安全传输与通信问题、实时性保障问题、人与系统以及人与人之间的交互问题等。6）多级管理域：由于构成网格计算系统的超级计算机资源通常属于不

31、同的机构或组织，并且使用不同的安全机制，因此既需要各个机构或组织对其拥有的资源有自主的管理能力，又需要他们共同参与解决多级管理域的问题，以实现资源共享和互操作。通过以上对比，网格具有以下四点优势14：1）动态功能，高度可扩展性：网格可以提供动态的服务，能够适应变化。同时网格并非限制性的，它实现了高度的可扩展性。2）协同工作：网格第二个特点是协同工作，很多网格结点可以共同处理一个项目。3）通用开放标准，非集中控制，非平凡服务质量：这是Ian Foster最近提出的网格检验标准。网格是基于国际的开放技术标准，这跟以前很多行业、部门或者公司推出的软件产品不一样。4）资源共享，消除资源孤岛：网格能够提

32、供资源共享，它能消除信息孤岛、实现应用程序的互连互通。网格与计算机网络不同，计算机网络实现的是一种硬件的连通，而网格能实现应用层面的连通。2.1.4 网格需求因为网格计算具有比分布式系统更为复杂的特点，因此其安全机制更为复访问控制作为加强网格安全的重要技术手段，除满足一般分布式系统的安全外，还应满足以下需求：1）访问控制机制应具有高可用性。网格中的资源和用户数量巨大，资源提供资源之前需要进行授权验证，如果访问控制机制的部署及管理复杂或验率低，这将极大地影响网格服务的高可用性，因此，访问控制机制必须具有效率高效，管理成本精简，部署简洁易行才能满足网格应用需要。2）访问控制机制中应具有全局统一的实

33、体标识。在网格中，由于加入虚织内的自治域内用户和资源的标识可能会存在极大的差异，但为了实现跨自的资源请求，必须在网格内建立一种在跨自治域的全局统一性标识，并基于语言描述，才能达到访问控制的统一性。3）访问控制机制应具有全局统一的安全声明表达机制。网格中的自治域来自不同的组织、行业、地区甚至国家，本地安全控制机制可能大不相同，保证自治域间的互操作安全，因此需要建立一种在虚拟组织内的全局统一的声明表达机制，各自治域通过将本地的安全控制声明在虚拟组织内注册，由组织生成跨自治域的、面向全局的安全声明，根据该声明，虚拟组织管理者网格用户分配相应的安全属性，并实现在虚拟组织内的安全控制。这种安全声明通常表

34、示为访问控制策略，需要基于规范的语言如来表达，基于统一的机制来实现虚拟组织内的安全控制。4）访问控制机制应能动态适应网格服务的演化，并具有较强的可扩展性格中的用户和资源量非常庞大，可以属于多个不同的组织且用户和资源动态可变。网格系统中的用户和资源可以动态地加入和退出，并且在任务执行过程中可以动态地申请和释放资源，访问控制机制应能适应网格服务的动态变化，因而访问机制的构建应建立在自动实现基础之上。而且系统管理者对这些数量庞大且动态变化的用户和资源并无先验知识，访问机制应具有动态获取、传递及更新这些网格实体安全属性的能力。5）访问控制机制应能与自治域本地的安全机制协同工作。因为网格的强异构性，其自

35、治域的安全机制也各不相同，自治域可能存在如MAC、DAC或RBAC访问控制机制，因此需要建立一种能与上述各种访问控制机制相协调的全局访问控制机制，从实体表达、声明表达、关系表达、验证方法及授权一致性等方面，在虚拟组织内建立全局统一的访问控制架构及实现方法。因为网格计算的特点导致了分布式系统中已有的安全技术尚不能完全满足上述需求，因此构建网格系统中的访问控制模型异常复杂但意义重大。2.1.5 网格安全网格是建立在一个开放的网络环境中，这种环境可能会遭受来自内部或外部的安全威胁。这些威胁可能是用户的偶然失误，也可能是故意的针对系统脆弱点的非法恶意攻击，它们往往会造成严重的后果。如何解决网格安全问题

36、也显得尤为重要。网格安全技术的目的就是授予合法用户访问数据和执行操作的权限，防止数据被非法访问和修改或合法用户伪造数据进行欺骗行动，防止用户非法操作或因操作失误而造成数据泄密，防止合法用户被他们冒充，并且可以对用户进行审计和收费等等。可以将这些目标总结成以下几个方面15：1）保密性：通过对数据进行加密，使得只有拥有密钥的合法用户才能访问，而未经授权者不能访问数据。这样，即使未授权者拿到数据的加密文件，也不可能看到其明文。2）身份鉴别：验证通信对象或资源访问者逻辑上的身份证明与其真实身份相符合，从而防止合法用户被冒名顶替。3）完整性：保证信息在传输或者存储过程中没有被篡改、破坏或丢失。4）授权：

37、当验证完用户的身份属实后，根据其身份赋予相应的权限，使得用户可以在不超出权限的情况下访问资源或执行操作。5）可用性：保证系统或资源不会因为遭受非法攻击（比如病毒等）而造成系统瘫痪或资源的无法使用。6）反否认：保证信息的发布者就是其本人，而不是其他人通过假冒其身份而发布的虚假信息，另一方面也保证信息发布者不能抵赖，信息的真正发布者只能是信息发布者本人而不可能是其他人。另外，一个好的安全技术或结构必须符合以下原则16：1）方便性原则：安全机制对用户来说不会造成太多的麻烦，对开发人员屏蔽底层实现。2）整体性原则：由于没有安全可靠的网络安全机制，安全系统应该包括安全保护、安全检测和安全恢复等机制。安全

38、保护机制是根据具体系统存在的各种漏洞和安全威胁采用相应的防护措施避免非法攻击的进行；安全检测机制就是监测系统的运行情况，及时发现和制止对系统的攻击；安全恢复机制是在安全防护机制失效的情况下，进行应急处理，尽可能及时恢复信息并减少攻击的破坏程度。3）权限最小化原则：就是给予用于能够执行某个操作或访问某些数据的最低权限，保证用户不会因越权而造成系统的损失。4）可靠性原则：安全技术或者安全结构本身没有技术缺点和漏洞，从而使得自己不被攻击和利用，保证对系统的安全服务确实可靠。5）动态化原则：由于密码破解和攻击技术的不断发展和一些人为因素，一个机密的算法可能也不是牢不可破的，所以对密钥的使用应该周期性的

39、动态更换，或者使用代理、一次性对话密钥等技术。使得密钥临时化有助于减少密钥被窃的可能性。6）有效性原则：安全技术所带来的额外负载对系统的影响是否可以接受。2.2 Globus 2.2.1 Globus 项目简介Globus项目是美国Argonne国家实验室的研发项目。Globus Toolkit是由Globus项目开发的能够用来编写基于网格应用程序的软件工具箱。这个工具箱能够用来帮助规划和组建大型的网格试验和应用平台，开发适合大型网格系统运行的应用程序。Globus Toolkit建立在SOAP、WSI和WSDL等Web服务技术的基础之上，用来支持分布式状态的管理16。基于GlobusTool

40、kit进行网格服务开发是当前开发网格应用系统的主要手段。它提供了网格系统的基础服务，可以构建复杂的网格应用系统。2005年，基于新标准WSRF的网格平台Globus Tookit 4面世。本文针对GT4(GlobusToolkit4)中的多资源的服务进行了一些实验，分别在Linux(fedoracore4版本)操作系统和Windows操作系统下客户端成功调用服务端的WebServices，并就创建多资源的服务具体做了加减计算操作的服务调用。Globus是一种用于构建计算网格的开放体系结构、开放标准的项目。Globus Toolkit工具包来源于Globus项目是一个开放源码的网格的基础平台，基

41、于开放结构、开放服务资源和软件库，并支持网格和网格应用，目的是为构建网格应用提供中间件服务和程序库。Globus Toolkit具有较为统一的国际标准，有利于整合现有资源，也易于维护和升级换代。现在，一些重要的公司，包括I BM和微软等都公开宣布支持Globus Toolkit。目前大多数网格项目都是采用基于GlobusToolkit所提供的协议及服务建设的。Globus对资源管理，安全、信息服务及数据管理等网格计算的关键理论进行研究并提供了基本的机制和接口该项目早已开发出了能在各种平台上运行的网格计算工具软件(Toolkit)，支持网格应用和网格计算的一套服务和软件库。帮助规划和组建大型的网

42、格试验平台，开发适合大型网格系统运行的大型应用程序。目前，Globus工具包机制已经被应用于全球数百个站点和几十个主要的网格汁算项目：NASA网格(NASA IPG)、欧洲数据网格(Data Grid)和美国国家技术网格(NTG)等17。2.2.2 Globus 体系结构Globus Toolkit由七个模块组成（见图2-2），每个模块既可以独立使用，也可以联合起来用于开发网格应用及编程工具18。1）网格安全结构（Grid Security Infrastructure-GSI）GSI提供单一签名认证服务，提供对于访问权限的本地控制的支持，外部用户对于本地用户的映射支持，同时GSI还提供对于硬

43、件标记的支持以增加信任安全。GSI可以单独使用，实际上，它已被集成到许多与Globus Toolkit 其它部分无关的程序中。应用层 GlobusViewTestBed Status高级服务与服务工具DUROCMPICondorHPC+Nimrod/GGlobusrun核心服务Nexus元计算目录服务网格安全结构GRAMI/OHearbeatMontorGASSCondorMPITCPUDP本地服务NQELinusLSFPBSAISSolaris图2-2 Globus ToolKit 4.0 体系结构图2-2 Globus体系结构2）Globus 资源分配管理器（Globus Rescourc

44、e Allocatoin Manager-GRAM）提供资源分配以及进程创建、监视和管理服务，它使用自己的资源定义语言（Resource Specification Language-RSL）与本地的作业调度管理软件和计算机进行交互。GRAM是Globus TooKit中可以独立使用的模板之一，其对于用户的接口是gatekeeper。3）远程的辅助存储访问（Global Access to Secondary Storage-GASS）GASS提供一系列自动或可编程控制的数据迁移及访问策略，使得远程运行的程序可以读写本地数据。4）元计算目录服务（Metacompting Directory S

45、ervice-MDS）MDS提供集成的信息服务，这种信息资源的范围指的是跨越Globus覆盖的资源，信息资源本身则指的是关于Globus网格内部结构状态的信息服务，该服务是建立在轻权目录访问协议（Lightweight Directory Access Protocol-LDAP）的基础上的。5）Globus ToolKit I/O提供对于TCP、UDP以及文件I/O的用户接口，支持同步、异步的接口以及多线程。并与GSI安全机制相集成。6）Nexus 提供异构环境的交互式服务，支持多种交互方式、多线程等。7）Hearbeat Monitor（HBM）HBM用以检测和获取Globus ToolK

46、it组件或应用进程的各类失败信息。以上的每一组件，都是基于C（或Java）的应用开发接口（Application Programming Interface-API）。2.2.3 Globus 的网格安全结构网格安全结构（Grid Security Infrastructure，GSI）是 Globus Toolkit 的基础，它提供了很多工具，可以帮助我们对网格环境中的安全问题进行管理。在您开发面向网格环境的应用程序时，您的脑子里必须时刻考虑到安全问题，并用 GSI 提供的工具来解决这些问题。网格架构中与安全性有关的功能主要负责完成认证、授权以及实现网格资源之间的安全通信。在应用程序中启用网

47、格时的考虑：安全性。当我们设计一个能够使用网格的应用程序时，安全性问题必须考虑在内。下面的列表总结了需要考虑的一些问题14：单点登录。跨系统的 ID 映射。如上所述，GSI 提供了认证、授权以及安全的通信。然而，您需要对安全性管理及其含义有深刻完整的理解。比如说：您是否可以将多个用户映射到目标系统中的同一个用户 ID 上？是否需要特定的审计机制来确定实际发起应用程序的是哪一个用户？应用程序不应该要求在使用网格上的不同资源时使用不同的用户 ID 映射机制。多种平台。尽管 GSI 基于开放的标准化软件，可以在多种平台上运行，然而各种不同的平台其底层的安全机制并不总是一致。比如说，在传统的 UNIX 或基于 Linux 的系统上，读、写、执行等操作的安全机制就与微软的 Windows 环境不同。您应该考虑应用程序可能运行的平台。使用 GSI。对于任何应用程序特有的、且可能需要进行认证或特殊授权的功能而言，应用程序的设计应该使用 GSI，这样能够简化开发，并通过维护单一的登录机制，使用户的体验也得到简化。数据加密。尽管 GSI 与后文将要讨论到的数据管理工具一起，提供了跨网络的安全通信与数据加密，但是您也应该考虑到，当数据到达目的地的时候会发生什么