格線安全技術

格線是一種虛擬計算環境，利用計算機網路將分布異地的計算、存儲、網路、軟體、信息、知識等資源連成一個邏輯整體，如同一台超級計算機為用戶提供一體化的信息套用服務，實現網際網路上所有資源的全面連通與共享，消除信息孤島和資源孤島。格線作為一種先進的技術和基礎設施，已經得到廣泛的套用。同時，由於其動態性和多樣性的環境特點帶來新的安全挑戰，需要新的安全技術方案解決，並考慮兼容流行的各種安全模型、安全機制、協定、平台和技術，通過某種方法來實現多種系統之間的互操作安全。

格線安全技術是指保護格線安全的技術、方法、策略、機制、手段和措施。

格線安全技術可防止非法用戶使用或獲取格線的資源，從而確保網路資源的安全性。格線環境具有異構性、可擴展性、結構不可預測性和具有多級管理域等特點，格線的安全問題不同於傳統的分散式計算環境。格線系統的安全體系的構建，除具有Internet 的安全特性外，還具有以下特徵：

格線可以包含跨地理分布的多種異構資源、不同體系結構的超大型級計算機和不同結構的作業系統及套用軟體，要求格線系統能動態地適應多種計算機資源和複雜的系統結構，異構資源的認證和授權，給安全管理帶來一定的挑戰。

格線的用戶、資源和結構為動態變化，要求格線系統安全結構具有可擴展性，以適應格線規模的變化。

在傳統的高性能計算系統中,計算資源獨占，系統的行為可預測。而在格線計算系統中,資源的共享造成系統行為和系統性能經常變化，格線結構具有不可預測性。

由於計算格線的分布性特點，與用戶和資源有關的各種屬性可以跨越物理層屬於多個組織機構。通常，由於構成格線計算系統的超級計算機資源屬於不同的機構或組織，並且使用不同的安全機制，需要各個機構或組織共同參與解決多級管理域的問題。

格線環境的基本安全需求包括機密性、完整性、可審查性和審計。機密性主要指格線環境中必須確保資源和不被非法用戶訪問；完整性主要確保格線環境中的信息和資源不被非法用戶修改，以確保格線環境中的資源和信息安全存儲與傳輸；可審查性主要確保格線環境中的用戶不能否認對格線發出的行為；審計主要用於記錄格線環境中的用戶行為和資源的使用情況，通過對審計日誌進行分析，可完成報警功能。此外，格線環境的特點使格線環境有特殊的安全需求。

（1）認證需求

為實現網路資源對用戶的透明性，需要為用戶提供單點登錄功能，用戶在一個管理域被認證後，可以使用多個管理域的資源，而不需要對用戶進行多次認證。用戶的單點登錄功能需要通過用戶認證、資源認證和信任關係的全生命周期管理。

格線環境中存在多個管理域和異構網路資源，在此環境的安全通信需支持多種可靠的通信協定。而且，為支持格線環境中安全的組通信，需要進行動態的組密鑰更新和組成員認證。

格線環境中用戶的多樣性，以及資源異構的安全域，要求為用戶提供多種可選的安全策略，以提供靈活的互操作安全性。

對於格線安全的研究，常利用定義一系列的安全協定和安全機制，在虛擬組織間建立一種安全域，從而為資源共享提供一個可靠的安全環境。格線安全技術主要是基於密碼技術構建的，可實現格線系統中信息傳遞的機密性，獲得對所發出或接收信息事後可審查，以及保障數據的完整性。格線計算中，基於公鑰加密、X.509證書和SSL通信協定的GSI（Grid Security Infrastructure）安全機制套用較廣泛。

包括格線安全技術套用最廣泛的公鑰基礎設施PKI（Public Key Infracture)等，PKI建立在公鑰密碼學基礎上，主要包括加密、數字簽名和數字證書等技術。數字證書的安全性主要依賴於CA（Certificate Authority）私鑰的安全性。對數字證書的管理，可通過資料庫伺服器提供線上信任證書倉庫，為用戶存儲並短期提供信任證書。用戶可從不同入口接入格線，使用格線提供的服務。利用PKI 技術，格線系統只對用戶一次認證，就可訪問多個節點資源。通過代理證書和證書委託，可為用戶創建一個用戶代理，並又可在中心節點創建新代理，形成一個安全信任鏈，實現節點間信任傳遞與單點登錄。

將屬於不同獨立組織的資源和人員進行組織，創建一個虛擬組織（Virtual Organization，VO)。可通過用戶在本地組織中角色加入VO解決社區授權服務(Community Authorization Service，CAS)負擔過重的問題。格線安全基礎設施（Grid Security Infrastructure，GSI）是基於公鑰加密、X.509證書和安全套接層SSL通信協定的一種安全機制，用於解決VO中的認證和訊息保護問題。通過服務可實現VO中的資源共享，通過一個映射檔案可實現控制用戶對資源服務的訪問許可權。映射檔案由一系列用戶區別名（Distinguished Name，DN）到本地賬號的映射項組成。用戶認證後，資源提供者從用戶的代理證書中提取DN，然後根據用戶請求的服務從相應的映射檔案中查看該DN的映射項。存在則說明用戶有許可權訪問其請求的服務，資源提供者將以用戶DN對應的本地賬號運行被請求的服務。GSI是通過映射機制將對用戶的訪問控制轉變為資源提供者對本地賬號的訪問控制，如檔案訪問控制、CPU限制等。

可通過區域授權服務或虛擬組織成員服務提供。社區授權服務(Community Authorization Service，CAS)允許虛擬組織維護自己的策略, 並可使用這些策略與本地站點互動。每一個資源提供者都要通知CAS伺服器關於VO成員對於它的資源所擁有的許可權集，要訪問一個資源，用戶需向CAS伺服器申請基於其自身許可權的證書，用戶向其要訪問的資源出示其申請的證書，由資源對證書進行驗證後，才準許該用戶訪問。由於格線跨越的多個管理域都擁有各自安全策略，VO需要制定一個標準的策略語言，能夠支持多種安全策略，使VO能夠與本地的安全策略互動。此策略的主要部分可通過傳統的資源訪問控制列表（ACL）實現，但可通過增加條件限制功能，擴展傳統的ACL概念，生成擴展訪問控制列表(Extended Access Control List)。區域授權服務在一定程度上解決了格線虛擬組織的訪問控制問題，但還不能適應格線動態性的需求，沒有解決虛擬組織的協同策略管理問題、因管理的瓶頸而存在不可擴展性問題等。除了區域授權服務，格線環境中還可採用沙盒技術對其資源進行定量控制，這些資源包括CPU的利用率、記憶體的占有量以及頻寬的使用量等。可將各種套用放在統一沙盒中，從而消除格線節點的異構性，使本地系統更方便地控制格線套用對資源的使用情況，可以用於實現動態賬戶和進行細粒度的資源控制。

（4）格線安全標準

Web服務安全規範可集成現有的安全模型，開發Web服務時可在更高層次上構建安全框架，格線安全體系結構中將Web服務安全規範作為構建跨越不同安全模型的格線安全結構的基礎。隨著格線與Web服務的融合，格線環境中的傳輸層安全正在向訊息層安全過渡，訊息層安全支持Web服務安全標準，並可為SOAP訊息提供保護，以確保每一條SOAP訊息的安全，可兼容多種形式的傳輸層協定，並可實施不同級別的安全保護。為實施格線環境中的資源共享，格線環境中使用安全聲明標記語言SAML（Security Assertion Markup Language）來交換鑑定和授權信息，SAML基於XML訊息格式定義了查詢回響協定接口，能夠兼容不同的底層通信和傳輸協定，並能通過時間標籤在格線用戶之間建立動態的信任關係。

拓展閱讀：格線環境的動態性和多樣性，需要新的技術方案解決安全問題。還應考慮兼容目前廣泛套用的安全機制和技術，從而實現系統之間操作的安全性。格線安全技術主要通過制定開發各種安全協定，防止非法用戶的訪問控制研究上。還須研究格線環境下的入侵檢測技術，對虛擬組織安全策略的改變保持持續監控，並根據實現運行時所掌握的狀況來動態控制安全的級別。同時，還應研究格線環境中的入侵容忍技術，使格線系統在遭到入侵的情況下，將入侵所產生的破壞降到最低，並能繼續為用戶提供一定的服務。隨著格線技術的廣泛套用，格線安全問題將越來越受到人們的關注，其技術的發展將對格線技術的套用具有重要意義，研發安全高效的格線系統將成為我國信息安全領域的重要課題。