网格安全保障关键技术的研究

孟光胜　贺学剑

摘要：本文根据网格计算的特点，在现有的网格安全认证模型的基础上，提出了一种基于X.509和Kerberos双协议混合认证模型，该模型能有效的克服现有模型的不足。

关键词：网格；网格安全；网格认证；数字证书；模型

中图分类号：G202文献标志码：A文章编号：1002-2589(2009)06-0060-02

一、网格安全的概念及目标

(1)保密性：通过对数据进行加密，使得只有拥有密钥的合法用户才能访问，而未经授权者不能访问数据。这样，即使未授权者拿到数据的加密文件，也不可能看到其明文。(2)完整性：保证信息在传输或者存储过程中没有被篡改、破坏或丢失。(3)身份鉴别：验证通信对象或资源访问者逻辑上的身份证明是否与其真实身份相符合，从而防止合法用户被冒名顶替。(4)授权：当验证完用户的身份属实后，根据其身份赋予相应的权限，使得用户可以在不超出权限的情况下访问资源或执行操作。(5)反否认：保证信息的发布者就是其本人，而不是其他人通过假冒其身份发布虚假信息，另一方面也保证信息发布者不能抵赖，信息的真正发布者只能是信息发布者本人而不可能是其他人。(6)可用性：保证系统或资源不会因为遭受非法攻击(比如病毒等)而造成系统瘫痪或资源的无法使用。

二、网格认证概述和数字证书

(1)鉴别或验证一个用户的身份。(2)偷听：如何阻止别人在通信线路上对信息进行偷听?(3)口令管理；如果我们正在访问多个系统，每个系统是否都保留了用户ID和口令的副本呢?每个存储认证信息的数据库都是系统安全漏洞的目标。而且，每当我们需要进行操作的时候，是否都需要提供口令呢?(4)重放：有人可以当认证信息在网络中传输的时候对它进行复制，即使这些信息经过了加密，然后在以后进行重放，从而获得不正当的访问。(5)信任：认证是否应该是单方面的呢?或者用户是否也应该检验和相信使用的服务是合法的?集中系统信任它自己；分布式系统必须寻找一个方法来信任其他系统。

网格认证需要有一个认证中心CA，也即是认证机构，是一个负责发放和管理数字证书的权威机构。它为各个实体颁发电子证书，即对实体的身份信息和相应公钥数据进行数字签名，用以捆绑该实体的公钥和身份，以证明各实体在其功能上身份的真实性，并负责检验和管理证书。CA系统能为信息安全提供有效的、可靠的保护机制，提供网上身份认证服务，提供信息保密性、数据完整性以及收发双方的不可否认性服务。

数字证书身份认证是基于国际PKI标准的网上身份认证系统，数字证书相当于网上的身份证，它以数字签名的方式通过第三方权威认证CA有效地进行网上身份认证。帮助各个实体识别对方身份和表明自身的身份，具有真实性和防抵赖功能。与物理身份证不同的是，数字证书还具有安全、保密、防篡改的特性，可对企业网上传输的信息进行有效保护和安全的传递。数字证书的格式一般采用X.509国际标准，它是目前应用范围最广泛的一种证书，X.509证书实现了身份的鉴别和识别(认证)、完整性、保密性以及不可否认性等安全服务。Kerberos是MIT为分布式网络设计的可信第三方认证协议，起着可信仲裁者的作用。Kerberos在分布式网络环境中具有比较强的安全性，能防止攻击和窃听，能提供高可靠性和高效的服务，具有透明性(用户除了发送Password外，不会觉察出认证过程)，可扩充性好。它与授权机制相结合。实现了一次性签放的机制，并且签放的票据都有一个有效期，支持双向的身份认证，即服务器可以通过身份认证确认客户方的身份，而客户如果需要也可以反向认证服务方的身份，支持分布式网络环境下的认证机制，通过交换“跨域密钥”来实现。

三、网格认证模型的建立与研究

目前认证系统模型主要有三种：集中式层次认证模型，多CA结构的模型和混合交叉认证模型。由于网格计算环境因其自身的特点，导致大量动态用户的产生。如果使用集中式CA模型或多CA结构的模型，证书的管理会比较复杂。即便是采用集中式模型的统一管理结构，其证书数据量和更新量都是非常庞大的。而采用交叉认证模型，在路径选择上将会遇到很大的问题，如果数量众多的动态用户在每次接人时都进行一次路径匹配，其效率之低将是无法忍受的。据此，本文提出了一种双协议(X.509和Kerberos)混合认证模型。

在此模型中，终端用户证书的颁发和管理类似于集中式模型，有一个独立的认证中心进行颁发，并最终上溯到一个根认证中心，用户所信任的也就是这个根认证中心，这里称其为二级信任域。网格环境中数量众多的二级信任域按照不同的证书策略进行归类，组成不同的策略域组合，根据网格应用的特点，当有新的动态用户加入时，根据其申请证书而获得的权限等级将其划分到不同的策略域中。由策略服务器和顶级的一级信任域连接。一级信任域不参与终端用户和中间层CA的证书颁发和管理工作，而只负责对二级信任域进行管理。由于此模型中CA链是固定的，系统可以在策略域中将用户匹配到一个CA中作为其下层终端并进行管理。这样既避免了交叉认证中复杂的路径选择，又具备了集中式认证的高可信度、终端用户对资料保有量低等优点。对于一级管理域，因为只需要管理二级管理域(即不同策略的CA)，所以可以采用Kerberos票据模式进行管理。这样可以使网格环境中各个节点之间的对等连接变得安全，从而能更好地保护网格用户以及应用程序免遭恶意或拙劣代码的侵害。

(一)混合认证模型二级信任域框架与功能设计

二级信任域模型框架包括web服务器、CA数据库以及CA服务器。此外，为了给策略域中证书的使用提供更方便的服务，专门设计了一个在线证书服务器系统(Online Certifi-care Server，简称OCS)。

其中，Web服务器负责接收客户申请信息、检查用户信息以及证书下载、证书查询、CRL下载以及证书认证等与终端用户交互的功能。对普通用户提供了统一的服务平台。在线证书认证服务器OCS为整个证书域的用户提供了方便的证书认证服务，简化了证书的使用。它提供了三种证书认证方式。即本地认证、实时在线认证和非实时在线认证，满足了不同用户的认证要求。OCS数据库和CA数据库共同构成认证支持数据库。CA服务器是整个系统中最重要的部分，它完成证书的签发以及其他所有的设计证书管理的功能。CA数据库是整个系统中数据存储和交互的核心部分。

(二)CA sub-system主要功能设计

用户通过Web服务器提交信息后，用户服务器检查用户提交的信息合法后，会将数据提交到CA数据库等待CA服务器的签发。CA服务器定期检查(或人工检查)CA数据库中是否有新的用户请求。如果有，CA服务器则执行签发证书的一系列检查和操作，直至完成最后证书签发，然后将证书、相关的私钥以及其他用户信息保存在CA服务器中。用户通过Web服务器查询到用户证书已经签发后，就可以通过Web服务器在线下载证书。当然，如果为了安全需要，可以选择IC卡或者USB Key等其他物理方式保存证书和保证私钥发放的安全性。认证中心CA作为可信的第三方权威机构，按照一定的安全策略为实体(下层CA或者终端用户)签发实体证书、CRL证书，对实体的证书进行公证。其功能和服务主要包括以下方面：

(1)证书申请和证书审核服务；(2)各种证书管理服务；(3)CRL服务；(4)密钥管理服务；(5)系统审核服务；(6)客户端模块设计和通用接口设计。

CA系统按照功能可分为以下几个模块：系统配置模块、证书管理模块、证书和CRL发布模块、输入／输出模块以及在线证书查询模块等。

证书管理模块是整个CA认证系统结构中的核心模块，它完成了几乎所有的证书管理工作。所有的证书请求、证书和证书注销列表均保存在系统内部数据库中，同时可以通过发布模块将证书和CRL发布到其他证书库中。

四、总结

网格作为一种全新的技术，有着广泛的前景和发展空间。作为网络安全的第一道防线，某种程度上也是最重要的一道防线，认证技术受到普遍关注。由于现有的认证模型都存在这样或那样的问题，不适用于网格计算环境，而本文提出的一种基于X.509和Kerberos双协议的混合认证模型，能有效的克服现有模型的不足。

(责任编辑张一宁)