IBM®
跳转到主要内容
    中国 [选择]    使用条款
 
 
Select a scope:Search for:    
    首页    产品    服务与解决方案     支持与下载    个性化服务    
跳转到主要内容

developerWorks 中国  >  Grid computing  >

网格观察: GGF 与网格安全

developerWorks
文档选项

未显示需要 JavaScript 的文档选项


级别: 初级

Thomas Myer (tom@tripledogdaremedia.com), 负责人

2004 年 6 月 01 日

GGF Security 领域内的需求目前极为旺盛。

在本专栏 以前的文章中,我已经向您介绍了全球网格论坛(Global Grid Forum,GGF),告诉了您他们是谁、他们的任务是什么、从哪里能够读到重要的文档、如何参与其中的工作等等。同时我也介绍了 GGF 的数据与架构领域(Data and Architecture)。最近,我涉及到了 OGSA(开放网格服务架构,Open Grid Services Architecture)和 OGSI(开放网格服务基础设施,Open Grid Services Infrastructure),还有 WSRF 的建议修改内容。

这句话过去我曾经说过,但现在还是要再说一次:网格界变化得非常快。事实上,这里的变化是如此之快,以至于有时想要跟上变化成了一件具有挑战意义的事情。网格是一则正在发展中的故事。记住了这一点,就可以开始今天的话题:安全性。

那么安全问题的重点是什么呢?

我们生活在一个有趣的社会里,它可以马上变得相当开放,随后安全性就会逐渐降低。我们的通信网络连接着这个星球上数以百万计的系统和几十亿的个体。这些数量众多的系统,以及其中包含的数据,让一些人垂涎三尺。他们试图实施偷窃、损害、破坏,或是非法访问这些系统。

有些古老的安全挑战一直存在于计算安全的领域内,当计算网格出现的时候,这些问题依然存在。安全问题一直都是在易受攻击性和威胁之间寻找平衡。如果不将等式的两边同时考虑进来,就无法进行正确的判断。

  • 易受攻击性(vulnerability)是可能导致非授权用户获得系统或数据的访问权限的弱点或缺陷。地球上的每一种操作系统、每一种软件,都具有易受攻击性。其中一些比较明显,而另外一些则很难被发现;一些是灾难性的,而另一些却很微不足道。大多数供应商都为其不同的系统提供补丁,绝大多数补丁都是与安全性相关的。
  • 威胁(thread)是可能发生的安全损害。对于任何一种指定的易受攻击性,都能列举出数以百计甚至数以千计的威胁。威胁可以来自病毒、蠕虫、人对 TCP/IP 协议的操纵、如此等等。

在安全问题的世界中,如果确信存在一些威胁可以利用某些易受攻击性,这时它们就会变得更加敏感。比如说,从理论上讲,本地网络中存在开放程度很高的 Web 服务器本身就构成了一个易受攻击的系统。然而,如果 LAN 是自我封闭的,不向更大的 Internet 开放,那么对这样的系统就不会存在太多威胁(除非您自己制造出一些)。不过,要是通过无线访问点将 LAN 连接到 Internet 上,情况就不同了。任何人只要能够嗅探无线网络,就可以访问那台 Web 服务器。受到攻击的可能性依然不大,但是威胁却大多了。

让我们更深入地研究一下网格。网格可以用于产生计算力、提供对统一数据的访问、或是完成其他任务。从安全经理的角度来看,如果什么人想要获得未经授权的访问权限,那么组织中的网格就是他们高价值的目标。保护网格的必要性不仅仅在于它是代表大量软硬件的昂贵资产,还在于它通常是企业成功的核心,提供着战略性的功能。

与此同时,安全经理们理解到成功的安全性是一种权衡。对安全性限制得太紧,研发人员就更加难以与工程人员共享他们的发现。如果共享信息的手段非常困难,那么很快就会突然出现很多各种各样的特殊系统,给原来的系统中加上后门。想象一下,那些家伙为了绕过网络安全控制而安装了桌面调制解调器,这只会让公司向通过拨号进行攻击的人敞开大门。

从网格的角度来看,保证安全性还涉及到其他一些挑战:

  • 在异构环境中如何对最终的对象进行管理?在任何一个特定的网格中,都将存在众多硬件和操作系统的配置,它们可能为不同的机构所拥有,也许还分布在不同的国家里,且都向很多用户群体提供资源或计算力,而这些用户群体可能具有不同的习惯与任务框架。
  • 如何处理授权与认证的问题?在任何给定的网格中,都可能具有多层的所属关系。网络是归组织所有并管理的。独立的机器也归组织所有,但出于操作的目的,是由指定的人在运行。最后一点,网格中运行的任务归任务创建人所有,但是任务必须设法通过各种可能的授权环境。在此之上,任务创建人还可能是软件进程或智能代理,而不是一个人。
  • 如何表述和传送安全策略?用何种语言表述安全策略?策略一旦成文,该如何将之分发到整个网格中,让所有的系统,用户和代理都能接收到并理解这项策略。
  • 最后一点,如何跟上网格中发生的所有变化?用户不断地进出,不管是人类还是软件。如果用户从网格中断开,该如何处理那个用户已经发出并且可能还存在的所有任务?完全清除这些任务并不是恰当的答案。假设您决定在结束某个用户帐号的同时终止其所有任务。这时,有些用户的任务可能是在某个特定部门中通过反复执行查询得到工作结果。即便这个用户退出了,那个部门的其他人还可能认为这些查询应该保存下来。




回页首


GGF 安全领域的工作目标是什么

您知道,在网格中实现安全机制的需求很多很多。问题也随之而来,GGF 的安全领域是如何满足这些需求的呢?

有一件事情是确切的:他们不能依赖那些过于简单的安全机制。他们需要健壮的、灵活的、可操作的软件。这种软件必须能在现实世界中运行、必须能处理各种可能性,又具有足够强大的功能,可以支撑起整个网格中的安全体系。

如果软件过于复杂,那么就不是一个可操作的成功软件。在极度盛行的基于 PKI (公共密钥基础设施,Public Key Infrastructure)的安全体系中,其中一个很大的问题就是复杂程度。您持有公钥和私钥,这两者都需要进行管理;认证中心具有层次化的结构;在共享信息之前存在发送者加密和接收者解密的过程。您也许会问:“为什么 PKI 如此流行?”回答是,它虽然很复杂,却提供了一些相当突出的安全特性。





回页首


安全问题工作/研究小组

下面是 GGF 工作组的工作纲要:

授权框架与机制工作组(Authorization Frameworks and Mechanisms WG,AuthZ-WG)

网格系统当前和未来的安全性需求提倡设计先进的、细粒度的灵活授权机制。本小组负责为网格开发人员定义概念性的网格授权框架,其目标是为这种网格授权系统的设计提供基础。这篇文档的主要目标就是支持授权领域内的迫切需要。我们首先对已有的授权模块和系统进行分类,然后将模块之间的接口标准化。这项工作的另一个重要目标就是把已有的服务和模块和目前正在开发的较新的网格架构进行比较。我们会拿我们的工作与安全领域其他工作组的工作相互协调,尤其关注 S3A 和 OGSA-Sec。

开放网格服务架构安全工作组(Open Grid Services Architecture Security Working Group,OGSA-SEC)

OGSA 安全工作组(OGSA-Sec)的目标是罗列并解决 OGSA 环境下的网格安全需求。由于 OGSA 使用的是 Web 服务,因此 OGSA 的安全架构将使用 WS-Security 规范,以及 Web 服务安全路线图( 2002 年 4 月发布)中定义的 Web 服务安全基础。OGSA-Sec 将严密监控其他标准中的相关工作(如 OASIS);其目的并不在于把其他标准的内容拷贝过来。OGSA 安全工作组的主要成果是两份文档:[1] “开放网格服务安全架构,The Security Architecture for Open Grid Services”:这份文档将描述的安全架构与 Web 服务框架中正在定义的用于实现 OGSA 面向服务架构的安全模型兼容。[2]“OGSA 安全路线图,OGSA Security Roadmap”:这份文档列举了全球网格论坛中将被定义的规范建议,其目的是保证 OGSA 安全架构中互操作性的实现。本小组主要将讨论与发展这两份有关的话题。

认证中心运行工作组(Certificate Authority Operations Working Group,CAOPS-WG)

认证中心运行(Certificate Authority Operations,CAOPS)工作组的目标是开发可操作的过程和指导,以促进对 X.509 以及其他跨网格认证技术的使用。通过开发一些通用的项目,本小组希望促进认证服务间的相互接受。GGF 已经开发出 CP/CPS 模型,可供那些希望部署 CA 的网站和虚拟组织使用。本工作组的工作将着眼于和认证中心部署有关的问题。CAOPS WG 将不涉足用户私钥管理。

OGSA 授权工作组(OGSA Authorization Working Group,OGSA-AUTHZ)

OGSA 授权工作组的目标是定义在 OGSA 框架中实现授权组件的基本互操作性和可插拔性(pluggability)的规范。目前网格中已经出现了若干种授权系统(如 Akenti、PERMIS、CAS、VOMS、Cardea 等等),我们的规范将使得需要授权功能的中间件在对这些解决方案的使用中实现互操作。

网站认证授权和记帐需求研究小组(Site Authentication, Authorization, and Accounting Requirements RG,SA3-RG)

本研究小组的目标是搜集编纂已有的网格资源站点对采纳服务访问网格证书的需求。如果那些需求不统一,甚至相互排斥,那么本小组将致力于向网格工具箱或应用程序推荐应该为网站实现的钩子程序,以便让网站按照自己的需求,插入自己的实现。

权威机构识别研究小组(Authority Recognition Research Group,ARRG-RG)

在很多事务中,实体之间的信任是通过由独立的权威机构发出的有关身份和/或相关参与者特性的断言(例如 X.509 整数、SAML 断言、Kerberos 证书等等)来实现的。

由权威机构发出的断言必须经过识别,认定其为有效的,并且能够满足需要,然后另外一方才能给予其信任。特定权威机构发出的断言是否正确,这取决于若干种因素,其中包括权威机构做出的有关这项断言的承诺、权威机构将会承担的义务、信任方如果采纳该断言需要承担的责任。已有的机制并不能很方便地将这项信息从权威机构分发到信任方,帮助其进行识别判断。

权威机构识别研究小组将发掘简单、便宜、半自动化机制的潜力,供信任方识别权威机构的断言并作出决策。希望这样的机制能够简化并帮助网格参与者之间建立信任关系。





回页首


结束语

我刚刚谈到了很多领域。可能内容有些繁杂、变化不定、而且容易混淆。您的感觉是完全正确的。



参考资料

  • 您可以参阅本文在 developerWorks 全球站点上的 英文原文.

  • 您可以通过 http://www.ggf.org了解有关 GGF 的更多信息。这个网站中包含了该组织的一般性信息,还提供了重要文档与事件(如正在进行的会议等)的链接。要了解每一个领域中的所有研究与工作小组,请访问 GGF@work 下的 Area Overview。

  • 另外一个重要站点是 GridForge,位于 http://forge.ggf.org。如果您需要更深入地了解每一个工作领域中的工作,可以注册一个免费帐户。这样您就可以访问每一个领域内的规范工作草案及其他文档。该网站还包括论坛和缺陷跟踪工具,以利于开发人员和研究人员的协作。

  • 有关 GGF 安全领域内所有正在进行的项目请访问 https://forge.gridforum.org/projects/sec

  • 如果想浏览全部 GGF 工作组,请访问 http://www.ggf.org/L_WG/wg.htm

  • Ian Foster 所著题为“Anatomy of the Grid”的论文位于 http://www.globus.org/research/papers/anatomy.pdf,同时还有“Physiology of the Grid” http://www.globus.org/research/papers/physiology.pdf,两篇都是必读文章。


关于作者

Tom Meyer

Thomas Myer 是 Triple Dog Dare Media 的创始人兼负责人。该公司的总部在 Austin-TX,专长为构建 Web 服务、XML 以及数据库应用。您可以通过 tom@tripledogdaremedia.com与他取得联系。




对本文的评价

太差! (1)
需提高 (2)
一般;尚可 (3)
好文章 (4)
真棒!(5)

建议?




回页首


IBM 公司保留在 developerWorks 网站上发表的内容的著作权。未经IBM公司或原始作者的书面明确许可,请勿转载。如果您希望转载,请通过 提交转载请求表单 联系我们的编辑团队。
    关于 IBM      隐私条约      联系 IBM      使用条款