（计算机科学与技术专业论文）网格环境下移动进程的安全性支持研究.pdf

摘要 刚格计算( g r i dc o m p u t i n g ) 环境的出现使得大规模跨组织、跨区域的数据共享和分布 式应用程序发布成为可能，其核心内容是以基础设施( i n f r a s t r u c t u r e ) 的方式对“虚拟组织， ( v i r t u a lo r g a n i z a t i o n t 简称v o ) 的创建和维护进行支持。由于网格的跨组织性，使得安全 性支持在其中显得尤为重要。现有的刚格安全体系g s i ( g r i ds e c u r i t yi n f r a s t r u c t u r e ) 中主要 是通过公钥体系( p u b l i ck e yi n f r a s t r u c t u r e ，简称p k i ) 及建立于其上的分布式信任模型 ( d i s t r i b u t e dt r u s tm o d e l ，主要采用x 5 0 9 协议) 来建立与维护虚拟组织内部的安全策略空 间。然而，g s i 中对可移动进程的支持并不理想，主要表现在 缺乏灵活的移动性支持，对于连续移动的进程安全操作复杂且保护力度不够； 作为基础设施无法提供更多的可用于监控与入侵检测的安全信息； 对于一些跨组织旅行的移动进程( 称作g r i dt r a v e l e r ) 在信任机制( 如授权、访问 控制、责任追查) 方面无法进行支持。 针对当前安全设施的以上不足，本文研究网格计算安全性问题，提出g - p a s s 移动程序 安全体系。该体系建立在g s i 基础上并向下兼容，并在“核心协议一信任模型一基础设施” 由上到下兰个层次t 给出解决方案： 1 在p k i 的基础上将x 5 0 9 协议的代理( d e l e g a t i o n ) 部分进行扩充，由原有的“面向 宿主机”( h o s t - o r i e n t e d ) 式代理模型改为“面向安全实例”( i n s t a n c e - o r i e n t e d ) 式 代理模型，并针对此模型对网格中移动程序的安全设计方式和常用操作进行修正， 以对程序的移动性进行支持。 2 引入以安全实例作为单位的粗粒度分布式信任模型其中包括对跨组织的角色转换 与策略映射进行支持，以及权限代理预约( d e l e g a t i o nr e s e r v a t i o n ) 等高级安全措施， 并提出相关的算法( 如基于角色的策略映射和访问控制等) 。 3 在i n s t a n c e o r i e n t e d 代理模型的基础上进行扩展，并模拟真实世界中的跨国旅行手 续，来为g p a s s 体系建立基础设施。其中包括通过模拟真实护照以对代理、授权 和关键性信息提供安全载体的g p a s s p o r t 文档，以及用以处理穿越组织相关手续的 虚拟海关g c u s t o m ，和用以进行代理预约与移动程序入侵监测的用户代理服务 e x c h a n g es e r v i c e 。 本文认为，作为一种安全性基础设施，应当提供的功能主要包括坚实的密码基础( 已经 在p k i 中得以实现) 、重要的基础性协议、可靠的传输保障、丰富的信息收集、高效的运行 以及小而灵活的结构而并不是提供太多应用程序特定的专用功能。并且，对于大规模异构 性安全系统，着重点应该在监控目标行为和入侵检测而不是严格限制目标行为。g p a s s 就 是在这样的指导思想下进行设计的。 g p a s s 体系适合手网格计算环境。这是因为其设施本身的体系结构与应用程序逻辑或 系统拓扑结构无关，内核协议紧凑而具有一般性。g p a s s 基础设施的发布无需修改应用程 序逻辑和策略并不会破坏网格节点内部的自治性。此外，g - p a s s 中的核心协议在p k i 层 次上与g s i 完全兼容。除了通用性和兼容性之外，面对大规模的复杂的网格应用程序中的安 全监控问题，g p a s s 可以确保其操作所涉及范围的局部性，以及控制操作的复杂度。 本文通过分析多个已经实现并投入使用的实例系统与一些标准的攻击模型，说明了 g p a s s 体系的安全有效性。并通过这些系统实际运行中的测试数据证明了g p a s s 基础设施 运行的高效性，以及其所带来的安全开销的有限性。 关键字：网格、移动程序、安全、代理、基于角色的访问控制 i i a b s t r a c t t h ee m e r g e n c eo fg r i dc o m p u t i n gs h o w st h ep o s s i b l i t yo f d i s t r i b u t i n gl a r g e s c a l e da p p l i c a t i o n s a m o n gm u l t i p l ei n s t i t u t i o n sa n dp h y s i c a ll o c a t i o n s ，t h em a i nt a s ko ft h eg r i di st os u p p o r tt h e c r e a t i o na n dm a i n t e n a n c eo fv i r t u a lo r g a n i z a t i o n s ( v o ) i na l li n f r a s t r u c t u r em a n n e r , d u et ot h e i n s t i t u t i o n s p a nn a t u r eo ft h eg r i d ，s e c u r i t ys u p p o r t i n gr e v e a l sm u c hm o r ei m p o r t a n c e c u r r e n t g r i ds e c u r i t yi n f r a s t r u c t u r e ( g s i ) e s t a b l i s h e st h es e c u r i t yp o i l c ys p a c ei n s i d eav o m a i n l yo n t h e b a s i so ft h ep u b l i ck e yi n f r a s t r u c t u r e ( p k i ) a n dd i s t r i b u t e dt r u s tm o d e l h o w e v e r , g s il a c k si n s u p p o s i n gt h em o b i l i t yo f t h o s em o b i l ep r o c e s s e st h a ta r et r a v e l i n gi ng r i de n v i r o n m e n t t h i si s m a i n l yb e c a u s eo f t h r e ed i s a d v a n t a g e s o f g s l ： - l a c ko f s u p p o r t o nf l e x i b l e m i g r a t i o n a s t h em o b i l e p r o c e s s e s n e e dt om o v e c o n t i n u o u s l y ，t r e m e n d o u sc o s tw i l lb ei m p o r t e d i nc u r r e n tg s i 一 a sa ni n f r a s t r u c t u r e ，g s ic a l lp r o v i d el i t t l es e c a r i t yi n f o r m a t i o nf o ra p p l i c a t i o n s 一 f o rp r o c e s s e sm i g r a t i n ga c r o s st h eb o u n d a r yo fv i r t u a lo r g a n i z a t i o n ，g s ic a nh a r d l y p r o v i d es u p p o r co n t h e i rc r e d e n t i a lm a n a g e m e n t t ot a c k l ew i t ht h ea b o v ed i s a d v a n t a g e s ，an e ws e c u r i t yi n f r a s t r u c t u r ef o rm o b i l ep r o c e s s e s ， n a m e dg - p a s s ，i sp r o p o s e di nt h i st h e s i s t h eg p a s ss y s t e ms i t s0 nt o po ft h eg s ib a s i sa n d h e n c ec a nb ed o w n w a r dc o m p a t i b l e i tg i v e ss o l u t i o n so np r o t o c o l s ，t r u s tm o d e la n ds e c u r i t y i n f r a s t r u c t u r er e s p e c t i v e l y ： t h e d e l e g a t i o np r o t o c o li nx 5 0 9s y s t e mi se x t e n d e db ys u b s t i t u t i n gt h eh o s t - o r i e n t e d d e l e g a t i o n m o d e l w i t ha n e w t y p eo f i n s t a n c e o r i e n t e d d e l e g a t i o n m o d e l - ad i s t r i b u t e dt r u s t e dm o d e li si m p o r t e do nt h eb a s i so f t h ei n s t a n c e - o r i e n t e dd e l e g a t i o n i t c a ns u p p o r tf o rr o l e - b a s e da u t h o r i z a t i o nm a p p i n ga n di n f o r m a t i o nd e l i v e r i n g ，a sw e l la s a d v a n c e ds e c u r i t yr o u t i n e ss u c ha sd y n a m i ed e l e g a t i o nr e s e r v a t i o n - b ys i m u l a t i n gt h ep r o c e d u r e so fi n t e r n a t i o n a lb o u n d a r yc r o s s i n gi nr e a l i t y ，t h eg - p a s s i n f r a s t r u c t u r ei se s t a b l i s h e dt op r o v i d i n gs e c u r i t yp r o t e c t i o na n dc r e d e n t i a lm a n a g e m e n t f o rm o b i l ep r o c e s s e s t h eg - p a s sb e h a v e si na ni n f r a s t r u c t u r em a n n e r t h i sm e a n si th a sl i t t l er e l a t i o n s h i pw i t ht h e d e t a i la r c h i t e c t u r ea n dt o p o l o g yo fa p p l i c a t i o ns y s t e m s a l lk e r n e lp r o t o c o l sa r eg e n e r a lp u r p o s e d t h eg - p a s s sf u n c t i o n a l i t y m a i n l y i n v o l v e st h ef u n d a m e n t a l p r o t o c o l s ，s t a b l e a n ds e c u r e t r a n s f e r r i n gm e c h a n i s m s a n dr i c hi n f o r m a t i o nc o l l e c t i n gm e c h a n i s m s b ya n a l y z i n gg - p a s sb a s e de x a m p l ea p p l i c a t i o n s ，t h es e c u r i t y a n de f f i c i e n c yo fg - p a s s i n f r a s t r u c t u r ei sd e m o n s t r a t e di nt h i st h e s i s k e y w o r d s ：g r i d ，m o b i l ep r o c e s s e s ，s e c u r i t y , d e l e g a t i o n ，r o l e - b a s e d 浙江大学博士学位论文2 0 0 4 年 第1 章 绪论 1 1 引论：网格和虚拟组织 “网格”( g r i d ) 这个名词第一次出现是在上世纪9 0 年代中期其目的是描述一种为先 进科学及工程计算所用的分布式计算基础设施。自那以后，在如何构建这样一个设施的问题 上人们取得了长足的进步并将其以及其上的应用扩展到商业计算领域。网格与w e b 在应用 上的一个根本不同点在于w e b 的目标是提供人们通过网络来获取知识的机制( o n l i n e i n f o r m a t i o ne n q u i r i n g ，见t i mb e m e r sl e e 的经典文献 l e e 8 9 ) ，而网格的目的是提供人们通 过网络上分布的资源来解决问题的机制( o n l i n ep r o b l e ms o l v i n g ) 。 网格的概念和技术最初的目标是使协同科学计算中的资源共享成为可能。最初使用早期 的千兆网( g i g a b i t s e c ) 试验平台【c a t l e t t 9 2 c s 9 2 】，后来逐渐增长为越来越大的规模 【b j b h r 0 0 】 j g n 9 9 。这个领域的应用包括汁算性数据分析( 共享计算能力和存储) 、异构的 分布式数据整合、大型科学计算协同可视化( 专家共享) 以及远程计算机、科学仪器与文档 的耦台( 不断增长的功能以及可用性需求) 等。 近期，不仅在科技计算应用领域，在商业领域也出现并明确了相近的需求。商业领域的 分布式计算应用包括企业应用集成以及基于i n t e r n e t 的b 2 b 合作。正如w e b 起初也是从科学 协同技术发展进入电子商务领域，我们发现网格技术也正走在同一条路上。 假设一个身在杭州的生物科学家从北京某生物研究所的标本采集仪器l 得到了一个人体 细胞的相关序列，并使用美国n c b i 所提供的基因数据库来搜寻其可能对应的功能，然后将 结果传递给英国e s c i e n c e 站点上所发布的科学计算可视化程序进行处理，最后将生成的图表 在他隔壁办公室的打印机上打印出来。这就是一个网格应用。 考虑另一个商业化的例子，假设某人购买了一套电子地图服务并将其安装在自己的汽车 上。该服务会自动发送无线定位信息到周围的基站，并获得其当前的位置。此外，基站还会 联系某个交通系统服务得到附近的车流量信息，以对驾车人的行程进行优化。而该信息可 能是从一个数据库中得到，此数据库将会以每分钟一次的频率被分布在全城的数万个探测器 进行更新。当然，数据库中读出的数据需要在某个超级计算中心所提供的高性能集群上进行 7 第1 章绪论 处理和过滤，才能得到驾车人想簧的结果。 以上种种应用的最终目的被定义为“对于在动态的、多机构参与的虚拟组织( v i r t u a l o r g a n i z a t i o n ) 中的协同资源共享和问题解决的需求”【f k t 0 1 】。在著名嘲格中间件g l o b u s t o o l k i t 【f k 9 7 的主要负责人l a nf o s t e r 的经典著作t h eg r i d2 中，对虚拟组织给予这样的 论述：“对于那些动态的、涉及到多个机构的协同资源共享以及问题求解的需要，必须定义一 些规则来明确资源提供者和用户之间的关系，并小心和清楚地定义出什么可以被共享、共享 给谁以及共享操作中的一些其他相关约束条件。根据这样的共享规则所定义出的用户与机构 的集合我们称其为虚拟组织”【f k 0 3 。这里我们将会意识到关于“什么可以被共享、共享 给谁以及共享操作”的问题实际上属于通常意义上的“策略”( p o l i c y ) 问题。因此建构这样 的虚拟组织，需要解决的根本问题是各个机构策略之间的制定、融合与交互。 需要注意的是，网格是一种基础设施( i n f r a s t r u c t u r e ) ，其作用类似于铁路、电话、电报、 电力以及银行网络等。这些基础设施所煎有的特性是拥有异构的用户终端和媒介，并且都在 当今世界创造了数千亿美元的市场价值。我们已经目睹了以上的基础设施所带来的巨大社会 影响。涮样，网格也将象铁路一样带来革命性的效应。并且，网格将让我们更快地感受到铁 路花了3 0 剑4 0 年才完成的变革。世界上的计算机和通信设施正以指数级的速度增长。不管 在哪个领域一一微处理器、带宽、光纤还是磁盘存储量一一都是指数级的，这是历史上任何 一种设施所不具备的速度。 1 2 网格中的移动进程 在网格的实现中，人们堪常会引入网格中间件( g r i d m i d d l e w a r e ) 。由1 l 节中所述的需 求，网格中间件的作用是使大规模的、跨组织的网格应用程序成为可能。网格的运行方式为； 将整体任务分解以对应到各个组织所提供的资源上，并通过刨建新的虚拟组织，将现有的组 织中的策略进行连接和映射，在不破坏原有组织自治性的同时构建一个新的、应用程序定制 的联合策略空间。图1 1 中描述了此过程。 阳 8 围1 1 ：三个缈, a l ：g - - 个虚拟组织相连通过策略映射形成统一的策略空间 需要注意的是在分处于该联合中各个下层组织的应用程序各个部分之问- 经常需要有 浙江大学博士学位论文2 0 0 4 年 一些信息交互( 尤其是控制信息) 。将信息以数据的方式在各部分之间进行传递固然是一种常 用的办法。然而此方法在特定的情况下可能会有两种缺陷： - 在各个部分相对自治的情况下出于通用性考虑，往往在与外界通信之前不会对数 据进行深入的加工和筛选。这样就会导致有时需要传输的数据量很大，而实际上收 信方并不需要这么大量的数据。从而浪费了网络带宽。 由于网格的环境异常复杂，其中各个要素的状态总在不停的变化中。这就需要程序 可以根据当前形势动态地决定应该进行怎样的操作，获取什么数据，这就是所谓的 “上下文相关计算”( c o n t e x t - a w a r ec o m p u t i n g ) 。然而在单纯传输数据的操作模式 里，该传输什么数据以及以怎样的方式传输都是既定的。这为进行上下文相关计算 造成了障碍。 另一种方式是将一些小型程序动态发送到对方模块去进行相关操作，这些小型程序的代 码中蕴涵了发送方的逻辑，可以在对方模块中根据系统情况和应用程序当前状态来自主决定 行为。其任务主要是本地加工对方模块的通用性传输接口所提供的数据井传输必要的信息 回到发送方模块。当然，它的任务也可能是将某段数据处理程序携带到数据源，从而避免“网 络读数据一修改一网络写数据”这样繁杂的过程。在一些多方参与的情况下，该小型程序可 以在各个部分之间穿梭移动并收集或更新数据，这时一股称之为“移动代理”( m o b i l e a g e n t ) c h k 9 5 1 。移动代理在学术界已经研究了近2 0 年，大量的工作集中于其平台支持、智能决策 以及安全性支持上。 除了对移动代理的需要外，在分布式计算中还有另一种对移动进程的需求，即调度需求。 调度( s c h e d u l i n g ) 是分布式计算的核心内容之一。所谓调度，就是决定将哪些资源何时以什 么样的方式分配给哪些程序。由于资源的不可移动性，使得调度的方法只能是在资源上启动 程序。调度的目的一般是达到应用程序或者整个系统的某种优化，如系统负载均衡( l o a d b a l a n c e ) 、应用程序效率( e f f i c i e n c y ) 最大化、系统吞吐量( t h r o u g h p u t ) 最大化、或是访 问平均响应时间( a v e r a g eb o u n d i n gt i m e ) 最短等。由于分布式系统状况的不断变化，常常 需要在运行时( r u n t i m e ) 进行动态调度，以快速适应各种情况。一个昂直接的动态调度方法 就是进程迁移( p r o c e s sm i g r a t i o n ) ，亦即将进程在运行时从当前资源上迁移到其他资源上， 以完成资源的动态再分配。 进程迁移技术包括两种： 在迁移之后，程序需要重新启动的，称为弱迁移( w e a k m i g r a t i o n ) ； 在迁移之后，程序可以从迁移前的中断点继续执行的，称为强迁移( s t r o n g m i g r a t i o n ) 。 显然，强迁移技术实现的难度要远超过弱迁移，因为在迁移的过程中许多资源的状态都 需要进行切换( 如当前正在读写的文件或s o c k e t 等) 。当然，强迁移的适应性也更强，并且 对应用程序逻辑透明。近年来大量研究工作都以进程强迁移技术作为焦点 c o n 9 9 】 t r v c j v o o i b h 0 0 】。 9 第1 章绪论 网格中移动进程与传统的移动代理或进程迁移的最大区别在丁二，其必须具有穿梭于多个 组织之间的能力。对于图1 1 中所示的应用程序状态，如果移动进程需要在各部分之间进行 穿梭，就必须引起策略的变换，以分别适应不同的策略空间的需求。我们将网格中具有穿过 组织边界( o r g a n i z a t i o n b o u n d a r y c r o s s i n g ) 能力的移动进程称作网格旅行者( g r i d t r a v e l e r ) 。 对于支持g r i d t r a v e l e r 在网格中的行为来说，最大的障碍将是其所带来的丈量安全隐患。 1 3 安全问题 在传统的移动代理研究中，安全性已经是一个重要的课题。由于很多移动代埋会在不同 物理组织所控制的资源中穿梭，故而理论上任何一个宿主机都有可能窃听移动代理所携带的 消息，或是破坏其完整性以攻击其他宿主机或干扰最终程序的运行结果。 事实上，安全问题可以分为两个部分。其一是所谓的“绝对安全”问题，即假设在检查 点之后的所有过程都是正常的，判断一项操作或行为实体的某个状态是否在将来绝对不会带 来危害( 其中危害的判定是自行定义的) 。另一种是访问控制问题，即判断一项操作是否可以 被执行。有时候，即使某个操作是无害的，也不被允许。这样的限制的根源是来自于物理人 之间错综复杂的关系。 对于绝对安全，人们总是用某个判断谓词( p r e d i c a t i o n ) a b s o l u t e s e c u r e ( o p l 来确定。 如果a b s o l u t e s e c u r e ( o p ) = t r u e ，则操作d 芦为绝对安全。 近年来在移动代理的绝对安全性问题上人们进行了很多工作，并提出一些相当复杂的方 案( 如p r o o f c a r r yc o d e l n 9 7 】，c o n f u s e dc o d e 【c 0 1 0 2 】以及h a r d w w ei n s t r u m e n t 等) 。然而， 绝大多数方案都需要建立在专用的平台基础一l ，或需要特定的应用程序逻辑支持。这样的解 法显然是不适合网格这样的异构环境的。i f o s t e r 在n e g r i d 2 中说明了什么是“b e h a v e i n a g r i d m a l l r l e r ”( 以网格的方式运作) 的三条标准 f k 0 3 】，其中的一条就是“u s i n gs t a n d a r d ， o p e n ，g e n e r a l p u r p o s ep r o t o c o l sa n d i n t e r f a c e s ”。 当人们为了通用性而放弃了应用程序逻辑的支持后，所谓“绝对安全”的问题就变得近 乎于无解。于是人们引入了“相对安全”的概念，也就是信任模型( t r u s tm o d e l ) 。信任模型 实际上就是给出一个三段论。其中大前提是x 在语义领域d 上信任y ，小前提是】，声明了 谓词集合p 为真，且尸在d 上，结论是信任p 中的每一个谓词都为真。信任模型将用户 身份绑定在行为实体的正确性上，其所提出的“安全”概念是建立在对某个身份的信任的基 础之上的，故称作“相对安全”。信任模型具有较强的通用性，并且协议紧凑，易于大规模部 署，故现在的安全领域中，基本都引入了信任模型。 对于访问控制，我们对i n g f 0 3 中给出的定义进行扩展，得到如l 下定义： 定义1 1 ：一组访问控制是一个四元组( s ，0 ，a ， f ) ，其中s 为身份集合，d 为目标对象的 集合，爿为某个访问的权限集合，而m 是某个映射，其功能是将三元组 ( s ，0 ，口) s 0 0 0 a 映射到结果集d e c i s i o n r ，f ) 上。其中m 可以表示成二维访问矩 阵( a c c e s sm a t r i x ) 的形式，每一行代表一个身份，每一列代表个目标对象，而每一项的 浙汀大学博士学位论文2 0 0 4 年 值为a ( 4 的闭包) 中的一个元素。另一种方法是表示为三维访问矩阵，三个f 标轴分别 对应s ，d 和一，而矩阵的每一项取值为0 或l 。如果矩阵巾下标为( j ，o ，d ) 的一项是1 ，则 称身份s 得到了对目标对象o 进行行为口的授权( a u t h o r i z a t i o n ) 。 在实际操作中，通常行为实体在接受访问控制检查时要进行两步工作： 1 需要对身份进行鉴别( a u t h e n t i c a t i o n ) 。这是建立在系统对行为实体所生成自己拥有 的身份不信任的基础上的。行为实体必须出示证据以证明自己确实对应着自己所宣 称的身份； 2 进行权限检查( c o m p l i a n c ec h e c k i n g ) ，即查询访问控制矩阵，看行为实体所提出的 访问需求是否都得到了授权。 对于访问控制，也可以引入信任模型。即用某个可信的身份来为用户的身份声明或者某 些权限进行担保。这样的过程叫做代理( d e l e g a t i o n ) 。所谓代理，就是声明行为实体可以用 代理授予者的身份执行某些操作或发表某些声明，而代理授予者为其正确性负全部责任a 代 理机制是信任模型，特别是分布式信任模型的核心。只有通过代理，才能架起远程信任的桥 粱。代理在策略映射方面也起到了重要的作用，事实上基于角色的簟略转换的基础就是角色 以自己的身份对行为实体某些权限的担保( 也就是代理给行为实体) 。 对于网格中移动进程来说，一个最大的特点就是它在旅程中可能会和很多身份发生关系， 包括代理、授权、检查、操作、预约、协商等等。而这些身份又很可能属于不同的策略空间 ( 如果移动进程进行了编织穿梭) ，并且每个身份与移动进程之间发生的关系的细节都各不相 同( 如在何种前提下代理才能被视为有效) 。这为安全性检测和访问控制带来了极大的复杂度。 现有的网格安全体系g s i 菇没有对移动进程进行特别的支持。这使得在现有的网格中间件上 部署移动进程支持平台的工作出现了无法逾越的障碍。 1 4 网格中的安全基础设施 在讨论本文相关细节内容之前，首先需要强调的是目标解决方案所应具有的性质，即网 格中应用的安全基础设施。明确这一点将对整个研究的目标以及研究中所使用的方法具有重 要的指导意义。 本文需要特别强调的一个观点是：对待安全问鹿的思路应当逐渐转向以可用性为首要考 虑的监控措旆。传统的安全观点非常严苛，主张严格地禁止一切可能会引起不良行为的操作 和行为实体。在网格环境中，通用性的平台使得应用逻辑信息大量丢失，这样导致失去了正 确性判断的依据使严格的预防措施很难得以彻底实施。并且，这样的预防是以大量损失系 统资源可用性为代价的。本文主张采取较为乐观的策略，先允许操作的进行或者目标行为实 体的进入，再对其进行严密地监视。一旦出现异常，再在基础设施的配合下使得破坏范围尽 量减小，并追查错误的根源。并且，系统还应当能够根据当前状态和历史记录动态地调整安 第1 章绪论 一一_ _ _ _ _ _ _ _ _ - _ _ _ _ 一 全策略，以及预防和监控在整个防御系统中所占的比重。 事实上，相似的观点近年来在学术界和工业界都受到广泛的重视。入侵检测和抗抵赖性 的研究都是以这样的观点为基础的。然而，这些方法得以实施的个必要的需求，就是基础 设施可以提供尽可能多的相关信息，以供检测程序的推理。并且要求这样的信息必须得到 正确性的保证，并且应当能够防止抵赖。当前的g s l 及其他相关授权体系如 p r l m a l k 0 2 l a k k r s 0 3 中显然忽略了这样的需求，致使相关操作很难实现。本文强调这 样的信息应当由安全基础设施提供，而基础设施得到这些信息的方式应当是隐式的 ( i m p l i c i t l y ) 。即通过信任模型中的操作协议的定义来强迫相关信息的获取，将获取到的信息 绑定于信任模型中的标准文档之上并随之一起传输和发布。 本文认为，尽可能获取应用程序逻辑相关的信息与实际运行的经验信息并为之提供可靠 的载体是一个基础设施所应提供的功能，而通过协议的定义来隐性执行上述功能，是基础设 施应有的工作方式。网格的一个重要属性就是以基础设施的方式解决问题。所以作为网格中 间件的一部分，安全设施必须也以同样的方式工作，才能与其他设施更好地融合。 在分析网格概念的时候，人们常常会举电力系统或者铁路系统的例子。这说明网格实际 上只是对现实世界中基础设施的基性进行总结所生成的抽象系统。在计算机领域中，大量的 理论系统在现实世界中早已存在原型。基础设施也是如此。网格的诞生地，美国的a r g o n n e 实验室中专门设有一个方向研究各种基础设施，并试图归纳出基础设施所具有的共性和特性。 对于本文中所讨论的旅行者的安全保护与限制的设施，在现实中就可以找到成功的应用实例， 即护照一海关系统。本文中通过对其进行模拟，来定义安全设施g - p a s s 中的核心协议和主 要机构。 1 5 研究内容 本文旨在以上面提到的原则为指导来解决移动进程在网格中的安全问题。文中所涉及的 工作将以“理论模型- 协议和机制- 实际系统”的线索来展开讨论。 通过修改和扩充现有分布式信任模型中的代理协议，在“安全事务”的粒度上引入了基 于安全实例的信任体系。该体系支持灵活和细致( f r e e - g r a i n e d ) 的认证与授权，可以支持在 多个身份同时绑定同一个授权，或多个权限被不同身份同对授权情况下的授权、访问控制和 执行环境的创建。它使得安全性检测和访问控制以及其相关过程( 如代理的申请、签署、传 输和检查等) 的工作量大幅度降低，并在安全文档中确保了过失方责任的可明确性( 即实现 责任分离以及抗抵赖，关于此概念的讨论具体见第二章) 。 面对移动进程可能会进行的组织之间或策略空间之间的旅行本文提出在安全实例的粒 度上基于角色的身份映射机制，以在进入局部策略空间时维护移动进程所携带信任证的有效 性。此外，本文还提出通过移动进程所携带的安全信息对其信任度进行评估的机制，咀及基 于信任点数和信任证的访问控制机制。 2 浙江大学博士学位论文2 0 0 4 午 基于安全实例的信任模型提供了实现其他动态机制的基础。在此基础上，本文提出了安 全代理( d e l e g a t i o n ) 的动态预约和续约协议，并对这些掷议在分布式系统中的实现做了设汁 和讨论。代理的动态预约和续约协议方面使得移动进程可以在获取许可运行的情况下具有 更太的动态性，另一方面使移动进程的行为更加容易得到监管。 针对代理的动态预约和续约协议，本文提出了移动进程( 主要是需要多次移动的移动代 理m o b i l ea g e n t ) 设计中的m i s s i o n - t a s k 模型。该模型辅助系统迫使用户将应用程序逻辑划 分为任务段，并将有用的信息通过隐式( i m p l i e i t ) 途径输入到系统中。 在以上研究的基础上，本文定义了名为g - p a s s 的移动进程安全基础设施。该设施中包 括支持移动进程信任证携带和安全信息携带及其有效性的文档载体以及相关协议，支持移动 进程动态代理预约和续约的用户联盟，以及支持移动进程穿越组织边界的虚拟海关服务等部 件。 最后，本文通过作者在香港大学参与设计和开发的g j a v a l v l p l 系统以及作者自行开发的 移动代理平台e v e r e s t 的整合应用，来具体说明g p a s s 的可用性、有效性、安全性以及对其 性能进行分析。 1 6 论文内容安排 论文接下来的内容安排如下： 在第2 章中主要介绍了一些安全方面的基础理论和移动进程安全方面的相关研究工作。 在第3 章中介绍了基于安全实例的信任机制。首先分析了x 5 0 9 代理模型对支持移动进 程的不足之处，然后引入了安全实例的概念并定义基于安全实侧的信任机制。接着介绍了代 理的动态预约和续约机制，最后提出了m i s s i o n - t a s k 安全设计模型。 在第4 章中首先提出和论证了移动进程穿越组织的可能性，接着介绍了基于角色的信任 证映射和访问控制，晟后讨论安全信息映射和动态安全评估机制。 在第5 章中主要介绍了g p a s s 基础设施，其中包括核心文档g - p a s s p o r t ，虚拟海关 g c u s t o m 和用户联盟( u s e rl e a g u e ) 。最后给出了对g - p a s s 的性能测评。 在第6 章中以一个范例应用g j a v a m p i 系统的应用情况来说明g p a s s 对移动进程安全 和信任证管理方面的支持，并对整个应用系统的性能和其中安全开销进行了测评。 第7 章是结论和对未来工作的展望。 3 第2 章基础理论和相关研究分析 第2 章 基础理论和相关研究分析 在本章中，首先介绍安全的基本需求，关于公镅基础设施、鉴别、授权、代理及分布式 信任模型中的一些基础概念，再介绍g s i 体系，最后分析前人工作中与移动进程安全性问题 相关的一些内容。 2 1 机密性与完整性需求 机密性( c o n f i d e n t i a l i t y ) 与完整性c i n t e g r i t y ) 是计算机安全领域中所需要解决的两个根 本问题。 2 1 ，1 机密性需求 机密性攻击分为两类： - 非法窃听( e a v e s d r o p ) 信息。指系统以外的攻击者通过窃听网络或者其他系统外放 信息的渠道来菲法地获取机密信息。 非法暴露( d i s c l o s u r e ) 信息。指系统中的攻击者或由于系统疏漏使机密信息暴露， 以至于町以被系统以外的窃听者得到。另一种可能性是系统以外的攻击者通过伪装 ( i m p e r s o n a t i n g ) 等方式引导系统暴露信息。 在安全系统中的机密性策略的目标就是防止以上两类攻击的发生。 2 1 2 完整性需求 完整性是比机密性更加重要的需求因为在完整性被破坏的情况下，可能会影响到整个 系统的运转和最终结果。 c s 6 3 4 1 6 p 列举了商业流程中的五项完整性需求，并暗示了对完整性 保证的几个设计原则： 责任分离( s e p a r a t i o no f d u t y ) 。当某个关键功能中包含两个或两个以上步骤时，必须要 有至少两个身份对此关键功能的完整性保证负责。而所有的步骤需要分摊到各个责任身份之 上。 功能分离( s e p a r a t i o no ff u n c t i o n ) 。为了保证责任分离，各个责任身份应该各司其责， 即不应该推卸自己被指定应当完成的责任，也不应该去做井未被指定完成的事。 监证( a u d i t i n g ) 。监证是在商业安全中较为常用的抗抵赖手法。下文将有详述。 4 浙江大学博士学位论文2 0 0 4 年 在军事上，对于完整性的要求与商业要求不同。在军事安全中，对信息的访问需要被严 格地进行分级。相应等级的身份只能访问该等级中对应的内容。判断访问的权限是根据等级 而并不是身份。并且，对于越级访问是绝对禁止的，而不存在监控运行的余地。 2 2 信任机制和公钥基础设施 2 2 1 信任机制和身份绑定 信任机制在安全系统中起到一个基础支撑的作用。在安全机制的研究中，人们可以提出 种种严密的过程。但这些过程的作用只能是无误地从某个数据状态推导到另一个数据状态， 即做出这样的保证：如果己知爿为真，则状态r 为安全的。亦即，如果要做出s 为安全的论 断。必须基于“一为真”的假设。这就是信任( t r u s t ) 的含义。 对于一个复杂的系统来说，将会牵扯到无数个这样的假设。无论哪个假设不能成立都会 影响到程序执行的最终结果。而如果对这些假设一一进行细致的检验，将会带来无法估计的 丁f 销，严重影响系统的性能。一个快捷的方法就是将一些前提假设与某个身份进行绑定，将 这些假设归结为对此身份的信任。这种方法的实质是在不能确定绝对正确的情况下，找一些 责任人，以消减当前程序和系统所承担的责任和任务。事实上，一切安全机制都是相对的， 其最多只能在假设的基础上提供严密的中间设旌。我们称信任机制为切安全体系的基础。 2 2 2 公钥基础设施 现代网络安全体系很大程度是建立在公钥基础设施( p u b l i ck e yi n f r a s t r u c t u r e ，p k i f c s 9 8 ) 的基础之上。p k i 的中心是一种叫做非对称加密算法 e 1 0 8 5 。所谓加密算法，就 是将明文转化为密文的一个函数。我们以y = 厂( 的简单形式来表示，其中x 表示明文 ( x m ，m 称明文空问) ，y 表示密文( y c c 称密文空间) 。与此对应的是将密文 转化为明文的函数，称作解密算法x = f 。( 力。其中，和f “分别是加密空间e 和解密 空间d 中坐标为k 的项。我们称k 为xt y 的密钥。一个密码体制可用的必要性条件为： 一 对所有的z 和y ，厂和厂- 都必须能够有效计算。 在己知y 的情况下，将1 i 能在有效时间内计算出x 或者k 。 k 的取值范围足够大以至于不能在有效时问内通过穷举k 来计算v 斗x 。 我们将加密算法分为三类：古典算法，对称加密算法( 在加密和解密过程终都使用同一 个密钥，包括d e s ，a e s m o v 9 7 s c h 9 0 等) 和非对称加密算法：见下文。 非对称加密方法可以一次生成一对密钥( k e yp a i r ) ，其中包括一个公钥( p u b l i ck e y ) 和 一个私钥( p r i v a t e k e y ) 。有二元组( ，j ) ，其中，为一单项陷门函数( t r a p - d o o rf u n c t i o n ) 。 1 5 第2 章基础理论和相关研究分析 单项陷门函数应满足如下条件； 1 ) 给定明文x ，计算y = ，( x ) 是很容易的； 2 )给定密文y ，计算x = f 。( y ) 是无法在有效时间内完成的； 3 ) 存在j ，在已知万时，对任意给定的y ，计算x = f 。( y ) 是容易的。 用于加密的陷门函数f 可以被公开故称公钥，记做p 女。而用于解密的占由f 的设计 者自行保留，故称私钥，记做肼。定义密钥对j c p = ( 肌，5 话) 。任何人都可以提供任意j 并 完成y = f ( x ) ( 记做( x ) ) 。然后在网上公开传送y ，而只有的设计者可以完成 x = f 。( y ) 并得到明文( 即x = d ( e m ( 曲) ) 。 非对称密钥有很多实现算法，如r s a ( r i v e s t - s h a m i r - a d l c m a n r s a 7 8 ) 、e c c ( e l l i p t i c c u r v ec r y p t o g r