網(wǎng)格環(huán)境下安全認(rèn)證研究

1、網(wǎng)格是近些年來(lái)計(jì)算機(jī)技術(shù)領(lǐng)域的研究熱點(diǎn)，它吸收各種分布在不同地理位置的高性能計(jì)算機(jī)、數(shù)據(jù)庫(kù)等各種計(jì)算資源，通過(guò)互聯(lián)網(wǎng)技術(shù)組成動(dòng)態(tài)共享和協(xié)同計(jì)算的資源集成。網(wǎng)格能有效的組織利用閑置資源，提供超強(qiáng)的數(shù)據(jù)處理能力。網(wǎng)格以現(xiàn)有的萬(wàn)維網(wǎng)為通信平臺(tái)，因此網(wǎng)格環(huán)境的安全也是建立在萬(wàn)維網(wǎng)的安全基礎(chǔ)上的。目前萬(wàn)維網(wǎng)存在著冒充、篡改、抵賴(lài)、非授權(quán)訪問(wèn)、非法登錄等各種安全威脅，而網(wǎng)格作為第三代網(wǎng)絡(luò)，要真正實(shí)現(xiàn)大規(guī)模、高速、分布、異構(gòu)、動(dòng)態(tài)、可擴(kuò)展等特性，不僅

2、需要解決普遍存在于萬(wàn)維網(wǎng)上的安全問(wèn)題，還需要解決網(wǎng)格計(jì)算特有的安全問(wèn)題。網(wǎng)格的安全模型必須建立在一個(gè)動(dòng)態(tài)、需要協(xié)調(diào)不同訪問(wèn)控制策略和不同安全互操作的環(huán)境中。[1]而現(xiàn)有的安全技術(shù)往往不能勝任這種高要求，因此解決網(wǎng)格環(huán)境下的安全問(wèn)題就顯得尤為重要。認(rèn)證，是指對(duì)用戶(hù)身份或消息來(lái)源及內(nèi)容的驗(yàn)證。認(rèn)證包括兩類(lèi)：一是身份認(rèn)證，指在用戶(hù)開(kāi)始使用系統(tǒng)時(shí)，系統(tǒng)對(duì)其身份進(jìn)行的確認(rèn)；二是消息認(rèn)證，驗(yàn)證傳輸數(shù)據(jù)的來(lái)源及其完整性。消息認(rèn)證通過(guò)對(duì)消息源、消息內(nèi)容

3、以及消息時(shí)間性的鑒別來(lái)保證消息的真實(shí)性和完整性；身份認(rèn)證是對(duì)終端用戶(hù)的身份進(jìn)行識(shí)別和驗(yàn)證，防止非法用戶(hù)對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)的未授權(quán)訪問(wèn)。目前萬(wàn)維網(wǎng)通過(guò)訪問(wèn)控制機(jī)制來(lái)保護(hù)合法資源不被非授權(quán)用戶(hù)使用。認(rèn)證作為網(wǎng)格安全的最外層防線，也是最重要的一層防線，是網(wǎng)格安全的基礎(chǔ)保證。2網(wǎng)格在認(rèn)證方面的要求網(wǎng)格環(huán)境由網(wǎng)格的特性所決定，它與傳統(tǒng)的網(wǎng)絡(luò)相比要求同時(shí)使用大量的資源、動(dòng)態(tài)的資源請(qǐng)求，且所有節(jié)點(diǎn)的資源都是完全虛擬化的，服務(wù)請(qǐng)求者和服務(wù)提供者的身份完

4、全隱藏，不同的環(huán)境下服務(wù)請(qǐng)求者與提供者的身份可能互換，且用一個(gè)用戶(hù)在不同的環(huán)境中也可能有不同的身份，每個(gè)用戶(hù)的身份都是實(shí)時(shí)動(dòng)態(tài)變化的。網(wǎng)格環(huán)境下的認(rèn)證有著更高更靈活的要求，主要可以劃分為以下幾個(gè)方面：性。[3]Kerberos鑒別在認(rèn)證中是使用最廣泛的，它基于NeedhamSehroeder協(xié)議，并在該協(xié)議中引入了時(shí)間戳處理機(jī)制，基于對(duì)稱(chēng)加密技術(shù)來(lái)提供認(rèn)證、消息完整性、消息保密性等安全服務(wù)。Kerberos的基本思想是：一個(gè)公開(kāi)分布式環(huán)

5、境中，用戶(hù)在對(duì)應(yīng)用服務(wù)器進(jìn)行訪問(wèn)之前，必須先從第三方（Kerberos服務(wù)器）獲取該應(yīng)用服務(wù)器的訪問(wèn)許可證。它為用戶(hù)和服務(wù)器提供相互認(rèn)證，只有通過(guò)認(rèn)證的用戶(hù)才能訪問(wèn)服務(wù)器，以防止未授權(quán)訪問(wèn)。用戶(hù)和服務(wù)器之間構(gòu)造了一個(gè)安全橋梁。Kerberos身份認(rèn)證過(guò)程Kerberos認(rèn)證協(xié)議應(yīng)用十分廣泛，但它并不與GSI直接兼容，與X.509機(jī)制也存在很大的差別。美國(guó)密歇根大學(xué)開(kāi)發(fā)的KX.509試圖通過(guò)將Kerberos基礎(chǔ)設(shè)施與X.509證書(shū)相融合

6、來(lái)回避這一問(wèn)題。KX.509是一種“Kerberos化”的客戶(hù)端程序，它用現(xiàn)有的Kerberos票據(jù)獲得X.509證書(shū)，將Kerberos的TGT轉(zhuǎn)換成X.509代理證書(shū)。[3]KX.509協(xié)議對(duì)現(xiàn)有的Kerberos協(xié)議進(jìn)行擴(kuò)充，在KDC中增加了一個(gè)KCA(KerberizedCertificateAuthity)，其基本過(guò)程是（如圖2）：Kerberos域中的用戶(hù)在向TGS（票據(jù)分發(fā)服務(wù)器）申請(qǐng)后，得到訪問(wèn)KCA的票據(jù)，然后用戶(hù)生產(chǎn)