網(wǎng)格安全技術(shù)

網(wǎng)格安全技術(shù)理學(xué)領(lǐng)域術(shù)語01概念需求技術(shù)特點(diǎn)關(guān)鍵技術(shù)目錄030204基本信息格安全技術(shù)是指保護(hù)格安全的技術(shù)、方法、策略、機(jī)制、手段和措施格安全技術(shù)可防止非法用戶使用或獲取格的資源，從而確保絡(luò)資源的安全性概念概念格是一種虛擬計算環(huán)境，利用計算機(jī)絡(luò)將分布異地的計算、存儲、絡(luò)、軟件、信息、知識等資源連成一個邏輯整體，如同一臺超級計算機(jī)為用戶提供一體化的信息應(yīng)用服務(wù)，實(shí)現(xiàn)互聯(lián)上所有資源的全面連通與共享，消除信息孤島和資源孤島。格作為一種先進(jìn)的技術(shù)和基礎(chǔ)設(shè)施，已經(jīng)得到廣泛的應(yīng)用。同時，由于其動態(tài)性和多樣性的環(huán)境特點(diǎn)帶來新的安全挑戰(zhàn)，需要新的安全技術(shù)方案解決，并考慮兼容流行的各種安全模型、安全機(jī)制、協(xié)議、平臺和技術(shù)，通過某種方法來實(shí)現(xiàn)多種系統(tǒng)之間的互操作安全。

格安全技術(shù)是指保護(hù)格安全的技術(shù)、方法、策略、機(jī)制、手段和措施。技術(shù)特點(diǎn)技術(shù)特點(diǎn)格安全技術(shù)可防止非法用戶使用或獲取格的資源，從而確保絡(luò)資源的安全性。格環(huán)境具有異構(gòu)性、可擴(kuò)展性、結(jié)構(gòu)不可預(yù)測性和具有多級管理域等特點(diǎn)，格的安全問題不同于傳統(tǒng)的分布式計算環(huán)境。格系統(tǒng)的安全體系的構(gòu)建，除具有Internet的安全特性外，還具有以下特征：（1）異構(gòu)資源管理格可以包含跨地理分布的多種異構(gòu)資源、不同體系結(jié)構(gòu)的超大型級計算機(jī)和不同結(jié)構(gòu)的操作系統(tǒng)及應(yīng)用軟件，要求格系統(tǒng)能動態(tài)地適應(yīng)多種計算機(jī)資源和復(fù)雜的系統(tǒng)結(jié)構(gòu)，異構(gòu)資源的認(rèn)證和授權(quán)，給安全管理帶來一定的挑戰(zhàn)。（2）可擴(kuò)展性格的用戶、資源和結(jié)構(gòu)為動態(tài)變化，要求格系統(tǒng)安全結(jié)構(gòu)具有可擴(kuò)展性，以適應(yīng)格規(guī)模的變化。（3）結(jié)構(gòu)不可預(yù)測性在傳統(tǒng)的高性能計算系統(tǒng)中,計算資源獨(dú)占，系統(tǒng)的行為可預(yù)測。而在格計算系統(tǒng)中,資源的共享造成系統(tǒng)行為和系統(tǒng)性能經(jīng)常變化，格結(jié)構(gòu)具有不可預(yù)測性。需求需求格環(huán)境的基本安全需求包括機(jī)密性、完整性、可審查性和審計。機(jī)密性主要指格環(huán)境中必須確保資源和不被非法用戶訪問；完整性主要確保格環(huán)境中的信息和資源不被非法用戶修改，以確保格環(huán)境中的資源和信息安全存儲與傳輸；可審查性主要確保格環(huán)境中的用戶不能否認(rèn)對格發(fā)出的行為；審計主要用于記錄格環(huán)境中的用戶行為和資源的使用情況，通過對審計日志進(jìn)行分析，可完成報警功能。此外，格環(huán)境的特點(diǎn)使格環(huán)境有特殊的安全需求。（1）認(rèn)證需求為實(shí)現(xiàn)絡(luò)資源對用戶的透明性，需要為用戶提供單點(diǎn)登錄功能，用戶在一個管理域被認(rèn)證后，可以使用多個管理域的資源，而不需要對用戶進(jìn)行多次認(rèn)證。用戶的單點(diǎn)登錄功能需要通過用戶認(rèn)證、資源認(rèn)證和信任關(guān)系的全生命周期管理。（2）安全通信需求格環(huán)境中存在多個管理域和異構(gòu)絡(luò)資源，在此環(huán)境的安全通信需支持多種可靠的通信協(xié)議。而且，為支持格環(huán)境中安全的組通信，需要進(jìn)行動態(tài)的組密鑰更新和組成員認(rèn)證。關(guān)鍵技術(shù)關(guān)鍵技術(shù)對于格安全的研究，常利用定義一系列的安全協(xié)議和安全機(jī)制，在虛擬組織間建立一種安全域，從而為資源共享提供一個可靠的安全環(huán)境。格安全技術(shù)主要是基于密碼技術(shù)構(gòu)建的，可實(shí)現(xiàn)格系統(tǒng)中信息傳遞的機(jī)密性，獲得對所發(fā)出或接收信息事后可審查，以及保障數(shù)據(jù)的完整性。格計算中，基于公鑰加密、X.509證書和SSL通信協(xié)議的GSI（GridSecurityInfrastructure）安全機(jī)制應(yīng)用較廣泛。

（1）安全認(rèn)證技術(shù)包括格安全技術(shù)應(yīng)用最廣泛的公鑰基礎(chǔ)設(shè)施PKI（PublicKeyInfracture)等，PKI建立在公鑰密碼學(xué)基礎(chǔ)上，主要包括加密、數(shù)字簽名和數(shù)字證書等技術(shù)。數(shù)字證書的安全性主要依賴于CA（CertificateAuthority）私鑰的安全性。對數(shù)字證書的管理，可通過數(shù)據(jù)庫服務(wù)器提供在線信任證書倉庫，為用戶存儲并短期提供信任證書。用戶可從不同入口接入格，使用格提供的服務(wù)。利用PKI技術(shù)，格系統(tǒng)只對用戶一次認(rèn)證，就可訪問多個節(jié)點(diǎn)資源。通過代理證書和證書委托，可為用戶創(chuàng)建一個用戶代理，并又可在中心節(jié)點(diǎn)創(chuàng)建新代理，形成一個安全信任鏈，實(shí)現(xiàn)節(jié)點(diǎn)間信任傳遞與單點(diǎn)登錄。（2）格中的授權(quán)將屬于不同獨(dú)立組織的資源和人員進(jìn)行組織，創(chuàng)建一個虛擬組織（VirtualOrg