论文部分内容阅读
虚拟计算模式是继基于大型机的集中式计算模式和基于PC机的分布式计算模式之后的一种新型计算模式,兼具前两种计算模式的优点,并在很大程度上回避了它们的缺点,因而近年来获得了广泛关注.虚拟计算环境以资源共享、分布式协同计算和虚拟化为主要特征,又可进一步分为狭义虚拟计算环境(典型代表是瘦客户端技术)、广域虚拟计算环境(典型代表是网格技术)和开放的虚拟计算环境.其中,狭义和广域虚拟计算环境均已较为成熟,而开放的虚拟计算环境(或称能力计算或效用计算)方兴未艾,尚有许多有待研究的问题,包括安全问题.
曙光4000A是一种面向网格虚拟计算环境的高性能计算机,从体系结构和系统软硬件等多个方面对网格应用提供了支持,其中包括一种称为网格路由器的部件.网格路由器提供了网格资源(以Web Service的形式提供)的注册、查找和路由等功能,同时多个网格路由器还能够互联起来,通过同步机制保持各自资源信息表的一致,构成一个分布式的网格资源管理系统.网格路由器是曙光4000A接入网格环境的桥梁,后者通过网格路由器将自身提供的网格资源注册和发布到外界网格环境中,以及查找和使用其它网格节点提供的网格资源.
网格路由器采用了一种基于网格钥匙的安全机制来提供增强的安全性,并通过全程身份认证动态建立起用户IP与其权限的绑定.在此基础上,网格路由器通过一种多级MAC访问控制机制对用户请求进行细粒度的控制,这种机制中,每个用户都拥有一个私有服务路由表,用于控制该用户的每种服务请求应该由哪些服务节点处理.如果某种服务具有多个可选服务节点,网格路由器在它们之间进行负载平衡.最后,网格路由器还提供了出口代理(NAT)功能,支持内部节点访问外部资源以进行协同计算.
开放的虚拟计算环境与曙光4000A有许多相似之处,包括资源的共享性、任务的动态性和私有性等,因此网格路由器的设计思想在解决开放的虚拟计算环境中的安全问题时仍然有效.但后者面临更加严峻的内部安全问题,由于系统允许用户在资源池内部创建任意的计算任务,因而资源池不再构成一个封闭的安全子网,进而任意两个节点间都产生了身份认证和通信保护等安全需求.在解决上述安全问题时,系统的可管理性和通信性能成为一对主要矛盾,目前还没有很好的解决方案.此外,在开放的虚拟计算环境中,网络拓扑的复杂性也是安全体系所要面临和解决的问题.
在借鉴相关领域的安全技术研究成果的基础上,结合开放的虚拟计算环境的具体需求,我们提出了以下五项具有创新性的安全技术:
1)分布式访问控制.我们引入了一个集中的授权检查中心,并将一次服务访问流程划分为两个阶段:在第一阶段,授权中心对请求节点进行授权检查,并生成一个访问上下文和一个请求上下文分别发布给请求节点和服务节点,这一过程称为信道协商.其中访问上下文用来对服务通信进行保护,请求上下文除了具备同样的功能外,还作为访问控制规则用于对访问请求进行过滤;在第二阶段,请求节点与服务节点直接通信,并利用已获得的上下文对通信数据进行过滤和保护.这种半分布式结构既能够简化系统的授权管理,又能够有效消除通信瓶颈.为了加速连接的建立并减少无效协商的次数,我们还引入了上下文的复用机制和奇点上下文技术;
2) 安全的传输协议TIPSec.该协议基于访问/请求上下文所包含的信道参数对服务通信进行加密和认证保护.所有上下文均通过上述三方信道协商过程生成和发布,解决了不具有直接链路的两个通信实体进行信道协商的难题.TIPSec工作在操作系统内核中,支持对多种应用通信的透明保护,同时,它采用了一种应用层封装形式,即经过TIPSec封装后的数据包和普通的TCP/UDP包没有区别,因而通信路径上的地址转换设备可以对加密数据流进行快速的转发;
3) 基于服务的路由.服务路由在TIPSec协议独特的封装格式的支持下,提供了两个无法直接通信的节点间的高效的间接服务通路.我们采用了一种基于端口分布的技术进行快速的服务节点定位.在任何一次次三方信道协商中,如果授权中心检测到请求节点无法与服务节点直接通信,它会对目标服务进行一次重定位,即生成一个临时的访问端口并建立该端口与真实服务进程之间的映射,随后请求节点对该代理端口的连接请求将被快速转发给相应的服务节点:
4) 全生命周期的认证.每个节点定期与授权中心进行双向身份认证,这一过程有以下三个重要作用:a) 使授权中心能够动态学习到每个节点的网络配置,为信道协商和服务路由提供必要信息;b) 使授权中心能够迅速探测到节点故障并采取相应处理,确保系统的稳定运行;c) 在复杂的网络结构中,身份认证所使用的传输信道还解决了多种控制信息(如上下文等)的实时发布问题.
5) 动态授权.支持对动态创建且运行位置不确定的服务进程的访问控制.我们提供了一套编程接口库和一个动态授权服务用于执行动态授权操作,其中,编程接口库用于获取进行动态授权所需的必要信息,动态授权服务用于完成对授权数据库的修改.对动态授权服务的访问同样受上述分布式访问控制系统的保护,这种策略保证了动态授权操作的安全性.