制造网格资源调度及安全性管理
2008-07-07
作者:周永利, 陈英武
摘 要:根据制造网格" title="制造网格">制造网格发展的现状和方向,分析了网格资源调度" title="资源调度">资源调度的主要方法,并对Globus环境下的GSI体系结构做了深入研究,分析讨论了其任务提交执行过程和架构特点,对现有的GSI架构基础做了相关改进,构建了一个满足制造网格下部分特性的安全体系结构" title="安全体系结构">安全体系结构M-GSI,实现了实时认证和强授权功能,满足了制造网格部分安全需求。
关键词:制造网格? 资源调度? 安全体系结构? 认证? 授权
制造网格是为企业和社会资源的共享和整合以及企业管理提供的一个集成的环境。通过网格以及其他相关的计算机和信息技术,制造网格能够对不同企业、不同群体的设计、制造、管理、信息、技术以及软件资源进行集成和整合,从而屏蔽由于不同种类、不同区域分布所带来的不便。它不仅能够透明地为客户提供多种制造服务,还能够使企业和个体方便地根据需求获得制造服务的所有服务,使他们能够像使用本地资源一样方便。它对各种各类的资源进行最优化整合,并且为面向数字制造业的相关专业服务的制造网格应用系统提供一个协作工作的平台。
??? 通过制造网格提供的服务,用户能够像今天获取网络信息一样获取各种制造服务。在制造网格的支持下,能够建立面向企业的专业制造所要求的专业应用系统,用来协调企业的设计、制造和相关事物。基于制造网格,将来的企业,甚至个人都能够像人们每天用水、用电、用气一样方便地获得网络上的各种制造服务。由于制造业服务不同于其他网络信息服务,所以制造网格必须具有交互性、实时性、多方协作性、长期的生命周期、数据集成、复杂的功能和结构、高度专业性、基于知识的特点。
1 制造网格的体系结构
制造网格是在因特网、网格及其他相关技术的基础上建立的一个用于制造业的虚拟网络。因特网构成了制造网格的物质基础。制造网格的构建和操作模型与今天的因特网有很多相似的地方。制造网格为制造业企业和个人提供制造业的相关服务,而因特网提供信息服务。另一方面,制造网格为服务之间提供协作以达到企业之间的协调。因特网、内部网以及外部网提供的基础网络连接、制造网格资源实验室、基础架构平台系统和制造网格操作管理系统等,各种各样的资源能够在制造网格上共享和整合。可以建立一个区域性的制造网格系统,然后将不同区域的制造网格结合在一起,构建一个提供制造服务的一整套制造网格系统。制造网格的体系结构如图1所示。
2 资源调度策略
??? 资源调度是资源管理的核心部分, 无论是特定任务的执行性能, 如时间、费用等, 还是整个系统的吞吐率、资源利用率都受到资源调度质量的决定性影响。同时资源调度也是资源管理中极其繁琐复杂的问题。资源调度的基本原则是为保障资源完成尽可能的任务服务, 不能出现死锁是其基本要求, 还要考虑资源在时间和空间上的搭配。目的是为了完成用户提交的任务,满足用户提出的要求, 把网格中所有可用资源(计算资源、存储资源和网络资源等) 进行匹配, 找到最合理的资源分配方式和资源调度策略。目标是各个主机能够得到适合自己的任务, 并且几乎能够同时完成任务。
??? 现有的调度策略主要有两种: 集中式调度和分布式调度。集中式调度是指在网格中只有一个调度中心负责网格中所有资源的调度。分布式调度则在网格中有多个调度, 调度中心比较容易掌握所有的资源, 对于一个任务的请求可以高效地产生资源调度方案。分布式调度的优点是其健壮性、可靠性和可用性, 但是当各个调度中心之间没有高效的吞吐率或者通信量比较大时, 由于不能掌握网格中的所有资源, 所以很难找到全局最优的资源分配方式。较优的资源分配方式是集中式调度与分布式调度相结合。
3 制造网格环境" title="网格环境">网格环境下的安全策略
??? 制造业要长远地发展,必须面对网络化、知识化、服务化的挑战。数字制造的产生与发展提供了一种很好的解决方案,己经成为必然发展趋势。数字制造因其最具特色的频繁交互性、多方协作、分布式等特性,现有技术很难统一解决,而目前正在广泛展开研究的网格技术具有的开放性、异构性和动态性,正好符合制造业的要求。制造网格的研究正在逐步展开,安全作为网格的一个首要因素和基础,对确保制造网格的顺利发展起着至关重要的作用。
3.1 制造网格环境下的安全需求
??? 在制造网格安全" title="网格安全">网格安全设计中,需要综合考虑制造业和网格的特性,在结合二者的特性进行分析后可知,制造网格环境下的安全需求应为:支持用户的“单一登录”,包括跨多个资源和站点的计算所进行的信任委托和信任转移;由于制造网格环境下的用户与用户之间、用户与服务之间都需要频繁的交互,这就要求加强传输的安全,并且在保证安全的情况下尽量减少繁琐的认证过程;服务一般需要较长的运转周期,所以应该尽可能采取灵活的认证和授权机制; 由于制造服务通常是基于特定专业领域的,应该需要支持跨虚拟组织边界的安全,并且采用分领域管理的安全系统; 制造服务的另一个特点就是实时性,它要求制造服务必须实时地对设备和设计单元做出反应并对客户的要求及时做出回应,因此在安全策略的研究中要充分考虑这一特性;制造网格的频繁变更性,需要系统有良好的扩展性和自主性。
3.2 基于GSI的制造网格安全架构(M-GSI)的研究
??? 随着越来越多的公司开始将网格视为一种改进资源利用和计算能力的途径,多家行业组织开始研究网格安全问题。Globus联盟由多家机构组成,包括Argonne国家试验室、芝加哥大学和南加州大学信息科学学院。该组织开发了Globus工具包,这种工具包用于设计和实现网格环境中的安全通信、相互认证和单点登录。
??? Globus工具包以“网格安全基础设施标准”的一种开放源代码实现为基础,但增加了对单点登录和委托管理的支持。全球网格论坛(GGF)也正努力在Globus联盟的开放网格服务架构内开发安全规范。为了使网格技术更好地在制造领域发挥作用,笔者基于现有的较为成熟的GSI(Grid Security Infrastructure)体系结构,对其进行了多方面的改进,充分利用现有的安全手段,提出了一个基于GSI的网格安全体系模型M-GSI。
??? 制造网格安全体系结构如图2所示,用户通过自己的CA证书创建用户代理,并产生有一个生命周期的代理证书。然后,由用户代理以用户角色与计算中需要访问的资源站点进行交互。一旦用户代理被创建,用户就可以断开连接,从而实现用户单一登录的需求。在一次计算中,用户代理可能需要访问多个站点上的资源,图2中的矩形框表示访问的资源站点可以是多个,并且在资源访问过程中可能需要启动许多进程,这些进程都需要在一定程度上代表用户角色参与相关的操作,它们都是主体。资源代理服务器主要是与远程用户代理进行相互身份鉴别,处于不同的域。资源代理服务器根据本地安全策略将远程主体表明的全局角色映射为本地的局部角色,产生本地标识、安全信任证书和受限代理,实现了委托局部的授权和委托。在本地创建进程,访问本地资源。
??? 本体系结构在GSI的基础上,增加了分布式授权认证中心DAC服务器、CA子系统以及CVS子系统。DAC服务器基于数字证书和属性证书的身份认证、授权控制机制,较好地解决了强认证和强授权问题。CA服务器是整个系统中的重要组成部分,它完成了证书的签发以及所有其他涉及证书的管理功能。CA数据库是整个系统中数据存储和交互的核心部分。CVS为整个证书域的用户提供了本地认证、非实时在线认证以及实时在线认证三种证书认证方式,满足了用户对认证的不同需求。这种改进的安全体系结构能够很好地实现数字制造网格中要求的频繁交互、授权灵活及实时认证等功能。
3.3 制造网格环境下安全体系结构的比较
??? 通过改进的网格安全体系结构M-GSI与现有的GSI安全体系结构的比较,如表1所示。
??? 从表1可以看出,M-GSI和GSI都是基于现有的安全技术,经改进后的M-GSI安全体系结构加强了制造环境下需要的实时认证功能、强授权功能,授权和认证方式更加灵活,能够在制造网格中有其独特的优越性。
4 分布式授权及实时认证的设计与实现
??? 授权与认证体系在保证网络安全通信中起到了至关重要的作用。授权是由其中一方决定另一方可以拥有的权限;认证是一方验证另一方的身份是否合法或是否得到合法的授权,若认证通过,则允许其使用授权方指定的权限,否则拒绝其申请。将授权与认证相结合,为网络中的安全通信提供了基础保证。在网格环境中,保证通信与服务的安全可靠同样依赖于授权与认证机制,不仅如此,网格环境具有许多特殊性,包括网格中用户与资源的动态性以及申请释放资源等操作的动态性。因此,在制造网格环境下,对系统的高可扩展性,灵活性等方面有更高的要求,这也给授权与认证方面的研究提出了更深入的课题。
4.1 CA认证子系统的设计
??? CA认证子系统按功能分为以下模块:系统配置模块、证书管理模块、证书及CRL发布模块、输入/输出模块、在线证书查询模块。各个模块间组成关系如图3所示。
??? 证书管理模块是整个CA系统的核心模块,它完成了几乎所有的证书管理工作。所有的证书请求、证书和证书注销列表均保存在系统的内部数据库中,同时可以通过发布模块将证书和CRL发布到其他证书库中。输入/输出模块负责与用户进行交互,接受各种证书请求,并在证书管理模块处理完成后作出响应。系统管理员通过系统配置界面对系统的各项参数进行配置,配置策略存储在策略服务器中。
4.2 CVS子系统
??? 为了使证书的使用更加方便,专门设计了一个在线证书服务器系统CVS。在线证书认证服务器为整个证书域的用户提供了方便的证书认证服务,简化了证书的使用。提供了三种证书认证方式,分别为本地认证、非实时在线认证以及实时在线认证,满足了用户对认证的不同需求。CVS本身的数据库和CA数据库共同构成认证支持数据库。
4.3 具有强授权特性的DAC子系统
??? 基于数字证书和属性证书的身份认证、授权控制机制解决了强认证和强授权问题,也存在大量需要进一步解决的复杂问题,如信任体系的构建模型、密钥周期的管理、证书密钥的有效注销、复杂属性定义等。该技术虽然比基于对称密码技术的认证具有更多优点,但应用到复杂网格环境中还面临众多挑战。在Globus-GSI设计的网格安全环境中,各种资源的共享是受认证和委托授权控制的,其重点是要解决认证问题,出发点是基于网格环境中的每个用户实现个体认证。
??? 然而网格的应用基本是基于虚拟群组的资源共享,特别是在制造网格这一特定专业领域的网格中,除了解决用户对使用资源的认证之外,还必须解决用户申请资源的授权问题。本文设计的DAC子系统将重点解决虚拟群组用户的形成以及虚拟群组的成员用户在使用其资源时如何得到授权。在方案的实现上,基本上采用Globus-GSI的设计思想,只是在授权方式上进一步完善了思路来源于X. 509协议的PMI框架,并进行了一定的扩展和变形,形成分布式授权认证中心的概念,用于授权问题的解决。分布式授权认证中心的分布式思想来源于Kerbero协议的认证体系模型。
4.4 DAC安全策略
??? 安全框架在Globus-GSI的体系结构中增加了分布式授权认证中心,它与网格环境中的其他实体的关系如图2所示。分布式授权认证中心DAC是整个网格安全框架中用于实现分布式授权的核心机构。该机构建立所属虚拟群组的用户、服务器、资源列表,并维护一个政策引擎,该引擎实现授权政策集合的描述和处理,集合中的每一条记录是一个多元组,其中的元素包括用户、资源、服务类型、行为等。
??? 其功能是通过政策引擎的处理实现资源消费者在向资源提供者申请资源时得到授权服务。分布式授权认证中心介于资源消费者与资源提供者之间,通过交互协议完成基于认证的授权过程。全部授权管理协议包括授权初始化协议和授权操作协议。授权初始化协议描述了用户和资源的初始注册以及DAC服务器政策复制。授权操作协议描述了资源消费者向资源提供者申请资源的过程。
参考文献
[1] TUECKE S, WELCH V, ENGERT D, et al. Internet X.509 public key infrastructure proxy certificate profile.IETF ?RFC 38-20.2004.
[2] 肖凌,李之棠. 公开密钥基础设施(PKI)结构.计算机工程与应用,2002,(10):137-139.
[3] 熊艳,覃俊.SSL协议及其几个安全性问题.中南民族大学学报(自然科学版),2005,24(3):85-88.
[4] 李海成. 解析SSL握手协议.鞍山师范学院学报,2005,7(2):60-62.
[5] FOSTER I, CARL K. Globus: A meta-computing infrastructure toolkit. International Journal of Supercomputer Applications, 1996.
[6] IAN F, CARL K. The grid2: Blueprint for a new computing infrastructure. San Francisco: Morgan Kaufmann Publishers, 1999:20-220.
[7] 都志辉,陈渝,刘鹏. 网格计算.北京:清华大学出版社,2002:60-73.
[8] 任开军,赵西安,张卫民,等.GSI安全策略与Grid Port login实现.装备指挥技术学院学报,2005,16(2):101-105.
[9] IAN F, CARL K, GENE T, et al. A security architecture for computational grids. In: Proc. 5th ACM Conf. on?Computer and Communications Security Conf. 1998.