网格安全认证模型设计
杨阳，张永平**
作者简介：杨阳，（1988-），女，硕09 级，主要研究方向：网络安全。
通信联系人：张永平，（1958-），男，副教授，主要研究方向：网络安全. E-mail: zhangyongping@163.com
（中国矿业大学计算机学院，江苏 徐州 221008）
5 摘要：网格是可以动态共享和协同计算的资源集成，它通过高效的组织分布在不同位置的闲
置资源，来提供超强的数据处理能力。传统网络安全认证技术发展比较成熟，应用最广泛的
是Kerberos 认证机制和基于X.509 证书的认证机制。但这两种机制都无法直接单一的应用
在网格环境下。本文设计一种层次域的认证模型，将网格环境分为三个层次：一级信任域、
二级信任域和三级信任域。
10 关键词：网格安全；认证模型；Kerberos；KX.509
中图分类号：TP393
 0 引言
信息时代的来临，海量的数据需要通过网络来传输和处理。面对日益增多的计算机数量
和通过计算机来存储、处理的数据，如何处理这些数据将是一个很大任务。尤其在现代复杂
30 的处理环境和高要求的处理目标下，高效的计算和运用网络资源与信息已经成为了当下最热
门的研究方向之一。在这种形势面前，网格技术应运而生，它采用一种新思路来改变传统网
络环境中存在的问题。网格是吸收各种分布在不同地理位置的高性能计算机、数据库等各种
计算资源，通过互联网技术组成动态共享和协同计算的资源集成[1]。
网格安全包含着不同层次和不同方面的安全策略，而网格安全的第一道防线——认证
35 [2]，是攻击者想发起攻击必须通过的第一道关，这步对于整个组织的安全都起着极为关键的
作用，甚至可以说认证是网格安全的第一道、也是最重要的一道防线，更是网格安全的最基
础保障。认证主要作用是对访问资源的用户身份已经通过资源的消息来源和内容进行验证。
简单的说，认证分为身份认证和消息认证[3]。消息认证通过对消息源、消息内容以及消息时
间性的鉴别来保证消息的真实性和完整性；身份认证是对终端用户的身份进行识别和验证，
40 防止非法用户对计算机或网络系统的未授权访问。目前万维网通过访问控制机制等技术来实
现认证，但在用户间、系统间相互认证等方面还存在着很多的缺陷与漏洞，对于网格的发展，
当务之急是解决好现有问题的同时尽快的找到更适合网格环境下的安全模型和安全策略。
 1 网格认证机制
网格环境与传统的网络相比资源丰富、动态性强、节点虚拟化，并且服务请求者和服务
45 提供者的身份完全隐藏，不同的环境下实体可以用户，也可以是资源的提供者，也就是说同
一个用户在不同的环境中可能有不同的身份，每个用户的身份都是实时动态变化的。本章主
要研究网格环境下认证的模型和认证的技术，尤其对用户的身份认证进行分析。
1.1 网格认证的需求
认证，是指对用户身份或消息来源及内容的验证[3]。网格环境下的认证有着更高更灵活
50 的要求，它既要满足因特网的安全需求，也要顾及到网格环境本身的特殊性。通过对网格环
境的研究，可以将认证内容主要划分为以下几个方面：
(1) 网格中每个节点的安全
网格环境下，最基础的组成部分便是各个节点，节点的安全制约着节点组合的安全。节
点代表了不同种类不同层次的计算资源，资源种类和层次不同，使得对于认证安全的要求也
55 不尽相同。网格中用户的数量众多，而且同一用户的身份也是动态变化的，用户在登录或访
问单个节点时，如何实现其身份的统一管理和认证是十分必要的。允许合法的用户使用资源，
拒绝非法用户访问、破坏资源，这是保护节点安全的基础[4]。
(2) 节点与节点间的通信安全
信息在节点与节点之间进行传输时，最容易发生的威胁又：信息泄露、信息截获、信息
60 篡改和信息假冒等。如何防止这些安全威胁来保证信息的完整性和可靠性非常重要。网格提
供和交互的就是服务，服务靠服务序列来定义和组合，因此必须提供信息的加密和安全传输
机制。
(3) 资源的访问权限验证
网格中各种资源来为用户提供服务，它具有不同的访问授权级别，不同的用户对同一个
65 资源有着不同的使用权限，访问网格中的资源需要由每个资源的授权策略来控制。
网格环境下对系统的可扩展性、灵活性等方面更高的要求给认证提出了新的挑战，根据
网格的特殊性可以将网格对认证的需求分为以下几个部分：身份一站式认证、资源认证、代
理、协同认证以及基于用户的信任关系等[5]。本文将主要对用户身份认证进行研究。
1.2 传统认证模型
70 认证模型的框架可以反映一个系统的复杂程度，通常对于结构比较简单网络环境，可以
采取比较规整的认证模型，这样便于统一的管理；相对而言，若网络环境比较复杂，则需要
复杂的认证模型来与之对应。
比较常用的几种认证模型有：
(1) 集中式层次CA 模型
75 集中式层次以Root CA 为根节点，其他各层的叫做子CA，根节点在上层，子CA 连接
着Root CA 一层层像树叶一样向下延伸，最终延伸到的叶节点就是终端用户。其中根节点
Root CA 也称作认证起点或“信任锚”(trust anchor)，具有最高的认证权限，可以为下层任
何的子节点和叶节点用户和资源提供认证，同时它也是结构中所有实体唯一信任的节点[6]。
(2) 多CA 结构模型
80 顾名思义，多CA 结构模型与集中式模型最大的区别就是不再单纯的只依赖于一个Root
CA，而且该模型不像集中式像树那样着重在深度上进行延伸，而是在广度上进行扩展。多
 CA 结构简单的分为两层：一层是CA，一层是终端用户，每个终端用户由一个CA 来验证，
每个CA 可以对多个终端用户进行验证。
(3)混合交叉认证模型
85 混合交叉认证模型是常用模型中最复杂的一种，它结合了集中式层次认证模型和多CA
认证模型的优势，即存在多个独立的Root CA，其独立的CA 模型类似于一个小的集中式层
次模型，完全具有它的树形结构；各个独立的CA 模型间又需要进行相互认证，此时把独立
的集中式层次模型看成一个整体，它就成了一个多CA 认证模型。该模型中，交叉认证是针
对Root CA 而言，而对于所有非Root CA 之间的节点是不能进行交叉认证的[7]。
90 2 网格认证模型改进设计
2.1 认证模型的需求
本文在KX.509 方案的基础上，设计一种基于Kerberos 认证和X.509 认证的交叉模式，
对于不同域之间寻找一种互相访问的机制。这就将整个模型划分为域内与域间，不同的域内
独立的可以使用Kerberos 认证或X.509 认证，但在异构的域间用户身份需要转变时，模型
95 需要为用户完成域间的身份映射，也称为域间实体身份映射。为了完成域间信任证书的转换，
需要考虑以下几个因素：
(1) 由于不同信任域内的证书格式不同，因此模型需要对证书格式进行转换。当Kerberos
域访问到X.509 证书域时，Root CA 读取Kerberos 的票据信息，然后转化生成X.509 证书；
当X.509 证书域访问Kerberos 域时，Kerberos 结构中的KDC 需要读取X.509 证书信息，然
100 后转化生成票据[8]。将Kerberos 票据转化成X.509 证书在KX.509 方案中已经通过可以KCA
来实现，而如何将X.509 证书转换成Kerberos 票据将是模型改进的重点。
在网格环境下，当完成一项服务需要涉及多个不同的域时，重复必须的域间转换将会给
网格系统造成计算负担。
(2) 网格环境下不同的信任域间拥有公钥证书的，通过PKI 公钥来认证；若不同域拥有
105 不同的证书或票据时，还需要对证书及票据的有效性进行验证。X.509 的证书有效性与模型
信任的证书有关[9]，Kerberos 票据由KDC 来管理，负责保存和更新，多种信任域的证书鉴
别需要在域间相互进行认证之前完成。
2.2 改进认证模型的提出
通过以上对网格环境下认证模型的需求分析，可以分析出：单纯的使用集中式层次CA
110 模型、多CA 结构模型或混合交叉认证模型都不是可行的。集中式层级CA 模型在用户和资
源数量过多的环境中，需要管理庞大的数据库和证书库，计算量和复杂度都是难以控制操作
的；混合交叉认证模型无法满足网格环境下动态和实时变化的特点，因为它需要根据服务提
供的不同，来重新不断的组织资源，每一次资源之间的重新接入接出以及组合路径的选取都
是十分复杂而难以高效率完成的。因此本文设计的模型主要在借鉴了KX.509 模型的基础上，
115 提出一种层次域的认证模型，其模型框图如下：
 图1 层次域认证模型
Fig.1 The layer-based hierarchic certificate model
120 改进的层次域认证模型中，主要分为三个层次，分别定义为：一级信任域、二级信任域
和三级信任域，其中一级信任域也称为根信任域。根信任域具有最高的认证权限，它好比集
中式层次模型中的Root CA，是整个网格环境中最基础和最高权限的认证中心，它对二级信
任域中的资源和用户提供认证。二级信任域中划分为两大认证中心，即Kerberos 协议信任
域和PKI 证书信任域，这两大域的分类按照认证的核心协议来分，为了方便统一而分类的
125 管理，这两大域之间的认证需要满足双向性，利用KX.509 方案，可以将Kerberos 票据转换
为X.509 证书，从而完成PKI 证书信任域对Kerberos 协议认证域的认证，而反向的认证则
需要由上层的一级信任域来完成。三级信任域主要是本地的同一认证方式域内的终端用户间
的认证组合，本文将会分析Kerberos 域内不同终端用户间的认证过程，同时，还将对Kerberos
协议认证域内Kerberos 协议的安全性进行分析及改进，提出一种抗口令猜测攻击的Kerberos
130 改进协议来提高认证的安全性。
海量的三级信任域主要负责不同实体资源间的认证，根据其证书的类型划分成的二级信
任域则主要完成Kerberos 协议组对PKI 提出的认证请求，而一级信任域则主要负责PKI 证
书组对Kerberos 协议组提出的认证请求。
在该模型中，根据认证过程中域之间是否进行交互，可以分为域内认证和域间交互两个
135 过程。一级信任域中需要寻找方案完成Kerberos 协议组对X.509 证书的认证，解决如何将
X.509 证书转化为Kerberos 票据这一问题。而二级信任域根据用户使用的证书策略分为了
学术论文网Tag：代写硕士论文 计算机论文 代发论文 职称论文发表