Globus网格的安全架构中的域间访问控制规则和安全可靠的组

*,Globus网格的安,全,全架构中的,域,域间访问控,制,制规则和安,全,全可靠的组,通,通信技术研,究,究,王育峰,Y,2001.12.29,主要内容,1.网格计,算,算系统简介,2.Globus介绍,3.Globus网格,的,的安全架构,介,介绍,4.研究内,容,容,一,、,网格计算系,统,统简介,1.产生背,景,景,2.定义,3.特点,4.系统结,构,构,5.应用,6.研究现,状,状,产生背景,随着高性能,计,计算应用需,求,求的迅猛发,展,展，解决一,些,些超大规模,应,应用问题所,需,需要的计算能力，已不,可,可能在单一,的,的计算机上,获,获得。因此,，,，这就需要,将,将地理上分,布,布、系统异,构,构的多种计,算,算资源通过,高,高速网络连,接,接起来，构,建,建成网络虚,拟,拟超级计算,机,机，以此来,共,共同解决大,型,型应用问题,。,。,定义,将地理上分,布,布、系统异,构,构的各种高,性,性能计算机,、,、数据服务,器,器、大型检,索,索存储系统,和,和可视化、,虚,虚拟现实系,统,统等，通过,高,高速互连网,络,络连接并集,成,成起来，形,成,成对用户相,对,对透明的虚,拟,拟的高性能计算环境，即网,格,格计算系统,，,，这个计算,环,环境是一个广域范,围,围内的无缝,集,集成和协同计算环境。,特点,（1）扩展,性,性：网格计,算,算系统初期,的,的规模较小,，,，随着超级,计,计算机系统,的,的不断加入,，,，系统的规,模,模随之扩大,。,。,（2）系统,多,多层次的异,构,构性：构成,网,网格计算系,统,统的超级计,算,算机有多种,类,类型，不同,类,类型的超级,计,计算机在体,系,系结构、操,作,作系统及应,用,用软件等多,个,个层次上具,有,有不同的结,构,构。,（3）结构,的,的不可预测,性,性：与一般,的,的局域网系,统,统和单机的,结,结构不同，,网,网格计算系,统,统由于其地,域,域分布和系,统,统的复杂使,其,其整体结构,经,经常发生变,化,化。,特点（续）,（4）动态,和,和不可预测,的,的系统行为,：,：在传统的,高,高性能计算,系,系统中，计,算,算资源是独,占,占的，因此,系,系统的行为,是,是可以预测,的,的，而在网,格,格计算系统,中,中，由于资,源,源的共享造,成,成系统行为,和,和系统性能,经,经常变化。,（5）多级,管,管理域：由,于,于构成网格,计,计算系统的,超,超级计算机,资,资源通常属,于,于不同的机,构,构或组织并,且,且使用不同,的,的安全机制,，,，因此需要,各,各个机构或,组,组织共同参,与,与解决多级,管,管理域的问,题,题。,系统结构（,协,协议）,GPIP：GridPublic Information Protocol,GCP：Grid Computing Protocol,GSIP：GridSystem Information Protocol,系统结构（,软,软件）,Our service grid consistsof threepartsof software:the clientside,thenetwork side,and the server side.,应用,（1）桌面,超,超级计算：,这,这些与远程,超,超级计算机,和,和数据库相,耦,耦合的应用,具,具有高端图,形,形处理能力,，,，这种耦合,使,使用户在获,得,得超级计算,能,能力的同时,，,，与计算资,源,源、应用开,发,发人员以及,其,其他用户保,持,持远程距离,。,。,（2）精密,仪,仪器：这些,应,应用将用户,和,和远程超级,计,计算机系统,上,上的望远镜,、,、显微镜以,及,及卫星接收,装,装置相连以,获,获得准实时,的,的数据处理,。,。,应用（续）,（3）协同,环,环境：第三,方,方应用将多,个,个虚拟环境,组,组织在一起,，,，不同地点,的,的用户可以,和,和其他用户,和,和超级计算,机,机模拟系统,进,进行交互。,（4）分布,式,式超级计算,：,：这些应用,将,将多个超级,计,计算机组织,在,在一起，解,决,决一些单机,难,难以处理的,问,问题，或者,将,将问题分解,到,到多台计算,机,机上并行处,理,理。,研究现状,由于网格计,算,算系统具有,扩,扩展性、系,统,统多层次的,异,异构性、结,构,构的不可预,测,测性、动态,和,和不可预测,的,的系统行为,、,、多级管理,域,域等特点，,网,网格计算系,统,统本身存在,着,着很多问题,，,，比如：动,态,态自适应性,问,问题、安全,管,管理问题、,缺,缺乏高效的,程,程序编译模,型,型和执行引,擎,擎等。这些,问,问题的存在,限,限制了网格,技,技术的进一,步,步发展和网,格,格应用的进,一,一步推广。,研究,现,现状,（,（续,）,）,研究,现,现状,（,（续,）,）,网格,的,的研,究,究项,目,目可,简,简单,地,地分,成,成有,代,代表,性,性的,两,两类,：,：,(1)Globus项,目,目,提供,基,基础,的,的软,件,件,集,集成,分,分散,的,的异,构,构资,源,源，,形,形成,一,一个,单,单一,的,的计算环境,。,。其,核,核心,是,是Globus网,格,格计算工具,包,包，,这,这是,一,一个,构,构筑网格,计,计算环境,的,的中,间,间件,，,，提,供,供基,本,本的,资,资源,定,定位,、,、管,理,理、,通,通信,和,和安,全,全等,服,服务,。,。该,计,计算,工,工具,包,包是,模,模块,化,化的,，,，允,许,许用,户,户按,自,自己,的,的需,要,要定,制,制环,境,境。,研,究,究,现,现,状,状,（,（,续,续,）,）,(2),基,基,于,于Java,的,的网,格,格,计,计,算,算,Java,语,语,言,言,和,和,相,相,关,关,技,技,术,术,成,成,功,功,地,地,解,解,决,决,了,了,困,困,扰,扰网,格,格,计,计,算,算的,几,几,个,个,关,关,键,键,问,问,题,题,，,，,如,如,异,异,构,构,性,性,和,和,安,安,全,全,性,性,，,，,另,另,一,一,个,个,重,重,要,要,的,的,优,优,势,势,是,是Java,程,程,序,序,的,的,最,最,小,小,执,执,行,行,环,环,境,境,可,可,以,以,在,在Web,浏,浏,览,览,器,器,中,中,执,执,行,行,而,而,不,不,需,需,要,要,另,另,外,外,安,安,装,装,软,软,件,件,，,，,理,理,论,论,上,上,全,全,球,球,任,任,意,意,一,一,台,台,装,装,有,有Web,浏,浏,览,览,器,器,的,的,机,机,器,器,都,都,可,可,以,以,进,进,行,行,全,全,球,球计算。尽管Java平,台,台还存在,效,效率低等,问,问题，但,它,它无疑将,大,大大影响网格计算模式的发,展,展，使实,现,现全球分,布,布式计算已不再是,一,一个梦想,。,。,研究现状,（,（续）,中国科学,院,院计算技,术,术研究所,做,做了大量,网,网格技术,方,方面的研,究,究工作，,他,他们设计,并,并实现了,国,国家高性,能,能计算环,境,境（NHPCE）,，,，目前从,事,事织女星,网,网格的设,计,计和实现,的,的研究工,作,作。网格,计,计算系统,的,的研究已,经,经成为国,家,家863,项,项目的研,究,究内容。,二,、,Globus介绍,1.Globus,项,项目简介,2.Globus,研,研究方向,3.GlobusToolkits 介绍,项目简介,Globus 项,目,目由The Defense Advanced ResearchProjectsAgency(DARPA)，U.S.Departmentof Energy，The NationalScienceFoundation（NSF,）,），the National Aeronautics and SpaceAdministration,（,（NASA）等,机,机构共同,资,资助。项,目,目的承担,单,单位是Argonne NationalLaboratorysMathematicsandComputer Science Division 以,及,及theUniversityof SouthernCaliforniasInformationSciences Institute,。,。项目开,始,始于1996 年,。,。,项目简介,（,（续）,Globus,是一个研,究,究性的项,目,目，其主,要,要的研究,目,目标有两,个,个：,1,）网格技,术,术的研究,2,）相应软,件,件的开发,和,和标准的,制,制定。同,时,时，,Globus,项目还涉,及,及到网格,应,应用的开,发,发以及,Testbed,的建立。,Globus,项目是一,个,个较为长,期,期的项目,，,，对网格,技,技术进行,了,了深入的,研,研究，并,开,开发了比,较,较成熟的,软,软件,Globus Toolkits,。最近已,经,经开始进,行,行网格的,标,标准化工,作,作。,Globus,项目完成,了,了多篇学,术,术论文，,其,其研究成,果,果在国际,上,上产生了,重,重要的影,响,响，网格,技,技术已经,成,成为高性,能,能计算研,究,究领域中,的,的热点。,研究方向,Globus,项目主要,针,针对以下,几,几个方面,进,进行了研,究,究：,（1）资,源,源管理：,主,主要的工,作,作集中在,通,通信资源,和,和计算资,源,源的命名,和,和定位。,（2）数,据,据管理:,主,主要集中,在,在分布式,环,环境下如,何,何对数据,进,进行管理,，,，特别是,涉,涉及到数,据,据密集型,的,的高性能,计,计算问题,。,。同时提,出,出了,DataGrid,。,（3）应,用,用开发环,境,境:主要,研,研究如何,为,为网格应,用,用，包括,精,精密仪器,、,、显示、,计,计算资源,和,和信息资,源,源提供易,用,用的开发,环,环境和编,程,程语言（,如,如,CORBA,，,JAVA,，,Perl,，,Python,）。,研究方向,（,（续）,（4）信,息,息服务：,主,主要研究,如,如何提供,准,准确、实,时,时的信息,来,来配置计,算,算机、网,络,络以及协,议,议、算法,等,等资源，,实,实现高性,能,能的分布,式,式计算环,境,境。,（5）安,全,全：主要,研,研究如何,在,在多个管,理,理域、多,种,种安全策,略,略，以及,主,主体动态,变,变化的条,件,件下提供,网,网格统一,的,的安全方,案,案。,Globus Toolkits,介,介绍,Globus工具,包,包是一个,构,构筑网格计算环境的中,间,间件，提,供,供基本的,资,资源定位,、,、管理、,通,通信和安,全,全等服务,。,。该计算,工,工具包是,模,模块化的,，,，允许用,户,户按自己,的,的需要定,制,制环境。,利,利用这套,工,工具可以,建,建立计算,网,网格，并,可,可以进行,网,网格应用,的,的开发。,Globus Toolkits,介,介绍（续,）,）,Globus Tookkit 主,要,要包括以,下,下的内容,：,：,（1）安,全,全架构GSI（GridSecuityInfrastructure,）,）,GSI,的,的主要目,标,标为：1,）,）计算,网,网格的通,信,信安全（,安,安全认证,和,和信息私,有,有），2,）,）包含,多,多个管理,域,域的分布,式,式安全系,统,统3）,用,用户的单,一,一登录。,在,在使用公,钥,钥加密、X.509 认证,以,以及安全,传,传输层（SSL,）,）协议并,结,结合Generic Security Service API 的,基,基础上，GSI,实,实现了双,重,重认证和,用,用户的单,一,一登录。,Globus Toolkits,介,介绍（续,）,）,（2）信,息,息架构,MDS,（,（Metaco