網絡的出現�,改變了人們使用計算機的方式����,而Internet的出現�,又改變了人們使用網絡的方式����������?v觀互聯網的發展歷程�����,Internet技術和Web技術的主要成就是實現了計算機和網頁的連通�����,提供收發郵件�����、瀏覽和下載網頁信息等相關服務��,它所關注的問題是如何使信息傳輸流量更大�����、傳輸速度更快���、傳輸更加安全�。而網格技術則關注如何有效安全地管理和共享連接到Internet上的各種資源����,并提供相應的服務�,網格所關注的問題無論從范圍��、程度還是本質上都已經與互聯網所關心的互連問題有了很大的不同����。網格在連通計算機和網頁的基礎上�,還將各種信息資源��,例如數據庫����、軟件以及各種信息獲取設備都連接成一個整體�����,整個網絡如同一臺巨大無比的計算機�����,向每個用戶提供包括計算能力�����、數據存儲能力以及各種應用工具等一體化的透明服務�。它強調的是全面地共享資源�、全面地應用服務����。目前的技術還沒有實現資源層面的全面共享����,只是信息的傳輸�����,所以屬于網絡技術�����,而非網格技術�������;ヂ摼W新一次浪潮的實質�����,就是要將萬維網(World Wide Web)升華為網格(Great Global Grid)��,即實現WWW到GGG的變革����。
網格作為一個集成的計算與資源環境����,能夠吸收各種計算資源����,將它們轉化成一種隨處可得的����、可靠的�、標準的且相對經濟的計算能力�����,其吸收的計算資源包括各種類型的計算機�、網絡通信能力�����、數據資料����、儀器設備甚至有操作能力的人等各種相關資源���������!
網格是借鑒電力網的概念提出的���,網格的最終目的是希望用戶在使用網格計算能力解決問題時像使用電力一樣方便�,用戶不用去考慮得到的服務來自于哪個地理位置����,由什么樣的計算設施提供�����。也就是說����,網格給最終的使用者提供的是一種通用的計算能力��。
電力網中需要有大量的變電站等設施對電網進行調控�,相應的網格中也需要大量的管理站點來維護網格的正常運行���。網格的結構及資源的調控將更復雜����,需要解決的問題也更多��。因為網格所關心的問題不再是文件交換����,而是直接訪問計算機����、軟件����、數據和其他資源����。這就要求網格具備解決資源與任務的分配和調度�����、安全傳輸與通信實時性保障��、人與系統以及人與人之間的交互等能力�����。網格提供的資源是隨時間動態變化的��,原來擁有的資源或者功能�����,在下一時刻可能就會出現故障或者拒絕被使用��,而原來沒有的資源��,可能隨著時間的進展會不斷加入進來�。
一����、網絡的典型體系結構
網格技術不斷地發展使人們逐漸地意識到了網格體系結構的重要性��。網格體系結構用來劃分系統的基本組件���,指定系統組件的目的和功能��,說明組件之間如何相互作用�����,規定了網格各部分相互的關系與集成的方法������?梢哉f��,網格體系結構是網格的骨架和靈魂��,是網格技術中最核心的部分�����。
1.五層沙漏結構
五層沙漏結構是一種早期的抽象層次結構��,以“協議”為中心�����,強調協議在網格的資源共享和互操作中的地位��。通過協議實現一種機制�����,使得虛擬組織的用戶與資源之間可以進行資源使用的協商�、建立共享關系��,并且可以進一步管理和開發新的共享關系���。這一標準化的開放結構對網格的擴展性�����、互操作性���、一致性以及代碼共享都很有好處�����。
五層結構之所以形如沙漏��,是由各部分協議數量的分布不均勻引起的����?紤]到核心的移植����、升級的方便性����,核心部分的協議數量相對比較少 (例如Internet上的TCP和HTTP)��,對于其最核心的部分�����,要實現上層協議(沙漏的頂層)向核心協議的映射���,同時實現核心協議向下層協議(沙漏的底層)的映射����。按照定義���,核心協議的數量不能太多���,這樣核心協議就成了一個協議層次結構的瓶頸���。在五層結構中�,資源層和連接層共同組成這一核心的瓶頸部分��,它促進了單獨的資源共享�����。
2. 開放網格服務結構
開放網格服務結構OGSA是Global Grid Forum4的重要標準建議,是目前最新也最有影響力的一種網格體系結構�����,被稱為是下一代的網格結構����。OGSA的目的就是要將Grid的一些功能�����,更確切的說是Globus的一些功能融合到Web Service這個框架中����。與前期網格不同的是�����,OGSA是面向服務的結構�����,將所有事務都表示成一個Grid服務���,計算資源���、存儲資源���、網絡�����、程序���、數據等都是服務�,所有的服務都聯系對應的接口�����,所以�,OGSA被稱為是以服務為中心的“服務結構”�����,通過標準的接口和協議支持創建����、終止���、管理和開發透明的服務�,其發展象征著Web Service的一個進步�,結合目前的Web Service技術��,支持透明安全的服務實例���,OGSA有效地擴展了Web Service架構的功能��。五層模型與OGSA都相當重視互操作性�,但OGSA更強調服務的觀點��,將互操作性問題轉化為定義服務的接口和識別激活特定接口的協議���。這一面向服務模型具有很多優點��,環境中的所有組件都是虛擬化的�,通過提供一個所有Grid服務實現基礎的一致接口的核心集�����,可以使得分級的���、更高級別的服務的構建能夠跨多個抽象層以一種統一的方式進行處理���。虛擬化還促使從多個邏輯資源實例到同一物理資源的映射�����,不考慮實現的服務組合���,以及一個VO內的基于低級資源組合的資源管理���。正是Grid服務的虛擬化加強了通用服務語義行為無縫地映射到本地平臺設施的能力�。
二�、網格協議Globus工具包
由于現在的互聯網結構并不是針對網格計算設計的�,為了使網格計算和現有的結構兼容�����,一個可擴展的中間件是必需的��,也就是基于操作系統之上的網格管理軟件����。在網絡化應用成為主流的時代��,單機操作系統如NT����、Windows等的地位已經降低���,網格管理軟件實際上是更高層次的網格操作系統��,其核心技術主要是一體化的信息平臺��、語義網站�����、智能代理和知識本體技術等���。建立網格服務的協議與標準是網格發展的重點和難點�。Globus項目是目前國際上最有影響力的與網格計算相關的項目之一�����,是來自世界各地關注網格技術的研究人員和開發人員共同努力的成果���。它是圍繞四種主要活動來組織的:研究��、軟件工具���、實驗臺和應用程序��。Globus對資源管理安全�、信息服務及數據管理等網格計算的關鍵技術進行研究���,開發能在各種平臺上運行的網格計算工具軟件�,幫助規劃和組建大型的網格實驗平臺���,開發適合大型網格系統運行的大型應用程序���。Globus工具包是Globus最重要的實踐成果�,它是一個開放源碼的關鍵Grid協議的參考實現�����,支持大量的主要的電子科學項目���。該工具包基于開放結構���、開放服務資源和軟件庫并支持網格和網格應用�����,致力于安全�、信息發現�����、資源管理�、數據管理�����、通信錯誤診斷等問題����。Globus的網格計算協議是建立在互聯網協議之上的��,以互聯網協議中的通信�����、路由���、名字解析等功能為基礎��。Globus的協議分為5層:構造層��、連接層�、資源層��、匯聚層和應用層�����。上層協議可調用下層協議的服務�����。網格內的全局應用都通過協議提供的服務來調用操作系統����。Globus工具包包括網格安全���、網格信息獲取與分布�����、網格資源管理及網格遠程傳輸等內容��,這些都是網格開發中的關鍵技術和必須解決的重要問題�。
三����、網格核心技術
為解決不同領域復雜科學計算與海量數據服務問題�����,人們以網絡互連為基礎構造了不同的網格��,有代表性的如計算網格��、拾遺網格�����、數據網格等�,它們在體系結構和需要解決的問題類型等方面不盡相同��,但都需要共同的關鍵技術����,主要有如下幾種:
高性能調度技術 在網格系統中���,大量的應用共享網格的各種資源����,如何使得這些應用獲得最大的性能�����,這就是調度所要解決的問題����。網格調度技術比傳統高性能計算中的調度技術更復雜���,這主要是因為網格具有一些獨有的特征����,例如�,網格資源的動態變化性���、資源的類型異構性和多樣性�、調度器的局部管理性等���。所以網格的調度需要建立隨時間變化的性能預測模型�,充分利用網格的動態信息來表示網格性能的波動���。在網格調度中��,還需要考慮移植性�����、擴展性�、效率�、可重復性以及網格調度和本地調度的結合等一系列問題����。
資源管理技術 資源管理的關鍵問題是為用戶有效地分配資源�����。高效分配涉及到資源分配和調度兩個問題�,一般通過一個包含系統模型的調度模型來體現��,而系統模型則是潛在資源的一個抽象�,系統模型為分配器及時地提供所有節點上可見的資源信息��,分配器獲得信息后將資源合理地分配給任務�����,從而優化系統性能���。
網格安全技術 網格計算環境對安全的要求比 Internet的安全要求更為復雜���。網格計算環境中的用戶數量����、資源數量都很大且動態可變���,一個計算過程中的多個進程間存在不同的通信機制����,資源支持不同的認證和授權機制且可以屬于多個組織��。正是由于這些網格獨有的特征��,使得它的安全要求性更高��,具體包括支持在網格計算環境中主體之間的安全通信�����,防止主體假冒和數據泄密����;支持跨虛擬組織的安全����;支持網格計算環境中用戶的單點登錄���,包括跨多個資源和地點的信任委托和信任轉移等���。
四��、網格安全
網格以Internet作為通信支撐平臺����,而Internent是一個開發性���、異構性極大的公共網絡�����,這就使得在Internet上運行的網格作業面臨著各種各樣的安全威脅����,如數據被截取�����、信息的內容被篡改或刪除��、假冒合法用戶和服務器等等���。因此���,在網格環境中����,需要采取各種有效的安全措施��,確保系統安全��。網格是一個異構的環境����,用戶和資源數量龐大����,動態可變���,而且可屬于多個組織����。網格作業可在其執行過程中動態地申請�����、啟動進程和申請�����、釋放資源�,而且資源可能需要不同的認證和授權機制���,這些機制和策略的改變是受限制的��。這些網格特性決定了網格安全必須是標準的���、自治的����、可擴展的和透明的�����。因此����,網格安全研究就要求:支持在網格環境中主體之間的安全通信��,防止主體假冒和數據泄密�����;支持跨虛擬組織邊界的安全����,避免采用集中管理的安全系統����;需要支持網絡用戶的“單一登錄”�,包括跨多個資源和站點的計算所進行的信任委托和信任轉移����。
目前�,網格安全的實現主要是Globus的安全基礎構件包GSI(Grid Security Infrastructure)��,GSI支持用戶代理����、資源代理���、認證機構和協議的實現�����。但網格安全仍然存在問題需要研究:
1)現有系統和技術的集成:現有系統與技術的集成需要網格安全體系結構對現有安全體系結構和跨平臺����、跨主機模式進行集成�。
2)不同主機環境之間協同工作:一個網格作業���,往往需要訪問多個不同的站點才能獲得所需的資源���。這需要域和主機環境的服務能夠交互�,協同工作����。協同工作需要域間有嚴格的用戶身份認證機制�,以及安全的通信通道等來保證�。
3)相互交互的主機環境之間的信任關系:網格作業需要跨越多個安全域�,這些域中的信任關系在點對點的跨越中起著重要的作用�����。端點間的信任關系需要用策略清楚地進行描述���。網格的動態特性��,使得信任關系很難預先取得��,它需要支持動態的建立���。
為了為網格環境提供標準化的安全服務規范和可靠的安全保障����,我們將從以下幾個方面展開研究:
1)網格安全結構:網格安全結構和模型�;網絡安全協議�;安全通信協議�;加密算法等�。
2)網格安全機制和策略:網格環境中認證����、授權�、訪問控制���,單一登錄�����;跨域的動態信任等����。
3)網格安全應用支持:安全審計�����、安全檢測���、入侵監測與報警�����、與防火墻的兼容集成等����。<
