一种基于虚拟组织的网格安全协议形式化验证方法

一种基于虚拟组织的网格安全协议形式化验证方法1

赵辉

大连理工大学软件学院（116620）

E-mail：ZhaoHui_SSdut@

摘要：虚拟组织是网格计算的基本管理单元,而协同计算组是虚拟组织形成的基础.对应于网格计算的复杂性,网格安全协议的分析与证明十分复杂.本文通过引入网格计算信道的概念,在传统Strand Space理论的基础上提出了一种基于虚拟组织的网格安全协议形式化验证方法,实现了网格环境下多用户协同计算安全协议的分析与证明。

关键词：网格;协同计算;形式化分析;虚拟组织;Strand Space理论

1. 引言

网格是一个继承的计算与资源环境，它协调分布式资源协同使用，使用标准的、开放的、通用的协议和接口并且能够提供非平凡的服务质量。今天的网格遵循新的网格技术规范WSRF[1](Web Service Resource Framework)，在Web Service的永久无状态服务基础上加入有状态的资源。网格环境下多用户参与的协同计算是网格一个重要的应用方向。

在网格环境中，特别是网格多用户协同计算中，安全协议是保证安全性的一种重要手段。对应于网格计算的复杂性，网格环境下安全协议的分析与证明极为复杂[2]。本文提出了一种基于虚拟组织的网格安全协议形式化验证方法，实现了网格环境下多用户协同计算安全协议的分析与证明。在讨论网格安全协议形式化验证方法之前，先介绍虚拟组织。

网格通过整合分布在局域网或广域网的资源，使之成为一个巨大的虚拟计算机系统，目的是在大量个体、机构组织等之间利用安全、协同式的资源共享，创建一个动态虚拟组织[3](VO-Virtual Organization)。基于这种虚拟动态组织的网格协同计算不仅跨地域，而且延伸到不同的组织、异构的软件硬件平台，为每一个连接到网格的用户提供一个无限的计算能力、沟通协作能力及信息获得能力。在网格协同计算环境下，采用基于虚拟组织的分布式管理模式，它使得作业实体从资源控制、任务调度和管理的复杂工作中解脱出来。为了获得充分而必需的资源，各个VO可以通过使用标准的、开放的、通用的接口进行交互信息，并根据这些信息来协调各自的资源使用策略，避免系统的盲目查找和不合理远程调用的现象，以此大大提高了网格计算的智能性。在地域上分布的异构网格计算环境下能自主地将计算任务从一计算节点迁移到另一计算节点，并可与其它VO组织或资源交互以实现作业和资源的管理和自适应。

2. 相关工作进展

2.1 安全协议的形式化分析方法

安全协议提供安全服务，是保证系统安全性的基础。但是，设计一个符合系统安全目标的安全协议是十分困难的。因此我们必须借助形式化的方法，对安全协议进行设计和分析。自20世纪70年代末期Dolev-Yao模型[28]被提出以来，安全协议的研究已经成为一个热点，有众多的形式化研究方法涌现出来，其中主要有：

(1) 基于知识与信念推理的模态逻辑方法

模态逻辑方法是分析安全协议最直接最简单的一种方法。它们由一些命题和推理规则组1本课题得到国家自然科学基金的资助。

成,命题表示主体的知识或信念，而应用推理规则可以从已知的知识和信念推导出新的知识和信念。

在这类方法中,比较有名的有：BAN 逻辑[4]，GNY逻辑[5]，AT逻辑[6]，VO逻辑[7]及SVO 逻辑[8]，Bieber逻辑[9]，Syverson逻辑[10]，Rangan逻辑[11]， Moser逻辑[12] ，Yahalom，Klein 和Beth的YHK逻辑[13]]以及Kessler和Wedel的AUTOLOG逻辑[14]等。

(2) 基于定理证明的分析方法

这种方法可以分为两类，一类是推理构造方法，另一类是证明构造方法。

推理构造方法主要包括： Meadows的NRL协议分析器方法[15]， Cervesato等学者的基于线性逻辑的协议验证方法[16]，Millen等学者的基于逻辑规则的协议验证方法[17]。

Kemmerer等学者研制的Ina Jo和ITP[18]是证明构造方法的典型代表。这一领域的另一项重要工作是Paulson的基于归纳的定理证明方法[19,20 ]。他研制的定理证明器Isabelle可以应用归纳方法分析安全协议。

(3) Spi演算方法

这种方法[21]根据Dolev-Yao模型，假定协议执行的每一步都可能与攻击者的执行步骤交叉。Pi演算是并发计算的基础，它引入了通道和作用域的概念。由于作用域之外的进程不能访问通道，在一定程度上保证了通道通信的安全性。Spi演算对pi演算进行了增强与扩充，增加了支持密码系统的原语，使Spi演算可以描述基于密码系统的安全协议。

2.2 Strand Space理论

Strand Space理论是由Thaye、Herzog和Guttman[22-24]在1998年提出的一种安全协议形式化分析方法，该方法吸纳了NRL协议器、Schneider秩函数[25]和Paulson归纳法等思想，模型使用一种节点间存在因果关系的有向图来表示协议的运行，是分析安全协议的一种实用、直观和严格的形式化方法。 D.Song[26]对Strand Space模型进行了扩展,并开发了安全协议自动验证工具ATHENA，实现了对认证性安全协议的自动验证。现在，Strand Space理论已经渗透到了协议分析的方方面面，是近年出现的专用于协议分析的最有效的理论之一。

但是，与传统网络环境相比，网格计算环境中多个用户之间的协同关系变得十分复杂，安全协议表现出一些新的特点，主要表现为：

(1) 采用了证书机制。

(2) 网格虚拟组织的出现，使安全协议参与主体之间的通信信道与虚拟组织密切相关，即安全协议参与主体之间的通信是通过参与虚拟组织中的相关网格计算任务来实现的。

(3) 由于SSL[27](Secure Socket Layer)协议实现了虚拟组织成员间的秘密而且可靠通信，敌手对于安全协议的攻击主要表现为：首先通过虚拟组织授权获得能够参与相关网格计算任务的合法身份，之后借助合法的协议运行获取额外的利益。

因此传统的安全协议分析方法很难适合于网格计算环境。本文通过对传统Strand Space 理论进行扩展，提出了一种基于虚拟组织的网格安全协议形式化验证方法，实现了网格环境下多用户协同计算安全协议的分析与证明。与传统的Strand Space理论相比，扩展之后内容如下：

(1) 对原有理论的消息空间进行了扩展，证书在安全协议中被作为原子消息处理。

(2) 通过引入网格计算信道的概念，把安全协议通信信道与虚拟组织中网格计算任务联系起来，并且进一步建立网格计算任务相对于安全协议的代数特征。

(3) 对原有理论中敌手模型进行了改进，使之能够描述敌手通过参与网格计算任务而