网格安全.pptVIP

网格安全与调度技术 1.背景回顾 2.网格安全技术 3.网格调度技术 4.参考文献 小组成员： 苏琳、宋丽鹤、何慕哲 莫宇杰、祝晓露 1.背景回顾 网格的发展 网格安全 网格调度技术 2.网格安全 网格安全概述：传统与特殊 网格安全策略：认证与授权 网格安全的其他方法与部件 网格安全的展望 2.1网格安全概述 传统网络安全的基本要素： Internet的安全保障主要提供两方面的安全服务: (1)访问控制服务，用来保护各种资源不被非授权使用 (2)通信安全服务，用来提供认证，数据必威体育官网网址与完整性，以及通信端的不可否认性服务。 2.1网格安全概述 网格完全的特殊要素： (1)鉴定：鉴定是一个验证身份的过程。 (2)授权授权机制决定了系统是否允许一个请求的操作活动。 (3)完整性和必威体育官网网址性保持数据的完整性和必威体育官网网址性是非常重要的。 (4) 账号与审计在网格环境下扮演着非常重要的角色 (5)不可抵赖性不可抵赖性是指即使在嫌疑人否认的情况下，也能够证明嫌疑人曾经执行过或同意过某一具体的任务。 2.1网格安全概述 与传统网络环境相比，网格环境的安全要求 在开放系统互联（OSI）安全体系结构模型中，它定义了5组安全服务：认证服务、访问控制服务、数据的完整性、数据必威体育官网网址性、非否认服务。网格技术也属于开放体系互联的技术范畴，因此，也需要提供上述5种标准安全服务。不过针对网格环境的特殊关键特点它还应具备： 1、网格认证要求 单一登录、委托、兼容不同的本地安全方案 2、网格通信保护要求 灵活的消息保护机制、支持不同的可靠通信协议 3、网格授权要求 有资源所有者或资源所有者代理决定授权 受限委托（减少风险） 2.2网格安全策略：认证与授权 网格安全的一种具体解决方案-GSI 美国网格研究项目Globus提出的GSI(网络安全基础设施)和PKI(公钥基础设施 )技术相结合提供了满足网格安全要求的框架。 GSI引入了用户代理、资源代理的概念，并定义了四种安全操作协议：创建用户代理、代理分配资源、进程分配资源、映射权限。 网格安全GSI体系结构 网格安全GSI 体系结构 对用户来说： 全局命名（证书DN）和代理证书使得用户对所有的访问资源只进行一次认证 代理证书和委托技术允许一个进程来代理用户访问资源 x.509,sslv3和GSI-API标准使得支持GSI的工具和应用程序的开发更加容易实现。 对站点来说： 这个体系结构不需用改变本地的安全体系，站点只需简单的安装GSI-enabled服务，这些服务都是总所周知的标准。 GSI-API在GSI的核心框架 GSI和PKI的认证和授权方案 GSI网格的认证主要是基于PKI的公钥认证机制-X.509证书相关机制。 下面从： 1、证书的获取 2、认证过程 3、委托过程 三方面介绍GSI的认证 证书的获取 介绍网格环境下的两种类型的证书 1、User--做为一个网格用户 user证书用来标示你在网格中的用户名。不是你的服务器的名字或工作站的名字。如证书的唯一名（DN）： “/o=gird/o=gridtest/ou=/CN=pyg” 2、Server--提供资源服务 提供资源服务机器的整个域名DNS必须匹配server证书的唯一名（DN），如： “/CN=service/D” 证书的获取 认证过程 简单的说，GSI的认证过程就是安全的共享公钥的过程，授权就是将证书的DN（唯一名）映射到远程主机的本地用户/组。 委托过程 一个用户能够授予一个程序代表自己身份的权利，以便该程序能够访问用户被授权的资源。另外，如果需要的话，该程序也可以进一步委托另一个程序。 GSI是通过创建用户的代理证书，来实现委托授权的。 下面介绍一下关键概念—代理证书 代理证书 代理证书是一种会话证书，它的生命周期很短（一般几个小时）或是有限的，代理证书是由用户证书所签发的，代表所签用户的全部或部分权利。 两个动机： 单一登录（在本地机器上创建代理证书） 远程委托（在远程主机上创建代理证书，形成证书授权链） 代理证书 网格的安全通信 网格的安全通信是建立在以下两个基础之的： 1、数字证书的互认证 2、SSL/TLS握手 通信的基本原理：服务器的证书通过用户认证后，用户用服务器的公钥加密一个对称密钥给服务器，服务器用私钥解密得到那个对称密钥，完成密钥的协商，然后，他们用这个对称密钥加密要传输的数据。 3、网格的授权--VO 网格安全中的授权问题是当前研究的一个热点： GSI-Gridmap不足 Vo的挑战 介绍vo(虚拟组织) 举例CAS(社区授权服务 )和VOMS(虚拟组织成员服务) GSI授权的不足 GSI授权是通过对一个文件（通常是/etc/grid-security/grid-mapfile）的操作来实现的