网格计算安全认证技术方案

晃晃

1023 主题	3 听众	359 积分

设计实习生

Rank: 2

纳金币: 335582
精华: 0

电梯直达

楼主

发表于 2011-11-18 19:59:00 |只看该作者 |倒序浏览

         互联网的迅猛发展，使网上遍布了成千上万的各类高能力计算机，如何更好地扩展和使用这些网络资源已成为一个重要研究方向，这正是网格计算的发展前景所在。


               网格计算作为新一代的分布式计算做法，与很多分布式计算的主要区别在于在没有集中控制机制的情况下，通过对计算资源进行大规模共享，满足应用对高能力计算需要，并且接下来对计算资源进行大规模共享是动态的、柔性的、安全的和协作式的。


               网格安全疑问是网格计算中的一个核心疑问。我们都知道，安全与便利是一对矛盾的结合体。因为在保证网格计算安全性的同时，还必须要尽量方便网民和各种服务的交互与使用。在设计网格安全机制时特别要考虑网格计算环境的动态主体特征及复杂性。要保证网格计算环境中不相同主体之间的相互鉴别和各主体间通信的保密性和完整性。基于以上原因，在网格计算环境中，安全疑问比那么意义上的网络安全疑问的覆盖面更广。在网格环境中，客户机位于不相同的地理空间和组织，为保证网格实体(网民、资源和程序)之间的通信安全、防止篡改、做的更好组织中安全机制方面的互操作性。就就得具备有一个统一的网格安全基础设施， GSI(Grid Security Infrastructure)正是一个处理网格计算中安全疑问的一个集成方案。


            GSI方案提供网格环境见证


            GSI为网格计算环境提供了一系列的安全协议、安全服务、安全SDK和命令行程序。GSI能够提供在网格计算环境中的安全见证，支持网格计算环境中主体之间的安全通信，防止主体假冒和数据泄密；为网格通信提供保密性、完整性和回放保护，及为网格网民提供单点登录和权限委托的能力。还有，GSI还能够用来对网格实体的身份进行验证，来确定该实体允许执行哪些操作。这些安全技术都能有效地保证网格计算环境的安全性和方便性。


            GSI是保证网格计算安全性的核心。它支持网民代理、资源代理、见证机构和协议的做的更好。它向上提供一系列的安全协议，向下支持各种安全机制和技术。GSI采取GSS-API(Generic Security Service application programming interface) 作为其安全编程接口。提供了通用的安全服务，支持应用程序在源码级的可移植性。它在面对主体间安全鉴别和安全通信操作基础上，提供获得证书、执行安全鉴别、签署消息和加密消息等功能。


            GSI的做的更好符合IE游览器TF提出的用于安全系统的标准(GSS-API)，它主要集中在网络的传输层和应用层，并强调与现有分布式安全技术的融合。在公钥加密体系的基础上，充分使用现有的网络安全技术，对某些功能进行扩展，促使GSI能够支持单点登录。根据而，在网格计算环境下提供一个一致的安全性界面，方便了网格的设计和使用。


            实施网格安全策略必须集中于域间相互作用和映射域间操作。对单一信任域内的操作可通过Kerberos 和SSH做法。对每个信任域，都要有一个根据全局到局部主体的映像。位于不相同信任域的实体间的操作需要相互鉴别。一个被鉴别的全局主体映像为一个局部主体时，被看作等同于局部主体的本地见证。在一个通用的计算环境中，主体和对象必须包含组内所有计算的实体。一个计算包括很多过程，每个过程代表一个网民。其中对象包括可用于网格环境中的大范围的资源。


            基于GSI的安全策略是通过通用安全服务编程接口GSS-API、安全见证管理和网民代理的做的更好三个方面来体现的。在GSI中，着重处理的是安全的见证疑问。


            GSI通过创建网民代理、代理分配资源、进程分配资源、映射权限四种安全操作协议，充分体现了网格的处理方案。全局命名(证书)和代理证书促使网民对所有的访问资源只进行一次见证。代理证书和委托技术允许一个进程来代表网民访问资源。在GSI的安全策略和单一登录机制的基础上，构架一个网格安全体系，该体系结构体现了网民、资源和过程的鉴别，它支持网民到资源、资源到过程、过程到资源、过程到过程的鉴别。及与本地策略的相互协作及对不相同资源的动态请求。




         GSI的安全见证


            安全见证是对请求者与接受者双方进行身份验证的一个过程，是在SSL上进行的一个成功的安全见证，能够校验一个请求连接的合法性，并为其后的双方通信提供一个会话密钥。GSI的安全见证是基于网民的私钥创建一个代理，根据而为网民提供见证做法。网民可能没有创建这种代理，就不能够提交作业，也不能够传输数据。(编程入门网)


            GSI见证(certificates)的一个主要是见证证书。在网格计算环境中的每个网民和服务都就得通过见证证书来验证身份，GSI证书采取了X.509的证书格式。主体名称(subject name)是用来明确见证证书所表示的人或别的对象。主体的公钥(public key)来自于X.509 见证签署证书的见证中心。标识则记录了见证中心的名称。签署证书的见证中心的数字签名是可用来确认见证中心的合法性。


            在相互见证进行之前，双方要相信彼此的见证中心。双方有彼此见证中心自身的证书，就能够确保双方由见证中心签署的证书拥有合法性。双方主体都获得了证书，而且都信任彼此的见证中心后，则双方可相互明确彼此的身份，这能够相互鉴别(mutual authentication)的过程。GSI采取SSL( Secure Sockets Layer)协议作为它的相互见证协议。





         见证是安全通信基础


            网格安全疑问是网格计算中的核心疑问。网格计算的特点是网格计算会用现有的各种标准协议有机地融合起来，根据而在网格计算中用协议和技术集成起来。网格系统和应用中的每个网民和服务，需要所有的安全标准，包括安全见证、安全身份相互鉴别、通信加密以、私钥保护及委托与单点登录，都能在网格计算环境中通过见证证书来验证身份。提供一个较好的见证处理方案，能够使网民，包含网民计算的过程还有该过程使用的资源都能够证明彼此的身份。


            见证是形成安全政策的基础，它能够使每个局部安全策略都被集成为一个全局的框架。根据而非常有利于网格实体之间做的更好安全的通信。