網(wǎng)絡(luò)前面是網(wǎng)格課件

1、第六章 通訊與安全龔 斌山東大學(xué)計算機(jī)科學(xué)與技術(shù)學(xué)院山東省高性能計算中心WS-Security（Web Service Security）Web services 由WSDL(Web Services Description Language ) 進(jìn)行描述 處理由XML編碼的SOAP 信息在 HTTP之上傳遞被廣泛部署的分布式服務(wù)web services 是當(dāng)今商業(yè)界的熱點WS-Security為 Web services提供安全保證its first roadmaps and draft specifications have been published in April 2002 by

2、IBM, Microsoft and Verisign.Standardisation activity has been transferred to the OASIS-Open consortium.Web Services Security 1.0 is now an OASIS standard. Seeing：/committees/wss/WS-SecurityWS-Security模型非常復(fù)雜每個參與端點需要表示在與其它端點進(jìn)行安全會話時所希望應(yīng)用的安全策略指定所支持的認(rèn)證機(jī)制所必需的數(shù)據(jù)完整性和機(jī)密性信任策略，privacy policies，及其它的安全約束基于已有的安全模

3、型 (Kerberos, PKI, 等)基于XML 和 安全協(xié)議WS-SecurityGrid Security Infrastructure (GSI)Grid Security Infrastructure（GSI）屬于The Globus Project由Argonne National Laboratory和USA Information Sciences Institute聯(lián)合研發(fā)是Globus Toolkit中的安全功能模塊，為系統(tǒng)提供安全支持相關(guān)鏈接：http:/security/Globus Security:The Grid Security InfrastructureGS

4、I是Globus為用戶和應(yīng)用程序提供用來安全地訪問網(wǎng)格資源的一組工具、類庫和協(xié)議基于公鑰加密技術(shù)， X.509證書，和SSL通信協(xié)議對這些標(biāo)準(zhǔn)進(jìn)行了擴(kuò)展，以能夠進(jìn)行單一登錄和授權(quán)代理GSI的實現(xiàn)遵循GSS-APIGSS-API是由IETF所提出的通用安全服務(wù)API(Generic Security Service API)Grid Security Infrastructure (GSI)GSI is:PKI(CAs andCertificates)SSL/TLSProxies and DelegationPKI forcredentialsSSL forAuthenticationAnd m

5、essage protectionProxies and delegation (GSIExtensions) for secure singleSign-onGrid Security Infrastructure (GSI)GSI能夠提供的安全功能安全認(rèn)證通信加密私鑰保護(hù)委托授權(quán)單一登錄 安全認(rèn)證安全認(rèn)證是對請求者和接受者雙方的身份進(jìn)行驗證的一個過程，是在SSL上進(jìn)行的一個成功的安全認(rèn)證，將校驗一個請求連接的合法性為其后的雙方通信提供一個會話密鑰GSI的安全認(rèn)證是基于用戶的私鑰創(chuàng)建一個代理，從而為用戶提供認(rèn)證方法。用戶如果沒有創(chuàng)建這個代理，就不能提交作業(yè)，也不能傳輸數(shù)據(jù)通信加密GSI 用數(shù)

6、字證書進(jìn)行相互認(rèn)證，并通過 SSL/TLS 實現(xiàn)對數(shù)據(jù)的加密，以保證通信的安全Globus Toolkit 中包含 OpenSSL，用于在網(wǎng)格客戶機(jī)和服務(wù)器之間創(chuàng)建加密的管道通信加密是在安全認(rèn)證之后，由認(rèn)證的雙方產(chǎn)生一個會話密鑰，通過這個會話密鑰加密通信通道主機(jī)證書和私鑰的存儲和保護(hù)/etc/grid-securityhostcert.pem: 在相互認(rèn)證過程中，服務(wù)器所使用的證書hostkey.pem: 與服務(wù)器證書相對應(yīng)的私鑰 (read-only by root)/etc/grid-security/certificatesCA certificates: 在校驗證書時，被信任的CA證書

7、ca-signing-policy.conf: 定義了一些CA簽發(fā)證書的策略用戶證書和私鑰的存儲與保護(hù)$HOME/.globususercert.pem: 用戶的證書(證書中包含的信息有subject name, public key, CA signature，等)userkey.pem: 與用戶證書相對應(yīng)的私鑰 (私鑰由用戶的口令進(jìn)行加密保護(hù))/tmpProxy file(s):用戶所簽發(fā)的代理證書，這是一些臨時存儲的文件，包含了未加密保護(hù)的代理私鑰和證書(readable only by users account)委托授權(quán)當(dāng)用戶與服務(wù)器認(rèn)證成功后，將被委托授權(quán)通過將用戶DN號(唯一的證

8、書主體名稱)映射到本地用戶賬號grid-mapfile: 將grid subject names 映射到本地用戶賬號的文件（存儲在/etc/grid-security目錄下）通過映射，網(wǎng)格用戶的作業(yè)將由這個本地用戶根據(jù)自己的權(quán)限處理Gridmap File實例# Distinguished name Local username/C=US/O=Globus/O=NPACI/OU=SDSC/CN=Rich Gallup” rpg/C=US/O=Globus/O=NPACI/OU=SDSC/CN=Richard Frost” frost/C=US/O=Globus/O=USC/OU=ISI/CN=

9、Carl Kesselman” u14543/C=US/O=Globus/O=ANL/OU=MCS/CN=Ian Foster” itfGridmap文件由Globus管理員維護(hù)將Grid-id映射到本地用戶名如下：單一登錄（Single sign-on）為了實現(xiàn)企業(yè)的信息化、電子商務(wù)和其他需求，越來越多的信息系統(tǒng)在網(wǎng)上出現(xiàn)。這些應(yīng)用系統(tǒng)都維護(hù)著自己的安全策略，這使得用戶需要使用其中的任何一個企業(yè)應(yīng)用的時候都需要做一次身份認(rèn)證，而且每一次認(rèn)證使用的認(rèn)證信息（用戶名和密碼）不能保證一致，這對于用戶來說必須記住每一個系統(tǒng)的用戶名和密碼系統(tǒng)管理員需要對每一個系統(tǒng)設(shè)置一種單獨(dú)的安全策略,而且需要為每個

10、系統(tǒng)中的用戶單獨(dú)授權(quán)以保證他們不能訪問他們沒有被授權(quán)訪問的網(wǎng)絡(luò)資源 單一登錄以上傳統(tǒng)的用戶登錄對用戶和系統(tǒng)管理員都極為不便為了解決這樣的問題，人們提出了單一登錄（single sign-on）的概念從用戶的角度來看，單一登錄的機(jī)制是指用戶在特定的邏輯安全域中，只需進(jìn)行一次登錄即可訪問在此邏輯安全區(qū)域中不同應(yīng)用系統(tǒng)中的被授權(quán)的資源，當(dāng)超越了安全區(qū)域邊緣時才要求再次登錄單一登錄GSI以X.509證書實現(xiàn)認(rèn)證，并通過對X.509證書進(jìn)行擴(kuò)展，產(chǎn)生代理證書，用戶通過使用代理證書實現(xiàn)單一登錄代理證書包含一個不同于用戶密鑰對的公鑰和私鑰對，在認(rèn)證會話中使用的就是這個密鑰對。由于代理證書生命周期很短，過期則

11、密鑰失效。這樣，即使私鑰被暴露，危害也有限。這也允許在存儲代理的私鑰時不用口令進(jìn)行加密保護(hù)。因此，對代理來說，就沒有口令了這樣，用戶輸入一次口令，用自己的數(shù)字證書產(chǎn)生代理證書后，在代理證書的有效期內(nèi)，用戶使用自己的代理證書進(jìn)行認(rèn)證，就可在特定的邏輯安全區(qū)域中多次訪問不同的數(shù)據(jù)資源，而不需要再次輸入口令單一登錄實例通過產(chǎn)生代理證書形成的信任鏈CAUserUsers Proxy1Users Proxy2Credential by CACredential by UserCredential by Users Proxy1GSI的幾個相應(yīng)APIsgrid-cert-requestgrid-ca-si

12、gngrid-cert-infogrid-proxy-initgrid-proxy-infogrid-proxy-destroygrid-cert-request：獲取證書grid-cert-request 用于產(chǎn)生一個公鑰/私鑰對和未被簽發(fā)的證書，并存儲在用戶目錄/.globus/:usercert_request.pemuserkey.pem必須僅對用戶只讀將usercert_request.pem 發(fā)送到 ca接收由Globus簽發(fā)的證書，并存儲在/.globus/usercert.pem或由grid-ca-sign簽發(fā)獲得usercert.pemgrid-ca-sign：證書簽發(fā)由Gl

13、obus的SimpleCA對用戶所提交的證書請求usercert_request.pem進(jìn)行簽發(fā)產(chǎn)生用戶證書usercert.pem-BEGIN CERTIFICATE-MIICAzCCAWygAwIBAgIBCDANBgkqhkiG9w0BAQQFADBHMQswCQY u5tX5R1m7LrBeI3dFMviJudlihloXfJ2BduIg7XOKk5g3JmgauK4-END CERTIFICATE-Sample usercert.pem:-BEGIN RSA PRIVATE KEY-Proc-Type: 4,ENCRYPTEDDEK-Info: DES-EDE3-CBC,1E9246

14、94DBA7D9D1+W4FEPdn/oYntAJPw2tfmrGZ82FH611o1gtvjSKH79wdFxzKhnz474Ijo5Blet5QnJ6hAO4Bhya1XkWyKHTPs/2tIflKn0BNIIIYM+s=-END RSA PRIVATE KEY-Sample userkey.pem:Certificate and Key Datagrid-cert-info：顯示證書信息grid-cert-info用于獲取證書的信息，如顯示證書的主體信息命令：% grid-cert-info -subject/C=US/O=Globus/O=ANL/OU=MCS/CN=Ian Fost

15、er顯示證書的其它信息選項：-all-startdate-subject-enddate-issuer-helpgrid-proxy-init：產(chǎn)生代理證書在認(rèn)證時，產(chǎn)生用戶的代理證書命令如下：% grid-proxy-initEnter PEM pass phrase: *這個命令將產(chǎn)生一個臨時性的，本地的，短期有效的用戶代理證書grid-proxy-init的命令選項：-hours -bits -helpgrid-proxy-init Detailsgrid-proxy-init產(chǎn)生一個本地的代理證書用戶輸入口令，用于解密私鑰私鑰被用于簽發(fā)代理證書簽發(fā)代理證書之后，在代理證書的有效期內(nèi)，用

16、戶的私鑰將不再使用Proxy被存儲在/tmp下,對用戶只讀grid-proxy-initUser certificate filePrivate Key(Encrypted)PassPhraseUser Proxycertificate filegrid-proxy-infogrid-proxy-info 顯示代理證書的詳細(xì)信息，如顯示代理證書的主體信息的命令如下：% grid-proxy-info -subject/C=US/O=Globus/O=ANL/OU=MCS/CN=Ian Foster顯示代理證書信息的選項：-subject-issuer-type-timeleft-strengt

17、h-helpgrid-proxy-destroygrid-proxy-destroy 用于刪除由grid-proxy-init所產(chǎn)生的本地代理證書 :% grid-proxy-destroy但不能刪除由這個proxy所授權(quán)產(chǎn)生的任何其它遠(yuǎn)程proxyGSI的應(yīng)用實例keycertgatekeeperclient1. 交換證書，認(rèn)證，委托2. 檢查gridmap文件3. 服務(wù)查找4. 運(yùn)行服務(wù)程序 (e.g. jobmanager)jobmanagerkeycert1.2.map4.services3.訪問控制網(wǎng)絡(luò)訪問控制概述社區(qū)授權(quán)服務(wù)CAS虛擬組織身份服務(wù)VOMS網(wǎng)絡(luò)訪問控制概述授權(quán)模型推式

18、授權(quán)模型拉式授權(quán)模型代理授權(quán)模型資源權(quán)威主體1234資源權(quán)威主體1234資源權(quán)威主體1234推式拉式代理社區(qū)授權(quán)服務(wù)CAS它是由ESG(地球系統(tǒng)網(wǎng)格)組織提出的，得到了Globus項目的支持，現(xiàn)已發(fā)布了第二個版本，CAS提出了在一個VO內(nèi)實行策略管理和對服務(wù)實行強(qiáng)制性策略的方案，在每一個VO內(nèi)部建立一個CAS服務(wù)器來維護(hù)社區(qū)的策略，在用戶的代理證書中加入CAS的授權(quán)聲明（既策略聲明）來實現(xiàn)授權(quán)的訪問控制。請求普通的用戶代理Cas-proxy-init代理和CAS的策略聲明策略聲明Gridftp 客戶端CAS 服務(wù)CAS DB用戶、對象、權(quán)限CAS 服務(wù)器應(yīng)答查詢Gridftp Server(被修改來進(jìn)行CAS授權(quán))授權(quán)庫策略聲明Gridftp服務(wù)策略聲明用戶社區(qū)授權(quán)服務(wù)CAS 社區(qū)授權(quán)服務(wù)CAS一個典型的用戶訪問gridftp服務(wù)的交互過程。這個Gridftp服務(wù)器是經(jīng)過修改的，來承擔(dān)CAS的授權(quán)。CAS用戶首先得到一個標(biāo)準(zhǔn)的網(wǎng)格代理證書，然后向CAS服務(wù)器請求信任，CAS服務(wù)器根據(jù)CA