网格安全

网格安全内容摘要：

Socket Layer (SSL)  使用证书和 TCP sockets 提供安全连接 –双方使用证书进行相互认证 –信息保护 通信的机密性 (加密 ) 数据的完整性 Certificates TCP Sockets SSL/TLS Secure Socket Layer (SSL)  SSL的先进之处在于它是一个独立的应用协议，其它更高层协议能够建立在 SSL协议上 Kerberos  Kerberos最初是 MIT（ 麻省理工学院）为Athena项目开发的，是 TCP/IP网络设计的可信任的第三方认证协议  Kerberos提供了一种在开放式网络环境下进行身份认证的方法，并允许个人访问网络中不同的机器，它使网络上的用户可以相互证明自己的身份 Kerberos  Kerberos采用对称密钥体制（采用 DES， 也可用其它算法代替）对信息进行加密  基本思想是：由于 Kerberos是基于对称密码体制，它与网络上的每个实体分别共享一个不同密钥，能正确对信息进行解密的用户就是合法用户。 用户在对应用服务器进行访问之前，必须先从第三方（ Kerberos服务器）获取该应用服务器的访问许可证（ ticket） Kerberos的认证过程  AS ： Kerberos Server（ 认证服务器）  TGS： TicketGranting Service（ 许可证颁发服务器） 用户工作站应用服务器ASTGSKerberos 密钥分配中心Kerberos缺陷  Kerberos的设计是与 MIT校园环境结合的产物，在分布式系统存在一些局限性 – 原有的认证很可能被存储或被替换，虽然时间戳是专门用于防治重放攻击的，但在许可证的有效时间内仍然可能奏效 – 认证码的正确性是基于网络中所有的时钟保持同步 – Kerberos防止口令猜测攻击的能力很弱，攻击者可收集大量的许可证，通过计算和密钥分析进行口令猜测 – 实际上，最严重的攻击是恶意软件攻击 – 另外， Kerberos服务器的损坏将使得整个安全系统瘫痪 – 而且在分布式系统中密钥的管理、分配、存储都存在问题 WSSecurity（ Web Service Security）  Web services – 由 WSDL(Web Services Description Language ) 进行描述 – 处理由 XML编码的 SOAP 信息 – 在 HTTP之上传递 – 被广泛部署的分布式服务  web services 是当今商业界的热点  WSSecurity为 Web services提供安全保证 – its first roadmaps and draft specifications have been published in April 2020 by IBM, Microsoft and activity has been transferred to the OASISOpen consortium. – Web Services Security is now an OASIS standard. – Seeing： WSSecurity  WSSecurity模型非常复杂 – 每个参与端点需要表示在与其它端点进行安全会话时所希望应用的安全策略 指定所支持的认证机制 所必需的数据完整性和机密性 信任策略， privacy policies， 及其它的安全约束 – 基于已有的安全模型 (Kerberos, PKI, 等 ) – 基于 XML 和 安全协议 WSSecurity 内 容  网格安全需求  网格安全研究现状及面临的问题  网格安全研究内容  相关的安全技术分析 –密码技术 – PKI – SSL – Kerberos – Web Service安全技术  网格安全实现 – Globus Security Infrastructure（ GSI） Grid Security Infrastructure (GSI)  主要内容 – GSI概述 – GSI安全功能 – GSI的主要 APIs –一个运用 GSI的实例 Grid Security Infrastructure (GSI)  Grid Security Infrastructure（ GSI） 属于 The Globus Project™  由 Argonne National Laboratory和 USA Information Sciences Institute联合研发  是 Globus Toolkit™中的安全功能模块，为系统提供安全支持  相关链接： Globus Security:The Grid Security Infrastructure  GSI是 Globus为用户和应用程序提供用来安全地访问网格资源的一组工具、类库和协议  基于公钥加密技术， ，和 SSL通信协议  对这些标准进行了扩展，以能够进行单一登录和授权代理  GSI的实现遵循 GSSAPI – GSSAPI是由 IETF所提出的通用安全服。