互連網的迅猛發展,使網上遍布了成千上萬的各類高效能電腦,如何更好地擴充套件和利用這些網路資源已成為乙個重要研究方向,這正是網格計算的發展前景所在。
網格計算作為新一代的分布式計算方法,和傳統分布式計算的主要區別在於在沒有集中控制機制的情況下,通過對計算資源進行大規模共享,滿足應用對高效能計算需要,並且這種對計算資源進行大規模共享是動態的、柔性的、安全的和協作式的。
網格安全問題是網格計算中的乙個核心問題。我們都知道,安全和便利是一對矛盾的結合體。因為在確保網格計算安全性的同時,還必須要盡量方便使用者和各種服務的互動和使用。在設計網格安全機制時特別要考慮網格計算環境的動態主體特徵及複雜性。要確保網格計算環境中不同主體之間的相互鑑別和各主體間通訊的保密性和完整性。基於以上原因,在網格計算環境中,安全問題比一般意義上的網路安全問題的覆蓋面更廣。在網格環境中,客戶機位於不同的地理空間和組織,為確保網格實體(使用者、資源和程式)之間的通訊安全、防止篡改、實現組織中安全機制方面的互操作性。就需要具備有乙個統一的網格安全基礎設施, gsi(grid security infrastructure)正是個解決網格計算中安全問題的乙個整合方案。
bitscn.net中國網管部落格
gsi方案提供網格環境認證
gsi為網格計算環境提供了一系列的安全協議、安全服務、安全sdk和命令列程式。gsi能夠提供在網格計算環境中的安全認證,支援網格計算環境中主體之間的安全通訊,防止主體假冒和資料洩密;為網格通訊提供保密性、完整性和回放保護,及為網格使用者提供單點登入和許可權委託的能力。另外,gsi還能夠用來對網格實體的身份進行驗證,來確定該實體允許執行哪些操作。這些安全技術都能有效地確保網格計算環境的安全性和方便性。
gsi的實現符合ietf提出的用於安全系統的標準(gss-api),他主要集中在網路的傳輸層和應用層,並強調和現有分布式安全技術的融合。在公鑰加密體系的基礎上,充分利用現有的網路安全技術,對某些功能進行擴充套件,使得gsi能夠支援單點登入。從而,在網格計算環境下提供乙個一致的安全性介面,方便了網格的研發和使用。
中國網管聯盟
實施網格安全策略必須集中於域間相互作用和對映域間操作。對單一信任域內的操作可通過kerberos 和ssh方法。對每個信任域,都要有乙個從全域性到區域性主體的映像。位於不同信任域的實體間的操作需要相互鑑別。乙個被鑑別的全域性主體映像為乙個區域性主體時,被看作等同於區域性主體的本地認證。在乙個通用的計算環境中,主體和物件必須包含組內任何計算的實體。乙個計算包括許多過程,每個過程代表乙個使用者。其中物件包括可用於網格環境中的大範圍的資源。
基於gsi的安全策略是通過通用安全服務程式設計介面gss-api、安全認證管理和使用者**的實現三個方面來體現的。在gsi中,著重解決的是安全的認證問題。
gsi通過建立使用者**、**分配資源、程序分配資源、對映許可權四種安全操作協議,充分體現了網格的解決方案。全域性命名(證書)和**證書使得使用者對任何的訪問資源只進行一次認證。**證書和委託技術允許乙個程序來代表使用者訪問資源。在gsi的安全策略和單一登入機制的基礎上,構建乙個網格安全體系,該體系結構體現了使用者、資源和過程的鑑別,他支援使用者到資源、資源到過程、過程到資源、過程到過程的鑑別。及和本地策略的相互協作及對不同資源的動態請求。
gsi的安全認證
安全認證是對請求者和接受者雙方進行身份驗證的乙個過程,是在ssl上進行的乙個成功的安全認證,能夠校驗乙個請求連線的合法性,並為其後的雙方通訊提供乙個會話金鑰。gsi的安全認證是基於使用者的私鑰建立乙個**,從而為使用者提供認證方法。使用者假如沒有建立這個**,就不能提交作業,也不能傳輸資料。
gsi認證(certificates)的乙個關鍵是認證證書。在網格計算環境中的每個使用者和服務都需要通過認證證書來驗證身份,gsi證書採用了x.509的證書格式。主體名稱(subject name)是用來明確認證證書所表示的人或其他物件。主體的公鑰(public key)來自於x.509 認證簽署證書的認證**。標識則記錄了認證**的名稱。簽署證書的認證**的數字簽名是可用來確認認證**的合法性。
在相互認證進行之前,雙方要相信彼此的認證**。雙方有彼此認證**自身的證書,就能夠確保雙方由認證**簽署的證書具備合法性。雙方主體都獲得了證書,而且都信任彼此的認證**後,則雙方可相互明確彼此的身份,這就是相互鑑別(mutual authentication)的過程。gsi採用ssl( secure sockets layer)協議作為他的相互認證協議。
認證是安全通訊基礎
網格安全問題是網格計算中的核心問題。網格計算的特點是網格計算會將現有的各種標準協議有機地融合起來,從而在網格計算中將協議和技術整合起來。網格系統和應用中的每個使用者和服務,需要任何的安全標準,包括安全認證、安全身份相互鑑別、通訊加密以、私鑰保護及委託和單點登入,都能在網格計算環境中通過認證證書來驗證身份。提供乙個較好的認證解決方案,能夠使使用者,包含使用者計算的過程連同該過程使用的資源都能夠證實彼此的身份。
bbs.bitscn.com
認證是形成安全政策的基礎,他能夠使各個區域性安全策略都被集成為乙個全域性的框架。從而更加有利於網格實體之間實現安全的通訊。
redhat環境下ssh不能自動認證登入的解決方法
一 摘要 許多開源專案,特別是分布式應用,如hadoop,mpi等都需要配置多個伺服器之間能自動登入。但是redhat enterprise 6.3,安裝後預設是沒有開啟ssh的自動認證功能。二 原因 產生該問題的原則是沒有開啟ssh的自動認證。三 解決方法如下 vim etc ssh sshd c...
安全計算環境 (六)應用系統 1
應用系統 在對應用系統進行測評時,一般先對系統管理員進行訪談,了解應用系統的狀況,然後對應用系統和文件等進行檢查,檢視其內容是否和管理員訪談的結果一致,最後對主要的應用系統進行抽查和測試,驗證系統提供的功能,並可配合滲透測試檢查系統提供的安全功能是否被旁路。控制點 1.身份鑑別 應用系統需對登入的使...
安全計算環境 (六)應用系統 4
應用系統 控制點 4.入侵防範 在 基本要求 中,基於應用系統的入侵防範主要體現在資料有效性驗證和軟體自身漏洞發現兩個方面。a 安全要求 應遵循最小安裝的原則,僅安裝需要的元件和應用程式。要求解讀 應用系統應遵循最小安裝的原則,即 不需要的功能模組不安裝 例如不安裝仍在開發或未經安全測試的功能模組。...