版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、網(wǎng)格計(jì)算(GridComputing)一詞產(chǎn)生于20世紀(jì)90年代初,借鑒電力網(wǎng)的概念提出。網(wǎng)格計(jì)算系統(tǒng)(GridComputingSystem)是通過(guò)高速網(wǎng)絡(luò)將地域分散、系統(tǒng)異構(gòu)的各種計(jì)算資源集成為一個(gè)虛擬、透明的計(jì)算環(huán)境,形成龐大的全球性的計(jì)算體系,可以提供高性能的計(jì)算能力。網(wǎng)格主要被應(yīng)用于大規(guī)模、分布式、高性能的計(jì)算,為用戶提供了調(diào)用遠(yuǎn)程計(jì)算資源的能力。網(wǎng)格的最終目的是希望用戶在使用網(wǎng)格計(jì)算能力解決問(wèn)題時(shí)像使用電力一樣方便,用戶不用
2、去考慮得到的服務(wù)來(lái)自于哪個(gè)地理位置,由什么樣的計(jì)算設(shè)施提供。也就是說(shuō),網(wǎng)格給最終使用者提供的是一種通用的計(jì)算能力。 網(wǎng)格計(jì)算作為新一代的分布式計(jì)算方法,與傳統(tǒng)分布式計(jì)算有明顯的不同,主要區(qū)別表現(xiàn)在網(wǎng)格是沒(méi)有集中控制機(jī)制的情況下,通過(guò)對(duì)計(jì)算資源進(jìn)行大規(guī)模共享,滿足應(yīng)用對(duì)高性能計(jì)算的要求,并且這種對(duì)計(jì)算資源進(jìn)行的大規(guī)模共享是動(dòng)態(tài)的、靈活的、安全的和協(xié)作式的。 由于網(wǎng)格作業(yè)一般需要在運(yùn)行過(guò)程中動(dòng)態(tài)申請(qǐng)啟動(dòng)進(jìn)程或釋放資源,而且網(wǎng)
3、格中不同的資源可能需要不同的認(rèn)證和授權(quán)機(jī)制,這就決定了網(wǎng)格安全必須是標(biāo)準(zhǔn)的、自治的、可擴(kuò)展的和透明的。網(wǎng)格計(jì)算系統(tǒng)必須解決的安全問(wèn)題包括:對(duì)用戶、服務(wù)器的冒充,數(shù)據(jù)泄漏,復(fù)雜遠(yuǎn)程攻擊,資源濫用,惡意程序,系統(tǒng)完整性威脅等等。 根據(jù)網(wǎng)格安全性的特點(diǎn),本文就網(wǎng)格安全中使用的密碼體系進(jìn)行了研究,主要研究?jī)?nèi)容包括基于證書的認(rèn)證和授權(quán)機(jī)制,基于口令的認(rèn)證和授權(quán)機(jī)制,具體內(nèi)容如下: 1.安全服務(wù)中心(SSC)。在網(wǎng)格體系中,當(dāng)前流行
4、的安全架構(gòu)比較多的傾向于采用由PKI體系為基礎(chǔ)的基于證書的認(rèn)證授權(quán)架構(gòu),其中比較典型的就是Globus開(kāi)發(fā)包(GlobusToolkit,GT)。在最新版本的GT4當(dāng)中,使用SOAP(SimpleObjectAccessProtocol)和SSL(SecureSocketsLayer)、TLS(TransportLayerSecurity)協(xié)議保證信息安全和傳輸安全。 本文提出了安全服務(wù)中心(SSC)方案,SSC充分利用現(xiàn)有成熟
5、的PKI安全體系,集成密鑰管理、密碼服務(wù)和硬件設(shè)備等于一體,提供了完整的安全解決方案。在GT中,利用SSC系統(tǒng),我們實(shí)現(xiàn)了對(duì)SimpleCA,MyProxy,GSI-OpenSSH等的改進(jìn)。改進(jìn)后的系統(tǒng)與原系統(tǒng)相比,提高了系統(tǒng)的整體性能,提高了系統(tǒng)的穩(wěn)定性,提供良好的可擴(kuò)展性,良好的訪問(wèn)控制能力,提高了密鑰管理的安全級(jí)別,并可提供日志、統(tǒng)計(jì)等數(shù)據(jù)信息。 實(shí)驗(yàn)數(shù)據(jù)表明,本文提出的系統(tǒng)RSA運(yùn)算速度達(dá)到軟件系統(tǒng)20倍以上。通過(guò)SSC
6、對(duì)系統(tǒng)性能的提升程度與使用的硬件設(shè)備相關(guān),整體系統(tǒng)損耗在30﹪至40﹪之間。 2.增強(qiáng)型團(tuán)體授權(quán)服務(wù)機(jī)制。用戶在使用證書進(jìn)行雙向身份認(rèn)證后,可以確定服務(wù)器及客戶端的真實(shí)身份。為了進(jìn)行對(duì)網(wǎng)格內(nèi)計(jì)算資源的訪問(wèn),用戶在認(rèn)證后需要得到授權(quán),從而擁有足夠權(quán)限操作資源。對(duì)用戶授權(quán)的管理是網(wǎng)格整個(gè)安全架構(gòu)中的另一重要組成部分,無(wú)法實(shí)現(xiàn)正確、合理、靈活的授權(quán),網(wǎng)格資源就無(wú)法正常、合理的被用戶使用。 本文充分利用現(xiàn)有授權(quán)管理體系,即PMI
7、體系,進(jìn)行網(wǎng)格內(nèi)權(quán)限的管理?;贕SI中的通用授權(quán)機(jī)制CAS和另一授權(quán)機(jī)制Akenti,設(shè)計(jì)了針對(duì)團(tuán)體授權(quán)和資源提供者對(duì)資源靈活授權(quán)兩方面需求的授權(quán)機(jī)制。我們稱為增強(qiáng)型團(tuán)體授權(quán)服務(wù)機(jī)制(EnhancedCommunityAuthorizationService,ECAS)。 本文提出的改進(jìn)后的ECAS體系,使用屬性證書權(quán)威(AA)統(tǒng)一頒發(fā)、管理屬性證書,避免了多種授權(quán)機(jī)制的混亂;并且支持CAS機(jī)制中網(wǎng)格資源對(duì)團(tuán)體的整體授權(quán),以及
8、Akenti機(jī)制中對(duì)網(wǎng)格資源靈活的多重、獨(dú)立管理。 ECAS對(duì)原有機(jī)制存在的問(wèn)題進(jìn)行了改進(jìn),包括:避免了CAS服務(wù)器成為系統(tǒng)瓶頸的問(wèn)題;避免了Akenti機(jī)制中由于資源管理員自行簽名,并管理權(quán)限策略造成的安全漏洞,改由LDAP服務(wù)器,統(tǒng)一查找、獲取權(quán)限控制信息。 ECAS由于采用了AA和AC,并且改進(jìn)了權(quán)限證書的獲取、檢索過(guò)程,在系統(tǒng)整體的處理性能,安全性能、可擴(kuò)展性能、使用的靈活性、可配置性等方面實(shí)現(xiàn)了改進(jìn)。ECAS后
9、臺(tái)密碼運(yùn)算調(diào)用了安全服務(wù)中心(SSC),獲得了高性能的密碼運(yùn)算服務(wù)。 3.基于口令的網(wǎng)格安全基礎(chǔ)設(shè)施。使用PKI體系的網(wǎng)格安全系統(tǒng)復(fù)雜性比較高,尤其在系統(tǒng)集成了PMI相關(guān)體系,利用屬性證書進(jìn)行授權(quán)的情況下,用戶需要處理自己的身份證書、屬性證書、私有密鑰、公有密鑰、用戶口令等眾多信息。這給用戶的使用增加了難度,尤其那些安全知識(shí)比較少的用戶。 本文利用現(xiàn)有基于口令的認(rèn)證和傳輸機(jī)制,設(shè)計(jì)了非證書安全架構(gòu):基于口令的網(wǎng)格安全基礎(chǔ)
10、設(shè)施(Password-basedGridSecurityInfrastructure,PBGSI),實(shí)現(xiàn)了僅僅使用口令,完成對(duì)用戶身份的認(rèn)證,用戶對(duì)可信服務(wù)器的委托以及對(duì)通信安全的需求。 在雙向認(rèn)證和委托服務(wù)中,PBGSI使用了基于AuthA協(xié)議的雙向認(rèn)證協(xié)議,本文對(duì)AuthA協(xié)議流程進(jìn)行了修改,通過(guò)時(shí)間戳等機(jī)制達(dá)到抵御攻擊的目的。本文提出的架構(gòu)中,用戶通過(guò)委托機(jī)制建立委托口令,在可信服務(wù)器上實(shí)現(xiàn)了權(quán)限委托、單點(diǎn)登錄。
11、 數(shù)據(jù)傳輸安全方面,提供兩種方式供用戶選擇,集成AuthA協(xié)議于TLS協(xié)議中,或者使用Chaffing&Winnowing(C&W)協(xié)議。C&W協(xié)議通過(guò)MAC保護(hù)數(shù)據(jù),避免了數(shù)據(jù)傳輸過(guò)程中無(wú)用的反復(fù)加、解密等密碼運(yùn)算。 PBGSI中擺脫了管理用戶證書、用戶私鑰的復(fù)雜操作,基于簡(jiǎn)單秘密(用戶口令)對(duì)于客戶端、服務(wù)器雙向身份認(rèn)證,用戶權(quán)限委托服務(wù),以及數(shù)據(jù)的安全傳輸都有較好的支持。 PBGSI架構(gòu)完全基于用戶口令,為用戶提供
12、了易于使用的界面;通過(guò)身份認(rèn)證以后授權(quán)可信任的服務(wù)器代表自己來(lái)行使訪問(wèn)權(quán)限,實(shí)現(xiàn)合理的權(quán)限委托機(jī)制;安全傳輸過(guò)程中可以不進(jìn)行加密、解密等算法運(yùn)算操作,通過(guò)耗費(fèi)網(wǎng)絡(luò)帶寬帶來(lái)系統(tǒng)性能的提升,從而提高系統(tǒng)整體的性能;在PBGSI中還使用了時(shí)間戳(Time-Stamp)等機(jī)制改進(jìn)系統(tǒng)的整體安全級(jí)別。 4.使用認(rèn)證密鑰交換協(xié)議實(shí)現(xiàn)授權(quán)管理機(jī)制。Abdalla等學(xué)者提出了基于口令的三方認(rèn)證密鑰交換協(xié)議。協(xié)議實(shí)現(xiàn)了三方進(jìn)行密鑰交換的情形中,密
13、鑰交換的雙方不共享秘密信息,而是雙方都與一個(gè)可信任第三方服務(wù)器共享秘密信息,通過(guò)第三方的協(xié)助,完成安全的密鑰交換。 本文對(duì)GPAKE協(xié)議流程和傳輸數(shù)據(jù)進(jìn)行了改進(jìn),與PBGSI架構(gòu)結(jié)合,完成用戶向資源管理員提出訪問(wèn)請(qǐng)求,直至獲得訪問(wèn)權(quán)限進(jìn)行安全訪問(wèn)的過(guò)程。本文提出的授權(quán)訪問(wèn)過(guò)程與PBGSI安全架構(gòu)相結(jié)合,可以完整的滿足網(wǎng)格系統(tǒng)中的各種應(yīng)用要求。 本文提出的授權(quán)訪問(wèn)協(xié)議使用了三方認(rèn)證密鑰交換協(xié)議,授權(quán)訪問(wèn)過(guò)程中,資源管理方與
14、可信第三方授權(quán)服務(wù)器(AS),以及AS與用戶之間通過(guò)改進(jìn)的AuthA協(xié)議進(jìn)行身份認(rèn)證和密鑰交換,并由AS分發(fā)用戶和資源管理方使用的臨時(shí)密鑰。用戶和資源管理方認(rèn)證、交換密鑰結(jié)束后通過(guò)改進(jìn)版本TLS協(xié)議或者C&W協(xié)議進(jìn)行通信。委托訪問(wèn)的過(guò)程與授權(quán)訪問(wèn)類似,區(qū)別在于資源管理方與代理服務(wù)器(PBProxy)進(jìn)行認(rèn)證,由PBProxy驗(yàn)證Token內(nèi)的角色權(quán)限,并分發(fā)密鑰。 本文的授權(quán)訪問(wèn)和委托訪問(wèn)協(xié)議中,只使用簡(jiǎn)單秘密信息進(jìn)行身份認(rèn)證和
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 網(wǎng)格計(jì)算安全體系研究.pdf
- 網(wǎng)格的安全體系結(jié)構(gòu).pdf
- 基于GSI的網(wǎng)格安全體系中授權(quán)機(jī)制的研究.pdf
- 基于可信計(jì)算的網(wǎng)格安全體系關(guān)鍵技術(shù)研究.pdf
- 網(wǎng)格安全體系結(jié)構(gòu)的研究和設(shè)計(jì).pdf
- G-S模式下網(wǎng)格安全體系的研究.pdf
- 國(guó)庫(kù)集中收付系統(tǒng)中安全體系的研究.pdf
- 網(wǎng)絡(luò)計(jì)算系統(tǒng)的安全體系結(jié)構(gòu)模型研究.pdf
- 基于網(wǎng)格的電子商務(wù)安全體系結(jié)構(gòu)研究.pdf
- 網(wǎng)格安全體系結(jié)構(gòu)及證書管理技術(shù)研究.pdf
- 網(wǎng)格安全體系結(jié)構(gòu)研究及跨域PMI應(yīng)用方案.pdf
- 網(wǎng)絡(luò)安全體系中蜜網(wǎng)系統(tǒng)的研究與設(shè)計(jì).pdf
- 信息系統(tǒng)安全體系構(gòu)建研究.pdf
- IPTV網(wǎng)絡(luò)的安全體系研究.pdf
- 中冶南方信息系統(tǒng)安全體系研究和建設(shè).pdf
- 安全體系文件
- gsm安全體系
- 網(wǎng)格計(jì)算中的安全與應(yīng)用研究.pdf
- 安全體系Web系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf
- 網(wǎng)上辦稅系統(tǒng)安全體系設(shè)計(jì).pdf
評(píng)論
0/150
提交評(píng)論