Rács biztonsági architektúra tervezés
(Rács) technológia fontos információs technológia az emelkedés a nemzetközi közösség. Ennek célja, hogy széles körben elterjedt földrajzilag heterogén számítási erőforrások különböző rendszerek teljes mértékben integrált, nagy teljesítményű hálózati erőforrások megosztása és az együttműködő munka virtuális környezetben. Összehasonlítva a hagyományos hálózati környezetekben, grid számítógépes környezet rendkívül összetett, dinamikus, heterogén eloszlású és egyéb jellemzőit, a biztonsági rendszerek biztosításához szükséges single sign-on, proxy engedélyezési és más alapvető funkciókat. Mivel a távvezeték-rendszer és a hagyományos hálózati környezet más minden szempontból, a módszerrel megoldani a hálózati biztonsági problémák nem teljesen használják, hogy megoldja a biztonsági kérdések a rács. GSI rács a rács, mint azt, hogy a felhasználók hitelesítésére és a források. Grid portál (Portal) egy egységes portál minden felhasználó számára hozzáférést grid erőforrások, amely szükségtelenné teszi a felhasználók számára, hogy fejleszteni és telepíteni egy adott ügyfél gondok, minden felhasználó egy egységes hálózat feladat bejegyzést benyújtani. Normális körülmények között, biztonsági okokból, hogy nem használja az eredeti bizonyítványt, a proxy igazolást benyújtani a feladatot. Grid portál felhasználónak szükséges feladatok benyújtásakor a proxy tanúsítvány által kiállított igazolást a hivatal felhasználói tanúsítvány titkos kulcs, a fő képviselője az eredeti felhasználó személyazonosságát, részben vagy egészben az eredeti fő engedélyt. Életciklusa nagyon rövid, ha a rendszer sérül minimalizálja a veszteséget. ?Amikor a munkák, háló portál ellenőriznie kell a személyazonosságát a benyújtó felhasználó, ez a megközelítés felveti a kérdést, nevezetesen, hogyan kell benyújtani a bejegyzést, hogy a rács proxy tanúsítványt. Ez a könyv bemutatja az egyensúlyt a biztonság és a használhatóság aláírt proxy tanúsítvány program véget ér útján proxy tanúsítvány aláírt JavaWebStart telepített egy weblapon, a felhasználó egyszerűen rákattint akkor automatikusan le lehet tölteni futtatni helyben. A proxy tanúsítvány benyújtott programok kényelmes és rugalmas, kompatibilis a meglévő architektúra és hálózati biztonsági infrastruktúra. ?
Ezzel kapcsolatos munkálatok?
A proxy tanúsítványt betöltődik a rács bejáratnál, két fő módja: ① bejáratánál telepíteni egy rács feltöltési oldalon, felhasználók feltöltési helyileg generált proxy tanúsítványt a bejárattól a rács proxy tanúsítványt tárolt rögzített helyzetben. A Globus [7] A rendszer a felhasználók általában keresztül könyvtár grid-proxy-init létrehoz egy proxy tanúsítványt, töltsd fel a bejáratnál, hogy a rács. De így egy nyilvánvaló hátránya rács felhasználónak szüksége van a futási parancs grid-proxy-init környezetben, általában meg kell telepíteni a szoftvert Globus is használja ezt a parancsot. Globus nehézkes, mivel a telepítés lépéseit, és használja ezt a parancsot, hogy a felhasználói igények, ez a megközelítés kevésbé praktikus. ② felhasználók JavaWebStart vagy Applet módja annak, hogy indítsa el a feltöltést proxy bizonyítvány program közvetlenül a webről. Ez a módszer GridSphere [8] projekt az, töltsd fel a tanúsítvány kötelezi az ügynökeit adja My ¯? Proxy [9]? Szerver IP címét és a felhasználói nevet, a jelszót, a jelszó a privát legfontosabb információkat. Ez a végrehajtási megoldja a problémát helyileg telepített Globus környezetben, de volt két probléma: ① MyProxy server felhasználóknak meg kell tudni, hogy az IP címét vagy domain nevét. ② kivont tanúsítvány nem felel meg a szükséges időt, hogy futtassa a feladatot. Mivel az élettartama a felhasználó nehéz tudni, hogy az utoljára mentett tanúsítvány igényeinek kielégítésére az alkalmazás, ez a program is vannak hátrányai. ?
Építészet?
Hogy oldja meg ezt a problémát, javaslatot teszünk az új keretet rács biztonsági UserCA. Biztosít cross-domain hozzáférést, és az online transzparens proxy által aláírt tanúsítványt a felhasználó, a felhasználó lehet beállítani (beleértve a helyi tanúsítvány privát kulcs jelszavát és üzemi üzemmód), és indítsa el a szervert grid computing feladatokat lehet benyújtani benyújtása előtt a rács feladat. UserCA biztonsági keret az 1. ábrán látható. A fő modul proxy tanúsítványt fogyasztók proxy tanúsítvány szolgáltató által aláírt tanúsítványt az ügynök oldalán, az identitás térképészeti információs szerver, beléptető, identitás feltérképezése stratégia, CA tanúsítvány stratégia, CA minősítő központ. Minden modul funkciói a következők: (1) CA tanúsító központ. A globális könyvvizsgálói által kiállított igazolást a központban, mind az eredeti által kiállított igazolás minősítő központ, beleértve a személyes tanúsítványt és a fogadó tanúsítványt. Ahhoz, hogy a jogos felhasználót rács felhasználónak, amelyet alá kell írnia a CA személyes tanúsítvány központok, ha kell telepíteni grid szolgáltatások korlátozott hozzáférés, akkor alá kell írnia egy jogi által kiállított igazolást a CA mainframe központ. (2) Information Server. Milyen információkat nyújt lekérdezés, mint például, hogy létezik egy szolgáltatás, a felhasználó férhet hozzá bizonyos szolgáltatásokhoz, a csomópont-specifikus információ alapján. (3) feltérképezése stratégia. Ez kívül a domain a határozat lesz leképezve, amit a felhasználó személyazonosságát eléréséhez a domain. (4) A proxy tanúsítvány fogyasztókat. Grid erőforrások segítségével proxy tanúsítvány biztonságos hozzáférést. Amikor egy modul eléréséhez grid szolgáltatások, a szerepe ennek a modul a proxy tanúsítvány fogyasztók számára. Általában a tényleges teljesítmény a rendszer erőforrás ütemező (ResourceBroker). (5) Ügynökség bizonyítványt szolgáltatót. A fogyasztók proxy tanúsítvány hozzáférés előtt a szolgáltatás, a szolgáltatás kell elérni, hogy készítsen saját identitását, az ügynök tanúsítványt. A fogyasztók proxy tanúsítvány kéréseket a proxy tanúsítványt szolgáltató megszerezzék a szükséges proxy tanúsítványt, a tanúsítvány által biztosított meghatalmazott által aláírt igazolást proxy kliens, hogy kölcsönhatásba lépnek, és menj vissza a proxy ügynök certificate Tanúsítvány fogyasztókat. (6) által aláírt tanúsítványt az ügynök oldalán. A telepített a felhasználó kliens, egyedileg konfigurálható, hogy fusson. Agent tanúsítvány szolgáltató elérésekor a proxy szerver tanúsítványt, ha a tanúsítvány nem felel meg a feltételeknek, a hivatal, az ügyfél aláírja által kiállított igazolást a hivatal összhangban PKCS # 10 [3] formátumban a tanúsítvány aláírási kérés; ügynök által aláírt tanúsítványt az ügyfél aláírja a proxy tanúsítvány Visszatérés a proxy tanúsítványt kérelmezőnek. Proxy által aláírt igazolást végén nincs automatikus és manuális módban. Automatikus módban proxy által aláírt tanúsítványt a kliens automatikusan aláírni funkció nem igényli a felhasználó részvételét; aláírt kézi üzemmódban, minden felhasználó köteles aláírni a kérelmet megerősítő hogy elkerülje az esetleges visszaélések aláírt, a hatása ez a mód sokkal biztonságosabb. (7) A beléptető. Rács a felhasználók számára az egyes helyi szolgáltatások, először térképezni, hogy egy adott helyi felhasználói (a grid-térkép-file [3] dokumentumok adott leképezés), mielőtt belépne a helyi szolgáltatásokat. (8) a személyazonosságát feltérképezése. Kívül a domain felhasználók hozzáférhetnek a domain, személyazonosságát lesz leképezve, mint a tartományi felhasználóként. (9) A proxy tanúsítványt tároló medence. Agent Certificate Authority bizonyítványt nyújtó kap, ha az élet nagyon rövid, de még mindig valószínű, hogy kihasználva a támadók, ezért szükséges, hogy proxy tanúsítvány tárolja biztonságos helyen a következő használatra.
Motívum
Lásd alább:
|
