基于的网格安全实现机制

3.4.3　基于GSI的网格安全实现机制

3.4.3.1　网格安全基础设施(GSI)概述

网格环境中,安全标准需要达到以下目标:

第一,支持在网格计算环境中主体之间的安全通信,防止主体假冒和数据泄密;

第二,需要支持跨虚拟组织边界的安全,避免采用集中管理的安全系统;

第三,需要支持网格用户的“单一登录”,包括跨多个资源和站点的计算所进行的信任委托和信任转移。

GSI(GlobusSecurityInfrastructure)是Globus为用户和应用程序提供用来安全地访问网格资源的一组工具、类库和协议。它基于公钥加密技术,X.509证书和SSL通信协议,并对这些标准进行了扩展,以能够进行单一登录和授权代理。

GSI的实现遵循GSS-API,GSS-API是由IETF所提出的通用安全服务API (GenericSecurityServiceAPI)。

3.4.3.2　GSI安全功能

1.安全认证

安全认证是对请求者和接受者双方的身份进行验证的一个过程,是在SSL上进行的。一个成功的安全认证,将校验一个请求连接的合法性,并为其后的双方通信提供一个会话密钥。

GSI的安全认证是基于用户的私钥创建一个代理,从而为用户提供认证。用户如果没有创建这个代理,就不能提交作业,也不能传输数据。

2.通信加密

GSI用数字证书进行相互认证,并通过SSL/TLS实现对数据的加密,以保证通信的安全。

GlobusToolkit中包含OpenSSL,用于在网格客户机和服务器之间创建加密的管道。

通信加密是在安全认证之后,由认证的双方产生一个会话密钥,通过这个会话密钥加密通信通道。

3.私钥保护

在一般情况下,GSI要求Globus用户保存在本地计算机的一个文件中,为了阻止本地计算机的其他用户窃取私钥,此文件需要用密码进行加密和保护。GSI还可以采用外部介质如加密的smartcard来保存私钥,这样就降低了他人窃取私钥的可能性。

(1)主机证书和私钥的存储和保护

通常在/etc/grid-security目录下保存服务器的证书和证书所对应的私钥。其中hostcert.pem文件是认证过程中服务器使用的证书;hostkey.pem文件是与服务器证书相对应的私钥(read-only byroot)。

通常在/etc/grid-security/certificates目录下,CAcertificates文件是在校验证书时,被信任的CA证书;ca-signing-policy.conf文件中定义了一些CA签发证书的策略。

(2)用户证书和私钥的存储与保护

通常在$HOME/.globus目录下保存有用户的证书以及证书所对应的私钥。usercert.pem文件是用户的证书(证书中包含的信息有subjectname,publickey,CA signature,等);userkey.pem文件中保存有与用户证书相对应的私钥(私钥由用户的口令进行加密保护)。

在/tmp目录下,保存着用户所签发的代理证书Proxyfile(s),这些用户所签发的代理证书是一些临时存储的文件,包含了未加密保护的代理私钥和证书(readableonly byuser'saccount)。

4.委托授权

GSI对标准的SSL协议进行了扩展,使得GSI具备安全委托能力,这样,当一个网格运算需要用多个网格资源,或者说需要一个代表用户的代理来请求资源,GSI通过创建代理来避免重复输入口令,这样可以在不同的节点之间形成一个安全信任链,如图3.8所示。

图3.8　基于GSI安全代理的安全信任链

当用户与服务器认证成功后,将被委托授权。

通过将用户DN号(唯一的证书主体名称)映射到本地用户账号。grid-mapfile文件将gridsubjectnames映射到本地用户账号的文件(存储在/etc/grid-security目录下)。

通过映射,网格用户的作业将由这个本地用户根据自己的权限去处理。

5.单一登录

从用户的角度来看,单一登录的机制是指用户在特定的逻辑安全域中,只需进行一次登录即可访问在此逻辑安全区域中不同应用系统中的被授权的资源,当超越了安全区域边缘时才要求再次登录。

GSI以X.509证书实现认证,并通过对X.509证书进行扩展,产生代理证书,用户通过使用代理证书实现单一登录。

代理证书包含一个不同于用户密钥对的公钥和私钥对,在认证会话中使用的就是这个密钥对。由于代理证书生命周期很短,过期则密钥失效。这样,即使私钥被暴露,危害也有限。这也允许在存储代理的私钥时不用口令进行加密保护。因此,对代理来说,就没有口令了。这样,用户输入一次口令,用自己的数字证书产生代理证书后,在代理证书的有效期内,用户使用自己的代理证书进行认证,就可在特定的逻辑安全区域中多次访问不同的数据资源,而不需要再次输入口令。

3.4.3.3　GSI的应用实例

第一,交换证书,认证,委托;

第二,检查gridmap文件;

第三,服务查找;

第四,运行服务程序。

图3.9　GSI应用实例

3.4.3.4　网络整合中的用户管理和权限管理

要实现全台业务的整合,应做到统一用户管理和统一权限管理。通过统一用户管理,电视台内的每一位工作人员获得唯一的一个用户账号。这样,电视台的每一位工作人员就可以通过统一用户身份认证来实现对相关业务系统的控制访问。

图3.10　全台监控系统架构

通过统一权限管理可以设定每一个用户使用业务系统的权限,可以在此之上,形成对网格用户的权限映射关系。

这样就存在一个问题,就是统一管理下的用户和网格用户的关系。可以通过这样一种方法,就是,当某一用户(统一管理用户)获得相关权限,执行网格作业时,就自动映射为网格用户,获得使用网格服务的相应权限,由网格资源去完成相关的作业。