网格安全.ppt
《网格安全.ppt》由会员分享,可在线阅读,更多相关《网格安全.ppt(90页珍藏版)》请在三一文库上搜索。
1、网格安全与调度技术,1.背景回顾 2.网格安全技术 3.网格调度技术 4.参考文献,小组成员:,苏琳、宋丽鹤、何慕哲 莫宇杰、祝晓露,1.背景回顾,网格的发展 网格安全 网格调度技术,2.网格安全,网格安全概述:传统与特殊 网格安全策略:认证与授权 网格安全的其他方法与部件 网格安全的展望,2.1网格安全概述,传统网络安全的基本要素: Internet的安全保障主要提供两方面的安全服务: (1)访问控制服务,用来保护各种资源不被非授权使用 (2)通信安全服务,用来提供认证,数据保密与完整性,以及通信端的不可否认性服务。,2.1网格安全概述,网格完全的特殊要素: (1)鉴定:鉴定是一个验证身份的
2、过程。 (2)授权授权机制决定了系统是否允许一个请求的操作活动。 (3)完整性和保密性保持数据的完整性和保密性是非常重要的。 (4) 账号与审计在网格环境下扮演着非常重要的角色 (5)不可抵赖性不可抵赖性是指即使在嫌疑人否认的情况下,也能够证明嫌疑人曾经执行过或同意过某一具体的任务。,2.1网格安全概述,与传统网络环境相比,网格环境的安全要求 在开放系统互联(OSI)安全体系结构模型中,它定义了5组安全服务:认证服务、访问控制服务、数据的完整性、数据保密性、非否认服务。网格技术也属于开放体系互联的技术范畴,因此,也需要提供上述5种标准安全服务。不过针对网格环境的特殊关键特点它还应具备: 1、网
3、格认证要求 单一登录、委托、兼容不同的本地安全方案 2、网格通信保护要求 灵活的消息保护机制、支持不同的可靠通信协议 3、网格授权要求 有资源所有者或资源所有者代理决定授权 受限委托(减少风险),2.2网格安全策略:认证与授权,网格安全的一种具体解决方案-GSI 美国网格研究项目Globus提出的GSI(网络安全基础设施)和PKI(公钥基础设施 )技术相结合提供了满足网格安全要求的框架。 GSI引入了用户代理、资源代理的概念,并定义了四种安全操作协议:创建用户代理、代理分配资源、进程分配资源、映射权限。,网格安全GSI体系结构,网格安全体系结构,2代理分配资源,3进程分配资源,4映射权限,1创
4、建用户代理,网格安全GSI 体系结构,对用户来说: 全局命名(证书DN)和代理证书使得用户对所有的访问资源只进行一次认证 代理证书和委托技术允许一个进程来代理用户访问资源 x.509,sslv3和GSI-API标准使得支持GSI的工具和应用程序的开发更加容易实现。 对站点来说: 这个体系结构不需用改变本地的安全体系,站点只需简单的安装GSI-enabled服务,这些服务都是总所周知的标准。,GSI-API在GSI的核心框架,GSI采用GSI-API作为其安全编程接口,对协议和机制进行隔离,GSS-API定义提供了通用的安全服务,支持各种安全机制和技术,GSS-API主要面向主体之间的安全鉴别和
5、安全通信操作,它提供的功能包括:获得证书、执行安全鉴别、签署消息和加密消息等,GSI和PKI的认证和授权方案,GSI网格的认证主要是基于PKI的公钥认证机制-X.509证书相关机制。 下面从: 1、证书的获取 2、认证过程 3、委托过程 三方面介绍GSI的认证,证书的获取,介绍网格环境下的两种类型的证书 1、User-做为一个网格用户 user证书用来标示你在网格中的用户名。不是你的服务器的名字或工作站的名字。如证书的唯一名(DN): “/o=gird/o=gridtest/ou= 2、Server-提供资源服务 提供资源服务机器的整个域名DNS必须匹配server证书的唯一名(DN),如:
6、“/CN=service/D”,证书的获取,获取证书过程,认证过程,简单的说,GSI的认证过程就是安全的共享公钥的过程,授权就是将证书的DN(唯一名)映射到远程主机的本地用户/组。,主机B认证主机A的过程,委托过程,一个用户能够授予一个程序代表自己身份的权利,以便该程序能够访问用户被授权的资源。另外,如果需要的话,该程序也可以进一步委托另一个程序。 GSI是通过创建用户的代理证书,来实现委托授权的。 下面介绍一下关键概念代理证书,代理证书,代理证书是一种会话证书,它的生命周期很短(一般几个小时)或是有限的,代理证书是由用户证书所签发的,代表所签用户的全部或部分权利。 两个动机: 单一登录(在本
7、地机器上创建代理证书) 远程委托(在远程主机上创建代理证书,形成证书授权链),代理证书,CA签的证书,Alice签的证书,远程委托过程,网格的安全通信,网格的安全通信是建立在以下两个基础之的: 1、数字证书的互认证 2、SSL/TLS握手 通信的基本原理:服务器的证书通过用户认证后,用户用服务器的公钥加密一个对称密钥给服务器,服务器用私钥解密得到那个对称密钥,完成密钥的协商,然后,他们用这个对称密钥加密要传输的数据。,3、网格的授权-VO,网格安全中的授权问题是当前研究的一个热点: GSI-Gridmap不足 Vo的挑战 介绍vo(虚拟组织) 举例CAS(社区授权服务 )和VOMS(虚拟组织成
8、员服务),GSI授权的不足,GSI授权是通过对一个文件(通常是/etc/grid-security/grid-mapfile)的操作来实现的,这个文件提供了证书标识(全局用户)到本地账号的映射关系 。 下面给出一个网格节点上的gridmap文件的内容: “/O=Grid/O=IHEP/OU= Joo“ bj “/O=Grid/O=IHEP/OU= /CN=Craig McNeile“ mcneile “/O=Grid/O=IHEP/OU= /CN=James Perry“ jamesp “/O=Grid/O=IHEP/OU= /CN=Andrew N. Jackson“ anj “/O=Gri
9、d/O=IHEP/OU= /CN=David Galletly“ galletly “/O=Grid/O=IHEP/OU= /CN=wes“ pywes “/O=Grid/O=IHEP/OU= /CN=Chris Allton“ cra,GSI授权的不足,GSI要求每一个访问资源的全局用户都需要在本地资源服务器上拥有一个自己的账号,每一个资源服务器都需要维护一个庞大笨拙的全局/本地映射表,这种授权机制难以扩展到拥有大量资源和大量用户的大规模环境中。 GSI缺乏基于全局策略的具有良好扩展性的访问控制机制。 针对目前大规模网格环境中授权机制存在的问题,有人提出了虚拟组织中的社区授权策略。,VO概念
10、及实现的关键点,虚拟组织是多个组织中具有某些共同特征的某些实体的集合,他们在共享和使用各种资源时具有一致的模式。虚拟组织中的成员和资源有他们共同遵守的规则和策略。 一个组织中的任何一个实体,可以自己决定信任任何一个CA,而不用涉及的他所在的整个组织。,domain1,domain2,A,B,CA,vo,Vo信任域,多个资源或者组织将他们一定的控制策略授予一个第三方VO,由VO统一管理这些控制策略,来允许同等的资源共享和使用。,VO中信任域的特点,传统意义上安全策略的管理是手工编辑策略数据库或者签发证书,但它不能满足动态性的需求。 1、VO安全技术必须能和不同域的本地安全技术兼容。 2、VO中的
11、用户可以动态的创建和撤销资源,为了使VO中的资源保持一致,信任域必须能够动态的建立,这种信任不仅需要在用户和资源中建立,也需要在资源和资源之间建立。 VO中信任域的动态创建和管理可以通过GSI的代理证书和中心策略服务完成。,Vo信任域,Vo中信任域的动态创建,A,B,CA,建立代理,domain1,domain2,建立代理,策略应用,资源服务所采用的策略是VO的策略和本地策略的交集。,社区授权服务CAS,它是由ESG(地球系统网格)组织提出的,得到了Globus项目的支持,现已发布了第二个版本,CAS提出了在一个VO内实行策略管理和对服务实行强制性策略的方案,在每一个VO内部建立一个CAS服务
12、器来维护社区的策略,在用户的代理证书中加入CAS的授权声明(既策略声明)来实现授权的访问控制。,社区授权服务CAS,社区授权服务CAS,一个典型的用户访问gridftp服务的交互过程。这个Gridftp服务器是经过修改的,来承担CAS的授权。CAS用户首先得到一个标准的网格代理证书,然后向CAS服务器请求信任,CAS服务器根据CAS数据库中所授予这个用户的权限策略,用CAS的私钥签署一个授权策略声明返回给CAS用户,最后用户将这个声明和代理证书提交给要使用的gridftp资源。被修改过的Gridftp服务通过验证用户的策略声明来决定是否提供服务。,VOMS(虚拟组织管理服务),虚拟组织成员服务
13、(VOMS)和CAS在体系结构上是很相似的,他们都由服务中心发布策略声明给用户,由用户提供给资源来获得虚拟组织授予的权限。他们的不同主要是在于他们操作的授权级别不同,CAS的策略声明直接包含了权限,并不需要由资源提供者来解释权限;而VOMS的策略声明包含一个角色或组成员的列表,用户将这个组关系策略声明发送给资源提供者,由资源提供者基于本地的组策略来授予用户权限。,LCAS(本地中心授权服务) LCMAPS(本地信任映射服务),一些弊病,虽然它们的设计解决了在虚拟组织中,对资源和数据访问控制的灵活性、可扩展性、可表达性等问题,但是,它也不是十全十美的,同样也存在着一些弊病,例如: 1、对一个VO
14、单一的策略服务器,会给用户带来访问瓶颈和可靠性等问题。 2、CAS用静态定义的权限来工作,没有反馈机制,不利于某些消费性资源(如:磁盘容量)的合理分配。 3、另外,策略声明还需要进一步的标准化等等。国际组织正在研究的SAML(安全声明标记语言)可能被采用。,2.3网格体系的其他安全部件,物理环境的安全 操作系统的安全 防火墙 入侵监测系统host and network,物理环境的安全,CA服务器应该安全的隔离,并有UPS电源保障,有很好的自动备份功能。 与PKI敏感的机器应该从网络地址分段中逻辑的或物理的分离出来。,操作系统的安全,停止不必要的进程,如sendmail or ftpd。 删除
15、不需要的user or group。 限制对/.globus目录的访问。 考虑配置主机IDS来监视服务器的重要目录。 Anti-virus病毒保护 强密码、更新系统补丁、logging、审计等等。,防火墙,设置grid服务固定端口。如: gram 2219/tcp mds2135/tcp gridftp2811/tcp GIS-enabledSSH22/tcp Grid 服务不能工作在NAT(网络地址转换)之后,因为globus需要使用真实的IP地址。,入侵监测系统host and network,网格环境下主机入侵检测和普通环境没有差别。都是监视用户和系统的活动、分析系统的配置和漏洞、评估系
16、统和文件的完整性、分析典型的攻击模式等等。 网络入侵检测在网格环境下,发挥不了它的一些功能。因为网格服务之间的信息传输是经过Ssl/Tls加密的。这样network IDS不能分析加密数据报的数据部分,它只能分析基于包头的一些事件,因为包头是不加密的。,2.4网格安全的展望,(1)入侵检测技术 目前的网格安全技术主要集中在开发制定各种安全协议,以防止未经授权的非法用户的访问。而网格技术要得到真正成熟的应用,还必须研究网格环境下的入侵检测技术,并努力减轻这种入侵所产生的破坏作用。网格安全要到达的最终效果,是要使得网格即使是在遭到攻击的情况下,仍然能够持续不断地提供一定的服务质量。,2.4网格安全
17、的展望,(2)持续监控技术 对网格安全体系结构的一个至关紧要的要求就是对虚拟组织的安全状态持续监控。通常,虚拟组织中某一成员的安全策略的改变,会影响到组织中的其他成员,但是这种影响只有当它产生的后果发生时才会被检测出来。因此对于虚拟组织中的安全策略的改变的持续监控就显得非常重要。开发网格时必须同时建立软件质量保障机制。只有这样,才能避免由于缺乏良好安全机制而导致整个网格框架的崩溃。,2.4网格安全的展望,(3)动态控制技术 过于复杂的安全机制会对网格的运行效果产生不好的影响。虽然一些高度敏感的应用也许会需要复杂的安全机制,但对于其他的应用来说却有可能变成一种负担。因此这就要求能根据实际运行时所
18、掌握的状况来动态控制网格安全的级别。,3.网格调度技术,网格资源具有多方面的异构性,非常适合具有多种内在并行性的应用执行。计算网格主要目标之一就是为用户提供高效的应用程序执行环境。将应用程序调度到异构的计算节点上运行,获得最优或近优的性能指标是应用调度模型研究的目标和方向,3.1 应用程序的网格调度模型,问题的提出 由于网格资源的多样性、异构性、广域分布性和多管理域性,如果把全部网格资源作为一个应用程序的调度和执行目标,可能会因为通信延迟等问题,使得调度变得昂贵,执行效率也会下降,所以网格调度模型需要对应用程序特性、机器特性加以考虑,3.1 应用程序的网格调度模型,3.1 应用程序的网格调度模
19、型,3.1 应用程序的网格调度模型,1.应用程序分析模块 两大功能:应用类型分析、类度分析 三大应用类型:计算密集型、通信密集型、计算通信相对均衡型 类度分析:确定应用程序中并行化任务的多少及其特点 应用程序分析模块的结果定时地发布到“应用特性描述表”中,3.1 应用程序的网格调度模型,3.1 应用程序的网格调度模型,2.资源特性分析模块 网格资源的静态信息:CPU体系结构、操作系统、应用接口等 网格资源的动态信息:调用网格计算中间件的资源监测模块,监测计算资源的可用性及计算资源的动态特性,如可用内存大小、负载情况执行队列长度等 资源特性分析模块的分析结果要定时发布到“机器特性描述表”中,3.
20、1 应用程序的网格调度模型,3.1 应用程序的网格调度模型,3.应用程序分解模块 根据程序代码,把一个应用程序分解成多个子任务 根据机器特性,将子任务构成适合不同机器特性的若干任务集 应用程序分解一直是比较困难的工作,很多时候是由编程人员控制完成的,3.1 应用程序的网格调度模型,3.1 应用程序的网格调度模型,4.机器选择 根据应用需求和用户决策,从全部可用的计算资源中选择一个资源子集以支持该应用的执行 基于对网格中可用资源的动态监测结果,依据“应用特性描述表”和“机器特性描述表”,为不同的应用选择 不同的机器集合,在被选择的机器集合上通过任务调度算法为不同任务选择最合适的执行机器,3.1
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网格 安全
链接地址:https://www.31doc.com/p-3219501.html