Globus网格的安全架构中的域间访问控制规则和安全可靠的组ppt课件

1、Globus网格的平安架构中的域间访问控制规那么和平安可靠的组通讯技术研讨王育峰Yfwang2001.12.29主要内容1.网格计算系统简介2.Globus引见3.Globus网格的平安架构引见4.研讨内容一、 网格计算系统简介1.产生背景2.定义3.特点4.系统构造5.运用6.研讨现状产生背景 随着高性能计算运用需求的迅猛开展，处理一些超大规模运用问题所需求的计算才干，已不能够在单一的计算机上获得。因此，这就需求将地理上分布、系统异构的多种计算资源经过高速网络衔接起来，构建成网络虚拟超级计算机，以此来共同处理大型运用问题。定义 将地理上分布、系统异构的各种高性能计算机、数据效力器、大型检索存

2、储系统和可视化、虚拟现实系统等，经过高速互连网络衔接并集成起来，构成对用户相对透明的虚拟的高性能计算环境，即网格计算系统，这个计算环境是一个广域范围内的无缝集成和协同计算环境。特点1扩展性：网格计算系统初期的规模较小，随着超级计算机系统的不断参与，系统的规模随之扩展。2系统多层次的异构性：构成网格计算系统的超级计算机有多种类型，不同类型的超级计算机在体系构造、操作系统及运用软件等多个层次上具有不同的构造。3构造的不可预测性：与普通的局域网系统和单机的构造不同，网格计算系统由于其地域分布和系统的复杂使其整体构造经常发生变化。特点续4动态和不可预测的系统行为：在传统的高性能计算系统中，计算资源是独

3、占的，因此系统的行为是可以预测的，而在网格计算系统中，由于资源的共享呵斥系统行为和系统性能经常变化。5多级管理域：由于构成网格计算系统的超级计算机资源通常属于不同的机构或组织并且运用不同的平安机制，因此需求各个机构或组织共同参与处理多级管理域的问题。系统构造协议GPIP：Grid Public Information ProtocolGCP：Grid Computing ProtocolGSIP：Grid System Information Protocol系统构造软件 Our service grid consists of three parts of software: the cli

4、ent side, the network side, and the server side. 运用1桌面超级计算：这些与远程超级计算机和数据库相耦合的应器具有高端图形处置才干，这种耦合运用户在获得超级计算才干的同时，与计算资源、运用开发人员以及其他用户坚持远程间隔。2精细仪器：这些运用将用户和远程超级计算机系统上的望远镜、显微镜以及卫星接纳安装相连以获得准实时的数据处置。运用续3协同环境：第三方运用将多个虚拟环境组织在一同，不同地点的用户可以和其他用户和超级计算机模拟系统进展交互。4分布式超级计算：这些运用将多个超级计算机组织在一同，处理一些单机难以处置的问题，或者将问题分解到多台计算机上

5、并行处置。研讨现状 由于网格计算系统具有扩展性、系统多层次的异构性、构造的不可预测性、动态和不可预测的系统行为、多级管理域等特点，网格计算系统本身存在着很多问题，比如：动态自顺应性问题、平安管理问题、缺乏高效的程序编译模型和执行引擎等。这些问题的存在限制了网格技术的进一步开展和网格运用的进一步推行。 研讨现状续 目前国外许多政府部门、研讨机构、跨国公司和著名大学的许多科研人员从事网格计算系统的研讨，曾经开展了许多论坛：/、实验环境和研讨工程。较有代表性的网格计算工程包括：实验床、Globus工程、Legion工程、Globe工程、NetSolve工程、Javalin工程等。研讨现状续 网格的研

6、讨工程可简单地分成有代表性的两类：(1)Globus工程 提供根底的软件,集成分散的异构资源，构成一个单一的计算环境。其中心是Globus网格计算工具包，这是一个构筑网格计算环境的中间件，提供根本的资源定位、管理、通讯和平安等效力。该计算工具包是模块化的，允许用户按本人的需求定制环境。研讨现状续(2)基于Java的网格计算 Java言语和相关技术胜利地处理了困扰网格计算的几个关键问题，如异构性和平安性，另一个重要的优势是Java程序的最小执行环境可以在Web 阅读器中执行而不需求另外安装软件，实际上全球恣意一台装有Web阅读器的机器都可以进展全球计算。虽然Java平台还存在效率低等问题，但它无

7、疑将大大影响网格计算方式的开展，使实现全球分布式计算已不再是一个梦想。 研讨现状续 中国科学院计算技术研讨所做了大量网格技术方面的研讨任务，他们设计并实现了国家高性能计算环境NHPCE，目前从事织女星网格的设计和实现的研讨任务。网格计算系统的研讨曾经成为国家863工程的研讨内容。二、 Globus引见1.Globus工程简介2.Globus研讨方向3.Globus Toolkits 引见工程简介 Globus 工程由The Defense Advanced Research Projects Agency (DARPA)，U.S. Department of Energy ，The Natio

8、nal Science Foundation NSF ，the National Aeronautics and Space Administration NASA 等机构共同资助。工程的承当单位是Argonne National Laboratorys Mathematics and Computer Science Division 以及the University of Southern Californias Information Sciences Institute 。工程开场于1996 年。工程简介续 Globus 是一个研讨性的工程，其主要的研讨目的有两个：1 网格技术的研讨,

9、2 相应软件的开发和规范的制定。同时，Globus 工程还涉及到网格运用的开发以及Testbed 的建立。Globus 工程是一个较为长期的工程，对网格技术进展了深化的研讨，并开发了比较成熟的软件Globus Toolkits 。最近曾经开场进展网格的规范化任务。Globus 工程完成了多篇学术论文，其研讨成果在国际上产生了重要的影响，网格技术曾经成为高性能计算研讨领域中的热点。研讨方向 Globus 工程主要针对以下几个方面进展了研讨： 1资源管理：主要的任务集中在通讯资源和计算资源的命名和定位。 2数据管理:主要集中在分布式环境下如何对数据进展管理，特别是涉及到数据密集型的高性能计算问题。

10、同时提出了Data Grid 。 3运用开发环境:主要研讨如何为网格运用，包括精细仪器、显示、计算资源和信息资源提供易用的开发环境和编程言语如CORBA ，JAVA ，Perl ，Python 。研讨方向续 4信息效力：主要研讨如何提供准确、实时的信息来配置计算机、网络以及协议、算法等资源，实现高性能的分布式计算环境。 5平安：主要研讨如何在多个管理域、多种平安战略，以及主体动态变化的条件下提供网格一致的平安方案。Globus Toolkits 引见 Globus工具包是一个构筑网格计算环境的中间件，提供根本的资源定位、管理、通讯和平安等效力。该计算工具包是模块化的，允许用户按本人的需求定制环

11、境。利用这套工具可以建立计算网格，并可以进展网格运用的开发。Globus Toolkits 引见续 Globus Tookkit 主要包括以下的内容： 1平安架构GSI Grid Secuity Infrastructure GSI 的主要目的为：1 计算网格的通讯平安平安认证和信息私有，2 包含多个管理域的分布式平安系统3 用户的单一登录。在运用公钥加密、X.509 认证以及平安传输层SSL 协议并结合Generic Security Service API 的根底上，GSI 实现了双重认证和用户的单一登录。Globus Toolkits 引见续 2信息架构 MDS Metacomputin

12、g Directory Service 在LDAP 协议的根底上提供了对网格资源信息的一致命名。GRIS Grid Resource Information Service 提供了对网格中各种资源的情况、配置、性能的查询。GIIS Grid Index Information Service 为网格提供了对各种信息资源的检索。Globus Toolkits 引见续 3资源管理 RSL Resource Specification Language 用于资源管理各个组成部分之间进展资源需求信息的交换。GRAM Globus Resource Allocation Manager 为各种不同的资源

13、管理工具提供了规范的接口。DUROC Dynamically-Updated Request Online Coallocator 提供协同资源分配效力。Globus Toolkits 引见续 4数据管理 GASS Globus Access to Secondary Storage 向网格运用提供了访问远程文件系统的才干。在GSI 的根底上，SIFTP 实现了高性能、平安的FTP 协议。Globus Toolkits 引见续5通讯 提供了多线程通讯库Nexus ，Nexus 运用一套单一的API 实现对多种通讯协议的支持。在Nexus 的根底上实现了基于网格系统的MPI 规范的实现MPICH

14、-G 。提供globus_io 库，在此根底上程序员可以运用TCP 、UDP 、IP multicast 、文件I/O 等效力实现平安、异步通讯，以及QoS 。Globus Toolkits 引见续6错误检测 Heartbeat Monitor 提供了对进程的监控，并定时的向其他监视器发送心跳。7可移植性 提供了可移植的libc 库，线程库，数据转换库，Globus_utp API 以及Globus Toolkit要用到的根本数据类型库。三、 Globus网格的平安架构1.平安架构GSI Grid Security Infrastructure 引见2.一个实践运用的特征3.平安需求4.平安规

15、那么5.存在问题平安架构GSI Grid Security Infrastructure 引见 GSI 运用公钥加密即非对称加密作为整个平安系统的根底。GSI 实现的主要目的是：(1)客户端与计算网格之间进展平安通讯认证和私有。(2)建立包括多个不同组织的平安系统，不采用集中管理的平安系统。(3)对于网格用户需求提供对“单一登录Single Sign-On 的支持。平安架构GSI Grid Security Infrastructure 引见续GSI 主要分为以下几个部分：(1)授权Certificates (2)双重认证Mutual Authentication (3)私有通讯Private

16、 Communication (4)平安私钥(5)代理和单一登录Proxies and Single Sign-On 平安架构GSI Grid Security Infrastructure 引见续 认证过程运用的四个协议：User Proxy Creation ProtocolResource Allocation ProtocolResource Allocation from a Process ProtocolMapping Registration Protocol 一个实践运用的特征 1资源数量宏大并且是动态的。 2一个进程在它执行的过程中会恳求，运用，释放资源。 3进程之间需求经

17、过某种机制进展通讯。 4资源能够需求不同的认证和授权机制。 5一个用户在不同的结点能够运用不同的本地名字空间，证书，帐号。平安需求 网格计算系统的平安需求做到： 1单一登录Single sign-on 2授权维护Protection of credentials 3与本地的平安方案协同任务Interoperability with local security solutions平安需求(续 4一致的授权/证书发放机制Uniform credentials/certification infrastructure 5提供平安的组通讯Support for secure group commun

18、ication 6支持多种实现方案Support for multiple implementations 这些要求无法用分布式系统中曾经存在的技术加以处理。 平安规那么1网格环境由多个信任域组成。2单一信任域内的操作只运用本地的平安规那么。3全局和本地对象Subject)同时存在；对每一个信任域，存在一张从全局到本地的映射表。4位于不同信任域的实体(Entity)上的操作需求多种认证。 平安规那么续5一个经过认证的全局对象映射到本地对象，被假设为经过了本地的认证。6一切访问控制决议都在本地做出。7允许一个程序或进程以“用户的身份出现，并被授予用户的部分权限。8在同一个对象上运转的同一个信任域

19、内的一切进程运用单一的证书。存在问题 1缺乏基于规那么的具有良好扩展性的访问控制机制。 2缺乏域间访问控制规那么。 3缺乏平安的组通讯。 4缺乏支持扩展到大量资源和大量用户的授权机制。四、研讨方案1.研讨内容和方法2.研讨方案3.预期成果4.参考文献研讨内容和方法1搭建Globus实验床 在网络中心利用PC机和Globus Toolkits搭建48个结点的Globus实验床，在国家高性能中心利用同样的设备搭建24个结点的Globus实验床，这两个实验床将经过校园网衔接起来，并进一步与中国科学院计算技术研讨所的网格实验床衔接起来。2研讨Globus的平安架构中能够存在的问题 利用搭建好的Glob

20、us实验床，进展各种实验，研讨Globus的平安架构中能够存在的平安问题，深化分析产生这些问题的详细缘由。 研讨内容和方法续3研讨Globus的域间访问控制规那么 Globus的域内访问控制规那么曾经有明确的表达，利用域内访问控制规那么并结合Globus的平安架构中能够存在的平安问题研讨Globus的域间访问控制规那么，并给出明确的表达方式。4研讨Globus的平安可靠的组通讯技术 组通讯技术目前曾经有比较普遍的研讨，有现成的技术规范可以自创，但是顺应于大规模的、跨地域的、动态的组通讯技术的研讨还刚刚起步。利用搭建好的Globus实验床，研讨Globus的平安可靠的组通讯技术，提出一种可行的处

21、理方案，并在实验床上实现和验证该方案。研讨方案 2001.7-2001.12 文献调研和实际分析。2002.1-2002.2 实验床的搭建和调试。 2002.3-2002.5 利用该实验床研讨Globus的平安架构中能够存在的平安问题,深化分析产生这些问题的详细缘由。 2002.6-2002.8 研讨Globus的域间访问控制规那么,并给出明确的表达方式。 2002.9-2003.2 研讨Globus的平安可靠的组通讯技术，提出一种可行的处理方案，并在实验床上实现和验证该方案。 2003.3-2003.5 撰写论文。预期成果(1)一个Globus实验床。(2)Globus域间访问控制规那么的表

22、达方式。(3)Globus的平安可靠的组通讯技术的处理方案。(4)1-2篇学术论文。(5)毕业论文。 目前在预研阶段撰写的论文，曾经被录用。参考文献(1)R. Butler, D. Engert, I. Foster, C. Kesselman, S. Tuecke, J. Volmer, V. Welch, A National-Scale Authentication Infrastructure, IEEE Computer, 33(12):60-66, 2000.(2)I. Foster, C. Kesselman, G. Tsudik, S. Tuecke, A Security Architecture for Computational Grids, Proc. 5th ACM Conference on Computer and Communications Security Conference, pg. 83-92, 1998.(3)Foster, C. Kesselman, Glob