网络前面是网格课件

1、第六章 通讯与安全龚 斌山东大学计算机科学与技术学院山东省高性能计算中心WS-Security（Web Service Security）Web services 由WSDL(Web Services Description Language ) 进行描述 处理由XML编码的SOAP 信息在 HTTP之上传递被广泛部署的分布式服务web services 是当今商业界的热点WS-Security为 Web services提供安全保证its first roadmaps and draft specifications have been published in April 2002 by

2、IBM, Microsoft and Verisign.Standardisation activity has been transferred to the OASIS-Open consortium.Web Services Security 1.0 is now an OASIS standard. Seeing：/committees/wss/WS-SecurityWS-Security模型非常复杂每个参与端点需要表示在与其它端点进行安全会话时所希望应用的安全策略指定所支持的认证机制所必需的数据完整性和机密性信任策略，privacy policies，及其它的安全约束基于已有的安全模

3、型 (Kerberos, PKI, 等)基于XML 和 安全协议WS-SecurityGrid Security Infrastructure (GSI)Grid Security Infrastructure（GSI）属于The Globus Project由Argonne National Laboratory和USA Information Sciences Institute联合研发是Globus Toolkit中的安全功能模块，为系统提供安全支持相关链接：http:/security/Globus Security:The Grid Security InfrastructureGS

4、I是Globus为用户和应用程序提供用来安全地访问网格资源的一组工具、类库和协议基于公钥加密技术， X.509证书，和SSL通信协议对这些标准进行了扩展，以能够进行单一登录和授权代理GSI的实现遵循GSS-APIGSS-API是由IETF所提出的通用安全服务API(Generic Security Service API)Grid Security Infrastructure (GSI)GSI is:PKI(CAs andCertificates)SSL/TLSProxies and DelegationPKI forcredentialsSSL forAuthenticationAnd m

5、essage protectionProxies and delegation (GSIExtensions) for secure singleSign-onGrid Security Infrastructure (GSI)GSI能够提供的安全功能安全认证通信加密私钥保护委托授权单一登录 安全认证安全认证是对请求者和接受者双方的身份进行验证的一个过程，是在SSL上进行的一个成功的安全认证，将校验一个请求连接的合法性为其后的双方通信提供一个会话密钥GSI的安全认证是基于用户的私钥创建一个代理，从而为用户提供认证方法。用户如果没有创建这个代理，就不能提交作业，也不能传输数据通信加密GSI 用数

6、字证书进行相互认证，并通过 SSL/TLS 实现对数据的加密，以保证通信的安全Globus Toolkit 中包含 OpenSSL，用于在网格客户机和服务器之间创建加密的管道通信加密是在安全认证之后，由认证的双方产生一个会话密钥，通过这个会话密钥加密通信通道主机证书和私钥的存储和保护/etc/grid-securityhostcert.pem: 在相互认证过程中，服务器所使用的证书hostkey.pem: 与服务器证书相对应的私钥 (read-only by root)/etc/grid-security/certificatesCA certificates: 在校验证书时，被信任的CA证书

7、ca-signing-policy.conf: 定义了一些CA签发证书的策略用户证书和私钥的存储与保护$HOME/.globususercert.pem: 用户的证书(证书中包含的信息有subject name, public key, CA signature，等)userkey.pem: 与用户证书相对应的私钥 (私钥由用户的口令进行加密保护)/tmpProxy file(s):用户所签发的代理证书，这是一些临时存储的文件，包含了未加密保护的代理私钥和证书(readable only by users account)委托授权当用户与服务器认证成功后，将被委托授权通过将用户DN号(唯一的证

8、书主体名称)映射到本地用户账号grid-mapfile: 将grid subject names 映射到本地用户账号的文件（存储在/etc/grid-security目录下）通过映射，网格用户的作业将由这个本地用户根据自己的权限处理Gridmap File实例# Distinguished name Local username/C=US/O=Globus/O=NPACI/OU=SDSC/CN=Rich Gallup” rpg/C=US/O=Globus/O=NPACI/OU=SDSC/CN=Richard Frost” frost/C=US/O=Globus/O=USC/OU=ISI/CN=

9、Carl Kesselman” u14543/C=US/O=Globus/O=ANL/OU=MCS/CN=Ian Foster” itfGridmap文件由Globus管理员维护将Grid-id映射到本地用户名如下：单一登录（Single sign-on）为了实现企业的信息化、电子商务和其他需求，越来越多的信息系统在网上出现。这些应用系统都维护着自己的安全策略，这使得用户需要使用其中的任何一个企业应用的时候都需要做一次身份认证，而且每一次认证使用的认证信息（用户名和密码）不能保证一致，这对于用户来说必须记住每一个系统的用户名和密码系统管理员需要对每一个系统设置一种单独的安全策略,而且需要为每个

10、系统中的用户单独授权以保证他们不能访问他们没有被授权访问的网络资源 单一登录以上传统的用户登录对用户和系统管理员都极为不便为了解决这样的问题，人们提出了单一登录（single sign-on）的概念从用户的角度来看，单一登录的机制是指用户在特定的逻辑安全域中，只需进行一次登录即可访问在此逻辑安全区域中不同应用系统中的被授权的资源，当超越了安全区域边缘时才要求再次登录单一登录GSI以X.509证书实现认证，并通过对X.509证书进行扩展，产生代理证书，用户通过使用代理证书实现单一登录代理证书包含一个不同于用户密钥对的公钥和私钥对，在认证会话中使用的就是这个密钥对。由于代理证书生命周期很短，过期则

11、密钥失效。这样，即使私钥被暴露，危害也有限。这也允许在存储代理的私钥时不用口令进行加密保护。因此，对代理来说，就没有口令了这样，用户输入一次口令，用自己的数字证书产生代理证书后，在代理证书的有效期内，用户使用自己的代理证书进行认证，就可在特定的逻辑安全区域中多次访问不同的数据资源，而不需要再次输入口令单一登录实例通过产生代理证书形成的信任链CAUserUsers Proxy1Users Proxy2Credential by CACredential by UserCredential by Users Proxy1GSI的几个相应APIsgrid-cert-requestgrid-ca-si

12、gngrid-cert-infogrid-proxy-initgrid-proxy-infogrid-proxy-destroygrid-cert-request：获取证书grid-cert-request 用于产生一个公钥/私钥对和未被签发的证书，并存储在用户目录/.globus/:usercert_request.pemuserkey.pem必须仅对用户只读将usercert_request.pem 发送到 ca接收由Globus签发的证书，并存储在/.globus/usercert.pem或由grid-ca-sign签发获得usercert.pemgrid-ca-sign：证书签发由Gl

13、obus的SimpleCA对用户所提交的证书请求usercert_request.pem进行签发产生用户证书usercert.pem-BEGIN CERTIFICATE-MIICAzCCAWygAwIBAgIBCDANBgkqhkiG9w0BAQQFADBHMQswCQY u5tX5R1m7LrBeI3dFMviJudlihloXfJ2BduIg7XOKk5g3JmgauK4-END CERTIFICATE-Sample usercert.pem:-BEGIN RSA PRIVATE KEY-Proc-Type: 4,ENCRYPTEDDEK-Info: DES-EDE3-CBC,1E9246

14、94DBA7D9D1+W4FEPdn/oYntAJPw2tfmrGZ82FH611o1gtvjSKH79wdFxzKhnz474Ijo5Blet5QnJ6hAO4Bhya1XkWyKHTPs/2tIflKn0BNIIIYM+s=-END RSA PRIVATE KEY-Sample userkey.pem:Certificate and Key Datagrid-cert-info：显示证书信息grid-cert-info用于获取证书的信息，如显示证书的主体信息命令：% grid-cert-info -subject/C=US/O=Globus/O=ANL/OU=MCS/CN=Ian Fost

15、er显示证书的其它信息选项：-all-startdate-subject-enddate-issuer-helpgrid-proxy-init：产生代理证书在认证时，产生用户的代理证书命令如下：% grid-proxy-initEnter PEM pass phrase: *这个命令将产生一个临时性的，本地的，短期有效的用户代理证书grid-proxy-init的命令选项：-hours -bits -helpgrid-proxy-init Detailsgrid-proxy-init产生一个本地的代理证书用户输入口令，用于解密私钥私钥被用于签发代理证书签发代理证书之后，在代理证书的有效期内，用

16、户的私钥将不再使用Proxy被存储在/tmp下,对用户只读grid-proxy-initUser certificate filePrivate Key(Encrypted)PassPhraseUser Proxycertificate filegrid-proxy-infogrid-proxy-info 显示代理证书的详细信息，如显示代理证书的主体信息的命令如下：% grid-proxy-info -subject/C=US/O=Globus/O=ANL/OU=MCS/CN=Ian Foster显示代理证书信息的选项：-subject-issuer-type-timeleft-strengt

17、h-helpgrid-proxy-destroygrid-proxy-destroy 用于删除由grid-proxy-init所产生的本地代理证书 :% grid-proxy-destroy但不能删除由这个proxy所授权产生的任何其它远程proxyGSI的应用实例keycertgatekeeperclient1. 交换证书，认证，委托2. 检查gridmap文件3. 服务查找4. 运行服务程序 (e.g. jobmanager)jobmanagerkeycert1.2.map4.services3.访问控制网络访问控制概述社区授权服务CAS虚拟组织身份服务VOMS网络访问控制概述授权模型推式

18、授权模型拉式授权模型代理授权模型资源权威主体1234资源权威主体1234资源权威主体1234推式拉式代理社区授权服务CAS它是由ESG(地球系统网格)组织提出的，得到了Globus项目的支持，现已发布了第二个版本，CAS提出了在一个VO内实行策略管理和对服务实行强制性策略的方案，在每一个VO内部建立一个CAS服务器来维护社区的策略，在用户的代理证书中加入CAS的授权声明（既策略声明）来实现授权的访问控制。请求普通的用户代理Cas-proxy-init代理和CAS的策略声明策略声明Gridftp 客户端CAS 服务CAS DB用户、对象、权限CAS 服务器应答查询Gridftp Server(被修改来进行CAS授权)授权库策略声明Gridftp服务策略声明用户社区授权服务CAS 社区授权服务CAS一个典型的用户访问gridftp服务的交互过程。这个Gridftp服务器是经过修改的，来承担CAS的授权。CAS用户首先得到一个标准的网格代理证书，然后向CAS服务器请求信任，CAS服务器根据CA