返回
网格环境下安全认证研究

网格环境下安全认证研究

ID:20078619

大小:35.00 KB

页数:5页

时间:2018-10-09

网格环境下安全认证研究_第1页
网格环境下安全认证研究_第2页
网格环境下安全认证研究_第3页
网格环境下安全认证研究_第4页
网格环境下安全认证研究_第5页
资源描述:

《网格环境下安全认证研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、网格是近些年来计算机技术领域的研究热点,它吸收各种分布在不同地理位置的高性能计算机、数据库等各种计算资源,通过互联网技术组成动态共享和协同计算的资源集成。网格能有效的组织利用闲置资源,提供超强的数据处理能力。网格以现有的万维网为通信平台,因此网格环境的安全也是建立在万维网的安全基础上的。目前万维网存在着冒充、篡改、抵赖、非授权访问、非法登录等各种安全威胁,而网格作为第三代网络,要真正实现大规模、高速、分布、异构、动态、可扩展等特性,不仅需要解决普遍存在于万维网上的安全问题,还需要解决网格计算特有的安全问题。网格的安全模型必须建立在一个动态、需要协

2、调不同访问控制策略和不同安全互操作的环境中。[1]而现有的安全技术往往不能胜任这种高要求,因此解决网格环境下的安全问题就显得尤为重要。认证,是指对用户身份或消息来源及内容的验证。认证包括两类:一是身份认证,指在用户开始使用系统时,系统对其身份进行的确认;二是消息认证,验证传输数据的来源及其完整性。消息认证通过对消息源、消息内容以及消息时间性的鉴别来保证消息的真实性和完整性;身份认证是对终端用户的身份进行识别和验证,防止非法用户对计算机或网络系统的未授权访问。目前万维网通过访问控制机制来保护合法资源不被非授权用户使用。认证作为网格安全的最外层防线,

3、也是最重要的一层防线,是网格安全的基础保证。2网格在认证方面的要求网格环境由网格的特性所决定,它与传统的网络相比要求同时使用大量的资源、动态的资源请求,且所有节点的资源都是完全虚拟化的,服务请求者和服务提供者的身份完全隐藏,不同的环境下服务请求者与提供者的身份可能互换,且用一个用户在不同的环境中也可能有不同的身份,每个用户的身份都是实时动态变化的。网格环境下的认证有着更高更灵活的要求,主要可以划分为以下几个方面:(1)需保证网格中每个节点的安全性网格环境下,节点由不同的计算资源组成,不仅用户的数量是庞大的,而且用户的身份也是动态变化的,实现用户身

4、份的统一管理和认证是十分必要的。允许合法的用户使用资源,拒绝非法用户访问、破坏资源,这是保护节点安全的基础。(2)保护节点与节点间通信的安全性在保证合法用户安全访问资源的基础上来保护用户间的安全通信,避免信息被泄露、篡改,以防止重放攻击等非法行为,保证信息的完整性和可靠性。(3)需保证资源的访问权限认证 资源有不同的访问授权级别,访问网格中的资源需要由每个资源的授权策略来控制。不同的用户对同一个资源有着不同的使用权限,因此资源需要验证用户是否得到访问资源的合法授权。 网格环境下对系统的可扩展性、灵活性等方面的更高要求给认证提出了新的挑战,但总的来

5、说,网格对认证需求主要包括:身份一站式认证、资源认证、代理、协同认证以及基于用户的信任关系等。3网格认证的研究现状 目前发展最好的网格安全系统是Globus项目的网格安全体系结构GSI,指gridsecurityinfrastructure,它使用了最常见的安全标准和设施。GSI基于公钥加密体系(publickeyinfrastruture),采用X.509认证和安全套接字层协议通信,并对它们进行了一定的扩展,使得GSI可以支持单点登录。GSI还能够提供安全认证、通信加密、主机证书和私钥的存储与保护以及委托授权等安全功能。GSI在原有网络安全技术

6、的基础上,引入了在线证书库OCR,使用户可以不受地点的限制安全登录网格并实现身份认证,提高了网格系统的灵活性。[3]Kerberos鉴别在认证中是使用最广泛的,它基于Needham-Sehroeder协议,并在该协议中引入了时间戳处理机制,基于对称加密技术来提供认证、消息完整性、消息保密性等安全服务。Kerberos的基本思想是:一个公开分布式环境中,用户在对应用服务器进行访问之前,必须先从第三方(Kerberos服务器)获取该应用服务器的访问许可证。它为用户和服务器提供相互认证,只有通过认证的用户才能访问服务器,以防止未授权访问。用户和服务器之

7、间构造了一个安全桥梁。 Kerberos身份认证过程 Kerberos认证协议应用十分广泛,但它并不与GSI直接兼容,与X.509机制也存在很大的差别。美国密歇根大学开发的KX.509试图通过将Kerberos基础设施与X.509证书相融合来回避这一问题。KX.509是一种“Kerberos化”的客户端程序,它用现有的Kerberos票据获得X.509证书,将Kerberos的TGT转换成X.509代理证书。[3] KX.509协议对现有的Kerberos协议进行扩充,在KDC中增加了一个KCA(KerberizedCertificateAuth

8、ority),其基本过程是(如图2):Kerberos域中的用户在向TGS(票据分发服务器)申请后,得到访问KCA的票据,然后用户生产公

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。