[精选]网格环境下的安全探讨(1)32507.pptx
《[精选]网格环境下的安全探讨(1)32507.pptx》由会员分享,可在线阅读,更多相关《[精选]网格环境下的安全探讨(1)32507.pptx(48页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、网格环境下的安全探讨网格环境下的安全探讨庞彦广庞彦广计算中心计算中心2004/6/11内容o1 1、网格安全概述网格安全概述o2 2、网格的认证网格的认证o3 3、网格的授权网格的授权o4 4、网格体系的其他安全部件、网格体系的其他安全部件o5 5、网格安全的展望网格安全的展望内容o1 1、网格安全概述网格安全概述o2 2、网格的认证网格的认证o3 3、网格的授权网格的授权o4 4、网格体系的其他安全部件、网格体系的其他安全部件o5 5、网格安全的展望网格安全的展望1、网格安全概述网格安全概述o什么是网格计算?什么是网格计算?IforstIforst的话及基本概念的话及基本概念Ian Fost
2、er,Ian Foster,美国美国GlobusGlobus网格项目的领导人之一,网格项目的领导人之一,“网格是构网格是构筑在互联网上的一组新兴技术,它将高速互联网、计算机、大型筑在互联网上的一组新兴技术,它将高速互联网、计算机、大型数据库、传感器、远程设备等融为一体,为科技人员和老百姓提数据库、传感器、远程设备等融为一体,为科技人员和老百姓提供更多的资源、功能和服务。传统的互联网技术主要为人们提供供更多的资源、功能和服务。传统的互联网技术主要为人们提供电子邮件、网页浏览等通讯功能,而网格的功能则更多更强,它电子邮件、网页浏览等通讯功能,而网格的功能则更多更强,它能让人们共享计算、存储和其他资
3、源。能让人们共享计算、存储和其他资源。”通俗的说,就是像人们日常生活中从电网中获取电能一样获取通俗的说,就是像人们日常生活中从电网中获取电能一样获取高性能的计算能力。几乎没有人在打开电灯时考虑电是从哪个电高性能的计算能力。几乎没有人在打开电灯时考虑电是从哪个电站来的。但是,我们在传统的站来的。但是,我们在传统的internetinternet获取信息时,必须告诉计获取信息时,必须告诉计算机去访问某一个网站,好比在打开电灯时,告诉它我们需要某算机去访问某一个网站,好比在打开电灯时,告诉它我们需要某一电站的电一样笨拙。一电站的电一样笨拙。本质上说,网格计算需要解决的问题是如何在动态的、异构的虚本质
4、上说,网格计算需要解决的问题是如何在动态的、异构的虚拟组织间实现资源共享以及协同的解决某一问题。拟组织间实现资源共享以及协同的解决某一问题。一个物理学家的计算实例一个物理学家的计算实例一个物理学家站点站点A站点站点B站点站点C站点站点D farm站点站点E farm站点站点F用户B1用户B2datadatakerberosdata公钥证书用户c1、c2ssL用户d1、d2.data用户F1、F2ssH用户d1、d2.plaintext用户代理程序用户代理程序-物理数据分析程物理数据分析程序序数据存储系统数据存储系统物理模拟物理模拟程序程序资源代理资源代理物理模拟物理模拟相关的计相关的计算算物理
5、模拟物理模拟相关的计相关的计算算参数值参数值一个物理学家的计算实例一个物理学家的计算实例o假设一个物理学家在一个国际合作组织团体中进行科学研究。假设一个物理学家在一个国际合作组织团体中进行科学研究。它收到同事的一封关于新的实验数据讨论的邮件,然后她登陆它收到同事的一封关于新的实验数据讨论的邮件,然后她登陆到自己所在的站点到自己所在的站点A中的一台工作站并启动一个用户代理程序,中的一台工作站并启动一个用户代理程序,该用户代理程序代表他运行一个物理分析程序,而这个物理分该用户代理程序代表他运行一个物理分析程序,而这个物理分析程序需要访问存储在远程站点析程序需要访问存储在远程站点B中的数据存储系统中
6、的一些中的数据存储系统中的一些数据。在物理分析程序运行过程中,为了比较试验结果与预期数据。在物理分析程序运行过程中,为了比较试验结果与预期的结果,它可能需要启动另一个用于物理模拟的程序。于是,的结果,它可能需要启动另一个用于物理模拟的程序。于是,站点站点A中的用户代理与合作站点中的用户代理与合作站点C中的资源代理联系,以查找网中的资源代理联系,以查找网格中能够用来进行物理模拟的闲散计算资源。通过查找分析,格中能够用来进行物理模拟的闲散计算资源。通过查找分析,站点站点C中的资源代理找到了站点中的资源代理找到了站点D和站点和站点E上的闲散计算资源,上的闲散计算资源,于是资源代理分别在两个站点(于是
7、资源代理分别在两个站点(D和和E)中的主机上同时启动了)中的主机上同时启动了与物理模拟相关的计算,而这些计算都需要访问存放在另一个与物理模拟相关的计算,而这些计算都需要访问存放在另一个站点站点F上的一些参数值。上的一些参数值。网格计算的关键特点网格计算的关键特点o上述给出的示例,虽然不能全面反映网格计算的一用特征,但基上述给出的示例,虽然不能全面反映网格计算的一用特征,但基本上说明了网格计算的以下关键特点:本上说明了网格计算的以下关键特点:1、用户数量巨大,并且是动态变化的。、用户数量巨大,并且是动态变化的。2、资源数量巨大,并且也是动态变化的。、资源数量巨大,并且也是动态变化的。3、一个计算
8、可能在他的运行期间动态的要求使用或释放资源,并、一个计算可能在他的运行期间动态的要求使用或释放资源,并可能需要创建许多不同的进程。可能需要创建许多不同的进程。4、不同的信任域可能要求不同的安全策略(认证和授权机制),、不同的信任域可能要求不同的安全策略(认证和授权机制),例:例:kerberos,公钥证书、公钥证书、ssH等。等。5、网格环境下的资源和用户可能分布在不同的国家里,因而可能、网格环境下的资源和用户可能分布在不同的国家里,因而可能受到不同法律和政策的管制。受到不同法律和政策的管制。6、一个计算所涉及的各个站点之间需要高速的网络技术互联。、一个计算所涉及的各个站点之间需要高速的网络技
9、术互联。与传统网络环境相比,网格环境的安全要求与传统网络环境相比,网格环境的安全要求o在开放系统互联(在开放系统互联(OSI)安全体系结构模型中,它定义了)安全体系结构模型中,它定义了5组安全组安全服务:认证服务、访问控制服务、数据的完整性、数据保密性、服务:认证服务、访问控制服务、数据的完整性、数据保密性、非否认服务。网格技术也属于开放体系互联的技术范畴,因此,非否认服务。网格技术也属于开放体系互联的技术范畴,因此,也需要提供上述也需要提供上述5种标准安全服务。不过针对网格环境的特殊关键种标准安全服务。不过针对网格环境的特殊关键特点它还应具备:特点它还应具备:1、网格认证要求、网格认证要求单
10、一登录、委托、兼容不同的本地安全方案单一登录、委托、兼容不同的本地安全方案2、网格通信保护要求、网格通信保护要求灵活的消息保护机制、支持不同的可靠通信协议灵活的消息保护机制、支持不同的可靠通信协议3、网格授权要求、网格授权要求有资源所有者或资源所有者代理决定授权有资源所有者或资源所有者代理决定授权受限委托(减少风险)受限委托(减少风险)网格安全的一种具体解决方案网格安全的一种具体解决方案-GSIo美国网格研究项目Globus提出的GSI(网格安全基础设施)和PKI技术相结合提供了满足网格安全要求的框架。oGSI引入用户代理、资源代理的概念,并定义了四种安全操作协议。创建用户代理、代理分配资源、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 精选 网格 环境 安全 探讨 32507
限制150内