网络与分布式环境下的安全性.pptVIP

网络与分布式环境下的安全性 领域概述 基本方法 案例：CRSIS GRID 领域概述 传统的安全模型：Authentication(认证)与访问控制（Access Control） 领域概述 分布式环境带来的复杂性 验证关系复杂（introduced by indirection） 跨安全域验证 平台异质性：验证方式的异质，通道的异质 信任关系不能事先建立 不存在中心验证机构（容错性，可扩展性需要） 需要和本地的访问控制策略兼容 基本方法 冗余Redundancy 攻击一点不会导致系统崩溃 CA/OLA in CRSIS: sign and countersign 缓存Caching 提高availability和performance 必然带来cache时效性的问题 引入间接性Indirection 降低复杂性，提供透明性和可扩展性 Proxy in Grid，Process Manager in CRISIS 基本方法 统一的Credential/certification架构 克服跨域验证 为不同域的实体相互验证提供了基础 公钥的方法避免credential的泄露 方便了Credential的共享 基本方法 局部自治(Autonomy) 所有的访问控制都由实体所属的安全域决定 含义有多重，包括对本地安全策略的指定和对访问请求的区分 消除了集中式的决策需要 引入的问题：全局和局部的名字空间mapping（GRID） 案例: CRISIS GRID CRISIS 基于证书Certificates Identity Certificates and transfer Certificates 冗余性：CA/OLA pair 间接性:引入resource provider 案例: CRISIS GRID 案例: CRISIS GRID GRID 同样基于证书与签名 User Proxy Credential: SigU{user-id,host,start-time,end-time,auth-info,…}类似transfer certificate 间接性：引入User Proxy ，Resource Proxy和resource provider接近 冗余性：User Proxy 可能成为瓶颈 案例: CRISIS GRID * * * * * User purse 中包含了各种 角色 和角色的certificate