网格资源的有效自治与安全分级共享.pptVIP

网格资源的有效自治与安全分级共享 河海大学 高性能计算及网格研究所 计算机及信息工程学院 一、河海大学校园网格的建设背景 二、网格运行的环境 三、网格资源的有效自治与安全分级共享 四、面向特定业务的安全网关及其在校园网格平台中的作用 五、个人兴趣 一、河海大学校园网格的建设背景 1、河海大学其它学科的应用需求 大坝设计： 布设上万个结点，解超大规模的线性方程组 水力学及水环境方面的科学计算： 有限元与差分方法 2、网格计算的科学计算能力 1） 1997年7万台计算机采用Rocke Verse编写的“穷举”式程序，在已知明文的情况下成功地找到长56位的DES密钥。在当时，若使用“1次加密/?s”的计算机，需1142年 2）生物基因计算、天体物理等大规模计算方面都有成功案例 3、河海大学校园网格建设的状况 高性能计算及网格研究所的成立 与解放军理工大学刘鹏博士负责的军事网格研究中心合作，共同发展。 4、校园网格平台的拓朴结构 平台软件体系结构 5、首期任务目标 成功完成1个运行于分布在土木学院力学工程系、计算机及信息工程学院曹敬实验室2处的cluster上，土木、水文方面的1个典型科学计算问题。 采用网络计算平台解决2处的资源管理问题 二、网格运行的环境 1、安全问题致命吗？ 不同类型的网格有不同的要求！ 2、校园网安全吗？ 校园网格利用校园网所提供的信息通道来发送请求、转移计算结果。 1）河海大学校园网采用了1000M以太网的技术 2）Internet大环境中的安全问题不可避免地给校园网的正常运行带来了压力 3）校园网格运行在校园网上，但是两者所提供的服务是不同的。 校园网为WWW、E-mail、POP等服务提供校园以内及跨出校园的平台。 3、IE浏览器在安全方面的尴尬 IE浏览器支持SSL2.0、3.0、TLS ？ 应用SSL的安全程度取决于浏览器和服务器对SSL的支持程度。 运行于IE上的应用软件安全吗？ 4、信息安全、网络安全以及它们与网格安全之间的关系 信息安全 1）古典加密方法 2）常规加密算法如DES、Blowfish、Feistel等； 3）公开密钥加密算法如RSA、ElGamal、椭圆曲线等； 4）散列函数如MD5等。 5）数字签名,数字信封 6）数字水印、数字指纹、图像隐藏 网络安全常用的技术手段 1）防病毒软件 2）链路层安全与IPsec 3）Kerberos, X.509, TLS, SSL，SET 4）防火墙、IDS与IPS 网格安全 安全认证证书 身份认证 通信加密 单点登录、安全委托 基于Web Services安全协议WS-Security 安全策略、信任与信任域 网格比网络更有序，不同类型的网格有不同的安全需要，网格安全相对来说容易做到。 三、网格资源的有效自治与安全分级共享 1、虚拟组织VO(Virtual Organization) VO指具有相同需要和共同利益而逻辑地集成在一起的实体集，它是动态的、“良性”信任关系的、跨组织的协作体。 如河海大学与其合作发展委员会所联系的合作单位。 VOs as Dynamic Federations 计算、存储等最基本的资源结点都可以看成1个独立的VO 2、对内----资源的有效自制 1）明确私有资源的性质、种类、数量。 2）设计对外提供服务的容器 3）确定认证、授权、审计等安全策略 4）加入VO,并向可信第三方并注册 5）提供服务，并监控计算“过程”。符合安全策略的Link，允许接入和交易，否则给予拒绝。 信任与距离 计算容器如何嵌入对方计算业务？ 1）容器要能动态地、柔性地为对方程序提供计算能力、内存空间等运行环境 2）容器要能为对方数据提供机密性保护 ！ 3）容器与对方程序应暴露那些接口，供对方调度和监控。 3、可信任的第三方系统 银行、政券公司。 第三方VO，负责提供联邦服务，解决安全策略(基于证书、鉴别、信任)的验证、授权、审计以及它们的一致性、转换、互操作等协同问题。 4、对外----资源的安全分级共享 使用CA作为基于证书的根身份机制等。 物理分级模型和VO的一致性？ 四、面向特定业务的安全网关及其在校园网格平台中的作用 GSG（Grid Security Gateway)与