Globus网格的安全架构中的域间访问控制规则和安全可靠的组.pptVIP

安全架构GSI （Grid Security Infrastructure ）介绍 GSI 使用公钥加密（即非对称加密）作为整个安全系统的基础。GSI 实现的主要目标是： (1)客户端与计算网格之间进行安全通信（认证和私有）。 (2)建立包括多个不同组织的安全系统，不采用集中管理的安全系统。 (3)对于网格用户需要提供对“单一登录（Single Sign-On ）”的支持。 第三十页，共四十九页。 安全架构GSI （Grid Security Infrastructure ）介绍（续） GSI 主要分为以下几个部分： (1)授权（Certificates ） (2)双重认证（Mutual Authentication ） (3)私有通信（Private Communication ） (4)安全私钥（） (5)代理和单一登录（Proxies and Single Sign-On ） 第三十一页，共四十九页。 安全架构GSI （Grid Security Infrastructure ）介绍（续） 认证过程使用的四个协议： User Proxy Creation Protocol Resource Allocation Protocol Resource Allocation from a Process Protocol Mapping Registration Protocol 第三十二页，共四十九页。 第三十三页，共四十九页。 一个实际应用的特征 （1）资源数量巨大并且是动态的。 （2）一个进程在它执行的过程中会请求，使用，释放资源。 （3）进程之间需要通过某种机制进行通信。 （4）资源可能需要不同的认证和授权机制。 （5）一个用户在不同的结点可能使用不同的本地名字空间，证书，帐号。 第三十四页，共四十九页。 安全需求 网格计算系统的安全需要做到： （1）单一登录（Single sign-on） （2）授权保护（Protection of credentials） （3）与本地的安全方案协同工作（Interoperability with local security solutions） 第三十五页，共四十九页。 * Globus网格的安全架构中的域间访问控制规则和安全可靠的组通信技术研究 王育峰 2001.12.29 第一页，共四十九页。 主要内容 1.网格计算系统简介 2.Globus介绍 3.Globus网格的安全架构介绍 4.研究内容 第二页，共四十九页。 一、 网格计算系统简介 1.产生背景 2.定义 3.特点 4.系统结构 5.应用 6.研究现状 第三页，共四十九页。 产生背景 随着高性能计算应用需求的迅猛发展，解决一些超大规模应用问题所需要的计算能力，已不可能在单一的计算机上获得。因此，这就需要将地理上分布、系统异构的多种计算资源通过高速网络连接起来，构建成网络虚拟超级计算机，以此来共同解决大型应用问题。 第四页，共四十九页。 定义 将地理上分布、系统异构的各种高性能计算机、数据服务器、大型检索存储系统和可视化、虚拟现实系统等，通过高速互连网络连接并集成起来，形成对用户相对透明的虚拟的高性能计算环境，即网格计算系统，这个计算环境是一个广域范围内的无缝集成和协同计算环境。 第五页，共四十九页。 特点 （1）扩展性：网格计算系统初期的规模较小，随着超级计算机系统的不断加入，系统的规模随之扩大。 （2）系统多层次的异构性：构成网格计算系统的超级计算机有多种类型，不同类型的超级计算机在体系结构、操作系统及应用软件等多个层次上具有不同的结构。 （3）结构的不可预测性：与一般的局域网系统和单机的结构不同，网格计算系统由于其地域分布和系统的复杂使其整体结构经常发生变化。 第六页，共四十九页。 特点（续） （4）动态和不可预测的系统行为：在传统的高性能计算系统中，计算资源是独占的，因此系统的行为是可以预测的，而在网格计算系统中，由于资源的共享造成系统行为和系统性能经常变化。 （5）多级管理域：由于构成网格计算系统的超级计算机资源通常属于不同的机构或组织并且使用不同的安全机制，因此需要各个机构或组织共同参与解决多级管理域的问题。 第七页，共四十九页。 系统结构（协议） GPIP：Grid Public Information Protocol GCP：Grid Computing Protocol GSIP：Grid System Information Protocol 第八页，共四十九页。 系统结构（软件） Our service grid consists of three parts of software: the c