面向服务的网格服务安全体系结构.docxVIP

面向服务的网格服务安全体系结构 全球网格论坛基于web服务的开放网格服务体系结构（ogsa，所有网格资源都被视为服务），构建了开放网格服务安全体系，用于支持、整合和统一当前流行的安全模型、机制、协议和平台，并将各种系统的安全合作做得更多。这个安全体系结构与当前正被定义的Web服务安全模型一致,它把安全管理从业务逻辑中分离出来,为网格服务提供了安全控制。网格服务(或网格计算)关心的是:在动态的、多机构的虚拟组织中协调服务共享和协同解决问题。这里强调服务共享这个概念,这种共享必须被高度控制,服务提供者和消费者要清晰和详细地定义哪些服务可被共享,谁可享用这些服务,及共享发生的条件。虚拟组织就是用这样的共享规则定义的一组个人和机构。所以网格环境需要解决以下问题:用户认证,服务使用限制,记账与支付,审计,入侵与误用检测,事件通知。而PKI技术能有效解决这些问题,在其中发挥着重要作用。 1 远程网格节点的认证 在面向服务的网格环境中,存在着3种基本实体:用户,主机和服务,它们需要相互认证。在网格计算实践中已证明除了交互认证外,对于没有用户参与的认证也是必需的。例如:当一个用户频繁地请求需要认证的远程服务又不想重复输入口令时,当一个需要运行很长时间的作业在用户离开后可能需要认证它自己时,在这两种情况下,都有这样的认证需求。个别主机的特定的服务可能需要在系统引导时启动,并以服务自己的身份或主机的身份运行,而一些服务可能在许多不同的主机上定时地启动并能用已知的身份标识认证它们自己。一般地,在远程网格节点上的两个实体间的认证意味着两者之间的信任度是建立在对方的身份基础上的。一个实体的身份是以某些令牌或名字唯一标识的。实际上可使用一个认证协议在两个被认证的参与者之间建立一个安全的通信通道,以便使以后的消息不需要参与者再次重复认证的步骤也能发送消息(尽管还是可能要认证每个消息)。这事实上是一种在网格上实现单点登录功能的需求,Globus联盟早些时候提出的代理证书概念,结合TLS协议解决了这个问题。 2 网格ca信任域 网格CA被定义为是基于虚拟组织的、独立于单个机构的一个PKI机制,为能存取网格服务的实体签发证书。网格CA与基于传统组织机构的CA有着较大的差别,网格CA的信任域随着VO中的个人和组织机构动态变化而动态变化;基于传统组织机构的CA,其信任域只限于机构内部,只给它的组织成员签发证书,并且紧密结合权威机构来定义这些成员是谁。然后,当用户在组织机构内部请求存取服务(资源)时,需要出示证书。网格CA与传统CA之间有两个不同点:一个是DN的格式,另一个是审核用户身份的方法。 2.1 证名字元素的准确性 基于传统组织机构的CA签署的身份证书中,DN经常包含许多来自组织的LDAP目录属性,如Organizational Unit,Location和E-mail,且经常有一个根本性的假设:用户的X.509证书被存储在给这个用户的目录条目中。基于传统组织机构的CA将查找现有的LDAP条目,验证名字元素的正确性,为一个用户分发证书或存储证书到LDAP条目中去。在这个范例中,一个DN可能有若干个被审核的成分。网格CA通过独立于订户的组织而打破了这个范例。即使在传统组织机构环境中,把过多的信息放入DN中也会存在问题,因为只要改变这些信息的任何部分(如一个成员在部门之间调动或获得了一个新的email地址),就需要重新发部证书。因为一个网格CA独立于具体的组织*订户隶属于它),所以它不能验证有关订户的大量信息或了解这些信息什么时候改变了。 对网格CA的谨慎的处理方法是让它给证书赋予尽可能少的信息。已有几个网格选择了一个最小化的证书信息集(如欧洲数据网格PKI),它是一个鉴别CA属于哪个网格的组织元素,当在网格CA公布的目录中存储和提取证书时,有意使用以个人、主机、服务分类的证书,并且适当地以一个公共名字(Common Name)识别一个拥有网格CA签发的证书的实体。为了方便的原因,一个E-mail地址可以作为一个选择被添加,但这并不用于用户鉴别。 2.2 用户身份审查 因为一个网格CA的操作员不会亲自分辨谁正在请求证书或谁有权存取他们信任的目录,这需要依靠注册权威(Registration Authority,RA)。RA很可能直接或间接地分辨出一个端实体的子集。如果一个网格的用户能被聚集成一个真实的或虚拟的组织,每一个这样的组织就可以选择一个RA,并把批准只有来自该VO的成员的请求的责任赋予这个RA。每一个RA应该公布建立成员身份的规则,在所有RA之间用于验证身份和证书请求的程序应该是一致并被CA认可的。 2.3 多个vo的存 虚拟组织作为一个受信任的第三方,如果一个实体因为是一个VO的成员而被授权使用服务,那么依托方就需要验证属于这个VO的成员令牌。在这种情