- •1. Основні характеристики grid-технологій 6
- •2. Методи безпеки в grid – технологіях 30
- •3. Інфраструктура захисту Grid (gsi) 33
- •3.2.2. Аутентифікація 52
- •3.2.3. Авторизація 53
- •4. Засоби безпеки grid - технологій 63
- •5. Перелік робіт по створенню комплексної системи захисту інформації в Українському Грід 75 вступ
- •Основні характеристики grid-технологій
- •1.1. Напрями розвитку технології Grid
- •1.2. Концепція побудови grid
- •1.3. Стандартизація Grid
- •Архітектура Grid
- •1.4.1. Базовий рівень
- •1.4.2. Рівень зв'язку
- •1.4.3. Ресурсний рівень
- •1.4.4. Колективний рівень
- •1.4.5. Прикладний рівень
- •1.4.6. Стандарти, що використовуються для побудови архітектури grid
- •1.4.6.1. Сервіс-орієнтована архітектура
- •1.4.6.2. Мова описів Web - сервісів
- •1.4.6.5. Протокол soap (Simple Object Access Protocol)
- •2. Методи безпеки в grid – технологіях
- •2.1. Основні положення
- •2.2. Вимоги безпеки
- •2.2.1. Множинні інфраструктури безпеки
- •3.1.1. Безпечна комунікація
- •3.1.1.1. Три ключові елементи безпечної комунікації
- •3.1.1.2. Конфіденційність
- •3.1.1.4. Аутентифікація
- •3.1.2. Авторизація
- •3.1.3. Авторизація порівняно з Аутентифікацією
- •3.1.4. Введення в криптографію
- •3.1.4.1. Алгоритми засновані на ключі
- •3.1.4.2. Симетричні і асиметричні алгоритми, засновані на ключі
- •3.1.4.3. Криптографія загального ключа
- •3.1.4.4. Безпечний діалог, з використанням криптографії загального ключа
- •3.1.4.5. Переваги і недоліки систем, заснованих на загальному ключі
- •3.1.5. Цифрові підписи: Цілісність в системах з відкритим ключем
- •3.1.6. Аутентифікація в системах із загальним ключем
- •3.1.7. Сертифікати і центри сертифікації (ca)
- •3.1.9. Формат сертифікату X.509
- •3.1.10. Видатні імена
- •3.1.11. Ієрархії ca
- •3.2. Введення в gsi
- •3.2.1. Захист транспортного рівня і рівня повідомлень
- •3.2.2. Аутентифікація
- •3.2.3. Авторизація
- •3.2.3.1. Авторизація серверної сторони
- •3.2.3.2. Авторизація клієнтської сторони
- •3.2.3.3. “Custom” авторизація
- •3.2.4. Делегація і єдиний вхід (проксі-сертифікати)
- •3.2.5.1. Рішення: проксі-сертифікати
- •3.2.5.2. Що досягає рішення: Делегація і єдиний вхід
- •3.2.5.3. Особливість
- •3.2.5.4. Створення проксі-сертифіката
- •3.2.5.5. Підтвердження проксі-сертифіката
- •3.2.5.6. Додатково про проксі-сертификати
- •3.2.5.7. Контейнер, служба, і захист ресурсу
- •4. Засоби безпеки grid - технологій
- •4.1. Сучасний стан програмного забезпечення інфраструктури grid
- •4.2. Програмне вирішення globus
- •4.3. Система Gridge
- •4.4. Програмне забезпечення lcg
- •Перелік робіт по створенню комплексної системи захисту інформації в Українському Грід
- •2. На стадії технічного проектування:
- •3. На стадії робочого проектування:
3.1.1.2. Конфіденційність
Безпечний діалог повинен бути приватним. Іншими словами, тільки відправник і одержувач можуть розуміти діалог. Якщо хто-небудь прослуховуватиме через комунікації, то він буде не в змозі мати від цього користь. Конфіденційність, загалом, досягається алгоритмами кодування/розшифровки.
Наприклад, припустимо, що потрібно передати повідомлення “INVOKE METHOD ADD”, і необхідна упевненість, що якщо третя сторона перехопить це повідомлення (наприклад, використовуючи мережевий сніфер), вона не зможуть його розібрати. Можна використовувати звичайний алгоритм кодування, який просто змінює кожну букву на наступну в алфавіті. Кодоване повідомлення було б “JOWPLFANFUIPEABEE” (припустимо, що “A” слідує після символу пропуск). Якби третя сторона знала використовуваний алгоритм кодування, повідомлення не мало б сенсу. З іншого боку одержуюча сторона знала б алгоритм розшифровки заздалегідь (змінивши кожну букву на попередню в алфавіті) і тому могла розібрати повідомлення. Звичайно, цей метод тривіальний, і в даний час алгоритми кодування набагато більш ускладнені. Деякі з таких алгоритмів будуть розглянуті нижче.
3.1.1.3. Цілісність
Безпечна комунікація повинна гарантувати цілісність передаваного повідомлення. Це означає, що одержуюча сторона повинна знати напевно, що повідомлення, яке вона отримує, – є тим, що пересилаюча сторона передала. Важливе те, що зловмисник міг перехопити комунікацію маючи намір змінити її вміст без наміру прослуховування.
Традиційні алгоритми кодування не захищають від такого роду атак. Наприклад, розглянемо простій алгоритм, який був запропонований вище. Якщо третя сторона використовувала мережевий сніфер, щоб змінити кодоване повідомлення на “JAMJAMJAMJAMJAMJA”, одержуюча сторона використовувала б алгоритм розшифровки і отримала повідомлення “I LI LI LI LI LI “. Хоча атакуюча сторона, можливо, не мала б ніякого поняття, що повідомлення містить, але, проте, могла змінити його (відносно просто для деяких мережевих інструментів сніферів). Так легко ввести в оману одержуючу сторону, яка могла б сприйняти це як помилку в комунікації. Алгоритми криптографії загального ключа (буде коротко розглянутий далі) захищають від видів нападів (одержуюча сторона має спосіб дізнатися, якщо отримане повідомлення послане передавальною стороною і, таким чином, не було змінено).
3.1.1.4. Аутентифікація
Безпечна комунікація повинна гарантувати, що сторони, залучені в комунікації є потрібними. Іншими словами, потрібно захистити від зловмисників, які пробують представитися однією із сторін в процесі безпечного діалогу. Знову-таки, це відносно просто виконати за допомогою деяких мережевих сніферів. Проте сучасні алгоритми кодування захищають також від цього виду нападів.
3.1.2. Авторизація
Інше важливе поняття в захисті даних комп'ютера – це поняття авторизації. Авторизація посилається на механізми, які визначають, коли користувач авторизований для виконання певного завдання. Авторизація пов'язана з аутентифікацією, оскільки, загалом, потрібно переконатися, що користувач – той, хто потрібний (аутентифікація) перед тим, як можна буде ухвалити рішення щодо того, чи може він (або не може) виконати певне завдання (авторизація).
Наприклад, як тільки буде з'ясовано, що користувач входить до складу Відділу Математики, потрібно буде потім дозволити йому звернутися до всіх Мат. служб. Проте, можливо, йому заборонили б звертаються до інших служб, що не пов'язані з його відділом (BiologyService, ChemistryService, і тому подібне)