- •1. Основні характеристики grid-технологій 6
- •2. Методи безпеки в grid – технологіях 30
- •3. Інфраструктура захисту Grid (gsi) 33
- •3.2.2. Аутентифікація 52
- •3.2.3. Авторизація 53
- •4. Засоби безпеки grid - технологій 63
- •5. Перелік робіт по створенню комплексної системи захисту інформації в Українському Грід 75 вступ
- •Основні характеристики grid-технологій
- •1.1. Напрями розвитку технології Grid
- •1.2. Концепція побудови grid
- •1.3. Стандартизація Grid
- •Архітектура Grid
- •1.4.1. Базовий рівень
- •1.4.2. Рівень зв'язку
- •1.4.3. Ресурсний рівень
- •1.4.4. Колективний рівень
- •1.4.5. Прикладний рівень
- •1.4.6. Стандарти, що використовуються для побудови архітектури grid
- •1.4.6.1. Сервіс-орієнтована архітектура
- •1.4.6.2. Мова описів Web - сервісів
- •1.4.6.5. Протокол soap (Simple Object Access Protocol)
- •2. Методи безпеки в grid – технологіях
- •2.1. Основні положення
- •2.2. Вимоги безпеки
- •2.2.1. Множинні інфраструктури безпеки
- •3.1.1. Безпечна комунікація
- •3.1.1.1. Три ключові елементи безпечної комунікації
- •3.1.1.2. Конфіденційність
- •3.1.1.4. Аутентифікація
- •3.1.2. Авторизація
- •3.1.3. Авторизація порівняно з Аутентифікацією
- •3.1.4. Введення в криптографію
- •3.1.4.1. Алгоритми засновані на ключі
- •3.1.4.2. Симетричні і асиметричні алгоритми, засновані на ключі
- •3.1.4.3. Криптографія загального ключа
- •3.1.4.4. Безпечний діалог, з використанням криптографії загального ключа
- •3.1.4.5. Переваги і недоліки систем, заснованих на загальному ключі
- •3.1.5. Цифрові підписи: Цілісність в системах з відкритим ключем
- •3.1.6. Аутентифікація в системах із загальним ключем
- •3.1.7. Сертифікати і центри сертифікації (ca)
- •3.1.9. Формат сертифікату X.509
- •3.1.10. Видатні імена
- •3.1.11. Ієрархії ca
- •3.2. Введення в gsi
- •3.2.1. Захист транспортного рівня і рівня повідомлень
- •3.2.2. Аутентифікація
- •3.2.3. Авторизація
- •3.2.3.1. Авторизація серверної сторони
- •3.2.3.2. Авторизація клієнтської сторони
- •3.2.3.3. “Custom” авторизація
- •3.2.4. Делегація і єдиний вхід (проксі-сертифікати)
- •3.2.5.1. Рішення: проксі-сертифікати
- •3.2.5.2. Що досягає рішення: Делегація і єдиний вхід
- •3.2.5.3. Особливість
- •3.2.5.4. Створення проксі-сертифіката
- •3.2.5.5. Підтвердження проксі-сертифіката
- •3.2.5.6. Додатково про проксі-сертификати
- •3.2.5.7. Контейнер, служба, і захист ресурсу
- •4. Засоби безпеки grid - технологій
- •4.1. Сучасний стан програмного забезпечення інфраструктури grid
- •4.2. Програмне вирішення globus
- •4.3. Система Gridge
- •4.4. Програмне забезпечення lcg
- •Перелік робіт по створенню комплексної системи захисту інформації в Українському Грід
- •2. На стадії технічного проектування:
- •3. На стадії робочого проектування:
3.2.2. Аутентифікація
Для вирішення аутентифікації і авторизації, необхідна наявність в системі центрів сертифікації (CA), а для крупних, територіально розподілених систем також і центру реєстрації (або інституту реєстраторів). Завдання CA – перевірити приналежність сертифікату даному індивідуумові. Кожен сертифікаційний центр проводить свою політику, яка визначає правила створення і підписання сертифікатів. GSI підтримує три аутентифікаційні методи:
Сертифікати X.509: Всі три схеми захисту, що вище перераховані, можуть використовуватися разом з сертифікатом X.509, щоб забезпечити покращувану аутентифікацію.
Ім'я користувача і пароль: Більш рудиментарна форма аутентифікації, імена користувача і паролі можуть також використовуватися. Проте, використовуючи імена користувача і пароль, не можна буде використовувати можливості конфіденційності, цілісності, і делегації.
Анонімна аутентифікація: Можна запитати, щоб комунікація була анонімною, або не засвідченою. Анонімність, загалом, має сенс, коли використовується більш ніж одна схема захисту. Наприклад, можна використовувати Безпечний Діалог GSI (засвідчено з сертифікатами X.509) і анонімний Транспорт GSI, так щоб не виконувати додаткову (надмірну) аутентифікацію.
Примітка: Оскільки не засвідчені зв'язки зазвичай не використовуються, література Globus, загалом, використовує термін методи аутентифікації, щоб послатися безпосередньо на Безпечний Діалог GSI, Безпечне Повідомлення GSI, і Транспорт GSI.
3.2.3. Авторизація
Хоча авторизація не є одним з “Фундаментальних стовпів” безпечного діалогу, вона, проте, складає важливу частину GSI. Авторизація відзначає, хто уповноважений виконувати певне завдання. У контексті веб-служб украй важливо знати, хто уповноважений використовувати визначену веб-службу.
GSI підтримує авторизацію як з серверного боку, так і з клієнтської сторни. Деякі механізми авторизації вже включаються з інструментарієм, але також є можливість здійснювати свої власні механізми авторизації.
3.2.3.1. Авторизація серверної сторони
Сервер має шість можливих режимів авторизації. Залежно від вибраного режиму авторизації, сервер вирішує прийняти або відхилити вхідний запит.
None: Це найпростіший вид авторизації. В цьому випадку авторизація не виконуватиметься.
Self: Клієнтові дозволяється скористатися службою, якщо є тотожність клієнта і послуги.
Gridmap: “Gridmap” – список “зареєстрованих користувачів” який схожий з ACL (Список Контролю Доступу). При використанні цього виду авторизації, тільки перераховані в “gridmap” користувачі можуть її викликати.
Identity authorization: Клієнт може звернутися до обслуговування, якщо особа клієнта відповідає вказаній особі. Це подібно до наявності однокористувацьког “gridmap”, за винятком авторизації особи, яка конфігурується програмно, оскільки “gridmap” представлений як файл в системі.
Host authorization: Клієнт може звернутися до обслуговування, якщо він представляє посвідчення особи хоста, яке відповідає вказаному імені хоста. Іншими словами, вирішуються запити, що прибувають від одного конкретного вузла.
SAML Callout authorization: Можна делегувати вирішення авторизації до OGSA (сумісна служба авторизації). OGSA-Authz (http://forge.gridforum.org/projects/ogsa-authz) – робоча група GGF, чия мета – конкретизувати стандартні компоненти авторизації. Одна з основних технологій, використовуваних в цих компонентах, – SAML (Мова Затвердження Підвищення Захисту).