- •1. Основні характеристики grid-технологій 6
- •2. Методи безпеки в grid – технологіях 30
- •3. Інфраструктура захисту Grid (gsi) 33
- •3.2.2. Аутентифікація 52
- •3.2.3. Авторизація 53
- •4. Засоби безпеки grid - технологій 63
- •5. Перелік робіт по створенню комплексної системи захисту інформації в Українському Грід 75 вступ
- •Основні характеристики grid-технологій
- •1.1. Напрями розвитку технології Grid
- •1.2. Концепція побудови grid
- •1.3. Стандартизація Grid
- •Архітектура Grid
- •1.4.1. Базовий рівень
- •1.4.2. Рівень зв'язку
- •1.4.3. Ресурсний рівень
- •1.4.4. Колективний рівень
- •1.4.5. Прикладний рівень
- •1.4.6. Стандарти, що використовуються для побудови архітектури grid
- •1.4.6.1. Сервіс-орієнтована архітектура
- •1.4.6.2. Мова описів Web - сервісів
- •1.4.6.5. Протокол soap (Simple Object Access Protocol)
- •2. Методи безпеки в grid – технологіях
- •2.1. Основні положення
- •2.2. Вимоги безпеки
- •2.2.1. Множинні інфраструктури безпеки
- •3.1.1. Безпечна комунікація
- •3.1.1.1. Три ключові елементи безпечної комунікації
- •3.1.1.2. Конфіденційність
- •3.1.1.4. Аутентифікація
- •3.1.2. Авторизація
- •3.1.3. Авторизація порівняно з Аутентифікацією
- •3.1.4. Введення в криптографію
- •3.1.4.1. Алгоритми засновані на ключі
- •3.1.4.2. Симетричні і асиметричні алгоритми, засновані на ключі
- •3.1.4.3. Криптографія загального ключа
- •3.1.4.4. Безпечний діалог, з використанням криптографії загального ключа
- •3.1.4.5. Переваги і недоліки систем, заснованих на загальному ключі
- •3.1.5. Цифрові підписи: Цілісність в системах з відкритим ключем
- •3.1.6. Аутентифікація в системах із загальним ключем
- •3.1.7. Сертифікати і центри сертифікації (ca)
- •3.1.9. Формат сертифікату X.509
- •3.1.10. Видатні імена
- •3.1.11. Ієрархії ca
- •3.2. Введення в gsi
- •3.2.1. Захист транспортного рівня і рівня повідомлень
- •3.2.2. Аутентифікація
- •3.2.3. Авторизація
- •3.2.3.1. Авторизація серверної сторони
- •3.2.3.2. Авторизація клієнтської сторони
- •3.2.3.3. “Custom” авторизація
- •3.2.4. Делегація і єдиний вхід (проксі-сертифікати)
- •3.2.5.1. Рішення: проксі-сертифікати
- •3.2.5.2. Що досягає рішення: Делегація і єдиний вхід
- •3.2.5.3. Особливість
- •3.2.5.4. Створення проксі-сертифіката
- •3.2.5.5. Підтвердження проксі-сертифіката
- •3.2.5.6. Додатково про проксі-сертификати
- •3.2.5.7. Контейнер, служба, і захист ресурсу
- •4. Засоби безпеки grid - технологій
- •4.1. Сучасний стан програмного забезпечення інфраструктури grid
- •4.2. Програмне вирішення globus
- •4.3. Система Gridge
- •4.4. Програмне забезпечення lcg
- •Перелік робіт по створенню комплексної системи захисту інформації в Українському Грід
- •2. На стадії технічного проектування:
- •3. На стадії робочого проектування:
1.4.6.1. Сервіс-орієнтована архітектура
Фундаментальною концепцією OGSA є те, що сервісна архітектура складається з компонентів служб GRID, які працюють як спеціальні Web - сервіси, що надають ряд інтерфейсів, що відповідають спеціальним вимогам. SOA визначає, як взаємодіють два обчислювальні об'єкти, для того, щоб один об'єкт дав можливість другому виконати визначену роботу на користь першого. Ця робота співвідноситься з сервісом, а дії сервісу визначаються мовою описів. Кожна взаємодія самостійна і практично не залежить від іншого. Бізнес додатки створюються для автоматизації різних бизнес - процесів, але часто без здійснення в них можливості адаптуватися до потреб, що змінюються; доопрацювання бізнес процесів в даному середовищі, достатньо трудомістке завдання. Все тому, що бізнес додатки традиційно створюються як одиничні, монолітні, такі, що включають всі інструменти. Тому будь - які зміни в них достатньо дорогі і займають багато часу. У середовищі SOA, додатки створюються у вигляді набору сервісів, кожен з яких має свої завдання і властивості. У міру зміни потреб, деякі сервіси можуть додаватися, деякі видалятися або доопрацьовуватися.
Web - сервіси володіють наступними характеристиками:
Це Інтернет додаток, що виконує спеціальні завдання і що підкоряється стандартним специфікаціям.
Сервіс є здійснимим, він описується на XML і доступі до нього може бути здійснений за допомогою XML - повідомлень.
Він може бути анонсований, виявлений і викликаний в розподіленому обчислювальному середовищі.
Він не залежить від платформи або мови.
Web - сервіс є системою ПЗ, URL якого ідентифікується, а інтерфейси і зв'язки визначені і описані за допомогою XML. Він може бути виявлений іншими системами ПЗ. Ці системи, у свою чергу, можуть взаємодіяти з Web - сервісом, використовуючи XML повідомлення, що передаються за допомогою Інтернет протоколів. Мова описів Web - сервісів (WSDL) фактично є, заснованим на XML, стандартом для опису Web - сервісів. Простий протокол доступу до об'єктів (SOAP) є, заснованим на XML, стандартним мережевим протоколом для обміну повідомленнями між Web - сервісами (описи W3C).
1.4.6.2. Мова описів Web - сервісів
WSDL документ (мова описів Web - сервісів) визначає Web - сервіс, використовуючи приведені нижче основні елементи:
Таблиця 2. Деякі позначення елементів у мові описів Web – сервісів
Елемент |
Визначає |
<portType> |
Постачальники повинні показувати, чи можливо ефективно управляти процесами GRID, включаючи модель на випадок збитків |
<Message> |
Повідомлення, використовувані в Web - сервісе. Абстрактне визначення передаваних даних |
<Types> |
Типи даних, використовувані в Web - сервісе. Надає інформацію про будь - які складні типи даних, вживаних в документах WSDL. У разі використання простих типів даних цей елемент не потрібний. |
<Binding> |
Протоколи з'єднання, використовувані в Web - сервісе. Описує, як викликається операція, за допомогою визначення протоколу і формату даних |
<Port> |
Визначає одиночну крайову крапку у вигляді адреси для з'єднання, тобто крайову точку з'єднання |
<Service> |
Визначає адреси портів з'єднання. Служба – сукупність мережевих крайових крапок або портів |
WSDL документ містить описи елементів, що складаються з блоків types, message, portType, binding, і service elements, що описане в таблиці вище. Основна структура документа WSDL виглядає таким чином:
<definitions>
<types>
опис типів. . .
</types>
<message>
опис повідомлень . . .
</message>
<portType>
опис порту . . .
</portType>
<binding>
опис з'єднання . . .
</binding>
</definitions>
1.4.6.3. Web Services Inspection Language
Web Services Inspection Language (WSIL) – простий механізм виявлення Web - сервісів. WSIL – формат XML документа, створений для полегшення збору і виявлення Web - сервісів. Створений IBM і Microsoft і виданий в кінці 2001 року, WSIL є привабливим за рахунок своєї простоти, в порівнянні з UDDI, він простий і краще «піднімає» існуючі Web - сервіси. Модель WSIL децентрализована і «піднімає» існуючі Web - сервіси прямо на місці.
1.4.6.4. Universal Description, Discovery, and Integration
Universal Description, Discovery, and Integration (UDDI) – стандартний протокол опису Web - сервісів і протокол їх пошуку. Реєстр (UDDI) може містити метадані для будь - яких видів сервісів, разом з варіантами «якнайкращої практики», вже визначеними для сервісів, описаних за допомогою WSDL. За рахунок розбиття Web - сервісів на групи, що взаємодіють з категоріями і бізнес процесами, UDDI здатний ефективно шукати Web - сервіси. Специфікація UDDI визначає ієрархічну схему XML, що забезпечує модель для анонсування, перевірки і виклику інформації про Web - сервіси. Вибір ліг на XML, оскільки його формат представлення даних не залежить від платформи і відображає ієрархічні взаємозв'язки. У UDDI використовуються технології, засновані на загальних інтернет протоколах TCP/IP, HTTP, XML і SOAP. Існує 2 види UDDI реєстрів: публічні реєстри UDDI – службовці точками збору різних бізнесів, для повідомлення про їх сервіси, приватні реєстри UDDI, які роблять те ж саме але для організацій.
UDDI регістр містить наступні структурні типи даних:
businessEntity. XML - элемент верхнього рівня в бізнес запису UDDI. businessEntity збирає дані по запиту інформації об бізнес обслуговуванні, категорії продукту або виробництва, географічному положенні, а також контактну інформацію. Він підтримує пошук по організаціях, продуктах і географічному положенні.
businessService. Логічне продовження структури даних businessEntity і родоначальник структури bindingTemplate. businessService містить описову інформацію бізнес послуг з груп споріднених технічних послуг, включаючи ім'я групи, коротку інформацію про групу, опис технічної послуги, інформацію про категорію.
bindingTemplate. Логічне продовження структури businessService. bindingTemplate містить дані, що відносяться до додатків, які необхідно запустити або пов'язати з Web - сервісом. Ця інформація містить URL Web - сервіса, посилання на специфікації інтерфейсу і ін.
tModel. Містить описи специфікації Web - сервісів або систематики, які формують основу для технічних ідентифікаторів. Роль tModel полягає в наданні технічних специфікацій Web - сервісів, що дозволяє полегшити пошук Web - сервісів, сумісних з певною технічною специфікацією. Користувачі Web - сервісів можуть легко визначити інші сумісні Web - сервіси, грунтуючись на описі специфікацій в структурі tModel. Наприклад, для того, щоб послати биснес - партнеру RFP, запрошуюча служба повинна знати не тільки URL/местоположение служби, але і в якому форматі повинен бути посланий RFP, які протоколи використовувати, врахувати вимоги безпеки, яку форму відгуку має на увазі відсилання RFP.