globus所使用的安全机制

最新推荐文章于 2018-06-23 16:30:44 发布
最新推荐文章于 2018-06-23 16:30:44 发布
阅读量1.2k 收藏 1
点赞数
文章标签: user webservice ssl 加密 解密 网格
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mildwind/article/details/217528
版权

2004-10-15 撰写

本文适合对网格计算及globus感兴趣的朋友阅读。

globus toolkit 3的安全机制是它的一大特性。这个安全机制在即将发布的gt4中基本上没有修改。它是对web service的一个补充。

一 实现的安全内容包括:
1 实现两个计算网格结点间的安全通信
2 实现安全的穿越不同组织间的边界,因此有一个中心管理的安全系统。
3 实现用户的“Single sign-on”(单次验证),即访问多个网格资源(有权访问)只需要验证一次。

二 使用的基础技术:公共密钥概念
B给A发信息,A持有2个密钥,公开密钥Kea,保密密钥Kda。B用Kea加密,传给A,A用Kda解密。

三 globus所使用的安全证书(GSI 证书)包括
主题名(证书代表的用户或对象),公共密钥(主题拥有的),CA(给证书签名的那个CA)的identity,CA的数字签名

四 一个重要概念Mutual Authentication(互相鉴别)
二者都有证书,二者都信任那个给他们证书签字的CA,那么二者就可以互相证明对方是对方所说的那位。(B说他是B,A可以证明B说的是正确的)

五 在globus中的具体鉴别过程
例:B鉴别A。
A把他的证书发给B,证书上的信息告诉B,1 A称他是谁(主题),2 A的公开密钥,3 CA的identity和签名。这样B通过鉴别CA的数字签名来证明这个证书合法(是那个他所信任的CA),下面证明A真的是A,他给A发一个随机消息,让A给消息加密,A用他的保密密钥将消息加密,发给B,B用A的公开密钥解密,看是否还是那条消息。鉴别结束。同样的方法,A还要鉴别B。
一旦Mutual Authentication成功,GSI将退出以减少因加密解密导致的负载,如果双方愿意,GSI可以提供一个共享密钥。还可以提供一个叫通信完整性的特性,可以保证窃听者可以读通信内容,但无法修改通信内容(即使改了,双方也能通过完整性以确定消息被改过)(这个特性会加重负载,但不是很大)。
保证保密密钥保密性,Globus toolkit将密钥保存在本机硬盘上,同时设定了一个passphrase(设置GSI时设定),用来给保密密钥加密。还可以将密钥保存在smartcard上(建议)。

六 Delegation and Single Sign-On
委托,与单次验证,是SSL的一个扩展,通过创建代理来减少enter passphrase次数。代理包含一个新的证书(新公共密钥,新保密密钥,User's identity),这个证书是User签的,而不是CA。代理有生命期限(globus中缺省为1天)。这个扩展只应用到了GSI及基于GSI的软件(Globus,girdftp),Globus Project正在努力联系Grid Forum和IETF以将这个委托机制加入到其他基于SSL的软件中。SSL(Secure Sockets Layer),SSL=TLS(Transport Layer Security)

七 globus安全认证配置过程

调用setup-gsi来配置simple CA(一个globus提供的CA实现)

配置好CA后,会在TRUSTED_CA 目录里有
globus-user-ssl.conf.XXXXX 用户证书申请
globus-host-ssl.conf.XXXXX 主机(或service)证书申请
grid-security.conf.XXXXXX  基本配置,供上两个配置文件使用
XXXXXX是CA的hash code,

申请证书时:
grid-cert-request,创建符号链接,from GRID_SECURITY 目录 to TRUSTED_CA 目录
GRID_SECURITY/globus-user-ssl.conf --> TRUSTED_CA/globus-user-ssl.conf.XXXXXX
GRID_SECURITY/globus-host-ssl.conf --> TRUSTED_CA/globus-host-ssl.conf.XXXXXX
GRID_SECURITY/grid-security.conf --> TRUSTED_CA/grid-security.conf.XXXXXX

XXXXX.0:  trusted CA 证书
XXXXX.signing_policy:一个配置文件,定义了域所要用的CA

Gridmap搜索规则

如果是root用户
GRIDMAP environment variable为/etc/grid-security/grid-mapfile 
如果是其他用户
GRIDMAP environment variable为HOME/.gridmap 


鉴别请求规则:
鉴别按照一下顺序进行: service credential, host credential, proxy credential and user credential. 

以下为鉴别是用到的环境变量及证书文件。

Service credentials:
环境变量:X509_USER_KEY和X509_USER_CERT
/etc/grid-security/<service>/<service>{cert,key}.pem 
GLOBUS_LOCATION/etc/<service>/<service>{cert,key}.pem 
HOME/.globus/<service>/<service>{cert,key}.pem 
Host credentials:
环境变量:X509_USER_KEY和X509_USER_CERT
/etc/grid-security/host{cert,key}.pem 
GLOBUS_LOCATION/etc/host{cert,key}.pem 
HOME/.globus/host{cert,key}.pem 
Proxy credentials:
环境变量:X509_USER_PROXY
/tmp/x509up_u<uid> 
User credentials:
环境变量:X509_USER_KEY和X509_USER_CERT
HOME/.globus/user{cert,key}.pem 
HOME/.globus/usercred.p12 

mildwind
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
如何使用Globus从NCAR官网上下载JRA55数据
qq_41825773的博客
02-15 1465
在dataset里面右边的Atmospheric Reanalysis Data里面选择你需要的JRA55的数据。首先应该先在NCAR上申请一个账号去,可能需要一周左右的时间去审核,申请到后选择登录。注意千万不要选那个High Assurance,不然之后很难传输文件。
一些关于Globus的基础知识
Jeffery Lee的专栏
01-22 2936
一些关于Globus的基础知识 1. Globus相关资源 http://www.globus.org是Globus联盟的官方网站,和Globus相关的资源这里都有。 2. GT版本的选择 目前可用的或者说主流的版本有3个,GT2.4,GT3.2.1,GT4.0.1 GT2.4:是一个成熟稳定的版本,绝大多数代码为C,包括了GRAM2, MDS2, GSI, GridFTP等部分。目前很多网格
Globus开源网格基础平台简介
03-04
Globus Tookit是一个开放源码的网格的基础平台,基于开放结构、开放服务资源和软件库,并支持网格网格应用,目的是为构建网格应用提供中间件服务和程序库。Globus Tookit具有较为统一的国际标准,有利于整合现有资源,也易于维护和升级换代。现在,一些重要的公司,包括IBM和微软等都公开宣布支持Globus Toolkit。目前大多数网格项目都是采用基于Globus Tookit所提供的协议及服务建设的。
安装GLOBUS
学无止境
10-09 1316
1。下载源码包2。新建globus用户,登录3。configure  --enable-wsgram-cond4.make (不能用GCJ)5。make install ,出错,安装 perl-xmlParser
基于Globus的网格安全机制研究及扩展
10-18
讨论网格环境下的安全问题,分析Globus的安全机制,结合虚拟组织技术和基于角色的访问控制方法,探讨基于Globus安全基础设施的扩展的安全技术——社区授权服务机制,并对网格环境下的安全技术的基本问题进行了总结。
Globus
10-28
Globus
GSI.rar_globus
09-23
globus4.0.4中与GSI(Globus Security Infrastructure)相关的文档
globus_Math
10-26
该文件为GLOBUS TOOLKIT 4:JAVA 网络编程 中第六章实例的源码
globus.stanford.edu:globus.stanford.edu — Globus @ Stanford网站
05-08
我们这样做是因为这是GitHub Pages所使用的,并且我们正在使用GitHub Pages来发布我们的内容! 该网站使用,Karl将其转换为与Jekyll一起使用。 GitHub Pages能够自行构建站点非常简单,因此我们不需要任何外部工具...
globus 4.0.8 在redhat上的安装配置全程记录
jcwKyl的专栏
07-18 5229
  这份文档是反复安装多次globus,对整个操作步骤有一个清晰的印象和简单的理解后,在某一次保存的snapshot基础上开始边安装边记录的安装文档,但并不依赖这个snapshot的细节。   包括以下内容: 配置前准备; 证书配置; 配置gridftp服务器; 配置
很强大的globus 配置和部署过程
jiemingcai的专栏
03-18 778
http://blog.csdn.net/jcwKyl/archive/2009/07/18/4360031.aspx 我觉得着篇文章应该可以解决globus 认证文件发送问题
Globus的简单介绍
weixin_34116110的博客
08-17 649
清华大学杜志辉讲授的《网格计算》课程。 清华大学出版社出版的《网格计算》一书,杜志辉等编著。 Unit1网格基础 @广义定义:“网格”就是一个集成的计算与资源环境,或者说是一个计算资源池。“网格计算”是基于网格问题的求解。 狭义定义:网格资源主要指分布的计算机资源。“网格计算”是指将分布的计算机组织起来协同解决复杂的科学与工程计算问题。 @随着计算机的发展和网上资源的不断扩...
Globus网格计算理论及其应用(转)
萧萧雨轩--云计算/网格计算技术/智能仿生算法&算法优化/
04-26 1293
.style1 { FONT-WEIGHT: bold; FONT-SIZE: 12px; COLOR: #ff6699}.yjx { BORDER-RIGHT: #A4BAC4 0px solid; BORDER-TOP: #e8f0f1 0px solid; BORDER-LEFT: #A4BAC4 0
globus-build-service 使用手册
aneka的百宝盒
09-04 943
The globus-build-service script will help you build a GT4 servicewithout having to write your own Ant file. The following documentationstill has to be extended to make it less like a reference gui
Globus基础知识
mildwind的专栏
03-19 3417
这篇文章介绍了Globus相关的基础知识,算是一个经验总结。www.globus.org是一个很专业的网站,对于初学者(初涉网格)容易找不到入口。www.globus.org 是Globus Alliance的官方网站,上面的资料非常丰富,具体的问题还要到这个网站查。1. Globus相关资源http://www.globus.org 是Globus联盟的官方网站,和Globus相关的
global的作用以及使用方法
热门推荐
家有代码初写成 的博客
06-23 3万+
global的作用        在编写程序的时候,如果想为一个在函数外的变量重新赋值,并且这个变量会作用于许多函数中时,就需要告诉python这个变量的作用域是全局变量。此时用global语句就可以变成这个任务,也就是说没有用global语句的情况下,是不能修改全局变量的。使用global语句用global语句的使用方法很简单,基本格式是:关键字global,后跟一个或多个变量名&gt;&gt;...
GridFTP安装手册(中文)(GridFTP Installation)
Langeldep的专栏
04-16 6071
GridFTP 安装 该页面描述了安装和配置GridFTP服务的向导,有任何问题都可以联系 Bogdan Ludwiczak. Globus Toolkit/GridFTP - 安装 本小节大概描述一下 Globus Toolkit ver. 4.x 的安装过程. Globus Toolkit 提供了两个安装版本,一个是二进制的,一个是源码包的。它也提供了一个可用的完全安装版本,但是只作为
Globus中的debug方法
mildwind的专栏
12-21 1167
Globus使用log4j库解决调试的问题。使用方法:例:Service程序文件为myclass.javapackage com.mycom.myclass;//引入log4j相应类import org.apache.commons.logging.Log;import org.apache.commons.logging.LogFactory;...................class m
java 格拉布斯准则
最新发布
09-20
格拉布斯准则(Globus' criteria)是一种在软件工程中用于评估软件质量的准则。它由软件工程师 Martin Globus 在1980年提出,旨在帮助开发团队评估和改进他们的软件。 格拉布斯准则有以下三个方面的评估指标: 1. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值