首页 文学文摘 时政新闻 科技科普 经济法律 健康生活 管理财经 教育教学 文化艺术 社科历史
电子技术与软件工程

首页>科技科普>电子技术与软件工程> 2014年第9期

网格计算环境下安全认证的技术探析

作者:南志海 来源:电子技术与软件工程

摘 要 随着当代网络技术的突飞猛进,其中的计算机网格技术也在不断的发展中,越来越被广泛的应用,网格的计算环境是十分复杂的,其设计到的领域也是十分重要的,所以,网格计算环境的安全问题越来越被重视。本文主要对网格计算环境中的安全问题进行分析,对当前市场中流行的几种安全认证技术进行了研究比较,总结出不同条件下应该使用不同的认证技术。

【关键词】网格计算环境 安全认证 技术研究

1 网格计算环境

一般比较常用的网格应用,其用户接口都是基于Web的入口,又称网格入口。这个入口支持多种浏览器访问网格中的资源,极大程度的方便了用户的使用,在初始化时,用户与接口协商相关的权利,从而所需的资源进行访问。标准的web安全机制是不包括这一内容的,网格安全基础设施(GSI)中有该机制,在应用web时又一定的约束,用户需要提供凭证,通过智能卡的使用解除了这些约束;另一方面,网格入口需要用户的长期凭证,浏览器能够进行网格认证,却不能对用户的凭证如GSI一样进行协商。为此,创建出了一种在线用户凭证库,利用这个数据库,用户与服务器进行协商,实现代理凭证和认证信息的恢复约束。网格入口获得了认证信息后,能够随时恢复和使用数据库的代理凭证,通过这种方式,用户能够很方便的利用入口,对代理凭证进行操作。

2 网格环境下的安全认证技术

2.1 PKI和Kerberos

在网格计算环境的安全认证方面,一般包含两个部分:一是对用户的身份进行认证,另外一方面是对资源访问的授权和认证机制。PKI和Kerberos两种技术就是当前应用比较广泛的认证技术。

PKI的中文名是公开基础密钥设施,该技术比较稳定,其应用在开放的互联网环境里,采用了公钥密码的方式,对一些数据,数字证书和签名服务等等进行加密,属于一种技术框架,以公钥密码,数字证书库,系统安全策略和CA几部分构成,CA就是证书权威机构,属于第三方认证机构,可以把用户名和公钥绑定,将其实施数字签名,该技术也是PKI中的重要部分之一。PKI在技术上相对比较成熟,对于离线认证有着很好的解决办法,不过咋实时的网络中,该技术受到一定限制,应为PKI要对证书检测,其过程会浪费很长时间,面对网格计算也不是很顺畅。对此,改进的ID-PKI技术能够实现利用身份信息对公钥进行计算,节省了绑定的过程。

Kerberos也是一种当前被使用较多的认证协议,该技术引进了时间戳处理机制,能够对对称加密技术进行认证,同时能够保证消息的完整和保密。Kerberos技术是对用户和服务器进行双方认证的,主要通过在分布式环境中,用户要先经过Kerberos服务器,得到许可后才能够访问应用服务器。

2.2 SSL/TLS

SSL/TLS又称为安全套接字协议,其工作在传输层,主要针对浏览器和服务器进行安全认证和传输的。该技术基于TCP/IP的标准套接字上,使用了RSA算法,其工作过程是,在信息传送方设置一个密钥,然后再用接收方的公钥再次加密,当信息传到接收方,用其私钥进行解密,双方都获得了密钥后则可以进行双方通信。当前的SSL协议已经得以改进,避免受到第三方的破坏,在其中加入了MAC,也称消息认证码,收发信息的双方都对其进行加密,获得信息后进行相关的计算比较,从而确定含有MAC码的信息属于完整信息,为了更好的确保信息的安全,每次传输的MAC码都是不同的。SSL中的握手协议是非常重要的,其流程是客户端和服务器通过互传消息协商一些安全协议和参数,若是在身份认证过程中,双方要进行密钥交换,最后还要通知对方改变密码组。

2.3 MyProxy

MyProxy属于一种网格安全代理系统,其方法是利用代理帮助用户评判网格的服务,其最终想要实现的是,用户可以从多个互联网的方向接入网格,也就是可以让用户在浏览器上或是以远程主机的方法实现。MyProxy其实就是一个数据库服务器,对用户证书进行操作,其中它的三个实体间的操作过程是:用户在浏览器上委托代理证书,向网格发送验证消息,网格入口再向MyProxy服务器进行信息验证,通过认证后,用户就能够直接接入网格了。MyProxy提供的服务十分灵活,提供长期和短期两种代理证书形式,用户只要获得证书,则不必再为时间,地点,保存密钥等问题担心,当证书有更新时,在授权的情况下,MyProxy会自动为用户进行更新和审核工作。

2.4 单点登录

单点登录主要是要实现当用户有一次口令后,就能进行多次认证,不需要重复认证就能对相应安全领域的不同系统资源进行访问。其中,包括有安全委托的问题,是用户和资源代理两方面的,两者的交互也就成了两个代理方的交互。用户通过私钥签一个证书给代理,其中包含了用户的身份识别和代理的标识等信息,有了代理后,用户就能够利用代理节点同资源相交互,不必再多次进行密码验证来获得私钥,不同线上的用户能够同时获得服务。

2.5 GSI

GSI是一种网格安全的基础设施,是一种基于X.509证书的认证系统,主要通过第三方实现用户和主机的证书签名,实现认证和安全通信。这项技术也是当前使用最为广泛的网格环境下Globus的安全认证方法。GSI一般包含有以下3个模块:一个是支持代理和授权,在单点登录方面的代理和对远程用户进行本地的映射,能够对多个资源和地点进行信任委托和转移;二是具有公钥基础设施PKI,进行安全身份的交叉认证;三是安全套接字协议SSL/TLS,实现网格环境下主体和服务间的安全交互,目前还在向端对端的安全协议方向发展。

3 结束语

随着下一代互联网的发展趋势迅猛,仍存在着不少安全威胁,现有的安全体系有待不断的增强,在网格计算的环境下,对其安全体系有着更高的要求,在不同的网格层次中,都需要相应的安全保障措施,尤其是处于最重要一层的安全认证方面,具有最直接的防护作用,文中对几种安全认证的技术进行的分析还有待深入,对于网格环境中的安全认证技术也有待进一步的提高和增强。

参考文献

[1]刘妍,郭洁,陈克非.认证授权技术在网格中的应用与扩展[J].计算机工程,2004,(24):44-46.

作者单位

潍坊科技学院 山东省寿光市 262700

热门推荐
电子杂志 更多 +