基于可扩展标志语言安全策略的网格安全处理方法是一种分布式计算的安全解决方案。主要用于解决网格计算的安全问题,该方法将可扩展标记语言密钥管理技术用于网格间密钥的传输和验证,将可扩展标记语言安全规范用于网格间数据传输的安全,将单点登录运用于网格间的安全域之间跨域访问,具体方法为:1.)密钥传输和可扩展标记语言数据安全传输;2.)整体系统的实现;在网格计算环境中利用基于XML安全策略来实现整个网格安全的体系,通过使用本发明专利技术提出的方法,可以达到网格服务器之间数据传输的完整性,机密性,实现用户单点登录。
【技术实现步骤摘要】
本专利技术是一种分布式计算的安全解决方案。主要用于解决网格计算的安全问题,属于分布式计算软件安全
技术介绍
网格计算(Grid Computing)是指通过高速网络把分散在各处的硬件、软件、信息资源连结成一个巨大的整体,从而使得人们能够利用地理上分散于各处的资源,完成各种大规模的、复杂的计算和数据处理的任务。与以前的协同工作(Cooperative work)、分布式计算(Distributed Computing)等概念相比较,网格计算的集成程度更高、使用更加方便、资源的利用更加充分和有效。它标志着现代信息技术应用有一个新的、更高水平。 由于网格计算的诸多优点,因而被人们认为是互联网之后最重要的技术,对网格计算的研究正成为学术界和工业界的热点之一。但是安全性是制约网格计算技术广泛使用的重要因素之一,因此研究网格计算的安全问题具有重要意义。 网格计算环境具有许多特殊性,包括网格中用户与资源的异构性,以及动态性,因此,在网格环境中,对系统的高可扩展性,灵活性等方面有更高的要求,这给对网格安全方面提出了新的挑战。可扩展标记语言(Extensible MarkupLanguage,XML)。XML是一套定义语义标记的规则,这些标记将文档分成许多部件并对这些部件加以标识,通过解析得到相应的信息,从而实现XML可扩展性和平台无关性。正因为这一点,XML技术已越来越多的被运用到网格应用中来。
技术实现思路
技术问题本专利技术的目的是提供一种,在网格计算环境中利用基于XML安全策略来实现整个网格安全的体系,通过使用本专利技术提出的方法,可以达到网格服务器之间数据传输的完整性,机密性,实现用户单点登录。 技术方案下面给出该模型中的几个概念 安全域(Security Domain)加入网格环境的内部具有一致的安全体系的个体、组织、部门和团体等。 XKMS(XML Key Management Specification)XML密钥管理规范。 XKMS服务信任域(XKMS service trust domain)共用并信任同一个XKMS服务器的区域。 SAML(SecurityAssertion Markup Language)安全断言标记语言,为支持异构应用间的单点登陆和身份管理提供了一种基于标准的方法。 公钥加密(public key encryption)使用公钥对数据进行加密,只有用相应的私钥才能还原。是一种有效实现机密性的措施。 签名(signature)使用私钥对指定数据进行散列等作为后缀,运用相应的公钥来还原。是一种有效的防抵赖,保证完整性的措施。 本专利技术是利用现有的XML安全规范对网格间数据传输进行安全处理,利用SAML实现网格间异构环境下的单点登录并通过引进XKMS来实现密钥传输的功能。 将可扩展标记语言密钥管理技术用于网格间密钥的传输和验证,将可扩展标记语言安全规范用于网格间数据传输的安全,将单点登录运用于网格间的安全域之间跨域访问,具体方法为 1.)密钥传输和可扩展标记语言数据安全传输 11)发送方生成密钥对; 12)并将密钥信息注册到基于可扩展标记语言密钥管理服务器; 13)运用公钥基础设施对消息进行加密和签名,并将自身的密钥信息添加到消息的签名中; 14)接收方接收到请求消息; 15)接受方分析请求消息并从中析取出用户的密钥信息,并将密钥信息发送往基于可扩展标记语言密钥管理服务器; 16)基于可扩展标记语言密钥管理服务根据接收方发来的密钥信息验证密钥的有效性,验证通过则返回发送方的公钥,验证不通过则返回错误信息; 17)接收方用接收到的公钥来验证发送方传来消息的签名,验证通过则对该消息作出响应; 2.)整体系统的实现 21)首先保证用户和所有的服务器所用到的密钥都已经注册在基于可扩展标记语言密钥管理,并且保证每涉及到数据传输过程都按上面的步骤13)~步骤17)步来依次执行; 22)用户向一个安全域认证中心提交注册请求; 23)身份认证中心保存用户的身份属性信息后返回一个用于用户身份证明的数字证书; 24)用户向该安全域的身份认证服务器提交单点登录断言请求,请求中包含有身份认证中心颁发给用户的数字证书; 25)身份认证服服务器根据数字证书获取用户的身份属性信息等,确认用户身份,如通过认证,则用户为该安全域的合法用户,签发并返回给用户单点登录断言; 26)用户向该安全域提交带有单点登录断言的服务请求到该安全域的服务发布服务器; 27)发布于服务发布服务器中的单点登录断言验证程序在接收到消息后即对消息中的断言进行验证,验证通过则根据相应的匹配策略返回用户可用的资源节点; 28)如可用的资源节点都在本安全域,则直接向该资源节点传送数据,资源做出处理并返回结果; 29)如资源节点不在本安全域,则用户向相应的安全域的服务发布服务器直接提出带有单点登录断言的调用资源请求,验证通过则可以直接向资源节点传送数据并得到返回结果。 有益效果本专利技术主要优点有如下几个 1.本专利技术使用XML这种作为异构平台之间进行数据交换和互操作的技术,是网格上最常用的数据交换表示形式,XML语言的安全是网格信息交换的基础。已有的技术可以在SSL和TLS基础上加密整个XML文档,测试其完整性,确认其发送方的可靠性。但是在网格环境下,不仅需要对整个XML文档的安全性,而且需要对XML文档的某些部分进行加密、签名等操作,以便以任意顺序加密和认证XML文档中的部分信息。并且本专利技术引进XML密钥信息管理规范,解决了公钥传输的问题。 2.本专利技术只需用户在网络中主动地进行一次身份认证,之后无需另外验证身份,随后便可以访问其被授权的所有网络资源,而不需要再主动参与其它的身份认证过程。这些资源可能处于不同的分布式计算机环境中,也就是通过一次验证,多次登陆不同系统。由此可见单点登录系统的优点有,提高工作效率,用户不再需要为访问每一个服务资源而进行一次身份认证过程,从而使用户节省更多的时间;更有效的管理,用户的账号数据统一保存、集中管理,减少了出错的机率,同时也减轻了网络管理员维护的负担;增强系统整体安全性,由于用户只需记住一个唯一的登录密码,因此该密码可以设计得非常复杂,从而增加了攻击者进行口令猜测的难度,此外通过强认证机制对用户进行基本身份验证。 附图说明 图1是使用XML安全策略实现网格安全域之间安全传输的的参考体系结构示意图。 图2是安全域的内部结构图。 图3是Tomcat服务发布过程中运用到的Handler机制原理图。 图4是用户获取签发的SAML断言过程图。 图5是本专利技术系统流程图。 具体实施例方式 一、体系结构 图1给出了一个运用这种方法的安全传输的组成结构图。通过Tomcat作为发布容器,在每一个安全域中把SAML断言认证服务发布,通过调用的形式来实现断言认证。当用户在SD1登录后,SD1根据用户的信息给用户签发一个断言,用户即可使用该断言登录并调用其他安全域中的资源。这样用户只需在网格中主动地进行一次身份认证,之后无需另外验证身份,随后便可以访问其被授权的所有网格资源,而不需要再主动参与其它的身份认证过程。这些资源可能处于不本文档来自技高网...
【技术保护点】
一种基于可扩展标志语言安全策略的网格安全处理方法,其特征在于将可扩展标记语言密钥管理技术用于网格间密钥的传输和验证,将可扩展标记语言安全规范用于网格间数据传输的安全,将单点登录运用于网格间的安全域之间跨域访问,具体方法为:1.)密钥传输和可扩展标记语言数据安全传输11)发送方生成密钥对;12)并将密钥信息注册到基于可扩展标记语言密钥管理服务器;13)运用公钥基础设施对消息进行加密和签名,并将自身的密钥信息添加到消息的签名中;14)接收方接收到请求消息;15)接受方分析请求消息并从中析取出用户的密钥信息,并将密钥信息发送往基于可扩展标记语言密钥管理服务器;16)基于可扩展标记语言密钥管理服务根据接收方发来的密钥信息验证密钥的有效性,验证通过则返回发送方的公钥,验证不通过则返回错误信息;17)接收方用接收到的公钥来验证发送方传来消息的签名,验证通过则对该消息作出响应;2.)整体系统的实现21)首先保证用户和所有的服务器所用到的密钥都已经注册在基于可扩展标记语言密钥管理,并且保证每涉及到数据传输过程都按上面的步骤13)~步骤17)步来依次执行;22)用户向一个安全域认证中心提交注册请求;23)身份认证中心保存用户的身份属性信息后返回一个用于用户身份证明的数字证书;24)用户向该安全域的身份认证服务器提交单点登录断言请求,请求中包含有身份认证中心颁发给用户的数字证书;25)身份认证服服务器根据数字证书获取用户的身份属性信息等,确认用户身份,如通过认证,则用户为该安全域的合法用户,签发并返回给用户单点登录断言;26)用户向该安全域提交带有单点登录断言的服务请求到该安全域的服务发布服务器;27)发布于服务发布服务器中的单点登录断言验证程序在接收到消息后即对消息中的断言进行验证,验证通过则根据相应的匹配策略返回用户可用的资源节点;28)如可用的资源节点都在本安全域,则直接向该资源节点传送数据,资源做出处理并返回结果;29)如资源节点不在本安全域,则用户向相应的安全域的服务发布服务器直接提出带有单点登录断言的调用资源请求,验证通过则可以直接向资源节点传送数据并得到返回结果。...
【技术特征摘要】
【专利技术属性】
技术研发人员:王汝传,郑卿,张琳,王海艳,任勋益,王杨,
申请(专利权)人:南京邮电大学,
类型:发明
国别省市:84[中国|南京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。