[转载] 【每周推荐阅读】PKI/X509:公有云的授权认证安全基础体系
2015-05-14 08:46
344 查看
在Amazon AWS或者Google的App Engine开发平台上使用各种公有云服务,都需要事先注册并得到一个关于个人身份的“证书”。就像我们的个人身份证一样,可以用于证明自己的身份(Authentication)以及根据身份所在各个资源域所对应的角色获得资源使用的授权(Authorization)。因为所有资源提供者都信任身份证的发证机关(Cerfication Authentication),因此都按照事先约定好的规则对合法用户进行授权(包括“对那些只有拥有什么使用权限”(ACL)以及“使用量多少”(Quota))。这个身份证在互联网上就是基于X509的工业标准(RFC3820/3821)所得到的电子证书,记录了PKI标示的唯一common name以及附属的认证信息,还有一个扩展段可以用来放用户自定义信息。
百度公有云以及门神系统采用了Giano(或者BAAS)的认证体系。从设计角度来讲,Giano使用的X509的认证体系,并希望通过类似于Globus的代理证书方式来实现离线认证(Single Sign-On,SSO)。但在实际的工程设计上,由于Globus离线认证系统比较复杂,Giano实际上做了折中而采用基于kerberos的认证方式来实现SSO,这种基于kerberos方式采用带时间周期的临时ticket来代替X509代理证书(Proxy certificate)实质上降低了安全性,尤其是在传输tiket的链路上如果没有非对称密钥加密。
RFC3820/3821所设定的认证体系被认为是目前最安全可靠的体系(国内银行U盾也采用这样的体系),最早其实发展自网络计算时代的广域网集群调度计算任务。2006年,在我最早参与的国家863项目“国家网格系统GOS”以及欧盟XtreemOS项目中,就是专门研发基于X509以及代理证书的跨广域网的集群调度系统;但当时最有代表性的是Globus网格基础组件。本周推荐阅读的是2005年发表在ACM SIGSOFT的Globus security model for grid environment,会全面介绍广域网使用证书进行离线安全认证的模型与机制。
百度公有云以及门神系统采用了Giano(或者BAAS)的认证体系。从设计角度来讲,Giano使用的X509的认证体系,并希望通过类似于Globus的代理证书方式来实现离线认证(Single Sign-On,SSO)。但在实际的工程设计上,由于Globus离线认证系统比较复杂,Giano实际上做了折中而采用基于kerberos的认证方式来实现SSO,这种基于kerberos方式采用带时间周期的临时ticket来代替X509代理证书(Proxy certificate)实质上降低了安全性,尤其是在传输tiket的链路上如果没有非对称密钥加密。
RFC3820/3821所设定的认证体系被认为是目前最安全可靠的体系(国内银行U盾也采用这样的体系),最早其实发展自网络计算时代的广域网集群调度计算任务。2006年,在我最早参与的国家863项目“国家网格系统GOS”以及欧盟XtreemOS项目中,就是专门研发基于X509以及代理证书的跨广域网的集群调度系统;但当时最有代表性的是Globus网格基础组件。本周推荐阅读的是2005年发表在ACM SIGSOFT的Globus security model for grid environment,会全面介绍广域网使用证书进行离线安全认证的模型与机制。
相关文章推荐
- [转载] 每周推荐阅读 BFQ:实现IO的隔离共享与高吞吐访问
- [转载] 【每周推荐阅读】C-Store:列式存储数据库
- 转载和积累系列 - 关于Oauth2.0认证授权体系
- [转载] 【每周推荐阅读】SEDA:高并发系统设计模型与架构
- [转载] 【每周推荐阅读】虚拟化技术
- [转载] 【每周推荐阅读】ZFS:现代海量存储系统的开山之作
- 转载:赛迪网专访:爱加密打造的全新移动安全体系
- PBOC规范研究之五、安全相关的PKI基础知识
- kubernetes安全控制认证与授权(一)
- Google Open API授权认证体系
- 在Keystone V3基础上改进的分布式认证体系
- Google Open API授权认证体系
- 网络安全基础之认证
- Java Web系列:JAAS认证和授权基础
- [转载]SELinux安全系统基础
- Sun考试认证题目解析(强力推荐,巩固基础)
- [网络安全五]PKI技术基础I
- 安全体系 加解密算法、消息摘要、消息认证技术、数字签名与公钥证书
- 【转载】Web前端开发推荐阅读书籍
- 10月第2周安全回顾 Web安全认证架构成型 PDF阅读器存漏洞 推荐