2.1.3 .2Ủy quyền
2.1.3.3 Giaotiếp bí mật
Ở chế độ mặc định, mọi giao tiếp cơ bản trên lưới đều dựa trên việc xác thực tương hỗ của các chứng chỉ số và SSL/TLS. Chứng chỉ số đã được cài đặt trên các máy tính lưới cung cấp xác thực tương hỗ giữa hai tổ chức. Các chức năng SSL/TLS mà OpenSSL cung cấp sẽ mã hóa toàn bộ thông tin giữa các host trong lưới. Hai chức năng này cùng cung cấp các dịch vụ an ninh cơ bản nhằm xác thực và bảo mật.
Xác thực tương hỗ
Để cho phép giao tiếp an toàn trong lưới, gói OpenSSL được cài đặt như một thành phần của Globus Toolkit. Bên trong Globus Toolkit, OpenSSL là một gói phần mềm được dùng để tạo ra một đường hầm được mã hóa bằng cách sử dụng SSL/TSL giữa các client và server trong lưới.
Quá trình xác thực tương hỗ bắt đầu khi hai tài nguyên lưới muốn chia sẻ tài nguyên. Thay vì sử dụng một kho khóa, mỗi tài nguyên lưới xác thực với một tài nguyên khác dựa trên chứng chỉ số của họ. Ví dụ, một tài nguyên lưới sẽ thử thiết lập giao tiếp an toàn với một tài nguyên lưới khác. Trước khi người nhận sẽ cho phép client truy cập vào các tài nguyên của họ, họ cần xác thực một người khác. Quá trình này được mô tả dưới đây với một bắt tay SSL.
Bắt tay SSL
Để thiết lập giao tiếp an toàn giữa các client và server của lưới, phải thiết lập một bắt tay. Bắt tay này có trách nhiệm xác định các thiết lập SSL, trao đổi khóa công khai và làm nền tảng cho quá trình xác thực tương hỗ. Quá trình bắt tay diễn ra như sau:
1. Một client trong lưới liên hệ với một server ở xa để bắt đầu một phiên an toàn bằng cách sử dụng một chứng chỉ số X.509
2. Client tự động gửi đến server số phiên bản SSL của client đó, các thiết lập mã hóa, dữ liệu được sinh ngẫu nhiên, và các thông tin khác mà server cần để giao tiếp với client sử dụng SSL.
3. Server sẽ phản hồi, tự động gửi đến client chứng chỉ số của site, cùng với phiên bản SSL của server, các thiết lập mã hóa.
4. Client phân tích thông tin chứa trong chứng chỉ của server, và kiểm chứng rằng: a. Chứng chỉ của server là hợp lệ và có một thời gian phù hợp.
b. CA mà phát hành chứng chỉ của server phải được ký bởi một CA tin cậy, nơi mà chứng chỉ của họ được xây dựng cho client.
c. Khóa công khai của CA đã phát hành, được xây dựng trong client, phê chuẩn chữ ký số của nơi phát hành
d. Tên miền được đặc tả bởi chứng chỉ của server phải khớp với tên miền thực sự của server.
5. Nếu server có thể được xác thực thành công, client sinh một “khóa phiên” duy nhất để mã hóa toàn bộ giao tiếp với server sử dụng khóa bất đối xứng.
6. Client của người dùng mã hóa khóa phiên của nó với khóa công khai của server do đó chỉ có site có thể đọc khóa phiên, và gửi nó cho server.
7. Server giải mã khóa phiên bằng cách sử dụng khóa riêng tư của nó.
8. Client gửi một thông điệp đến server để cho biết rằng các thông điệp tiếp theo từ client sẽ được mã hóa với khóa phiên. Server sau đó cũng gửi một thông điệp đến client để cho biết rằng các thông điệp tiếp theo từ server sẽ được mã hóa với khóa phiên.
9. Bây giờ, một phiên SSL-an-toàn đã được thiết lập. SSL sau đó dùng mã hóa đối xứng (nhanh hơn mã hóa PKI công khai) để mã hóa và giải mã các thông điệp bên trong “đường ống” SSL-an-toàn.
10. Bây giờ các tài nguyên lưới đầu tiên đã được xác thực, tài nguyên lưới thứ hai sẽ được xác thực bằng cách sử dụng quá trình tương tự.
11. Chỉ khi phiên làm việc hoàn thành, khóa phiên mới bị hủy bỏ.
Miễn là cả hai tài nguyên lưới đều có một chứng chỉ số hợp lệ, quá trình xác thực tương hỗ sẽ thành công. Đây là một ví dụ rõ ràng về cách an ninh lưới sử dụng cả mã hóa đối xứng và mã hóa bất đối xứng để xác thực và truyền dữ liệu an toàn giữa các tài nguyên lưới. Một client dùng mã hóa bất đối xứng để xác thực và chỉ khi nó được xác thực, nó dùng mã hóa đối xứng với một khóa riêng tư được chia sẻ để mã hóa và giải mã toàn bộ dữ liệu giữa chúng.