Authentication và authorization
Giả sử user trên host A muốn sử dụng một ứng dụng nào đó trên host B. Liệu user có đảm bảo rằng ứng dụng yêu cầu có phải xuất phát từ chính host B hay không? Cơ chế authentication sẽ giúp xác thực được host B có phải đang giao tiếp với host A hay không.
1. User bên host A sẽ gửi certificate sang host B.
2. Host B sẽ lấy public key của A và sử dụng public key này để lấy thông tin trên certificate (bằng cách sử dụng public key của CA).
3. Host B tạo một số ngẫu nhiên và gửi lại cho host A.
4. Host A nhận số ngẫu nhiên này và mã hóa sử dụng private key của mình. Sau đó gửi lại thông điệp đã được mã hóa này cho host B.
5. Host B nhận thông điệp được mã hóa sử dụng public key để giải mã xem số ngẫu nhiền đó có trùng với số ngẫu nhiên mà host B tạo ra để gửi cho bên A trước đó hay không? Sau đó host B đã xác thực được certificate thực sự là từ bên host A gửi tới bởi vì chỉ có bên host A mới có thể mã hóa được.
Hình II.4.2: Cơ chế Authentication và authorization
Delegation
Một công việc (job) được phân chia thành các công việc nhỏ để thực hiện trên các host từ xa, tuy nhiên công việc thực hiện trên các host xa đó lại mong muốn phân chia ra thành nhiều công việc nhỏ hơn để thực hiên trên các host khác. Vậy làm thế nào để khi thực hiện các công việc này vẫn tuân thủ chính sách bảo mật đặt ra? Cơ chế delegation của GSI sẽ đảm bảo điều này.
Tạo proxy:
1. Giao tiếp giữa host A và host B phải tin cậy lẫn nhau.
2. Host A yêu cầu host B tạo proxy với đầy đủ các quyền của host A.
3. Host B nhận yêu cầu sẽ tạo proxy certificate đại diện cho host A và gửi ngược trở lại host A.
4. Host A nhận proxy certificate từ B sử dụng private key của mình và ký lên đó, sau đó gửi ngược trở lại cho host B.
5. Host A đồng thời cũng gửi luôn certificate cho host B. Proxy action:
1. Sau khi host B nhận được proxy certificate và certificate (host A) sẽ gửi sang bên host C.
2. Host C thực hiện các công việc sau để lấy thông tin cần thiết:
a. Host C lấy subject và public key từ certificate (host A) sử dụng public key của CA.
b. Sau đó host C lấy subject của proxy và public key của proxy sử dụng public key vừa lấy được ở bước a.
3. Bên host B được yêu cầu mã hóa một đoạn thông điệp sử dụng private key proxy và gửi sang cho host C.
4. Host C giải mã đoạn thông điệp này sử dụng public key proxy vừa lấy được ở bước 2.
5. Sau khi xác thực thành công host C sẽ chạy các công việc được yêu cầu từ host B với quyền của host A.
Hình II.4.3: Cơ chế delegation của GSI
Thiết lập giao tiếp an toàn giữa Client và Service