Responsabilidades legales de los certificados de proxy
Responsabilidad legal si la autorización en el certificado de agencia no es clara:
El artículo 65, párrafo 3, de los "Principios Generales del Derecho Civil" estipula: "Si la autorización en el el poder no es claro, el mandante será responsable civilmente frente al mandatario, el mandatario será solidariamente responsable”. Si la autorización en el poder no es clara, serán responsables tanto la intención poco clara del mandante como la falta de opiniones correctivas del mandante. Al mismo tiempo, el mandante y el mandante serán responsables de los efectos o daños jurídicos que dicha conducta cause. a la contraparte de buena fe. Beijing Ningwang Technology Development Co., Ltd. se estableció en la Zona de Desarrollo Industrial de Alta Tecnología de Beijing, conocida como Silicon Valley de China. Es una empresa profesional de alta tecnología que se centra en la venta de productos de red, productos de cableado integrado y la implementación de. soluciones globales. La empresa cuenta con una división de productos, un departamento de integración de sistemas y un departamento de servicio posventa, etc.
La empresa se adhiere al espíritu empresarial de "el usuario primero, la innovación primero y el talento primero", toma "lo más aplicable, más simple y más eficiente" como principio de servicio, confía en los mejores y más recientes productos de red, y usuarios Guiados por las necesidades reales, creamos soluciones de redes empresariales modernas adaptadas a cada usuario.
Con una gestión eficiente, una sólida solidez técnica y una reputación de integridad, así como un espíritu de equipo de colaboración y un fuerte sentido de responsabilidad, la empresa ha crecido con muchos productos de red convencionales en el proceso de continua Expansión y expansión comercial Mantenemos estrechas relaciones de cooperación con los fabricantes y actuamos como agentes para productos de red, productos de cableado estructurado, productos de red de fibra óptica y productos digitales de muchos fabricantes conocidos. Las marcas de agentes incluyen: Kaifeng, CLAN, YOFC, AMP, COMMSOCPE, etc.
La empresa cuenta con un grupo de talentos bien capacitados, enérgicos, emprendedores e innovadores en marketing, tecnología de ingeniería, gestión empresarial y otros campos. El departamento de integración de sistemas ha participado en el diseño y desarrollo de múltiples edificios inteligentes. Trabajos de supervisión de sistemas de cableado, capaces de completar de forma independiente la planificación y el diseño, supervisión de instalación y diseño de sistemas de cableado integral, monitoreo de seguridad, control de acceso, automatización de edificios y otras soluciones.
Los empleados de la empresa mantienen la actitud de "ayudar a los demás es ayudarse a uno mismo, y hacer las cosas también es un ser humano. Nos gustaría agradecer a los usuarios nuevos y antiguos por su apoyo y atención a Beijing Ningwang". Tecnología Co., Ltd. Redoblaremos nuestros esfuerzos y devolveremos más atención a los usuarios y a la sociedad en una futura cooperación profunda. La tecnología Grid es una importante tecnología de la información que está surgiendo a nivel internacional. Su objetivo es integrar completamente varios recursos informáticos que están ampliamente distribuidos geográficamente y tienen sistemas heterogéneos para lograr el intercambio de recursos de alto rendimiento y el trabajo colaborativo en un entorno virtual de red. En comparación con el entorno de red tradicional, el entorno de computación grid es extremadamente complejo y tiene características como una distribución dinámica y heterogénea. Su sistema de seguridad debe proporcionar funciones básicas como el inicio de sesión único y la autorización de agentes. Dado que el sistema de red es diferente del entorno de red tradicional en varios aspectos, los métodos para resolver los problemas de seguridad de la red no se pueden utilizar completamente para resolver los problemas de seguridad de la red. Grid utiliza GSI como medio para autenticar a los usuarios y recursos de Grid. El portal de grid es un portal unificado para que todos los usuarios accedan a los recursos de grid. Su uso les ahorra a los usuarios la molestia de desarrollar e implementar clientes específicos; todos los usuarios usan el portal unificado para enviar tareas de grid. En circunstancias normales, por razones de seguridad, no se utiliza el certificado original y se utiliza un certificado proxy para enviar la tarea. El portal de grid debe proporcionar un certificado de proxy al enviar tareas de usuario. El certificado de proxy está firmado por la clave privada del certificado de usuario, representa la identidad del sujeto de usuario original y tiene todos o parte de los permisos del sujeto original. Su vida útil es muy corta y, una vez que se viola, el daño al sistema se puede minimizar. ?
Cuando un usuario envía un trabajo, el portal de grid necesita verificar la identidad del usuario que lo envía. Este método genera un problema, es decir, cómo enviar su propio certificado de proxy al portal de grid. Este artículo propone un esquema de firma de certificado proxy que tiene en cuenta tanto la seguridad como la practicidad. El extremo de firma del certificado proxy se implementa en la página web a través de JavaWebStart, y los usuarios pueden descargarlo automáticamente para ejecutarlo localmente con solo hacer clic en él. Esta solución para enviar certificados de proxy es conveniente, flexible y compatible con la arquitectura de red y la infraestructura de seguridad existentes. ?
¿Trabajo relacionado?
Hay dos formas principales de cargar el certificado de proxy en el portal de grid: ① Implementar una página de carga en el portal de grid y el usuario carga el certificado generado. localmente El certificado de proxy se almacena en una ubicación fija en el portal de grid. En el sistema Globus[7], los usuarios generalmente generan un certificado de proxy a través de su biblioteca de funciones grid-proxy-init y lo cargan en la entrada del grid.
Sin embargo, una desventaja obvia de este método es que los usuarios de grid necesitan un entorno para ejecutar el comando grid-proxy-init. En términos generales, necesitan instalar el software Globus antes de poder usar este comando. Dado que los pasos para instalar Globus son engorrosos y los requisitos del usuario para usar este comando son altos, este método es menos práctico. ② El usuario inicia el programa para cargar el certificado de proxy directamente desde la página web a través de JavaWebStart o Applet. Este método es adoptado por el proyecto GridSphere[8]. La carga del certificado de proxy requiere especificar la dirección IP del servidor My ̄?Proxy[9], así como el nombre de usuario, la contraseña, la contraseña de la clave privada y otra información. . Esta implementación resuelve el problema de instalar el entorno Globus localmente, pero surgen otros dos problemas: ① El usuario necesita conocer la dirección IP o el nombre de dominio del servidor MyProxy. ②Es posible que el certificado extraído no cumpla con el tiempo necesario para ejecutar la tarea. Dado que a los usuarios les resulta difícil saber si la vida útil del último certificado guardado aún puede satisfacer las necesidades de esta aplicación, esta solución también tiene desventajas. ?
¿Arquitectura?
Para resolver los problemas anteriores, se propone un nuevo marco de seguridad de red UserCA. Proporciona acceso entre dominios y firma de forma transparente el certificado de proxy del usuario en línea. Los usuarios solo necesitan configurar la configuración antes de enviar la tarea de grid (incluida la contraseña de la clave privada del certificado local y el modo de ejecución) e iniciar el servidor para enviar el grid. tarea informática. El marco de seguridad de UserCA se muestra en la Figura 1. Sus módulos principales incluyen consumidor de certificados de proxy, proveedor de certificados de proxy, extremo de firma de certificados de proxy, servidor de información de mapeo de identidad, control de acceso, política de mapeo de identidad, política de certificación de CA, centro de certificación de CA, etc. Las funciones de cada módulo se describen a continuación: (1) Centro de certificación CA. Como centro global de emisión y auditoría de certificados, todos los certificados originales son emitidos por este centro de certificación, incluidos los certificados personales y los certificados de host. Para convertirse en un usuario legal de la red, un usuario debe tener su certificado personal firmado por el centro de CA; si el usuario necesita implementar un servicio de red y hacer que tenga acceso restringido, el centro de CA debe firmar un certificado de host legal. (2) Servidor de información. Proporciona consulta de información externa, como si existe un determinado servicio, si un usuario tiene derecho a acceder a un determinado tipo de servicio, información del nodo donde se encuentra un servicio específico, etc. (3) Estrategia de mapeo. Determina a qué identidad se asignarán los usuarios de dominios externos cuando accedan a este dominio. (4) Consumidor del certificado de agente. Acceso seguro a los recursos del grid mediante el uso de certificados proxy. Cuando un módulo accede al servicio grid, el módulo desempeña el papel de consumidor de certificado proxy. Generalmente, se representa como un programador de recursos (ResourceBroker) en el sistema real. (5) Proveedor de certificados de agencia. Antes de acceder al servicio, el consumidor del certificado de proxy debe presentar su identidad, es decir, el certificado de proxy, al servicio al que accede. El consumidor del certificado de proxy solicita el certificado de proxy requerido a través del proveedor de certificado de proxy, y el proveedor de certificado de proxy obtiene el certificado de proxy interactuando con el extremo de firma del certificado de proxy y lo devuelve al consumidor del certificado de proxy. (6) Fin de la firma del certificado del agente. Se implementa en el cliente del usuario y se puede configurar y ejecutar de forma independiente. Cuando el proveedor de certificados proxy accede al servidor de certificados proxy, si no hay un certificado proxy que cumpla con las condiciones, emitirá una solicitud de firma de certificado en el formato PKCS#10[3] al extremo de la firma del certificado proxy; firmará el certificado de proxy devuelto al solicitante del certificado de proxy. La parte final de la firma del certificado proxy tiene dos modos de trabajo: automático y manual. En el modo automático, el final de la firma del certificado proxy completará automáticamente la función de firma sin la participación del usuario; en el modo de firma manual, cada solicitud de firma requiere la confirmación del usuario, lo que evita la posibilidad de una firma incorrecta y el efecto de este modo es más seguro. (7) Control de acceso. Cuando un usuario de grid accede a un servicio local específico, primero se asigna a un usuario local específico (de acuerdo con la relación de mapeo proporcionada por el archivo Grid-Map-file[3]) y luego accede al servicio local. (8) Mapeo de identidad. Cuando un usuario de dominio extranjero accede a este dominio, su identidad se asignará a un usuario de dominio local. (9) Grupo de almacenamiento de certificados de agente. Aunque el certificado de proxy obtenido por el proveedor del certificado de proxy tiene una vida útil corta, los atacantes aún pueden explotarlo. Por lo tanto, es necesario almacenar el certificado de proxy en una ubicación confiable para su próximo uso. Ver detalles a continuación: