开发了一种名为MESH的基于软件的创新,它使用系统调用插入提供了对安全shell(SSH)的内置公钥身份验证机制的单一登录功能。网格是一个安全的轻量级网格中间件。每个网格安装都专用于为特定的虚拟组织(VO)提供服务,该组织被定义为个人,机构和资源的动态集合。网格允许一个VO中的个体在其他协作VOS中,在其他协作VOS中执行SSH远程命令,使用本地VO生成的单个网格SSH私钥。

完整的网状部署包括两个专用主机和三个主要软件组件(除了SSH本身)。第一个主机,网格代理(MP),负责调解要在VO内的网格可访问资源上执行的所有SSH远程命令。尝试绕过MP并直接联系VO资源的用户将无法使用网格认证,从而确保完整的调解。

MP上的命令中介由称为网格授权shell(mash)的软件组件执行。MASH是一个高度灵活且可自定义的登录shell替换,解析远程命令并授权它们针对站点安全策略。作为授权过程的一部分,可以选择重写命令以强制遵守特定站点策略或提供增强的可用性。授权命令通过第二个SSH Remote命令传递给适当的VO资源以执行执行。使用库预加载将名为Mesh Interthion Agent(MIA)的软件组件注入资源的SSH服务器中的软件组件进行网格资源,该软件将其动态修改公钥认证期间的行为。

代替在用户的主目录中存储本地存储的授权_keys文件,而不是在本地存储的授权文件,而不是在每个VO中从一个名为Mesh认证点(地图)的第二专用主机在运行时检索的授权_keys文件。在从地图和MP的身份验证期间实现单点登录。在网状物中,假设每个人都有一个家庭VO,这是它们最常见的VO,例如,它们最常见的,例如,他们工作的机构。当由MIA从不是用户家庭地图的地图检索密钥时,密钥检索将传播到家庭地图。同样,当验证到不是用户家庭MP的MP时,该MP将启动来自家庭MP的密钥检索。因此,在家庭VO处生成的网格密钥在所有VOS上都是有效的。

一旦用户在网格可访问的资源上成功认证,MIA会忽略用户的登录shell,而是使用名为Mesh Exec安全shell(MESS)的软件组件来执行由MP发出的远程命令。CASS是一个受约束的执行shell,它忽略元字符,并且仅执行管理员授权的程序,而不是用户不允许。在执行命令时,它会受到MIA强制执行的读取,写和执行控件。一旦命令终止,SSH会话将作为最后一步终止。

这项工作由Paul Kolano为Ames Research Center提供了Paul Kolano。美国宇航局邀请公司询问合作机会和许可这项专利技术。在1-855-627-2249或者联系AMES技术合作伙伴办公室或此电子邮件地址受到垃圾邮件程序的保护。您需要启用Javascript来查看它。。请参阅ARC-15857-1。


美国宇航局yabovip16.com科技简报杂志

本文首先出现在2015年4月期刊上美国宇航局yabovip16.com技术简报杂志。

阅读此问题的更多文章这里

阅读档案中的更多文章这里