Grid sigurnosna infrastruktura temeljena na Globus programskom alatu

Nema recenzije

Odlomak

Uvod

Grid je distribuirani sustav sastavljen od velikog broja sredstava smještenih širom svijeta i povezanih Internetom. Sredstva pružaju usluge korisnicima iz različitim administrativnih domena. Uspostavljanje povjerenja u takvoj okolini je nužno jer su korištena sredstva vrlo skupa (grozdovi računala, spremišta podataka, mjerna oprema). Jedno od prvih integriranih rješenja za problem sigurnosti u Gridu je Globus programski alat.
Ovaj rad predstavlja implementaciju sigurnosti u Globus alatu sa tri različita gledišta. Najprije su definirani posrednički certifikati – sigurnosne značke korištene za autentifikaciju u Gridu. Zatim slijedi opis upravljanja certifikacijskim autoritetima (CA) pomoću kojih se ostvaruje povjerenje u Grid okolini. Na- posljetku je predstavljeno sučelje koje aplikacije koriste za pristup sigurnosnimmehanizmima Globus programskog alata. Svi opisi temeljeni su na Globus alatu verzije 3 distribuiranom u okviru VDT-a[2] (Virtual Data Toolkit). Iako postoje i novije verzije, ova je odabrana jer se nalazi u širokoj upotrebi u produkcijskim Gridovima.

Posrednički certifikati
Posredovanje je često korišteni postupak koji omogućava jednom objektu daobavlja poslove u ime drugog objekta. Grid usluge koriste posredničke cerifikate za autentifikaciju i obavljanje zadataka u ime korisnika. X.509 posrednički certifikat je certifikat potpisan od strane korisničkog X.509 certifikata ili drugog posredničkog certifikata. Ovakvo ulančavanje certifikata nije dopušteno u klasičnom modelu infrastrukture javnog ključa gdje samo certifikacijski autoriteti imaju pravo potpisivanja certifikata. Da bi bilo moguće koristiti posredničke certifikate za autentifikaciju potrebno je djelomično izmijeniti postupak provjere valjanosti certifikata.
Version: 3 (0x2)
Serial Number: 40 (0x28)
Subject: C=HR, O=edu, OU=irb, CN=Valentin Vidic, CN=proxy
Issuer: C=HR, O=edu, OU=irb, CN=Valentin Vidic
Validity
Not Before: Mar 1 22:00:08 2007 GMT
Not After : Mar 2 10:05:08 2007 GMT
X509v3 extensions:
X509v3 Key Usage:
Digital Signature, Key Encipherment, Data Encipherment
Neograničeni posrednički certifikat

Dvije najznačajnije prednosti korištenja posredničkih certifikata u Gridu su jednostruka prijava i prenošenje ovlasti. Jednostruka prijava omogućava korisniku pristup do svih Grid usluga nakon jednostrukog unosa lozinke kojom je zaštićen privatni ključ (Slika 2.) Privatni ključ korisničkog certifikata koristi se bza potpisivanje posredničkog certifikata kratkog trajanja (obično 12 sati). Svaki daljnji pristup Grid uslugama za autentifikaciju koristi posrednički certifikat bez potrebe za unosom lozinke. To je moguće jer je privatni ključ posredničkog certifikata spremljen nekriptiran u datoteku dostupnu samo korisniku. Prenošenje ovlasti (delegacija) omogućava korisniku da prenese posrednički certifikat Grid usluzi. Grid usluga se zatim može autentificirati i obavljati zadatke u ime ko-
risnika (pokretati poslove, prenositi datoteke).
$ grid-proxy-init
Your identity: /C=HR/O=edu/OU=irb/CN=Valentin Vidic
Enter GRID pass phrase for this identity:
Creating proxy ………………… Done
Your proxy is valid until: Mon Mar 5 09:37:35 2007
Slika 2: Stvaranje posredničkog certifikata

Danas se u široj upotrebi nalaze dva tipa posredničkih certifikata: posrednički certifikati uvedeni u verziji 2 i 3 Globus programskog alata. Osnovna razlika izmedu dva tipa je u načinu na koji se prepoznaje tip certifikata. U verziji 2, tip certifikata odreduje se iz imena certifikata, dok se u verziji 3 koristi ProxyCertInfo X.509 proširenje.
Globus programski alat verzije 2 razlikuje dva podtipa posredničkog certifikata: