Современные информационные технологи/ 4.Информационая безопасность

Магистрант Лазненко Е.С.

Национальный горный университет, Украина

Безопасность в GRID технологиях

 

Технология GRID используется для создания географически распределенной вычислительной инфраструктуры, объединяющей ресурсы различных типов с коллективным доступом к этим ресурсам  в рамках виртуальных организаций, состоящих из предприятий и специалистов, совместно использующих эти общие ресурсы.

Одной из основных проблем является решение вопросов безопасности (угрозы вторжений, НСД к информационным ресурсам и атаки злоумышленников). Аутентификация и авторизация пользователей являются путями для решения этой проблемы. Аутентификационные решения для сред виртуальных организаций должны обладать следующими свойствами:

- единый вход;

- делегирование прав;

- доверительное отношение к пользователю.

Для входа в GRID-систему пользователь должен:

- быть легальным пользователем вычислительных ресурсов в своей организации;

- иметь персональный цифровой сертификат, подписанный центром сертификации;

- быть зарегистрированным хотя бы в одной виртуальной организации.

На данный момент существует инфраструктура безопасности GRID (Grid Security Infrastructure – GSI), которая обеспечивает безопасную работу в незащищенных сетях общего доступа (Интернет), предоставляя такие сервисы, как аутентификация, конфиденциальность передачи информации и единый вход в GRID-систему.

GSI основана на надежной и широко используемой инфраструктуре криптографии с открытым ключом (Public Key Infrastructure – PKI).

В качестве идентификаторов пользователей и ресурсов в GSI используются цифровые сертификаты X.509. В работе с сертификатами X.509 и в процедуре выдачи/получения сертификатов задействованы три стороны:

1.            Центр Сертификации (Certificate Authority – CA) – специальная организация, обладающая полномочиями выдавать (подписывать) цифровые сертификаты.

2.            Подписчик – это человек или ресурс, который пользуется сертификационными услугами CA.

3.            Пользователь – это человек или ресурс, полагающийся на информацию из сертификата при получении его от подписчика.

Управление авторизацией осуществляется посредством интерфейса Generic Authorization and Access, позволяющего интегрировать в инфраструктуру GRID различные локальные политики безопасности (основанные на паролях, системе Kerberos и т.д.). Протоколы безопасности удовлетворяют ряд требований: однократная регистрация пользователя в GRID; делегирование полномочий программам и службам, выполняющимся от имени пользователя.

Таким образом, можно выделить следующие потенциальные проблемы, требующие решения на уровне инфраструктуры:

- программно-организационная инфраструктура управления сертификатами, необходимая для поддержки GSI (иерархия сертификационных центров выдачи, обновления и отзыва сертификатов); соответствующего стандартизованного программного обеспечения еще нет, необходимо использовать средства сетевых ОС и их инфраструктуры;

- современный способ авторизации обладает существенным недостатком: пользователь должен быть зарегистрирован в операционной системе каждого доступного ему компьютера и прописан в специальном конфигурационном файле ресурса. Для открытой и масштабной среды такой способ неудовлетворителен.

Решив вопрос аутентификации, необходимо наделить пользователя соответствующими полномочиями и ресурсами. В результате этапа авторизации, задание, запущенное от имени пользователя, должно получить определенный набор ресурсов. Ключевой вопрос авторизации: создание таких средств для спецификации и проведения политики предоставления ресурсов, которые удовлетворяли бы требованиям минимизации личных контактов для получения доступа к ресурсам и минимизации администрирования. В рамках существующих технологий для работы на каждом ресурсе GRID необходимо обратиться к его владельцу для регистрации и создания соответствующего профиля. Существует архитектура централизованной и масштабируемой службы Community Authorization Service (CAS). Тем не менее, удовлетворительного в практическом плане решения по-прежнему нет, поэтому необходимо решить следующие задачи:

- обеспечить спецификацию прав пользователя;

- динамическое выделение ресурсов с учетом конкретных параметров задания, но в рамках прав данного пользователя;

- организовать регистрацию пользователя в локальных системах.

 

Литература:

1. Татьянин В. РКI: современные тенденции // ТЕЛЕКОМ. Коммуникации и сети. – 2006. - № 4. – С. 30 – 34.

2. I. Foster, H. Kishimoto, A. Savva, D. Berry et al. The Open Grid Services Architecture. – Global Grid Forum, 2005, http://www.ggf.org/documents/GFD.30.pdf

3. Overview of the Grid Security Infrastructure, http://www.globus.org/security/overview.html