Bezpečnostní infrastruktura METACentra

D 2005

Bezpečnostní infrastruktura METACentra

KOUŘIL, Daniel a Luděk MATYSKA

Základní údaje

Originální název

Bezpečnostní infrastruktura METACentra

Název anglicky

Security Infrastructure of METACentrum

Autoři

KOUŘIL, Daniel a Luděk MATYSKA

Vydání

Olomouc, Širokopásmové sítě a jejich aplikace, od s. 117-125, 8 s. 2005

Nakladatel

CESNET, z.s.p.o. a UP Olomouc

Další údaje

Typ výsledku

Stať ve sborníku

Utajení

není předmětem státního či obchodního tajemství

Organizační jednotka

Ústav výpočetní techniky

ISBN

80-244-1035-4

Klíčová slova anglicky

Security; authentication; grid

Štítky

authentication, GRID, security

Změněno: 19. 12. 2006 11:44, RNDr. David Antoš, Ph.D.

Anotace

V originále

Tvorba heterogenního distribuovaného prostředí s jednotným rozhraním Gridu vyžaduje bezpečnostní mechanismy, které nezatěžují uživatele opakovanými autentizačními požadavky (např. při přechodu na nový uzel) a přitom zajišťuje dostatečně vysokou bezpečnost. Takový systém je budován v rámci aktivity METACentrum výzkumného záměru sdružení CESNET. Realizovaná infrastruktura podporuje jednotnou autentizaci napříč různými administrativními doménami, včetně podpory tzv. Single Sign-On. Ten umožňuje snadné a bezpečné využívání zdrojů METACentra po jednorázové autentizaci. Primárním autentizačním protokolem je Kerberos ve verzi 5, na jehož implementaci a podpoře v aplikacích (např. Mozilla/Firefox) se METACentrum aktivně podílí. Dále jsou podporovány X.509 certifikáty, přitom infrastruktura zajišťuje bezproblémový přechod mezi oběma autentizačními mechanismy. Před dokončením je infrastruktura podpory jednorázových hesel, včetně nástrojů pro generování a další manipulaci s nimi. V příspěvku jsou dále popsány první zkušenosti s nasazením čipových USB tokenů, která garantují bezpečnější manipulaci se soukromými klíči uživatelů. Všechny podporované autentizační mechanismy jsou vzájemně propojeny a poskytují uživatelům nezbytnou flexibilitu přístupu k heterogennímu distribuovanému prostředí. Uživatelé prostředí METACentra (Gridu) používají samozřejmě i pro dlouhodobé úlohy, kde celková doba výpočtu přesahuje dobu expirace interně používaných bezpečnostních tokenů. Obdobný problém je spojen s migrací procesů, kdy je třeba autentizace k novému zdroji bez přítomnosti uživatele. Součástí příspěvku je i diskuse mechanismů, kterými jsou tyto problémy řešeny (obnovení proxy certifikátů, delegace, atd.).

Citovat

KOUŘIL, Daniel a Luděk MATYSKA. Bezpečnostní infrastruktura METACentra. In Širokopásmové sítě a jejich aplikace. Olomouc: CESNET, z.s.p.o. a UP Olomouc, 2005, s. 117-125, 8 s. ISBN 80-244-1035-4.

@inproceedings{570433,
   author = {Kouřil, Daniel and Matyska, Luděk},
   address = {Olomouc},
   booktitle = {Širokopásmové sítě a jejich aplikace},
   keywords = {Security; authentication; grid},
   location = {Olomouc},
   isbn = {80-244-1035-4},
   pages = {117-125},
   publisher = {CESNET, z.s.p.o. a UP Olomouc},
   title = {Bezpečnostní infrastruktura METACentra},
   year = {2005}
}

TY  - JOUR
ID  - 570433
AU  - Kouřil, Daniel - Matyska, Luděk
PY  - 2005
TI  - Bezpečnostní infrastruktura METACentra
PB  - CESNET, z.s.p.o. a UP Olomouc
CY  - Olomouc
SN  - 8024410354
KW  - Security
KW  - authentication
KW  - grid
N2  - Tvorba heterogenního distribuovaného prostředí s jednotným rozhraním Gridu vyžaduje bezpečnostní mechanismy, které nezatěžují uživatele opakovanými autentizačními požadavky (např. při přechodu na nový uzel) a přitom zajišťuje dostatečně vysokou bezpečnost. Takový systém je budován v rámci aktivity METACentrum výzkumného záměru sdružení CESNET. Realizovaná infrastruktura podporuje jednotnou autentizaci napříč různými administrativními doménami, včetně podpory tzv. Single Sign-On. Ten umožňuje snadné a bezpečné využívání zdrojů METACentra po jednorázové autentizaci. Primárním autentizačním protokolem je Kerberos ve verzi 5, na jehož implementaci a podpoře v aplikacích (např. Mozilla/Firefox) se METACentrum aktivně podílí. Dále jsou podporovány X.509 certifikáty, přitom infrastruktura zajišťuje bezproblémový přechod mezi oběma autentizačními mechanismy. Před dokončením je infrastruktura podpory jednorázových hesel, včetně nástrojů pro generování a další manipulaci s nimi. V příspěvku jsou dále popsány první zkušenosti s nasazením čipových USB tokenů, která garantují bezpečnější manipulaci se soukromými klíči uživatelů. Všechny podporované autentizační mechanismy jsou vzájemně propojeny a poskytují uživatelům nezbytnou flexibilitu přístupu k heterogennímu distribuovanému prostředí. Uživatelé prostředí METACentra (Gridu) používají samozřejmě i pro dlouhodobé úlohy, kde celková doba výpočtu přesahuje dobu expirace interně používaných bezpečnostních tokenů. Obdobný problém je spojen s migrací procesů, kdy je třeba autentizace k novému zdroji bez přítomnosti uživatele. Součástí příspěvku je i diskuse mechanismů, kterými jsou tyto problémy řešeny (obnovení proxy certifikátů, delegace, atd.).
ER  -

KOUŘIL, Daniel a Luděk MATYSKA. Bezpečnostní infrastruktura METACentra. In \textit{Širokopásmové sítě a jejich aplikace}. Olomouc: CESNET, z.s.p.o. a UP Olomouc, 2005, s.~117-125, 8 s. ISBN~80-244-1035-4.

Podrobný výpis o publikaci