Bezpečnostní infrastruktura METACentra

D 2005

Bezpečnostní infrastruktura METACentra

KOUŘIL, Daniel and Luděk MATYSKA

Basic information

Original name

Bezpečnostní infrastruktura METACentra

Name (in English)

Security Infrastructure of METACentrum

Authors

KOUŘIL, Daniel and Luděk MATYSKA

Edition

Olomouc, Širokopásmové sítě a jejich aplikace, p. 117-125, 8 pp. 2005

Publisher

CESNET, z.s.p.o. a UP Olomouc

Other information

Type of outcome

Stať ve sborníku

Confidentiality degree

není předmětem státního či obchodního tajemství

Organization unit

Institute of Computer Science

ISBN

80-244-1035-4

Keywords in English

Security; authentication; grid

Abstract

V originále

Tvorba heterogenního distribuovaného prostředí s jednotným rozhraním Gridu vyžaduje bezpečnostní mechanismy, které nezatěžují uživatele opakovanými autentizačními požadavky (např. při přechodu na nový uzel) a přitom zajišťuje dostatečně vysokou bezpečnost. Takový systém je budován v rámci aktivity METACentrum výzkumného záměru sdružení CESNET. Realizovaná infrastruktura podporuje jednotnou autentizaci napříč různými administrativními doménami, včetně podpory tzv. Single Sign-On. Ten umožňuje snadné a bezpečné využívání zdrojů METACentra po jednorázové autentizaci. Primárním autentizačním protokolem je Kerberos ve verzi 5, na jehož implementaci a podpoře v aplikacích (např. Mozilla/Firefox) se METACentrum aktivně podílí. Dále jsou podporovány X.509 certifikáty, přitom infrastruktura zajišťuje bezproblémový přechod mezi oběma autentizačními mechanismy. Před dokončením je infrastruktura podpory jednorázových hesel, včetně nástrojů pro generování a další manipulaci s nimi. V příspěvku jsou dále popsány první zkušenosti s nasazením čipových USB tokenů, která garantují bezpečnější manipulaci se soukromými klíči uživatelů. Všechny podporované autentizační mechanismy jsou vzájemně propojeny a poskytují uživatelům nezbytnou flexibilitu přístupu k heterogennímu distribuovanému prostředí. Uživatelé prostředí METACentra (Gridu) používají samozřejmě i pro dlouhodobé úlohy, kde celková doba výpočtu přesahuje dobu expirace interně používaných bezpečnostních tokenů. Obdobný problém je spojen s migrací procesů, kdy je třeba autentizace k novému zdroji bez přítomnosti uživatele. Součástí příspěvku je i diskuse mechanismů, kterými jsou tyto problémy řešeny (obnovení proxy certifikátů, delegace, atd.).

Citovat

KOUŘIL, Daniel and Luděk MATYSKA. Bezpečnostní infrastruktura METACentra (Security Infrastructure of METACentrum). In Širokopásmové sítě a jejich aplikace. Olomouc: CESNET, z.s.p.o. a UP Olomouc, 2005, p. 117-125, 8 pp. ISBN 80-244-1035-4.

@inproceedings{570433,
   author = {Kouřil, Daniel and Matyska, Luděk},
   address = {Olomouc},
   booktitle = {Širokopásmové sítě a jejich aplikace},
   keywords = {Security; authentication; grid},
   location = {Olomouc},
   isbn = {80-244-1035-4},
   pages = {117-125},
   publisher = {CESNET, z.s.p.o. a UP Olomouc},
   title = {Bezpečnostní infrastruktura METACentra},
   year = {2005}
}

TY  - JOUR
ID  - 570433
AU  - Kouřil, Daniel - Matyska, Luděk
PY  - 2005
TI  - Bezpečnostní infrastruktura METACentra
PB  - CESNET, z.s.p.o. a UP Olomouc
CY  - Olomouc
SN  - 8024410354
KW  - Security
KW  - authentication
KW  - grid
N2  - Tvorba heterogenního distribuovaného prostředí s jednotným rozhraním Gridu vyžaduje bezpečnostní mechanismy, které nezatěžují uživatele opakovanými autentizačními požadavky (např. při přechodu na nový uzel) a přitom zajišťuje dostatečně vysokou bezpečnost. Takový systém je budován v rámci aktivity METACentrum výzkumného záměru sdružení CESNET. Realizovaná infrastruktura podporuje jednotnou autentizaci napříč různými administrativními doménami, včetně podpory tzv. Single Sign-On. Ten umožňuje snadné a bezpečné využívání zdrojů METACentra po jednorázové autentizaci. Primárním autentizačním protokolem je Kerberos ve verzi 5, na jehož implementaci a podpoře v aplikacích (např. Mozilla/Firefox) se METACentrum aktivně podílí. Dále jsou podporovány X.509 certifikáty, přitom infrastruktura zajišťuje bezproblémový přechod mezi oběma autentizačními mechanismy. Před dokončením je infrastruktura podpory jednorázových hesel, včetně nástrojů pro generování a další manipulaci s nimi. V příspěvku jsou dále popsány první zkušenosti s nasazením čipových USB tokenů, která garantují bezpečnější manipulaci se soukromými klíči uživatelů. Všechny podporované autentizační mechanismy jsou vzájemně propojeny a poskytují uživatelům nezbytnou flexibilitu přístupu k heterogennímu distribuovanému prostředí. Uživatelé prostředí METACentra (Gridu) používají samozřejmě i pro dlouhodobé úlohy, kde celková doba výpočtu přesahuje dobu expirace interně používaných bezpečnostních tokenů. Obdobný problém je spojen s migrací procesů, kdy je třeba autentizace k novému zdroji bez přítomnosti uživatele. Součástí příspěvku je i diskuse mechanismů, kterými jsou tyto problémy řešeny (obnovení proxy certifikátů, delegace, atd.).
ER  -

KOUŘIL, Daniel and Luděk MATYSKA. Bezpečnostní infrastruktura METACentra (Security Infrastructure of METACentrum). In \textit{Širokopásmové sítě a jejich aplikace}. Olomouc: CESNET, z.s.p.o. a UP Olomouc, 2005, p.~117-125, 8 pp. ISBN~80-244-1035-4.

Detailed Information on Publication Record