HEJTMÁNEK, Lukáš, Luděk MATYSKA a Michal PROCHÁZKA. Bezpečný distribuovaný úložný prostor. In Širokopásmové sítě a jejich aplikace. Olomouc: CESNET, z.s.p.o. a UP Olomouc, 2007, s. 60-65. ISBN 978-80-244-1687-8.
Další formáty:   BibTeX LaTeX RIS
Základní údaje
Originální název Bezpečný distribuovaný úložný prostor
Název anglicky Secure distributed data storage
Autoři HEJTMÁNEK, Lukáš, Luděk MATYSKA a Michal PROCHÁZKA.
Vydání Olomouc, Širokopásmové sítě a jejich aplikace, od s. 60-65, 6 s. 2007.
Nakladatel CESNET, z.s.p.o. a UP Olomouc
Další údaje
Originální jazyk čeština
Typ výsledku Stať ve sborníku
Obor 10201 Computer sciences, information science, bioinformatics
Stát vydavatele Česká republika
Utajení není předmětem státního či obchodního tajemství
Organizační jednotka Ústav výpočetní techniky
ISBN 978-80-244-1687-8
Klíčová slova anglicky IBP; distributed data storage; distributed file systems; PKI; security extensions
Štítky Distributed data storage, distributed file systems, IBP, PKI, RIVNE, security extensions
Změnil Změnila: Mgr. Marta Novotná Buršíková, učo 15689. Změněno: 22. 4. 2011 14:11.
Anotace
Datová úložiště, propojená vysokorychlostní sítí, mohou sloužit jako uzly distribuovaného datového prostoru s vysokou kapacitou a přijatelnou cenou. Takovýto datový prostor lze zpřístupnit prostřednictvím IBP protokolu, který nabízí nezaručenou službu ukládání datových bloků. Protokol rovněž nevyžaduje autentizaci uživatelů a~autorizace je řešena pouze formou vlastnictví metadat. V rámci projektu Protokoly a aplikace datových skladů (PADS) jsme proto navrhli bezpečnostní rozšíření protokolu IBP tak, aby distribuovaný systém podporoval striktní autentizaci a autorizaci uživatelů. Tato rozšíření musí splňovat následující tři základní požadavky: (i) klient musí být důvěryhodně autentizován, (ii) klient musí být autorizován a (iii) každá autorizace musí být odvolatelná. Autentizace uživatelů je založena na infrastruktuře tajných a veřejných klíčů (PKI) s využitím X.509 certifikátů s VOMS atributy. VOMS atributy používáme rovněž k jednoznačné identifikaci uživatele, který může vlastnit několik různých certifikátů. Každá služba v rámci distribuovaného datového úložiště umožňuje definovat přístupovou politiku. Uživatel musí získat autorizační oprávnění od všech služeb v rámci distribuovaného úložiště. Navržené řešení vynucuje kontaktování všech služeb uživatelem v pevně daném pořadí, aniž by přitom služby musely být mezi sebou online propojeny, veškerá autorizace probíhá vždy mezi uživatelem a konkrétní službou, bez nutnosti online kontaktovat třetí stranu. Každé autorizační oprávnění je časové omezené a tedy odvolatelné. Řešení jsme propojili s jednoduchou federativní autentizační službou, používanou v rámci projektu Eduroam. Uživatel se může svým Eduroam účtem prokázat online certifikační autoritě, která mu vydá časově omezený certifikát, s nímž pak přistupuje k jednotlivým službám distribuovaného úložiště. Celý distribuovaný systém se používá k záznamu přednášek v HD kvalitě.
Anotace anglicky
In this paper, we propose an architecture that extends Logistical Networking to use Grid authentication and authorization services. Our architecture guarantees that user is authenticated to all services included in network storage stack, the authorization granularity is also at the service level and all authorizations can be revoked at any moment by service providers. We also support access policies. These can limit maximum amount of distributed storage space allocated to a user or group of users or they can limit the maximum amount of time the client can keep his data within the distributed storage. Advanced access control to files is supported, administrators can define access conditions. The prototype implementation has been used to evaluate overhead associated with the security enhancements. If only capabilities are encrypted, the Copy command has a notable but constant overhead of 10ms, all the other basic commands experience no visible overhead. When the full data encryption is enforced, all the data manipulation commands are bound by the speed of the used AES 128 cipher.
Návaznosti
MSM6383917201, záměrNázev: Optická síť národního výzkumu a její nové aplikace
VytisknoutZobrazeno: 19. 7. 2024 07:01