Системы авторизации Grid

Система входа пользователя в Грид-систему достаточно проста, тем не менее, она решает несколько важных задач с помощью передовых методов компьютерной криптографии.

Первая проблема – как зашифровать ту информацию, которая передаётся в Гриде, особенно параметры, которые связаны с входом в Грид-систему. Для решения этой проблемы используется технология асимметричного шифрования (шифрование с«открытым ключом»). Каждый пользователь или ресурс имеет пару ключей: открытый(public), который доступен для всех, и закрытый (private), доступ к которому имеет только его обладатель. При этом практически невозможно подобрать второй ключ из пары, обладая только одним. Все сообщения кодируются и раскодируются, используя эту пару ключей. Шифрование выполняется открытым ключом получателя, а расшифровка– закрытым. Режим цифровой подписи реализуется в обратном порядке: закрытый ключ отправителя– создание подписи, открытый ключ– её проверка, при этом цифровую подпись может создать только владелец закрытого ключа. Однако стоит заметить, что обладание парой ключей автоматически не решает задачу аутентификации– т.е. проверки подлинности пользователей и ресурсов Грид с целью предотвращения проникновения злоумышленников. Как быть уверенным в том, что сообщение, зашифрованное закрытым ключом, на самом деле принадлежит тому лицу, за которое оно себя выдаёт?

Эту вторую проблему решают цифровые сертификаты. Цифровой сертификат– это открытый ключ обладателя сертификата с интегрированной персональной информацией, такой как имя пользователя, его электронный адрес, место работы, срок действия сертификата и т. д. Кроме того, сертификат содержит цифровую подпись сертификационного центра(Certification Authority - CA), некоторой третьей стороны, которая удостоверяет принадлежность сертификата тому, чьи данные записаны в сертификате. Цифровая подпись– это некоторая информация о сертификате, зашифрованная при помощи закрытого ключа CA. Таким образом, прочитать эту информацию можно только с помощью открытого ключа CA, который известен всем. Доверие сертификату строится на доверии сертификационному центру, подписавшему этот сертификат. Перед выдачей(подписанием) сертификата задача CA – проверить принадлежность сертификата данному индивидууму. Каждый сертификационный центр проводит свою политику, которая определяет правила создания и подписания сертификатов (рисунок.2.1). Обычно центры сертификации существуют либо в рамках отдельных организаций, участвующих в каких-либо проектах Грид, либо в рамках целого проекта или страны.

Рисунок.2.1. Получение цифрового сертификата

Реализация способа получения сертификата зависит от конкретного центра сертификации. Сейчас, как правило, для получения сертификата пользователь должен зайти на Web-сайт центра сертификации и заполнить форму с запросом на выдачу сертификата. При этом указываются персональные данные и название организации. Обязательно нужно указать правильный адрес электронной почты, так как ответная информация о получении сертификата будет прислана по этому адресу. Иногда дополнительно требуется более детальная информация, которая характеризует необходимость получения сертификата именно в этом CA: об области научных интересов проводимых работ, выполняемых проектах, и т.п. Но как в центре сертификации, который может находиться в другом городе или даже стране, могут проверить доказательства идентичности личности? Для этой цели в большинстве масштабных Грид-проектов предусмотрен институт регистраторов (Registration Authority - RA) или доверенных лиц, которые удостоверяют принадлежность сертифицируемого объекта (пользователя, ресурса или сервиса) к определённой организации и подтверждают персональные данные владельца сертификата. Поэтому, прежде чем подписать сертификат, CA связывается с соответствующимRA и получает от него подтверждение подлинности запроса на получение сертификата. В результате, если решение о выдаче сертификата принято, на указанный адрес электронной почты приходит письмо с дальнейшими инструкциями. Как правило, способ получения– или непосредственный импорт сертификата в браузер, т.е. просто переход по определённой ссылке в браузере, или запуск присланного в письме скрипта на компьютере с установленным пакетом openssl. В зависимости от способа создания сертификата он может быть сохранён в различных форматах(PKCS12 или PFX, DER, PEM). Для того чтобы в дальнейшем использовать полученный сертификат для работы черезWeb, его необходимо экспортировать в формат распознаваемый браузером. Процедура экспорта и тип файла экспортированного сертификата зависит от браузера (*.p12 дляMozilla/Netscape/FireFox и*.pfx дляInternet Explorer).

После получения цифрового сертификата пользователю необходимо зарегистрироваться в виртуальной организации. В зависимости от области работы пользователя это может быть международная, национальная или

локальная виртуальная организация. Правила регистрации в виртуальной организации необходимо узнать в соответствующем Центре регистрации. Возможна регистрация одного и того же пользователя(сертификата) в нескольких виртуальных организациях. Став членом одной из виртуальных организаций, пользователь получает возможность работать в Грид. Но любой сеанс работы в Грид должен начинаться с создания временного прокси-сертификата. Этот сертификат служит мерой безопасности для предотвращения использования основного сертификата злоумышленниками. Прокси-сертификат имеет небольшой срок действия(обычно не более24 часов) и используется для подтверждения личности пользователя при выполнении любых операций в Грид [16].