Αρχιτεκτονική ασφαλείας για κατανεμημένες εφαρμογές πλέγματος ευαίσθητες σε χρόνο απόκρισης

Abstract

In this thesis we propose a security architecture that provides a solution to distributed Grid applications with delay sensitive requirements. These applications are usually encountered within an Instrumentation Grid, an extension of a Computational Grid. Instrumentation Grids are distributed systems that follow Grid technologies to interact with remote distributed instruments. One of their main requirements is low latency times. This may not be satisfied with security architectures adopted in Computational Grids based on Public Key Infrastructure (PKI). For that reason we propose an alternate security architecture based on the Kerberos protocol. Our architecture is composed of four components: The Kerberos KDC that acts as a Third Trusted Party, the KrbClient that represents the client, the Access Control Manager (ACM) that protects the services of the Instrumentation Grid and the Policy Repository which stores the access rules (authorization) of the distributed resources. We validated our architecture by implementing a prototype built on Web Service middleware. Our experiments showed a significant performance improvement in authentication, authorization and message integrity processes over legacy Grid security architectures. The improvement becomes substantial under heavy processing load of the remote instrumentation services.

Η αρχιτεκτονική ασφαλείας που προτείνεται στην διατριβή είναι προσανατολισμένη στο να δώσει λύσεις σε κατανεμημένες εφαρμογές Πλέγματος (Grid) ευαίσθητες σε χρόνο απόκρισης. Πεδίο εφαρμογής της είναι τα Πλέγματα Μετρήσεων και Ελέγχου (Instrumentation Grids), επέκταση των Συστημάτων Υπολογιστικού Πλέγματος (Computational Grids). Τα Instrumentation Grids είναι κατανεμημένα συστήματα τεχνολογιών πλέγματος, τα οποία προσφέρουν απομακρυσμένη πρόσβαση σε όργανα «μετρήσεων και ελέγχου». Βασική προδιαγραφή στα περιβάλλοντα αυτά αφορά στον περιορισμένο χρόνο απόκρισης των κατανεμημένων λειτουργιών των οργάνων. Η αρχιτεκτονική ασφαλείας που υιοθετείται στα παραδοσιακά Grids βασίζεται σε Υποδομή Δημοσίου Κλειδιού (PKI) και δημιουργεί συνήθως μεγάλες καθυστερήσεις. Για τον λόγο αυτό προτείνουμε μια νέα αρχιτεκτονική ασφαλείας βασισμένη στο πρωτόκολλο Kerberos. Η αρχιτεκτονική μας αποτελείται τέσσερα υποσυστήματα: Το Kerberos KDC που αποτελεί την Τρίτη Έμπιστη Οντότητα του συστήματος, το KrbClient που αλληλεπιδρά με την αρχιτεκτονική εκ μέρους του λογισμικού πελάτη, ο Access Control Manager (ACM) που προστατεύει τις υπηρεσίες ελέγχου του Instrumentation Grid και το Policy Repository που αποθηκεύει τους κανόνες πρόσβασης (authorization) των κατανεμημένων πόρων. Στα πλαίσια της διατριβής υλοποιήθηκε πρότυπη αρχιτεκτονική ασφαλείας βασισμένη σε ενδιάμεσο λογισμικό Υπηρεσιών Ιστού (Web Services). Οι μετρήσεις που πραγματοποιήσαμε επιβεβαιώνουν πως η προτεινόμενη αρχιτεκτονική βελτιώνει σημαντικά την απόδοση στις λειτουργίες ασφαλείας (Ταυτοποίηση, Εξουσιοδότηση και Ακεραιότητα Μηνύματος) αντικαθιστώντας την Κρυπτογραφία Δημοσίου Κλειδιού των Computational Grids με Συμμετρική Κρυπτογραφία. Η βελτίωση γίνεται εντονότερη κάτω από υψηλό υπολογιστικό φορτίο στις υπηρεσίες μετρήσεων και ελέγχου των οργάνων.