Регистрация / Вход
Прислать материал

Разработка новых принципов построения инфраструктуры безопасности распределенных информационно-вычислительных систем на основе открытых протоколов

Аннотация скачать
Постер скачать
Ключевые слова:
распределенные вычисления, облачные вычисления, грид, большие данные, безопасность, веб-сервисы, rest, аутентификация, авторизация, инфраструктура открытых ключей

Цель проекта:
Разработка комплекса новых научных и научно-технических решений в области создания программного обеспечения инфраструктуры безопасности распределенных информационно-вычислительных систем (РИВС) на основе открытых протоколов прикладного уровня, позволяющего существенно упростить использование РИВС для конечных пользователей, а также эксплуатацию (администрирование) инфраструктуры при условии обеспечения безопасности РИВС на уровне, превосходящем уровень систем, построенных с использованием инфраструктуры открытых ключей.

Основные планируемые результаты проекта:
В результате выполнения работы будет разработана новая, не имеющая прямых аналогов в мире, архитектура и методика построения инфраструктуры безопасности РИВС, включая сервисы аутентификации и авторизации пользователей, сервис администрирования, позволяющие сделать простым и удобным использование РИВС конечными пользователями, предоставляющие срдества гибкого управления пользователями и их правами администраторами системы. Разработанные сервисы должны обеспечить высокий уровень безопасности РИВС как с точки зрения пользователей так и администраторов РИВС.

По итогам работы будет создан прототип системы безопасности, включающий сервисы аутентификации и авторизации пользователей и другие необходимые сервисов РИВС, которые:
- обеспечивает высокий уровень безопасности при работе пользователей в распределенных информационно-вычислительных системах;
- реализует простой дружелюбный доступ к ресурсам, в первую очередь в части регистрации новых
пользователей в системе;
- максимально упрощает работу пользователей в РИВС.

Данная система безопасности будет исследована на полигоне РИВС с точки зрения достижения требований, поставленных в техническом задании.

Будут выработаны рекомендации по внедрению разработанных решений в существующие РИВС.
Результаты, полученные в ходе выполнения проекта, предполагается доложить на всероссийских и международных конференциях и опубликовать в серии из четырех статей индексируемых в базе данных «Сеть науки» (Web of Science).

Полученные результаты и разработанный прототип системы безопасности будут конкуретноспособны на мировом уровне. Результаты работы могут быть использованы в облачных структурах, распределенных системах типа грид, системах обработки больших данных (Big Data), а так же для организации удаленного доступа к суперкомпьютерам и вычислительным кластерам. Это позволит значительно расширить сферу использования РИВС как в научных исследованиях, так и в российской экономике, в первую очередь в таких высокотехнологических областях как материаловедение, биотехника, геологоразведка, самолето- и судостроение , космос и другие.

Краткая характеристика создаваемой/созданной научной (научно-технической, инновационной) продукции:
Будет разработана архитектура инфраструктуры безопасности РИВС, создан и исследован прототип системы безопасности, в том числе сервисов, обеспечивающих аутентификацию и авторизации пользователей, сервиса управления пользователями и их правами, с учетом новейших достижений в этой области таких как OAuth2, OpenID2, OpenID Connect, BrowserID, с использованием современных методик построения веб-сервисных инфраструктур на основе архитектурного стиля REST и форматов данных XML, JSON. Результаты работы должны существенно упростить использование РИВС конечными пользователями, при сохранении базовых принципов безопасности РИВС, обеспечить высокую надежность функционирования и эффективность использования РИВС. Аутентификации пользователей должна выполняться с помощью привычной пары логин-пароль с получением сессионного ключа с ограниченным данной сессией временем действия. За счет ограниченного по времени действия ключа должен быть обеспечен высокий уровень безопасности доступа к ресурсам РИВС, не уступающий действующим системам. Разрабатываемая архитектура не должна использовать прокси-сертификаты, что
позволит существенно повысить защищенность РИВС от рисков времени обработки запросов и заметно упростит проблему управления сертификатами в процессе эксплуатации.

Новизна поставленной прикладной задачи заключается в пересмотре подхода к построению инфрастуктуры безопасности РИВС. В частности, предполагается отказаться от использования прокси-сертификатов для доступа к ресурсам РИВС, а аутентификацию пользователей производить на время сессии посредством пары логин-пароль с возможностью использования многофакторной аутентификации в необходимых случаях.

Основным подходом к решению проблемы обеспечения безопасного и в то же время дружественного доступа к сервисам РИВС является изменение архитектуры инфраструктуры безопасности РИВС в части аутентификации и авторизации конечных пользователей. Для этого будут разработаны специальные RESTful-веб-сервисы и интерфейсы пользователя к ним, которые обеспечат выполнение алгоритма упрощенной аутентификации и авторизации пользователей с использованием пары логин-пароль. В качестве программной основы такого подхода может служить протокол OpenID Connect и используемый им OAuth2. В результате аутентификации, пользователь получает секретный сессионный ключ, который может быть использован, например, для формирования заданий, которые будут обработаны на ресурсах РИВС. Важно отметить, что сессионный ключ не требует повторного введения пароля пользователя, что особенно важно при необходимости запуска большого пакета заданий на обработку. Это должно привести к существенному упрощению как регистрации новых пользователей в системе, так и их работы в РИВС. Некоторое снижение безопасности, связанное с использованием беспарольного сессионного ключа, компенсируется ограничением его времени действия. По истечении срока действия ключа пользователь должен будет запросить новый ключ либо через специальный веб-интерфейс, либо через API соответствующего сервиса. При необходимости может использоваться многофакторная аутентификация с использованием независимых каналов доставки дополнительного разового пароля пользователю. Авторизацию с ролевым определением прав доступа пользователей к ресурсам предполагается осуществить с помощью механизма динамического отображения пользователей на локальные учетные записи вычислительного ресурса с соответствующими правами.

Другим ключевым отличием планируемой системы безопасности является отказ от использования прокси-сертификатов для выполнения запросов пользователя. Важной особенностью обработки запросов пользователя в РИВС является невозможность предсказать время завершения вычислительного задания. Так например, если пользователь запустил на обработку задание на удаленный компьютер, который входит в РИВС в качестве одного из доступных ресурсов, то задание поступает на обработку не непосредственно, а становится в очередь локальной системы управления пакетной обработки, и время ожидания невозможно предсказать. Поэтому в гридах не используют основной сертификат пользователя, который имеет длительный (год и более) срок действия и который может быть подменен злоумышленниками и, тем самым, скомпрометирован. Для снижения рисков такой компрометации в гриде используются прокси-сертификаты, которые имеют короткий (несколько часов) срок действия. Так как время действия прокси-сертификата ограничено несколькими часами, то его компрометация не столь критична, как в случае компрометации основного сертификата. Использование прокси-сертификатов создает множество проблем как для разработчиков системы безопасности, так и для пользователей. Так, необходимость обновления прокси-сертификатов требует введение в систему специального сервиса (MyProxy или его аналог), а также средств мониторирования срока действия сертификатов. В настоящем подходе предлагается для запуска запросов пользователя на обработку в РИВС использовать долгоживущие разовые сертификаты, жестко привязанные к запросу. Таким образом с одной стороны снимается проблема обновления прокси-сертификатов, а с другой стороны жесткая привязка сертификата к запросу пользователя и невозможность его использования с другим запросом обеспечат высокую защищенность системы от компрометации сертификата.

Назначение и область применения, эффекты от внедрения результатов проекта:
Научно-технические коллективы, индивидуальные исследователи и разработчики технологий создания новых материалов в российских научно-исследовательских организациях и технологических центрах, а также преподаватели, аспиранты и студенты российских вузов, смогут наиболее эффективным образом использовать в режиме удаленного доступа актуальные научные данные, информационные ресурсы и высокопроизводительные вычислительные ресурсы для повышения эффективности своей работы.

С точки зрения ожидаемого народно-хозяйственного эффекта дружественный для пользователей, эффективный и безопасный процесс подготовки и выполнения прикладных заданий, который обеспечит унифицированный, прозрачный с точки зрения особенностей вычислительных ресурсов и авторизованный доступ к высокопроизводительным вычислительным и программным ресурсам. Это позволит существенно повысить эффективность работы и усилит конкурентные преимущества организаций, использующих данный продукт. В частности, широкое использование компьютерного моделирования на основе удаленного доступа к высокопроизводительным РИВС вычислений будет способствовать снижению материало- и энергоёмкости производства и сокращению производственного цикла при поиске новых материалов с требуемыми свойствами. С ростом внедрения высокопроизводительных информационно-вычислительных систем и веб-технологий, потребность в РВИС и в веб-услугах по их применению будет многократно возрастать, что гарантирует рост потребностей в системах, обеспечивающих безопасность РИВС в сочетании с дружественными и удобными средствами доступа.

Результаты интеллектуальной деятельности, которые будут созданы в процессе выполнения работ, будут иметь высокую патентоспособность, так как закладываемые решения являются инновационными и не имеют аналогов в мире.

Потенциальные потребители научно-технического результата данной работы подразделяются на два типа:
- владельцы высокопроизводительных суперкомпьютерных ресурсов;
- пользователи РИВС.
Владельцы высокопроизводительных ресурсов получат удобный и гибкий инструмент для контроля доступа пользователей на свой ресурс. Пользователи РИВС - исследователи в различных области науки, инженерно-технические сотрудники высокотехнологичных предприятий, преподаватели и учащиеся вузов - смогут наиболее удобным образом использовать в режиме удаленного доступа высокопроизводительные вычислительные ресурсы для повышения эффективности своей работы.

Практическая значимость результатов исследования состоит в том, что использование новой методики построения информационной системы РИВС позволит упростить и сделать дружественным для пользователя использование высокопроизводительных вычислительных ресурсов, таких как суперкомпьютеры, облачные и грид среды, системы обработки больших данных (Big Data) тем самым существенно расширить круг пользователей, сократить время освоения ими этих передовых информационных технологий, что, в свою очередь, приведет к повышению эффективности использования высокопроизводительных ресурсов и, в конечном счете, ускорит разработку новой инновационной продукции. Результаты данного проекта значительно расширят сферу использования РИВС как в научных исследованиях, так и в российской экономике, в первую очередь в таких высокотехнологических областях как материаловедение, биоинформатике, геологоразведка, самолето- и судостроение , космос и другие.

Рыночные перспективы использования результатов исследований очень высоки, поскольку с учетом нарастающей потребности в масштабной технологической перестройке отечественной экономики, результаты исследования по проекту найдут применение во многих организациях, как в промышленности, так и в научных и опытно-конструкторских работах. Рыночными механизмами здесь являются хоздоговорные (контрактные) отношения с предприятиями различных форм собственности.

Текущие результаты проекта:
На первом этапе выполнения работ по контракту систематизирована и проанализирована информация о возможных подходах, методах и технологиях создания инфраструктур безопасности РИВС и возможностях использования для этого открытых протоколов различных типов. Отобраны варианты, наиболее подходящие для вышеуказанных целей настоящего прикладного научного исследования. Проведена сравнительная оценка эффективности возможных направлений исследований и обоснован выбор оптимального варианта направления исследований. Разработаны новые принципы и подходы к построению системы безопасности, а также методика построения инфраструктуры безопасности РИВС. Произведено оснащение рабочих мест исполнителей проекта и разработаны требования к аппаратной платформе стенда. Проведены патентные исследования, в результате которых не обнаружено каких-либо материалов, которые бы препятствовали использованию результатов работ в Российской Федерации.

На втором этапе выполнения работ по контракту разработана архитектура инфраструктуры безопасности РИВС, а также основные алгоритмы работы инфраструктуры, а именно:
- алгоритм аутентификации пользователей;
- алгоритм регистрации новых пользователей РИВС;
- алгоритм авторизации пользователей с использованием принадлежности пользователя к группам и его ролям в них;
- алгоритм делегирования прав пользователя веб-сервисам, входящим в состав РИВС.

На основе этих результатов на третьем этапе осуществлена программная реализации разработанных алгоритмов, развернут исследовательский стенд, а также разработана Программа и методики проведения экспериментальных исследований разработанной инфраструктуры безопасности РИВС.