A Security Architecture for Computational Grids Fait par : Ian Foster, Carl Kesselman Gene Tsudik, Steven Tuecke Mathematics and Computer Science Argonne.

Slides:



Advertisements
Présentations similaires
Tutoriel - Les Ressources du BCH
Advertisements

Active Directory Windows 2003 Server
CGP2P, école des mines Sous-projet V La participation du LAL au projet CGP2P DataGRID CGP2P.
Exposé de système présenté le 2 décembre 2004, Par Rémy Lataix
Client Mac dans un réseau Wifi d’entreprise sécurisé
« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.
A NETWORK-AWARE DISTRIBUTED STORAGE CACHE FOR DATA INTENSIVE ENVIRONMENTS Brian L. TIERNEY, Jason LEE, Brian CROWLEY, Mason HOLDING Computing Sciences.
LE MANAGEMENT DE RESSOURCES Metacomputing 12 Février Février 2003 Ki Hassan Damien Azambre Fabrice Théolière DEA DISIC.
Le Grid Computing Par Frédéric ARLHAC & Jérôme MATTERA.
DUDIN Aymeric MARINO Andrès
Projet SeVeCom (Secure Vehicular Communications)
Vue d'ensemble Implémentation de la sécurité IPSec
Réseaux Privés Virtuels
La politique de Sécurité
23/05/2006 Résultat Final Business Consulting Services Pré-étude portant sur l'implémentation et l'organisation d'un système de gestion des connaissances.
Active Directory Windows 2003 Server
MRP, MRP II, ERP : Finalités et particularités de chacun.
SSL (Secure Sockets Layer) (couche de sockets sécurisée)
Control des objectifs des technologies de l’information COBIT
Etude des Technologies du Web services
Une approche pour un espace de confiance des collectivités locales.
SECURITE DU SYSTEME D’INFORMATION (SSI)
Amélioration de la sécurité des données à l'aide de SQL Server 2005
ADR Active and Dynamic Routing. Plan Introduction au routage Les réseaux actifs Les agents Mise à jour des matrices de routage Architecture du routage.
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Réalisée par :Samira RAHALI
Le protocole FTP.
La sécurité dans les grilles
.Net Remoting.
Protocole 802.1x serveur radius
SSO : Single Sign On.
802.1x Audric PODMILSAK 13 janvier 2009.
© Petko ValtchevUniversité de Montréal Janvier IFT 2251 Génie Logiciel Notions de Base Hiver 2002 Petko Valtchev.
Module 3 : Création d'un domaine Windows 2000
Java Authentication And Authorization Service API
Authentification à 2 facteurs
Sécurité et Vie Privée Dans les Réseaux Sociaux
4 - Annuaires Les Annuaires d ’Entreprises Offres et solutions
Active Directory Windows 2003 Server
1 Architecture orientée service SOA Architecture orientée service SOA (Service Oriented Architecture)
Le contenu est basé aux transparents du 7 ème édition de «Software Engineering» de Ian Sommerville«Software Engineering» de Ian Sommerville B.Shishedjiev.
1Auteur : Oleg LODYGENSKY XtremWeb-HEP Atelier Opérations France Grille Lyon – Villeurbanne 13 et 14 octobre.
10 juin 2008 Journée Technologies et Enjeux de l'Apprentissage Mobile Equipe SIMBAD.
Module 3 : Création d'un domaine Windows 2000
Les différents modèles d’architecture technique
Réunion calcul simulations GIEC/IPCC - Prodiguer Lundi 23 Mars PRODIGUER un noeud français de distribution des données GIEC/IPCC Sébastien Denvil.
COMPARAISON ENTRE GNUTELLA ET FREENET
L’enseignement de spécialité SLAM
Principes et définitions
L’authentification Kerberos
Supporting Secure Ad-hoc User Collaboration in Grid Environments Markus Lorch – Dennis Kafura Department of Computer Science Virginia tech Proceedings.
21/02/2003DEA DISIC 1 Grid Computing Programming the grid: Distributed Software Components, P2P and Grid Web Services for Scientific Applications Tarak.
04/06/2015BATOUMA Narkoy1 An OGSI CredentialManager Service ( Par:Jim Basney, Shiva Shankar Chetan, Feng Qin, Sumin Song, Xiao Tu et Marty Humphrey ) Présentation:
Web Services 17/01/2009.
LE SERVEUR PROXY Un serveur proxy (traduction française de «proxy server», appelé aussi «serveur mandataire») est à l'origine une machine faisant fonction.
1 Démo SoftGrid. Le Séquenceur SoftGrid Utilisation d’un « packageur » SoftGrid Possibilité de “séquencer” en ligne de commande (CLI) Existence d’outils.
Sécurité des Web Services
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sécurité sur le GRID Ahmed Beriache (CGG)
Création d’applications distribuées.NET Ziriad Saibi Relation technique éditeurs de logiciels Microsoft France.
Configuration NAT Dynamique
Remote Method Invocation
Introduction Module 1.
Enabling Grids for E-sciencE EGEE-III INFSO-RI Sécurité sur la Grille G. Philippon (LAL – CNRS ) Tutorial EGEE Utilisateur (DAKAR)
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Retour d'expérience de l'utilisation du cloud comme infrastructure de service Guillaume PHILIPPON.
INFSO-RI Enabling Grids for E-sciencE Sécurité sur la Grille C. Loomis (LAL-Orsay) Tutorial EGEE Utilisateur (LAL) 8 octobre 2007.
EGEE is a project funded by the European Union under contract INFSO-RI Copyright (c) Members of the EGEE Collaboration Infrastructure Overview.
Transcription de la présentation:

A Security Architecture for Computational Grids Fait par : Ian Foster, Carl Kesselman Gene Tsudik, Steven Tuecke Mathematics and Computer Science Argonne National Laboratory Information Sciences Institut University of Southern California DEA DISIC 2003/2004 Option : Métacomputing Revue darticle par : Mr Saadi Rachid

Introduction Les problèmes Les besoins La politique Etat de lart Le modèle proposée Déploiement Conclusion et critiques Plan Introduction Les problèmes de sécurité Les besoins de sécurité La politique de sécurité Etat de lart Larchitecture proposée Déploiement Conclusion et critiques

Introduction Les problèmes Les besoins La politique Etat de lart Le modèle proposée Déploiement Conclusion et critiques Introduction La technologie actuelle et les besoins croissants des scientifiques exigent de plus en plus l'accès rapide à de grandes quantités de données en utilisant un certain nombre de ressources, ayant souvent besoin dune grande capacité de calcule. De ce faite, une nouvelle technologie issus des systèmes distribué à vus le jour, sous le nom de Grille de calcule ou DataGrid, cette architecture fait lobjet de plusieurs Projet de recherche au niveau US et européen. Ceci conduit impérativement à des problèmes de sécurité dans la grille de calcule, qui nécessite le développer dune politique de sécurité ainsi que des mécanismes et protocoles adéquats. Le problème de contrôle daccès est un problème qui fait encore lobjet de recherche, cet article ce présente comme l un de premier qui cest attaqué à ce genre de problème.

Introduction Les problèmes Les besoins La politique Etat de lart Le modèle proposée Déploiement Conclusion et critiques Les Problèmes de sécurité La dynamisité des utilisateur,des ressources la quantité et l'endroit des Ressources change rapidement et dynamiquement. les processus utilisent différentes techniques de calcules nécessitant lutilisation dune variété de mécanismes tels que : l'UNICAST et le MULTICAST. Ou bien lintégration de quelques moulinettes touchant la couche de bas niveau du TCP/IP. Une diversité de mécanismes de techniques et de politique tels que SSL, Kerberos etc.… La gestion des différents profiles locaux et externes La dispersion géographique des ressources et des utilisateurs

Introduction Les problèmes Les besoins La politique Etat de lart Le modèle proposée Déploiement Conclusion et critiques Les besoins de sécurité Un login unique: Protection du Credential: (mots de passe, clés privées, etc.) doivent être protégés. Interopérabilité avec les solutions de sécurité implémentées déjà localement Exportabilité Conformité Credential avec les infrastructures de certification existantes telle que X.509v3 Supporté un groupe de communication : une allocation de Ressources partagées, au mouvement dynamique au sein dun même groupe etc… Supporté une multitude dimplémentation

Introduction Les problèmes Les besoins La politique Etat de lart Le modèle proposée Déploiement Conclusion et critiques La politique de sécurité La grille de calcul comprend une multitude de domaine sécurisé. La politique de sécurité est appliquée localement sur le domaine Mécanisme dauthentification entre les différentes Ressources qui se trouve sur des sites diffèrent. Une authentification globale implique une authentification locale sur chaque machine locale Toutes décision de contrôle daccès est prise localement. Un programme ou un processus est autorisé pour travailler pour le compte de lutilisateur, en utilisant un sous ensemble des ses droits. Si un ensemble de processus sexécute pour le compte dun même sujet dans un même domaine sécurisée, ils doivent alors impérativement partagés le même sous ensemble de droits.

Introduction Les problèmes Les besoins La politique Etat de lart Le modèle proposée Déploiement Conclusion et critiques Etat de lart Kerberos ( largement utilisé dans les années 80 ) DSE dérivé de Kerberos SSH SSL ( Netscape's secure communication package ) CRISIS The Legion

Introduction Les problèmes Les besoins La politique Etat de lart Le modèle proposée Déploiement Conclusion et critiques Larchitecture proposée Définition 1 : Cest la partie qui soccupe de gérer les différents processus, en leurs donnant la permission de travailler pour le compte de lutilisateur pour une période de temps limitée. Définition 2 : Cest un agent qui est utilisé pour faire la translation des opérations et des mécanismes de sécurité entre linter-domaine et lintra-domaine.

Introduction Les problèmes Les besoins La politique Etat de lart Le modèle proposée Déploiement Conclusion et critiques Protocole 1 1.un utilisateur sauthentification sur le UserProxy 2. Lutilisateur produit alors Le UserProxy Credential, Cup, en utilisant son propre Credential, Cu, pour signer le tuple suivant : Cup= Sigu { user-id, Hôte, temps de validité, etc….} 3. De cette manière le processus est créé et pourra fournir le Cup.

Introduction Les problèmes Les besoins La politique Etat de lart Le modèle proposée Déploiement Conclusion et critiques Protocole 2 1. Le UserProxy et le RessourceProxy sassure quil ya pas un autre qui utilise Cup et le Crp, et vérifie par la suite si Cup na pas expiré. 2. Le UserProxy envoi au RessourceProxy sa requête signée sous la forme suivante : Sigup{Allocation spécification} 3. Le RessourceProxy sassure que le Credential de lutilisateur signé par le UserProxy est autorisé par la politique locale de sécurité a sallouer ces ressources. 4. Si la requête est honorée, le RessourceProxy créé le Ressource Credential, qui contient le nom de lutilisateur, lensemble des ressources qui lui sont allouées, les noms des ressources etc. 5. Le Ressources Proxy envoi de manière sécurisée le Ressources Credential au UserProxy 6. Le UserProxy examine la requête, si il est satisfait, il envoi alors Le Cp signé pour cette requête. 7. Le UserProxy alors envoi à son tour de manière sécurisée le Cp. 8. A ce moment là le RessourceProxy alloue Les Ressources nécessaires et passe le Cp à lexécution.

Introduction Les problèmes Les besoins La politique Etat de lart Le modèle proposée Déploiement Conclusion et critiques Protocole 3 1. Le processus et son UserProxy vérifies si il ya pas un autre qui utilise Le Cp et le Cup. 2. Le processus alors envoi sa requête signée au UserProxy : Sigp {Allocation request} 3. Si le UserProxy veut honorer cette requête alors il lance le protocole 2 4. Le résultat obtenu est signé par le UserProxy et renvoyé au Processus demandeur.

Introduction Les problèmes Les besoins La politique Etat de lart Le modèle proposée Déploiement Conclusion et critiques Protocole 4 1. Le UserProxy sauthentifie auprès du Ressource Proxy, et ensuite envoi le Map-Subject-UP, la requête de mappage. 2. Le User sauthentifie auprès du la Ressources en utilisant la politique de sécurité locale, et ensuite envoi le Map- Subject-P, la requête de mappage. 3. Le Ressource Proxy se met en attente des deux requêtes de mappage. 4. Si deux requête coïncide pendant un Map-timeout, alors le RessourceProxy met à jour sa table de mappage, et envoi un acquittement aux User et au UserProxy.

Introduction Les problèmes Les besoins La politique Etat de lart Le modèle proposée Déploiement Conclusion et critiques Déploiement Les quatre protocoles sont implémentés en utilisant Les GSS-API (Generic Security Services application programming interface) qui a été développé par GSI (Globus Security Infrastructure)

Introduction Les problèmes Les besoins La politique Etat de lart Le modèle proposée Déploiement Conclusion et critiques Déploiement Lavantage dutiliser GSS-API : Le déploiement de GSI : qui cest fait dans le cadre du projet Globus, qui implémente une architecture en grille appelée Gusto qui peut atteindre une puissance de calcule de 2.5 Teraflops, et intégre 20 sites réparties sur 5 pays, NSF Supercomputer Centers, DOE Laboratories, DoD Resource Centers, NASA Laboratories, Universities, And Companies. 2.Lutilisation du protocole dauthentification assez rigide car il a fait ces preuves, appelé SAP basée sur un système de clés publiques, qui représente la partie authentification dans SSL. GSS/SAP En ce qui concerne la certification elle est gérée par le Système Globus. les RessourcesProxy ont été implémentés comme Gateways aux autres systèmes.

Introduction Les problèmes Les besoins La politique Etat de lart Le modèle proposée Déploiement Conclusion et critiques Conclusion et critiques Larchitecture décrite dans cet article est facile à implémenter et vient comme une porte ouverte à dautre recherche ainsi que lélaboration de nouveaux mécanismes plus sophistiqués. Lapport de cette article en terme de sécurité se base essentiellement sur lintroduction de la notion de User Proxy et de Ressource Proxy, cette apport est notamment considérable vu que depuis 1998 on note 74 Citations daprès Citeseer. Néanmoins, je trouve que larticle est très bien structuré, mais présente quelques difficultés de compréhension et dambiguïté pour les différents termes utilisés.

Introduction Les problèmes Les besoins La politique Etat de lart Le modèle proposée Déploiement Conclusion et critiques Questions Question ? ? ? ? ? ? ? ? ? Merci pour votre attention

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.