A security architecture for distributed grid applications with sensitive delay requirements

147 σ.Η αρχιτεκτονική ασφαλείας που προτείνεται στην διατριβή είναι προσανατολισμένη στο να δώσει λύσεις σε κατανεμημένες εφαρμογές Πλέγματος (Grid) ευαίσθητες σε χρόνο απόκρισης. Πεδίο εφαρμογής της είναι τα Πλέγματα Μετρήσεων και Ελέγχου (Instrumentation Grids), επέκταση των Συστημάτων Υπολογιστικού Πλέγματος (Computational Grids). Τα Instrumentation Grids είναι κατανεμημένα συστήματα τεχνολογιών πλέγματος, τα οποία προσφέρουν απομακρυσμένη πρόσβαση σε όργανα «μετρήσεων και ελέγχου». Βασική προδιαγραφή στα περιβάλλοντα αυτά αφορά στον περιορισμένο χρόνο απόκρισης των κατανεμημένων λειτουργιών των οργάνων. Η αρχιτεκτονική ασφαλείας που υιοθετείται στα παραδοσιακά Grids βασίζεται σε Υποδομή Δημοσίου Κλειδιού (PKI) και δημιουργεί συνήθως μεγάλες καθυστερήσεις. Για τον λόγο αυτό προτείνουμε μια νέα αρχιτεκτονική ασφαλείας βασισμένη στο πρωτόκολλο Kerberos. Η αρχιτεκτονική μας αποτελείται τέσσερα υποσυστήματα: Το Kerberos KDC που αποτελεί την Τρίτη Έμπιστη Οντότητα του συστήματος, το KrbClient που αλληλεπιδρά με την αρχιτεκτονική εκ μέρους του λογισμικού πελάτη, ο Access Control Manager (ACM) που προστατεύει τις υπηρεσίες ελέγχου του Instrumentation Grid και το Policy Repository που αποθηκεύει τους κανόνες πρόσβασης (authorization) των κατανεμημένων πόρων. Στα πλαίσια της διατριβής υλοποιήθηκε πρότυπη αρχιτεκτονική ασφαλείας βασισμένη σε ενδιάμεσο λογισμικό Υπηρεσιών Ιστού (Web Services). Οι μετρήσεις που πραγματοποιήσαμε επιβεβαιώνουν πως η προτεινόμενη αρχιτεκτονική βελτιώνει σημαντικά την απόδοση στις λειτουργίες ασφαλείας (Ταυτοποίηση, Εξουσιοδότηση και Ακεραιότητα Μηνύματος) αντικαθιστώντας την Κρυπτογραφία Δημοσίου Κλειδιού των Computational Grids με Συμμετρική Κρυπτογραφία. Η βελτίωση γίνεται εντονότερη κάτω από υψηλό υπολογιστικό φορτίο στις υπηρεσίες μετρήσεων και ελέγχου των οργάνων.In this thesis we propose a security architecture that provides a solution to distributed Grid applications with delay sensitive requirements. These applications are usually encountered within an Instrumentation Grid, an extension of a Computational Grid. Instrumentation Grids are distributed systems that follow Grid technologies to interact with remote distributed instruments. One of their main requirements is low latency times. This may not be satisfied with security architectures adopted in Computational Grids based on Public Key Infrastructure (PKI). For that reason we propose an alternate security architecture based on the Kerberos protocol. Our architecture is composed of four components: The Kerberos KDC that acts as a Third Trusted Party, the KrbClient that represents the client, the Access Control Manager (ACM) that protects the services of the Instrumentation Grid and the Policy Repository which stores the access rules (authorization) of the distributed resources. We validated our architecture by implementing a prototype built on Web Service middleware. Our experiments showed a significant performance improvement in authentication, authorization and message integrity processes over legacy Grid security architectures. The improvement becomes substantial under heavy processing load of the remote instrumentation services.Αθανάσιος Μ. Μώραλη

The many faces of the integration of instruments and the grid

Current grid technologies offer unlimited computational power and storage capacity for scientific research and business activities in heterogeneous areas all over the world. Thanks to the grid, different virtual organisations can operate together in order to achieve common goals. However, concrete use cases demand a closer interaction between various types of instruments accessible from the grid on the one hand and the classical grid infrastructure, typically composed of Computing and Storage Elements, on the other. We cope with this open problem by proposing and realising the first release of the Instrument Element (IE), a new grid component that provides the computational/data grid with an abstraction of real instruments, and grid users with a more interactive interface to control them. In this paper we discuss in detail the implemented software architecture for this new component and we present concrete use cases where the IE has been successfully integrated