Войти
Вопрос доверия: обеспечение безопасности грида посредством двухсторонних договоренностей
Одна из ключевых проблем при становлении Виртуальной Организации (BO), являющейся базовой компонентой грида, – это проблема установления доверительных отношений между провайдером грид-службы и потребителем.
Главное, что требуется от BO – это способность предоставлять доступ к компьютерам, программному обеспечению, данным и любым другим ресурсам. Это разделение ресурсов находится под жестким контролем, провайдеры и потребители ресурсов явно и четко определяют, что разделяется, что разрешается разделять, а также те условия, при которых разделение возможно. Однако, построение интеллектуальной процедуры принятия решений по управлению доступом для открытых широкомасштабных систем является очень сложной задачей; это связано с потенциально неограниченным числом пользователей и характеристиками ресурсов, которые находятся в среде c немногими гарантиями относительно предварительных договоренностей.
В эксплуатируемых грид-системах авторизационные политики установления доверительных отношений сталкиваются с проблемами масштабирования и гибкости, что объясняется наличием конкретных индивидуальных политик у каждой из взаимозависимых организаций. Кроме этого, процедуры авторизации ВО не умеют надежно договариваться об удовлетворяющих обе стороны требованиях доверительности и секретности.
Рассмотрим пример схемы мошенничества (с разрешения Winslett, 2006)
Алиса – зловредный пользователь, собирающий об агенте Бобе всю доступную информацию. Опасность возникает при выполнении следующих шагов транзакции:
Шаг 1: Алиса запрашивает у Боба службу
Шаг 2: Боб раскрывает свою политику для этой службы
Шаг 3 : Алиса раскрывает свою политику для своего идентификатора брокера
Шаг 4 : Боб раскрывает свою регистрацию безопасности
Алиса получила сертификат безопасности Боба, далее она имитирует некорректную связь, чтобы прекратить взаимодействие и не переходить к выполнению шага 5 для раскрытия своих полномочий.
Если Алиса профессиональный хакер, то она могла бы деперсонализировать Боба и начать злостную по отношению к нему деятельность.
Существующие в гриде системы безопасности для установления доверительных отношений требуют дополнительной информации, такой, как информация о предыдущих транзакциях. Например, провайдер служб A не будет доверять новому совершенно незнакомому потребителю службы B в случае, когда A раскрывает свой сертификат потребителю B. Потребитель службы B мог быть злостным агентом, заточенным на получение приватной информации об A, чтобы потом персонализировать A для других потребителей службы и получить подробности о платежных документах этих потребителей. В существующих грид-системах провайдер A будет доверять потребителю B только в том случае, когда имеется либо история предыдущих взаимодействий, либо рекомендации от других агентов.
Поэтому, когда участник входит в среду в первый раз, не имея истории предыдущих взаимодействий, решение вопроса о том, кто должен доверять этому участнику, становится почти невозможным. Предлагаемый нами переговорный механизм можно было бы попытаться использовать в решении этой проблемы, он мог бы помочь нам установить доверительные отношения между совершенно незнакомыми друг с другом сторонами, так как наш подход не требует никакого априорного знания об участниках процесса.
Кроме этого, в современных гридах существует риск того, что злонамеренные пользователи могут попытаться собрать максимально возможную информацию о других пользователях, не дожидаясь конца операции общения и не посылая сведений обо всех своих полномочиях. Это может случиться тогда, когда участники раскрывают свои полномочия "во время" общения, не обладая гарантией об успешном завершении переговоров и не имея ограничительного соглашения. В противоположность этому, наш подход позволяет участникам договариваться о взаимоприемлемом раскрытии/обмене полномочий "как только" они почувствуют достаточное доверие друг к другу.
Начинаем работать с веб-службой переговоров доверия
Осознав ограничения имеющихся для ВО систем авторизации, при наличии враждебно настроенных сторон, Shamima Paroubally (ведущий сотрудник), Dilah Miah и Zahid Khan из университета Westminsterа, UK, предложили двухстороннюю схему переговоров (WSTN) для последовательного установления доверия между веб-службами.
Основная идея состоит в разработке и простых, и сложных, динамических, адаптируемых в заданной среде переговорных алгоритмов, договаривающихся о списке мандатов, которыми должны обменяться веб-службы при надежном и безопасном предоставлении услуги.
Например, когда два участника договариваются о грид-службе, проверяя допускаемые значения сертификата в формате X.509, последовательность переговорных шагов может меняться в зависимости от ряда количественных и качественных сертификатных параметров, таких, как издатель сертификата, серийный номер, роль, природа контракта и тип сообщения о политике. В случае WSTN используются алгоритмы, которые адаптируются по параметру границы времени переговоров, учитывая первые выборы участников, зарезервированные предложения и встречные предложения. Кроме этого, учитывается количество переговорных итераций при определении количества генерируемых уступок в случае принятия встречного предложения. Таким образом, WSTN может лучше соответствовать реальным переговорам между людьми, используя начальные предложения, встречные предложения, принятия и отклонения этих предложений в противоположность простой операции принять/ отклонить, что теперь является нормой в практике Виртуальных Организаций.
Доверие – это сложное и субъективное понятие, которое при реализации иногда требует более сложных механизмов, чем простые системы авторизации, ограниченные выбором да/нет. Например, когда потребитель входит на сайт провайдера, провайдер не доверяет потребителю настолько, чтобы сообщить ему все подробности об оплате.
Конечно, авторизация может быть реализована и простыми системами, базирующимися на решениях "да" или "нет". Впрочем, когда вам предлагается ВО с потенциально большим числом участников, у каждого из которых своя собственная политика авторизации, то вы можете столкнуться с большими проблемами. В нашем подходе мы предоставляем более гибкий механизм переговоров, когда заинтересованные стороны имеют возможность обсуждать параметры сертификата X509.
Наша система не является закрытой, что присуще системам на базе идентичности, когда договаривающиеся участники обязаны иметь предварительное знакомство. В нашей системе уровень доверия устанавливается поэтапно, посредством переговоров, в которых заинтересованные стороны должны обмениваться удостоверяющей информацией. Следовательно, наш переговорный механизм благоприятствует созданию виртуальных организаций, включающих несколько взаимодействующих коллективов. Мы не предполагаем обязательности какой-либо предварительной положительной информации о партнере, и SLA для разделения ресурсов может быть зафиксировано после того, как было достигнуто согласие по списку удостоверяющих документов, обеспечивающих достаточную кредитоспособность участников.
Провайдеры ресурсов могут принять эту модель, поскольку параметр доверия строится итеративно и включает на последнем этапе обмен сертификатами. Мы можем придти к соглашению там, где раньше доверительные отношения не устанавливались. Кроме этого, повышается уровень безопасности и предупреждается злонамеренное поведение.
Dilal Miah, University of Westminster
