Центр Сертифікації Українського національного ГРІДу

Ukraine National Grid Certification Authority (CA UGRID)

Технологія Grid використовується для створення географічно розподіленої обчислювальної інфраструктури, що поєднує ресурси різних типів з колективним доступом до цих ресурсів  у рамках віртуальних організацій, що складаються з підприємств і фахівців, що спільно використовує ці спільні ресурси. Розвиток і впровадження технології Grid носять стратегічний характер. У найближчій перспективі ця технологія дозволить створити принципово новий обчислювальний інструмент для розвитку високих технологій у різних сферах людської діяльності.  Для використання інфраструктури Grid користувачеві необхідно пройти процес реєстрації, після чого всі ресурси Grid стає доступні йому без яких-небудь додаткових угод з окремими ресурсними центрами.

Інфраструктура безпеки Grid (Grid Security Infrastructure – GSI) забезпечує безпечну роботу в незахищених мережах загального доступу (Інтернет), надаючи такі сервіси, як аутентифікація, конфіденційність передачі інформації і єдиний вхід в Grid - систему. Під єдиним входом мається на увазі, що користувачу потрібно лише один раз пройти процедуру аутентифікації, а далі система сама поклопочеться про те, щоб аутентифікувати його на всіх ресурсах, якими він збирається скористатися. GSI заснована на надійній інфраструктурі криптографії з відкритим ключем (Public Key Infrastructure – PKI).

Як ідентифікатори користувачів і ресурси в GSI використовуються цифрові сертифікати X.509. В роботі з сертифікатами X.509 і в процедурі видачі/отримання сертифікатів задіяно три сторони:

  1. Центр Сертифікації (Certificate Authority – CA) – спеціальна організація, що володіє повноваженнями видавати (підписувати) цифрові сертифікати. Різні Центри Сертифікації звичайно незалежні між собою. Відносини між Центром Сертифікації і його клієнтами регулюються спеціальним документом.
  2. Підписчик – це людина або ресурс, який користується сертифікаційними послугами Центру Сертифікації. Центр Сертифікації включає в сертифікат дані, що надаються підписчиком (ім'я, організація та ін.) і ставить на ньому свій цифровий підпис.
  3. Користувач – це людина або ресурс, що покладається на інформацію з сертифікату при отриманні його від підписчика. Користувачі можуть приймати або відкидати сертифікати, підписані певним Центром Сертифікації.

В інфраструктурі UGRID використовуються два типи сертифікатів X.509:

  1. Сертифікат користувача (User Certificate), який повинен мати кожний користувач, що працює з Grid-системою. Сертифікат користувача містить інформацію про ім'я користувача, організації, до якої він належить, і Центр Сертифікації, що видав даний сертифікат. Цей електронний документ підтверджує особу користувача при доступі до Grid-ресурсів.
  2. Сертифікат вузла (Host Certificate), який повинен мати кожний вузол (ресурс) Grid-системи. Сертифікат вузла аналогічний сертифікату користувача, але в ньому замість імені користувача вказується доменне ім'я конкретного обчислювального вузла.



Отримання цифрового сектифікату
 

Віртуальні Організації (ВО) є однією з базових концепцій в Grid та використовуються для створення віртуальних асоціацій користувачів і ресурсів, призначених для виконання певних завдань або більш тривалої співпраці, наприклад, в рамках науково-дослідних проектів. Доступ до розподілених ресурсів в таких об'єднаннях/асоціаціях здійснюється на основі членства у ВО і відповідних прав/ролей користувачів. У такому визначенні ВО і динамічні послуги зв'язані природним чином.

Однією з головних завдань інфраструктури ВО є підтримка інформаційної бази даних членів ВО, будь то користувачі або ресурси, а також відповідних атрибутів, що визначають групи користувачів, їх ролі та права. У сучасному Grid middleware ВО є компонентом розподіленої системи контролю доступу і може виконувати такі функції:

  1. Динамічне управління довірчими відносинами/доменами: ВО, що створюється динамічно як асоціація ресурсів і користувачів, може працювати в контексті безпеки для системи контролю доступу, включаючи системи аутентифікації і авторизації .
  2. Перетворення атрибутів і мета-даних: така необхідність виникає у зв'язку з тим, що в динамічно створюваних ВО користувачі можуть використовувати свої початкові мандати і атрибути, видані їм в їх "домашніх" організаціях.
  3. Комбінація політики доступу: "федеральна" політика ВО може визначати як специфічні правила функціонування ВО, так і правила об'єднання політик членів ВО, включаючи можливе вирішення конфліктів.

У сучасних Grid-проектах ВО створюються для цілей проекту на основі формального договору між членами ВО, який визначає ресурси, що виділяються для цілей ВО, політику і спільні служби ВО, в першу чергу, членську службу (VOMS - Virtual Organisation Membership Service), яка є основою для надання послуг або доступу до спільних ресурсів і послуг ВО. У реальному житті організації можуть надавати ресурси множині ВО і користувачі можуть бути членами множини ВО, при цьому система контролю доступу повинна надавати можливість користувачам вибирати, мандати якої ВО вони хочуть надати в конкретному запиті на послуги (сервіси).

Отже, процедура отримання сертифікату виглядає наступним чином:

  1. Абонент (майбутній користувач) заповнює форму на сайті https://ca.ugrid.org/request_cert.php і отримує серійний код, під яким зберігається його запит.
  2. Абонент ОСОБИСТО звертається до Центру Сертифікації (або до майбутніх Реєстраційних Центрів) з національним паспортом, закордонним паспортом (якщо є), копією першої сторінки та сторінки з останньою фотографією національно паспорту (у 2 екз.) та документом, що засвідчує причетність особи до досліджень у галузі Grid. Також необхідно надати 2 копії заповненого та підписаного документу https://ca.ugrid.org/docs/request.pdf
  3. Після перевірки особи у Центрі Сертифікації (або у майбутніх Реєстраційних Центрах) абонент генерує запит на підписування сертифікату і відсилає його у формі https://ca.ugrid.org/process.php або електронною поштою ОБОВ’ЯЗКОВО з тієї електронної адреси, яку він вказав при реєстрації.
  4. Центр Сертифікації надішле лист про те, що запит прийнято до розгляду. На цей лист абонент МУСИТЬ відповісти, вказавши серійний код, отриманий при заповнені форми на сайті (п.1).
  5. Після отримання листа від абонента (що є засвідченням приналежності йому вказаної електронної адреси) Центр Сертифікації підпише сертифікат та надішле подальші інструкції, як його отримати на руки.

Слід наголосити, що початкова аутентифікація користувача (фізичної особи) має проходити на основі паспорту та ОСОБИСТОЇ ПРИСУТНОСТІ абонента у Центрі Сертифікації або Реєстраційному Центрі. У випадку отримання сертифікату для хоста або сервіса, той, хто запитує сертифікат, повинен вже мати свій користувацький сертифікат та бути аутентифікованим, як вказано вище.

Кожен користувач ПОВИНЕН вибрати чітке та унікальне Власне Ім’я (Distinguished Name - DN) в полі subject сертифікату, відповідно до X.500 стандартів. DN в рамках цього документу повинен починатись з “DC=org, DC=ugrid”. Після чого, клас абоненту визначається як один з “people”, “hosts” чи “services” та має бути поданий у вигляді “O=class”.

  • У випадку “people”-сертифікату атрибут commonName (CN=) повинен містити ім’я в латинському написанні, як це написано у паспорті.
  • У випадку “hosts”-сертифікату атрибут CN= повинен містити повну доменну назву хосту (the Fully-Qualified Domain Name - FQDN).
  • У випадку “services”-сертифікату атрибут CN= повинен містити ім’я сервісу та повну доменну назву хосту (FQDN), що розділені зворотним слешем.

Крім того, користувач повинен:

  • надавати вірну інформацію в запитах на сертифікат,
  • захищати закритий ключ паролем довжиною не менш ніж 15 символів,
  • зберігати пароль окремо від  закритоо ключа,
  • негайно сповістити свого Registration Authority про випадок зазублення або про компрометацію закритого ключа (реальну або підозрювану),
  • бути знайомим з політикою видачі сертифікатів (CP/CPS) CA UGRID и виконувати правила використання сертифікату,
  • ініціювати відклик сертифікату, якщо він більш не потрібен, або його власник перестав приймати участь у дослідницьких та навчальних проектах МОН або НАНУ,
  • ініціювати відклик сертифікату, якщо вказанні в ньому данні стали невірними.

Видача сертифікатів здійснюється Центом Сертифікації Grid-інфраструктури UGRID за адресою:

CERTIFICATION AUTHORITY
High-Performance Computing Center
National Technical University of Ukraine “Kiev Polytechnic Institute”
37, Prospect Peremohy,
03056, Kiev-56,
Ukraine

Phone: +380(44) 4068013
Fax:     +380(44) 4068013
Email: ca@ugrid.org
https://ca.ugrid.org/

Оновлено: 13.05.2008.