Связь: Лёгкое и безопасное общение

Уровень Связи(Connectivitylayer) устанавливает базовый набор коммуникационных и аутентификационных протоколов, необходимых для выполнения грид-специфических сетевых транзакций. Коммуникационные протоколы обеспечивают возможность обмена данными между ресурсами уровня Фабрикатов. Для обеспечения безопасных криптографических механизмов, используемых при верификации идентичности пользователей и ресурсов, протоколы аутентификации основываются на коммуникационных службах.

Требования, предъявляемые к протоколам уровня Связи, включают решение вопросов передачи информации, её маршрутизации и присваивания имён. Несмотря на существование определённых альтернатив, всё же почти во всех практических ситуациях эти протоколы используются из стека протоколов TCP/IP: конкретно, из уровня интернет (протоколы IP и ICMP), уровня передачи данных (протоколы TCP, UDP), и уровня приложений (протоколы DNS, OSPF, RSVP и др.) многоуровневой архитектуры протоколов интернет. Это, конечно, не означает, что в будущем грид-связи не потребуют новых протоколов, которые будут учитывать конкретные типы сетевых механизмов.

Что касается вопросов безопасности на уровне Связи, отметим, что из-за сложности проблемы безопасности важно, чтобы любые решения, по возможности основывались на существующих стандартах. Для решения вопросов связи применимы многие из стандартов безопасности, разработанные в контексте пакета протоколов интернет.

Механизмы аутентификации для среды ВО должны обладать следующими свойствами :

• Однократная регистрация: Пользователи должны иметь возможность регистрироваться (“logon”) в системе только однажды и затем иметь доступ к множеству грид-ресурсов, определённых на уровне Фабрикатов, без дополнительного вмешательства со стороны пользователя.

• Делегирование Пользователь должен иметь возможность наделять программу способностью выполняться от имени этого пользователя так, что программа может иметь доступ к ресурсам, на которых данный пользователь авторизован. Программа также должна (дополнительно) иметь возможность обусловлено делегировать подмножество своих полномочий другой программе (иногда это называется ограниченным делегированием).

• Интеграция с различными локальными механизмами безопасности: Каждый сайт или провайдер ресурсов может применять самые разнообразные локальные механизмы безопасности. Грид-службы безопасности должны уметь взаимодействовать с этими разнообразными локальными механизмами. Практически невозможно требовать единообразия локальных механизмов безопасности, а скорее необходимо обеспечить возможность отображения грид-механизмов безопасности на аппарат локальной среды.

• Отношения доверия, опирающиеся на пользователя: Для того, чтобы пользователь мог работать с пулом ресурсов, предоставленных многими провайдерами, как с единым целым, система безопасности не должна требовать от каждого провайдера ресурсов согласования или взаимодействия с каждым другим провайдером при конфигурировании среды безопасности. Например, если пользователь обладает правом использования сайтов A и B, то он должен иметь возможность работать с сайтами A и B вместе, не требуя, чтобы администраторы этих сайтов взаимодействовали по данному поводу.

Средства безопасности грид также должны обеспечивать гибкую поддержку коммуникационной защиты (осуществляя, например, контроль степени защищённости, независимую защиту данных для ненадёжных протоколов, поддержку надёжности иных, чем TCP протоколов) и предоставлять владельцу ресурса (stakeholder) средства контроля решений, касающихся авторизации, включая различные механизмы ограничения при делегировании полномочий.

Ресурс: Разделение отдельных ресурсов

Уровень Ресурсов(Resourcelayer) основывается на протоколах коммуникации и аутентификации уровня Связи и определяет протоколы (а также API’s и SDK’s), обеспечивающие для отдельных ресурсов возможности безопасной инициализации, мониторинга и управления операциями разделения на отдельных ресурсах. Для осуществления доступа и контроля локальных ресурсов процедуры уровня Ресурсов, реализующие эти протоколы, обращаются к функциям уровня Фабрикатов. Протоколы уровня Ресурсов касаются исключительно отдельных ресурсов и поэтому игнорируют вопросы глобального состояния и неделимых операций, применяемых к множеству распределённых ресурсов; такого рода проблемы касаются уровня Кооперации.

Можно выделить два основных класса протоколов уровня Ресурсов:

Информационные протоколы, используемые для получения сведений о структуре и состоянии ресурса, например, о его конфигурации, текущей загрузке и политики использования (например, в плане стоимости).

Протоколы управления используются для согласования доступа к разделяемому ресурсу, определяя, например, требования к ресурсу (включая, предварительное резервирование и качество обслуживания) и операцию(и), которые должны выполняться, например, такие как создание процесса или доступа к данным. Поскольку протоколы управления отвечают за выполнение отношений разделения, они должны служить “ точкой применения политики ”, гарантируя, что требуемые протокольные операции согласуются с политикой, в соответствии с которой должно происходить разделение ресурса. Вопросы, которые должны рассматриваться на данном уровне включают учёт использования ресурсов и их оплату. Протокол также может осуществлять и мониторинг статуса и выполнения (например, не завершилась ли) операции.