Bezpečný distribuovaný úložný prostor

Datova uložistě, propojena vysokorychlostni siti, mohou sloužit jako uzly distribuovaneho datoveho prostoru s vysokou kapacitou a přijatelnou cenou. Takovýto datový prostor lze zpřistupnit prostřednictvim IBP protokolu, který nabizi nezarucenou službu ukladani datových bloků. Protokol rovněž nevyžaduje autentizaci uživatelů a~autorizace je řesena pouze formou vlastnictvi metadat. V ramci projektu Protokoly a aplikace datových skladů (PADS) jsme proto navrhli bezpecnostni rozsiřeni protokolu IBP tak, aby distribuovaný system podporoval striktni autentizaci a autorizaci uživatelů. Tato rozsiřeni musi splňovat nasledujici tři zakladni požadavky: (i) klient musi být důvěryhodně autentizovan, (ii) klient musi být autorizovan a (iii) každa autorizace musi být odvolatelna. Autentizace uživatelů je založena na infrastruktuře tajných a veřejných kliců (PKI) s využitim X.509 certifikatů s VOMS atributy. VOMS atributy použivame rovněž k jednoznacne identifikaci uživatele, který může vlastnit několik různých certifikatů. Každa služba v ramci distribuovaneho datoveho uložistě umožňuje definovat přistupovou politiku. Uživatel musi ziskat autorizacni opravněni od vsech služeb v ramci distribuovaneho uložistě. Navržene řeseni vynucuje kontaktovani vsech služeb uživatelem v pevně danem pořadi, aniž by přitom služby musely být mezi sebou online propojeny, veskera autorizace probiha vždy mezi uživatelem a konkretni službou, bez nutnosti online kontaktovat třeti stranu. Každe autorizacni opravněni je casove omezene a tedy odvolatelne. Řeseni jsme propojili s jednoduchou federativni autentizacni službou, použivanou v ramci projektu Eduroam. Uživatel se může svým Eduroam uctem prokazat online certifikacni autoritě, ktera mu vyda casově omezený certifikat, s nimž pak přistupuje k jednotlivým službam distribuovaneho uložistě. Celý distribuovaný system se použiva k zaznamu přednasek v HD kvalitě.