Premissas do MyProxy

A combinação das exigências como, por exemplo, autenticação e delegação e limitações como dependência de um Middleware em comum, Globus Toolkit, por exemplo, na grade causou a necessidade de um sistema para se conseguir alguns destes objetivos citados e assim dependem para o funcionamento algumas premissas como segue [NOVOTNY01]:

• Deve permitir que os usuários alcancem suas credenciais em qualquer lugar da grade, mesmo se estiverem em um sistema sem software da grade e sem acesso seguro a suas credenciais de longo prazo.

• Deve permitir que deleguem credenciais aos recursos a que não normalmente podem, desde que as aplicações envolvidas não suportem o mecanismo do delegação do GSI 4_{, por exemplo, de um navegador de Internet a um portal.}

• _{Deve remover, tanto quanto possível, todas as credenciais do portal exceto}

quando são realmente necessárias a m de baixar o risco do portal ser com- prometido.

60 Certicados Proxy

• Deve dar ao usuário tanto controle de suas credenciais e de credenciais do proxy quanto possível. Portais devem somente conter credenciais de usuário.

5.1.5 Conclusão do Capítulo

MyProxy se mostra uma ferramenta essencial na implantação de uma grade, a partir de sua idéia foi desenvolvido este trabalho, usando suas bibliotecas e comandos foi possível implementar o objeto desta dissertação.

Manter credenciais de curta duração disponíveis em um repositório, garante, até certo ponto uma segurança melhor que credenciais sendo manipuladas por tempo indeterminado e até mesmo sendo usadas por pessoas que não fazem parte dos usuários cadastrados.

No próximo capítulo será mostrado o trabalho desenvolvido, ou seja, todo o processo de criação de certicados de curta duração voltados à utilização por dispo- sitivos móveis, usando o mesmo preceito agregado aos certicados de curta duração para usuários comuns.

Capítulo 6

Certicados Host de Curta Duração

Neste capítulo será mostrado o trabalho principal desenvolvido nesta dissertação. A idéia principal do tema, bem como a criação do código fonte todo implementado na linguagem de programação Java[JAVA06] teve como princípio a necessidade de se ter em uma grade computacional a automatização do sistema de inclusão de dispositivos móveis. Na seção 6.1 serão mostrados quais os requisitos de certicação para que dispositivos móveis possam se associar à grade. Na seção 6.1.1 será mostrada a descrição do trabalho proposto. Na seção 6.1.2 é trabalhada a idéia da necessidade de que somente usuários válidos possam requisitar certicados de host e na mesma seção é mostrado o funcionamento desta parte do código. Na seção 6.1.3 são mostrados os passos para se chegar a uma autoridade certicadora automatizada e na mesma seção o funcionamento do código. Na seção 6.2 são mostradas as classes confeccionadas e a função de cada uma. Na seção 6.3 são apresentadas algumas das tarefas que dispositivos móveis podem fazer associando-se à grade bem como outras vantagens e por m, na seção 6.4.1 é apresentada uma breve conclusão deste capítulo.

6.1 Certicados para Dispositivos Móveis

Quando pensamos em uma grade computacional para dispositivos que permane- cerão por pouco tempo associados à ela, é comum pensar que estes podem causar

62 Certicados Host de Curta Duração uma falha de segurança na grade e na rede em que essa grade está conectada, e assim, utiliza-se a idéia de autenticação para uso da mesma. Se pensarmos como adminis- tradores da segurança de uma rede, a idéia é sem dúvida atrativa, mas também complexa do ponto de vista de desenvolvimento e administração dos recursos.

Se pararmos para pensar na associação de servidores, que não se moverão, nem trocarão seus endereços IPs, por exemplo, com certeza a idéia é atrativa, mas pen- sando pelo lado do cliente que deseja submeter determinado trabalho para processa- mento, este teria que fazer uma requisição de certicados como mostrado no capítulo 4 desta dissertação. Vale salientar que neste caso existe a necessidade de uma pes- soa para assinar os certicados, se esta pessoa não estiver disponível, o certicado pode demorar para ser assinado, podendo tornar o uso da grade inviável para este solicitante.

A idéia deste trabalho então é permitir que a criação e assinatura de certicados possa ser feita de uma maneira automatizada, sem que o gerente de certicação da autoridade certicadora (CA) precise tomar conhecimento da requisição e assinatura. Mas como impedir que pessoas mal intencionadas se utilizem desta facilidade?

1. Uma necessidade prevista foi a de garantir a solicitação de certicados de máquina somente por usuários válidos para a grade, ou seja, aqueles usuários que possuem certicados de usuários válidos, não expirados e com senha para criação do proxy na máquina que for usada para a solicitação.

2. O segundo problema foi com respeito à assinatura do certicado e envio das chaves públicas e privadas para os hosts.

3. O terceiro problema foi a denição de tempo de validade máximo para os certicados solicitados, para este caso, foi considerado que sete dias de validade seria suciente, como o que ocorre com o servidor MyProxy, pois, se um usuário tentar burlar a segurança da grade e do programa, isto poderia ser feito por um período de uma semana e como uma grade tem um monitoramento, em geral contínuo, podería-se avaliar prejuizos, e neste caso, cancelar o certicado do usuário que fez a requisição e tomar as atitudes denidas pelo administrador

6.1 Certicados para Dispositivos Móveis 63 da grade.

4. Outro ponto importante foi a confecção de um código que pudesse ser usado em qualquer plataforma operacional. Mesmo sendo a linguagem Java (inde- pendente de plataforma) a utilizada, alguns comandos do sistema operacional e do próprio middleware seriam necessários.

Manter a grade em condições dinâmicas de uso passou a ser um dos focos principais deste trabalho e este ponto será trabalhado nas seções seguintes.