Anais

49

Gest ao de Identidade em Testbeds Brasileiros para a Internet do Futuro

Natalia C. Fernandes1 , Edelberto F. Silva1 , D ebora Muchaluat-Saade1 e Luiz Schara Magalh aes1
1

Universidade Federal Fluminense (UFF) Laborat orio M diaCom Niter oi, RJ Brasil

Abstract. Testbed federation allows researchers from different institutions to use network resources managed by different organizations, with different policies and procedures. This federated environment requires the coordination and mutual cooperation for identity management. This work proposes an architecture to the identity management and access control for the FIBRE project in Brazil, which is one of the main initiatives for experimental facilities for the Future Internet in Brazil. We compare our proposal to the architecture of other international projects, showing the required adjustments for the Brazilian scenario. Resumo. A federac a o de testbeds permite que pesquisadores de diferentes instituic o ao administrados por es possam utilizar recursos de rede que s organizac o ticas e pro es distintas, e que por sua vez seguem diferentes pol cedimentos de uso. Nesse ambiente federado, e aria a coordenac a necess o e cooperac a utua pela gest ao de identidade. Esse artigo prop oe uma arquite o m tura para a gest ao de identidades e controle de acesso no Brasil para o projeto FIBRE, o qual e a uma das principais iniciativas de redes para experimentac o de Internet do Futuro no Brasil. A proposta e comparada com as arquiteturas utilizadas em outros projetos internacionais, com m de mostrar as adaptac o es necess arias ao cen ario de pesquisa brasileiro.

o 1. Introduc a
es da arquitetura atual da Internet, um grande moUma vez conhecidas as limitac o o a ` pesquisa e proposta de novas arquiteturas surgiu em todo o mundo. vimento com relac a rea de pesquisa visa a criac o de uma nova Internet, a Internet do Futuro (IF), Essa nova a a e dever a ser avaliada em ambientes experimentais antes de efetivamente poder ser uti o. Para tanto, v ltimos anos1 . A lizada em produc a arias testbeds t em sido criadas nos u o para avaliac o dessas nonecessidade de interconex ao dos ambientes de experimentac a a es possam utilizar, em vas arquiteturas permite que pesquisadores de diferentes instituic o es distintas, e seus experimentos, recursos de rede que s ao administrados por organizac o que por sua vez seguem diferentes pol ticas e procedimentos de uso. Esse ambiente inte o e autorizac o de usu grado traz desaos tanto em termos de autenticac a a arios para uso e o de recursos, como em func es relacionadas ao conceito de gest alocac a o ao de identidade. o e interconex poss es, A cooperac a ao l ogica nesse ambiente e vel por meio de federac o que auxiliam na gest ao dos recursos compartilhados. o de testbeds no Brasil e o Projeto FIUma recente iniciativa para a criac a BRE(Future Internet testbeds experimentation between BRazil and Europe)2 O FIBRE o de uma rede para experimentac o de larga escala, a qual tem como proposta a construc a a o de ilhas em diversos poninclui ambientes cabeados e sem o, atrav es da interligac a tos do Brasil e da Europa. Assim, al em de construir novos testbeds, ou ilhas, o FIBRE fortemente embasado na construc o de um ambiente federado. tamb em e a
1 2

http://cordis.europa.eu/fp7/ict/re/ , http://www.geni.net http://www.bre-ict.eu/

50

IV Workshop de Pesquisa Experimental da Internet do Futuro

Esse artigo prop oe uma arquitetura para gest ao de identidade e controle de acesso o das ilhas brasileiras do FIBRE. A ideia para o FIBRE-BR, o que corresponde a federac a prover meios para que o acesso ao FIBRE para pesquisadores brasileiros ligados chave e es de pesquisa seja feito de forma simples, atrav o CAFe a instituic o es do uso da federac a projetada uma arquitetura que permite (Comunidade Acad emica Federada). Al em disso, e autonomia nas ilhas sem comprometer as premissas de seguranc a e ger encia do Network Operating Center (NOC) da rede. o 2 apresenta os traO restante do artigo encontra-se da seguinte forma. A Sec a o 3 e apresentada a proposta para gest balhos relacionados. Na Sec a ao de identidade no o 4 apresenta as considerac es nais. Projeto FIBRE e a Sec a o

2. Trabalhos relacionados
permitir que O objetivo da interconex ao de testbeds para a Internet do Futuro e diversas redes sejam unidas de forma a criar um ambiente de teste de maior escala e de maior diversidade de equipamentos. Com isso, um pesquisador pode alocar seu expe preciso garantir que a rimento utilizando recursos de diferentes testbeds. Nesse caso, e o de um usu o para o uso dos recurautenticac a ario de uma testbed sirva como identicac a ` s pol sos de qualquer outra testbed federada, desde que o usu ario atenda a ticas locais de cada uma das redes. o de redes e o SFA 2.0 (Slice-based Uma das principais propostas para federac a Federation Architecture) [Peterson et al. 2010]. Inicialmente desenvolvido para ser empregado no PlanetLab, Emulab, VINI [Bavier et al. 2006] e GENI, o SFA tamb em pode ser expandido a outros testbeds. No SFA, cada entidade do sistema possui um identi usado para autenticac o e autorizac o. cador global (Global Identier - GID), o qual e a a um certicado que cont Especicamente, o GID e em tr es campos: uma chave p ublica, assinado por uma um UUID (Universally Unique Identier) e uma validade. O GID e es, gerando um certicado X.509. Ap autoridade, de forma a validar as informac o os a o, o usu o. autenticac a ario pode requisitar suas credenciais junto ao sistema de autorizac a As credenciais descrevem os direitos e privil egios de um determinado usu ario e s ao uti o de Tickets, que d lizadas para a obtenc a ao acesso ao uso de recursos espec cos dentro da testbed. De forma geral, pode-se descrever as credenciais e os tickets como arquivos XML assinados. o do SFA se deu devido ao uso no ProtoGENI e no PlanetLab, A popularizac a o no ProtoGENI e feita cobrindo boa parte das redes que comp oem o GENI. A autenticac a atrav es de uma rede de conanc a (web of trust). Cada ilha tem os certicados raiz de todos o. A ideia chave e que os membros da federac o conam uns nos os membros da federac a a o deve ser aceito outros, de forma que o certicado gerado por um membro da federac a por qualquer outro membro. As permiss oes de acesso s ao denidas pelas credenciais, de acordo com o modelo do SFA. Novas iniciativas no contexto de SFA e GENI est ao desenvolvendo ferramentas o da autenticac o e do controle de acesso atrav para a realizac a a es do uso do Shibboleth [Mitchell 2011, Klingenstein 2010]. Entre as vantagens desse tipo de abordagem, o de todas as ferramentas j es virtuest a a utilizac a a desenvolvidas para as organizac o es de pesquisa j ais. Al em disso, muitas instituic o a uma mant em base de dados sobre o nas testbeds. Outra vantaos seus usu arios, que pode ser utilizada para a autenticac a que esse tipo de ger gem e encia de identidades j a traz os atributos de cada usu ario, o o baseados em atributos, como o ABAC que permite o uso de esquemas de autorizac a necess (Attribute-Based Access Control). Com isso, n ao e ario que a testbed federada mantenha grandes bases de dados com usu arios e listas de controle de acesso, j a que to o podem ser providos pela instituic o de origem do usu dos os dados para a autorizac a a ario. es dessa proposta atualmente utilizam a rede InCommon de federac o As implementac o a

Anais

51

es de ensino e/ou pesquisa, instituic es de identidades, a qual inclui mais de 500 instituic o o governamentais e empresas parceiras.3 o sem o uso do SFA, Outras testbeds apresentam, atualmente, suporte a federac a como a OFELIA [K opsel and Woesner 2011, Channegowda et al. 2012]. No OFELIA, ` rede federada chamado de Expedient, o qual e cacada ilha tem um portal de acesso a paz de acessar os gerenciadores de agregados de todas as outras ilhas. Os usu arios s ao registrados utilizando a OFELIA registration tool (OFREG), a qual atualiza um diret orio LDAP (Lightweight Directory Access Protocol) global com as credenciais do usu ario. respons o e autorizac o na testbed federada. Assim, o LDAP global e avel pela autenticac a a Para aumentar a disponibilidade e a conabilidade, cada ilha mant em uma inst ancia sin` testbed e feito atrav cronizada do LDAP global. O acesso de usu arios externos a es de t uneis VPN (Virtual Private Network), ap os a fase de autenticac ao.

3. Proposta de Gest ao de Identidade no FIBRE

Esse artigo prop oe uma arquitetura para gest ao de identidades e controle de acesso na rede do FIBRE-BR. A seguir, s ao apresentados alguns dos principais requisitos para o dessa arquitetura e a estrutura proposta. A ideia central e prover diferentes a construc a formas de acesso, sendo a principal por meio da CAFe4 . 3.1. O Projeto FIBRE O FIBRE (Future Internet experimentation between BRazil and Eu uma parceria entre instituic es brasileiras e europeias rope) [Sallent et al. 2012] e o com o m de criar uma testbed de larga escala. Topologicamente, o FIBRE pode ser visto como a uni ao de uma grande ilha europeia e uma grande ilha brasileira. A ilha brasileira, o de diversas pequenas ilhas, situadas em chamada de FIBRE-BR, consiste da federac a o dessas ilhas e feita atrav diferentes universidades e centros de pesquisa. A interligac a es do uso do backbone da RNP e de outras redes de pesquisa, como a GIGA e a Kyatera. o. Para No FIBRE, existem diversos arcabouc os de controle de experimentac a controlar os equipamentos OpenFlow, o experimentador usa o arcabouc o OFELIA Control Framework (OCF) [K opsel and Woesner 2011], o qual foi desenvolvido pelo projeto OFELIA para lidar com comutadores OpenFlow e m aquinas virtuais. Para controlar equipamentos sem o, o FIBRE disponibiliza o cOntrol and Management Framework (OMF) [Rakotoarivelo et al. 2010]. O OMF foi desenvolvido para o projeto ORBIT, mas utilizado em diversas testbeds, devido a sua interface ex atualmente e vel. Al em disso, um arcabouc o FIBRE conta ainda com ilhas baseadas no ProtoGENI, que e o de controle que o FIBRE possa disponibilizar diferentes desenvolvido para o projeto GENI5 . A ideia e interfaces de controle e que possa agregar um n umero cada vez maior de ilhas, atrav es da o. federac a Embora a exist encia de diferentes arcabouc os traga a exibilidade para o expe o dos recursos rimentador, a heterogeneidade do controle traz diculdades na federac a e na gest ao de identidade, pois cada arcabouc o de controle utiliza diferentes mecanis o seria o uso de mos e APIs de controle. Uma proposta para fazer essa interligac a nico para a autenticac o, reserva de recursos e monitoramento, o qual seum portal u a o com os gerenciadores de slice e de agregado de cada ria respons avel pela comunicac a ilha. Um proposta inicial para esse portal seria o uso do MySlice6 . Al em disso, seria necess aria uma interface para o compartilhamento de recursos, o que poderia ser feito o atrav es do SFA [Peterson et al. 2010]. Uma diculdade para esse tipo de implementac a
3 4

http://www.incommonfederation.org/participants/ http://portal.rnp.br/web/servicos/cafe 5 http://www.protogeni.net/wiki/ClearingHouseDesc 6 http://myslice.info/

52

IV Workshop de Pesquisa Experimental da Internet do Futuro

o CAFe. (b) Vis (a) Fluxo de dados na federac a ao geral da arquitetura proposta para a ger encia de identidades e controle de acesso do FIBRE. CAFe e do esquema proposto para o FIBRE. Figura 1. Visoes gerais da federac ao

que o arcabouc e o de controle deve ter suporte ao SFA para poder ser integrado, ou necess seja, e ario um wrapper para cada arcabouc o de controle, como proposto no NOVI [Lymberopoulos et al. 2012]. Atualmente, tanto o OCF quanto o OMF ainda est ao em fase de desenvolvimento desse wrapper, o qual est a dispon vel apenas no Protoo GENI, que tem suporte nativo ao SFA. Portanto, o FIBRE precisa utilizar uma soluc a o mais gen o de outros testbeds com diferentes para federac a erica, que permita a integrac a arcabouc os. Assim, seria poss vel dar suporte ao SFA e tamb em a novos padr oes. Para a ger encia dos recursos da rede, o FIBRE conta com um Network Operations respons Center (NOC). O NOC do FIBRE e avel pelo gerenciamento e controle da rede em alto n vel, podendo prover servic os b asicos, como o servidor de portal para acesso de recursos centralizado, ou ainda, uma terceira parte con avel, caso certicados estejam sendo utilizados na rede. 3.2. Comunidade Acad emica Federada CAFe uma federac o que re A CAFe (Comunidade Acad emica Federada) e a une es de ensino e pesquisa brasileiras. Atrav instituic o es da CAFe, um usu ario mant em to es na instituic o de origem e pode acessar servic das as suas informac o a os oferecidos pelas es que participam da federac o. instituic o a o e autorizac o federadas da Como se pode observar na Figura 1(a), a autenticac a a CAFe s ao baseadas nos provedores de identidade, respons aveis por manter os dados dos usu arios e autentic a-los, e nos provedores de servic o, que oferecem um recurso ou servic o o s o de conanc espec co. Esse tipo de federac a o funciona quando existe uma relac a a entre os provedores de identidade e de servic o. Para utilizar um servic o com a CAFe, o usu ario deve tentar acessar o provedor de servic o (1). Ao perceber que o usu ario n ao foi autenticado, o provedor de servic o redireciona o usu ario para uma p agina (2) na qual ele , ent seleciona o seu provedor de identidades (3 e 4). O navegador e ao, redirecionado para o provedor de identidade (5), o qual deve autenticar o usu ario (6 e 7), passar o resultado para o provedor de servic os (8) e criar uma sess ao de uso associada ao usu ario, de tal forma que novos servic os ou pedidos de atributos dentro de uma janela de tempo n ao o (9 e 10). gerem novos pedidos de autenticac a ` eduGAIN7 , que re A CAFe est a integrada a une, em uma rede de conanc a, as es acad o de instituic es de ensino e federac o emicas da GEANT. Por ser uma federac a o o da CAFe/eduGAIN como principal meio de pesquisa, est a sendo proposta a utilizac a
7

http://www.geant.net/service/edugain/

Anais

53

o no FIBRE. Nesse caso, o portal de acesso a ` testbed atuaria como um proveautenticac a dor de servic o no esquema da CAFe. 3.3. Proposta de gest ao de identidade e de controle de acesso Uma proposta para gest ao de identidade no Projeto FIBRE se baseia, portanto, na o da CAFe como provedora de identidade no lado brasileiro, uma vez que essa utilizac a o j ` eduGAIN, que poderia ser usada para autenticac o federac a a se encontra associada a a no FIBRE pelo lado europeu. Contudo, os usu arios do FIBRE podem ser de empresas es da comunidade acad ` CAFe. parceiras, al em das instituic o emica ainda n ao associadas a Ent ao, apenas a CAFe n ao basta como provedor de identidade. Por essa raz ao, essa o. Uma delas e proposta prev e, somando-se ao uso da CAFe, outras formas de autenticac a baseada no uso do LDAP com um esquema que estende brEduPerson, esquema usado na CAFe, com outros atributos necess arios para os arcabouc os de controle dos testbeds. Uma uma rede colaborativa, prop vez que o FIBRE e oe-se o uso de um LDAP hierarquizado, o mant onde a raiz encontra-se no NOC e cada instituic a em sua pr opria base de acesso. Al em disso, o acesso poderia ser provido por meio de outros esquemas para gest ao de o das identidade, como o OpenID, desde que se criasse os mecanismos para a gerac a credenciais aceitas nos gerenciadores de agregados das diversas ilhas. A Figura 1(b) mostra uma vis ao geral da arquitetura de gest ao de identidade e controle de acesso proposta. Na parte superior da gura, encontram-se os servic os do NOC para gest ao de identidade e controle de acesso. Primeiramente, tem-se o portal de acesso acessado pelo experimentador para realizac o de um experimento. E federado, o qual e a nesse portal que o usu ario ir a indicar suas credenciais de acesso e os recursos que deseja alocar. Com base nos recursos selecionados, o sistema ter a como saber como ser a provido o acesso aos recursos, seja por meio de certicados, como no SFA, ou com algum outro o deve tipo de token. Com base nas credenciais, o sistema selecionar a se a autenticac a o ser feita por meio do provedor de servic os da CAFe ou por um sistema de autenticac a importante observar a estrutura hier gen erico. No caso do sistema gen erico, e arquica, ou seja, cada ilha ir a apresentar a sua base de usu arios local e o NOC ser a a raiz da estrutura de conanc a entre as ilhas. necess Ap os autenticar os usu arios, e ario checar se o usu ario ter a acesso ou n ao o, o aos recursos solicitados. Assim, ap os receber a resposta do m odulo de autenticac a o de acesso deve consultar a base de pol m odulo de autorizac a ticas de acesso da rede federada. Para isso, prop oe-se o uso de uma base global, que dene as regras globais da testbed, ou seja, as regras que devem ser seguidas por todas as ilhas. Em seguida, deve-se consultar as pol ticas locais das ilhas cujos recursos est ao sendo alocados, de forma que cada ilha tenha autonomia sobre os seus recursos. Ap os essas consultas, esse m odulo deve liberar o acesso, seja pelo redirecionamento do usu ario para os gerenciadores de o de certicados ou tokens. De fato, a forma de liberar o acesso agregados ou pela gerac a depende do arcabouc o de controle que ser a utilizado. o com outras abordagens 3.4. Comparac a o e conA Tabela 1 mostra algumas das principais caracter sticas da autenticac a poss trole de acesso a alguns dos principais testbeds. Com base nessa tabela, e vel observar algumas das escolhas para o FIBRE, baseadas na diversidade dos ambientes de o. experimentac a

es Finais 4. Considerac o
motivado pela necessidade de interconex Este trabalho e ao de ambientes de o para a Internet do Futuro. Neste contexto, as chamadas federac es de experimentac a o o e autorizac o podem ser utilizadas para facilitar o uso compartilhado dos autenticac a a es. recursos por pesquisadores de diferentes instituic o

54

IV Workshop de Pesquisa Experimental da Internet do Futuro

de esquemas de diferentes testbeds . Tabela 1. Comparac ao Pol tica de acesso Gest ao de ID Acesso Portal Registro + Projeto SFA Credenciais Flack, de pesquisa GENI + tickets OMNI PlanetLab Disponibilizar recursos SFA Credenciais EMULAB, + Registro + Projeto GENI + tickets interfaces de pesquisa + SSH do GENI OFELIA Registro + Projeto LDAP/MySQL Chave p ublica Expedient de pesquisa + VPN o NITOS Registro + Requisic a Base local ou Chave p ublica NITOS por e-mail LDAP + SSH Scheduler FIBRE Registro + Projeto CAFE/LDAP/ Misto MySlice, (proposta) de pesquisa bases locais/ (depende de Expedient, SFA arcabouc o) NITOS Scheduler Rede GENI

es e a proposta de arquitetura realizados por esse trabaO levantamento de soluc o es que possam ser empregadas no a mbito do projeto FIBRE e lho visam apresentar soluc o o dos ambientes tanto no sentido de alocac o de recursos quanto da auxiliem na integrac a a o e autorizac o. Como trabager encia da identidade do usu ario para ns de autenticac a a lho futuro, pretende-se detalhar os m odulos da arquitetura proposta e implement a-los no mbito do projeto FIBRE. a

Refer encias
Bavier, A., Feamster, N., Huang, M., Peterson, L., and Rexford, J. (2006). In VINI veritas: realistic and controlled network experimentation. SIGCOMM Comput. Commun. Rev., 36(4):314. Gavras, A., Br uggemann, H., Witaszek, D., Sunell, K., and Jimenez, J. (2006). Pan european laboratory for next generation networks and services. In TRIDENTCOM. IEEE. K opsel, A. and Woesner, H. (2011). Ofelia: pan-european test facility for openow experimentation. Em Proc. 4th European conference on Towards aservice-based internet, ServiceWave11, p.p. 311312, Berlin, Heidelberg. Lymberopoulos, L., Grammatikou, M., Potts, M., Grosso, P., Fekete, A., Belter, B., Campanella, M., and Maglaris, V. (2012). NOVI tools and algorithms for federating virtualized infrastructures, pages 213 224. Berlin, Heidelberg. Peterson, L., Ricci, R., Falk, A., and Chase, J. (2010). Slice-based federation architecture. Technical report. Rakotoarivelo, T., Ott, M., Jourjon, G., and Seskar, I. (2010). OMF: a control and management framework for networking testbeds. SIGOPS Oper. Syst. Rev., 43(4):5459. Sallent, S., Abel em, A., Machado, I., Bergesio, L., Fdida, S., Rezende, J., Simeonidou, D., Salvador, M., Ciuffo, L., Tassiulas, L., and Bermudo, C. (2012). FIBRE project: Brazil and Europe unite forces and testbeds for the Internet of the future. In Proceedings of TridentCom 2012. Szegedi, P., Figuerola, S., Campanella, M., Maglaris, V., and Cervell o-Pastor, C. (2009). With evolution for revolution: managing federica for future internet research. Comm. Mag., 47(7):3439. Yuan, E.; Tong, J. (2005) Attributed based access control (ABAC) for Web services. Proceedings of the 2005 IEEE International Conference on Web Services (ICWS 2005), 561569. Channegowda, M.; Kotronis, V.; Bergesio, L.; Puype, B.; Efstathiou, N. (2012) OFELIA First report on implementation testing and operation of Federated Islands Technical report. Version 1.0 - ICT-258365, 148. Tom Mitchell (2011) Identity Management and Attributes in GENI. In 11th GENI Engineering Conference - GEC11 K. Klingenstein (2010) External Identity and Authorization in GENI. In 8th GENI Engineering Conference - GEC8