Глава
Fast Centralized Authentication in Wi-Fi HaLow Networks
Описывается реализация федеративного контроля доступа для научных сетей на основе технологии eduroam. Технология предоставляет пользователям возможность безопасной аутентификации для доступа к сети и использования сетевых ресурсов в любой сети федерации eduroam с использованием единственного набора учетных данных. Рассматриваются основные технологии и протоколы, используемые для обеспечения прозрачной аутентификации пользователей. Авторами впервые предложен механизм прав доступа на основе групп институтов и пользователей. Информация о группах хранится на групповых RADIUS-серверах в виде списка институтов или списка пользователей. Для аутентификации пользователя в eduroam сервис-провайдер передает запрос на аутентификацию, содержащий имя и пароль пользователя в зашифрованном виде, RADIUS-серверу идентификации института пользователя. Сервер идентификации определяется по доменному имени пользователя, запрос передается через иерархическую систему прокси-серверов RADIUS. Если сервис-провайдер обеспечивает специальный доступ для пользователей некоторой группы, он также направляет на RADIUS-сервер группы запрос о принадлежности пользователя этой группе. Запрос передается через иерархическую систему групповых серверов RADIUS. Иерархия прокси-серверов RADIUS федерации eduroam и групповых серверов основывается на доменной системе имен. Реализация описанных механизмов требует незначительной модификации RADIUS-сервера сервис-провайдера для поддержки групп и не требует внесения изменений в RADIUS-серверы провайдеров идентификации и прокси- серверы системы eduroam. Поддержка групп полностью совместима с существующей системой eduroam, в одной системе могут одновременно функционировать серверы RADIUS сервис-провайдера с поддержкой групп и без поддержки.
В работе представлен обзор и анализ существующих методов аутентификации в беспроводных нательных сетях (WBAN). Рассмотрена новая технология BodyCom. Дается подробный сравнительный анализ, показывающий преимущества и недостатки каждого метода и предложена наиболее подходящая технология аутентификации.
Статья посвящена удостоверяющим федерациям научно-образовательных сетей, которые сегодня объединяют огромное количество информационно-вычислительных ресурсов, находящихся в разном организационном, админи-стративном и государственном подчинении и требующих авторизации. Все большее распространение приобретают технологии авторизации, при которых аутентификация пользователя осуществляется обращением к его институту. Группа институтов, договорившаяся о взаимном доступе к своим ресурсам, выработавшая общую политику и механизм удостоверения пользователей и реализовавшая их на организационном и техническом уровнях, образует удостоверяющую федерацию. Функционирование федерации и ее технических служб обеспечивается постоянно работающими коллективами, решающими три основные задачи: эксплуатации, развития и поддержки пользователей. Разнообразие и международный характер научных проектов обусловливают необходимость взаимодействия федераций и создания объединенной удостоверяющей системы в международном масштабе. Описаны структура и механизмы удостоверяющих федераций европейских научно-образовательных сетей eduroam и eduGAIN, основанных на разных механизмах обмена аутентификационной информацией, в которых принимает участие Межведомственный суперкомпьютерный центр Российской академии наук (МСЦ РАН). Организация федеративного взаимодействия актуальна для российской национальной сети науки и образования, которая является объединением ведомственных или проблемно-ориентированных сетей. МСЦ РАН возглавляет работы по формированию удостоверяющих федераций российской национальной сети науки и образования и поддерживает их организационное и техническое взаимодействие с европейскими удостоверяющими федерациями. Созданная МСЦ РАН удостоверяющая федерация российского проекта eduroam открыта для всех российских научных и образовательных организаций.