Формальная тема февральского номера журнала Computer (IEEE Computer Society, Vol. 42, No. 2, February 2009) – «доверительное управление» (Trust Management) в среде Web-сервисов.

Статью «Введение в открытую архитектуру grid-сервисов» (An Open Grid Services Architecture Primer») представили Эндрю Гримшоу, Марк Морган, Дуэйн Меррилл, Хиро Кишимото, Андреас Савва, Дэвид Снеллинг, Крис Смит и Дейв Берри.

Сегодня разработчики строят grid-конфигурации, используя либо разрозненные программы и протоколы категории Open Source, либо проприетарные технологии, однако возможности взаимодействия всех этих компонентов ограничены. В результате образуются островки grid-систем, которые не могут взаимодействовать, что препятствует использованию всего потенциала этой технологии.

Сценарии применения grid ставят несколько существенных проблем перед конечными пользователями, разработчиками приложений и ИТ-менеджерами: безопасность (аутентификация, авторизация, доверительность и целостность данных), качество обслуживания (соответствие соглашениям об уровне обслуживания, доступности и т.д.), управление данными, планирование и управление ресурсами. Если эти проблемы не решаются ни разработчиками приложений, ни программным обеспечением промежуточного слоя, то происходит нарушение сроков выполнения проекта и перерасход средств.

В открытой архитектуре grid-сервисов (Open Grid Services Architecture, OGSA) эти сложные проблемы решаются путем определения набора стандартных интерфейсов, протоколов взаимодействия сервисов и профилей существующих стандартов, которые применяются в качестве основы построения устойчивых grid-приложений и систем управления.

OGSA – сервисная архитектура, основанная на подходах Web-сервисов. Эта архитектура открыта в двух отношениях. Во-первых, разработка спецификаций и профилей производится в рамках полностью открытого процесса, в котором ни одна группа компаний не может навязывать свои спецификации сервисов и протоколов. Результирующие спецификации и профили являются следствием общей договоренности и не относятся к проприетарным. Во-вторых, возможны разные реализации, включающие эталонные реализации с открытыми кодами.

Полезность OGSA иллюстрируется на примере трех классов приложений, поддерживающих высокопроизводительные вычисления, доступ к федеративным данными и мобильность сервисов. Следующая статья, написанная Карлосом Кейсидо, Джеймсом Джоши и Суммитом Туладхаром, называется «Проблемы безопасности в IPv6» (IPv6 Security Challenges).

Протокол IPv6 разрабатывался с целью расширения и, в конечном счете, замены протокола IPv4. Срочность внедрения IPv6 диктуется нехваткой адресов, запас которых, как ожидается, полностью исчерпается в начале следующего десятилетия, и возрастающей потребностью в более совершенном Internet-протоколе с фундаментальной поддержкой безопасности.

В сетевом сообществе есть разные точки зрения относительно IPv6, в том числе мнение, что протокол этот неудачен и не обладает существенными преимуществами перед IPv4. Однако принятие IPv6 неизбежно. В действительности во многих странах Европы, равно как и Азии, включая Корею, Японию и Китай, обладающих ограниченным адресным пространством IPv4, переход к IPv6 – национальный приоритет.

В США переход к IPv6 продвигается медленно, возможно, из-за отсутствия срочной потребности в IP-адресах, однако в последнее время темпы миграции возрастают. Пентагон взял на себя роль лидера в этом процессе, образовав специальное Управление по переходу на IPv6 в Агентстве оборонных информационных систем. Кроме того, в соответствии с требованием Административно-бюджетного управления США все федеральные органы должны были к середине 2008 года иметь сетевые магистрали на основе IPv6.

Американский консорциум Internet2 (www.internet2.org) реализует инфраструктуру, поддерживающую IPv6 и используемую главным образом для выполнения исследований. Активную роль во внедрении IPv6 играет научно-исследовательская сеть Министерства обороны США, причем основное внимание уделяется вопросам безопасности. IPv6 используется в мировом сообществе мобильных коммуникаций как один из предпочтительных протоколов поддержки трафика данных в нескольких стандартах мобильных коммуникаций (www.3gpp.org/specs/specs.htm).

Все это показывает, что подготовка к наступлению эпохи IPv6 близится к завершению. Однако некоторые проблемы перехода к IPv6 могут привести к серьезным последствиям для безопасности. Новые черты IPv6 могут привести к появлению новых разновидностей атак, а уже известные атаки уровня IPv4 могут принять другие формы. Кроме того, отсутствие специалистов, а также нехватка IPv6-ориентированных средств анализа и мониторинга сетевой безопасности приведут к замедлению реакции на атаки, подрывающие безопасность, что может вызвать расширение брешей в сильно взаимосвязанных средах IPv6.

Следующие две статьи также объединены общей темой. Авторами статьи «Динамическое доверительное управление» (Dynamic Trust Management) являются Мэтт Блейз, Сэмпат Кэннан, Инсап Ли, Олег Сокольский, Джонатан Смит, Ангелос Керомитис и Венке Ли.

В продолжающемся проекте Пентагона Global Information Grid ведется работа по рационализации и модернизации архитектуры сетецентричных операций (network-centric operation). В GIG соединяются общая сетевая архитектура и развитая технология целостности и безопасности информации. Большее внимание уделяется информации, передаваемой по сети, и обеспечиваемым службам, а не сетевым характеристикам.

При разработке таких сервисных систем приходится идти на очевидный компромисс между безопасностью, гибкостью и стоимостью. В предыдущих сетевых архитектурах Министерства обороны США создавались логические «зазоры» между разными сетями, такими как, например, NIPRNET и SIPRNET, и службы реплицировались в каждой такой сетевой среде. В принципе при использовании раздельных сетей информационная безопасность гарантируется, поскольку отсутствуют сетевые пути из более безопасных сетей к менее безопасным.

Проект GIG специфичен для Пентагона, однако многие выявляемые в нем проблемы доверительного управления естественным образом возникают в существующих и появляющихся публичных сетевых средах. В частности, в традиционных архитектурах децентрализованного доверительного управления напрямую не решаются такие задачи, как смена политики при быстро изменяющихся сетевых условиях. Подобные проблемы возникают в любой крупномасштабной системе, основанной на быстро изменяющейся, потенциально ненадежной сетевой инфраструктуре, такой как Internet. Поэтому авторы считают, что архитектура GIG может использоваться для изучения проблем доверительности в крупномасштабных компьютерных средах вообще, а не только в военных и правительственных сетях.

Вторую статью мини-подборки – «Моделирование установки доверительных отношений для Web-сервисов» (Modeling Trust Negotiation for Web Services) – написали Халвард Скогсруд, Хамид Мотахари-Незхад, Буалем Бенаталлах и Фабио Касати.

В Web-сервисах с ограничением доступа обычно используется заранее известная идентификационная информация инициаторов запроса. Однако при постоянно возрастающем числе Web-сервисов большая часть пользователей неизвестна поставщику услуг. Среди моделей контроля доступа, решающих проблему неизвестных пользователей, наибольшее внимание в промышленных и академических кругах привлекает установление доверительных отношений. При этом подходе решения о разрешении или запрете доступа принимаются не на основе идентификационной информации инициатора запроса, а исходя из уровня доверия, установленного между инициатором запроса и поставщиком услуг.

В процессе установки доверительных отношений стороны обмениваются удостоверяющими данными (credential), подписанными утверждениями, описывающими некоторые атрибуты соответствующей стороны. Например, это могут быть электронные версии водительских прав или паспорта. В тех случаях, когда пользовательские атрибуты, включаемые в удостоверяющие данные, являются по своей природе конфиденциальными, такими как информация о кредитной карте, медицинские данные и т.д., требуются дополнительные переговоры, поскольку держатель этой информации может согласиться раскрыть ее только в определенных условиях.

Процедура установки доверительных отношений управляет поведением участников переговоров. Она описывает, какие удостоверяющие данные требуются для доступа к некоторому ресурсу и какая информация может быть раскрыта в течение переговоров. Однако известно, что такие политики трудно разрабатывать и поддерживать, поскольку отсутствуют какие-либо среды, пригодные для управления их эволюцией. Это особенно верно для Web-сервисов.

Управление политикой безопасности в течение всего ее жизненного цикла часто не учитывается при разработке модели политики. Политики редко остаются неизменными, они уточняются, отражая изменения в стратегиях безопасности, смену бизнес-стратегий или законов. Управлять изменениями в уже внедренных Web-сервисах трудно и дорого: взаимодействия могут затрагивать многочисленные автономные сервисы и управляться согласованными контрактами. В статье обсуждаются подходы к управлению политиками установки доверительных отношений на основе моделей.

Следующая статья «Рефакторинг для достижения локальности данных» (Refactoring for Data Locality) – из области оптимизирующих компиляторов языков программирования. Ее написали Кристов Бейлс и Эрик д’Холландер.

«Рефакторингом» программы называют преобразование ее внутренней структуры для улучшения качественных характеристик, таких как организация, скорость выполнения, читабельность, без изменения функциональных характеристик. Часто наиболее узким местом является не время вычислений, а задержки из-за доступа к основной памяти. Процессоры могут выполнить сотни команд за то время, которое требуется для чтения одного слова из основной памяти.

Разрыв в производительности между процессорами и основной памятью сокращается благодаря иерархии кэшей. Аппаратура кэшей занимает большую часть оборудования кристалла процессора, однако во многих приложениях безрезультативные обращения в кэш вынуждают процессор простаивать больше половины времени выполнения. В этих случаях скорость выполнения сильнее выигрывает от сокращения числа безрезультативных обращений в кэш, чем от увеличения производительности процессора.

Известно несколько инструментальных средств профилирования кэша, таких как Intel VTune, Cprof и Cachegrind, определяющих области, в которых происходит большая часть безрезультативных обращений. На рисунке показан пример использования разработанного авторами инструмента профилирования повторного использования, названного ими «советами по оптимизации локальности» (suggestions for locality optimizations). Горизонтальные подсвеченные блоки показывают строки исходного кода с безрезультативными обращениями в кэш – 95% таких обращений произошло в строке 5 функции inproduct. Естественно попытаться переписать эту функцию для обеспечения лучшей производительности кэша.

На самом деле для улучшения локальности и устранения безрезультативных обращений в кэш в функции f требуется выполнить два разных рефакторинга. Они указываются в вертикальных блоках слева от исходного кода. Для улучшения локальности оставшихся 5% безрезультативных обращений в кэш в строке 29 требуется выполнить третий рефакторинг.

Как правило, существующие профилировщики указывают местоположение безрезультативного обращения в кэш, но не те места в программе, в которых требуется рефакторинг. Найти эти места в крупной программе, если знать только местоположение безрезультативного обращения в кэш, очень нелегко.

Последняя большая статья номера называется «Создание и чтение реалистичных электронных книг» (Creating and Reading Realistic Electronic Books). Ее написали Вероника Лайзапутра, Ян Вайтен и Дэвид Бейнбридж.

Люди любят книги. Для них существенны физические характеристики книг – размер, вес, степень зачитанности. Многие оценивают практику использования онлайновых документов как унылую и сугубо прагматичную. Но людям нравятся и электронные документы. Можно ли объединить лучшие стороны обоих видов носителей информации таким образом, чтобы результат получил повсеместное распространение?

В проекте Новозеландской электронной библиотеки (www.nzdl.org) проводятся эксперименты с облегченными реализациями реалистичных электронных книг, снабженными механизмами переворачивания страниц. В применяемом подходе реалистичность трехмерных изображений приносится в жертву интерактивности. Тем не менее, по оценкам пользователей, полученные результаты обладают рядом преимуществ над представлением документов в виде стандартных HTML- и PDF-файлов.

Удачи всем вам, до новой встречи, Сергей Кузнецов, kuzloc@ispras.ru.


Советы по оптимизации локальности. Исходный код с безрезультативными обращениями к кэшу выделяется; советы по рефакторингу представлены в виде вертикальных блоков. Цветные стрелки показывают основные маршруты повторного использования с низкой временной локальностью данных; именно эти маршруты приводят к безрезультативным обращениям к кэшу.