PAPI como infraestructura de seguridad distribuida aplicada a entornos de fusión termonuclear

Resum

Las investigaciones sobre energía de fusión en Europa son realizadas en diferentes laboratorios y organismos bajo la coordinación de EFDA (European Fusion Development Agreement). El TJ-II es un dispositivo de fusión tipo estellarator que se encuentra en el Laboratorio Nacional de Fusión por Confinamiento Magnético (LNFCM) del CIEMAT (Centro de Investigaciones Energéticas, Medioambientales y Tecnológicas). La Unidad de Adquisición de Datos del LNFCM ha desarrollado y puesto a disposición de los investigadores un conjunto de aplicaciones que cubren la monitorización de la operación del TJ-II junto con la programación y control de diagnósticos y sistemas de adquisición de datos. Con objeto de garantizar el acceso a todos estos recursos (con una media de 50 usuarios simultáneos durante la operación del TJ-II), la Unidad de Adquisición de Datos ha efectuado un importante esfuerzo para el desarrollo de todo un entorno de participación remota con dos claros objetivos. El primero, que sus aplicaciones puedan ser utilizadas en remoto de una manera sencilla, lo que permite a investigadores de otros centros o usuarios móviles del TJ-II, poder acceder a todo el conjunto de servicios. El segundo objetivo ha sido que el entorno de participación remota pudiera ser utilizado indistintamente en remoto o en local, con lo que se elimina la duplicidad de sistemas y aplicaciones. Asimismo, dentro de EFDA existen grupos de trabajo y coordinación, formados por miembros de los diferentes laboratorios, en los que se realizan proyectos en colaboración y en los que las herramientas de trabajo en grupo resultan esenciales. Todo ello hace de éste, un entorno perfecto para el desarrollo de tecnologías que faciliten y potencien el trabajo en grupo, así como el acceso remoto a datos y aplicaciones que se encuentran distribuidos por diferentes organizaciones. La tesis describe la implantación de PAPI como sistema de seguridad distribuida, por un lado, a los diferentes servicios y aplicaciones del entorno de participación remota del TJ-II, y por otro lado, a soluciones de participación remota multi-organización que engloben a EFDA y facilitan la colaboración y coordinación de los diferentes laboratorios. El trabajo presenta, además de un análisis comparativo con otras infraestructuras de seguridad (Radius, Kerberos, OpenID y Shibboleth), una serie de innovaciones en el ámbito de las tecnologías de autenticación y autorización distribuidas como son: - Un mecanismo de agrupación de recursos y delegación de identidad que mejora la gestión del sistema y evita la necesidad de utilizar autoridades de certificación. - Un gestor de control de acceso que permite la implementación de complejas políticas de control de acceso basadas en: atributos del usuario, rangos horarios o parámetros de la consulta. - La integración de aplicaciones JAVA y la tecnología JWS, preservando la propiedad de autenticación única de la solución. - Un mecanismo de cierre de sesión real que engloba a navegadores y aplicaciones. - La extensión del control de acceso a servicios con conexión TCP, además de los servicios HTTP ya soportados. El desarrollo de todos estos avances han permitido presentar una solución que preserva las características del sistema PAPI original, como son: arquitectura distribuída, autenticación única, movilidad de los usuarios, transparencia de la solución, seguridad en los accesos, compatibilidad con navegadores estándar y capacidad de escalado.