Um grid computacional é caracterizado por um conjunto grande de recursos heterogêneos distribuídos através de diversos domínios administrativos, tratando o conjunto de recursos (hardware e software) como se fosse um único e poderoso computador. Tais recursos podem ser simples estações de trabalho, banco de dados ou até mesmo clusters.

            Um sistema grid pode envolver uma quantidade grande de nodos participantes nas organizações virtuais, sendo que cada nodo pode ser cliente e/ou fornecedor de recursos. Quando clientes desejam utilizar um serviço, realizam uma pesquisa para encontrar fornecedores que possam lhe oferecer tal funcionalidade. No caso do Globus, middleware muito conhecido, essa busca é feita pelo MDS, que retornará uma lista com os recursos capacitados a responder tal serviço. Ao retornar essa lista, o MDS não leva em consideração se o cliente satisfaz as condições de acesso a esses recursos, podendo retornar muitos serviços que ao tentar fazer uma solicitação será negado o acesso.

Inicialmente foram feitos vários estudos teóricos para adquirirmos conhecimentos, em relação a melhor forma para definir a arquitetura do módulo. A idéia deste trabalho baseou-se principalmente nos modelos Matchmaking e Gangmatching, ambos voltados para o projeto Condor. O serviço de busca de recursos nestes dois modelos inclui a verificação da política de segurança dos recursos.

            No Condor, utiliza-se a representação dos recursos e suas políticas em termos de classads, um modelo de dados semi-estruturado desenvolvido para este fim. No modelo proposto neste trabalho, para aplicar o conceito similar (de encontrar pares compatíveis entre sujeito e recurso), foram utilizados padrões baseados em XML, o XACML (eXtansible Access Control Markup Language) para definir as políticas dos serviços e o SAML (Security Assertion Markup Language) para definir os atributos, permissões e ações dos sujeitos.

Resumidamente o modelo de refinador de buscas segue os seguintes passos: O usuário acessa o refinador-cliente, passando o seu nome, o nome do serviço que deseja utilizar e a ação que ele deseja (leitura, escrita ou execução) como parâmetros. O refinador-cliente automaticamente gerará um arquivo SAML, que conterá os seus dados com os parâmetros passados pelo usuário, que será encapsulado no SOAP (utilizando o Axis) e enviado para refinador-servidor.

No refinador-servidor acontece a transformação da requisição SAML para um contexto XACML (utilizando o Xalan) e será verificada a compatibilidade entre a requisição do cliente e as políticas do recurso com serviço desejado. Após a verificação será retornada uma lista contendo todos os serviços cadastrados no repositório solicitados pelo usuário, juntamente com a permissão de acesso (negado ou permitido) para cada um deles e informações do serviço (endereço, custo, capacidade de armazenamento, etc).

Após implementarmos o modelo proposto, foi feito um estudo de caso com as seguintes características: o refinador-servidor possui 14 arquivos de políticas do serviço, cujo nome é “ServidorArquivo”; foi realizado as 15 horas; o nome do serviço buscado é “ServidorArquivo” e a ação desejada pelo usuário é de leitura.

Desenvolvemos neste trabalho um módulo para refinamento de pesquisas em ambientes de Grid Services. Este módulo visa encontrar fornecedores de serviço cujas políticas impostas sejam compatíveis com os atributos do sujeito que busca um serviço e retornar uma lista sinalizando os serviços que podem ser acessados.

            Ao analisar o resultado descrito acima, é notório que um refinador de buscas é necessário. Como descrito anteriormente, a probabilidade do usuário conseguir acessar um serviço na primeira tentativa é de apenas 21%. Se imaginarmos um cenário onde existam 1000 serviços cadastrados e mantendo a mesma probabilidade, apenas 210 serviços poderiam ser acessados. Note que o número de negações é aproximadamente 4 vezes maior do que as das permissões.

            Sem o módulo refinador, existiria uma grande probabilidade do usuário tentar acessar vários serviços que não possui acesso, perdendo bastante do seu tempo e muitas vezes não sabendo o motivo da rejeição do serviço.