FR3128603A1 - Procédé d’établissement d’un jeton de certification d’une instanciation d’une grappe de nœuds. - Google Patents

Procédé d’établissement d’un jeton de certification d’une instanciation d’une grappe de nœuds. Download PDF

Info

Publication number
FR3128603A1
FR3128603A1 FR2111257A FR2111257A FR3128603A1 FR 3128603 A1 FR3128603 A1 FR 3128603A1 FR 2111257 A FR2111257 A FR 2111257A FR 2111257 A FR2111257 A FR 2111257A FR 3128603 A1 FR3128603 A1 FR 3128603A1
Authority
FR
France
Prior art keywords
certification
certificate
instantiation
master node
cluster
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR2111257A
Other languages
English (en)
Inventor
Gaël Fromentoux
Frédéric Fieau
Emile Stephan
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Priority to FR2111257A priority Critical patent/FR3128603A1/fr
Priority to PCT/EP2022/078150 priority patent/WO2023066708A1/fr
Publication of FR3128603A1 publication Critical patent/FR3128603A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Stored Programmes (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Procédé d’établissement d’un jeton de certification d’une instanciation d’une grappe de nœuds . L’invention concerne une solution permettant de fournir un jeton de certification d’une instanciation d’une grappe de nœuds à un équipement le requérant dans un environnement de type « edge computing ». Les solutions d’authentification existantes, ne sont pas bien adaptées au contexte du « edge computing » car ne permet pas de garantir que les différents intervenants impliqués dans la fourniture du service requis ont instancié l’ensemble des nœuds et/ou des serveurs conformément à des contraintes techniques et/ou contractuelles relatives au service requis. La solution objet de la présente invention permet d’établir, et donc de pouvoir fournir sur requête, un certificat d’instanciation d’une grappe de nœuds contribuant à mettre en œuvre un service. Un tel certificat permet de garantir que les différents équipements et les différents acteurs impliqués dans l’exécution et la fourniture d’un service donné respectent les termes d’un contrat de fourniture de service. FIGURE 2

Description

Procédé d’établissement d’un jeton de certification d’une instanciation d’une grappe de nœuds.
Domaine de l'invention
Le domaine de l'invention est celui de l’établissement et de la fourniture d’un certificat établissant une chaine de conformité à certains prérequis des équipements impliqués dans la fourniture d’un service.
Plus précisément, l'invention concerne une solution permettant de fournir un certificat d’instanciation d’une grappe de nœuds déployée dans un environnement d’informatique en périphérie ou «edge computing».
Art antérieur et ses inconvénients
Une nouvelle étape du développement du «cloud computing», ou informatique en nuage, a vu le jour ces dernières années. Ce nouveau développement est nommé «edge computing» ou informatique en périphérie de réseau et consiste à traiter les données à la périphérie du réseau au plus près de la source des données.
L’«edge computing» permet ainsi de minimiser les besoins en bande passante entre des équipements, tels que des capteurs, et les centres de traitement des données en entreprenant les analyses au plus près des sources de données. Cette approche nécessite la mobilisation de ressources qui peuvent ne pas être connectées en permanence à un réseau, tels que des ordinateurs portables, des smartphones, des tablettes ou des capteurs. L’«edge computing» a aussi une place de choix dans les solutions d’ingestion et de livraison de contenus. A cet égard, de nombreuses architectures de réseaux de livraison de contenus ou CDN (Content Delivery Network) reposent sur des architectures de type «edge computing».
Une mise en œuvre connue d’une telle architecture de type «edge computing» est une architecture connue sous l’appellation Kubernetes.
La représente de manière simplifiée l’architecture d’une grappe de nœuds 1 conforme à l’architecture Kubernetes. La grappe de nœuds 1 comprend un premier nœud 10 dit nœud maître, ou «Kubernetes master», et N nœuds de calcul, ou «workers node», 11i, i , N étant un entier naturel.
Le nœud maître 10 comprend un contrôleur 101, un module API (Application Programming Interfaceou interface de programmation d’applications) 102 et une base de données 103 dite ETCD qui consiste en un registre dynamique de configuration des nœuds de calculs 11i.
Un nœud de calcul 11icomprend M conteneurs ou « pods » 110j, j , M étant un entier naturel. Chaque conteneur 110jest doté de ressources permettant l’exécution d’une ou de plusieurs tâches. Une tâche lorsqu’elle est exécutée contribue à la mise en œuvre d’un service ou d’une fonction réseau, telle qu’une fonction DHCP (Dynamic Host Configuration Protocolou protocole de configuration dynamique des hôtes) par exemple.
Dans un souci de réduction des coûts et d’amélioration de la flexibilité des infrastructures réseaux, les architectures d’«edge computing» sont le plus souvent des architectures multi-sites dans lesquelles les nœuds constitutifs des grappes de nœuds peuvent être non co-localisés. Par exemple un nœud maître 10 et deux nœuds de calcul 111, 112d’une grappe de nœuds 1 sont situés sur un site A alors que trois autres nœuds de calculs 113, 114, 115sont quant à eux situés sur un site B distant.
Les solutions d’authentification existantes, telle que le protocole https (HyperText Transfer Protocol Secureou protocole de transfert hypertextuel sécurisé) qui repose sur l’introduction d’une couche de chiffrement conforme au protocole SSL (Secure Socket Layerou sécurité de la couche socket) ou au protocole TLS (Transport Layer Securityou sécurité de la couche transport) dans le protocole http (HyperText Transfer Protocolou protocole de transfert hypertextuel ) ne sont pas bien adaptées au contexte du «edge computing».
A titre d’exemple, le protocole https permet à un équipement d’un visiteur, tel qu’un ordinateur personnel, de vérifier l'identité d’un site internet auquel le visiteur souhaite accéder à partir de son équipement.
Ainsi, l’équipement accède, grâce à un certificat public d'authentification de type X509 émis par une autorité tierce, réputé fiable, à un serveur fournissant un service. Un tel certificat garantit la confidentialité et l'intégrité des données transmises par le visiteur via son équipement à destination du serveur fournissant un service.
Cependant un tel certificat ne permet pas de garantir, par exemple à un utilisateur du service ou encore au fournisseur du service en question, que les différents intervenants impliqués dans la fourniture du service requis ont instancié l’ensemble des nœuds et/ou des serveurs conformément à des contraintes techniques et/ou contractuelles relatives au service requis.
Il existe donc un besoin de proposer une solution ne présentant pas tout ou partie des inconvénients précités.
L'invention répond à ce besoin en proposant un système comprenant au moins une grappe de nœuds comprenant un nœud maître et au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche, au moins un serveur de certification et au moins un équipement souhaitant accéder à un service mis en œuvre par ladite grappe de nœuds.
Un tel système est particulier en ce que :
- ledit serveur de certification est configuré pour transmettre un premier jeu de paramètres de certification à destination dudit nœud maître
- ledit nœud maître est configuré pour établir un premier certificat d’instanciation dudit nœud maître au moyen du premier jeu de paramètres de certification ;
- ledit serveur de certification est configuré pour transmettre au moins un deuxième jeu de paramètres de certification à destination d’au moins un conteneur dudit nœud de calcul ;
- ledit nœud maître est configuré pour obtenir au moins un deuxième certificat d’instanciation pour ledit conteneur dudit nœud de calcul, ledit deuxième certificat étant établi par ledit nœud de calcul au moyen du deuxième jeu de paramètres de certification ;
- ledit nœud maître est configuré pour transmettre, à destination dudit serveur de certification, une demande de génération d’un jeton de certification d’une instanciation de la grappe de nœud, ladite demande comprenant ledit premier certificat et ledit deuxième certificat ;
- ledit serveur de certification est configuré générer ledit jeton de certification d’une instanciation de la grappe de nœud au moyen dudit premier certificat et dudit au moins un deuxième certificat ;
- ledit serveur de certification est configuré transmettre ledit jeton de certification d’une instanciation de la grappe de nœud à destination dudit nœud maître ;
- ledit équipement est configuré pour émettre, à destination dudit nœud maître, une demande d’établissement d’une session avec ladite grappe de nœuds,
- ledit nœud maître est configuré pour émettre à destination de l’équipement un message de signalisation relatif à l’établissement de ladite session comprenant en outre ledit jeton de certification ;
- à réception dudit jeton de certification, l’équipement est configuré pour vérifier l’authenticité dudit jeton de certification auprès dudit serveur de certification.
La solution objet de l’invention permet d’établir, et donc de pouvoir fournir sur requête, un certificat d’instanciation d’une grappe de nœuds contribuant à mettre en œuvre un service. Un tel certificat permet de garantir que les différents équipements et les différents acteurs impliqués dans l’exécution et la fourniture d’un service donné respectent les termes d’un contrat de fourniture de service ainsi que les spécifications techniques requises.
A cette fin, le système comprend un serveur de certification réputé fiable, car avalisé par une autorité tierce, dont la fonction est de contribuer à l’établissements de certificats pour des nœuds d’une grappe de nœuds. Lorsque chaque nœud concerné a établi son certificat au moyen, entre autres de paramètres de certification fournis par le serveur de certification, ce dernier génère un jeton de certification regroupant l’ensemble des certificats générés par les différents nœuds de la grappe de nœuds ainsi que d’autres informations relatives au service exécuté par la grappe de nœuds.
Dans un exemple, le serveur de certification peut communiquer directement avec les conteneurs sans intervention du nœud maître.
Dans un autre exemple, le serveur de certification transmet le deuxième jeu de paramètres de certification à destination du nœud maître qui le transmet à son tour au conteneur concerné.
Un tel jeton de certification peut être requis par n’importe quel équipement souhaitant accéder au service exécuté par la grappe de nœuds en question afin de vérifier la conformité de l’instanciation aux termes du contrat de service par exemple.
Une telle solution permet par exemple de garantir que toutes les données fournies par un utilisateur dans le cadre de l’exécution d’un service donné sont traitées par des équipements localisés sur un territoire donné.
Plus particulièrement, le nœud maître de ladite grappe de nœuds met en œuvre un procédé d’obtention du jeton de certification comprenant les étapes suivantes :
- établissement d’un premier certificat d’instanciation dudit nœud maître au moyen d’un premier jeu de paramètres de certification requis auprès d’un serveur de certification ;
- obtention d’au moins un deuxième certificat d’instanciation pour ledit conteneur dudit nœud de calcul, ledit deuxième certificat étant établi par ledit nœud de calcul au moyen d’au moins un deuxième jeu de paramètres de certification requis auprès du serveur de certification ;
- transmission, à destination dudit serveur de certification, d’une demande de génération dudit jeton de certification d’une instanciation de la grappe de nœud, ladite demande comprenant ledit premier certificat et ledit au moins un deuxième certificat ;
- réception dudit jeton de certification d’une instanciation de la grappe de nœud généré par le serveur de certification.
Le nœud maître établit son propre certificat au moyen de paramètres de certification fournis par le serveur de certification et collecte les différents certificats établis pour les différents conteneurs concernés. En effet, en fonction du service pour lequel le jeton de certification est requis, seuls certains conteneurs exécutant des taches relatives à l’exécution de ce service sont appelés à fournir un certificat d’instanciation.
Dans un exemple, les jeux de paramètres de certification requis auprès du serveur de certification comprennent au moins une information d’horodatage et un condensé d’un identifiant dudit serveur de certification.
L’information d’horodatage permet de limiter les risques de fraude car elle permet de définir une durée de validité du jeu de paramètres de certification. Le condensé, ou « hash » en anglais, d’un identifiant du serveur de certification permet de contrôler l’intégrité du jeu de paramètres de certification, ainsi le nœud utilisant ces paramètres de certification lors de l’établissement de son certificat est certain de leur provenance et des valeurs de ces paramètres ce qui contribue à forger un certificat solide.
Dans un exemple, les jeux de paramètres de certification requis comprennent en outre une information de localisation.
Une information de localisation recouvre :
- des informations de géolocalisation telles que des coordonnées GPS (Global Positioning System) obtenues au moyen d’un identifiant réseau tel qu’un masque d’adresses IP, un identifiant d’une ville (e.g. Lannion), d’une région (e.g. la Bretagne) ou d’une zone géographique (e.g. Europe),
- des informations de topo-localisation telles qu’une localisation dans une architecture d’un réseau de communication, un identifiant d’un domaine réseau auquel la grappe de nœuds est rattachée,
un identifiant d’un ’organisme qui a la charge du réseau (e.g. un opérateur de télécommunications, un fournisseur d’infrastructure CDN, un client d’un opérateur ; etc.),
  • Une combinaison de ces différentes informations.
Dans un exemple, l’information de localisation concerne le serveur de certification qui est co-localisé avec la grappe de nœuds.
L’information de localisation étant fournie par une entité fiable, c’est à dire le serveur de certification, l’utilisateur a la garantie que toutes les données fournies traitées dans le cadre de l’exécution d’un service donné le sont par des équipements localisés sur un territoire donné.
Dans un exemple, les jeux de paramètres de certification requis sont signés au moyen d’une clé cryptographique privée du serveur de certification.
Ainsi des équipements tiers interceptant de tels jeux de paramètres de certification sont dans l’incapacité d’utiliser ces données pour forger leurs propres certificats s’ils ne disposent pas de la clé cryptographique publique correspondante.
A titre d’exemple, un certificat est également établi à partir de données relatives audit nœud maître et appartenant au groupe comprenant :
- une adresse réseau du nœud maître ;
- une adresse physique du nœud maître ;
- au moins un identifiant d’un modèle du matériel constituant le nœud maître ;
- au moins un identifiant d’au moins un logiciel exécuté par le nœud maître ;
- un identifiant d’un opérateur orchestrant ladite grappe de nœuds,
- au moins un identifiant d’au moins une tâche effectuée par au moins un conteneur d’au moins un nœud de calcul de ladite grappe ;
- un identifiant d’au moins un fournisseur de service pour le compte duquel un conteneur effectue une tâche ;
- un condensé d’au moins l’une des données ci-dessus.
Ainsi un tel certificat comprend des informations relatives à l’instanciation du nœud tant sur le plan structurel, i.e. localisation géographique, adresse réseau, informations relatives au matériel employé (référence d’un modèle de mémoire, de processeur, etc.), que sur le plan administratif, i.e. identité de l’orchestrateur, d’un fournisseur de service, etc. autant d’informations qui permettent de tracer une chaine de responsabilité entre toutes les entités intervenant dans la fourniture du service requis.
Dans un exemple, le jeton de certification comprend au moins un condensé du premier certificat et du deuxième certificat horodaté par le serveur de certification.
Cela permet de vérifier l’intégrité du jeton de certification.
Afin de garantir son authenticité, le jeton de certification peut également être signé au moyen de la clé cryptographique privée du serveur de certification.
L’invention se décline également sous la forme d’un procédé d’établissement d’un jeton de certification d’une instanciation d’une grappe de nœuds comprenant un nœud maître et au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche.
Un tel procédé est particulier en ce qu’il comprend les étapes suivantes mises en œuvre par un serveur de certification :
- transmission d’un premier jeu de paramètres de certification à destination dudit nœud maître ;
- transmission d’au moins un deuxième jeu de paramètres de certification à destination d’au moins un conteneur dudit nœud de calcul ;
- réception, en provenance dudit nœud maître, d’une demande de génération dudit jeton de certification d’une instanciation de la grappe de nœud, ladite demande comprenant un premier certificat d’instanciation dudit nœud maître établi au moyen du premier jeu de paramètres de certification et au moins un deuxième certificat d’instanciation dudit conteneur établi au moyen du deuxième jeu de paramètres de certification ;
- génération dudit jeton de certification d’une instanciation de la grappe de nœud au moyen dudit premier certificat et dudit au moins un deuxième certificat ;
- transmission dudit jeton de certification d’une instanciation de la grappe de nœud à destination dudit nœud maître.
Dans un exemple, le serveur de certification peut communiquer directement avec les conteneurs sans intervention du nœud maître.
Dans un autre exemple, le serveur de certification transmet le deuxième jeu de paramètres de certification à destination du nœud maître qui le transmet à son tour au conteneur concerné.
L’invention a encore pour objet un procédé d’établissement d’un certificat d’une instanciation d’au moins un conteneur destiné à exécuter au moins une tâche, ledit conteneur appartenant à un nœud de calcul d’une grappe de nœuds comprenant un nœud maître et une pluralité de nœuds de calcul.
Un tel procédé est particulier en ce qu’il comprend les étapes suivantes mises en œuvre par ledit conteneur :
- établissement d’un certificat d’instanciation dudit conteneur au moyen d’un jeu de paramètres de certification requis auprès d’un serveur de certification ;
- transmission, à destination dudit nœud maître, dudit certificat.
L’invention concerne encore un procédé de vérification de l’authenticité d’un jeton de certification d’une instanciation d’une grappe de nœuds comprenant un nœud maître et au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche.
Un tel procédé est particulier en ce qu’il comprend les étapes suivantes mises en œuvre par un équipement souhaitant accéder à un service mis en œuvre par ladite grappe de nœuds :
- émission, à destination dudit nœud maître, d’une demande d’établissement d’une session avec ladite grappe de nœuds,
- réception d’un message de signalisation relatif à l’établissement de ladite session comprenant en outre ledit jeton de certification établi par un serveur de certification au moyen d’un un premier certificat d’instanciation dudit nœud maître établi au moyen d’un premier jeu de paramètres de certification requis auprès du serveur de certification et au moins un deuxième certificat d’instanciation dudit conteneur établi au moyen d’un deuxième jeu de paramètres de certification requis auprès du serveur de certification ;
- une étape de vérification de l’authenticité dudit jeton de certification auprès dudit serveur de certification.
Un autre objet de l’invention est un nœud maître d’une grappe de nœuds comprenant également au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche, ledit nœud maître comprenant au moins processeur configuré pour :
- établir un premier certificat d’instanciation dudit nœud maître au moyen d’un premier jeu de paramètres de certification requis auprès d’un serveur de certification ;
- obtenir au moins un deuxième certificat d’instanciation pour ledit conteneur dudit nœud de calcul, ledit deuxième certificat étant établi par ledit nœud de calcul au moyen d’au moins un deuxième jeu de paramètres de certification requis auprès du serveur de certification ;
- transmettre, à destination dudit serveur de certification, une demande de génération dudit jeton de certification d’une instanciation de la grappe de nœud, ladite demande comprenant ledit premier certificat et ledit au moins un deuxième certificat ;
- recevoir ledit jeton de certification d’une instanciation de la grappe de nœud généré par le serveur de certification.
L’invention concerne également un serveur de certification capable d’établir un jeton de certification d’une instanciation d’une grappe de nœuds comprenant un nœud maître et au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche, ledit serveur de certification comprenant au moins un processeur configuré pour :
- transmettre un premier jeu de paramètres de certification à destination dudit nœud maître ;
- transmettre au moins un deuxième jeu de paramètres de certification à destination d’au moins un conteneur dudit nœud de calcul ;
- recevoir, en provenance dudit nœud maître, une demande de génération dudit jeton de certification d’une instanciation de la grappe de nœud, ladite demande comprenant un premier certificat d’instanciation dudit nœud maître établi au moyen du premier jeu de paramètres de certification et au moins un deuxième certificat d’instanciation dudit conteneur établi au moyen du deuxième jeu de paramètres de certification ;
- générer ledit jeton de certification d’une instanciation de la grappe de nœud au moyen dudit premier certificat et dudit au moins un deuxième certificat ;
- transmettre ledit jeton de certification d’une instanciation de la grappe de nœud à destination dudit nœud maître.
Dans un exemple, le serveur de certification peut communiquer directement avec les conteneurs sans intervention du nœud maître.
Dans un autre exemple, le serveur de certification transmet le deuxième jeu de paramètres de certification à destination du nœud maître qui le transmet à son tour au conteneur concerné.
L’invention a encore pour un objet un conteneur appartenant à un nœud de calcul d’une grappe de nœuds comprenant un nœud maître et une pluralité de nœuds de calcul, ledit conteneur comprenant au moins un processeur configuré pour :
- établir un certificat d’instanciation dudit conteneur au moyen d’un jeu de paramètres de certification requis auprès d’un serveur de certification ;
- transmettre , à destination dudit nœud maître, ledit certificat.
Un dernier objet de l’invention couvre un équipement souhaitant accéder à un service mis en œuvre par une grappe de nœuds comprenant un nœud maître et au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche, ledit équipement comprenant au moins un processeur configuré pour :
- émettre, à destination dudit nœud maître, une demande d’établissement d’une session avec ladite grappe de nœuds,
- recevoir un message de signalisation relatif à l’établissement de ladite session comprenant en outre ledit jeton de certification établi par un serveur de certification au moyen d’un un premier certificat d’instanciation dudit nœud maître établi au moyen d’un premier jeu de paramètres de certification requis auprès du serveur de certification et au moins un deuxième certificat d’instanciation dudit conteneur établi au moyen d’un deuxième jeu de paramètres de certification requis auprès du serveur de certification ;
- vérifier l’authenticité dudit jeton de certification auprès dudit serveur de certification.
L’invention concerne enfin des produits programme d'ordinateur comprenant des instructions de code de programme pour la mise en œuvre des procédés tels que décrits précédemment, lorsqu’ils sont exécutés par un processeur.
L’invention vise également un support d’enregistrement lisible par un ordinateur sur lequel sont enregistrés des programmes d’ordinateur comprenant des instructions de code de programme pour l’exécution des étapes des procédés selon l’invention tels que décrits ci-dessus.
Un tel support d'enregistrement peut être n'importe quelle entité ou dispositif capable de stocker les programmes. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une clé USB ou un disque dur.
D'autre part, un tel support d'enregistrement peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens, de sorte que les programmes d’ordinateur qu’il contient sont exécutables à distance. Les programmes selon l'invention peuvent être en particulier téléchargés sur un réseau par exemple le réseau Internet.
Alternativement, le support d'enregistrement peut être un circuit intégré dans lequel les programmes sont incorporés, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution des procédés objets de l’invention précités.
Liste des figures
D'autres buts, caractéristiques et avantages de l'invention apparaîtront plus clairement à la lecture de la description suivante, donnée à titre de simple exemple illustratif, et non limitatif, en relation avec les figures, parmi lesquelles :
: cette figure représente de manière simplifiée l’architecture d’une grappe de nœuds conforme à l’architecture Kubernetes,
: cette figure représente un système dans lequel la présente solution peut être mise en œuvre,
: cette figure représente un diagramme des différentes étapes mises en œuvre lors de l’exécution des procédés objets de l’invention,
: cette figure représente un nœud maître d’une grappe de nœuds apte à mettre en œuvre les différents procédés objets de la présente invention,
: cette figure représente un serveur de certification apte à mettre en œuvre les différents procédés objets de la présente invention,
:cette figure représente un conteneur d’un nœud de calcul d’une grappe de nœuds apte à mettre en œuvre les différents procédés objets de la présente invention,
:cette figure représente un équipement apte à mettre en œuvre les différents procédés objets de la présente invention.
Description détaillée de modes de réalisation de l'invention
Le principe général de l'invention repose sur l’établissement d’un jeton de certification d’une instanciation d’au moins une grappe de nœuds déployée dans un environnement d’informatique en périphérie ou «edge computing» qui permet de garantir que les différents intervenants impliqués dans la fourniture du service requis ont instancié l’ensemble des nœuds et/ou des serveurs conformément à des contraintes techniques et/ou contractuelles relatives au service requis.
A cette fin, l’invention introduit un serveur de certification réputé fiable, car avalisé par une autorité tierce, dont la fonction est de contribuer à l’établissement de certificats pour des nœuds de la grappe de nœuds. Lorsque chaque nœud concerné a établi son certificat au moyen, entre autres de paramètres de certification fournis par le serveur de certification, ce dernier génère un jeton de certification regroupant l’ensemble des certificats générés par les différents nœuds de la grappe de nœuds ainsi que d’autres informations relatives au service exécuté par la grappe de nœuds.
Un tel jeton de certification peut être requis par n’importe quel équipement souhaitant accéder au service exécuté par la grappe de nœuds en question afin de vérifier la conformité de l’instanciation aux termes du contrat de service par exemple.
On présente désormais, en relation avec la un système dans lequel la présente solution peut être mise en œuvre.
Un tel système comprend au moins une grappe de nœuds 1 conforme à l’architecture Kubernetes. La grappe de nœuds 1 comprend un premier nœud 10 dit nœud maître et N nœuds de calcul 11i, i , N étant un entier naturel.
Un nœud de calcul 11icomprend M conteneurs ou « pods » 110j, j , M étant un entier naturel. Chaque conteneur 110jest doté de ressources permettant l’exécution d’une ou de plusieurs tâches. Une tâche lorsqu’elle est exécutée contribue à la mise en œuvre d’un service ou d’une fonction réseau, telle qu’une fonction DHCP (Dynamic Host Configuration Protocolou protocole de configuration dynamique des hôtes) par exemple.
Le système comprend également un serveur de certification 12. Un tel serveur de certification 12 est une entité fiable capable de délivrer des certificats. Par exemple une autorité tierce reconnue comme fiable et intègre vérifie et ensuite garantit la fiabilité d’un tel serveur de certification 12 qui devient alors une entité de confiance.
Dans un exemple, le serveur de certification 12 est co-localisé avec la grappe de nœuds 1. Dans un autre exemple, le serveur de certification 12 se situe sur un site distant de celui abritant la grappe de nœuds 1.
Le système comprend également d’autres entités telles que des nœuds 13 gérés par un opérateur en télécommunications ou un fournisseur de service.
Enfin, le système comprend au moins un équipement 14 tel qu’un terminal mobile, un serveur ou encore un équipement virtualisé.
En référence au système décrit à la , on décrit maintenant le déroulement des procédés objets de l’invention. Les différentes étapes mises en œuvre lors de l’exécution de ces procédés au sein du système précédemment décrit sont représentées sous forme de diagramme dans la .
Ainsi, dans une étape E1, un nœud 13, appartenant par exemple à un opérateur en télécommunication émet une demande d’établissement D1 d’un jeton de certification TokC d’au moins une grappe de nœuds 1. Une telle grappe de nœuds 1 peut ou non être orchestrée par l’opérateur en télécommunications. Une telle demande d’établissement D1 est transmise au nœud maître 10 de ladite grappe de nœuds 1. Une telle demande d’établissement D1 comprend un identifiant dudit nœud 13.
A réception de cette demande d’établissement D1, le nœud maître 10 émet une requête R1 pour obtenir un jeu de paramètres de certification ParamC1 auprès du serveur de certification 12 au cours d’une étape E2. Une telle requête R1 comprend un identifiant du nœud maître ou un condensé de celui-ci.
En réponse à la requête R1, le serveur de certification 12 génère, dans une étape E3, le jeu de paramètres de certification ParamC1. Un tel jeu de paramètres de certification ParamC1 comprend au moins une information d’horodatage et un condensé d’un identifiant du serveur de certification. Optionnellement un tel jeu de paramètres de certifications ParamC1 peut également comprendre une information de localisation.
Une information de localisation recouvre par exemple :
- des informations de géolocalisation telles que des coordonnées GPS (Global Positioning System) obtenues au moyen d’un identifiant réseau tel qu’un masque d’adresses IP, un identifiant d’une ville (e.g. Lannion), d’une région (e.g. la Bretagne) ou d’une zone géographique (e.g. Europe),
- des informations de topo-localisation telles qu’une localisation dans une architecture d’un réseau de communication, un identifiant d’un domaine réseau auquel la grappe de nœuds est rattachée,
- un identifiant d’un ’organisme qui a la charge du réseau (e.g. un opérateur de télécommunications, un fournisseur d’infrastructure CDN, un client d’un opérateur ; etc.),
- le serveur de certification 12 est co-localisé avec la grappe de nœuds 1,
- une combinaison de ces différentes informations.
Dans un exemple, le jeu de paramètres de configuration ParamC1 peut être signé au moyen d’une clé cryptographique privée du serveur de certification 12. Dans un tel exemple, le nœud maître 10 est en possession d’une clé cryptographique publique du serveur de certification 12 correspondant à la clé cryptographique privée. Une telle clé cryptographique publique du serveur de certification 12 peut être fournie au nœud maître 10 lors de l’établissement d’une session de communication avec le serveur de certification 12.
A réception du jeu de paramètres de configuration ParamC1, le nœud maître 10 établit son certificat d’instanciation C10 au cours d’une étape E4. Un tel certificat C10 est établi au moyen du jeu de paramètres de certification ParamC1 mais également de données relatives au nœud maître et à la grappe de nœuds 1 dont il a la charge. De telles données appartiennent au groupe comprenant :
- une adresse réseau du nœud maître 10 ;
- une adresse physique du nœud maître 10 ;
- au moins un identifiant d’un modèle du matériel constituant le nœud maître 10 ;
- au moins une version d’au moins un logiciel exécuté par le nœud maître 10 ;
- un identifiant d’un opérateur orchestrant ladite grappe de nœuds 10,
- au moins un identifiant d’au moins une tâche effectuée par au moins un conteneur 110jd’au moins un nœud de calcul 11 de ladite grappe de nœuds 1 ;
- un identifiant d’au moins un fournisseur de service pour le compte duquel un conteneur 110jeffectue une tâche ;
- un condensé d’au moins l’une des données pré-listées.
Ainsi, le certificat C10 établi par le nœud maître 10 rend compte d’une chaine de responsabilité entre toutes les entités intervenant dans la fourniture du service requis.
Une fois son certificat C10 établit, le nœud maître 10 requiert auprès des différents conteneurs 110jconcernés l’établissement de leur propre certificat C110jau cours d’une étape E5.
Dans un exemple, le nœud maître 10 fournit, via le nœud de calcul 11iqui les héberge, des informations permettant aux conteneurs 110jd’établir une connexion directe avec le serveur de certification 12. Lorsque certains nœuds de calculs 11ise trouvent sur des sites différents du site hébergeant le nœud maître 10 ou le serveur de certification 12, le nœud maître 10 peut fournir aux nœuds de calcul 11iconcernés des informations leur permettant d’établir une connexion avec un autre serveur de certification plus approprié, comme par exemple un serveur de certification situé sur le même site ou encore un serveur de certification opéré dans un même domaine, etc.
Chaque conteneur concerné 110jémet alors une requête R2 à destination du serveur de certification 12 pour obtenir un jeu de paramètres de certification ParamC2jau cours d’une étape E6. Une telle requête R2jcomprend un identifiant du nœud maître ou un condensé de celui-ci.
Dans un autre exemple, le nœud maître 10 émet la requête R2 à destination du serveur de certification 12 pour obtenir un jeu de paramètres de certification ParamC2jpour le compte du conteneur 110j.
En réponse à une requête R2j, le serveur de certification 12 génère, dans une étape E7, un jeu de paramètres de certification ParamC2j. Un tel jeu de paramètres de certification ParamC2jcomprend au moins une information d’horodatage et un condensé de l’identifiant du serveur de certification. Optionnellement un tel jeu de paramètres de certifications ParamC2jpeut également comprendre une information de localisation. Selon les exemples, le jeu de paramètres de certification ParamC2jest soit directement transmis au conteneur 110jsoit il est relayé par le nœud maître 10.
Dans un exemple, le jeu de paramètres de configuration ParamC2jpeut être signé au moyen d’une clé cryptographique privée du serveur de certification 12. Dans un tel exemple, le conteneur 110jest en possession de la clé cryptographique publique du serveur de certification 12 correspondant à la clé cryptographique privée. Une telle clé cryptographique publique du serveur de certification 12 peut être fournie au nœud de calcul 11ipar le nœud maître 10 lors de la configuration de la grappe de nœuds 1. Elle peut également être directement fournie au conteneur 110jpar le nœud maître au cours de l’étape E5.
A réception du jeu de paramètres de configuration ParamC2j, le conteneur 110jétablit son certificat d’instanciation C110jau cours d’une étape E8.
Un tel certificat C110jest établi au moyen du jeu de paramètres de certification ParamC2jmais également de données relatives au nœud de calcul 11 hébergeant le conteneur 110j et au conteneur 110j. De telles données appartiennent au groupe comprenant :
- une adresse réseau du nœud de calcul 11 et du conteneur 110j;
- une adresse physique du nœud de calcul 11 et du conteneur 110j;
- au moins un identifiant d’un modèle du matériel constituant le conteneur 110jet/ou le nœud de calcul 11 ;
- au moins une version d’au moins un logiciel exécuté par le conteneur 110jet/ou le nœud de calcul 11 ;
- un identifiant d’un opérateur orchestrant le nœud de calcul 11,
- au moins un identifiant d’au moins une tâche effectuée par le conteneur 110j;
- un identifiant d’au moins un fournisseur de service pour le compte duquel le conteneur 110jeffectue une tâche ;
- un condensé d’au moins l’une des données ci-dessus.
Dans une étape E9, le nœud maître 10 collecte l’ensemble des certificats C110jétablis par les conteneurs 110jayant reçu une requête R2. Une fois cette collecte effectuée, le nœud maître 10 génère une demande de génération DG dudit jeton de certification TokC. Une telle demande DG comprend le certificat C10 et l’ensemble des certificats C110jcollectés. Dans un exemple, la demande de génération DG comprend un condensé des certificats C10 et C110j.
Une fois générée, la demande de génération DG dudit jeton de certification TokC est transmise à destination du serveur de certification 12 duquel dépend le nœud maître 10 dans une étape E10.
A réception de la demande DG, le serveur de certification 12 génère le jeton de certification TokC dans une étape E11 à partir des certificats C10 et C110jreçus. Par exemple, le serveur de certification 12 peut concaténer l’ensemble des certificats C10 et C110jreçus et ensuite horodater la chaine de caractère ainsi obtenue. Dans un autre exemple, le serveur de certification 12 peut également signer les données constitutives du jeton de certification TokC au moyen de sa clé cryptographique privée.
Dans une étape E12, le serveur de certification 12 transmet le jeton de certification TokC ainsi généré à destination du nœud maître 10.
Le jeton de certification TokC ainsi généré, peut, au gré des besoins ou des demandes émises par certains intervenants participant à la fourniture d’un service, être consulté et son authenticité vérifiée. En effet, à titre d’exemple, un fournisseur d’un service de stockage de données veut pouvoir garantir à ses utilisateurs que leurs données sont stockées dans des serveurs localisés dans une zone géographique donnée. Dans un tel cas de figure, avant d’offrir son service à la vente, ou même régulièrement pendant la fourniture du service, le fournisseur du service peut s’assurer que les serveurs sont bien localisés dans la zone géographique d’intérêt au moyen du jeton de certification TokC. Bien entendu d’autres caractéristiques ou contraintes techniques et/ou logistiques peuvent être vérifiées de la même manière grâce au jeton de certification TokC. De la même façon, on peut vérifier que la version la plus récente d’un logiciel est exécutée, que le bon type de mémoire vive est utilisé, ou encore qu’une grappe de nœuds est orchestrée par le bon opérateur en télécommunication, etc.
Ainsi, un équipement 14 d’un intervenant participant à la fourniture d’un service émet, au cours d’une étape E13, une demande d’établissementhellod’une session de communication avec un conteneur 110jexécutant une tâche relative au service fourni. Une telle demande d’établissementhelloest soit directement transmise au conteneur 110jsoit elle est relayée à destination du conteneur 110jpar le nœud maître 10.
Parmi les différentes données échangées entre le conteneur 110jet l’équipement 14, au cours d’une étape E14, afin d’établir une session de communication se trouve le jeton de certification TokC. Le conteneur 110jtransmet également un identifiant d’un serveur de certification 12, telle qu’adresse réseau de type IPv4 ou IPv6, auprès duquel l’authenticité du jeton de certification TokC peut être vérifiée.
Une fois la session de communication établie entre le conteneur 110j et l’équipement 14, ce dernier transmet une requête R3 à destination du serveur de certification 12 au cours d’une étape E15.
En réponse à. cette requête R3, le serveur de certification 12 émet à destination de l’équipement 14 un message MSG comprenant sa clé cryptographique publique ainsi que son propre certificat, dans une étape E15.
A réception du message MSG, l’équipement 14 dispose du certificat du serveur de certification 12 ce qui lui permet de s’assurer de la fiabilité de ce dernier et par voie de conséquence de la fiabilité des certificats qu’il a validé et des jetons de certification qu’il a établis. L’équipement 14 peut également déchiffrer le jeton de certification TokC au moyen de la clé cryptographique publique qu’il a reçu et ainsi accéder aux certificats C10 et C110jet ainsi s’assurer que les conditions d’instanciation du service qui ont été requis sont respectées dans une étape E17.
La représente un nœud maître 10 d’une grappe de nœuds 1 apte à mettre en œuvre les différents procédés objets de la présente invention.
Un nœud maître 10 peut comprendre au moins un processeur matériel 100, une unité de stockage 105, une interface 106, et au moins une interface de réseau 107 qui sont connectés entre eux au travers d’un bus 108 en plus du module API 102, du contrôleur 101, de la base données 103 et du/des modules de synchronisation 104. Bien entendu, les éléments constitutifs du nœud maître 10 peuvent être connectés au moyen d’une connexion autre qu’un bus.
Le processeur 100 commande les opérations du nœud maître 10. L'unité de stockage 105 stocke au moins un programme pour la mise en œuvre des différents procédés objets de l’invention à exécuter par le processeur 100, et diverses données, telles que des paramètres utilisés pour des calculs effectués par le processeur 100, des données intermédiaires de calculs effectués par le processeur 100, etc. Le processeur 100 peut être formé par tout matériel ou logiciel connu et approprié, ou par une combinaison de matériel et de logiciel. Par exemple, le processeur 100 peut être formé par un matériel dédié tel qu'un circuit de traitement, ou par une unité de traitement programmable telle qu'une unité centrale de traitement (Central Processing Unit) qui exécute un programme stocké dans une mémoire de celui-ci.
L'unité de stockage 105 peut être formée par n'importe quel moyen approprié capable de stocker le programme ou les programmes et des données d'une manière lisible par un ordinateur. Des exemples d'unité de stockage 105 comprennent des supports de stockage non transitoires lisibles par ordinateur tels que des dispositifs de mémoire à semi-conducteurs, et des supports d'enregistrement magnétiques, optiques ou magnéto-optiques chargés dans une unité de lecture et d'écriture.
L'interface 106 fournit une interface entre le nœud maître 10 et au moins un nœud de calcul 11iappartenant à la même grappe de nœuds que le nœud maître 10.
L’interface réseau 107 fournit quant à elle une connexion entre le nœud maître 10 et le serveur 12 et/ou l’équipement 14.
La représente un serveur de certification 12 apte à mettre en œuvre les différents procédés objets de la présente invention.
Un serveur de certification 12 peut comprendre au moins un processeur matériel 501, une unité de stockage 502, et au moins une interface de réseau 503 qui sont connectés entre eux au travers d’un bus 504. Bien entendu, les éléments constitutifs du serveur de certification 12 peuvent être connectés au moyen d’une connexion autre qu’un bus.
Le processeur 501 commande les opérations du serveur de certification 12. L'unité de stockage 502 stocke au moins un programme pour la mise en œuvre des différents procédés objets de l’invention à exécuter par le processeur 501, et diverses données, telles que des paramètres utilisés pour des calculs effectués par le processeur 501, des données intermédiaires de calculs effectués par le processeur 501, etc. Le processeur 501 peut être formé par tout matériel ou logiciel connu et approprié, ou par une combinaison de matériel et de logiciel. Par exemple, le processeur 100 peut être formé par un matériel dédié tel qu'un circuit de traitement, ou par une unité de traitement programmable telle qu'une unité centrale de traitement (Central Processing Unit) qui exécute un programme stocké dans une mémoire de celui-ci.
L'unité de stockage 502 peut être formée par n'importe quel moyen approprié capable de stocker le programme ou les programmes et des données d'une manière lisible par un ordinateur. Des exemples d'unité de stockage 502 comprennent des supports de stockage non transitoires lisibles par ordinateur tels que des dispositifs de mémoire à semi-conducteurs, et des supports d'enregistrement magnétiques, optiques ou magnéto-optiques chargés dans une unité de lecture et d'écriture.
L’interface réseau 504 fournit quant à elle une connexion entre le serveur de certification 12 et un au moins un nœud d’une grappe de nœuds 1 et/ou un équipement 14.
La représente un conteneur 110jd’un nœud de calcul 11id’une grappe de nœuds 1 apte à mettre en œuvre les différents procédés objets de la présente invention.
Un conteneur 110jpeut comprendre au moins un processeur matériel 600, une unité de stockage 601, une interface 602, et au moins une interface de réseau 603 qui sont connectés entre eux au travers d’un bus 604. Bien entendu, les éléments constitutifs du conteneur 110jpeuvent être connectés au moyen d’une connexion autre qu’un bus.
Le processeur 600 commande les opérations du conteneur 110j. L'unité de stockage 601 stocke au moins un programme pour la mise en œuvre des différents procédés objets de l’invention à exécuter par le processeur 600, et diverses données, telles que des paramètres utilisés pour des calculs effectués par le processeur 600, des données intermédiaires de calculs effectués par le processeur 600, etc. Le processeur 600 peut être formé par tout matériel ou logiciel connu et approprié, ou par une combinaison de matériel et de logiciel. Par exemple, le processeur 600 peut être formé par un matériel dédié tel qu'un circuit de traitement, ou par une unité de traitement programmable telle qu'une unité centrale de traitement (Central Processing Unit) qui exécute un programme stocké dans une mémoire de celui-ci.
L'unité de stockage 601 peut être formée par n'importe quel moyen approprié capable de stocker le programme ou les programmes et des données d'une manière lisible par un ordinateur. Des exemples d'unité de stockage 601 comprennent des supports de stockage non transitoires lisibles par ordinateur tels que des dispositifs de mémoire à semi-conducteurs, et des supports d'enregistrement magnétiques, optiques ou magnéto-optiques chargés dans une unité de lecture et d'écriture.
L'interface 602 fournit une interface entre le conteneur 110jet le nœud de calcul 11iauquel il appartient.
L’interface réseau 603 fournit quant à elle une connexion entre le conteneur 110jet le serveur 12 et/ou l’équipement 14.
La représente un équipement 14 apte à mettre en œuvre les différents procédés objets de la présente invention.
Un équipement 14 peut comprendre au moins un processeur matériel 701, une unité de stockage 702, une interface de réseau 703 qui sont connectés entre eux au travers d’un bus 704. Bien entendu, les éléments constitutifs de l’équipement 14 peuvent être connectés au moyen d’une connexion autre qu’un bus.
Le processeur 701 commande les opérations de l’équipement 14. L'unité de stockage 702 stocke au moins un programme pour la mise en œuvre des différents procédés objets de l’invention à exécuter par le processeur 701, et diverses données, telles que des paramètres utilisés pour des calculs effectués par le processeur 701, des données intermédiaires de calculs effectués par le processeur 701, etc. Le processeur 701 peut être formé par tout matériel ou logiciel connu et approprié, ou par une combinaison de matériel et de logiciel. Par exemple, le processeur 701 peut être formé par un matériel dédié tel qu'un circuit de traitement, ou par une unité de traitement programmable telle qu'une unité centrale de traitement (Central Processing Unit) qui exécute un programme stocké dans une mémoire de celui-ci.
L'unité de stockage 702 peut être formée par n'importe quel moyen approprié capable de stocker le programme ou les programmes et des données d'une manière lisible par un ordinateur. Des exemples d'unité de stockage 702 comprennent des supports de stockage non transitoires lisibles par ordinateur tels que des dispositifs de mémoire à semi-conducteurs, et des supports d'enregistrement magnétiques, optiques ou magnéto-optiques chargés dans une unité de lecture et d'écriture.
L’interface réseau 703 fournit quant à elle une connexion entre l’équipement 14 et le serveur de certification 12 et/ou un conteneur 110jd’un nœud de calcul 11id’une grappe de nœuds 1.

Claims (15)

  1. Procédé d’obtention d’un jeton de certification d’une instanciation d’une grappe de nœuds comprenant un nœud maître et au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche, ledit procédé comprenant les étapes suivantes mises en œuvre par ledit nœud maître :
    - établissement d’un premier certificat d’instanciation dudit nœud maître au moyen d’un premier jeu de paramètres de certification requis auprès d’un serveur de certification ;
    - obtention d’au moins un deuxième certificat d’instanciation pour ledit conteneur dudit nœud de calcul, ledit deuxième certificat étant établi par ledit nœud de calcul au moyen d’au moins un deuxième jeu de paramètres de certification requis auprès du serveur de certification ;
    - transmission, à destination dudit serveur de certification, d’une demande de génération dudit jeton de certification d’une instanciation de la grappe de nœud, ladite demande comprenant ledit premier certificat et ledit au moins un deuxième certificat ;
    - réception dudit jeton de certification d’une instanciation de la grappe de nœud généré par le serveur de certification.
  2. Procédé d’obtention d’un jeton de certification selon la revendication 1 dans lequel les jeux de paramètres de certification requis auprès du serveur de certification comprennent au moins une information d’horodatage et un condensé d’un identifiant dudit serveur de certification .
  3. Procédé d’obtention d’un jeton de certification selon la revendication 2 dans lequel, les jeux de paramètres de certification requis comprennent en outre une information de localisation.
  4. Procédé d’obtention d’un jeton de certification selon les revendications 2 ou 3, dans lequel les jeux de paramètres de certification requis sont signés au moyen d’une clé cryptographique privée du serveur de certification.
  5. Procédé d’obtention d’un jeton de certification selon la revendication 1 dans lequel le premier certificat est également établi à partir de données relatives audit nœud maître et appartenant au groupe comprenant :
    - une adresse réseau du nœud maître ;
    - une adresse physique du nœud maître ;
    - au moins un identifiant d’un modèle du matériel constituant le nœud maître ;
    - au moins un identifiant d’au moins un logiciel exécuté par le nœud maître ;
    - un identifiant d’un opérateur orchestrant ladite grappe de nœuds,
    - au moins un identifiant d’au moins une tâche effectuée par au moins un conteneur d’au moins un nœud de calcul de ladite grappe ;
    - un identifiant d’au moins un fournisseur de service pour le compte duquel un conteneur effectue une tâche ;
    - un condensé d’au moins l’une des données ci-dessus.
  6. Procédé d’obtention d’un jeton de certification selon la revendication 1 dans lequel le jeton de certification comprend au moins un condensé du premier certificat et du deuxième certificat horodaté par le serveur de certification.
  7. Procédé d’obtention d’un jeton de certification selon la revendication 6 dans lequel le jeton de certification est signé au moyen de la clé cryptographique privée du serveur de certification.
  8. Procédé d’établissement d’un jeton de certification d’une instanciation d’une grappe de nœuds comprenant un nœud maître et au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche, ledit procédé comprenant les étapes suivantes mises en œuvre par un serveur de certification :
    - transmission d’un premier jeu de paramètres de certification à destination dudit nœud maître ;
    - transmission d’au moins un deuxième jeu de paramètres de certification à destination d’au moins un conteneur dudit nœud de calcul ;
    - réception, en provenance dudit nœud maître, d’une demande de génération dudit jeton de certification d’une instanciation de la grappe de nœud, ladite demande comprenant un premier certificat d’instanciation dudit nœud maître établi au moyen du premier jeu de paramètres de certification et au moins un deuxième certificat d’instanciation dudit conteneur établi au moyen du deuxième jeu de paramètres de certification ;
    - génération dudit jeton de certification d’une instanciation de la grappe de nœud au moyen dudit premier certificat et dudit au moins un deuxième certificat ;
    - transmission dudit jeton de certification d’une instanciation de la grappe de nœud à destination dudit nœud maître.
  9. Procédé d’établissement d’un certificat d’une instanciation d’au moins un conteneur destiné à exécuter au moins une tâche, ledit conteneur appartenant à un nœud de calcul d’une grappe de nœuds comprenant un nœud maître et une pluralité de nœuds de calcul, ledit procédé comprenant les étapes suivantes mises en œuvre par ledit conteneur :
    - établissement d’un certificat d’instanciation dudit conteneur au moyen d’un jeu de paramètres de certification requis auprès d’un serveur de certification ;
    - transmission, à destination dudit nœud maître, dudit certificat.
  10. Procédé de vérification de l’authenticité d’un jeton de certification d’une instanciation d’une grappe de nœuds comprenant un nœud maître et au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche, ledit procédé comprenant les étapes suivantes mises en œuvre par un équipement souhaitant accéder à un service mis en œuvre par ladite grappe de nœuds :
    - émission, à destination dudit nœud maître, d’une demande d’établissement d’une session avec ladite grappe de nœuds,
    - réception d’un message de signalisation relatif à l’établissement de ladite session comprenant en outre ledit jeton de certification établi par un serveur de certification au moyen d’un un premier certificat d’instanciation dudit nœud maître établi au moyen d’un premier jeu de paramètres de certification requis auprès du serveur de certification et au moins un deuxième certificat d’instanciation dudit conteneur établi au moyen d’un deuxième jeu de paramètres de certification requis auprès du serveur de certification ;
    - une étape de vérification de l’authenticité dudit jeton de certification auprès dudit serveur de certification.
  11. Nœud maître d’une grappe de nœuds comprenant également au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche, ledit nœud maître comprenant au moins processeur configuré pour :
    - établir un premier certificat d’instanciation dudit nœud maître au moyen d’un premier jeu de paramètres de certification requis auprès d’un serveur de certification ;
    - obtenir au moins un deuxième certificat d’instanciation pour ledit conteneur dudit nœud de calcul, ledit deuxième certificat étant établi par ledit nœud de calcul au moyen d’au moins un deuxième jeu de paramètres de certification requis auprès du serveur de certification ;
    - transmettre, à destination dudit serveur de certification, une demande de génération dudit jeton de certification d’une instanciation de la grappe de nœud, ladite demande comprenant ledit premier certificat et ledit au moins un deuxième certificat ;
    - recevoir ledit jeton de certification d’une instanciation de la grappe de nœud généré par le serveur de certification.
  12. Serveur de certification capable d’établir un jeton de certification d’une instanciation d’une grappe de nœuds comprenant un nœud maître et au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche, ledit serveur de certification comprenant au moins un processeur configuré pour :
    - transmettre un premier jeu de paramètres de certification à destination dudit nœud maître ;
    - transmettre au moins un deuxième jeu de paramètres de certification à destination d’au moins un conteneur dudit nœud de calcul ;
    - recevoir, en provenance dudit nœud maître, une demande de génération dudit jeton de certification d’une instanciation de la grappe de nœud, ladite demande comprenant un premier certificat d’instanciation dudit nœud maître établi au moyen du premier jeu de paramètres de certification et au moins un deuxième certificat d’instanciation dudit conteneur établi au moyen du deuxième jeu de paramètres de certification ;
    - générer ledit jeton de certification d’une instanciation de la grappe de nœud au moyen dudit premier certificat et dudit au moins un deuxième certificat ;
    - transmettre ledit jeton de certification d’une instanciation de la grappe de nœud à destination dudit nœud maître.
  13. Conteneur appartenant à un nœud de calcul d’une grappe de nœuds comprenant un nœud maître et une pluralité de nœuds de calcul, ledit conteneur comprenant au moins un processeur configuré pour :
    - établir un certificat d’instanciation dudit conteneur au moyen d’un jeu de paramètres de certification requis auprès d’un serveur de certification ;
    - transmettre, à destination dudit nœud maître, ledit certificat.
  14. Équipement souhaitant accéder à un service mis en œuvre par une grappe de nœuds comprenant un nœud maître et au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche, ledit équipement comprenant au moins un processeur configuré pour :
    - émettre, à destination dudit nœud maître, une demande d’établissement d’une session avec ladite grappe de nœuds,
    - recevoir un message de signalisation relatif à l’établissement de ladite session comprenant en outre ledit jeton de certification établi par un serveur de certification au moyen d’un un premier certificat d’instanciation dudit nœud maître établi au moyen d’un premier jeu de paramètres de certification requis auprès du serveur de certification et au moins un deuxième certificat d’instanciation dudit conteneur établi au moyen d’un deuxième jeu de paramètres de certification requis auprès du serveur de certification ;
    - vérifier l’authenticité dudit jeton de certification auprès dudit serveur de certification.
  15. Système comprenant au moins une grappe de nœuds comprenant un nœud maître et au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche, au moins un serveur de certification et au moins un équipement souhaitant accéder à un service mis en œuvre par ladite grappe de nœuds, dans lequel :
    - ledit serveur de certification est configuré pour transmettre un premier jeu de paramètres de certification à destination dudit nœud maître
    - ledit nœud maître est configuré pour établir un premier certificat d’instanciation dudit nœud maître au moyen du premier jeu de paramètres de certification ;
    - ledit serveur de certification est configuré pour transmettre au moins un deuxième jeu de paramètres de certification à destination d’au moins un conteneur dudit nœud de calcul ;
    - ledit nœud maître est configuré pour obtenir au moins un deuxième certificat d’instanciation pour ledit conteneur dudit nœud de calcul, ledit deuxième certificat étant établi par ledit nœud de calcul au moyen du deuxième jeu de paramètres de certification ;
    - ledit nœud maître est configuré pour transmettre, à destination dudit serveur de certification, une demande de génération d’un jeton de certification d’une instanciation de la grappe de nœud, ladite demande comprenant ledit premier certificat et ledit deuxième certificat ;
    - ledit serveur de certification est configuré générer ledit jeton de certification d’une instanciation de la grappe de nœud au moyen dudit premier certificat et dudit au moins un deuxième certificat ;
    - ledit serveur de certification est configuré transmettre ledit jeton de certification d’une instanciation de la grappe de nœud à destination dudit nœud maître ;
    - ledit équipement est configuré pour émettre, à destination dudit nœud maître, une demande d’établissement d’une session avec ladite grappe de nœuds,
    - ledit nœud maître est configuré pour émettre à destination de l’équipement un message de signalisation relatif à l’établissement de ladite session comprenant en outre ledit jeton de certification ;
    - à réception dudit jeton de certification, l’équipement est configuré pour vérifier l’authenticité dudit jeton de certification auprès dudit serveur de certification.
FR2111257A 2021-10-22 2021-10-22 Procédé d’établissement d’un jeton de certification d’une instanciation d’une grappe de nœuds. Pending FR3128603A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR2111257A FR3128603A1 (fr) 2021-10-22 2021-10-22 Procédé d’établissement d’un jeton de certification d’une instanciation d’une grappe de nœuds.
PCT/EP2022/078150 WO2023066708A1 (fr) 2021-10-22 2022-10-10 Procédé d'établissement d'un jeton de certification d'une instanciation d'une grappe de nœuds

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2111257 2021-10-22
FR2111257A FR3128603A1 (fr) 2021-10-22 2021-10-22 Procédé d’établissement d’un jeton de certification d’une instanciation d’une grappe de nœuds.

Publications (1)

Publication Number Publication Date
FR3128603A1 true FR3128603A1 (fr) 2023-04-28

Family

ID=80447906

Family Applications (1)

Application Number Title Priority Date Filing Date
FR2111257A Pending FR3128603A1 (fr) 2021-10-22 2021-10-22 Procédé d’établissement d’un jeton de certification d’une instanciation d’une grappe de nœuds.

Country Status (2)

Country Link
FR (1) FR3128603A1 (fr)
WO (1) WO2023066708A1 (fr)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200175157A1 (en) * 2018-12-03 2020-06-04 Salesforce.Com, Inc. Security engine for automated operations management

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200175157A1 (en) * 2018-12-03 2020-06-04 Salesforce.Com, Inc. Security engine for automated operations management

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ANONYMOUS: "Google Cloud Security Whitepapers Google Cloud Infrastructure Security Design Overview", 31 March 2018 (2018-03-31), XP055776854, Retrieved from the Internet <URL:https://services.google.com/fh/files/misc/security_whitepapers_march2018.pdf> [retrieved on 20210216] *
D'SILVA DANIEL ET AL: "Building A Zero Trust Architecture Using Kubernetes", 2021 6TH INTERNATIONAL CONFERENCE FOR CONVERGENCE IN TECHNOLOGY (I2CT), IEEE, 2 April 2021 (2021-04-02), pages 1 - 8, XP033912137, DOI: 10.1109/I2CT51068.2021.9418203 *

Also Published As

Publication number Publication date
WO2023066708A1 (fr) 2023-04-27

Similar Documents

Publication Publication Date Title
WO2009130089A1 (fr) Procede de diffusion securisee de donnees numeriques vers un tiers autorise
WO2019233951A1 (fr) Une application logicielle et un serveur informatique pour authentifier l&#39;identité d&#39;un créateur de contenu numérique et l&#39;intégrité du contenu du créateur publié
EP2301187A1 (fr) Terminal d&#39;authentification forte d&#39;un utilisateur
EP3891959A1 (fr) Passerelle pour communiquer par réseau radio avec au moins un noeud et par un réseau filaire, par le biais d&#39;une blockchain
WO2020115002A1 (fr) Dispositif pour communiquer dans un reseau de passerelles heterogenes par reseau radio avec au moins un nœud et par un reseau longue distance, avec au moins un destinataire
EP3568966B1 (fr) Procédés et dispositifs de délégation de diffusion de contenus chiffrés
EP3568989A1 (fr) Procédés et dispositifs de vérification de la validité d&#39;une délégation de diffusion de contenus chiffrés
Nwebonyi et al. Reputation-based security system for edge computing
FR3128603A1 (fr) Procédé d’établissement d’un jeton de certification d’une instanciation d’une grappe de nœuds.
EP2446360B1 (fr) Technique de determination d&#39;une chaine de fonctions elementaires associee a un service
EP4193569A1 (fr) Procede de traitement d&#39;un service de transport de donnees
FR3125191A1 (fr) Procédé d’établissement authentifié d’une connexion entre un équipement raccordé à au moins un réseau de communication et un serveur d’un fournisseur de services et dispositifs correspondants.
FR3103591A1 (fr) Procédé sécurisé d’échange de données entre un terminal et un serveur
FR3105678A1 (fr) Procédé de résolution d’identifiants de nommage
FR3137238A1 (fr) Procédé de suspension d’un jeton de certification permettant d’authentifier l’établissement d’une connexion entre deux équipements de communication, dispositifs et programmes d’ordinateur correspondants
FR3108816A1 (fr) Procédé de délégation d’une fonction de résolution d’identifiants de nommage
FR2900523A1 (fr) Identification de noeuds dans un reseau
WO2023203291A1 (fr) Procedes, terminal et serveur de gestion de donnees personnelles
FR3110801A1 (fr) Procédé de délégation de la livraison de contenus à un serveur cache
FR3135584A1 (fr) Procédé, dispositif et système d’élaboration dynamique d’une infrastructure de données
FR3135543A1 (fr) Procédé, dispositif et système de certification d’une ressource
FR3108818A1 (fr) Procédé et dispositif d’authentification d’un utilisateur auprès d’une application.
WO2017089710A1 (fr) Procédé de distribution de droits sur un service et plateforme de service
EP3110109A1 (fr) Procédé et dispositif de mise à jour des capacités d&#39;un objet connecté à un réseau de communications
CA2977899A1 (fr) Transfert securise d&#39;information d&#39;authentification

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20230428

PLFP Fee payment

Year of fee payment: 3