WO2023066708A1 - Procédé d'établissement d'un jeton de certification d'une instanciation d'une grappe de nœuds - Google Patents

Procédé d'établissement d'un jeton de certification d'une instanciation d'une grappe de nœuds Download PDF

Info

Publication number
WO2023066708A1
WO2023066708A1 PCT/EP2022/078150 EP2022078150W WO2023066708A1 WO 2023066708 A1 WO2023066708 A1 WO 2023066708A1 EP 2022078150 W EP2022078150 W EP 2022078150W WO 2023066708 A1 WO2023066708 A1 WO 2023066708A1
Authority
WO
WIPO (PCT)
Prior art keywords
certification
certificate
instantiation
master node
cluster
Prior art date
Application number
PCT/EP2022/078150
Other languages
English (en)
Inventor
Gaël FROMENTOUX
Frédéric FRIEAU
Emilie STEPHAN
Original Assignee
Orange
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange filed Critical Orange
Priority to EP22800662.3A priority Critical patent/EP4420297A1/fr
Publication of WO2023066708A1 publication Critical patent/WO2023066708A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos

Definitions

  • TITLE Process for establishing a certification token for an instantiation of a cluster of nodes.
  • the field of the invention is that of establishing and supplying a certificate establishing a chain of compliance with certain prerequisites of the equipment involved in the supply of a service.
  • the invention relates to a solution making it possible to provide a certificate for instantiating a cluster of nodes deployed in a computing environment at the edge or “edge computing”.
  • edge computing or computing at the edge of the network and consists of processing data at the edge of the network as close as possible to the source of the data.
  • Edge computing thus makes it possible to minimize bandwidth requirements between equipment, such as sensors, and data processing centers by undertaking analyzes as close as possible to data sources. This approach requires the mobilization of resources that may not be permanently connected to a network, such as laptops, smartphones, tablets or sensors. Edge computing also has a prominent place in content ingestion and delivery solutions. In this regard, many architectures of content delivery networks or CDN (Content Delivery Network) are based on architectures of the “edge computing” type.
  • CDN Content Delivery Network
  • a known implementation of such an “edge computing” type architecture is an architecture known under the name Kubernetes.
  • the [Fig. 1] represents in a simplified manner the architecture of a cluster of nodes 1 conforming to the Kubernetes architecture.
  • the cluster of nodes 1 comprises a first node 10 called the master node, or “Kubernetes master”, and N computing nodes, or “worker nodes”, lli, ie ⁇ 1, N being a natural number.
  • the master node 10 comprises a controller 101, an API module (Application Programming Interface or application programming interface) 102 and a so-called ETCD database 103 which consists of a dynamic register for configuring the calculation nodes lli.
  • a compute node lli comprises M containers or “pods” 110j, i ⁇ 1, M being a natural number.
  • Each HOj container is endowed with resources allowing the execution of one or more tasks.
  • a task when executed contributes to the implementation of a network service or function, such as a Dynamic Host Configuration Protocol (DHCP) function for example.
  • DHCP Dynamic Host Configuration Protocol
  • edge computing architectures are most often multi-site architectures in which the nodes making up clusters of nodes can be non-co-located.
  • a master node 10 and two calculation nodes 111, 112 of a cluster of nodes 1 are located on a site A while three other calculation nodes 113, 114, 115 are located on a remote site B.
  • the https protocol allows a visitor's equipment, such as a personal computer, to verify the identity of an Internet site to which the visitor wishes to access from his equipment.
  • the equipment accesses, thanks to a public authentication certificate of the X509 type issued by a third-party authority, reputed to be reliable, to a server providing a service.
  • a public authentication certificate of the X509 type issued by a third-party authority, reputed to be reliable.
  • Such a certificate guarantees the confidentiality and integrity of the data transmitted by the visitor via his equipment to the server providing a service.
  • the invention meets this need by proposing a system comprising at least one cluster of nodes comprising a master node and at least one computing node comprising at least one container intended to execute at least one task, at least one certification server and at least one least one device wishing to access a service implemented by said cluster of nodes.
  • Such a system is particular in that:
  • said certification server is configured to transmit a first set of certification parameters to said master node
  • said certification server is configured to transmit at least a second set of certification parameters to at least one container of said computing node;
  • said master node is configured to obtain at least a second instantiation certificate for said container of said computing node, said second certificate being established by said computing node by means of the second set of certification parameters;
  • Said master node is configured to transmit, to said certification server, a request for generation of a certification token of an instantiation of the node cluster, said request comprising said first certificate and said second certificate;
  • said certification server is configured to generate said certification token of an instantiation of the node cluster by means of said first certificate and said at least one second certificate;
  • - Said certification server is configured to transmit said certification token of an instantiation of the node cluster to said master node;
  • said equipment is configured to send, to said master node, a request to establish a session with said cluster of nodes,
  • Said master node is configured to transmit to the equipment a signaling message relating to the establishment of said session further comprising said certification token;
  • the equipment Upon receipt of said certification token, the equipment is configured to verify the authenticity of said certification token with said certification server.
  • the solution that is the subject of the invention makes it possible to establish, and therefore to be able to provide on request, a certificate for instantiating a cluster of nodes contributing to implementing a service.
  • Such a certificate makes it possible to guarantee that the different equipment and the different actors involved in the execution and supply of a given service comply with the terms of a service supply contract as well as the required technical specifications.
  • the system includes a certification server reputed to be reliable, because it is endorsed by a third-party authority, whose function is to contribute to the reinstatement of certificates for nodes of a cluster of nodes.
  • the certification server When each node concerned has established its certificate by means, among other things, of certification parameters provided by the certification server, the latter generates a certification token grouping together all the certificates generated by the various nodes of the cluster of nodes as well as other information about the service run by the cluster of nodes.
  • the certification server can communicate directly with the containers without intervention from the master node.
  • the certification server transmits the second set of certification parameters to the master node which in turn transmits it to the container concerned.
  • Such a certification token may be required by any equipment wishing to access the service executed by the cluster of nodes in question in order to verify the conformity of the instantiation under the terms of the service contract, for example.
  • the master node of said cluster of nodes implements a method for obtaining the certification token comprising the following steps:
  • the master node establishes its own certificate by means of certification parameters provided by the certification server and collects the various certificates established for the various containers concerned. Indeed, depending on the service for which the certification token is required, only certain containers executing tasks relating to the execution of this service are called upon to provide an instantiation certificate.
  • the sets of certification parameters required from the certification server include at least a timestamp information and a digest of an identifier of said certification server.
  • the time-stamping information makes it possible to limit the risk of fraud because it makes it possible to define a period of validity for the set of certification parameters.
  • the digest, or "hash" in English, of an identifier of the certification server makes it possible to check the integrity of the set of certification parameters, thus the node using these certification parameters when establishing its certificate is certain of their origin and the values of these parameters, which contributes to forging a solid certificate.
  • the required certification parameter sets further include location information.
  • GPS Global Positioning System
  • a network identifier such as an IP address mask, an identifier of a city (e.g. Lannion), of a region (e.g. Brittany) or a geographical area (e.g. Europe),
  • topo-location information such as a location in an architecture of a communication network, an identifier of a network domain to which the cluster of nodes is attached, an identifier of an organization which is in charge of the network (e.g. a telecommunications operator, a CDN infrastructure provider, a customer of an operator; etc.),
  • the location information relates to the certification server which is co-located with the cluster of nodes.
  • the location information being provided by a reliable entity, i.e. the certification server, the user has the guarantee that all the data provided processed within the framework of the execution of a given service are processed by equipment located in a given territory.
  • the sets of required certification parameters are signed by means of a private cryptographic key of the certification server.
  • a certificate is also established from data relating to said master node and belonging to the group comprising:
  • Such a certificate includes information relating to the instantiation of the node both structurally, i.e. geographical location, network address, information relating to the hardware used (reference of a memory model, processor, etc.), and on the administrative level, i.e. identity of the orchestrator, of a service provider, etc. so much information that makes it possible to trace a chain of responsibility between all the entities involved in the provision of the required service.
  • the certification token comprises at least a digest of the first certificate and of the second certificate timestamped by the certification server.
  • the certification token can also be signed using the private cryptographic key of the certification server.
  • the invention also comes in the form of a method for establishing a certification token of an instantiation of a cluster of nodes comprising a master node and at least one computing node comprising at least one container intended to perform at least one task.
  • Such a method is particular in that it includes the following steps implemented by a certification server:
  • the certification server can communicate directly with the containers without intervention from the master node.
  • the invention also relates to a method for establishing a certificate for an instantiation of at least one container intended to execute at least one task, said container belonging to a computing node of a cluster of nodes comprising a master node and a plurality of compute nodes.
  • Such a method is particular in that it comprises the following steps implemented by said container:
  • the invention also relates to a method for verifying the authenticity of a certification token of an instantiation of a cluster of nodes comprising a master node and at least one computing node comprising at least one container intended to execute at least a spot.
  • the invention also relates to a certification server capable of establishing a certification token for an instantiation of a cluster of nodes comprising a master node and at least one computing node comprising at least one container intended to execute at least a task, said certification server comprising at least one processor configured to:
  • the certification server can communicate directly with the containers without intervention from the master node.
  • the certification server transmits the second set of certification parameters to the master node which in turn transmits it to the container concerned.
  • Another object of the invention is a container belonging to a computing node of a cluster of nodes comprising a master node and a plurality of computing nodes, said container comprising at least one processor configured for:
  • a final object of the invention covers equipment wishing to access a service implemented by a cluster of nodes comprising a master node and at least one computing node comprising at least one container intended to execute at least one task, said equipment comprising at least one processor configured for:
  • the invention finally relates to computer program products comprising program code instructions for implementing the methods as described previously, when they are executed by a processor.
  • the invention also relates to a recording medium readable by a computer on which are recorded computer programs comprising program code instructions for the execution of the steps of the methods according to the invention as described above.
  • Such a recording medium can be any entity or device capable of storing programs.
  • the medium may comprise a storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or else a magnetic recording means, for example a USB key or a hard disk.
  • such a recording medium can be a transmissible medium such as an electrical or optical signal, which can be conveyed via an electrical or optical cable, by radio or by other means, so that the programs computers it contains are executable remotely.
  • the programs according to the invention can in particular be downloaded from a network, for example the Internet network.
  • the recording medium may be an integrated circuit in which the programs are incorporated, the circuit being suitable for executing or for being used in the execution of the aforementioned methods which are objects of the invention.
  • FIG. 3 this figure represents a diagram of the various steps implemented during the execution of the methods which are the subject of the invention.
  • FIG. 4 this figure represents a master node of a cluster of nodes capable of implementing the various methods which are the subject of the present invention
  • FIG. 5 this figure represents a certification server capable of implementing the various methods which are the subject of the present invention
  • FIG. 7 this figure represents equipment capable of implementing the various methods which are the subject of the present invention.
  • the general principle of the invention is based on the establishment of a certification token for an instantiation of at least one cluster of nodes deployed in a computing environment at the edge or “edge computing” which makes it possible to guarantee that the various stakeholders involved in providing the required service have instantiated all the nodes and/or servers in accordance with technical and/or contractual constraints relating to the required service.
  • the invention introduces a certification server reputed to be reliable, because endorsed by a third-party authority, whose function is to contribute to the establishment of certificates for nodes of the cluster of nodes.
  • a certification server deemed to be reliable, because endorsed by a third-party authority, whose function is to contribute to the establishment of certificates for nodes of the cluster of nodes.
  • the certification server When each node concerned has established its certificate by means, among other things, of certification parameters provided by the certification server, the latter generates a certification token grouping together all the certificates generated by the various nodes of the cluster of nodes as well as other information about the service run by the cluster of nodes.
  • Such a certification token may be required by any equipment wishing to access the service executed by the cluster of nodes in question in order to verify the conformity of the instantiation under the terms of the service contract, for example.
  • Such a system comprises at least one cluster of nodes 1 conforming to the Kubernetes architecture.
  • the cluster of nodes 1 comprises a first node 10 called the master node and N calculation nodes Hi, ie N being a natural number.
  • a compute node lli comprises M containers or “pods” 110j, i ⁇ 1, M being a natural number.
  • Each HOj container is endowed with resources allowing the execution of one or more tasks.
  • a task when executed contributes to the implementation of a network service or function, such as a Dynamic Host Configuration Protocol (DHCP) function for example.
  • DHCP Dynamic Host Configuration Protocol
  • the system also includes a certification server 12.
  • a certification server 12 is a reliable entity capable of issuing certificates.
  • a third-party authority recognized as reliable and honest verifies and then guarantees the reliability of such a certification server 12 which then becomes a trusted entity.
  • the certification server 12 is co-located with the cluster of nodes 1. In another example, the certification server 12 is located on a site remote from that hosting the cluster of nodes 1.
  • the system also includes other entities such as nodes 13 managed by a telecommunications operator or a service provider.
  • the system comprises at least one piece of equipment 14 such as a mobile terminal, a server or even virtualized equipment.
  • a node 13 belonging for example to a telecommunications operator sends a request for establishment DI of a TokC certification token of at least one cluster of nodes 1.
  • a cluster of nodes 1 can or not be orchestrated by the telecommunications operator.
  • Such a DI establishment request is transmitted to the master node 10 of said cluster of nodes 1.
  • Such a DI establishment request includes an identifier of said node 13.
  • the master node 10 On receipt of this establishment request D1, the master node 10 sends a request RI to obtain a set of certification parameters ParamC1 from the certification server 12 during a step E2.
  • a request RI comprises an identifier of the master node or a digest thereof.
  • the certification server 12 In response to the request RI, the certification server 12 generates, in a step E3, the set of certification parameters ParamCl.
  • Such a set of ParamCl certification parameters comprises at least a timestamp information item and a summary of an identifier of the certification server.
  • such a set of ParamCl certification parameters can also include location information.
  • Location information covers, for example:
  • GPS Global Positioning System
  • a network identifier such as an IP address mask, an identifier of a city (e.g. Lannion), of a region (e.g. Brittany) or a geographical area (e.g. Europe),
  • topo-location information such as a location in an architecture of a communication network, an identifier of a network domain to which the cluster of nodes is attached,
  • an identifier of an organization responsible for the network e.g. a telecommunications operator, a CDN infrastructure provider, a customer of an operator, etc.
  • the certification server 12 is co-located with the cluster of nodes 1,
  • the set of configuration parameters ParamCl can be signed by means of a private cryptographic key from the certification server 12.
  • the master node 10 is in possession of a public cryptographic key from the certification server 12 corresponding to the private cryptographic key.
  • a public cryptographic key from the certification server 12 can be provided to the master node 10 when establishing a communication session with the certification server 12.
  • the master node 10 Upon receipt of the set of configuration parameters ParamCl, the master node 10 establishes its instantiation certificate CIO during a step E4.
  • a certificate CIO is established by means of the set of certification parameters ParamCl but also of data relating to the master node and to the cluster of nodes 1 for which it is responsible.
  • data belongs to the group comprising:
  • the CIO certificate established by the master node 10 reflects a chain of responsibility between all the entities involved in the provision of the required service.
  • the master node 10 requests the various containers C10j concerned to establish their own certificate C110j during a step E5.
  • the master node 10 provides, via the lli calculation node which hosts them, information enabling the llOj containers to establish a direct connection with the certification server 12.
  • the master node 10 can provide the computing nodes lli concerned with information allowing them to establish a connection with another more appropriate certification server, such as for example a server certification located on the same site or a certification server operated in the same domain, etc.
  • Each container concerned 110j then sends a request R2 to the certification server 12 to obtain a set of certification parameters ParamC2j during a step E6.
  • a request R2j includes an identifier of the master node or a digest thereof.
  • the master node 10 sends the request R2 to the certification server 12 to obtain a set of certification parameters ParamC2j on behalf of the container 110j.
  • the certification server 12 In response to a request R2j, the certification server 12 generates, in a step E7, a set of certification parameters ParamC2j.
  • a set of ParamC2j certification parameters comprises at least a timestamp information and a summary of the identifier of the certification server.
  • such a set of ParamC2j certification parameters can also include location information.
  • the set of certification parameters ParamC2j is either directly transmitted to the container llOj or it is relayed by the master node 10.
  • the set of configuration parameters ParamC2j can be signed by means of a private cryptographic key of the certification server 12.
  • the container HOj is in possession of the public cryptographic key of the certification server 12 corresponding to the private cryptographic key.
  • a public cryptographic key of the certification server 12 can be provided to the computing node lli by the master node 10 during the configuration of the cluster of nodes 1. It can also be directly provided to the container HOj by the master node during step E5.
  • the container HOj Upon receipt of the set of configuration parameters ParamC2j, the container HOj establishes its instantiation certificate CllOj during a step E8.
  • Such a certificate CllOj is established by means of the set of certification parameters ParamC2j but also of data relating to the computing node 11 hosting the container HOj and to the container HOj.
  • data belongs to the group comprising:
  • the master node 10 collects all the certificates C110j established by the containers 110j having received a request R2. Once this collection has been carried out, the master node 10 generates a request for generation DG of said TokC certification token.
  • a DG request includes the CIO certificate and all the CllOj certificates collected.
  • the DG build request includes a digest of the CIO and CllOj certificates.
  • the generation request DG of said TokC certification token is transmitted to the certification server 12 on which the master node 10 depends in a step E10.
  • the certification server 12 Upon receipt of the request DG, the certification server 12 generates the certification token TokC in a step Eli from the certificates CIO and CllOj received.
  • the certification server 12 can concatenate all of the CIO and CllOj certificates received and then timestamp the character string thus obtained.
  • the certification server 12 can also sign the constituent data of the TokC certification token by means of its private cryptographic key.
  • the certification server 12 transmits the TokC certification token thus generated to the master node 10.
  • the TokC certification token thus generated can, depending on the needs or requests made by certain stakeholders participating in the provision of a service, be consulted and its authenticity verified. Indeed, by way of example, a supplier of a data storage service wants to be able to guarantee its users that their data is stored in servers located in a given geographical area. In such a case, before offering its service for sale, or even regularly during the provision of the service, the service provider can ensure that the servers are indeed located in the geographical area of interest by means of the TokC certification token. Of course, other characteristics or technical and/or logistical constraints can be verified in the same way using the TokC certification token. In the same way, we can check that the most recent version of software is running, that the right type of RAM is used, or that a cluster of nodes is orchestrated by the right telecommunications operator, etc.
  • a device 14 of a participant participating in the provision of a service transmits, during a step E13, a request to establish hello of a communication session with a container HOj executing a task relating to the service provided .
  • a hello setup request is either directly transmitted to the container HOj or it is relayed to the container HOj by the master node 10.
  • the certification token TokC In order to establish a communication session is the certification token TokC.
  • the container HOj also transmits an identifier of a certification server 12, such as an IPv4 or IPv6 type network address, with which the authenticity of the TokC certification token can be checked.
  • a certification server 12 such as an IPv4 or IPv6 type network address
  • the certification server 12 transmits to the equipment 14 a message MSG comprising its public cryptographic key as well as its own certificate, in a step E15.
  • the equipment 14 Upon receipt of the message MSG, the equipment 14 has the certificate of the certification server 12 which allows it to ensure the reliability of the latter and consequently the reliability of the certificates that it has validated and the tokens of certification that it has established.
  • the equipment 14 can also decrypt the TokC certification token by means of the public cryptographic key that it has received and thus access the CIO and CllOj certificates and thus ensure that the service instantiation conditions that have been required are complied with in a step E17.
  • the [fig. 4] represents a master node 10 of a cluster of nodes 1 capable of implementing the various methods which are the subject of the present invention.
  • a master node 10 can include at least one hardware processor 100, one storage unit 105, one interface 106, and at least one network interface 107 which are connected together through a bus 108 in addition to the API module 102, of the controller 101, of the database 103 and of the synchronization module(s) 104.
  • the constituent elements of the master node 10 can be connected by means of a connection other than a bus.
  • the processor 100 controls the operations of the master node 10.
  • the storage unit 105 stores at least one program for the implementation of the various methods which are objects of the invention to be executed by the processor 100, and various data, such as parameters used for calculations performed by the processor 100, intermediate data of calculations performed by the processor 100, etc.
  • Processor 100 may be any known and suitable hardware or software, or a combination of hardware and software.
  • the processor 100 can be formed by dedicated hardware such as a processing circuit, or by a programmable processing unit such as a Central Processing Unit which executes a program stored in a memory of this one.
  • Storage unit 105 may be formed by any suitable means capable of storing the program or programs and data in a human readable manner. computer. Examples of storage unit 105 include non-transitory computer-readable storage media such as semiconductor memory devices, and magnetic, optical, or magneto-optical recording media loaded into a read-and-write unit. 'writing.
  • Interface 106 provides an interface between master node 10 and at least one compute node 111 belonging to the same cluster of nodes as master node 10.
  • the network interface 107 provides a connection between the master node 10 and the server 12 and/or the equipment 14.
  • a certification server 12 can comprise at least one hardware processor 501, one storage unit 502, and at least one network interface 503 which are connected together through a bus 504.
  • the constituent elements of the certification server certification 12 can be connected by means of a connection other than a bus.
  • the processor 501 controls the operations of the certification server 12.
  • the storage unit 502 stores at least one program for the implementation of the various methods which are the subject of the invention to be executed by the processor 501, and various data, such as parameters used for calculations performed by the processor 501, intermediate data of calculations performed by the processor 501, etc.
  • Processor 501 may be any known and suitable hardware or software, or a combination of hardware and software.
  • the processor 100 can be formed by dedicated hardware such as a processing circuit, or by a programmable processing unit such as a Central Processing Unit which executes a program stored in a memory of this one.
  • Storage unit 502 may be formed by any suitable means capable of storing the program or programs and data in a computer readable manner. Examples of storage unit 502 include non-transitory computer-readable storage media such as semiconductor memory devices, and magnetic, optical, or magneto-optical recording media loaded in a read and write unit. 'writing.
  • Network interface 504 provides a connection between certification server 12 and at least one node of a cluster of nodes 1 and/or equipment 14.
  • the [Fig. 6] represents a container 110j of a computing node lli of a cluster of nodes 1 capable of implementing the various methods which are the subject of the present invention.
  • a 110j container can comprise at least one hardware processor 600, one storage unit 601, one interface 602, and at least one network interface 603 which are connected to each other through a bus 604.
  • the constituent elements of the container llOj can be connected by means of a connection other than a bus.
  • the processor 600 controls the operations of the container 110j.
  • the storage unit 601 stores at least one program for the implementation of the various methods which are the subject of the invention to be executed by the processor 600, and various data, such as parameters used for calculations performed by the processor 600, intermediate data of calculations carried out by the processor 600, etc.
  • Processor 600 may be formed by any known and suitable hardware or software, or by a combination of hardware and software.
  • the processor 600 can be formed by dedicated hardware such as a processing circuit, or by a programmable processing unit such as a Central Processing Unit which executes a program stored in a memory of this one.
  • Storage unit 601 may be formed by any suitable means capable of storing the program or programs and data in a computer readable manner. Examples of storage unit 601 include non-transitory computer-readable storage media such as semiconductor memory devices, and magnetic, optical, or magneto-optical recording media loaded into a read-and-write unit. 'writing.
  • the interface 602 provides an interface between the container 110j and the computing node 111 to which it belongs.
  • the network interface 603 provides a connection between the container 110j and the server 12 and/or the equipment 14.
  • FIG-7 represents equipment 14 capable of implementing the various methods which are the subject of the present invention.
  • a piece of equipment 14 can comprise at least one hardware processor 701, a storage unit 702, a network interface 703 which are connected to each other through a bus 704. Of course, the constituent elements of the piece of equipment 14 can be connected by means of a connection other than a bus.
  • the processor 701 controls the operations of the equipment 14.
  • the storage unit 702 stores at least one program for the implementation of the various methods which are the subject of the invention to be executed by the processor 701, and various data, such as parameters used for calculations performed by the processor 701, intermediate data of calculations performed by the processor 701, etc.
  • Processor 701 may be formed by any known and suitable hardware or software, or by a combination of hardware and software.
  • the processor 701 can be formed by dedicated hardware such as a processing circuit, or by a programmable processing unit such as a Central Processing Unit which executes a program stored in a memory of this one.
  • Storage unit 702 may be formed by any suitable means capable of storing the program or programs and data in a computer readable manner. Examples of storage unit 702 include non-transitory computer-readable storage media such as semiconductor memory devices, and magnetic, optical, or magneto-optical recording media loaded in a read-and-write unit. 'writing.
  • the network interface 703 provides a connection between the equipment 14 and the certification server 12 and/or a container HOj of a computing node lli of a cluster of nodes 1.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Stored Programmes (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

L'invention concerne une solution permettant de fournir un jeton de certification d'une instanciation d'une grappe de nœuds à un équipement le requérant dans un environnement de type « edge computing ». Les solutions d'authentification existantes, ne sont pas bien adaptées au contexte du « edge computing » car ne permet pas de garantir que les différents intervenants impliqués dans la fourniture du service requis ont instancié l'ensemble des nœuds et/ou des serveurs conformément à des contraintes techniques et/ou contractuelles relatives au service requis. La solution objet de la présente invention permet d'établir, et donc de pouvoir fournir sur requête, un certificat d'instanciation d'une grappe de nœuds contribuant à mettre en œuvre un service. Un tel certificat permet de garantir que les différents équipements et les différents acteurs impliqués dans l'exécution et la fourniture d'un service donné respectent les termes d'un contrat de fourniture de service.

Description

Description
TITRE : Procédé d'établissement d'un jeton de certification d'une instanciation d'une grappe de nœuds.
Domaine de l'invention
Le domaine de l'invention est celui de l'établissement et de la fourniture d'un certificat établissant une chaine de conformité à certains prérequis des équipements impliqués dans la fourniture d'un service.
Plus précisément, l'invention concerne une solution permettant de fournir un certificat d'instanciation d'une grappe de nœuds déployée dans un environnement d'informatique en périphérie ou « edge computing ».
Art antérieur et ses inconvénients
Une nouvelle étape du développement du « cloud computing », ou informatique en nuage, a vu le jour ces dernières années. Ce nouveau développement est nommé « edge computing » ou informatique en périphérie de réseau et consiste à traiter les données à la périphérie du réseau au plus près de la source des données.
L'« edge computing » permet ainsi de minimiser les besoins en bande passante entre des équipements, tels que des capteurs, et les centres de traitement des données en entreprenant les analyses au plus près des sources de données. Cette approche nécessite la mobilisation de ressources qui peuvent ne pas être connectées en permanence à un réseau, tels que des ordinateurs portables, des smartphones, des tablettes ou des capteurs. L'« edge computing » a aussi une place de choix dans les solutions d'ingestion et de livraison de contenus. A cet égard, de nombreuses architectures de réseaux de livraison de contenus ou CDN (Content Delivery Network) reposent sur des architectures de type « edge computing ».
Une mise en œuvre connue d'une telle architecture de type « edge computing » est une architecture connue sous l'appellation Kubernetes.
La [Fig. 1] représente de manière simplifiée l'architecture d'une grappe de nœuds 1 conforme à l'architecture Kubernetes. La grappe de nœuds 1 comprend un premier nœud 10 dit nœud maître, ou « Kubernetes master », et N nœuds de calcul, ou « workers node », lli, i e {1,
Figure imgf000003_0001
N étant un entier naturel. Le nœud maître 10 comprend un contrôleur 101, un module API (Application Programming Interface ou interface de programmation d'applications) 102 et une base de données 103 dite ETCD qui consiste en un registre dynamique de configuration des nœuds de calculs lli.
Un nœud de calcul lli comprend M conteneurs ou « pods » 110j, j e {1,
Figure imgf000004_0001
M étant un entier naturel. Chaque conteneur HOj est doté de ressources permettant l'exécution d'une ou de plusieurs tâches. Une tâche lorsqu'elle est exécutée contribue à la mise en œuvre d'un service ou d'une fonction réseau, telle qu'une fonction DHCP (Dynamic Host Configuration Protocol ou protocole de configuration dynamique des hôtes) par exemple.
Dans un souci de réduction des coûts et d'amélioration de la flexibilité des infrastructures réseaux, les architectures d'« edge computing » sont le plus souvent des architectures multi-sites dans lesquelles les nœuds constitutifs des grappes de nœuds peuvent être non co-localisés. Par exemple un nœud maître 10 et deux nœuds de calcul 111, 112 d'une grappe de nœuds 1 sont situés sur un site A alors que trois autres nœuds de calculs 113, 114, 115 sont quant à eux situés sur un site B distant.
Les solutions d'authentification existantes, telle que le protocole https (HyperText Transfer Protocol Secure ou protocole de transfert hypertextuel sécurisé) qui repose sur l'introduction d'une couche de chiffrement conforme au protocole SSL (Secure Socket Layer ou sécurité de la couche socket) ou au protocole TLS (Transport Layer Security ou sécurité de la couche transport) dans le protocole http (HyperText Transfer Protocol ou protocole de transfert hypertextuel ) ne sont pas bien adaptées au contexte du « edge computing ».
A titre d'exemple, le protocole https permet à un équipement d'un visiteur, tel qu'un ordinateur personnel, de vérifier l'identité d'un site internet auquel le visiteur souhaite accéder à partir de son équipement.
Ainsi, l'équipement accède, grâce à un certificat public d'authentification de type X509 émis par une autorité tierce, réputé fiable, à un serveur fournissant un service. Un tel certificat garantit la confidentialité et l'intégrité des données transmises par le visiteur via son équipement à destination du serveur fournissant un service.
Cependant un tel certificat ne permet pas de garantir, par exemple à un utilisateur du service ou encore au fournisseur du service en question, que les différents intervenants impliqués dans la fourniture du service requis ont instancié l'ensemble des nœuds et/ou des serveurs conformément à des contraintes techniques et/ou contractuelles relatives au service requis. Il existe donc un besoin de proposer une solution ne présentant pas tout ou partie des inconvénients précités.
Exposé de l'invention
L'invention répond à ce besoin en proposant un système comprenant au moins une grappe de nœuds comprenant un nœud maître et au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche, au moins un serveur de certification et au moins un équipement souhaitant accéder à un service mis en œuvre par ladite grappe de nœuds.
Un tel système est particulier en ce que :
- ledit serveur de certification est configuré pour transmettre un premier jeu de paramètres de certification à destination dudit nœud maître
- ledit nœud maître est configuré pour établir un premier certificat d'instanciation dudit nœud maître au moyen du premier jeu de paramètres de certification ;
- ledit serveur de certification est configuré pour transmettre au moins un deuxième jeu de paramètres de certification à destination d'au moins un conteneur dudit nœud de calcul ;
- ledit nœud maître est configuré pour obtenir au moins un deuxième certificat d'instanciation pour ledit conteneur dudit nœud de calcul, ledit deuxième certificat étant établi par ledit nœud de calcul au moyen du deuxième jeu de paramètres de certification ;
- ledit nœud maître est configuré pour transmettre, à destination dudit serveur de certification, une demande de génération d'un jeton de certification d'une instanciation de la grappe de nœud, ladite demande comprenant ledit premier certificat et ledit deuxième certificat ;
- ledit serveur de certification est configuré générer ledit jeton de certification d'une instanciation de la grappe de nœud au moyen dudit premier certificat et dudit au moins un deuxième certificat ;
- ledit serveur de certification est configuré transmettre ledit jeton de certification d'une instanciation de la grappe de nœud à destination dudit nœud maître ;
- ledit équipement est configuré pour émettre, à destination dudit nœud maître, une demande d'établissement d'une session avec ladite grappe de nœuds,
- ledit nœud maître est configuré pour émettre à destination de l'équipement un message de signalisation relatif à l'établissement de ladite session comprenant en outre ledit jeton de certification ;
- à réception dudit jeton de certification, l'équipement est configuré pour vérifier l'authenticité dudit jeton de certification auprès dudit serveur de certification. La solution objet de l'invention permet d'établir, et donc de pouvoir fournir sur requête, un certificat d'instanciation d'une grappe de nœuds contribuant à mettre en œuvre un service. Un tel certificat permet de garantir que les différents équipements et les différents acteurs impliqués dans l'exécution et la fourniture d'un service donné respectent les termes d'un contrat de fourniture de service ainsi que les spécifications techniques requises.A cette fin, le système comprend un serveur de certification réputé fiable, car avalisé par une autorité tierce, dont la fonction est de contribuer à rétablissements de certificats pour des nœuds d'une grappe de nœuds. Lorsque chaque nœud concerné a établi son certificat au moyen, entre autres de paramètres de certification fournis par le serveur de certification, ce dernier génère un jeton de certification regroupant l'ensemble des certificats générés par les différents nœuds de la grappe de nœuds ainsi que d'autres informations relatives au service exécuté par la grappe de nœuds.
Dans un exemple, le serveur de certification peut communiquer directement avec les conteneurs sans intervention du nœud maître.
Dans un autre exemple, le serveur de certification transmet le deuxième jeu de paramètres de certification à destination du nœud maître qui le transmet à son tour au conteneur concerné.
Un tel jeton de certification peut être requis par n'importe quel équipement souhaitant accéder au service exécuté par la grappe de nœuds en question afin de vérifier la conformité de l'instanciation aux termes du contrat de service par exemple.
Une telle solution permet par exemple de garantir que toutes les données fournies par un utilisateur dans le cadre de l'exécution d'un service donné sont traitées par des équipements localisés sur un territoire donné.
Plus particulièrement, le nœud maître de ladite grappe de nœuds met en œuvre un procédé d'obtention du jeton de certification comprenant les étapes suivantes :
- établissement d'un premier certificat d'instanciation dudit nœud maître au moyen d'un premier jeu de paramètres de certification requis auprès d'un serveur de certification ;
- obtention d'au moins un deuxième certificat d'instanciation pour ledit conteneur dudit nœud de calcul, ledit deuxième certificat étant établi par ledit nœud de calcul au moyen d'au moins un deuxième jeu de paramètres de certification requis auprès du serveur de certification ;
- transmission, à destination dudit serveur de certification, d'une demande de génération dudit jeton de certification d'une instanciation de la grappe de nœud, ladite demande comprenant ledit premier certificat et ledit au moins un deuxième certificat ;
- réception dudit jeton de certification d'une instanciation de la grappe de nœud généré par le serveur de certification.
Le nœud maître établit son propre certificat au moyen de paramètres de certification fournis par le serveur de certification et collecte les différents certificats établis pour les différents conteneurs concernés. En effet, en fonction du service pour lequel le jeton de certification est requis, seuls certains conteneurs exécutant des taches relatives à l'exécution de ce service sont appelés à fournir un certificat d'instanciation.
Dans un exemple, les jeux de paramètres de certification requis auprès du serveur de certification comprennent au moins une information d'horodatage et un condensé d'un identifiant dudit serveur de certification.
L'information d'horodatage permet de limiter les risques de fraude car elle permet de définir une durée de validité du jeu de paramètres de certification. Le condensé, ou « hash » en anglais, d'un identifiant du serveur de certification permet de contrôler l'intégrité du jeu de paramètres de certification, ainsi le nœud utilisant ces paramètres de certification lors de l'établissement de son certificat est certain de leur provenance et des valeurs de ces paramètres ce qui contribue à forger un certificat solide.
Dans un exemple, les jeux de paramètres de certification requis comprennent en outre une information de localisation.
Une information de localisation recouvre :
- des informations de géolocalisation telles que des coordonnées GPS (Global Positioning System) obtenues au moyen d'un identifiant réseau tel qu'un masque d'adresses IP, un identifiant d'une ville (e.g. Lannion), d'une région (e.g. la Bretagne) ou d'une zone géographique (e.g. Europe),
- des informations de topo-localisation telles qu'une localisation dans une architecture d'un réseau de communication, un identifiant d'un domaine réseau auquel la grappe de nœuds est rattachée, un identifiant d'un 'organisme qui a la charge du réseau (e.g. un opérateur de télécommunications, un fournisseur d'infrastructure CDN, un client d'un opérateur ; etc.),
Une combinaison de ces différentes informations.
Dans un exemple, l'information de localisation concerne le serveur de certification qui est co-localisé avec la grappe de nœuds. L'information de localisation étant fournie par une entité fiable, c'est à dire le serveur de certification, l'utilisateur a la garantie que toutes les données fournies traitées dans le cadre de l'exécution d'un service donné le sont par des équipements localisés sur un territoire donné.
Dans un exemple, les jeux de paramètres de certification requis sont signés au moyen d'une clé cryptographique privée du serveur de certification.
Ainsi des équipements tiers interceptant de tels jeux de paramètres de certification sont dans l'incapacité d'utiliser ces données pour forger leurs propres certificats s'ils ne disposent pas de la clé cryptographique publique correspondante.
A titre d'exemple, un certificat est également établi à partir de données relatives audit nœud maître et appartenant au groupe comprenant :
- une adresse réseau du nœud maître ;
- une adresse physique du nœud maître ;
- au moins un identifiant d'un modèle du matériel constituant le nœud maître ;
- au moins un identifiant d'au moins un logiciel exécuté par le nœud maître ;
- un identifiant d'un opérateur orchestrant ladite grappe de nœuds,
- au moins un identifiant d'au moins une tâche effectuée par au moins un conteneur d'au moins un nœud de calcul de ladite grappe ;
- un identifiant d'au moins un fournisseur de service pour le compte duquel un conteneur effectue une tâche ;
- un condensé d'au moins l'une des données ci-dessus.
Ainsi un tel certificat comprend des informations relatives à l'instanciation du nœud tant sur le plan structurel, i.e. localisation géographique, adresse réseau, informations relatives au matériel employé (référence d'un modèle de mémoire, de processeur, etc.), que sur le plan administratif, i.e. identité de l'orchestrateur, d'un fournisseur de service, etc. autant d'informations qui permettent de tracer une chaine de responsabilité entre toutes les entités intervenant dans la fourniture du service requis.
Dans un exemple, le jeton de certification comprend au moins un condensé du premier certificat et du deuxième certificat horodaté par le serveur de certification.
Cela permet de vérifier l'intégrité du jeton de certification.
Afin de garantir son authenticité, le jeton de certification peut également être signé au moyen de la clé cryptographique privée du serveur de certification. L'invention se décline également sous la forme d'un procédé d'établissement d'un jeton de certification d'une instanciation d'une grappe de nœuds comprenant un nœud maître et au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche.
Un tel procédé est particulier en ce qu'il comprend les étapes suivantes mises en œuvre par un serveur de certification :
- transmission d'un premier jeu de paramètres de certification à destination dudit nœud maître ;
- transmission d'au moins un deuxième jeu de paramètres de certification à destination d'au moins un conteneur dudit nœud de calcul ;
- réception, en provenance dudit nœud maître, d'une demande de génération dudit jeton de certification d'une instanciation de la grappe de nœud, ladite demande comprenant un premier certificat d'instanciation dudit nœud maître établi au moyen du premier jeu de paramètres de certification et au moins un deuxième certificat d'instanciation dudit conteneur établi au moyen du deuxième jeu de paramètres de certification ;
- génération dudit jeton de certification d'une instanciation de la grappe de nœud au moyen dudit premier certificat et dudit au moins un deuxième certificat ;
- transmission dudit jeton de certification d'une instanciation de la grappe de nœud à destination dudit nœud maître.
Dans un exemple, le serveur de certification peut communiquer directement avec les conteneurs sans intervention du nœud maître.
Dans un autre exemple, le serveur de certification transmet le deuxième jeu de paramètres de certification à destination du nœud maître qui le transmet à son tour au conteneur concerné.
L'invention a encore pour objet un procédé d'établissement d'un certificat d'une instanciation d'au moins un conteneur destiné à exécuter au moins une tâche, ledit conteneur appartenant à un nœud de calcul d'une grappe de nœuds comprenant un nœud maître et une pluralité de nœuds de calcul.
Un tel procédé est particulier en ce qu'il comprend les étapes suivantes mises en œuvre par ledit conteneur :
- établissement d'un certificat d'instanciation dudit conteneur au moyen d'un jeu de paramètres de certification requis auprès d'un serveur de certification ;
- transmission, à destination dudit nœud maître, dudit certificat. L'invention concerne encore un procédé de vérification de l'authenticité d'un jeton de certification d'une instanciation d'une grappe de nœuds comprenant un nœud maître et au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche.
Un tel procédé est particulier en ce qu'il comprend les étapes suivantes mises en œuvre par un équipement souhaitant accéder à un service mis en œuvre par ladite grappe de nœuds :
- émission, à destination dudit nœud maître, d'une demande d'établissement d'une session avec ladite grappe de nœuds,
- réception d'un message de signalisation relatif à l'établissement de ladite session comprenant en outre ledit jeton de certification établi par un serveur de certification au moyen d'un un premier certificat d'instanciation dudit nœud maître établi au moyen d'un premier jeu de paramètres de certification requis auprès du serveur de certification et au moins un deuxième certificat d'instanciation dudit conteneur établi au moyen d'un deuxième jeu de paramètres de certification requis auprès du serveur de certification ;
- une étape de vérification de l'authenticité dudit jeton de certification auprès dudit serveur de certification.
Un autre objet de l'invention est un nœud maître d'une grappe de nœuds comprenant également au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche, ledit nœud maître comprenant au moins processeur configuré pour :
- établir un premier certificat d'instanciation dudit nœud maître au moyen d'un premier jeu de paramètres de certification requis auprès d'un serveur de certification ;
- obtenir au moins un deuxième certificat d'instanciation pour ledit conteneur dudit nœud de calcul, ledit deuxième certificat étant établi par ledit nœud de calcul au moyen d'au moins un deuxième jeu de paramètres de certification requis auprès du serveur de certification ;
- transmettre, à destination dudit serveur de certification, une demande de génération dudit jeton de certification d'une instanciation de la grappe de nœud, ladite demande comprenant ledit premier certificat et ledit au moins un deuxième certificat ;
- recevoir ledit jeton de certification d'une instanciation de la grappe de nœud généré par le serveur de certification.
L'invention concerne également un serveur de certification capable d'établir un jeton de certification d'une instanciation d'une grappe de nœuds comprenant un nœud maître et au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche, ledit serveur de certification comprenant au moins un processeur configuré pour :
- transmettre un premier jeu de paramètres de certification à destination dudit nœud maître ;
- transmettre au moins un deuxième jeu de paramètres de certification à destination d'au moins un conteneur dudit nœud de calcul ;
- recevoir, en provenance dudit nœud maître, une demande de génération dudit jeton de certification d'une instanciation de la grappe de nœud, ladite demande comprenant un premier certificat d'instanciation dudit nœud maître établi au moyen du premier jeu de paramètres de certification et au moins un deuxième certificat d'instanciation dudit conteneur établi au moyen du deuxième jeu de paramètres de certification ;
- générer ledit jeton de certification d'une instanciation de la grappe de nœud au moyen dudit premier certificat et dudit au moins un deuxième certificat ;
- transmettre ledit jeton de certification d'une instanciation de la grappe de nœud à destination dudit nœud maître.
Dans un exemple, le serveur de certification peut communiquer directement avec les conteneurs sans intervention du nœud maître.
Dans un autre exemple, le serveur de certification transmet le deuxième jeu de paramètres de certification à destination du nœud maître qui le transmet à son tour au conteneur concerné.
L'invention a encore pour un objet un conteneur appartenant à un nœud de calcul d'une grappe de nœuds comprenant un nœud maître et une pluralité de nœuds de calcul, ledit conteneur comprenant au moins un processeur configuré pour :
- établir un certificat d'instanciation dudit conteneur au moyen d'un jeu de paramètres de certification requis auprès d'un serveur de certification ;
- transmettre , à destination dudit nœud maître, ledit certificat.
Un dernier objet de l'invention couvre un équipement souhaitant accéder à un service mis en œuvre par une grappe de nœuds comprenant un nœud maître et au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche, ledit équipement comprenant au moins un processeur configuré pour :
- émettre, à destination dudit nœud maître, une demande d'établissement d'une session avec ladite grappe de nœuds,
- recevoir un message de signalisation relatif à l'établissement de ladite session comprenant en outre ledit jeton de certification établi par un serveur de certification au moyen d'un un premier certificat d'instanciation dudit nœud maître établi au moyen d'un premier jeu de paramètres de certification requis auprès du serveur de certification et au moins un deuxième certificat d'instanciation dudit conteneur établi au moyen d'un deuxième jeu de paramètres de certification requis auprès du serveur de certification ;
- vérifier l'authenticité dudit jeton de certification auprès dudit serveur de certification.
L'invention concerne enfin des produits programme d'ordinateur comprenant des instructions de code de programme pour la mise en œuvre des procédés tels que décrits précédemment, lorsqu'ils sont exécutés par un processeur.
L'invention vise également un support d'enregistrement lisible par un ordinateur sur lequel sont enregistrés des programmes d'ordinateur comprenant des instructions de code de programme pour l'exécution des étapes des procédés selon l'invention tels que décrits ci- dessus.
Un tel support d'enregistrement peut être n'importe quelle entité ou dispositif capable de stocker les programmes. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une clé USB ou un disque dur.
D'autre part, un tel support d'enregistrement peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens, de sorte que les programmes d'ordinateur qu'il contient sont exécutables à distance. Les programmes selon l'invention peuvent être en particulier téléchargés sur un réseau par exemple le réseau Internet.
Alternativement, le support d'enregistrement peut être un circuit intégré dans lequel les programmes sont incorporés, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution des procédés objets de l'invention précités.
Liste des figures
D'autres buts, caractéristiques et avantages de l'invention apparaîtront plus clairement à la lecture de la description suivante, donnée à titre de simple exemple illustratif, et non limitatif, en relation avec les figures, parmi lesquelles :
[Fig. 1] : cette figure représente de manière simplifiée l'architecture d'une grappe de nœuds conforme à l'architecture Kubernetes, [Fig. 2] : cette figure représente un système dans lequel la présente solution peut être mise en œuvre,
[Fig. 3] : cette figure représente un diagramme des différentes étapes mises en œuvre lors de l'exécution des procédés objets de l'invention,
[Fig. 4] : cette figure représente un nœud maître d'une grappe de nœuds apte à mettre en œuvre les différents procédés objets de la présente invention,
[Fig. 5] : cette figure représente un serveur de certification apte à mettre en œuvre les différents procédés objets de la présente invention,
[Fig. 6] : cette figure représente un conteneur d'un nœud de calcul d'une grappe de nœuds apte à mettre en œuvre les différents procédés objets de la présente invention,
[Fig. 7] : cette figure représente un équipement apte à mettre en œuvre les différents procédés objets de la présente invention.
Description détaillée de modes de réalisation de l'invention
Le principe général de l'invention repose sur l'établissement d'un jeton de certification d'une instanciation d'au moins une grappe de nœuds déployée dans un environnement d'informatique en périphérie ou « edge computing » qui permet de garantir que les différents intervenants impliqués dans la fourniture du service requis ont instancié l'ensemble des nœuds et/ou des serveurs conformément à des contraintes techniques et/ou contractuelles relatives au service requis.
A cette fin, l'invention introduit un serveur de certification réputé fiable, car avalisé par une autorité tierce, dont la fonction est de contribuer à l'établissement de certificats pour des nœuds de la grappe de nœuds. Lorsque chaque nœud concerné a établi son certificat au moyen, entre autres de paramètres de certification fournis par le serveur de certification, ce dernier génère un jeton de certification regroupant l'ensemble des certificats générés par les différents nœuds de la grappe de nœuds ainsi que d'autres informations relatives au service exécuté par la grappe de nœuds.
Un tel jeton de certification peut être requis par n'importe quel équipement souhaitant accéder au service exécuté par la grappe de nœuds en question afin de vérifier la conformité de l'instanciation aux termes du contrat de service par exemple.
On présente désormais, en relation avec la [fig. 2] un système dans lequel la présente solution peut être mise en œuvre. Un tel système comprend au moins une grappe de nœuds 1 conforme à l'architecture Kubernetes. La grappe de nœuds 1 comprend un premier nœud 10 dit nœud maître et N nœuds de calcul Hi, i e
Figure imgf000014_0001
N étant un entier naturel.
Un nœud de calcul lli comprend M conteneurs ou « pods » 110j, j e {1,
Figure imgf000014_0002
M étant un entier naturel. Chaque conteneur HOj est doté de ressources permettant l'exécution d'une ou de plusieurs tâches. Une tâche lorsqu'elle est exécutée contribue à la mise en œuvre d'un service ou d'une fonction réseau, telle qu'une fonction DHCP (Dynamic Host Configuration Protocol ou protocole de configuration dynamique des hôtes) par exemple.
Le système comprend également un serveur de certification 12. Un tel serveur de certification 12 est une entité fiable capable de délivrer des certificats. Par exemple une autorité tierce reconnue comme fiable et intègre vérifie et ensuite garantit la fiabilité d'un tel serveur de certification 12 qui devient alors une entité de confiance.
Dans un exemple, le serveur de certification 12 est co-localisé avec la grappe de nœuds 1. Dans un autre exemple, le serveur de certification 12 se situe sur un site distant de celui abritant la grappe de nœuds 1.
Le système comprend également d'autres entités telles que des nœuds 13 gérés par un opérateur en télécommunications ou un fournisseur de service.
Enfin, le système comprend au moins un équipement 14 tel qu'un terminal mobile, un serveur ou encore un équipement virtualisé.
En référence au système décrit à la figure 2, on décrit maintenant le déroulement des procédés objets de l'invention. Les différentes étapes mises en œuvre lors de l'exécution de ces procédés au sein du système précédemment décrit sont représentées sous forme de diagramme dans la [Fig. 3].
Ainsi, dans une étape El, un nœud 13, appartenant par exemple à un opérateur en télécommunication émet une demande d'établissement DI d'un jeton de certification TokC d'au moins une grappe de nœuds 1. Une telle grappe de nœuds 1 peut ou non être orchestrée par l'opérateur en télécommunications. Une telle demande d'établissement DI est transmise au nœud maître 10 de ladite grappe de nœuds 1. Une telle demande d'établissement DI comprend un identifiant dudit nœud 13.
A réception de cette demande d'établissement Dl, le nœud maître 10 émet une requête RI pour obtenir un jeu de paramètres de certification ParamCl auprès du serveur de certification 12 au cours d'une étape E2. Une telle requête RI comprend un identifiant du nœud maître ou un condensé de celui-ci. En réponse à la requête RI, le serveur de certification 12 génère, dans une étape E3, le jeu de paramètres de certification ParamCl. Un tel jeu de paramètres de certification ParamCl comprend au moins une information d'horodatage et un condensé d'un identifiant du serveur de certification. Optionnellement un tel jeu de paramètres de certifications ParamCl peut également comprendre une information de localisation.
Une information de localisation recouvre par exemple :
- des informations de géolocalisation telles que des coordonnées GPS (Global Positioning System) obtenues au moyen d'un identifiant réseau tel qu'un masque d'adresses IP, un identifiant d'une ville (e.g. Lannion), d'une région (e.g. la Bretagne) ou d'une zone géographique (e.g. Europe),
- des informations de topo-localisation telles qu'une localisation dans une architecture d'un réseau de communication, un identifiant d'un domaine réseau auquel la grappe de nœuds est rattachée,
- un identifiant d'un 'organisme qui a la charge du réseau (e.g. un opérateur de télécommunications, un fournisseur d'infrastructure CDN, un client d'un opérateur ; etc.),
- le serveur de certification 12 est co-localisé avec la grappe de nœuds 1,
- une combinaison de ces différentes informations.
Dans un exemple, le jeu de paramètres de configuration ParamCl peut être signé au moyen d'une clé cryptographique privée du serveur de certification 12. Dans un tel exemple, le nœud maître 10 est en possession d'une clé cryptographique publique du serveur de certification 12 correspondant à la clé cryptographique privée. Une telle clé cryptographique publique du serveur de certification 12 peut être fournie au nœud maître 10 lors de l'établissement d'une session de communication avec le serveur de certification 12.
A réception du jeu de paramètres de configuration ParamCl, le nœud maître 10 établit son certificat d'instanciation CIO au cours d'une étape E4. Un tel certificat CIO est établi au moyen du jeu de paramètres de certification ParamCl mais également de données relatives au nœud maître et à la grappe de nœuds 1 dont il a la charge. De telles données appartiennent au groupe comprenant :
- une adresse réseau du nœud maître 10 ;
- une adresse physique du nœud maître 10 ;
- au moins un identifiant d'un modèle du matériel constituant le nœud maître 10 ;
- au moins une version d'au moins un logiciel exécuté par le nœud maître 10 ;
- un identifiant d'un opérateur orchestrant ladite grappe de nœuds 10, - au moins un identifiant d'au moins une tâche effectuée par au moins un conteneur HOj d'au moins un nœud de calcul 11 de ladite grappe de nœuds 1 ;
- un identifiant d'au moins un fournisseur de service pour le compte duquel un conteneur llOj effectue une tâche ;
- un condensé d'au moins l'une des données pré-listées.
Ainsi, le certificat CIO établi par le nœud maître 10 rend compte d'une chaine de responsabilité entre toutes les entités intervenant dans la fourniture du service requis.
Une fois son certificat CIO établit, le nœud maître 10 requiert auprès des différents conteneurs llOj concernés l'établissement de leur propre certificat CllOj au cours d'une étape E5.
Dans un exemple, le nœud maître 10 fournit, via le nœud de calcul lli qui les héberge, des informations permettant aux conteneurs llOj d'établir une connexion directe avec le serveur de certification 12. Lorsque certains nœuds de calculs lli se trouvent sur des sites différents du site hébergeant le nœud maître 10 ou le serveur de certification 12, le nœud maître 10 peut fournir aux nœuds de calcul lli concernés des informations leur permettant d'établir une connexion avec un autre serveur de certification plus approprié, comme par exemple un serveur de certification situé sur le même site ou encore un serveur de certification opéré dans un même domaine, etc.
Chaque conteneur concerné llOj émet alors une requête R2 à destination du serveur de certification 12 pour obtenir un jeu de paramètres de certification ParamC2j au cours d'une étape E6. Une telle requête R2j comprend un identifiant du nœud maître ou un condensé de celui-ci.
Dans un autre exemple, le nœud maître 10 émet la requête R2 à destination du serveur de certification 12 pour obtenir un jeu de paramètres de certification ParamC2j pour le compte du conteneur llOj.
En réponse à une requête R2j, le serveur de certification 12 génère, dans une étape E7, un jeu de paramètres de certification ParamC2j. Un tel jeu de paramètres de certification ParamC2j comprend au moins une information d'horodatage et un condensé de l'identifiant du serveur de certification. Optionnellement un tel jeu de paramètres de certifications ParamC2j peut également comprendre une information de localisation. Selon les exemples, le jeu de paramètres de certification ParamC2j est soit directement transmis au conteneur llOj soit il est relayé par le nœud maître 10. Dans un exemple, le jeu de paramètres de configuration ParamC2j peut être signé au moyen d'une clé cryptographique privée du serveur de certification 12. Dans un tel exemple, le conteneur HOj est en possession de la clé cryptographique publique du serveur de certification 12 correspondant à la clé cryptographique privée. Une telle clé cryptographique publique du serveur de certification 12 peut être fournie au nœud de calcul lli par le nœud maître 10 lors de la configuration de la grappe de nœuds 1. Elle peut également être directement fournie au conteneur HOj par le nœud maître au cours de l'étape E5.
A réception du jeu de paramètres de configuration ParamC2j, le conteneur HOj établit son certificat d'instanciation CllOj au cours d'une étape E8.
Un tel certificat CllOj est établi au moyen du jeu de paramètres de certification ParamC2j mais également de données relatives au nœud de calcul 11 hébergeant le conteneur HOj et au conteneur HOj . De telles données appartiennent au groupe comprenant :
- une adresse réseau du nœud de calcul 11 et du conteneur HOj ;
- une adresse physique du nœud de calcul 11 et du conteneur 110 j ;
- au moins un identifiant d'un modèle du matériel constituant le conteneur 110 j et/ou le nœud de calcul 11 ;
- au moins une version d'au moins un logiciel exécuté par le conteneur 110 j et/ou le nœud de calcul 11 ;
- un identifiant d'un opérateur orchestrant le nœud de calcul 11,
- au moins un identifiant d'au moins une tâche effectuée par le conteneur HOj ;
- un identifiant d'au moins un fournisseur de service pour le compte duquel le conteneur llOj effectue une tâche ;
- un condensé d'au moins l'une des données ci-dessus.
Dans une étape E9, le nœud maître 10 collecte l'ensemble des certificats CllOj établis par les conteneurs llOj ayant reçu une requête R2. Une fois cette collecte effectuée, le nœud maître 10 génère une demande de génération DG dudit jeton de certification TokC. Une telle demande DG comprend le certificat CIO et l'ensemble des certificats CllOj collectés. Dans un exemple, la demande de génération DG comprend un condensé des certificats CIO et CllOj.
Une fois générée, la demande de génération DG dudit jeton de certification TokC est transmise à destination du serveur de certification 12 duquel dépend le nœud maître 10 dans une étape E10. A réception de la demande DG, le serveur de certification 12 génère le jeton de certification TokC dans une étape Eli à partir des certificats CIO et CllOj reçus. Par exemple, le serveur de certification 12 peut concaténer l'ensemble des certificats CIO et CllOj reçus et ensuite horodater la chaine de caractère ainsi obtenue. Dans un autre exemple, le serveur de certification 12 peut également signer les données constitutives du jeton de certification TokC au moyen de sa clé cryptographique privée.
Dans une étape E12, le serveur de certification 12 transmet le jeton de certification TokC ainsi généré à destination du nœud maître 10.
Le jeton de certification TokC ainsi généré, peut, au gré des besoins ou des demandes émises par certains intervenants participant à la fourniture d'un service, être consulté et son authenticité vérifiée. En effet, à titre d'exemple, un fournisseur d'un service de stockage de données veut pouvoir garantir à ses utilisateurs que leurs données sont stockées dans des serveurs localisés dans une zone géographique donnée. Dans un tel cas de figure, avant d'offrir son service à la vente, ou même régulièrement pendant la fourniture du service, le fournisseur du service peut s'assurer que les serveurs sont bien localisés dans la zone géographique d'intérêt au moyen du jeton de certification TokC. Bien entendu d'autres caractéristiques ou contraintes techniques et/ou logistiques peuvent être vérifiées de la même manière grâce au jeton de certification TokC. De la même façon, on peut vérifier que la version la plus récente d'un logiciel est exécutée, que le bon type de mémoire vive est utilisé, ou encore qu'une grappe de nœuds est orchestrée par le bon opérateur en télécommunication, etc.
Ainsi, un équipement 14 d'un intervenant participant à la fourniture d'un service émet, au cours d'une étape E13, une demande d'établissement hello d'une session de communication avec un conteneur HOj exécutant une tâche relative au service fourni. Une telle demande d'établissement hello est soit directement transmise au conteneur HOj soit elle est relayée à destination du conteneur HOj par le nœud maître 10.
Parmi les différentes données échangées entre le conteneur HOj et l'équipement 14, au cours d'une étape E14, afin d'établir une session de communication se trouve le jeton de certification TokC. Le conteneur HOj transmet également un identifiant d'un serveur de certification 12, telle qu'adresse réseau de type IPv4 ou IPv6, auprès duquel l'authenticité du jeton de certification TokC peut être vérifiée. Une fois la session de communication établie entre le conteneur HOj et l'équipement 14, ce dernier transmet une requête R3 à destination du serveur de certification 12 au cours d'une étape E15.
En réponse à. cette requête R3, le serveur de certification 12 émet à destination de l'équipement 14 un message MSG comprenant sa clé cryptographique publique ainsi que son propre certificat, dans une étape E15.
A réception du message MSG, l'équipement 14 dispose du certificat du serveur de certification 12 ce qui lui permet de s'assurer de la fiabilité de ce dernier et par voie de conséquence de la fiabilité des certificats qu'il a validé et des jetons de certification qu'il a établis. L'équipement 14 peut également déchiffrer le jeton de certification TokC au moyen de la clé cryptographique publique qu'il a reçu et ainsi accéder aux certificats CIO et CllOj et ainsi s'assurer que les conditions d'instanciation du service qui ont été requis sont respectées dans une étape E17.
La [fig. 4] représente un nœud maître 10 d'une grappe de nœuds 1 apte à mettre en œuvre les différents procédés objets de la présente invention.
Un nœud maître 10 peut comprendre au moins un processeur matériel 100, une unité de stockage 105, une interface 106, et au moins une interface de réseau 107 qui sont connectés entre eux au travers d'un bus 108 en plus du module API 102, du contrôleur 101, de la base données 103 et du/des modules de synchronisation 104. Bien entendu, les éléments constitutifs du nœud maître 10 peuvent être connectés au moyen d'une connexion autre qu'un bus.
Le processeur 100 commande les opérations du nœud maître 10. L'unité de stockage 105 stocke au moins un programme pour la mise en œuvre des différents procédés objets de l'invention à exécuter par le processeur 100, et diverses données, telles que des paramètres utilisés pour des calculs effectués par le processeur 100, des données intermédiaires de calculs effectués par le processeur 100, etc. Le processeur 100 peut être formé par tout matériel ou logiciel connu et approprié, ou par une combinaison de matériel et de logiciel. Par exemple, le processeur 100 peut être formé par un matériel dédié tel qu'un circuit de traitement, ou par une unité de traitement programmable telle qu'une unité centrale de traitement (Central Processing Unit) qui exécute un programme stocké dans une mémoire de celui-ci.
L'unité de stockage 105 peut être formée par n'importe quel moyen approprié capable de stocker le programme ou les programmes et des données d'une manière lisible par un ordinateur. Des exemples d'unité de stockage 105 comprennent des supports de stockage non transitoires lisibles par ordinateur tels que des dispositifs de mémoire à semi- conducteurs, et des supports d'enregistrement magnétiques, optiques ou magnéto-optiques chargés dans une unité de lecture et d'écriture.
L'interface 106 fournit une interface entre le nœud maître 10 et au moins un nœud de calcul lli appartenant à la même grappe de nœuds que le nœud maître 10.
L'interface réseau 107 fournit quant à elle une connexion entre le nœud maître 10 et le serveur 12 et/ou l'équipement 14.
La [Fig. 5] représente un serveur de certification 12 apte à mettre en œuvre les différents procédés objets de la présente invention.
Un serveur de certification 12 peut comprendre au moins un processeur matériel 501, une unité de stockage 502, et au moins une interface de réseau 503 qui sont connectés entre eux au travers d'un bus 504. Bien entendu, les éléments constitutifs du serveur de certification 12 peuvent être connectés au moyen d'une connexion autre qu'un bus.
Le processeur 501 commande les opérations du serveur de certification 12. L'unité de stockage 502 stocke au moins un programme pour la mise en œuvre des différents procédés objets de l'invention à exécuter par le processeur 501, et diverses données, telles que des paramètres utilisés pour des calculs effectués par le processeur 501, des données intermédiaires de calculs effectués par le processeur 501, etc. Le processeur 501 peut être formé par tout matériel ou logiciel connu et approprié, ou par une combinaison de matériel et de logiciel. Par exemple, le processeur 100 peut être formé par un matériel dédié tel qu'un circuit de traitement, ou par une unité de traitement programmable telle qu'une unité centrale de traitement (Central Processing Unit) qui exécute un programme stocké dans une mémoire de celui-ci.
L'unité de stockage 502 peut être formée par n'importe quel moyen approprié capable de stocker le programme ou les programmes et des données d'une manière lisible par un ordinateur. Des exemples d'unité de stockage 502 comprennent des supports de stockage non transitoires lisibles par ordinateur tels que des dispositifs de mémoire à semi- conducteurs, et des supports d'enregistrement magnétiques, optiques ou magnéto-optiques chargés dans une unité de lecture et d'écriture.
L'interface réseau 504 fournit quant à elle une connexion entre le serveur de certification 12 et un au moins un nœud d'une grappe de nœuds 1 et/ou un équipement 14. La [Fig. 6] représente un conteneur 110j d'un nœud de calcul lli d'une grappe de nœuds 1 apte à mettre en œuvre les différents procédés objets de la présente invention.
Un conteneur llOj peut comprendre au moins un processeur matériel 600, une unité de stockage 601, une interface 602, et au moins une interface de réseau 603 qui sont connectés entre eux au travers d'un bus 604. Bien entendu, les éléments constitutifs du conteneur llOj peuvent être connectés au moyen d'une connexion autre qu'un bus.
Le processeur 600 commande les opérations du conteneur llOj. L'unité de stockage 601 stocke au moins un programme pour la mise en œuvre des différents procédés objets de l'invention à exécuter par le processeur 600, et diverses données, telles que des paramètres utilisés pour des calculs effectués par le processeur 600, des données intermédiaires de calculs effectués par le processeur 600, etc. Le processeur 600 peut être formé par tout matériel ou logiciel connu et approprié, ou par une combinaison de matériel et de logiciel. Par exemple, le processeur 600 peut être formé par un matériel dédié tel qu'un circuit de traitement, ou par une unité de traitement programmable telle qu'une unité centrale de traitement (Central Processing Unit) qui exécute un programme stocké dans une mémoire de celui-ci.
L'unité de stockage 601 peut être formée par n'importe quel moyen approprié capable de stocker le programme ou les programmes et des données d'une manière lisible par un ordinateur. Des exemples d'unité de stockage 601 comprennent des supports de stockage non transitoires lisibles par ordinateur tels que des dispositifs de mémoire à semi- conducteurs, et des supports d'enregistrement magnétiques, optiques ou magnéto-optiques chargés dans une unité de lecture et d'écriture.
L'interface 602 fournit une interface entre le conteneur llOj et le nœud de calcul lli auquel il appartient.
L'interface réseau 603 fournit quant à elle une connexion entre le conteneur llOj et le serveur 12 et/ou l'équipement 14.
La [Fig- 7] représente un équipement 14 apte à mettre en œuvre les différents procédés objets de la présente invention.
Un équipement 14 peut comprendre au moins un processeur matériel 701, une unité de stockage 702, une interface de réseau 703 qui sont connectés entre eux au travers d'un bus 704. Bien entendu, les éléments constitutifs de l'équipement 14 peuvent être connectés au moyen d'une connexion autre qu'un bus. Le processeur 701 commande les opérations de l'équipement 14. L'unité de stockage 702 stocke au moins un programme pour la mise en œuvre des différents procédés objets de l'invention à exécuter par le processeur 701, et diverses données, telles que des paramètres utilisés pour des calculs effectués par le processeur 701, des données intermédiaires de calculs effectués par le processeur 701, etc. Le processeur 701 peut être formé par tout matériel ou logiciel connu et approprié, ou par une combinaison de matériel et de logiciel. Par exemple, le processeur 701 peut être formé par un matériel dédié tel qu'un circuit de traitement, ou par une unité de traitement programmable telle qu'une unité centrale de traitement (Central Processing Unit) qui exécute un programme stocké dans une mémoire de celui-ci.
L'unité de stockage 702 peut être formée par n'importe quel moyen approprié capable de stocker le programme ou les programmes et des données d'une manière lisible par un ordinateur. Des exemples d'unité de stockage 702 comprennent des supports de stockage non transitoires lisibles par ordinateur tels que des dispositifs de mémoire à semi- conducteurs, et des supports d'enregistrement magnétiques, optiques ou magnéto-optiques chargés dans une unité de lecture et d'écriture.
L'interface réseau 703 fournit quant à elle une connexion entre l'équipement 14 et le serveur de certification 12 et/ou un conteneur HOj d'un nœud de calcul lli d'une grappe de nœuds 1.

Claims

REVENDICATIONS
1. Procédé d'obtention d'un jeton de certification d'une instanciation d'une grappe de nœuds comprenant un nœud maître et au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche, ledit procédé comprenant les étapes suivantes mises en œuvre par ledit nœud maître :
- établissement d'un premier certificat d'instanciation dudit nœud maître au moyen d'un premier jeu de paramètres de certification requis auprès d'un serveur de certification ;
- obtention d'au moins un deuxième certificat d'instanciation pour ledit conteneur dudit nœud de calcul, ledit deuxième certificat étant établi par ledit nœud de calcul au moyen d'au moins un deuxième jeu de paramètres de certification requis auprès du serveur de certification ;
- transmission, à destination dudit serveur de certification, d'une demande de génération dudit jeton de certification d'une instanciation de la grappe de nœud, ladite demande comprenant ledit premier certificat et ledit au moins un deuxième certificat ;
- réception dudit jeton de certification d'une instanciation de la grappe de nœud généré par le serveur de certification.
2. Procédé d'obtention d'un jeton de certification selon la revendication 1 dans lequel les jeux de paramètres de certification requis auprès du serveur de certification comprennent au moins une information d'horodatage et un condensé d'un identifiant dudit serveur de certification .
3. Procédé d'obtention d'un jeton de certification selon la revendication 2 dans lequel, les jeux de paramètres de certification requis comprennent en outre une information de localisation.
4. Procédé d'obtention d'un jeton de certification selon les revendications 2 ou 3, dans lequel les jeux de paramètres de certification requis sont signés au moyen d'une clé cryptographique privée du serveur de certification.
5. Procédé d'obtention d'un jeton de certification selon la revendication 1 dans lequel le premier certificat est également établi à partir de données relatives audit nœud maître et appartenant au groupe comprenant :
- une adresse réseau du nœud maître ;
- une adresse physique du nœud maître ; - au moins un identifiant d'un modèle du matériel constituant le nœud maître ;
- au moins un identifiant d'au moins un logiciel exécuté par le nœud maître ;
- un identifiant d'un opérateur orchestrant ladite grappe de nœuds,
- au moins un identifiant d'au moins une tâche effectuée par au moins un conteneur d'au moins un nœud de calcul de ladite grappe ;
- un identifiant d'au moins un fournisseur de service pour le compte duquel un conteneur effectue une tâche ;
- un condensé d'au moins l'une des données ci-dessus. Procédé d'obtention d'un jeton de certification selon la revendication 1 dans lequel le jeton de certification comprend au moins un condensé du premier certificat et du deuxième certificat horodaté par le serveur de certification. Procédé d'obtention d'un jeton de certification selon la revendication 6 dans lequel le jeton de certification est signé au moyen de la clé cryptographique privée du serveur de certification. Procédé d'établissement d'un jeton de certification d'une instanciation d'une grappe de nœuds comprenant un nœud maître et au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche, ledit procédé comprenant les étapes suivantes mises en œuvre par un serveur de certification :
- transmission d'un premier jeu de paramètres de certification à destination dudit nœud maître ;
- transmission d'au moins un deuxième jeu de paramètres de certification à destination d'au moins un conteneur dudit nœud de calcul ;
- réception, en provenance dudit nœud maître, d'une demande de génération dudit jeton de certification d'une instanciation de la grappe de nœud, ladite demande comprenant un premier certificat d'instanciation dudit nœud maître établi au moyen du premier jeu de paramètres de certification et au moins un deuxième certificat d'instanciation dudit conteneur établi au moyen du deuxième jeu de paramètres de certification ;
- génération dudit jeton de certification d'une instanciation de la grappe de nœud au moyen dudit premier certificat et dudit au moins un deuxième certificat ;
- transmission dudit jeton de certification d'une instanciation de la grappe de nœud à destination dudit nœud maître. Procédé d'établissement d'un certificat d'une instanciation d'au moins un conteneur destiné à exécuter au moins une tâche, ledit conteneur appartenant à un nœud de calcul d'une grappe de nœuds comprenant un nœud maître et une pluralité de nœuds de calcul, ledit procédé comprenant les étapes suivantes mises en œuvre par ledit conteneur :
- établissement d'un certificat d'instanciation dudit conteneur au moyen d'un jeu de paramètres de certification requis auprès d'un serveur de certification ;
- transmission, à destination dudit nœud maître, dudit certificat. Procédé de vérification de l'authenticité d'un jeton de certification d'une instanciation d'une grappe de nœuds comprenant un nœud maître et au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche, ledit procédé comprenant les étapes suivantes mises en œuvre par un équipement souhaitant accéder à un service mis en œuvre par ladite grappe de nœuds :
- émission, à destination dudit nœud maître, d'une demande d'établissement d'une session avec ladite grappe de nœuds,
- réception d'un message de signalisation relatif à l'établissement de ladite session comprenant en outre ledit jeton de certification établi par un serveur de certification au moyen d'un un premier certificat d'instanciation dudit nœud maître établi au moyen d'un premier jeu de paramètres de certification requis auprès du serveur de certification et au moins un deuxième certificat d'instanciation dudit conteneur établi au moyen d'un deuxième jeu de paramètres de certification requis auprès du serveur de certification ;
- une étape de vérification de l'authenticité dudit jeton de certification auprès dudit serveur de certification. Nœud maître d'une grappe de nœuds comprenant également au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche, ledit nœud maître comprenant au moins processeur configuré pour :
- établir un premier certificat d'instanciation dudit nœud maître au moyen d'un premier jeu de paramètres de certification requis auprès d'un serveur de certification ;
- obtenir au moins un deuxième certificat d'instanciation pour ledit conteneur dudit nœud de calcul, ledit deuxième certificat étant établi par ledit nœud de calcul au moyen d'au moins un deuxième jeu de paramètres de certification requis auprès du serveur de certification ;
- transmettre, à destination dudit serveur de certification, une demande de génération dudit jeton de certification d'une instanciation de la grappe de nœud, ladite demande comprenant ledit premier certificat et ledit au moins un deuxième certificat ;
- recevoir ledit jeton de certification d'une instanciation de la grappe de nœud généré par le serveur de certification. Serveur de certification capable d'établir un jeton de certification d'une instanciation d'une grappe de nœuds comprenant un nœud maître et au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche, ledit serveur de certification comprenant au moins un processeur configuré pour :
- transmettre un premier jeu de paramètres de certification à destination dudit nœud maître ;
- transmettre au moins un deuxième jeu de paramètres de certification à destination d'au moins un conteneur dudit nœud de calcul ;
- recevoir, en provenance dudit nœud maître, une demande de génération dudit jeton de certification d'une instanciation de la grappe de nœud, ladite demande comprenant un premier certificat d'instanciation dudit nœud maître établi au moyen du premier jeu de paramètres de certification et au moins un deuxième certificat d'instanciation dudit conteneur établi au moyen du deuxième jeu de paramètres de certification ;
- générer ledit jeton de certification d'une instanciation de la grappe de nœud au moyen dudit premier certificat et dudit au moins un deuxième certificat ;
- transmettre ledit jeton de certification d'une instanciation de la grappe de nœud à destination dudit nœud maître. Conteneur appartenant à un nœud de calcul d'une grappe de nœuds comprenant un nœud maître et une pluralité de nœuds de calcul, ledit conteneur comprenant au moins un processeur configuré pour :
- établir un certificat d'instanciation dudit conteneur au moyen d'un jeu de paramètres de certification requis auprès d'un serveur de certification ;
- transmettre, à destination dudit nœud maître, ledit certificat. Équipement souhaitant accéder à un service mis en œuvre par une grappe de nœuds comprenant un nœud maître et au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche, ledit équipement comprenant au moins un processeur configuré pour :
- émettre, à destination dudit nœud maître, une demande d'établissement d'une session avec ladite grappe de nœuds,
- recevoir un message de signalisation relatif à l'établissement de ladite session comprenant en outre ledit jeton de certification établi par un serveur de certification au moyen d'un un premier certificat d'instanciation dudit nœud maître établi au moyen d'un premier jeu de paramètres de certification requis auprès du serveur de certification et au moins un deuxième certificat d'instanciation dudit conteneur établi au moyen d'un deuxième jeu de paramètres de certification requis auprès du serveur de certification ;
- vérifier l'authenticité dudit jeton de certification auprès dudit serveur de certification. Système comprenant au moins une grappe de nœuds comprenant un nœud maître et au moins un nœud de calcul comprenant au moins un conteneur destiné à exécuter au moins une tâche, au moins un serveur de certification et au moins un équipement souhaitant accéder à un service mis en œuvre par ladite grappe de nœuds, dans lequel :
- ledit serveur de certification est configuré pour transmettre un premier jeu de paramètres de certification à destination dudit nœud maître
- ledit nœud maître est configuré pour établir un premier certificat d'instanciation dudit nœud maître au moyen du premier jeu de paramètres de certification ;
- ledit serveur de certification est configuré pour transmettre au moins un deuxième jeu de paramètres de certification à destination d'au moins un conteneur dudit nœud de calcul ;
- ledit nœud maître est configuré pour obtenir au moins un deuxième certificat d'instanciation pour ledit conteneur dudit nœud de calcul, ledit deuxième certificat étant établi par ledit nœud de calcul au moyen du deuxième jeu de paramètres de certification ;
- ledit nœud maître est configuré pour transmettre, à destination dudit serveur de certification, une demande de génération d'un jeton de certification d'une instanciation de la grappe de nœud, ladite demande comprenant ledit premier certificat et ledit deuxième certificat ;
- ledit serveur de certification est configuré générer ledit jeton de certification d'une instanciation de la grappe de nœud au moyen dudit premier certificat et dudit au moins un deuxième certificat ;
- ledit serveur de certification est configuré transmettre ledit jeton de certification d'une instanciation de la grappe de nœud à destination dudit nœud maître ;
- ledit équipement est configuré pour émettre, à destination dudit nœud maître, une demande d'établissement d'une session avec ladite grappe de nœuds, - ledit nœud maître est configuré pour émettre à destination de l'équipement un message de signalisation relatif à l'établissement de ladite session comprenant en outre ledit jeton de certification ;
- à réception dudit jeton de certification, l'équipement est configuré pour vérifier l'authenticité dudit jeton de certification auprès dudit serveur de certification.
PCT/EP2022/078150 2021-10-22 2022-10-10 Procédé d'établissement d'un jeton de certification d'une instanciation d'une grappe de nœuds WO2023066708A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP22800662.3A EP4420297A1 (fr) 2021-10-22 2022-10-10 Procédé d'établissement d'un jeton de certification d'une instanciation d'une grappe de noeuds

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FRFR2111257 2021-10-22
FR2111257A FR3128603A1 (fr) 2021-10-22 2021-10-22 Procédé d’établissement d’un jeton de certification d’une instanciation d’une grappe de nœuds.

Publications (1)

Publication Number Publication Date
WO2023066708A1 true WO2023066708A1 (fr) 2023-04-27

Family

ID=80447906

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2022/078150 WO2023066708A1 (fr) 2021-10-22 2022-10-10 Procédé d'établissement d'un jeton de certification d'une instanciation d'une grappe de nœuds

Country Status (3)

Country Link
EP (1) EP4420297A1 (fr)
FR (1) FR3128603A1 (fr)
WO (1) WO2023066708A1 (fr)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200175157A1 (en) * 2018-12-03 2020-06-04 Salesforce.Com, Inc. Security engine for automated operations management

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20200175157A1 (en) * 2018-12-03 2020-06-04 Salesforce.Com, Inc. Security engine for automated operations management

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ANONYMOUS: "Google Cloud Security Whitepapers Google Cloud Infrastructure Security Design Overview", 31 March 2018 (2018-03-31), XP055776854, Retrieved from the Internet <URL:https://services.google.com/fh/files/misc/security_whitepapers_march2018.pdf> [retrieved on 20210216] *
D'SILVA DANIEL ET AL: "Building A Zero Trust Architecture Using Kubernetes", 2021 6TH INTERNATIONAL CONFERENCE FOR CONVERGENCE IN TECHNOLOGY (I2CT), IEEE, 2 April 2021 (2021-04-02), pages 1 - 8, XP033912137, DOI: 10.1109/I2CT51068.2021.9418203 *

Also Published As

Publication number Publication date
FR3128603A1 (fr) 2023-04-28
EP4420297A1 (fr) 2024-08-28

Similar Documents

Publication Publication Date Title
WO2009130089A1 (fr) Procede de diffusion securisee de donnees numeriques vers un tiers autorise
FR3082023A1 (fr) Une application logicielle et un serveur informatique pour authentifier l’identite d’un createur de contenu numerique et l’integrite du contenu du createur publie
FR2930391A1 (fr) Terminal d&#39;authentification d&#39;un utilisateur.
EP3568966B1 (fr) Procédés et dispositifs de délégation de diffusion de contenus chiffrés
EP3568989A1 (fr) Procédés et dispositifs de vérification de la validité d&#39;une délégation de diffusion de contenus chiffrés
Nwebonyi et al. Reputation-based security system for edge computing
WO2023281231A1 (fr) Procede d&#39;etablissement authentifie d&#39;une connexion entre un equipement raccorde a au moins un reseau de communication et un serveur d&#39;un fournisseur de services et dispositifs correspondants
EP4420297A1 (fr) Procédé d&#39;établissement d&#39;un jeton de certification d&#39;une instanciation d&#39;une grappe de noeuds
US20220391474A1 (en) Streaming fraud detection using blockchain
EP2446360B1 (fr) Technique de determination d&#39;une chaine de fonctions elementaires associee a un service
WO2014191683A1 (fr) Technique de distribution d&#39;un contenu dans un reseau de distribution de contenus
EP4193569A1 (fr) Procede de traitement d&#39;un service de transport de donnees
EP2630765B1 (fr) Procede d&#39;optimisation du transfert de flux de donnees securises via un reseau autonomique
WO2024188822A1 (fr) Procédé et dispositif de paiement confidentiel sur chaîne de blocs
FR3137238A1 (fr) Procédé de suspension d’un jeton de certification permettant d’authentifier l’établissement d’une connexion entre deux équipements de communication, dispositifs et programmes d’ordinateur correspondants
CA2977899C (fr) Transfert securise d&#39;information d&#39;authentification
FR3145253A1 (fr) Procédé de révocation d’un jeton de certification permettant d’authentifier l’établissement d’une connexion entre deux équipements de communication, dispositifs et programmes d’ordinateur correspondants
FR3108816A1 (fr) Procédé de délégation d’une fonction de résolution d’identifiants de nommage
WO2023203291A1 (fr) Procedes, terminal et serveur de gestion de donnees personnelles
WO2021240098A1 (fr) Procede de delegation de la livraison de contenus a un serveur cache
FR3140184A1 (fr) Procédé et dispositif d’attribution d’un NFT
FR3108818A1 (fr) Procédé et dispositif d’authentification d’un utilisateur auprès d’une application.
WO2017089710A1 (fr) Procédé de distribution de droits sur un service et plateforme de service
FR3038413A1 (fr) Procede de gestion de l&#39;authentification d&#39;un client dans un systeme informatique
FR2951892A1 (fr) Systeme et procede de securisation contextuelle et dynamique des echanges de donnees au travers d&#39;un reseau

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22800662

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2022800662

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2022800662

Country of ref document: EP

Effective date: 20240522