Elektronikus kulcskiosztó rendszer Grid szolgáltatások és felhasználók azonosítására Frohner ÁkosLőrentey Károly CERN ITELTE ITK
NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer2 Mi az a Grid? Nagy számításígényű kutatási feladatok elvégzésére nem elegendő egyetlen kutatóközpont kapacitása A megoldás: a rendelkezésre álló erőforrások összekötése egy együttműködő rendszerré Minden szempontból heterogén Dinamikusan változó összetételű Földrajzilag szétszórt Egyetlen metakomputert alkotó Erőforrások: klaszterek és szuperszámítógépek, tárolóegységek, valamint egyéb készülékek
NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer3 A DemoGRID projekt A projekt célja a Grid magyarországi fejlesztésének és felhasználásának megerősítése Testbed: 8 egyetem és kutatóközpont erőforrásainak összekapcsolása egyetlen virtuális szuperszámítógéppé 300 host, 5 TiB adattárolási kapacitás NIIF nagysebességű hálózata Grid middleware kutatása és továbbfejlesztése Tesztalkalmazások fejlesztése — adat- és számításintenzív feladatok
NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer4 A DemoGRID projekt — áttekintés ELTE Informatika Tanszékcsoport Elméleti Fizikai Tanszék Fizikus Tanszékcsoport Információtechnológiai Központ SZTAKI Párhuzamos és Elosztott Rendszerek Laboratórium Rendszerfejlesztési Osztály MTA KFKI Részecske és Magfizikai Kutatóintézet SZIF, Matematikai Tanszék MTA Műszaki Fizikai és Anyagtudományi Kutatóintézet GRID Általános architektúra Tároló alrendszer Monitoroz ó alrendszer Biztonság i alrendszer ALKALMAZÁSOK Hardver RDB OODB GDB DFS Adat Szoros Laza Dekomp TárolóCPU Hálózat
NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer5 CERN Európai Részecskefizikai Laboratórium Új részecskegyorsító: Nagy hadronütköztető (LHC) Tervezett átadás: 2006 Protonütköztetés 7 TeV-os nyalábonkénti energiával Óriási adatfeldolgozási igények 5-8 PiB mérési adat keletkezik évente A jelenlegi leggyorsabb PC processzorokból kb darab lenne képes feldolgozni az eredményeket A számítási kapacitás kétharmadát európai, amerikai és ázsiai regionális számítóközpontok adják A világméretű együttműködés kivételes biztonságtechnikai problémákat vet fel
NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer6 Autentikáció a Gridben I. Grid Security Infrastructure (GSI) A Globus Grid middleware toolkit biztonságtechnikai komponense Nyilvános kulcsú titkosításon (X.509, SSL) alapuló kölcsönös autentikációs eljárást biztosít a Grid felhasználók és szolgáltatások részére Tanúsítványok: hitelesítő szervezet (CA) által aláírt nyilvános kulcsok A hitelesítő szervezetben mindkét fél megbízik, nyilvános kulcsát mindkét fél ismeri
NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer7 Autentikáció a Gridben II. Kliens Grid Szerver SkSk CkCk SsSs CsCs CkCk Próba 1 S k (Próba 1 ) CkCk CsCs CsCs Próba 2 S s (Próba 2 ) Kliens OK! Szerver OK!
NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer8 Autentikáció a Gridben III. Egyszeri beléptetés (Single Sign-On) A felhasználó csak egyszer azonosítja magát, azután minden Grid szolgáltatást használhat Jogosultság-delegáció (credential delegation) A felhasználó által indított munkafolyamatok a felhasználó nevében tevékenykedhetnek A titkos kulcsot nem akarjuk a munkafolyamatokra bízni Megoldás: Proxy tanúsítványok A felhasználó által létrehozott kulcspárok A nyilvános kulcsot a felhasználó a saját titkos kulcsával hitelesíti Korlátozott ideig érvényesek és/vagy korlátozott jogosultságokkal bírnak
NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer9 Autentikáció a Gridben IV. CA ScSc CcCc User SuSu CuCu Proxy 1 S1S1 C1C1 Proxy n SnSn CnCn aláírás … aláírás A proxy tanúsítványok további proxyk létrehozására is alkalmasak (delegáció), így tanúsítvány-lánc hozható létre A proxy hitelességének ellenőrzéséhez az egész láncolatot be kell járni
NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer10 Elektronikus kulcskiosztó rendszer I. A proxy tanúsítvány létrehozásához a felhasználónak szüksége van a titkos kulcsára Általában a titkos kulcsot a felhasználó felügyeli Egy jelszóval védett fájl a home könyvtárban A kulcskezelés terhét a felhasználó viseli, aki esetleg nem tudja, vagy nem akarja megfelelő gondossággal kezelni kulcsait Véletlen törlések, akaratlan kulcskiszivárogtatás A Grid szolgáltatások több, független végpontról történő használata A különböző erőforrásokhoz más-más kulcspárok tartozhatnak
NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer11 Elektronikus kulcskiosztó rendszer II. Az elektronikus kulcskiosztó rendszer (Online Credential Retrieval System, OCRS) Központi adatbázisban tárolja a felhasználók kulcspárait A felhasználó kérésére proxy tanúsítványt állít elő és küld vissza Az OCRS előnyei Leegyszerűsíti a rendszeradminisztrátorok munkáját (több ezer felhasználós rendszerek is előfordulhatnak) A felhasználót mentesíti a kulcskezelés feladata alól Az egész rendszer biztonságát növeli A váratlanul hosszú ideig futó munkafolyamatok a felhasználó közbeavatkozása nélkül is igényelhetnek kiterjesztett érvényességű proxy tanúsítványokat
NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer12 Alapvető működés OCR szerver Kliens userid, certid, auth userid, certid, auth userid, auth dn SkSk CkCk certid SpSp CpCp pwd(S p, C p ) SpSp CpCp
NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer13 A proxy tanúsítványok felhasználása Kliens PS:proxy tanúsítvány és titkos kulcs RS:korlátozott jogosultságú proxy tanúsítvány és titkos kulcs Ütemező PS „A” rendszer „B” rendszer PS 1. fájl szerver 2. fájl szerver RS
NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer14 Visszavont tanúsítványok kezelése Kliens OCR szerver PS Grid Fájl szerver PS RS CA CRL Visszavonták? CRL: Certificate Revocation List, Tanúsítvány-visszavonó lista adat
NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer15 Adatbázisreplikák OCR szerver Kliens OCR szerver replika replika protokoll lokális lekérdezés
NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer16 Vándorló kliensek OCR szerver OCR szerver távoli Vándorló kliens Kliens lokális lekérdezés 2. távoli lekérdezés OCR szerver magasszintű 2. távoli lekérdezés 1. távoli lekérdezés tűzfal
NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer17 OCR implementáció I. Kódolatlan kulcsadatbázis Az OCR szerver kódolatlanul tárolja a titkos kulcsokat Lehetővé teszi a jelszótovábbítás nélküli autentikációt, illetve az alternatív autentikációs eljárásokat (OTP, Kerberos) Az OCR számára dedikált gépet kell elkülöníteni Háttéradatbázis moduláris implementációja Kis felhasználóbázis esetén az egyszerű szövegfájl is elég Nagy terhelés: hasítótábla Nagy terhelés, nagy felhasználóbázis: valódi adatbáziskezelő
NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer18 OCR implementáció II. Kliens interfész Adott lejárati idejű proxy tanúsítvány igénylése Korlátozott jogosultságú proxy tanúsítvány igénylése Adminisztratív felület Új felhasználó létrehozása, felhasználó letiltása és törlése Autentikációs eljárás kiválasztása, jelszóbeállítás Új tanúsítvány feltöltése, tanúsítvány letiltása és törlése Automatikus kulcspárgenerálás, és továbbítás a helyi hitelesítő hatósághoz CRL gyorsítótár implementálása a hálózat terhelésének csökkentésére
NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer19 Terveink Több autentikációs megoldás támogatása (jelszó, OTP, Kerberos, …) Háttéradatbázis moduláris implementációja Vándorló kliens támogatása Fejlesztői könyvtárak és kliensoldali programok (C, Java, Perl) elkészítése Adminisztratív felület megvalósítása Együttműködve MyProxy készítőivel (USA/Globus projekt) GridPortal fejlesztőkkel (EU/DataGRID/WP2) CE autentikáció fejlesztőivel (EU/DataGRID/WP1)
NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer20 További információk GSI Online Credential Retrieval — Requirements OCR Implementation for the Grid Portal Collaboration Securely Available Credentials (SACRED) — Requirements RFC 3157 Online Certificate Status Protocol RFC 2560