Elektronikus kulcskiosztó rendszer Grid szolgáltatások és felhasználók azonosítására Frohner ÁkosLőrentey Károly CERN ITELTE ITK

Slides:



Advertisements
Hasonló előadás
EGEE-II Enabling Grids for E-sciencE EGEE and gLite are registered trademarks HunGrid Grid technológiák hozzáférési lehetőségei az intézetben.
Advertisements

Virtualizált Biztonságos BOINC Németh Dénes Deák Szabolcs Szeberényi Imre.
Elektronikus Ügyfélkapu – kapcsolat az ügyfél és a közigazgatás között
Kliens-szerver architektúra
Hálózati és Internet ismeretek
Hardver alapok I. 10. osztály.
INTERNET.
Magyar törvények és PKI. Büntetőjogi rendelkezések • Bűncselekmények, melyek eszköze az informatika • Bűncselekmények, melyek tárgya az informatika Aki.
HÁLÓZATOK.
Vezeték nélküli technológiák
1 GTS Szerver Virtualizáció – Ügyvitel a felhőben.
Alkalmazások portolása Gridre Balaskó Ákos MTA SZTAKI 2011 november 14.
Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! január 16.
Hálózati architektúrák
Hálózati architektúrák
Czeglédi László Integrált tartalomszolgáltatás megújult környezetben
Elektronikus archiválórendszer fejlesztése PKI alapokon Készítette: Kollár Balázs november 11.
Bev. Célok Tagok Tervek Külk. Sum. DemoGRID Heterogén rendszerek összekapcsolása adat- és számításigényes feladatok megoldására Benczúr András
Az ETR technológia DEXTER Informatikai kft..
Számítógép-hálózat • Önálló számítógépek összekapcsolt rendszere
Parkoló Rendszer Bűtösi Zsolt Gonda Zoltán Szabó Péter
Hernáth Szabolcs RMKI grid és Hungrid Hernáth Szabolcs
A KFKI AFS szolgáltatás Hernáth Szabolcs MTA KFKI RMKI
Hungrid: Magyarország kapuja az EGEE infrastruktúrájához Hernáth Szabolcs MTA KFKI RMKI
WEB MES (webes gyártásirányító rendszer)
1 Virtuális szuperszámítógép szolgáltatás kialakítása az akadémiai hálózat felhasználásával Kacsuk Péter
A tőkepiaci közzétételek elektronikus hitelesítése június 12. dr
Hibrid felhő Privát-, publikus és hoster felhők összekapcsolása
Hálózatkezelési újdonságok Windows 7 / R2
INTERNET.
Anyagadatbank c. tárgy gyakorlat Féléves tematika Adatbázis alapfogalmak, rendszerek Adatmodellek, adatbázis tervezés Adatbázis műveletek.
Mobil eszközök biztonsági problémái
1 Virtuális szuperszámítógép szolgáltatás kialakítása az akadémiai hálózat felhasználásával Kacsuk Péter Szeberényi.
A lengyel oktatási szerkezet változásai a rendszerváltás óta
SEEGRID használat saját tanusítvánnyal. Lépések Tanusítvány transzformálása –Igen, sajnos megint... Bejelentkezés saját accounttal Tanusítvány és titkos.
LOGO Webszolgáltatások Készítette: Kovács Zoltán IV. PTM.
EGI-InSPIRE RI EGI-InSPIRE EGI-InSPIRE RI e-Science Café RMKI Hernáth Szabolcs 8/5/2014.
Titkosítás, elektronikus és digitális aláírás. Fontos mindig észben tartanunk, hogy ha titkosítatlan csatornán kommunikálunk az Interneten, akkor bármely.
Hálózat kiépítésével lehetőségünk nyílik más számítógépek erőforrásainak használatára. Osztott háttértár használat: egy számítógép merevlemezének megosztásával.
A Magyar ClusterGRID projekt Stefán Péter tudományos munkatárs NIIF Iroda
1 Hernyák Zoltán Web: Magasszintű Programozási Nyelvek I. Eszterházy.
Az AliEn rendszer Novák Judit Vesztergombi György Predrag Buncic Pablo Saiz Jan-Erik Revsbench.
Neuroszimulátorok tesztelése a DemoGrid rendszeren MTA KFKI Részecske- és Magfizikai Kutatóintézet Biofizikai Osztály
Az AliEn rendszer Novák Judit Vesztergombi György Predrag Buncic
május 13 Hazai kutatói hálózati eredmények és tervek Tétényi István NIIF MT MITE 2003.
{ PKI } Active Directory Certificate Services
Bevezetés az európai és magyar Grid rendszerekbe Sipos Gergely MTA SZTAKI Párhuzamos és elosztott rendszerek laboratórium
Supervizor By Potter’s team SWENG 1Szarka Gábor & Tóth Gergely Béla.
EGEE-II INFSO-RI Enabling Grids for E-sciencE A HunGrid infrastruktúra és alkalmazásfejlesztő környezete Gergely Sipos
Akos Balasko MTA SZTAKI, Hungarian Academy of Sciences Felhő használat paraméterteret bejáró szimulációk futtatására.
EGEE-III INFSO-RI Enabling Grids for E-sciencE A Hungrid VO szolgáltatásai A Hungrid, a magyar NGI bölcsője Hernáth Szabolcs Szeberényi.
1 AZ IKTA-2000 projektjeinek szakmai bemutatója IKTA-144/2000 projekt november 28.
Live Communication Server Integrált kommunikációs infrastruktúra Mobil támogatás Munkaterület Instant üzenetküldés VOIP Alkalmazások, munkafolyamatok.
Hálózatok a mai világban
A PKI project célja Digitális kulccsal elérhető szerver Hamisíthatatlan naplózás Új kulcsok dinamikus létrehozása Felhasználók letiltása.
A projekt az Európai Unió társfinanszírozásával, az Európa terv keretében valósul meg. Számítógép- hálózatok dr. Herdon Miklós dr. Kovács György Magó Zsolt.
Felhasználók, felhasználócsoportok, jogosultságok.
N E M Z E T I A U D I O V I Z U Á L I S A R C H Í V U M NAVA project BudapestI Műszaki Egyetem Informatikai és Hírközlési Minisztérium NAVA 2005.
LPDS és felhő technológia Peter Kacsuk
Rövid áttekintés a MOK/HEFOP kártyák használhatóságáról Készítette: Nádor Szabolcs,
30 éves a Nemzeti Információs Infrastruktúra Fejlesztési Program
Hálózatos programok készítése
Az NIIF Program helye a kutatóhálózati világban
HPC Portál: Bejárat a szuperszámítógépek világába
Informatikai rendszerek lassulása - a tervszerű archiválás hiánya?
Magyar információbiztonsági szabványok V.
Hálózati architektúrák
Adatmozgatás az MTA Cloudon Data Avenue segítségével MTA Cloud workshop november 21. Nagy Enikő MTA Cloud csapattag Szoftverfejlesztő.
Hálózati struktúrák, jogosultságok
Előadás másolata:

Elektronikus kulcskiosztó rendszer Grid szolgáltatások és felhasználók azonosítására Frohner ÁkosLőrentey Károly CERN ITELTE ITK

NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer2 Mi az a Grid?  Nagy számításígényű kutatási feladatok elvégzésére nem elegendő egyetlen kutatóközpont kapacitása  A megoldás: a rendelkezésre álló erőforrások összekötése egy együttműködő rendszerré Minden szempontból heterogén Dinamikusan változó összetételű Földrajzilag szétszórt Egyetlen metakomputert alkotó  Erőforrások: klaszterek és szuperszámítógépek, tárolóegységek, valamint egyéb készülékek

NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer3 A DemoGRID projekt  A projekt célja a Grid magyarországi fejlesztésének és felhasználásának megerősítése  Testbed: 8 egyetem és kutatóközpont erőforrásainak összekapcsolása egyetlen virtuális szuperszámítógéppé 300 host, 5 TiB adattárolási kapacitás NIIF nagysebességű hálózata Grid middleware kutatása és továbbfejlesztése Tesztalkalmazások fejlesztése — adat- és számításintenzív feladatok

NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer4 A DemoGRID projekt — áttekintés  ELTE Informatika Tanszékcsoport Elméleti Fizikai Tanszék Fizikus Tanszékcsoport Információtechnológiai Központ  SZTAKI Párhuzamos és Elosztott Rendszerek Laboratórium Rendszerfejlesztési Osztály  MTA KFKI Részecske és Magfizikai Kutatóintézet  SZIF, Matematikai Tanszék  MTA Műszaki Fizikai és Anyagtudományi Kutatóintézet GRID Általános architektúra Tároló alrendszer Monitoroz ó alrendszer Biztonság i alrendszer ALKALMAZÁSOK Hardver RDB OODB GDB DFS Adat Szoros Laza Dekomp TárolóCPU Hálózat

NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer5 CERN  Európai Részecskefizikai Laboratórium  Új részecskegyorsító: Nagy hadronütköztető (LHC) Tervezett átadás: 2006 Protonütköztetés 7 TeV-os nyalábonkénti energiával  Óriási adatfeldolgozási igények 5-8 PiB mérési adat keletkezik évente A jelenlegi leggyorsabb PC processzorokból kb darab lenne képes feldolgozni az eredményeket A számítási kapacitás kétharmadát európai, amerikai és ázsiai regionális számítóközpontok adják A világméretű együttműködés kivételes biztonságtechnikai problémákat vet fel

NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer6 Autentikáció a Gridben I.  Grid Security Infrastructure (GSI) A Globus Grid middleware toolkit biztonságtechnikai komponense Nyilvános kulcsú titkosításon (X.509, SSL) alapuló kölcsönös autentikációs eljárást biztosít a Grid felhasználók és szolgáltatások részére Tanúsítványok: hitelesítő szervezet (CA) által aláírt nyilvános kulcsok A hitelesítő szervezetben mindkét fél megbízik, nyilvános kulcsát mindkét fél ismeri

NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer7 Autentikáció a Gridben II. Kliens Grid Szerver SkSk CkCk SsSs CsCs CkCk Próba 1 S k (Próba 1 ) CkCk CsCs CsCs Próba 2 S s (Próba 2 ) Kliens OK! Szerver OK!

NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer8 Autentikáció a Gridben III.  Egyszeri beléptetés (Single Sign-On) A felhasználó csak egyszer azonosítja magát, azután minden Grid szolgáltatást használhat  Jogosultság-delegáció (credential delegation) A felhasználó által indított munkafolyamatok a felhasználó nevében tevékenykedhetnek  A titkos kulcsot nem akarjuk a munkafolyamatokra bízni  Megoldás: Proxy tanúsítványok A felhasználó által létrehozott kulcspárok A nyilvános kulcsot a felhasználó a saját titkos kulcsával hitelesíti Korlátozott ideig érvényesek és/vagy korlátozott jogosultságokkal bírnak

NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer9 Autentikáció a Gridben IV. CA ScSc CcCc User SuSu CuCu Proxy 1 S1S1 C1C1 Proxy n SnSn CnCn aláírás … aláírás  A proxy tanúsítványok további proxyk létrehozására is alkalmasak (delegáció), így tanúsítvány-lánc hozható létre  A proxy hitelességének ellenőrzéséhez az egész láncolatot be kell járni

NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer10 Elektronikus kulcskiosztó rendszer I.  A proxy tanúsítvány létrehozásához a felhasználónak szüksége van a titkos kulcsára  Általában a titkos kulcsot a felhasználó felügyeli  Egy jelszóval védett fájl a home könyvtárban  A kulcskezelés terhét a felhasználó viseli, aki esetleg nem tudja, vagy nem akarja megfelelő gondossággal kezelni kulcsait Véletlen törlések, akaratlan kulcskiszivárogtatás A Grid szolgáltatások több, független végpontról történő használata A különböző erőforrásokhoz más-más kulcspárok tartozhatnak

NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer11 Elektronikus kulcskiosztó rendszer II.  Az elektronikus kulcskiosztó rendszer (Online Credential Retrieval System, OCRS) Központi adatbázisban tárolja a felhasználók kulcspárait A felhasználó kérésére proxy tanúsítványt állít elő és küld vissza  Az OCRS előnyei Leegyszerűsíti a rendszeradminisztrátorok munkáját (több ezer felhasználós rendszerek is előfordulhatnak) A felhasználót mentesíti a kulcskezelés feladata alól Az egész rendszer biztonságát növeli A váratlanul hosszú ideig futó munkafolyamatok a felhasználó közbeavatkozása nélkül is igényelhetnek kiterjesztett érvényességű proxy tanúsítványokat

NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer12 Alapvető működés OCR szerver Kliens userid, certid, auth userid, certid, auth userid, auth dn SkSk CkCk certid SpSp CpCp pwd(S p, C p ) SpSp CpCp

NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer13 A proxy tanúsítványok felhasználása Kliens  PS:proxy tanúsítvány és titkos kulcs  RS:korlátozott jogosultságú proxy tanúsítvány és titkos kulcs Ütemező PS „A” rendszer „B” rendszer PS 1. fájl szerver 2. fájl szerver RS

NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer14 Visszavont tanúsítványok kezelése Kliens OCR szerver PS Grid Fájl szerver PS RS CA CRL Visszavonták?  CRL: Certificate Revocation List, Tanúsítvány-visszavonó lista adat

NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer15 Adatbázisreplikák OCR szerver Kliens OCR szerver replika replika protokoll lokális lekérdezés

NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer16 Vándorló kliensek OCR szerver OCR szerver távoli Vándorló kliens Kliens lokális lekérdezés 2. távoli lekérdezés OCR szerver magasszintű 2. távoli lekérdezés 1. távoli lekérdezés tűzfal

NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer17 OCR implementáció I.  Kódolatlan kulcsadatbázis Az OCR szerver kódolatlanul tárolja a titkos kulcsokat Lehetővé teszi a jelszótovábbítás nélküli autentikációt, illetve az alternatív autentikációs eljárásokat (OTP, Kerberos) Az OCR számára dedikált gépet kell elkülöníteni  Háttéradatbázis moduláris implementációja Kis felhasználóbázis esetén az egyszerű szövegfájl is elég Nagy terhelés: hasítótábla Nagy terhelés, nagy felhasználóbázis: valódi adatbáziskezelő

NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer18 OCR implementáció II.  Kliens interfész Adott lejárati idejű proxy tanúsítvány igénylése Korlátozott jogosultságú proxy tanúsítvány igénylése  Adminisztratív felület Új felhasználó létrehozása, felhasználó letiltása és törlése Autentikációs eljárás kiválasztása, jelszóbeállítás Új tanúsítvány feltöltése, tanúsítvány letiltása és törlése Automatikus kulcspárgenerálás, és továbbítás a helyi hitelesítő hatósághoz  CRL gyorsítótár implementálása a hálózat terhelésének csökkentésére

NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer19 Terveink  Több autentikációs megoldás támogatása (jelszó, OTP, Kerberos, …)  Háttéradatbázis moduláris implementációja  Vándorló kliens támogatása  Fejlesztői könyvtárak és kliensoldali programok (C, Java, Perl) elkészítése  Adminisztratív felület megvalósítása  Együttműködve MyProxy készítőivel (USA/Globus projekt) GridPortal fejlesztőkkel (EU/DataGRID/WP2) CE autentikáció fejlesztőivel (EU/DataGRID/WP1)

NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer20 További információk  GSI Online Credential Retrieval — Requirements  OCR Implementation for the Grid Portal Collaboration  Securely Available Credentials (SACRED) — Requirements RFC 3157  Online Certificate Status Protocol RFC 2560