Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Elektronikus kulcskiosztó rendszer Grid szolgáltatások és felhasználók azonosítására Frohner ÁkosLőrentey Károly CERN ITELTE ITK

Hasonló előadás


Az előadások a következő témára: "Elektronikus kulcskiosztó rendszer Grid szolgáltatások és felhasználók azonosítására Frohner ÁkosLőrentey Károly CERN ITELTE ITK"— Előadás másolata:

1 Elektronikus kulcskiosztó rendszer Grid szolgáltatások és felhasználók azonosítására Frohner ÁkosLőrentey Károly CERN ITELTE ITK Akos.Frohner@cern.chlorentey@elte.hu

2 NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer2 Mi az a Grid?  Nagy számításígényű kutatási feladatok elvégzésére nem elegendő egyetlen kutatóközpont kapacitása  A megoldás: a rendelkezésre álló erőforrások összekötése egy együttműködő rendszerré Minden szempontból heterogén Dinamikusan változó összetételű Földrajzilag szétszórt Egyetlen metakomputert alkotó  Erőforrások: klaszterek és szuperszámítógépek, tárolóegységek, valamint egyéb készülékek

3 NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer3 A DemoGRID projekt  A projekt célja a Grid magyarországi fejlesztésének és felhasználásának megerősítése  Testbed: 8 egyetem és kutatóközpont erőforrásainak összekapcsolása egyetlen virtuális szuperszámítógéppé 300 host, 5 TiB adattárolási kapacitás NIIF nagysebességű hálózata Grid middleware kutatása és továbbfejlesztése Tesztalkalmazások fejlesztése — adat- és számításintenzív feladatok

4 NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer4 A DemoGRID projekt — áttekintés  ELTE Informatika Tanszékcsoport Elméleti Fizikai Tanszék Fizikus Tanszékcsoport Információtechnológiai Központ  SZTAKI Párhuzamos és Elosztott Rendszerek Laboratórium Rendszerfejlesztési Osztály  MTA KFKI Részecske és Magfizikai Kutatóintézet  SZIF, Matematikai Tanszék  MTA Műszaki Fizikai és Anyagtudományi Kutatóintézet GRID Általános architektúra Tároló alrendszer Monitoroz ó alrendszer Biztonság i alrendszer ALKALMAZÁSOK Hardver RDB OODB GDB DFS Adat Szoros Laza Dekomp TárolóCPU Hálózat

5 NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer5 CERN  Európai Részecskefizikai Laboratórium  Új részecskegyorsító: Nagy hadronütköztető (LHC) Tervezett átadás: 2006 Protonütköztetés 7 TeV-os nyalábonkénti energiával  Óriási adatfeldolgozási igények 5-8 PiB mérési adat keletkezik évente A jelenlegi leggyorsabb PC processzorokból kb. 200000 darab lenne képes feldolgozni az eredményeket A számítási kapacitás kétharmadát európai, amerikai és ázsiai regionális számítóközpontok adják A világméretű együttműködés kivételes biztonságtechnikai problémákat vet fel

6 NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer6 Autentikáció a Gridben I.  Grid Security Infrastructure (GSI) A Globus Grid middleware toolkit biztonságtechnikai komponense Nyilvános kulcsú titkosításon (X.509, SSL) alapuló kölcsönös autentikációs eljárást biztosít a Grid felhasználók és szolgáltatások részére Tanúsítványok: hitelesítő szervezet (CA) által aláírt nyilvános kulcsok A hitelesítő szervezetben mindkét fél megbízik, nyilvános kulcsát mindkét fél ismeri

7 NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer7 Autentikáció a Gridben II. Kliens Grid Szerver SkSk CkCk SsSs CsCs CkCk Próba 1 S k (Próba 1 ) CkCk CsCs CsCs Próba 2 S s (Próba 2 ) Kliens OK! Szerver OK!

8 NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer8 Autentikáció a Gridben III.  Egyszeri beléptetés (Single Sign-On) A felhasználó csak egyszer azonosítja magát, azután minden Grid szolgáltatást használhat  Jogosultság-delegáció (credential delegation) A felhasználó által indított munkafolyamatok a felhasználó nevében tevékenykedhetnek  A titkos kulcsot nem akarjuk a munkafolyamatokra bízni  Megoldás: Proxy tanúsítványok A felhasználó által létrehozott kulcspárok A nyilvános kulcsot a felhasználó a saját titkos kulcsával hitelesíti Korlátozott ideig érvényesek és/vagy korlátozott jogosultságokkal bírnak

9 NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer9 Autentikáció a Gridben IV. CA ScSc CcCc User SuSu CuCu Proxy 1 S1S1 C1C1 Proxy n SnSn CnCn aláírás … aláírás  A proxy tanúsítványok további proxyk létrehozására is alkalmasak (delegáció), így tanúsítvány-lánc hozható létre  A proxy hitelességének ellenőrzéséhez az egész láncolatot be kell járni

10 NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer10 Elektronikus kulcskiosztó rendszer I.  A proxy tanúsítvány létrehozásához a felhasználónak szüksége van a titkos kulcsára  Általában a titkos kulcsot a felhasználó felügyeli  Egy jelszóval védett fájl a home könyvtárban  A kulcskezelés terhét a felhasználó viseli, aki esetleg nem tudja, vagy nem akarja megfelelő gondossággal kezelni kulcsait Véletlen törlések, akaratlan kulcskiszivárogtatás A Grid szolgáltatások több, független végpontról történő használata A különböző erőforrásokhoz más-más kulcspárok tartozhatnak

11 NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer11 Elektronikus kulcskiosztó rendszer II.  Az elektronikus kulcskiosztó rendszer (Online Credential Retrieval System, OCRS) Központi adatbázisban tárolja a felhasználók kulcspárait A felhasználó kérésére proxy tanúsítványt állít elő és küld vissza  Az OCRS előnyei Leegyszerűsíti a rendszeradminisztrátorok munkáját (több ezer felhasználós rendszerek is előfordulhatnak) A felhasználót mentesíti a kulcskezelés feladata alól Az egész rendszer biztonságát növeli A váratlanul hosszú ideig futó munkafolyamatok a felhasználó közbeavatkozása nélkül is igényelhetnek kiterjesztett érvényességű proxy tanúsítványokat

12 NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer12 Alapvető működés OCR szerver Kliens userid, certid, auth userid, certid, auth userid, auth dn SkSk CkCk certid SpSp CpCp pwd(S p, C p ) SpSp CpCp

13 NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer13 A proxy tanúsítványok felhasználása Kliens  PS:proxy tanúsítvány és titkos kulcs  RS:korlátozott jogosultságú proxy tanúsítvány és titkos kulcs Ütemező PS „A” rendszer „B” rendszer PS 1. fájl szerver 2. fájl szerver RS

14 NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer14 Visszavont tanúsítványok kezelése Kliens OCR szerver PS Grid Fájl szerver PS RS CA CRL Visszavonták?  CRL: Certificate Revocation List, Tanúsítvány-visszavonó lista adat

15 NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer15 Adatbázisreplikák OCR szerver Kliens OCR szerver replika replika protokoll lokális lekérdezés

16 NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer16 Vándorló kliensek OCR szerver OCR szerver távoli Vándorló kliens Kliens lokális lekérdezés 2. távoli lekérdezés OCR szerver magasszintű 2. távoli lekérdezés 1. távoli lekérdezés tűzfal

17 NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer17 OCR implementáció I.  Kódolatlan kulcsadatbázis Az OCR szerver kódolatlanul tárolja a titkos kulcsokat Lehetővé teszi a jelszótovábbítás nélküli autentikációt, illetve az alternatív autentikációs eljárásokat (OTP, Kerberos) Az OCR számára dedikált gépet kell elkülöníteni  Háttéradatbázis moduláris implementációja Kis felhasználóbázis esetén az egyszerű szövegfájl is elég Nagy terhelés: hasítótábla Nagy terhelés, nagy felhasználóbázis: valódi adatbáziskezelő

18 NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer18 OCR implementáció II.  Kliens interfész Adott lejárati idejű proxy tanúsítvány igénylése Korlátozott jogosultságú proxy tanúsítvány igénylése  Adminisztratív felület Új felhasználó létrehozása, felhasználó letiltása és törlése Autentikációs eljárás kiválasztása, jelszóbeállítás Új tanúsítvány feltöltése, tanúsítvány letiltása és törlése Automatikus kulcspárgenerálás, és továbbítás a helyi hitelesítő hatósághoz  CRL gyorsítótár implementálása a hálózat terhelésének csökkentésére

19 NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer19 Terveink  Több autentikációs megoldás támogatása (jelszó, OTP, Kerberos, …)  Háttéradatbázis moduláris implementációja  Vándorló kliens támogatása  Fejlesztői könyvtárak és kliensoldali programok (C, Java, Perl) elkészítése  Adminisztratív felület megvalósítása  Együttműködve MyProxy készítőivel (USA/Globus projekt) GridPortal fejlesztőkkel (EU/DataGRID/WP2) CE autentikáció fejlesztőivel (EU/DataGRID/WP1)

20 NWS '2002 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer20 További információk  GSI Online Credential Retrieval — Requirements http://www.gridforum.org/security/ggf3_2001-10/  OCR Implementation for the Grid Portal Collaboration http://dast.nlanr.net/Projects/MyProxy/  Securely Available Credentials (SACRED) — Requirements RFC 3157  Online Certificate Status Protocol RFC 2560


Letölteni ppt "Elektronikus kulcskiosztó rendszer Grid szolgáltatások és felhasználók azonosítására Frohner ÁkosLőrentey Károly CERN ITELTE ITK"

Hasonló előadás


Google Hirdetések