1 / 15

Elektronikus kulcskiosztó rendszer Grid szolgáltatások és felhasználók azonosítására

Elektronikus kulcskiosztó rendszer Grid szolgáltatások és felhasználók azonosítására. Frohner Ákos Lőrentey Károly CERN IT ELTE ITK Akos.Frohner@cern.ch lorentey@elte.hu. Mi az a Grid?. Nagy számításígényű kutatási feladatok elvégzésére nem elegendő egyetlen kutatóközpont kapacitása

sakina
Download Presentation

Elektronikus kulcskiosztó rendszer Grid szolgáltatások és felhasználók azonosítására

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Elektronikus kulcskiosztórendszer Grid szolgáltatások és felhasználók azonosítására Frohner Ákos Lőrentey Károly CERN IT ELTE ITK Akos.Frohner@cern.ch lorentey@elte.hu

  2. Mi az a Grid? • Nagy számításígényű kutatási feladatok elvégzésére nem elegendő egyetlen kutatóközpont kapacitása • A megoldás: a rendelkezésre álló erőforrások összekötése egy együttműködő rendszerré • Minden szempontból heterogén • Dinamikusan változó összetételű • Földrajzilag szétszórt • Egyetlen metakomputert alkotó • Erőforrások: klaszterek és szuperszámítógépek, tárolóegységek, valamint egyéb készülékek Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer

  3. A DemoGRID projekt • A projekt célja a Grid magyarországi fejlesztésének és felhasználásának megerősítése • Testbed: 8 egyetem és kutatóközpont erőforrásainak összekapcsolása egyetlen virtuális szuperszámítógéppé • 300 host, 5 TiB adattárolási kapacitás • NIIF nagysebességű hálózata • Grid middleware kutatása és továbbfejlesztése • Tesztalkalmazások fejlesztése — adat- és számításintenzív feladatok Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer

  4. GRID Általános architektúra Tároló alrendszer Biztonsági alrendszer Monitorozó alrendszer RDB OODB DFS GDB ALKALMAZÁSOK Dekomp Adat Szoros Laza Hardver CPU Tároló Hálózat A DemoGRID projekt — áttekintés • ELTE • Informatika Tanszékcsoport • Elméleti Fizikai Tanszék • Fizikus Tanszékcsoport • Információtechnológiai Központ • SZTAKI • Párhuzamos és Elosztott Rendszerek Laboratórium • Rendszerfejlesztési Osztály • MTA KFKI Részecske és Magfizikai Kutatóintézet • SZIF, Matematikai Tanszék • MTA Műszaki Fizikai és Anyagtudományi Kutatóintézet Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer

  5. Autentikáció a Gridben I. • Grid Security Infrastructure (GSI) • A Globus Grid middleware toolkit biztonságtechnikai komponense • Nyilvános kulcsú titkosításon (X.509, SSL) alapuló kölcsönös autentikációs eljárást biztosít a Grid felhasználók és szolgáltatások részére • Tanúsítványok: hitelesítő szervezet (CA) által aláírt nyilvános kulcsok • A hitelesítő szervezetben mindkét fél megbízik, nyilvános kulcsát mindkét fél ismeri Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer

  6. Ck Próba1 Sk(Próba1) Cs Próba2 Ss(Próba2) Autentikáció a Gridben II. Grid Szerver Kliens Sk Ck Cs Ck Ss Cs Szerver OK! Kliens OK! Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer

  7. Autentikáció a Gridben III. • Egyszeri beléptetés (Single Sign-On) • A felhasználó csak egyszer azonosítja magát, azután minden Grid szolgáltatást használhat • Jogosultság-delegáció (credential delegation) • A felhasználó által indított munkafolyamatok a felhasználó nevében tevékenykedhetnek • A titkos kulcsot nem akarjuk a munkafolyamatokra bízni • Megoldás: Proxy tanúsítványok • A felhasználó által létrehozott kulcspárok • A nyilvános kulcsot a felhasználó a saját titkos kulcsával hitelesíti • Korlátozott ideig érvényesek és/vagy korlátozott jogosultságokkal bírnak Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer

  8. A proxy hitelességének ellenőrzéséhez az egész láncolatot be kell járni A proxy tanúsítványok további proxyk létrehozására is alkalmasak (delegáció), így tanúsítvány-lánc hozható létre CA User Proxy1 Proxyn aláírás aláírás aláírás Sc Cc Su Cu S1 C1 Sn Cn … aláírás Autentikáció a Gridben IV. Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer

  9. Elektronikus kulcskiosztó rendszer I. • A proxy tanúsítvány létrehozásához a felhasználónak szüksége van a titkos kulcsára • Általában a titkos kulcsot a felhasználó felügyeli • Egy jelszóval védett fájl a home könyvtárban • A kulcskezelés terhét a felhasználó viseli, aki esetleg nem tudja, vagy nem akarja megfelelő gondossággal kezelni kulcsait • Véletlen törlések, akaratlan kulcskiszivárogtatás • A Grid szolgáltatások több, független végpontról történő használata • A különböző erőforrásokhoz más-más kulcspárok tartozhatnak Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer

  10. Elektronikus kulcskiosztó rendszer II. • Az elektronikus kulcskiosztó rendszer (Online Credential Retrieval System, OCRS) • Központi adatbázisban tárolja a felhasználók kulcspárait • A felhasználó kérésére proxy tanúsítványt állít elő és küld vissza • Az OCRS előnyei • Leegyszerűsíti a rendszeradminisztrátorok munkáját (több ezer felhasználós rendszerek is előfordulhatnak) • A felhasználót mentesíti a kulcskezelés feladata alól • Az egész rendszer biztonságát növeli • A váratlanul hosszú ideig futó munkafolyamatok a felhasználó közbeavatkozása nélkül is igényelhetnek kiterjesztett érvényességű proxy tanúsítványokat Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer

  11. userid, certid, auth dn certid pwd(Sp, Cp) userid,auth Sk Ck Sp Cp Sp Cp Alapvető működés OCR szerver Kliens userid, certid, auth Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer

  12. OCR szerverreplika replikaprotokoll lokálislekérdezés lokálislekérdezés Adatbázisreplikák OCR szerver Kliens Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer

  13. OCR szervermagasszintű tűzfal 2. távolilekérdezés 2. távolilekérdezés 2. távolilekérdezés lokálislekérdezés 1. távolilekérdezés tűzfal Kliens Vándorló kliensek OCR szerver OCR szervertávoli Vándorlókliens Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer

  14. Terveink • Több autentikációs megoldás támogatása (jelszó, OTP, Kerberos, …) • Háttéradatbázis moduláris implementációja • Vándorló kliens támogatása • Fejlesztői könyvtárak és kliensoldali programok (C, Java, Perl) elkészítése • Adminisztratív felület megvalósítása • Együttműködve • MyProxy készítőivel (USA/Globus projekt) • GridPortal fejlesztőkkel (EU/DataGRID/WP2) • CE autentikáció fejlesztőivel (EU/DataGRID/WP1) Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer

  15. További információk • GSI Online Credential Retrieval — Requirementshttp://www.gridforum.org/security/ggf3_2001-10/ • OCR Implementation for the Grid Portal Collaborationhttp://dast.nlanr.net/Projects/MyProxy/ • Securely Available Credentials (SACRED) — RequirementsRFC 3157 • Online Certificate Status ProtocolRFC 2560 Frohner Á., Lőrentey K.: Elektronikus kulcskiosztó rendszer

More Related