A JGrid rendszer biztonsági architektúrája. Magyaródi Márk Juhász Zoltán Veszprémi Egyetem

Méret: px

Mutatás kezdődik a ... oldaltól:

Download "A JGrid rendszer biztonsági architektúrája. Magyaródi Márk Juhász Zoltán Veszprémi Egyetem"

Botond Kis
5 évvel ezelőtt
Látták:

1 A JGrid rendszer biztonsági architektúrája Magyaródi Márk Juhász Zoltán Veszprémi Egyetem

2 A JGrid projekt Java és Jini alapú szolgáltatás orientált Grid infrastruktúra IKTA-5 089/2002 ( ) Konzorcium: Veszprémi Egyetem MTA SZTAKI ELTE Sun Microsystems április 6. 2/16

3 A JGrid projekt céljai Alapvető számítási Grid szolgáltatások fejlesztése Compute Service Batch Excutor Storage Service Broker A Jini rendszer kiegészítése: Grid biztonsági rendszer kialakítása Globális szolgáltatás felfedezés router-hálózattal Grid alkalmazás-fejlesztő keretrendszer fejlesztése (P- GRADE) Grid middleware készítés, mely lehetővé teszi szolgáltatások egyszerű fejlesztését április 6. 3/16

4 A Jini technológia jellemzői Elosztott szolgáltatások közössége Java alapú Lookup szolgáltatás, dinamikus felfedezés és csatlakozás Leasing Elosztott események RMI - távoli metódushívás április 6. 4/16

5 Biztonsági problémák Hagyományos veszélyek Hálózati lehallgatás, vírusok, személyazonosság kijátszása, hátsó ajtók, puffer túlcsordulás, illegális hozzáférés Java mobil kód Objektumok küldése, fogadása, pl.: proxy A kód a hálózaton potenciális veszélyben van (ellopják, kicserélik) A letöltött kód a metódushívással megkapja a vezérlést (vírus, trójai) április 6. 5/16

6 Biztonsági követelmények Általános Egyszeri bejelentkezés (SSO Single Sign On) Hálózati biztonság: titkosítás, integritás, autentikáció Hozzáférés szabályozás Jini és JGrid Proxy eredet vizsgálata (proxy trust) Adat és program biztonság egyszerre Mobil kód engedélyeinek szabályozása április 6. 6/16

7 Jini biztonsági mechanizmus A proxy eredet vizsgálata (proxy trust) Hálózati biztonság Dinamikus engedélyadás április 6. 7/16

8 Proxy eredetvizsgálat A kliensnek csak a szervert kell ismerni Felépít egy biztonságos kapcsolatot a szerverrel, melyen keresztül kér egy ellenőrző objektumot Ezzel a szerver ellenőrzi, hogy a proxy ténylegesen az övé-e Ha igen, akkor a kliens tudja, hogy a proxy tényleg a szervertől származik április 6. 8/16

9 Hálózati biztonság a Jiniben Új RMI implementáció, melynek hálózati rétege cserélhető SSL hálózati réteg Integritás Titkosítás Kliens és szerver autentikáció A letöltött kódot is védeni kell: HTTPS (titkosítás, integritás) HTTPMD (csak integritás) április 6. 9/16

10 Dinamikus engedélyadás A proxy rendszerbe kerülésekor nem rendelkezik engedélyekkel Nem fér hozzá védett erőforrásokhoz Az eredetiség vizsgálat után eldönthetjük, hogy mit engedélyezünk a proxy-nak Új Policy implementáció a Jini-ben Futás idejű engedélyadás április 6. 10/16

11 Grid biztonsági problémák Felhasználó autentikáció SSL autentikáció: titkos kulcs, bizonyítvány A titkos kulcs tárolása és hordozása Bizonyítvány beszerzése Hosszadalmas, körülményes Túl hivatalos (személyes átvétel, személyi igazolvány, stb.) Anyagi vonzatok Delegálás hiánya április 6. 11/16

12 Grid biztonsági problémák Hozzáférés szabályozás A szolgáltatás a kliens autentikáció alapján, csak azt tudja, hogy kivel áll kapcsolatban Első alkalommal el kell kérni a felhasználó adatait regisztráció, ezek alapján lehet definiálni a hozzáférési jogokat A legtöbb szolgáltatásnál ugyanazokat az adatokat kell tárolni A Jini csak felhasználó alapú szabályozást biztosít április 6. 12/16

13 JGrid biztonsági szolgáltatások Autentikációs szolgáltatás A JGrid-en belül egységes autentikációt biztosít, ill. megvalósítja az egyszeri bejelentkezést Regisztrációs szolgáltatás A szolgáltatások közös felhasználó regisztrációs adatbázisa, amely egyszerű felhasználó menedzsmentet és hozzáférés szabályozást biztosít április 6. 13/16

14 Az autentikációs szolgáltatás A felhasználó azonosítása bármilyen protokoll lehet (pl.: password, PKI, Kerberos) Az autentikációs szolgáltatás felelősséget vállal a felhasználóinak hitelességéért Rövidtávú SSL titkos kulcs bizonyítvány párokat állít ki, amivel a JGrid-en belül azonosítja A bizonyítványt a felhasználó adataival állítja ki, és rövid ideig (pár óra vagy nap) érvényes A JGrid-en belül ez a rövidtávú bizonyítvány használatos A JGrid szolgáltatások által elismert tanúsítványkiállító április 6. 14/16

15 A regisztrációs szolgáltatás Több szolgáltatás közösen használ egy regisztrációs szolgáltatást A felhasználók így csak egyszer végzik el a regisztrációs lépéseket (az adott szolgáltatás együtteshez) A felhasználó adatai mellett a szerepköreit is tárolják (amit a szolgáltatások tudnak hozzáadni és elvenni) A szolgáltatások a szerepkörökhöz definiálnak hozzáférési szabályokat április 6. 15/16

16 Általános működés bejelentkezés: aliz mypassword Autentikációs szolgáltatás CN: Aliz, Horváth L: Veszprém C: HU O: Veszprémi Egyetem Regisztrációs szolgáltatás birth: address: Veszprém, Egyetem u. 10. roles: guest, service1.user, service2.poweruser Kliens Kliens Szolgáltatás #1 #1 Szolgáltatás #1 #1 Szolgáltatás #1 # április 6. 16/16

17 Köszönöm a figyelmet! magyarodi@irt.vein.hu

Hasonló dokumentumok

Biztonság a glite-ban

Biztonság a glite-ban www.eu-egee.org INFSO-RI-222667 Mi a Grid biztonság? A Grid probléma lehetővé tenni koordinált erőforrás megosztást és probléma megoldást dinamikus több szervezeti egységből álló