Biztonság a glite-ban

Méret: px

Mutatás kezdődik a ... oldaltól:

Download "Biztonság a glite-ban"

Ferenc Király
8 évvel ezelőtt
Látták:

1 Biztonság a glite-ban INFSO-RI

2 Mi a Grid biztonság? A Grid probléma lehetővé tenni koordinált erőforrás megosztást és probléma megoldást dinamikus több szervezeti egységből álló virtuális szervezetekben. A Grid anatómiája Ian Foster, Carl Kesselman, Steven Tuecke A Grid-nek lehetővé kell tenni a VO koncepciót Milyen biztonság kell VO szinten? INFSO-RI

3 A virtuális szervezet koncepciója Enabling Grids for E-sciencE VO minden alkalmazás, terhelés vagy közösség száméra Egy bizonyos erőforrás rész kijelölése egy vagy egy csoport felhasználónak Dinamikus rész kifejezése INFSO-RI

4 Problémák hálózati szinten A Grid résztvevői az Interneten kommunikálnak Hogyan lehet a kommunikációs végpontokat azonosítani? Authentication Hogyan lehet egy biztonságos csatornát felépíteni két végpont között? Titkosítás Letagadhatatlanság Integritás Felhasználó Grid szolgáltatás INFSO-RI

5 Problémák VO szinten Felhasználó Bróker Számítási egység Tárolási egység Melyik hálózati entitás tartozik hozzá a VO-hoz? Melyik nem? Mit szabad egy VO tagnak tenni? Hozzáférés engedélyezés Hogyan tud egy szolgáltatás a felhasználó nevében fellépni? Hogyan tud a bróker hozzáférni a felhasználó site-jáhzo? Hogyan tud egy bróker által indított feladat hozzáférni a felhasználó privát adataihoz? INFSO-RI

6 Biztonsági infrastruktúra Biztonság hálózati szinten: Nyilvános kulcsú infrastuktúra (PKI) INFSO-RI

7 A nyilvános kulcsú infrastruktúra alapjai Minden hálózati entitás (felhasználó/gép/software) rendelkezik két kulccsal: egy privát és nyilvános kulccsal Lehetetlen megszerezni a privát kulcsot a nyilvánosból Egy kulcs által titkosított üzenetet csak a másik kulccsal lehet visszafejteni. Koncepció: A nyilvános kulcsokat kicseréljük A küldő a fogadó nyilvános kulcsával titkosít A fogadó a saját titkos kulcsával fejti vissza az üzenetet Béla Sanyi kulcsa nyilvános titkos Sanyi ciao 3$r 3$r ciao Béla Sanyi bye %i4 %i4 bye INFSO-RI

PKI működése Titkosítás Titkosítás a fogadó nyilvános kulcsával Csak egy fogadó tudja megfejteni az üzenetet Sanyi kulcsa Béla Sanyi ciao 3$r 3$r ciao nyilvános titkos Letagadhatatlanság Naiv

8 PKI működése Titkosítás Titkosítás a fogadó nyilvános kulcsával Csak egy fogadó tudja megfejteni az üzenetet Sanyi kulcsa Béla Sanyi ciao 3$r 3$r ciao nyilvános titkos Letagadhatatlanság Naiv megközelítés: az üzenet titkosítása a küldő privát kulcsával Hosszú üzeneteknél túl költséges Megoldás: Az üzenet ellenőrző összegének előállítása Az ellenőrző összeg titkosítása a küldő privát kulcsával Titkosított ellenőrző összeg hozzáfűzése az üzenthez Digitális aláírás Járulékos haszon: Integritás üzenet Hash A Digitális aláírás Digitális aláírás INFSO-RI

9 PKI működés közben Enabling Grids for E-sciencE Sanyi kulcsai Sanyi üzenet Hash A üzenet titkos nyilvános Digitális aláírás Digitális aláírás Kölcsönös hitelesítés és nyilvános kulcscsere: SSL protokoll Béla kulcsai Béla üzenet Hash B =? üzenet titkos nyilvános Hash A Digitális aláírás INFSO-RI

10 Entitás identitás Mivel csak nekem van hozzáférésem a privát kulcsomhoz biztos lehetsz benne, hogy én írtam alá a dokumentumot De honnan tudod, hogy a jó nyilvános kulcsom van nálad?? INFSO-RI

11 Nyilvános és titkos kulcsok A nyilvános kulcsot egy tanúsítvány tartalmazza A tanúsítványokat egy mindenki által megbízott harmadik fél készíti (CA) Certificate A titkos kulcsot egy jelszóval védett fájl tartalmazza A privát kulcsot a felhasználó hozza létre Public key Subject:/C=HU/O=NIIF CA/OU=GRID/OU=BME/CN=Mezga Gezas/ =mezga@bme.hu Issuer: C=CH, O=CERN, OU=GRID, CN=CERN CA Expiration date: Aug 26 08:08: GMT Serial number: 625 (0x271) Optional Extensions CA Digital signature 1. A nyilvános kulcs és meta információk ellenőrző összege, 2. Titkosítva a CA titkos kulcsával INFSO-RI

12 Privát kulcs és tanúsítvány A titkos kulcs és a tanúsítvány helyei: Böngészőben tárolva Fájlokban tárolva különböző formátumokban (PEM, P12, ) [test@glite-tutor test]$ ls -l.globus/ total 8 -rw-r--r-- 1 test users 1761 Oct usercert.pem -r test users 951 Oct userkey.pem Ha valaki használja a te tanúsítványodat, akkor nem lehet letagadni, hogy nem te voltál. INFSO-RI

13 Problémák hálózati szinten Felhasználó Grid szolgáltatás A VO tagjai az Interneten kommunikálnak Hogyan lehet a kommunikációs végpontokat azonosítani? Hitelesítés Hogyan lehet egy biztonságos csatornát létrehozni a két fél között? Titkosítás Letagadhatatlanság Integritás INFSO-RI

14 Biztonsági infrastruktúra/2 Biztonság VO szinten INFSO-RI

15 Felhasználó Site A Enabling Grids for E-sciencE Indítsd el a feladatot a legjobb erőforráson a biomed VO-ban Távoli eljárás létrehozási kérelem* Grid szolgáltatások ~ ágensek: Delegáció szükségessége - Felhasználó hitelesítés és engedélyezés - Folyamat létrehozás Bróker - Felhasználó hitelesítés és engedélyezés - Folyamat létrehozás Site B Számítási egység Távoli eljárás létrehozási kérelem * Számítási egység Folyamat Process * Kölcsönös hitelesítéssel Távoli fájl hozzáférés* Site C Tárolási egység Process Folyamat - Felhasználó hitelesítés és engedélyezés - Fájl hozzáférés INFSO-RI

16 Delegáció korlátozott érv. proxival Delegáció lehetővé teszi, hogy távoli folyamat vagy szolgáltatás hitelesítse magát a felhasználó nevében Távoli folyamat/szolgáltatás megszemélyesíti a felhasználót Megoldás: Egy újabb szintű kulcs tanúsítvány létrehozása a felhasználó tanúsítványából Az új kulcs-pár egy egyszerű fájl: Proxy credential A proxy titkos kulcsát nem védi jelszó A proxy korlátozható az elvégezető műveletek terén A proxynak korlátozott az időbeli érvényessége INFSO-RI

17 Proxy működés közben Felhasználó Egyszeri bejelentkezés & Távoli eljárás létrehozási kérelem * Bróker Proxy credential Site A Számítási egység Folyamat GSI-enabled server Proxy credential Hitelesítés Helyi felhasználó hozzárendelés Folyamat létrehozása Generate credentials Távoli fájl hozzáférés kérelem * Site C Távoli eljárás létrehozási kérelem * GSI-enabled Tárolási egység GSI-enabled server Számítási egység Process Proxy credential Site B Storage Element INFSO-RI

18 Bejelentkezés a Gridbe: Proxy létrehozása [denes@ui ~]$ voms-proxy-init --voms gilda Your identity: /C=HU/O=NIIF CA/OU=GRID/OU=BME/CN=Nemeth Denes/ =nemeth.denes@iit.bme.hu Creating temporary proxy... Done Contacting voms.ct.infn.it:15001 [/C=IT/O=INFN/OU=Host/L=Catania/CN=voms.ct.infn.it] "gilda" Done Creating proxy... Done Your proxy is valid until Mon Oct 6 22:39: % voms-proxy-init bejelentkezés a Gridbe Enter PEM pass phrase: ****** A titkos kulcsot egy jelszó védi % voms-proxy-destroy kijelentkezés a Gridből A delegált credentialok nem kerülnek visszavonásra INFSO-RI

Hasonló dokumentumok

IP alapú távközlés. Virtuális magánhálózatok (VPN)

IP alapú távközlés. Virtuális magánhálózatok (VPN) IP alapú távközlés Virtuális magánhálózatok (VPN) Jellemzők Virtual Private Network VPN Publikus hálózatokon is használható Több telephelyes cégek hálózatai biztonságosan összeköthetők Olcsóbb megoldás,