A JGrid rendszer biztonsági architektúrája Magyaródi Márk Juhász Zoltán Veszprémi Egyetem
A JGrid projekt Java és Jini alapú szolgáltatás orientált Grid infrastruktúra IKTA-5 089/2002 (2003-2004) Konzorcium: Veszprémi Egyetem MTA SZTAKI ELTE Sun Microsystems 2004. április 6. 2/16
A JGrid projekt céljai Alapvető számítási Grid szolgáltatások fejlesztése Compute Service Batch Excutor Storage Service Broker A Jini rendszer kiegészítése: Grid biztonsági rendszer kialakítása Globális szolgáltatás felfedezés router-hálózattal Grid alkalmazás-fejlesztő keretrendszer fejlesztése (P- GRADE) Grid middleware készítés, mely lehetővé teszi szolgáltatások egyszerű fejlesztését 2004. április 6. 3/16
A Jini technológia jellemzői Elosztott szolgáltatások közössége Java alapú Lookup szolgáltatás, dinamikus felfedezés és csatlakozás Leasing Elosztott események RMI - távoli metódushívás 2004. április 6. 4/16
Biztonsági problémák Hagyományos veszélyek Hálózati lehallgatás, vírusok, személyazonosság kijátszása, hátsó ajtók, puffer túlcsordulás, illegális hozzáférés Java mobil kód Objektumok küldése, fogadása, pl.: proxy A kód a hálózaton potenciális veszélyben van (ellopják, kicserélik) A letöltött kód a metódushívással megkapja a vezérlést (vírus, trójai) 2004. április 6. 5/16
Biztonsági követelmények Általános Egyszeri bejelentkezés (SSO Single Sign On) Hálózati biztonság: titkosítás, integritás, autentikáció Hozzáférés szabályozás Jini és JGrid Proxy eredet vizsgálata (proxy trust) Adat és program biztonság egyszerre Mobil kód engedélyeinek szabályozása 2004. április 6. 6/16
Jini biztonsági mechanizmus A proxy eredet vizsgálata (proxy trust) Hálózati biztonság Dinamikus engedélyadás 2004. április 6. 7/16
Proxy eredetvizsgálat A kliensnek csak a szervert kell ismerni Felépít egy biztonságos kapcsolatot a szerverrel, melyen keresztül kér egy ellenőrző objektumot Ezzel a szerver ellenőrzi, hogy a proxy ténylegesen az övé-e Ha igen, akkor a kliens tudja, hogy a proxy tényleg a szervertől származik 2004. április 6. 8/16
Hálózati biztonság a Jiniben Új RMI implementáció, melynek hálózati rétege cserélhető SSL hálózati réteg Integritás Titkosítás Kliens és szerver autentikáció A letöltött kódot is védeni kell: HTTPS (titkosítás, integritás) HTTPMD (csak integritás) 2004. április 6. 9/16
Dinamikus engedélyadás A proxy rendszerbe kerülésekor nem rendelkezik engedélyekkel Nem fér hozzá védett erőforrásokhoz Az eredetiség vizsgálat után eldönthetjük, hogy mit engedélyezünk a proxy-nak Új Policy implementáció a Jini-ben Futás idejű engedélyadás 2004. április 6. 10/16
Grid biztonsági problémák Felhasználó autentikáció SSL autentikáció: titkos kulcs, bizonyítvány A titkos kulcs tárolása és hordozása Bizonyítvány beszerzése Hosszadalmas, körülményes Túl hivatalos (személyes átvétel, személyi igazolvány, stb.) Anyagi vonzatok Delegálás hiánya 2004. április 6. 11/16
Grid biztonsági problémák Hozzáférés szabályozás A szolgáltatás a kliens autentikáció alapján, csak azt tudja, hogy kivel áll kapcsolatban Első alkalommal el kell kérni a felhasználó adatait regisztráció, ezek alapján lehet definiálni a hozzáférési jogokat A legtöbb szolgáltatásnál ugyanazokat az adatokat kell tárolni A Jini csak felhasználó alapú szabályozást biztosít 2004. április 6. 12/16
JGrid biztonsági szolgáltatások Autentikációs szolgáltatás A JGrid-en belül egységes autentikációt biztosít, ill. megvalósítja az egyszeri bejelentkezést Regisztrációs szolgáltatás A szolgáltatások közös felhasználó regisztrációs adatbázisa, amely egyszerű felhasználó menedzsmentet és hozzáférés szabályozást biztosít 2004. április 6. 13/16
Az autentikációs szolgáltatás A felhasználó azonosítása bármilyen protokoll lehet (pl.: password, PKI, Kerberos) Az autentikációs szolgáltatás felelősséget vállal a felhasználóinak hitelességéért Rövidtávú SSL titkos kulcs bizonyítvány párokat állít ki, amivel a JGrid-en belül azonosítja A bizonyítványt a felhasználó adataival állítja ki, és rövid ideig (pár óra vagy nap) érvényes A JGrid-en belül ez a rövidtávú bizonyítvány használatos A JGrid szolgáltatások által elismert tanúsítványkiállító 2004. április 6. 14/16
A regisztrációs szolgáltatás Több szolgáltatás közösen használ egy regisztrációs szolgáltatást A felhasználók így csak egyszer végzik el a regisztrációs lépéseket (az adott szolgáltatás együtteshez) A felhasználó adatai mellett a szerepköreit is tárolják (amit a szolgáltatások tudnak hozzáadni és elvenni) A szolgáltatások a szerepkörökhöz definiálnak hozzáférési szabályokat 2004. április 6. 15/16
Általános működés bejelentkezés: aliz mypassword Autentikációs szolgáltatás CN: Aliz, Horváth L: Veszprém C: HU O: Veszprémi Egyetem Regisztrációs szolgáltatás e-mail: aladar@valami.hu birth: 1971.04.06 address: Veszprém, Egyetem u. 10. roles: guest, service1.user, service2.poweruser Kliens Kliens Szolgáltatás #1 #1 Szolgáltatás #1 #1 Szolgáltatás #1 #1 2004. április 6. 16/16
Köszönöm a figyelmet! http://pds.irt.vein.hu magyarodi@irt.vein.hu