SGIgrid

SGIgrid
Bezpieczny dost p do usług
zarz dzania danymi w systemie
Laboratorium Wirtualnego
Pozna skie Centrum Superkomputerowo Supersieciowe:
M.Lawenda, M.Wolski, N.Meyer, C.Mazurek, M.Stroi ski
Politechnika Łódzka Centrum Komputerowe:
P.Szychowski, M.Kope
SiS 2004
SGIgrid
Agenda
•
•
•
•
Wprowadzenie do SGIgrid
Architektura Systemu Zarz dzania Danymi
Warstwa bezpiecze stwa w projekcie SGIgrid
Rozwi zanie uwierzytelniania i autoryzacji w
SZD Wirtualnego Laboratorium
SiS 2004
SGIgrid
Wirtualne Laboratorium i SZD
Uwierzytelnianie
U ytkownicy WWW
Sie klastrów
obliczeniowych
(Globus)
Serwer aplikacyjny
Portal WWW
PIONIER
PIONIER
Autoryzacja
SZD
Sie klastrów
bazo-danowych
(Globus)
Procesory steruj ce
Urz dzenia laboratoryjne
SiS 2004
SGIgrid
Architektura SZD
AUTH
RAD
WS
WS
Clients
Portal
Portal
„Eksploracja”
HTTPS
GMS
GMS
SZD
Data Broker
WS
WS
MetaData
Management
SQL
MetaData
DB
WS
„Transfer”
GASS, GSIFTP
Data
Storage
Problem bezpiecze stwa!!!
Jak zapewni spójno pomi dzy
„Eksploracj ” i „Transferem”, nie
mno c komunikatów ?
Data
Storage
DB
File System
SiS 2004
Data
Storage
HSM
SGIgrid
Bezpiecze stwo w gridach.
• Wirtualna organizacja.
• Wielopoziomowo zabezpiecze (AA –
autentykacja/autoryzacja).
• Silna kryptografia (security, non-repudition)
• Zasada SSO (Single Sign-Only)
SiS 2004
SGIgrid
GSI – Globus Security Infrastructure
uznany standard bezpiecze stwa
• GSI (1997) jest technologi udost pnion w
Globus Toolkit:
– Kryptografia PKCS
– Delegacja uprawnienia (Certyfikat Proxy, który słu y
do okazania w zast pstwie własnego certyfikatu X.509)
– Transfer plików GASS i GSIFTP oparty na SSLv3
• GSI GT2 versus GSI GT3
SiS 2004
SGIgrid
GSI GT2 i GT3 - porównanie
• GSI GT2
• GSI GT3
– Główne cechy:
– Główne cechy:
• Autentykacja opiera si o
zawaro pliku grid-mapfile
• Autoryzacja opiera si o system
lokalnego serwera
• Autentykacja i autoryzacja opiera
si o zewn trzny system CAS
(najlepiej centralny dla VO)
• Jest wykorzystane pole PCI
(Proxy Certificate Information –
rozszerzenie X.509)
– Wady:
• system jest trudno skalowalny
• system autoryzacji VO jest
zale ny od administratora
lokalnego systemu
– Zalety:
• System CAS jest Gridserwisem
(„Webserwisem”), dzi ki czemu
jest uniwersalny,
• rozwi zanie dobrze skalowalne
SiS 2004
SGIgrid
Certyfikat proxy (credential)
• Standard IETF PKIX (RFC 3820)
• U ywanie proxy wzmacnia bezpiecze stwo, poniewa stosuj c
krótkoterminowe klucze do zwykłych operacji w gridzie, ograniczmy
cz stotliwo wykorzystania rzeczywistego klucza prywatnego (to
oznacza mniejsz szans kompromitacji klucza rzeczywistego)
• Certyfikat proxy pozwala zrealizowa postulat SSO poniewa jego
u ycie nie wymaga podawania hasła do klucza.
• Trzy rodzaje certyfikatów proxy:
– Full delegation (GT2 i GT3)– umo liwia wył cznie identyfikacj ,
– Restricted delegation (GT3) – pozwala zał czy kontekstow polityk
(PCI), która podlega weryfikacji przez CAS
– No delegation (GT3) – komunikat dania dodatkowych praw od CAS (na
razie nie ma implementacji)
SiS 2004
SGIgrid
Certyfikat proxy
Certyfikat
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 253827 (0x3df83)
Signature Algorithm: md5WithRSAEncryption
Issuer: O=GridPL, OU=GlobusTest, OU=CKPL, OU=p.lodz.pl, CN=root
Validity
Not Before: Oct 20 12:34:08 2004 GMT
Not After : Oct 20 15:39:08 2004 GMT
Subject: O=GridPL, OU=GlobusTest, OU=CKPL, OU=p.lodz.pl,
CN=root, CN=1564418899
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:89:50:ba:2c:31:3a:27:db:f1:70:2f:87:b3:ef:
3f:cb:46:2d:a0:71:c9:8a:fb:92:52:2d:97:1c:cc:
46:77:3f:f7:5a:e0:15:05:75:82:ef:e8:1b:27:69:
f2:ad:e6:00:26:00:e1:7a:86:a8:c6:ba:a4:c4:f7:
6a:2a:a9:9d:93:4b:52:4a:d8:80:b0:d5:11:27:3b:
74:e1:a9:99:ba:71:d4:2e:8b:7f:ea:1e:b6:fb:04:
1c:cd:13:f6:71:cb:81:22:6e:13:d7:52:f4:01:aa:
d7:74:0c:d4:6f:e5:2b:60:a7:30:94:ca:cc:98:4e:
b1:28:5d:62:66:89:b1:69:1d
Exponent: 17 (0x11)
X509v3 extensions:
1.3.6.1.4.1.3536.1.222: critical
0.0...+.....P..READ ONLY
Signature Algorithm: md5WithRSAEncryption
26:75:94:58:77:ac:78:c5:ef:46:8e:a0:8e:ac:b5:9d:00:af:
3c:3b:60:6c:d0:3f:e0:b8:6c:d2:15:e9:08:d5:3e:54:7d:33:
21:61:ec:66:c4:8b:48:71:62:15:5f:73:67:82:5e:09:90:9a:
33:cf:3f:98:03:55:97:ba:87:26:c5:b4:7e:85:08:b8:88:ce:
38:f4:bd:69:58:f2:a2:45:c6:bd:95:c9:0a:89:eb:f4:d7:32:
86:f0:9f:7b:f2:35:a9:a8:f4:58:f8:8b:eb:1f:1c:92:d7:df:
41:fe:53:8e:d5:12:5f:a0:df:02:bb:77:b5:a9:c2:7c:62:56:
d3:a3
-----BEGIN CERTIFICATE----MIICaDCCAdGgAwIBAgIDA9+DMA0GCSqGSIb3DQEBBAUAMFgxDzANBgNVBAoTBkdy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:
Data:
Version: 3 (0x2)
Serial Number: 1 (0x1)
Signature Algorithm: md5WithRSAEncryption
Issuer: O=GridPL, OU=GlobusTest, OU=CKPL, CN=Globus Simple CA
Validity
Not Before: Oct 19 13:03:52 2004 GMT
Not After : Oct 19 13:03:52 2005 GMT
Subject: O=GridPL, OU=GlobusTest, OU=CKPL, OU=p.lodz.pl, CN=root
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:cb:8c:82:78:6e:32:9b:4f:75:34:a8:3e:35:68:
b3:b0:cb:13:83:77:2e:d7:fc:03:89:86:be:a5:c4:
ac:1e:2b:37:60:83:0d:a6:92:fb:33:71:5f:e7:52:
cf:e1:29:e2:60:65:21:65:54:31:a7:89:40:2f:aa:
72:29:0e:dd:1c:70:23:83:08:05:5b:9f:52:a8:0c:
5e:40:3f:ad:26:e2:82:5c:58:cf:10:17:8b:c6:4f:
e7:c8:2c:c6:1c:aa:c8:b8:f4:4a:aa:69:32:c3:7a:
f0:17:48:3e:5a:de:97:36:bb:45:51:7b:cf:3c:36:
97:d6:67:82:5f:b2:83:a5:e3
Exponent: 65537 (0x10001)
X509v3 extensions:
Netscape Cert Type:
SSL Client, SSL Server, S/MIME, Object Signing
Signature Algorithm: md5WithRSAEncryption
78:c9:d3:86:65:07:88:1e:e1:a5:98:ed:0a:ab:50:4a:d7:3f:
fd:64:bd:aa:43:9d:dd:5c:3d:95:39:a5:24:b0:71:c4:8c:19:
82:fd:aa:99:fa:95:ed:55:15:2c:f4:64:c6:c3:7e:9f:1e:f4:
04:65:df:39:76:7d:69:fc:97:34:df:3a:0c:e5:fb:3b:39:fe:
77:33:24:54:c6:7b:8b:46:39:51:2a:58:d9:1a:c6:19:94:b5:
90:5d:f1:d9:ea:8a:4c:44:e3:79:95:7c:29:9c:88:f9:39:9b:
a8:22:ee:54:ec:2c:04:23:a2:c3:ad:26:4b:43:f6:c1:17:11:
b0:fc
-----BEGIN CERTIFICATE----MIICMzCCAZygAwIBAgIBATANBgkqhkiG9w0BAQQFADBQMQ8wDQYDVQQKEwZHcmlk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 2004
SGIgrid
System bezpiecze stwa SGIgrid
• Centralny system uwierzytelniania (AUTH)
b d cy jednocze nie wystawc i repozytorium
certyfikatów proxy
• Centralny system autoryzacji RAD (Resource
Access Decision)
– TAK/NIE = f (userID, action, resource)
• Algorytm biletowy (ticket)!
SiS 2004
SGIgrid
Algorytm biletowy dost pu do zasobu
• Algorytm biletowy (ticket) jest powszechnie
znany z ycia codziennego:
– Kino - kupujemy bilet w kasie, który upowa nia do
wej cia na sal filmow ,
– Stok narciarski – kupujemy impulsy do karty chipowej,
które umo liwiaj przej cie przez bramk do wyci gu.
SiS 2004
SGIgrid
Algorytm biletowy oparty na PKI
1
2
User
3
Resource site
SiS 2004
Toll Booth
SGIgrid
Schemat bezpiecze stwa
SZD
AUTH
RAD
3. Autoryzacja?
6. danie
proxy
1. Eksploracja
SZD
4. Zezwolenie
Clients
Portal
Portal
2.
GMS
GMS
7.
Data Broker
danie
5. URL
8.
MetaData
Management
9. GSIFTP
MetaData
DB
7a. Modyfikacja
grid-mapfile
Data
Storage
Data
Storage
DB
File System
SiS 2004
Data
Storage
HSM
SGIgrid
Podsumowanie
• Algorytm biletowy jest bardzo dobry – ekonomiczny,
skalowalny, bezpieczny.
• Aby zrealizowa bilety w oparciu o GSI GT2 (brak
obsługi rozszerzenia PCI) trzeba:
– albo modyfikowa serwery (GridFTP, GASS, GRAM itd..),
– albo zaimplementowa dynamiczne zarz dzanie grid-mapfile,
– albo zrezygnowa z autoryzacji na poziomie fizycznego
zasobu i polega na krótkoterminowo ci certyfikatu proxy.
• Bilety łatwo i w naturalny sposób mo na wdro y w
GSI GT3 (obsługa polityki PCI w certfyfikatach
proxy).
SiS 2004
SGIgrid
Dzi kuj za uwag .
Pytania?
SiS 2004