'

Аутентификация, авторизация и безопасность в Грид

Понравилась презентация – покажи это...





Слайд 0

Аутентификация, авторизация и безопасность в Грид Олешко С.Б. Петербургский институт ядерной физики г.Гатчина


Слайд 1

Saint-Petersburg, EGEE tutorial, 24.10.2006 2 Глоссарий Объект (защиты): Пользователь, программа или компьютер Параметры доступа Некоторые данные, обеспечивающие доказательства идентичности объекта Аутентификация Проверка идентичности объекта защиты Авторизация Определение множества прав и привилегий для объекта защиты Конфиденциальность Шифрование сообщений для того чтобы только получатель мог его расшифровать Целостность Гарантия того, что сообщение не было изменено во время передачи


Слайд 2

Saint-Petersburg, EGEE tutorial, 24.10.2006 3 Проблемы (1) - доступ Как Пользователь может получить безопасный доступ к Ресурсу, не являясь зарегистрированным пользователем промежуточных узлов или хотя бы самого Ресурса? Как Ресурс узнает, кто такой Пользователь? Как определять права Пользователя и как определить какой доступ ему разрешён?


Слайд 3

Saint-Petersburg, EGEE tutorial, 24.10.2006 4 Проблемы (2) - уязвимость Опасность атак с других узлов Большие распределённые кластеры – идеальная мишень для атак злоумышленников (“отказ в обслуживании”) Незаконное или ненадлежащее распространение данных и доступ к конфиденциальной информации Огромные доступные ресурсы хранения данных могут быть использованы, например для хранения “пиратской информации” Всё больше пользователей обладают данными, которые требуют являются конфиденциальными (медицина) Опасность, связанная с проникновением вирусов, сетевых червей и т.п. Высокоскоростные сети являются более быстрым источником распространения, чем обычный Интернет


Слайд 4

Saint-Petersburg, EGEE tutorial, 24.10.2006 5 GSI-grid security infrastructure Три основных аспекта безопасности: Privacy – Обмен сообщениями должен быть приватным. (доступность передаваемых данных только участникам диалога) Integrity – Целостность данных, т.е. неизменность передаваемых данных Authentication – Идентификация сторон, участвующих в диалоге (проверка подлинности объекта)


Слайд 5

Saint-Petersburg, EGEE tutorial, 24.10.2006 6 Шифрование Криптография – математическая дисциплина, которая занимается вопросами информационной безопасности и связанными с ней проблемами, особенно шифрованием, аутентификацией и контролем доступа Алиса Боб Исходное сообщение: M Зашифрованное сообщение: C Шифрование с ключом K1 : E K1(M) = C Дешифровка с ключом K2 : D K2(C) = M Алгоритмы Симметричный: K1 = K2 Несимметричный: K1 ? K2


Слайд 6

Saint-Petersburg, EGEE tutorial, 24.10.2006 7 Симметричный алгоритм Один и тот же ключ используется для шифрования и дешифровки Преимущества Скорость Недостатки Как безопасно передать ключ? Примеры DES 3DES Rijndael (AES) Blowfish Kerberos Алиса Боб привет 3$r Алиса Боб 3$r 3$r 3$r привет привет привет


Слайд 7

Saint-Petersburg, EGEE tutorial, 24.10.2006 8 Несимметричный алгоритм У каждого пользователя 2 ключа: открытый и закрытый “невозможно” вычислить значение закрытого ключа по открытому сообщение, зашифрованное одним ключом может быть расшифровано только при помощи другого Нет необходимости обмениваться секретной информацией отправитель зашифровывает при помощи открытого ключа получателя получатель расшифровывает при помощи своего закрытого ключа Примеры Diffie-Helmann (1977) RSA (1978) Ключи Боба Ключи Алисы открытый закрытый Алиса Боб 3$r Алиса Боб cy7 3$r cy7 привет привет привет привет открытый закрытый


Слайд 8

Saint-Petersburg, EGEE tutorial, 24.10.2006 9 Цифровая подпись Алиса вычисляет дайджест (hash) сообщения Алиса зашифровывает дайджест, используя свой закрытый ключ: зашифрованное значение и есть цифровая подпись Алиса отправляет подписанное сообщение Бобу Боб получает сообщение и вычисляет значение дайджеста Боб расшифровывает цифровую подпись при помощи открытого ключа Алисы и сравнивает его с вычисленным значением дайджеста Если оба значения равны, то сообщение не было изменено при передаче Боб Алиса Некоторое сообщение Цифровая подпись Hash(A) Ключи Алисы Hash(B) Hash(A) открытый закрытый


Слайд 9

Saint-Petersburg, EGEE tutorial, 24.10.2006 10 Цифровой сертификат Использование цифровой подписи Алисы безопасно, если: Закрытый ключ Алисы остался секретным Боб знает её открытый ключ Но как Боб может быть уверен, что открытый ключ, который он знает, на самом деле принадлежит Алисе, а не кому-то, кто выдаёт себя за неё? Нужна некоторая третья сторона, которая будет гарантировать соответствие между открытым ключом и объектом, которому он принадлежит Обе стороны, и Алиса и Боб должны доверять этой третьей стороне


Слайд 10

Saint-Petersburg, EGEE tutorial, 24.10.2006 11 Сертификационный центр Эта третья сторона называется Сертификационный Центр - Certification Authority (CA). выдаёт цифровые сертификаты (содержат открытый ключ и идентификационную информацию) для пользователей, программ и машин (подписанные цифровой подписью CA) при этом проверяет соответствие представленных персональных данных и объекта Но как это сделать, если сертификационный Центр в Москве, а пользователь – в Санкт-Петербурге? Возникает сообщество Ответственных за Регистрацию Registration Authority (RA)


Слайд 11

Saint-Petersburg, EGEE tutorial, 24.10.2006 12 Получение сертификата Подписанный открытый ключ передается пользователю Закрытый ключ шифруется на локальном диске На подпись передается открытый ключ Пользователь создаёт пару ключей Открытый / Закрытый Для подписи необходимо удостоверение личности, которое предъявляется RA СА подписывает открытый ключ с помощью своего корневого сертификата и информирует пользователя Центр cертификации


Слайд 12

Saint-Petersburg, EGEE tutorial, 24.10.2006 13 X.509 сертификаты Public key Subject:C=CH, O=CERN, OU=GRID, CN=Andrea Sciaba 8968 Issuer: C=CH, O=CERN, OU=GRID, CN=CERN CA Expiration date: Aug 26 08:08:14 2005 GMT Serial number: 625 (0x271) CA Digital signature Структура сертификата X.509 X.509 сертификат содержит: открытый ключ владельца; данные владельца; информация о CA; срок действия; серийный номер; цифровая подпись CA


Слайд 13

Saint-Petersburg, EGEE tutorial, 24.10.2006 14 Как работают сертификаты A Б Боб (Б) хочет аутентифицировать Алису (А


Слайд 14

Saint-Petersburg, EGEE tutorial, 24.10.2006 15 Сертификаты В зависимости от способа получения сертификата он может быть получен в различных форматах: *.pem формат: 2 файла: userkey.pem – закрытый ключ, usersert.pem – подписанный сертификат) *.p12 формат (PKCS12): один файл - для загрузки в браузер Mozilla/Netscape/FireFox *.pfx формат: один файл - для загрузки в браузер Internet Explorer Как правило, сертификат должен быть загружен в браузер (регистрация в ВО) Процедура экспорта/импорта зависит от типа используемого браузера и формата сертификата Сертификат имеет срок действия (от 2 недель до 1 года) По истечению срока действия он может быть продлён


Слайд 15

Saint-Petersburg, EGEE tutorial, 24.10.2006 16 Proxy-сертификат Проблемы: Single sign-on Delegation (однократное предъявление первичного закрытого ключа) Proxy-сертификат (расширение X.509) Применение proxy-сертификата для аутентификации избавляет пользователя от необходимости вводить свой пароль при каждом взаимодействии с сервисами. Mожно передавать свои proxy-cертификаты другим субъектам для выполнения операций от своего имени. Ограниченное время действия и ограниченное назначение делегирование полномочий


Слайд 16

Saint-Petersburg, EGEE tutorial, 24.10.2006 17 Долговременные proxy Proxy сертификат имеет достаточно короткое время жизни (обычно не более 24 часов). А как быть, если заданию требуется больше времени для выполнения? в HEP Data Challenges в LCG некоторые задания выполнялись до 2 суток Выход – создание специального сервиса для автоматического обновления сертификатов (MyProxy server) Proxy-сертификат можно зарегистрировать на сервере Myproxy и он будет обновляться в течение указанного периода времени (по умолчанию 7 суток) При этом соответствующий запрос будет проходить через Myproxy server


Слайд 17

Saint-Petersburg, EGEE tutorial, 24.10.2006 18 Виртуальные организации «Динамическое собрание одиночек и организаций, гибко, безопасно и координировано разделяющее ресурсы» Пользователь Грид обязан принадлежать к одной из ВО ВО согласовывают доступ к Грид-узлам и ресурсам Авторизация проверяется на ресурсе ВО с технической точки зрения: ресурс, перечисляющий Distinguished Names сертификатов пользователей конкретной ВО Реализационно ВО ведёт список своих членов на специальном сервере (LDAP Server) этот список распространяется на все узлы, где поддерживается эта ВО сопоставляется с локальными пользователями, зарегистрированными на этом узле (обычно выполняется через файл grid-mapfiles) .. "/C=CH/O=CERN/OU=GRID/CN=Simone Campana 7461” .dteam "/C=CH/O=CERN/OU=GRID/CN=Andrea Sciaba 8968" .cms


Слайд 18

Saint-Petersburg, EGEE tutorial, 24.10.2006 19 Эволюция системы управления ВО До VOMS Пользователь может быть членом только одной ВО Все члены ВО имеют одинаковые права Grid-mapfiles модифицируются только системой управления ВО grid-proxy-init С VOMS Пользователь может быть членом нескольких ВО Объединение прав ВО может иметь группы Различные права для каждой Различные группы экспериментаторов Связанные группы ВО может иметь роли Назначаются для особых целей Напр. sysadmin При создании Proxy сертификата вводится дополнительный атрибут – имя ВО voms-proxy-init –voms gilda VOMS – используется сейчас в Грид EGEE


Слайд 19

Saint-Petersburg, EGEE tutorial, 24.10.2006 20 Итоги (1) Аутентификация основывается на использовании сертификатов стандарта X.509 Устанавливаются отношения доверия между Certificate Authorities (CA) и узлами, между CAs и пользователями CAs выдаёт/подписывает (долгоживущие) сертификаты, идентифицирующие узлы и пользователей (аналог паспорта) Широко используется в браузерах для аутентификации сайтов Для того, чтобы уменьшить уязвимость, в Грид для идентификации пользователей используются (короткоживущие) proxy их сертификатов Proxy сертификаты могут Быть делегированы сервису для того чтобы он мог действовать от имени пользователя Включать дополнительные атрибуты (например информацию о ВО для VOMS) Быть зарегистрированными на внешнем хранилище (MyProxy) Быть обновлены (в случае истечения срока действия)


Слайд 20

Saint-Petersburg, EGEE tutorial, 24.10.2006 21 Итоги (2) Аутентификация Пользователь получает сертификат от Certificate Authorities (CA) Соединяется с UI по SSH (UI – сервис пользовательского интерфейса) Загружает сертификат на UI “Входит” в Грид - создание proxy GSI (Grid Security Infrastructure) Авторизация Пользователь вступает в ВО ВО согласовывает доступ к Грид-узлам и ресурсам Авторизация проверяется на ресурсе Права пользователя определяются информацией из его proxy CA VO mgr Ежегодно VO database Определяет права доступа GSI VO service Ежедневно


Слайд 21

Saint-Petersburg, EGEE tutorial, 24.10.2006 22 Сертификационный центр РДИГ Расположен в Курчатовском институте http://ca.grid.kiae.ru/RDIG/. Ознакомиться с правилами и процедурой можно на страничке http://ca.grid.kiae.ru/RDIG/certificates/obtain.html.


Слайд 22

Saint-Petersburg, EGEE tutorial, 24.10.2006 23 Форма заявки на сертификат


Слайд 23

Saint-Petersburg, EGEE tutorial, 24.10.2006 24 Регистрация в ВО Центр регистрации для виртуальных организаций LCG https://lcg-registrar.cern.ch/virtual_organization.html Центр регистрации для виртуальных организаций РДИГ http://rdig-registrar.sinp.msu.ru/virtual_organization.html


Слайд 24

Saint-Petersburg, EGEE tutorial, 24.10.2006 25 Виртуальные организации LCG


Слайд 25

Saint-Petersburg, EGEE tutorial, 24.10.2006 26 Виртуальные организации РДИГ


×

HTML:





Ссылка: