Enabling Grids for E-scienc. E Сигурност, упълномощаване и удостоверяване Mike Mineter Training, Outreach and Education National e-Science Centre mjm@nesc. ac. uk С благодарности за някои от слайдовете към колегите от EGEE и Globus www. eu-egee. org INFSO-RI-222667
Преглед на сигурността Enabling Grids for E-scienc. E Сигурност Удостоверяване (Authentication) Грид инфраструктура по сигурността Криптиране & Цялост на данните (Encryption & Data Integrity) INFSO-RI-222667 Упълномощаване (Authorization) 2
Проблемите - 1 Enabling Grids for E-scienc. E Потребител Ресурс • Как Потребителят получава сигурен достъп до Ресурса без да има регистрация с потребителско име и парола на машините помежду им, а даже и на машината, където е ресурса? • Как Ресурса знае кой е Потребителя? • Как се контролират правата? Удостоверяване: Разрешение за достъп: INFSO-RI-222667 как се предава идентичността на потребителя/сайта? какво може да прави потребителя? 3
Основи на сигурността & удостоверяване Enabling Grids for E-scienc. E • Асиметрично криптиране… Явен текст криптира н текст Частен ключ общодостъпен ключ • …. и Цифрови подписи … – Хеш, извлечен от съобщението и криптиран с частен ключ на подписващия – Подписа се проверява с декриптиране чрез общодостъпния ключ на подписващия • За изграждане на доверие – Потребителят / сайта са тези, за които се представят – Може да им се има доверие в съответствие с уговорените политки INFSO-RI-222667 4
Алгоритми с общодостъпни ключове Enabling Grids for E-scienc. E • Всеки потребител има 2 ключа – частен и общодостъпен: – Невъзможно е да се получи Ключове на Джон частния ключ от общодостъпния; – Съобщение, криптирано от единия ключ може да се декриптира само от другия. • Общодост. Частен Концепция – опростена версия: – Общодостъпните ключове се разменят – Изпращащият криптира с общодостъпния ключ на получателя Пол чао Джон 3$r чао – Получателят декриптира с частния ключ; INFSO-RI-222667 5
Цифров подпис Enabling Grids for E-scienc. E • Пол изчислява хеша на съобщението • Пол криптира хеша със своя личен ключ: криптирания хеш е цифровия подпис • Пол изпраща подписаното съобщение на Джон. • Джон изчислява хеша на съобщението • Декриптира подписа, за да получи А, използва общодостъпния ключ на Пол. • Ако хешовете са равни: 1. съобщението не е модифицирано; Paul’s keys 2. хеш A е от частния ключ на Пол public INFSO-RI-222667 private Пол Съобщ. Хеш A Цифр. подпис Съобщ. Цифр. подпис Джон Хеш B =? Hash A message Цифр. подпис 6
Цифрови сертификати Enabling Grids for E-scienc. E • Как може Джон да е сигурен, че общодостъпния ключ на Пол е в действителност на Пол, а не на някого другиго? – Трета страна подписва сертификат, който свързва общодостъпния ключ и идентичността на Пол. – Както Джон, така и Пол се доверяват на тази трета страна “Сигурната трета страна” се нарича Сертифициран Източник (СИ). INFSO-RI-222667 7
X. 509 Сертификати Enabling Grids for E-scienc. E • X. 509 сертификат съдържа: § Общодост. ключ на притежателя; Общодостъпен ключ § Идентичност на притежателя; Subject: C=CH, O=CERN, OU=GRID, CN=Andrea Sciaba 8968 § Инф. за СИ; Issuer: C=CH, O=CERN, OU=GRID, CN=CERN CA § Период на валидност; Expiration date: Aug 26 08: 14 2005 GMT Serial number: 625 (0 x 271) § Сериен номер; § Допълнителни разширения Optional Extensions Цифров подпис на СИ – Цифров подпис на СИ INFSO-RI-222667 8
Сертифициращи източници Enabling Grids for E-scienc. E • Идентичността на потребителя може да се идентифицира от един от националните Сертифициращи Източници (СИ) • Ресурсите също се сертифицират от СИ • СИ се разпознават взаимно http: //www. gridpma. org/, • Всеки от СИ назначава определн брой хора, които са “регистриращи източници” РИ INFSO-RI-222667 9
Сигурна Грид Инфраструктура - прокси Enabling Grids for E-scienc. E • За подръжка на делегирането: A делегира на В правото да действа от името на А • Прокси сертификати разширяват X. 509 сертификатите – Краткосрочни сертификати подписани от потребителския сертификат или прокси – Намалява риска по сигурността, позволява делегиране INFSO-RI-222667 10
Заявка за сертификат Enabling Grids for E-scienc. E Основен сертифик ат на СИ Потребителят генерира общод. /частна двойка ключове в браузъра Заявка Сертиф. Общодост. ключ Потребителят изпраща общодост. ключ на СИ и показва RA доказателство за идентичност. Частен ключ криптиран на местния диск INFSO-RI-222667 Подписът на СИ свързва идентичността и общодост. ключ в сертификат. СИ информира потребителя. Серт ID 11
Enabling Grids for E-scienc. E “Изчислителен елемент”: опашка за групови задания Заявка за задание Влизане Globus gatekeeper И. С. Инф. система gridmapfile Система за управление на местните ресурси: Condor / PBS / LSF master “Работни възли” INFSO-RI-222667 12
УЧВО: Услуга за членство във виртуалната организация Enabling Grids for E-scienc. E УЧВО (VOMS) Преди УЧВО (VOMS) Потребителят се упълномощава като член на една ВО • Gridmapfiles се обновяват от софтуера за управление на ВО: съпоставя потребителското DN към местния списък ВО може да има групи – Различни права за всеки Всички членове на ВО имат същите права • Потребителят може да е в няколко ВО – Общи права • • • § Различни групи от експериментатори § … • – Групи в гнезда ВО има роли – Определена за дадена цел § Напр. системен админ. § Кога поема дадената длъжност • • • Прокси сертификата носи допълните атрибути voms-proxy-init grid-proxy-init INFSO-RI-222667 13
Отговорности на потребителя Enabling Grids for E-scienc. E • Да пази на сигурно място частния ключ – само на USB памет • Да не заема сертификата на никого. • Да докладва на своя локален/регионален отговорник, ако има проблеми със сертификата. • Да не пуска делегираща услуга за по-дълго време, отколкото е необходимо за нуждите на настоящата задача. Ако вашия сертификат или делегирана услуга се използва от някой друг, не е възможно да се докаже, че това не сте вие. INFSO-RI-222667 14
Обобщение Enabling Grids for E-scienc. E • Удостоверяване (Authentication) – Потребителят получава – – • Годишно сертификат от Сертифициращия Източник Свързва се с UI чрез ssh UI е потребителския интерфейс към грида Зарежда сертификата към UI Единичен вход – към UI - създава прокси След това Инфраструктурата на грид по сигурността използва прокси СИ UI ВО mgr ВО услуги Упълномощаване (Authorisation) – Потребителят се присъединява към Виртуална организация (Virtual Organisation) – ВО осигурява достъпа до Грид ресурсите – Gridmapfile (или подобни) прави съответствието на потребителя към местния списък INFSO-RI-222667 GSI ВО база данни Ежедневно обновяване Gridmapfiles за грид услуги 15
Скачать презентацию Enabling Grids for E-scienc E Сигурност упълномощаване и
929f5ac1a48325a35440069b36411533.ppt