Seleccionar idioma

Implementación de Tokens Kerberos en Sistemas de Computación Distribuida en IHEP

Análisis de la implementación de autenticación basada en tokens Kerberos en sistemas de computación distribuida para física de altas energías en IHEP, incluyendo arquitectura del kit de herramientas y despliegue multi-experimento.
computingpowercoin.net | PDF Size: 0.5 MB
Calificación: 4.5/5
Tu calificación
Ya has calificado este documento
Portada del documento PDF - Implementación de Tokens Kerberos en Sistemas de Computación Distribuida en IHEP
Ver documento PDF Descargar PDF Traducir PDF
Inicio » Documentación » Implementación de Tokens Kerberos en Sistemas de Computación Distribuida en IHEP

Tabla de Contenidos

3+

Experimentos Soportados

2-7

Días de Validez del Token

4

Componentes Principales

1. Introducción

Los métodos de autenticación basados en tokens son cada vez más prevalentes en sistemas de computación distribuida para investigación en física de altas energías. La Worldwide LHC Computing Grid (WLCG) ha actualizado todos sus servicios para soportar tokens WLCG, reflejando esta tendencia de la industria. En el Instituto de Física de Altas Energías (IHEP) en China, los tokens Kerberos se han establecido como el mecanismo de autenticación principal dentro de los clústeres de computación locales y ahora se están extendiendo a entornos de computación distribuida.

2. Antecedentes y Motivación

IHEP está desarrollando una plataforma de computación distribuida para integrar múltiples sitios de investigación chinos. Sin embargo, varios experimentos de larga data en IHEP, particularmente el experimento BES, están estrechamente acoplados con entornos de clúster local incluyendo sistemas de bases de datos, servicios de almacenamiento y recursos de computación. Para abordar este desafío, IHEP implementó un enfoque de "Expansión de Clúster" que extiende transparentemente las capacidades del clúster local a entornos de computación distribuida, permitiendo que los trabajos de BES migren a sitios remotos con mínima interrupción.

3. Desafíos Técnicos

El desafío principal en la implementación de tokens Kerberos es gestionar el tiempo de vida del token a través de entornos distribuidos. Los tokens Kerberos en IHEP típicamente tienen un período de validez de 2 días con un límite de renovación de 7 días. La renovación del token debe garantizarse en tres puntos críticos:

  • Fase de envío de trabajos
  • Período de cola de trabajos
  • Fase de ejecución de trabajos

4. Arquitectura del Sistema

El ecosistema de tokens Kerberos en IHEP comprende cuatro componentes interconectados que trabajan juntos para proporcionar autenticación sin interrupciones a través de recursos de computación distribuida.

4.1 Productor de Tokens

El productor de tokens genera tokens Kerberos cuando los usuarios inician sesión en los nodos de envío y publica estos tokens en el repositorio de tokens. Este componente maneja la creación inicial de tokens con parámetros apropiados de validez y renovación.

4.2 Repositorio de Tokens

Este sistema de almacenamiento centralizado mantiene todos los archivos de tokens actuales e incluye un servicio de actualización que renueva periódicamente los tiempos de vida de los tokens para prevenir su expiración durante trabajos computacionales de larga duración.

4.3 Transferencia de Tokens

El mecanismo de transferencia mueve de forma segura los archivos de tokens desde el repositorio a los nodos de trabajo a través de sitios distribuidos, asegurando que los tokens estén disponibles donde se necesiten para la ejecución de trabajos.

4.4 Motor Cliente de Tokens

Este componente inicializa el entorno de tokens en los nodos de trabajo y gestiona la renovación del tiempo de vida del token durante la ejecución de trabajos, proporcionando capacidad de autenticación continua.

5. Detalles de Implementación

5.1 Fundamentos Matemáticos

La autenticación Kerberos se basa en criptografía de clave simétrica y validación basada en marcas de tiempo. La validez del token puede representarse como:

$V(t) = \begin{cases} 1 & \text{si } t_{actual} \leq t_{creación} + t_{válido} \\ 0 & \text{en otro caso} \end{cases}$

Donde $t_{válido}$ representa el período de validez (típicamente 2 días en IHEP) y se permite la renovación hasta $t_{creación} + t_{renovación}$ (típicamente 7 días).

5.2 Implementación de Código

El servicio de renovación de tokens implementa la siguiente lógica:

class TokenRenewalService:
    def renew_token_if_needed(self, token, current_time):
        """Renovar token si se acerca a la expiración"""
        if token.is_expiring_within(threshold=3600):  # umbral de 1 hora
            if current_time <= token.created_time + token.renewal_period:
                new_token = self.kinit_renew(token.principal)
                self.repository.update(token.principal, new_token)
                return new_token
        return token
    
    def kinit_renew(self, principal):
        """Ejecutar comando de renovación Kerberos"""
        import subprocess
        result = subprocess.run(['kinit', '-R', principal], 
                              capture_output=True, text=True)
        if result.returncode == 0:
            return self.extract_current_token(principal)
        else:
            raise TokenRenewalError(f"Error al renovar token: {result.stderr}")

6. Resultados Experimentales

El sistema de tokens Kerberos ha sido desplegado exitosamente a través de la infraestructura de computación distribuida de IHEP. Tres experimentos principales utilizan actualmente este marco de autenticación:

  • LHAASO (Observatorio de Grandes Lluvias de Aire a Gran Altitud)
  • BES (Experimento del Espectrómetro de Beijing)
  • HERD (Detección de Radiación Cósmica de Alta Energía)

Estos experimentos utilizan tokens Kerberos para acceder remotamente a datos almacenados en sistemas de archivos EOS y Lustre a través de sitios distribuidos. La implementación ha demostrado autenticación confiable con fallos mínimos de trabajos debido a expiración de tokens.

7. Análisis y Discusión

La implementación de tokens Kerberos en el entorno de computación distribuida de IHEP representa un avance significativo en mecanismos de autenticación para investigación en física de altas energías. Este enfoque aborda desafíos críticos en seguridad entre sitios mientras mantiene compatibilidad con la infraestructura existente. Comparado con la autenticación tradicional basada en certificados utilizada en muchos entornos de computación en grid (como se documenta en los informes técnicos de WLCG), los métodos basados en tokens ofrecen mejor usabilidad y reducción de sobrecarga de gestión.

La contribución técnica del trabajo de IHEP reside en el kit de herramientas integral que gestiona todo el ciclo de vida del token a través de entornos distribuidos. Esta arquitectura comparte similitudes con la gestión de tokens OAuth 2.0 en servicios web pero está específicamente optimizada para cargas de trabajo de computación científica. La capacidad del sistema para renovar automáticamente tokens aborda una limitación fundamental en Kerberos—su dependencia en conectividad de red continua a Centros de Distribución de Claves (KDCs).

Según el artículo original de CycleGAN de Zhu et al. (2017), la adaptación de dominio exitosa requiere representación robusta de características a través de entornos. Similarmente, el sistema de tokens de IHEP permite representación segura de identidad a través de sitios de computación heterogéneos. El fundamento matemático de Kerberos, basado en variaciones del protocolo Needham-Schroeder, proporciona seguridad criptográfica probada mientras que la implementación añade ingeniería práctica de sistemas distribuidos.

El despliegue a través de tres experimentos principales demuestra la escalabilidad y confiabilidad del sistema. Este logro es particularmente notable dada la intensidad computacional de las cargas de trabajo de física de altas energías, que a menudo involucran procesar petabytes de datos a través de miles de nodos de computación. El éxito en IHEP sugiere que enfoques similares basados en tokens podrían beneficiar a otras comunidades de computación científica que enfrentan desafíos de autenticación distribuida.

8. Aplicaciones Futuras

El marco de tokens Kerberos en IHEP tiene varias direcciones prometedoras para desarrollo futuro:

  • Federación con Grids Internacionales: Extender la interoperabilidad de tokens con WLCG y otros grids de investigación internacionales
  • Integración con la Nube: Adaptar el sistema de tokens para entornos híbridos de nube y proveedores comerciales de nube
  • Mejora con Blockchain: Explorar gestión de tokens basada en blockchain para mejor auditabilidad y descentralización
  • Cargas de Trabajo de Aprendizaje Automático: Extender soporte para marcos de aprendizaje automático distribuido que requieren autenticación segura
  • Criptografía Resistente a Cuánticos: Preparación para algoritmos criptográficos post-cuánticos en seguridad de tokens

9. Referencias

  1. Informe de Diseño Técnico de WLCG, Worldwide LHC Computing Grid, 2021
  2. Neuman, B. C., & Ts'o, T. (1994). Kerberos: An Authentication Service for Computer Networks. IEEE Communications
  3. Documentación del Sistema de Almacenamiento EOS, CERN, 2022
  4. Documentación XRootD, 2023
  5. Colaboración LHAASO. (2020). El Observatorio de Grandes Lluvias de Aire a Gran Altitud
  6. Colaboración BES III. (2022). Informe Técnico del Experimento del Espectrómetro de Beijing
  7. Colaboración HERD. (2021). Resumen de la Misión de Detección de Radiación Cósmica de Alta Energía
  8. Documentación del Sistema de Archivos Lustre, 2023
  9. Documentación AFS, IBM, 2022
  10. Documentación XCache, 2023
  11. Zhu, J. Y., Park, T., Isola, P., & Efros, A. A. (2017). Unpaired Image-to-Image Translation using Cycle-Consistent Adversarial Networks. IEEE ICCV