انتخاب زبان

پیاده‌سازی توکن کربروس در سیستم‌های رایانشی توزیع‌شده در IHEP

تحلیل پیاده‌سازی احراز هویت مبتنی بر توکن کربروس در سیستم‌های رایانشی فیزیک انرژی بالا در IHEP، شامل معماری جعبه ابزار و استقرار چندآزمایشی
computingpowercoin.net | PDF Size: 0.5 MB
امتیاز: 4.5/5
امتیاز شما
شما قبلاً به این سند امتیاز داده اید
جلد سند PDF - پیاده‌سازی توکن کربروس در سیستم‌های رایانشی توزیع‌شده در IHEP
مشاهده سند PDF دانلود PDF ترجمه PDF
خانه » مستندات » پیاده‌سازی توکن کربروس در سیستم‌های رایانشی توزیع‌شده در IHEP

فهرست مطالب

3+

آزمایش‌های پشتیبانی‌شده

2-7

روزهای اعتبار توکن

4

مؤلفه‌های اصلی

1. مقدمه

روش‌های احراز هویت مبتنی بر توکن به طور فزاینده‌ای در سیستم‌های رایانشی توزیع‌شده برای تحقیقات فیزیک انرژی بالا رایج هستند. شبکه رایانشی جهانی LHC (WLCG) تمام سرویس‌های خود را برای پشتیبانی از توکن‌های WLCG ارتقا داده است که نشان‌دهنده این روند صنعتی است. در مؤسسه فیزیک انرژی بالا (IHEP) چین، توکن‌های کربروس به عنوان مکانیزم اصلی احراز هویت در خوشه‌های رایانشی محلی ایجاد شده‌اند و اکنون به محیط‌های رایانشی توزیع‌شده گسترش می‌یابند.

2. پیشینه و انگیزه

IHEP در حال توسعه یک پلتفرم رایانشی توزیع‌شده برای یکپارچه‌سازی چندین سایت تحقیقاتی چینی است. با این حال، چندین آزمایش دیرینه در IHEP، به ویژه آزمایش BES، به شدت با محیط‌های خوشه‌ای محلی از جمله سیستم‌های پایگاه داده، سرویس‌های ذخیره‌سازی و منابع رایانشی درهم تنیده شده‌اند. برای حل این چالش، IHEP رویکرد "گسترش خوشه" را پیاده‌سازی کرده است که به صورت شفاف قابلیت‌های خوشه محلی را به محیط‌های رایانشی توزیع‌شده گسترش می‌دهد و امکان انتقال وظایف BES به سایت‌های راه‌دور را با حداقل اختلال فراهم می‌کند.

3. چالش‌های فنی

چالش اصلی در پیاده‌سازی توکن کربروس، مدیریت طول عمر توکن در محیط‌های توزیع‌شده است. توکن‌های کربروس در IHEP معمولاً دارای دوره اعتبار 2 روزه با محدودیت تمدید 7 روزه هستند. تمدید توکن باید در سه نقطه حیاتی تضمین شود:

  • فاز ارسال وظیفه
  • دوره صف‌بندی وظیفه
  • فاز اجرای وظیفه

4. معماری سیستم

اکوسیستم توکن کربروس در IHEP شامل چهار مؤلفه به هم پیوسته است که با همکاری یکدیگر احراز هویت یکپارچه در منابع رایانشی توزیع‌شده را فراهم می‌کنند.

4.1 تولیدکننده توکن

تولیدکننده توکن، توکن‌های کربروس را هنگامی که کاربران به گره‌های ارسال وارد می‌شوند تولید می‌کند و این توکن‌ها را در مخزن توکن منتشر می‌کند. این مؤلفه ایجاد اولیه توکن را با پارامترهای اعتبار و تمدید مناسب مدیریت می‌کند.

4.2 مخزن توکن

این سیستم ذخیره‌سازی متمرکز، تمام فایل‌های توکن جاری را نگهداری می‌کند و شامل یک سرویس تازه‌سازی است که به طور دوره‌ای طول عمر توکن‌ها را تمدید می‌کند تا از انقضا در طول وظایف رایانشی طولانی‌مدت جلوگیری کند.

4.3 انتقال توکن

مکانیزم انتقال، فایل‌های توکن را به طور ایمن از مخزن به گره‌های کارگر در سایت‌های توزیع‌شده منتقل می‌کند و اطمینان می‌دهد که توکن‌ها در مکان‌های مورد نیاز برای اجرای وظیفه در دسترس هستند.

4.4 موتور سمت کلاینت توکن

این مؤلفه محیط توکن را روی گره‌های کارگر راه‌اندازی می‌کند و تمدید طول عمر توکن را در طول اجرای وظیفه مدیریت می‌کند و قابلیت احراز هویت پیوسته را فراهم می‌کند.

5. جزئیات پیاده‌سازی

5.1 مبانی ریاضی

احراز هویت کربروس بر رمزنگاری کلید متقارن و اعتبارسنجی مبتنی بر مهر زمانی متکی است. اعتبار توکن را می‌توان به صورت زیر نمایش داد:

$V(t) = \begin{cases} 1 & \text{if } t_{current} \leq t_{creation} + t_{valid} \\ 0 & \text{otherwise} \end{cases}$

جایی که $t_{valid}$ نشان‌دهنده دوره اعتبار (معمولاً 2 روز در IHEP) است و تمدید تا $t_{creation} + t_{renew}$ (معمولاً 7 روز) مجاز است.

5.2 پیاده‌سازی کد

سرویس تمدید توکن منطق زیر را پیاده‌سازی می‌کند:

class TokenRenewalService:
    def renew_token_if_needed(self, token, current_time):
        """تمدید توکن در صورت نزدیک شدن به انقضا"""
        if token.is_expiring_within(threshold=3600):  # آستانه 1 ساعته
            if current_time <= token.created_time + token.renewal_period:
                new_token = self.kinit_renew(token.principal)
                self.repository.update(token.principal, new_token)
                return new_token
        return token
    
    def kinit_renew(self, principal):
        """اجرای دستور تمدید کربروس"""
        import subprocess
        result = subprocess.run(['kinit', '-R', principal], 
                              capture_output=True, text=True)
        if result.returncode == 0:
            return self.extract_current_token(principal)
        else:
            raise TokenRenewalError(f"Failed to renew token: {result.stderr}")

6. نتایج آزمایشی

سیستم توکن کربروس با موفقیت در زیرساخت رایانشی توزیع‌شده IHEP مستقر شده است. سه آزمایش اصلی در حال حاضر از این چارچوب احراز هویت استفاده می‌کنند:

  • LHAASO (رصدخانه بزرگ هوایی رگبار هوایی در ارتفاع بالا)
  • BES (آزمایش طیف‌سنج پکن)
  • HERD (آشکارسازی تابش کیهانی انرژی بالا)

این آزمایش‌ها از توکن‌های کربروس برای دسترسی از راه دور به داده‌های ذخیره‌شده در سیستم‌های فایل EOS و Lustre در سایت‌های توزیع‌شده استفاده می‌کنند. این پیاده‌سازی احراز هویت قابل اطمینان را با حداقل خرابی وظیفه ناشی از انقضای توکن نشان داده است.

7. تحلیل و بحث

پیاده‌سازی توکن‌های کربروس در محیط رایانشی توزیع‌شده IHEP نشان‌دهنده پیشرفت قابل توجهی در مکانیزم‌های احراز هویت برای تحقیقات فیزیک انرژی بالا است. این رویکرد چالش‌های حیاتی در امنیت بین‌سایتی را حل می‌کند در حالی که سازگاری با زیرساخت موجود را حفظ می‌کند. در مقایسه با احراز هویت مبتنی بر گواهی سنتی مورد استفاده در بسیاری از محیط‌های رایانشی شبکه (همانطور که در گزارش‌های فنی WLCG مستند شده است)، روش‌های مبتنی بر توکن قابلیت استفاده بهبود یافته و سربار مدیریت کاهش یافته‌ای ارائه می‌دهند.

مشارکت فنی کار IHEP در جعبه ابزار جامعی است که کل چرخه عمر توکن را در محیط‌های توزیع‌شده مدیریت می‌کند. این معماری شباهت‌هایی با مدیریت توکن OAuth 2.0 در سرویس‌های وب دارد اما به طور خاص برای بارهای کاری رایانشی علمی بهینه‌سازی شده است. توانایی سیستم در تمدید خودکار توکن‌ها یک محدودیت اساسی در کربروس را حل می‌کند - وابستگی آن به اتصال شبکه پیوسته به مراکز توزیع کلید (KDCs).

بر اساس مقاله اصلی CycleGAN توسط Zhu و همکاران (2017)، انطباق دامنه موفق مستلزم نمایش ویژگی قوی در محیط‌های مختلف است. به طور مشابه، سیستم توکن IHEP امکان نمایش هویت ایمن در سایت‌های رایانشی ناهمگن را فراهم می‌کند. مبانی ریاضی کربروس، مبتنی بر تغییرات پروتکل Needham-Schroeder، امنیت رمزنگاری اثبات‌شده را ارائه می‌دهد در حالی که پیاده‌سازی مهندسی سیستم‌های توزیع‌شده عملی را اضافه می‌کند.

استقرار در سه آزمایش اصلی مقیاس‌پذیری و قابلیت اطمینان سیستم را نشان می‌دهد. این دستاورد به ویژه با توجه به شدت محاسباتی بارهای کاری فیزیک انرژی بالا که اغلب شامل پردازش پتابایت‌ها داده در هزاران گره رایانشی است، قابل توجه می‌باشد. موفقیت در IHEP نشان می‌دهد که رویکردهای مشابه مبتنی بر توکن می‌تواند برای سایر جوامع رایانشی علمی که با چالش‌های احراز هویت توزیع‌شده مواجه هستند، مفید باشد.

8. کاربردهای آینده

چارچوب توکن کربروس در IHEP چندین جهت امیدوارکننده برای توسعه آینده دارد:

  • فدراسیون با شبکه‌های بین‌المللی: گسترش قابلیت همکاری توکن با WLCG و سایر شبکه‌های تحقیقاتی بین‌المللی
  • یکپارچه‌سازی ابری: تطبیق سیستم توکن برای محیط‌های ابری ترکیبی و ارائه‌دهندگان ابر تجاری
  • تقویت بلاکچین: بررسی مدیریت توکن مبتنی بر بلاکچین برای بهبود قابلیت حسابرسی و عدم تمرکز
  • بارهای کاری یادگیری ماشین: گسترش پشتیبانی از چارچوب‌های یادگیری ماشین توزیع‌شده که نیاز به احراز هویت ایمن دارند
  • رمزنگاری مقاوم در برابر کوانتوم: آماده‌سازی برای الگوریتم‌های رمزنگاری پساکوانتومی در امنیت توکن

9. مراجع

  1. گزارش طراحی فنی WLCG، شبکه رایانشی جهانی LHC، 2021
  2. Neuman, B. C., & Ts'o, T. (1994). Kerberos: An Authentication Service for Computer Networks. IEEE Communications
  3. مستندات سیستم ذخیره‌سازی EOS، CERN، 2022
  4. مستندات XRootD، 2023
  5. همکاری LHAASO. (2020). رصدخانه بزرگ هوایی رگبار هوایی در ارتفاع بالا
  6. همکاری BES III. (2022). گزارش فنی آزمایش طیف‌سنج پکن
  7. همکاری HERD. (2021). مرور مأموریت آشکارسازی تابش کیهانی انرژی بالا
  8. مستندات سیستم فایل Lustre، 2023
  9. مستندات AFS، IBM، 2022
  10. مستندات XCache، 2023
  11. Zhu, J. Y., Park, T., Isola, P., & Efros, A. A. (2017). Unpaired Image-to-Image Translation using Cycle-Consistent Adversarial Networks. IEEE ICCV