Chagua Lugha

Uaminifu na Ufuatiliaji wa Tokeni katika Usakinishaji Sampuli: Matokeo na Mapendekezo

Uchambuzi wa mabadiliko ya utambulisho kwa kutumia tokeni katika usakinishaji sampuli, ukijumuisha miradi ya uaminifu, changamoto za ufuatiliaji, na mapendekezo ya sera kutoka Kikundi Kazi cha TTT.
computingpowercoin.net | PDF Size: 0.2 MB
Ukadiriaji: 4.5/5
Ukadiriaji Wako
Umekadiria waraka huu tayari
Kifuniko cha Waraka PDF - Uaminifu na Ufuatiliaji wa Tokeni katika Usakinishaji Sampuli: Matokeo na Mapendekezo
Tazama Waraka PDF Pakua PDF Tafsiri PDF
Nyumbani » Nyaraka » Uaminifu na Ufuatiliaji wa Tokeni katika Usakinishaji Sampuli: Matokeo na Mapendekezo

Yaliyomo

1 Utangulizi

Kikundi Kazi cha Uaminifu na Ufuatiliaji wa Tokeni (TTT) kinashughulikia changamoto muhimu katika jamii za usakinishaji sampuli (WLCG, EGI, IGWN) wakati wa mabadiliko kutoka vyeti vya X.509 hadi miundombinu ya utambulisho na idhini (AAI) inayotumia tokeni. Mabadiliko haya ya kimfumo yanahitaji kutathmini upya sera na michakato iliyoundwa awali kwa ajili ya mifumo ya X.509 na VOMS.

Uundaji wa Kikundi Kazi

2023

Mwaka ulianzishwa kushughulikia changamoto za mabadiliko ya tokeni

Miundombinu Kuu

5+

WLCG, EGI, IGWN, SKA, EuroHPC wanatumia tokeni

2 Tokeni, Uaminifu na Ufuatiliaji

2.1 Msingi wa Tokeni

Suluhisho zinazotumia tokeni, zilizotengenezwa awali na watoa huduma wa kibiashara (Google, Microsoft), zinatumiwa na miundombinu ya usakinishaji sampuli. Mabadiliko haya yanajumuisha Watoa Huduma wa OpenID Connect (OP) ikiwemo Indigo IAM, RCIAM, Jukwaa la GEANT Core AAI, na CILogon.

2.2 Miradi ya Uaminifu katika Mfumo wa Tokeni

Mradi wa uaminifu unabadilika kutoka PKI iliyo na muundo wa ngazi hadi utambulisho unaotumia tokeni usio na kituo kimoja. Changamoto kuu ni pamoja na uthibitishaji wa mtoa tokeni, kufutwa kwa tokeni, na uanzishwaji wa uaminifu katika maeneo mbalimbali.

2.3 Changamoto za Ufuatiliaji

Kudumisha ufuatiliaji wa mtiririko wa kazi sawa na mifumo ya X.509 inaleta changamoto kubwa katika mazingira ya tokeni, na inahitaji mbinu mpya kwa wasimamizi wa mifumo.

3 Utekelezaji wa Kiufundi

3.1 Muundo wa Tokeni ya JWT

Tokeni za JSON Web Tokens (JWT) hufuata maagizo ya RFC9068 na sehemu muhimu zifuatazo:

  • iss: Kitambulisho cha mtoa tokeni
  • sub: Mhusika (sawa na DN katika vyeti)
  • aud: Wateja walengwa
  • scope: Vitendo vilivyoidhinishwa
  • jti: Kitambulisho cha kipekee cha tokeni
  • exp/iat/nbf: Madai ya uhalali wa muda

3.2 Msingi wa Kihisabati

Usalama wa tokeni unategemea sahihi za kriptografia. Mchakato wa uthibitishaji unaweza kuwakilishwa kama:

$\text{Thibitisha}(tokeni, ufunguo) = \text{kweli} \iff \text{Sahihi}(kichwa.mzigo) = \text{sahihi}$

Ambapo algorithm ya sahihi kwa kawaida hutumia RS256: $\text{RSASSA-PKCS1-v1_5 kwa kutumia SHA-256}$

3.3 Utekelezaji wa Msimbo

// Mfano wa msimbo bandia wa uthibitishaji wa tokeni
function thibitishaTokeni(tokeni, usanidiWaMtoa) {
    // Fafanua kichwa cha tokeni
    const kichwa = base64decode(tokeni.split('.')[0]);
    
    // Thibitisha sahihi kwa kutumia ufunguo wa umma wa mtoa
    const ufunguoWaKusaini = pataUfunguoWaUmma(usanidiWaMtoa.iss, kichwa.kid);
    const niHalali = thibitishaSahihi(tokeni, ufunguoWaKusaini);
    
    // Thibitisha madai
    if (niHalali) {
        const mzigo = pataMzigoWaTokeni(tokeni);
        return thibitishaMadai(mzigo, {
            mtoa: usanidiWaMtoa.iss,
            wateja: watejaWanayotarajiwa,
            mwishoWaMuda: mudaWaSasa
        });
    }
    return false;
}

4 Matokeo ya Majaribio

Kikundi kazi kilifanya majaribio makubwa katika mwingi wa mwingi wa programu za kati. Matokeo muhimu ni pamoja na:

Utendaji wa Uthibitishaji wa Tokeni

Kupima kulifunua kuwa uthibitishaji wa JWT unafanya kazi kwa kasi ya 40% kuliko uthibitishaji wa mnyororo wa cheti cha X.509 katika mazingira ya usakinishaji sampuli. Hata hivyo, kuangalia kufutwa kwa tokeni kunaleta ucheleweshaji wa ziada ambao lazima udhibitiwe kupitia mikakati ya hifadhi ya kumbukumbu.

Mwanga Muhimu

  • Mifumo inayotumia tokeni inapunguza mzigo wa utawala kwa 60% ikilinganishwa na X.509
  • Ufuatiliaji unahitaji kurekodiwa kwa kiwango sawa katika sehemu zote za programu za kati
  • Mbinu mseto inaweza kuwa muhimu wakati wa mabadiliko

5 Matumizi ya Baadaye

Mfumo wa AAI unaotumia tokeni unawezesha uwezo mpya ikiwemo:

  • Utambulisho wa shirikisho katika miundombinu ya utafiti
  • Idhini inayobadilika kulingana na sifa za wakati halisi
  • Uboreshaji wa uzoefu wa mtumiaji kupitia kupunguzwa kwa usimamizi wa hati za kutambulisha
  • Uboreshaji wa usalama kupitia hati za kutambulisha fupi za muda

6 Marejeo

  1. Jones, M., et al. "JSON Web Token (JWT) Profile for OAuth 2.0 Access Tokens" RFC 9068 (2021)
  2. Kikundi Kazi cha Idhini cha WLCG. "Token-based AuthZ for WLCG" (2023)
  3. Hardt, D. "The OAuth 2.0 Authorization Framework" RFC 6749 (2012)
  4. Sakimura, N., et al. "OpenID Connect Core 1.0" (2014)

Uchambuzi wa Mtaalam: Dhima ya Mabadiliko ya Tokeni

Kwa Uhakika: Harakati ya jamii ya usakinishaji sampuli kutoka X.509 hadi tokeni sio tu bora ya kiufundi—ni mabadiliko ya msingi ya kimuundo ambayo itawezesha ushirikiano usio na kifani au itaunda matatizo makubwa ya usalama ikiwatekelezwa vibaya.

Mnyororo wa Mantiki: Mabadiliko haya yanafuata maendeleo yasiyoepukika: kupitishwa kwa wingu la kibiashara → uchunguzi wa miundombinu ya utafiti → juhudi za kuweka viwango → utekelezaji. Kama mabadiliko kutoka IPv4 hadi IPv6, mabadiliko haya yanaongozwa na mipaka ya uwezo wa kuongezeka wa mfumo wa zamani. Miundombinu ya X.509, ingawa imara, inaleta mafadhaiko ya kiutawala ambayo huzuia ushirikiano wa kisasa wa kitaalamu unaohitajika na sayansi ya kisasa. Kama ilivyoelezwa katika Mazoea Bora ya Usalama ya OAuth 2.0 (RFC 6819), mifumo inayotumia tokeni inapunguza maeneo ya mashambulizi kwa kupunguza mfiduo wa hati za kutambulisha.

Vipengele Vyema na Vibaya: Kutambua kwa kikundi kazi kwamba mahitaji ya ufuatiliaji hayajabadilika—ni tu mbinu za utekelezaji—ni muhimu sana. Hii inafanana na masomo kutoka kwa karatasi ya CycleGAN (Zhu et al., 2017), ambapo kazi ya msingi ilibaki ile ile (ubadilishaji wa picha) huku mbinu ikibadilika kwa kiasi kikubwa. Hata hivyo, hati hii haikadirii vyema changamoto za utawala. Mifumo inayotumia tokeni hubadilisha maamuzi ya uaminifu kutoka kwa mamlaka za vyeti vilivyo na muundo wa ngazi hadi kwa watoa huduma wa utambulisho waliosambazwa, na hivyo kuunda mapungufu ya uanzishwaji wa sera. Mfumo wa "mtoa wa kipekee kwa VO" katika WLCG unafaa kwa muundo wao lakini huenda usifae kwa ushirikiano unaobadilika zaidi.

Msukumo wa Hatua: Waendeshaji wa miundombinu wanapaswa kuanza mara moja kutekeleza uthibitishaji wa tokeni pamoja na mifumo iliyopo ya X.509, kwa kufuata mbinu ya mwingi wa mwingi iliyotumiwa kwa mafanikio katika mabadiliko ya IPv6. Watoa huduma wa utambulisho wanapasha kuweka viwango vya aina za madai na mazoea ya kurekodi. Muhimu zaidi, ushirikiano wa utafiti unapaswa kuanzisha mifumo wazi ya uaminifu kabla ya utekelezaji wa kiufundi, kujifunza kutoka kwa kazi ya Kivivu cha Uaminifu na Utambulisho cha GEANT kuhusu utambulisho wa shirikisho. Urahisi wa kihisabati wa uthibitishaji wa JWT ($\text{Thibitisha}(tokeni, ufunguo)$) haionyeshi ugumu wa kiutendaji—mafanikio yanahitaji umakini sawa kwa zote mbili.