İçindekiler
3+
Desteklenen Deney
2-7
Token Geçerlilik Süresi (Gün)
4
Çekirdek Bileşen
1. Giriş
Token tabanlı kimlik doğrulama yöntemleri, yüksek enerji fiziği araştırmaları için dağıtık hesaplama sistemlerinde giderek daha yaygın hale gelmektedir. Worldwide LHC Computing Grid (WLCG), bu endüstri eğilimini yansıtarak tüm hizmetlerini WLCG token'larını destekleyecek şekilde yükseltmiştir. Çin'deki Yüksek Enerji Fiziği Enstitüsü'nde (IHEP) Kerberos token'ları yerel hesaplama kümelerinde birincil kimlik doğrulama mekanizması olarak kurulmuş ve şimdi dağıtık hesaplama ortamlarına genişletilmektedir.
2. Arka Plan ve Motivasyon
IHEP, birden fazla Çin araştırma sitesini entegre etmek için bir dağıtık hesaplama platformu geliştirmektedir. Ancak IHEP'teki, özellikle BES deneyi olmak üzere, birkaç uzun süredir devam eden deney, veritabanı sistemleri, depolama hizmetleri ve hesaplama kaynakları dahil olmak üzere yerel küme ortamlarıyla sıkı bir şekilde bağlantılıdır. Bu zorluğun üstesinden gelmek için IHEP, yerel küme yeteneklerini dağıtık hesaplama ortamlarına şeffaf bir şekilde genişleten ve BES işlerinin minimum kesintiyle uzak sitelere geçiş yapmasını sağlayan bir "Küme Genişletme" yaklaşımı uygulamıştır.
3. Teknik Zorluklar
Kerberos token uygulamasındaki birincil zorluk, dağıtık ortamlarda token ömrünü yönetmektir. IHEP'teki Kerberos token'ları tipik olarak 2 günlük geçerlilik süresine ve 7 günlük yenileme limitine sahiptir. Token yenileme üç kritik noktada garanti edilmelidir:
- İş gönderme aşaması
- İş kuyruğa alma dönemi
- İş yürütme aşaması
4. Sistem Mimarisi
IHEP'teki Kerberos token ekosistemi, dağıtık hesaplama kaynakları genelinde kesintisiz kimlik doğrulama sağlamak için birlikte çalışan dört birbirine bağlı bileşenden oluşur.
4.1 Token Üretici
Token üretici, kullanıcılar gönderici düğümlerde oturum açtığında Kerberos token'ları oluşturur ve bu token'ları token deposuna yayınlar. Bu bileşen, uygun geçerlilik ve yenileme parametreleriyle başlangıç token oluşturmayı gerçekleştirir.
4.2 Token Deposu
Bu merkezi depolama sistemi, tüm mevcut token dosyalarını korur ve uzun süren hesaplama işleri sırasında token'ların süresinin dolmasını önlemek için token ömürlerini periyodik olarak yenileyen bir yenileme hizmeti içerir.
4.3 Token Transferi
Transfer mekanizması, token dosyalarını depodan dağıtık sitelerdeki çalışan düğümlere güvenli bir şekilde taşır ve iş yürütme için gereken yerlerde token'ların mevcut olmasını sağlar.
4.4 Token İstemci Motoru
Bu bileşen, çalışan düğümlerdeki token ortamını başlatır ve iş yürütme sırasında token ömür yenilemeyi yöneterek sürekli kimlik doğrulama yeteneği sağlar.
5. Uygulama Detayları
5.1 Matematiksel Temel
Kerberos kimlik doğrulaması, simetrik anahtar şifrelemesine ve zaman damgası tabanlı doğrulamaya dayanır. Token geçerliliği şu şekilde temsil edilebilir:
$V(t) = \begin{cases} 1 & \text{eğer } t_{current} \leq t_{creation} + t_{valid} \\ 0 & \text{diğer durumlarda} \end{cases}$
Burada $t_{valid}$ geçerlilik süresini (tipik olarak IHEP'te 2 gün) temsil eder ve $t_{creation} + t_{renew}$ (tipik olarak 7 gün) süresine kadar yenilemeye izin verilir.
5.2 Kod Uygulaması
Token yenileme hizmeti aşağıdaki mantığı uygular:
class TokenRenewalService:
def renew_token_if_needed(self, token, current_time):
"""Sona erme yaklaşıyorsa token'ı yenile"""
if token.is_expiring_within(threshold=3600): # 1 saat eşiği
if current_time <= token.created_time + token.renewal_period:
new_token = self.kinit_renew(token.principal)
self.repository.update(token.principal, new_token)
return new_token
return token
def kinit_renew(self, principal):
"""Kerberos yenileme komutunu çalıştır"""
import subprocess
result = subprocess.run(['kinit', '-R', principal],
capture_output=True, text=True)
if result.returncode == 0:
return self.extract_current_token(principal)
else:
raise TokenRenewalError(f"Token yenileme başarısız: {result.stderr}")6. Deneysel Sonuçlar
Kerberos token sistemi, IHEP'in dağıtık hesaplama altyapısı genelinde başarıyla dağıtılmıştır. Şu anda üç büyük deney bu kimlik doğrulama çerçevesini kullanmaktadır:
- LHAASO (Büyük Yüksek İrtifa Hava Duşu Gözlemevi)
- BES (Beijing Spektrometre Deneyi)
- HERD (Yüksek Enerjili Kozmik Radyasyon Tespiti)
Bu deneyler, dağıtık sitelerde EOS ve Lustre dosya sistemlerinde depolanan verilere uzaktan erişmek için Kerberos token'larını kullanır. Uygulama, token süre sonu nedeniyle minimum iş başarısızlığı ile güvenilir kimlik doğrulama göstermiştir.
7. Analiz ve Tartışma
Kerberos token'larının IHEP'in dağıtık hesaplama ortamında uygulanması, yüksek enerji fiziği araştırmaları için kimlik doğrulama mekanizmalarında önemli bir ilerlemeyi temsil etmektedir. Bu yaklaşım, mevcut altyapıyla uyumluluğu korurken çapraz site güvenliğindeki kritik zorlukları ele almaktadır. Birçok grid hesaplama ortamında kullanılan geleneksel sertifika tabanlı kimlik doğrulamayla (WLCG teknik raporlarında belgelendiği gibi) karşılaştırıldığında, token tabanlı yöntemler gelişmiş kullanılabilirlik ve azaltılmış yönetim yükü sunar.
IHEP'in çalışmasının teknik katkısı, dağıtık ortamlar genelinde tüm token yaşam döngüsünü yöneten kapsamlı araç setinde yatmaktadır. Bu mimari, web hizmetlerindeki OAuth 2.0 token yönetimiyle benzerlikler paylaşmakta ancak bilimsel hesaplama iş yükleri için özel olarak optimize edilmiştir. Sistemin token'ları otomatik olarak yenileme yeteneği, Kerberos'un temel bir sınırlaması olan Anahtar Dağıtım Merkezleri'ne (KDC) sürekli ağ bağlantısı bağımlılığını ele almaktadır.
Zhu ve diğerlerinin (2017) orijinal CycleGAN makalesine göre, başarılı alan uyarlaması ortamlar arasında sağlam özellik temsili gerektirir. Benzer şekilde, IHEP'in token sistemi, heterojen hesaplama siteleri genelinde güvenli kimlik temsilini etkinleştirir. Needham-Schroeder protokol varyasyonlarına dayanan Kerberos'un matematiksel temeli, kanıtlanmış kriptografik güvenlik sağlarken uygulama pratik dağıtık sistem mühendisliği ekler.
Üç büyük deney genelindeki dağıtım, sistemin ölçeklenebilirliğini ve güvenilirliğini göstermektedir. Bu başarı, genellikle binlerce hesaplama düğümünde petabaytlarca veriyi işlemeyi içeren yüksek enerji fiziği iş yüklerinin hesaplama yoğunluğu göz önüne alındığında özellikle dikkat çekicidir. IHEP'teki başarı, dağıtık kimlik doğrulama zorluklarıyla karşı karşıya kalan diğer bilimsel hesaplama topluluklarının da benzer token tabanlı yaklaşımlardan faydalanabileceğini göstermektedir.
8. Gelecek Uygulamalar
IHEP'teki Kerberos token çerçevesinin gelecek gelişimi için birkaç umut verici yönü vardır:
- Uluslararası Grid'lerle Federasyon: WLCG ve diğer uluslararası araştırma grid'leriyle token birlikte çalışabilirliğini genişletme
- Bulut Entegrasyonu: Token sistemini hibrit bulut ortamları ve ticari bulut sağlayıcıları için uyarlama
- Blok Zinciri Geliştirme: Geliştirilmiş denetlenebilirlik ve merkeziyetsizleştirme için blok zinciri tabanlı token yönetimini keşfetme
- Makine Öğrenmesi İş Yükleri: Güvenli kimlik doğrulama gerektiren dağıtık makine öğrenmesi çerçeveleri için desteği genişletme
- Kuantuma Dirençli Kriptografi: Token güvenliğinde kuantum sonrası kriptografik algoritmalara hazırlanma
9. Referanslar
- WLCG Teknik Tasarım Raporu, Worldwide LHC Computing Grid, 2021
- Neuman, B. C., & Ts'o, T. (1994). Kerberos: An Authentication Service for Computer Networks. IEEE Communications
- EOS Depolama Sistemi Dokümantasyonu, CERN, 2022
- XRootD Dokümantasyonu, 2023
- LHAASO İşbirliği. (2020). The Large High Altitude Air Shower Observatory
- BES III İşbirliği. (2022). Beijing Spektrometre Deneyi Teknik Raporu
- HERD İşbirliği. (2021). High Energy cosmic-Radiation Detection Mission Overview
- Lustre Dosya Sistemi Dokümantasyonu, 2023
- AFS Dokümantasyonu, IBM, 2022
- XCache Dokümantasyonu, 2023
- Zhu, J. Y., Park, T., Isola, P., & Efros, A. A. (2017). Unpaired Image-to-Image Translation using Cycle-Consistent Adversarial Networks. IEEE ICCV