1 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN VĂN TRUNG NGHIÊN CỨU VIỆC ĐẢM BẢO AN TOÀN THÔNG TIN TRONG HỆ THỐNG TÍNH TOÁN LƯỚI LUẬN VĂN THẠC SĨ Hà Nội - 2011 2 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN VĂN TRUNG NGHIÊN CỨU VIỆC ĐẢM BẢO AN TOÀN THÔNG TIN TRONG HỆ THỐNG TÍNH TOÁN LƯỚI Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin Mã số: 60.48.05 LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS. Trịnh Nhật Tiến Hà Nội - 2011 3 MỤC LỤC MỤC LỤC 1 DANH MỤC THUẬT NGỮ 6 LỜI CAM ĐOAN 8 LỜI CẢM ƠN 10 CHƯƠNG 1. TỔNG QUAN VỀ TÍNH TOÁN LƯỚI 11 1.1. TÍNH TOÁN LƯỚI. 11 1.1.1. Khái niệm Tính toán lưới. 11 1.1.2. Lợi ích của Tính toán lưới. 13 1.1.3. Vấn đề cơ bản của một hệ thống lưới. 15 1.1.4. Kiến trúc của một lưới 16 1.2. VẤN ĐỀ AN TOÀN THÔNG TIN TRONG TÍNH TOÁN LƯỚI 17 1.2.1. Các thách thức an toàn trong Tính toán lưới. 18 1.2.2. Các chính sách bảo đảm an ninh cho hệ thống lưới 20 1.2.3. Kiến trúc an ninh cho hệ thống lưới 23 CHƯƠNG 2. NỀN TẢNG AN TOÀN THÔNG TIN LƯỚI GSI 29 2.1. CÁC KHÁI NIỆM CƠ BẢN VỀ AN TOÀN THÔNG TIN 29 2.1.1. Mã hóa thông tin 29 2.1.2. Hệ mã hóa khóa đối xứng. 30 2.1.3. Hệ mã hóa khóa phi đối xứng. 31 2.1.4. Chữ ký số 32 2.1.5. Chứng chỉ số. 33 2.1.6. Nhà cung cấp và quản lý chứng chỉ số. 35 2.2. CƠ SỞ HẠ TẦNG AN TOÀN THÔNG TIN TRÊN LƯỚI. 37 2.2.1. Cơ sở hạ tầng mật mã khóa công khai. 37 2.2.2. Bảo vệ thông tin mức thông điệp và mức giao vận. 38 2.2.3. Giấy ủy nhiệm lưới. 39 2.2.4. Sự ủy quyền. 39 2.2.5. Chứng thực trong GSI. 40 2.2.6. Ứng dụng của GSI. 40 2.3. BỘ CÔNG CỤ GLOBUS TOOLKIT 4.0. 41 2.3.1. Thành phần chính của Globus Toolkit. 41 2.3.2. An toàn bảo mật trong Globus Toolkit. 45 2.3.3. Minh họa cài đặt cơ chế an toàn bảo mật cho dịch vụ GRAM. 47 4 CHƯƠNG 3. HỆ THỐNG QUẢN LÝ TỔ CHỨC ẢO 50 3.1. TỔ CHỨC ẢO. 50 3.1.1. Khái niệm tổ chức ảo. 50 3.1.2. Tổ chức ảo và tài nguyên lưới. 51 3.1.3. Thông tin người dùng trong tổ chức ảo. 53 3.1.3.1 Cấu trúc tổ chức ảo. 53 3.1.3.2 Thông tin người dùng. 54 3.1.3.3 Định dạng thông tin VO. 55 3.1.3.4 Thông tin về các quyền người dùng với RP. 55 3.2. HỆ THỐNG QUẢN LÝ TỔ CHỨC ẢO. 56 3.2.1. Người dùng với VOMS. 57 3.2.1.1 Người dùng lưới với VOMS. 57 3.2.1.2 Người quản trị với VOMS 60 3.2.2. Dịch vụ VOMS. 61 3.2.2.1 Dịch vụ sinh thuộc tính AAS. 62 3.2.2.2 Dịch vụ đăng ký & quản trị ARS. 63 3.2.3. Phân quyền người dùng trong VOMS. 64 3.2.3.1 Danh sách điều khiển truy cập. 64 3.2.3.2 Quyền thực hiện các tác vụ quản lý VO trong VOMS. 65 3.3. DỊCH VỤ TẠO DANH SÁCH TRUY CẬP EDG-MKGRIDMAP. 69 CHƯƠNG 4. KẾT QUẢ THỬ NGHIỆM 70 4.1. HỆ THỐNG QUẢN LÝ NGƯỜI DÙNG LƯỚI TÍNH TOÁN 70 4.1.1. Giới thiệu hệ thống GOODAS. 71 4.1.2. Mô hình bảo mật cho GOODAS. 73 4.2. THÀNH PHẦN QUẢN LÝ TỔ CHỨC ẢO 74 4.2.1. Sử dụng VOMS. 74 4.2.1.1 Người dùng lưới và VOMS. 75 4.2.1.2 Người quản trị và VOMS. 78 4.2.2 Sử dụng EDG-MKGRIDMAP. 86 4.3. THÀNH PHẦN QUẢN LÝ GIẤY UỶ NHIỆM 86 4.3.1. Cổng điện tử lưới. 86 4.3.1. Mô hình uỷ quyền truy nhập trên cổng điện tử lưới. 88 4.3.3. Dịch vụ quản lý giấy uỷ nhiệm. 89 4.4 MỘT SỐ HA  N CHÊ  CỦA VOMS. 92 4.4.1 Hạn chế của VOMS. 92 4.4.2 Hạn chế của EDG-MKGRIDMAP. 93 4.5. HƯỚNG PHÁT TRIỂN CỦA VOMS 94 5 4.5.1 VOMRS kết hợp cùng VOMS. 94 4.5.1.1 Tổng quan về VOMRS. 94 4.5.1.2 Đồng bộ VOMRS và VOMS. 96 4.5.2 GUMS & PRIMA thay thế EDG-MKGRIDMAP. 97 KẾT LUẬN 99 TÀI LIỆU THAM KHẢO 100 PHỤ LỤC: CÀI ĐẶT VOMS VÀ EDG-MKGRIDMAP. 101 1. C ÀI ĐẶT VOMS. 101 1.1. Chuẩn bị hệ thống 101 1.2. Cài đặt VOMS 102 2. C ÀI ĐẶT EDG-MKGRIDMAP. 104 2.1. Chuẩn bị hệ thống 104 2.2. Cài đặt EDG-MKGRIDMAP 104 3. C ẤU HÌNH HỆ THỐNG 105 3.1. Cấu hình VOMS 105 3.2. Cấu hình VO. 107 3.3. Cấu hình EDG-MKGRIDMAP. 111 6 DANH MỤC THUẬT NGỮ Từ viết tắt Nghĩa tiếng Anh Chú giải AAS Attribute Authority Service Dịch vụ phân quyên thuộc tính AC Attribute Certificate Chứng nhận thuộc tính ACL Access Control Lists Danh sách điều khiển quyền truy cập ARS Administration and Registration Service Dịch vụ đăng ký và quản trị CA Certificate Authority Nhà cung cấp và quản lý chứng chỉ số CAS Community Authorization Dịch vụ thẩm quyền cộng đồng DN Distinguished Name Tên phân biệt người dùng trong lưới EDG- MKGRIDMAP EDG Make Gridmap Công cụ tự động ánh xạ người dụng cục bộ và người dùng thuộc VO. FTP File Transfer Protocol Giao thức truyền file qua mạng TCP GOODAS Grid Oriented Online Document Analysing System Hệ thống lưới tìm kiếm và so khớp tài liệu điện tử GRAM Globus Resource Allocation Management Quản lý định vị tài nguyên lưới GRIM Grid Resource Identity Mapper Ánh xạ thực thể tài nguyên lưới GSI Grid Security infrastructure Hạ tầng an toàn thông tin lưới GSS-API Generic Security Service Application Program Interface Giao diện lập trình ứng dụng dịch vụ bảo mật chung GT Globus Toolkit Bộ công cụ được phát triển bởi Globus Alliance, dùng để phát triển các ứng dụng lưới GUMS Grid User Management System Hệ thống quản lý người dùng lưới LMJFS Local Managed Job Factory Services Dịch vụ sinh MJS địa phương MJS Managed Job Service Dịch vụ quản lý công việc MMJFS Master Managed Job Factory Service Trình chủ sinh MJS 7 OGSA Open Grid Service Architecture Kiến trúc dịch vụ lưới PKI Public Key Infrastructure Hạ tầng khóa công khai PRIMA PRivilige Management and Authorization Dịch vụ quản lý ưu tiên và phân quyền RP Resource Provider Nhà cung cấp tài nguyên SAML Security Assertion Markup Language Ngôn ngữ đánh dấu liên kết an toàn SOA Service Oriented Architecture Kiến trúc hướng dịch vụ SOAP Simple Object Acess Protocol Giao thức truy cập đối tượng đơn giản SSL Secure Sockets Layer Giao thức bảo mật lớp sockets TLS Transport Layer Security Giao thức bảo mật tầng giao vận VO Virtual Organization Tổ chức ảo VOMRS Virtual Organization Management Registration Service Dịch vụ quản lý đăng ký tổ chức ảo VOMS Virtual Organization Membership Service Dịch vụ thành viên tổ chức ảo WS Web Service Dịch vụ web WSDD Web Service Deployment Descriptor Ngôn ngữ đặc tả dịch vụ Web WSRF Web Services Resource Framework Framework đưa ra bởi GT4 hỗ trợ kiến trúc lập trình mới 8 LỜI MỞ ĐẦU Hiện nay tính toán lưới đang nổi lên như một công nghệ nhiều hứa hẹn trong tương lai, với khả năng tập hợp các nguồn tài nguyên nhàn rỗi, nhằm hướng tới các mục tiêu về hiệu năng tính toán và khả năng chia sẻ, truyền thông dữ liệu. Nhiều trung tâm nghiên cứu và các tổ chức trên thế giới đang áp dụng và triển khai công nghệ này vào thực tiễn, mở ra các khả năng mới trong lĩnh vực công nghệ thông tin cũng như các lĩnh vực khác. Do đặc điểm đa dạng và không đồng nhất của các tổ chức và tài nguyên trong lưới, vấn đề bảo mật trong lưới là một trong những vấn đề được quan tâm hàng đầu. Có những vấn đề bảo mật mới chưa từng gặp trong các công nghệ bảo mật hiện tại cho hệ thống tính toán phân tán truyền thống. Các thách thức về an toàn bảo mật được đưa ra như các chính sách bảo mật liên miền cho lưới, các công nghệ điều khiển truy nhập giữa các miền khác nhau. Một vấn đề quan trọng đặt ra trong nghiên cứu an toàn bảo mật trên lưới là việc quản lý bảo mật và danh sách điều khiển truy nhập trong một môi trường động và có tính phân tán cao. Luận văn trình bày một giải pháp hoàn chỉnh cho việc quản lý người dùng lưới, xác thực phân quyền và cho phép người dùng hay tổ chức ảo gia nhập mới. Giải pháp được phát triển trong lưới tìm kiếm và so khớp tài liệu điện tử liên trường GOODAS. Hệ thống lưới được phát triển tại trung tâm tính toán hiệu năng cao (HPCC) thuộc trường đại học Bách Khoa Hà Nội. Cấu trúc của luận văn bao gồm các mục sau. Chương I: Tổng quan về tính toán lưới Chương II: Nền tảng an toàn thông tin lưới GSI Chương III: Hệ thống quản lý tổ chức ảo Chương IV: Kết quả thử nghiệm Kết luận, Phụ lục & Tài liệu tham khảo được trình bày ở phần cuối của luận văn. 9 LỜI CAM ĐOAN Tôi xin cam kết rằng nội dung của bản báo cáo này chưa được nộp cho bất kỳ một chương trình cấp bằng thạc sĩ nào cũng nhưu bất kỳ một chương trình cấp bằng nào khác. Tôi xin cam đoan kết quả đạt được trong luận văn là sản phẩm nghiên cứu, tìm hiểu của riêng cá nhân tôi. Trong toàn bộ nội dung của luận văn, những điều được trình bày hoặc là của cá nhân tôi hoặc là được tổng hợp từ nhiều nguồn tài liệu. Tất cả các tài liệu tham khảo đều có xuất xứ rõ ràng và được trích dẫn hợp pháp. Tôi xin hoàn chịu trách nhiệm và chịu mọi hình thức kỷ luật theo quy định cho lời cam đoan của mình. Học viên Nguyễn Văn Trung 10 LỜI CẢM ƠN Trước hết, tác giả xin bày tỏ lòng biết ơn sâu sắc nhất tới thầy giáo hướng dẫn PGS.TS. Trịnh Nhật Tiến về những ý kiến đóng góp về chuyên môn và sự động viên khích lệ của thầy trong suốt quá trình làm nghiên cứu của tôi. Tôi xin gửi lời cám ơn trân trọng tới GS.TS. Nguyễn Thanh Thủy, Giám đốc Trung tâm Tính toán hiệu năng cao Trường Đại học Bách Khoa Hà Nội. Thầy đã tạo mọi điều kiện về cơ sở vật chất và tinh thần cho tôi trong quá trình nghiên cứu tại trung tâm. Tôi cũng xin được gửi tới Khoa Công nghệ thông tin, Trường Đại học Công nghệ, Đại học Quốc Gia Hà Nội cùng toàn thể các thầy cô, anh chị và các bạn lời cảm ơn chân thành về sự giúp đỡ nhiệt tình, vô giá trong quá trình nghiên cứu và học tập tại đây. Và cuối cùng tôi xin gửi lời cảm ơn gia đình, bố, mẹ, vợ con tôi về sự hỗ trợ không thể thiếu của họ. Tình yêu của họ, sự khích lệ, động viên, sự quan tâm, chăm sóc của họ đã giúp tôi vượt qua tất cả khó khăn để theo học chương trình và hoàn thiện bản luận văn cuối khoá này. Tôi xin chân thành cảm ơn! [...]... t p h p k t qu thông qua Web 16 1.2 V N Do lư i, v n hàng AN TOÀN THÔNG TIN TRONG TÍNH TOÁN LƯ I c i m h n t p và không ng nh t c a các t ch c và tài nguyên trong an toàn thông tin trong lư i là m t trong nh ng v n u Có nh ng v n ư c quan tâm an toàn thông tin m i chưa t ng g p trong các công ngh an toàn thông tin hi n t i cho h th ng tính toán phân tán truy n th ng Ví d , các tính toán song song òi... b n ư c quan tâm trong tính toán lư i [3], ó là: 1/ An toàn và b o m t (Security) M t n n t ng an toàn và b o m t v ng ch c s quy t nh s phát tri n c a môi trư ng tính toán lư i V i tính ch t quy mô l n, quan h chia s tài nguyên gi a nhi u t ch c, an toàn và b o m t luôn ph i ư c coi là m t trong nh ng y u t hàng trong lư i Hai v n u quan tr ng trong an toàn b o m t ph i xem xét trong tính toán lư i... th ng tính toán lư i 28 N N T NG AN TOÀN THÔNG TIN LƯ I GSI Chương 2 VÀ B CÔNG C GLOBUS TOOLKIT 4.0 2.1 CÁC KHÁI NI M CƠ B N V AN TOÀN THÔNG TIN 2.1.1 Mã hóa thông tin Trong mã hóa thông tin có hai khóa là khoá mã hoá và khoá gi i mã Ngư i g i mã hóa thông tin b ng khoá mã hoá, và g i b n mã cho ngư i nh n Hình 2- 1: Mã hóa thông tin s d ng khóa Ngư i nh n s d ng khoá gi i mã gi i mã thông tin Hình 2-... ph i có m t trong th i gian tính toán, thay vào ó ch ng ch s c a ngư i dùng ph i s n có trong su t th i gian tính toán Hơn n a, th i gian s ng c a ch ng ch s dùng hoàn toàn ch ư c i u khi n b i ngư i dùng, giúp cho ngư i ng trong quá trình tính toán mà không c n có m t ó + Gi y ch ng nh n tài nguyên Ch ng nh n cho m t tài nguyên là thành viên h p l c a lư i, các chính sách an toàn riêng trong tài nguyên...Chương 1 T NG QUAN V TÍNH TOÁN LƯ I 1.1 TÍNH TOÁN LƯ I 1.1.1 Khái ni m Tính toán lư i Ngày nay, v i s phát tri n vư t b c c a khoa h c k thu t và công ngh , ã xu t hi n nh ng bài toán trong nhi u lĩnh v c òi h i s c m nh tính toán mà m t máy tính riêng l không th m trách Tính toán lư i ra i nh m t o kh năng chia s tài nguyên trên ph m vi toàn c u, kh năng t n d ng các ph n m m... vòng i i c a m t tính toán Vì th , c n cung c p an toàn truy n thông nhóm ng Không có gi i pháp nào hi n t i h tr tính năng này, th m chí là thư vi n l p trình GSS-API còn không cung c p an toàn truy n thông nhóm - c l p công ngh : Các chính sách không ph c v cho m t công ngh phát tri n ng d ng c th nào Hơn n a, có th cài t các chính sách trong m t ph m vi các công ngh an toàn thông tin, d a trên c... 22 1.2.3 Ki n trúc an ninh cho h th ng lư i Ph n này s trình bày m t ki n trúc an ninh d a trên các ng c nh an toàn và chính sách an toàn thông tin ư c nêu ra trên 1/ Th c th Môi trư ng lư i bao g m các ch th và i tư ng trong các tính toán Ch th bao g m các ngư i dùng, các ti n trình th c hi n tính toán, b i vì m i tính toán bao g m nhi u ti n trình, m i ti n trình l i thay m t cho m t ngư i dùng c... trên toàn b lư i quy t nh th t trình công vi c 3/ D ch v thông tin (Information Service) i v i m t môi trư ng ng và không thông tin v các thành ph n trong lư i s thay thông tin c n cung c p cơ ch t ng nh t như tính toán lư i thì các i liên t c Chính vì v y, d ch v ng c p nh t và ăng ký các thông tin v toàn h th ng như ki n trúc các tài nguyên, các d ch v có th cung c p trên lư i, tr ng thái c a toàn. .. m t a lý Hình 1-1: Tính toán lư i - nh nghĩa 1: Lư i tính toán là m t cơ s h t ng ph n c ng và ph n m m cung c p kh năng truy nh p nh t quán, tin c y, qui mô và r t i các tài nguyên tính toán m nh I Foster, C Kesselman (1999) - nh nghĩa 2: Tính toán lư i liên quan t i vi c chia s , i u ph i tài nguyên và gi i quy t v n trong ph m vi các t ch c o I Foster, C Kesselman, S Tuecke, “Anatomy of the Grid“(2000)... phân tán truy n th ng Ví d , các tính toán song song òi h i nhi u tài nguyên tính toán, d n t i nhu c u ph i thi t l p các m i quan h an toàn thông tin, không ơn gi n ch là v i client và server, mà gi a hàng trăm ti n trình th c hi n trong không gian t p h p nhi u mi n qu n tr Ngoài ra, c n ph i có các chính sách an toàn thông tin liên mi n cho lư i, i u khi n truy nh p gi a các mi n khác nhau cũng ph . CÔNG NGHỆ NGUYỄN VĂN TRUNG NGHIÊN CỨU VIỆC ĐẢM BẢO AN TOÀN THÔNG TIN TRONG HỆ THỐNG TÍNH TOÁN LƯỚI Ngành: Công nghệ thông tin Chuyên. ĐỀ AN TOÀN THÔNG TIN TRONG TÍNH TOÁN LƯỚI 17 1.2.1. Các thách thức an toàn trong Tính toán lưới. 18 1.2.2. Các chính sách bảo đảm an