Thông tin tài liệu
1
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
NGUYỄN VĂN TRUNG
NGHIÊN CỨU VIỆC ĐẢM BẢO AN TOÀN
THÔNG TIN TRONG HỆ THỐNG TÍNH
TOÁN LƯỚI
LUẬN VĂN THẠC SĨ
Hà Nội - 2011
2
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
NGUYỄN VĂN TRUNG
NGHIÊN CỨU VIỆC ĐẢM BẢO AN TOÀN
THÔNG TIN TRONG HỆ THỐNG TÍNH
TOÁN LƯỚI
Ngành: Công nghệ thông tin
Chuyên ngành: Hệ thống thông tin
Mã số: 60.48.05
LUẬN VĂN THẠC SĨ
NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS. Trịnh Nhật Tiến
Hà Nội - 2011
3
MỤC LỤC
MỤC LỤC 1
DANH MỤC THUẬT NGỮ 6
LỜI CAM ĐOAN 8
LỜI CẢM ƠN 10
CHƯƠNG 1. TỔNG QUAN VỀ TÍNH TOÁN LƯỚI 11
1.1.
TÍNH
TOÁN
LƯỚI. 11
1.1.1. Khái niệm Tính toán lưới. 11
1.1.2. Lợi ích của Tính toán lưới. 13
1.1.3. Vấn đề cơ bản của một hệ thống lưới. 15
1.1.4. Kiến trúc của một lưới 16
1.2.
VẤN
ĐỀ
AN
TOÀN
THÔNG
TIN
TRONG
TÍNH
TOÁN
LƯỚI 17
1.2.1. Các thách thức an toàn trong Tính toán lưới. 18
1.2.2. Các chính sách bảo đảm an ninh cho hệ thống lưới 20
1.2.3. Kiến trúc an ninh cho hệ thống lưới 23
CHƯƠNG 2. NỀN TẢNG AN TOÀN THÔNG TIN LƯỚI GSI 29
2.1.
CÁC
KHÁI
NIỆM
CƠ
BẢN
VỀ
AN
TOÀN
THÔNG
TIN 29
2.1.1. Mã hóa thông tin 29
2.1.2. Hệ mã hóa khóa đối xứng. 30
2.1.3. Hệ mã hóa khóa phi đối xứng. 31
2.1.4. Chữ ký số 32
2.1.5. Chứng chỉ số. 33
2.1.6. Nhà cung cấp và quản lý chứng chỉ số. 35
2.2.
CƠ
SỞ
HẠ
TẦNG
AN
TOÀN
THÔNG
TIN
TRÊN
LƯỚI. 37
2.2.1. Cơ sở hạ tầng mật mã khóa công khai. 37
2.2.2. Bảo vệ thông tin mức thông điệp và mức giao vận. 38
2.2.3. Giấy ủy nhiệm lưới. 39
2.2.4. Sự ủy quyền. 39
2.2.5. Chứng thực trong GSI. 40
2.2.6. Ứng dụng của GSI. 40
2.3.
BỘ
CÔNG
CỤ
GLOBUS
TOOLKIT
4.0. 41
2.3.1. Thành phần chính của Globus Toolkit. 41
2.3.2. An toàn bảo mật trong Globus Toolkit. 45
2.3.3. Minh họa cài đặt cơ chế an toàn bảo mật cho dịch vụ GRAM. 47
4
CHƯƠNG 3. HỆ THỐNG QUẢN LÝ TỔ CHỨC ẢO 50
3.1.
TỔ
CHỨC
ẢO. 50
3.1.1. Khái niệm tổ chức ảo. 50
3.1.2. Tổ chức ảo và tài nguyên lưới. 51
3.1.3. Thông tin người dùng trong tổ chức ảo. 53
3.1.3.1 Cấu trúc tổ chức ảo. 53
3.1.3.2 Thông tin người dùng. 54
3.1.3.3 Định dạng thông tin VO. 55
3.1.3.4 Thông tin về các quyền người dùng với RP. 55
3.2.
HỆ
THỐNG
QUẢN
LÝ
TỔ
CHỨC
ẢO. 56
3.2.1. Người dùng với VOMS. 57
3.2.1.1 Người dùng lưới với VOMS. 57
3.2.1.2 Người quản trị với VOMS 60
3.2.2. Dịch vụ VOMS. 61
3.2.2.1 Dịch vụ sinh thuộc tính AAS. 62
3.2.2.2 Dịch vụ đăng ký & quản trị ARS. 63
3.2.3. Phân quyền người dùng trong VOMS. 64
3.2.3.1 Danh sách điều khiển truy cập. 64
3.2.3.2 Quyền thực hiện các tác vụ quản lý VO trong VOMS. 65
3.3.
DỊCH
VỤ
TẠO
DANH
SÁCH
TRUY
CẬP
EDG-MKGRIDMAP. 69
CHƯƠNG 4. KẾT QUẢ THỬ NGHIỆM 70
4.1.
HỆ
THỐNG
QUẢN
LÝ
NGƯỜI
DÙNG
LƯỚI
TÍNH
TOÁN 70
4.1.1. Giới thiệu hệ thống GOODAS. 71
4.1.2. Mô hình bảo mật cho GOODAS. 73
4.2.
THÀNH
PHẦN
QUẢN
LÝ
TỔ
CHỨC
ẢO 74
4.2.1. Sử dụng VOMS. 74
4.2.1.1 Người dùng lưới và VOMS. 75
4.2.1.2 Người quản trị và VOMS. 78
4.2.2
Sử dụng EDG-MKGRIDMAP. 86
4.3.
THÀNH
PHẦN
QUẢN
LÝ
GIẤY
UỶ
NHIỆM 86
4.3.1. Cổng điện tử lưới. 86
4.3.1. Mô hình uỷ quyền truy nhập trên cổng điện tử lưới. 88
4.3.3. Dịch vụ quản lý giấy uỷ nhiệm. 89
4.4
MỘT
SỐ
HA
N
CHÊ
CỦA
VOMS. 92
4.4.1 Hạn chế của VOMS. 92
4.4.2 Hạn chế của EDG-MKGRIDMAP. 93
4.5.
HƯỚNG
PHÁT
TRIỂN
CỦA
VOMS 94
5
4.5.1 VOMRS kết hợp cùng VOMS. 94
4.5.1.1 Tổng quan về VOMRS. 94
4.5.1.2 Đồng bộ VOMRS và VOMS. 96
4.5.2 GUMS & PRIMA thay thế EDG-MKGRIDMAP. 97
KẾT LUẬN 99
TÀI LIỆU THAM KHẢO 100
PHỤ LỤC: CÀI ĐẶT VOMS VÀ EDG-MKGRIDMAP. 101
1.
C
ÀI ĐẶT
VOMS. 101
1.1. Chuẩn bị hệ thống 101
1.2. Cài đặt VOMS 102
2.
C
ÀI ĐẶT
EDG-MKGRIDMAP. 104
2.1. Chuẩn bị hệ thống 104
2.2. Cài đặt EDG-MKGRIDMAP 104
3.
C
ẤU HÌNH HỆ THỐNG
105
3.1. Cấu hình VOMS 105
3.2. Cấu hình VO. 107
3.3. Cấu hình EDG-MKGRIDMAP. 111
6
DANH MỤC THUẬT NGỮ
Từ viết tắt Nghĩa tiếng Anh Chú giải
AAS Attribute Authority Service Dịch vụ phân quyên thuộc tính
AC Attribute Certificate Chứng nhận thuộc tính
ACL Access Control Lists Danh sách điều khiển quyền truy
cập
ARS Administration and
Registration Service
Dịch vụ đăng ký và quản trị
CA Certificate Authority Nhà cung cấp và quản lý chứng chỉ
số
CAS Community Authorization Dịch vụ thẩm quyền cộng đồng
DN Distinguished Name Tên phân biệt người dùng trong lưới
EDG-
MKGRIDMAP
EDG Make Gridmap Công cụ tự động ánh xạ người dụng
cục bộ và người dùng thuộc VO.
FTP File Transfer Protocol Giao thức truyền file qua mạng TCP
GOODAS Grid Oriented Online
Document Analysing
System
Hệ thống lưới tìm kiếm và so khớp
tài liệu điện tử
GRAM Globus Resource
Allocation Management
Quản lý định vị tài nguyên lưới
GRIM Grid Resource Identity
Mapper
Ánh xạ thực thể tài nguyên lưới
GSI Grid Security infrastructure
Hạ tầng an toàn thông tin lưới
GSS-API Generic Security Service
Application Program
Interface
Giao diện lập trình ứng dụng dịch
vụ bảo mật chung
GT Globus Toolkit Bộ công cụ được phát triển bởi
Globus Alliance, dùng để phát triển
các ứng dụng lưới
GUMS Grid User Management
System
Hệ thống quản lý người dùng lưới
LMJFS Local Managed Job
Factory Services
Dịch vụ sinh MJS địa phương
MJS Managed Job Service Dịch vụ quản lý công việc
MMJFS Master Managed Job
Factory Service
Trình chủ sinh MJS
7
OGSA Open Grid Service
Architecture
Kiến trúc dịch vụ lưới
PKI Public Key Infrastructure Hạ tầng khóa công khai
PRIMA PRivilige Management and
Authorization
Dịch vụ quản lý ưu tiên và phân
quyền
RP Resource Provider Nhà cung cấp tài nguyên
SAML Security Assertion Markup
Language
Ngôn ngữ đánh dấu liên kết an toàn
SOA Service Oriented
Architecture
Kiến trúc hướng dịch vụ
SOAP Simple Object Acess
Protocol
Giao thức truy cập đối tượng đơn
giản
SSL Secure Sockets Layer Giao thức bảo mật lớp sockets
TLS Transport Layer Security Giao thức bảo mật tầng giao vận
VO Virtual Organization Tổ chức ảo
VOMRS Virtual Organization
Management Registration
Service
Dịch vụ quản lý đăng ký tổ chức ảo
VOMS Virtual Organization
Membership Service
Dịch vụ thành viên tổ chức ảo
WS Web Service Dịch vụ web
WSDD Web Service Deployment
Descriptor
Ngôn ngữ đặc tả dịch vụ Web
WSRF Web Services Resource
Framework
Framework đưa ra bởi GT4 hỗ trợ
kiến trúc lập trình mới
8
LỜI MỞ ĐẦU
Hiện nay tính toán lưới đang nổi lên như một công nghệ nhiều hứa hẹn trong
tương lai, với khả năng tập hợp các nguồn tài nguyên nhàn rỗi, nhằm hướng tới các
mục tiêu về hiệu năng tính toán và khả năng chia sẻ, truyền thông dữ liệu. Nhiều
trung tâm nghiên cứu và các tổ chức trên thế giới đang áp dụng và triển khai công
nghệ này vào thực tiễn, mở ra các khả năng mới trong lĩnh vực công nghệ thông tin
cũng như các lĩnh vực khác.
Do đặc điểm đa dạng và không đồng nhất của các tổ chức và tài nguyên
trong lưới, vấn đề bảo mật trong lưới là một trong những vấn đề được quan tâm
hàng đầu. Có những vấn đề bảo mật mới chưa từng gặp trong các công nghệ bảo
mật hiện tại cho hệ thống tính toán phân tán truyền thống. Các thách thức về an toàn
bảo mật được đưa ra như các chính sách bảo mật liên miền cho lưới, các công nghệ
điều khiển truy nhập giữa các miền khác nhau.
Một vấn đề quan trọng đặt ra trong nghiên cứu an toàn bảo mật trên lưới là
việc quản lý bảo mật và danh sách điều khiển truy nhập trong một môi trường động
và có tính phân tán cao. Luận văn trình bày một giải pháp hoàn chỉnh cho việc quản
lý người dùng lưới, xác thực phân quyền và cho phép người dùng hay tổ chức ảo
gia nhập mới. Giải pháp được phát triển trong lưới tìm kiếm và so khớp tài liệu điện
tử liên trường GOODAS. Hệ thống lưới được phát triển tại trung tâm tính toán hiệu
năng cao (HPCC) thuộc trường đại học Bách Khoa Hà Nội. Cấu trúc của luận văn
bao gồm các mục sau.
Chương I: Tổng quan về tính toán lưới
Chương II: Nền tảng an toàn thông tin lưới GSI
Chương III: Hệ thống quản lý tổ chức ảo
Chương IV: Kết quả thử nghiệm
Kết luận, Phụ lục & Tài liệu tham khảo được trình bày ở phần cuối của
luận văn.
9
LỜI CAM ĐOAN
Tôi xin cam kết rằng nội dung của bản báo cáo này chưa được nộp cho bất
kỳ một chương trình cấp bằng thạc sĩ nào cũng nhưu bất kỳ một chương trình cấp
bằng nào khác.
Tôi xin cam đoan kết quả đạt được trong luận văn là sản phẩm nghiên cứu,
tìm hiểu của riêng cá nhân tôi. Trong toàn bộ nội dung của luận văn, những điều
được trình bày hoặc là của cá nhân tôi hoặc là được tổng hợp từ nhiều nguồn tài
liệu. Tất cả các tài liệu tham khảo đều có xuất xứ rõ ràng và được trích dẫn hợp
pháp.
Tôi xin hoàn chịu trách nhiệm và chịu mọi hình thức kỷ luật theo quy
định cho lời cam đoan của mình.
Học viên
Nguyễn Văn Trung
10
LỜI CẢM ƠN
Trước hết, tác giả xin bày tỏ lòng biết ơn sâu sắc nhất tới thầy giáo hướng
dẫn PGS.TS. Trịnh Nhật Tiến về những ý kiến đóng góp về chuyên môn và sự
động viên khích lệ của thầy trong suốt quá trình làm nghiên cứu của tôi.
Tôi xin gửi lời cám ơn trân trọng tới GS.TS. Nguyễn Thanh Thủy, Giám
đốc Trung tâm Tính toán hiệu năng cao Trường Đại học Bách Khoa Hà Nội. Thầy
đã tạo mọi điều kiện về cơ sở vật chất và tinh thần cho tôi trong quá trình nghiên
cứu tại trung tâm.
Tôi cũng xin được gửi tới Khoa Công nghệ thông tin, Trường Đại học
Công nghệ, Đại học Quốc Gia Hà Nội cùng toàn thể các thầy cô, anh chị và các bạn
lời cảm ơn chân thành về sự giúp đỡ nhiệt tình, vô giá trong quá trình nghiên cứu và
học tập tại đây.
Và cuối cùng tôi xin gửi lời cảm ơn gia đình, bố, mẹ, vợ con tôi về sự hỗ trợ
không thể thiếu của họ. Tình yêu của họ, sự khích lệ, động viên, sự quan tâm, chăm
sóc của họ đã giúp tôi vượt qua tất cả khó khăn để theo học chương trình và hoàn
thiện bản luận văn cuối khoá này. Tôi xin chân thành cảm ơn!
[...]... t p h p k t qu thông qua Web 16 1.2 V N Do lư i, v n hàng AN TOÀN THÔNG TIN TRONG TÍNH TOÁN LƯ I c i m h n t p và không ng nh t c a các t ch c và tài nguyên trong an toàn thông tin trong lư i là m t trong nh ng v n u Có nh ng v n ư c quan tâm an toàn thông tin m i chưa t ng g p trong các công ngh an toàn thông tin hi n t i cho h th ng tính toán phân tán truy n th ng Ví d , các tính toán song song òi... b n ư c quan tâm trong tính toán lư i [3], ó là: 1/ An toàn và b o m t (Security) M t n n t ng an toàn và b o m t v ng ch c s quy t nh s phát tri n c a môi trư ng tính toán lư i V i tính ch t quy mô l n, quan h chia s tài nguyên gi a nhi u t ch c, an toàn và b o m t luôn ph i ư c coi là m t trong nh ng y u t hàng trong lư i Hai v n u quan tr ng trong an toàn b o m t ph i xem xét trong tính toán lư i... th ng tính toán lư i 28 N N T NG AN TOÀN THÔNG TIN LƯ I GSI Chương 2 VÀ B CÔNG C GLOBUS TOOLKIT 4.0 2.1 CÁC KHÁI NI M CƠ B N V AN TOÀN THÔNG TIN 2.1.1 Mã hóa thông tin Trong mã hóa thông tin có hai khóa là khoá mã hoá và khoá gi i mã Ngư i g i mã hóa thông tin b ng khoá mã hoá, và g i b n mã cho ngư i nh n Hình 2- 1: Mã hóa thông tin s d ng khóa Ngư i nh n s d ng khoá gi i mã gi i mã thông tin Hình 2-... ph i có m t trong th i gian tính toán, thay vào ó ch ng ch s c a ngư i dùng ph i s n có trong su t th i gian tính toán Hơn n a, th i gian s ng c a ch ng ch s dùng hoàn toàn ch ư c i u khi n b i ngư i dùng, giúp cho ngư i ng trong quá trình tính toán mà không c n có m t ó + Gi y ch ng nh n tài nguyên Ch ng nh n cho m t tài nguyên là thành viên h p l c a lư i, các chính sách an toàn riêng trong tài nguyên...Chương 1 T NG QUAN V TÍNH TOÁN LƯ I 1.1 TÍNH TOÁN LƯ I 1.1.1 Khái ni m Tính toán lư i Ngày nay, v i s phát tri n vư t b c c a khoa h c k thu t và công ngh , ã xu t hi n nh ng bài toán trong nhi u lĩnh v c òi h i s c m nh tính toán mà m t máy tính riêng l không th m trách Tính toán lư i ra i nh m t o kh năng chia s tài nguyên trên ph m vi toàn c u, kh năng t n d ng các ph n m m... vòng i i c a m t tính toán Vì th , c n cung c p an toàn truy n thông nhóm ng Không có gi i pháp nào hi n t i h tr tính năng này, th m chí là thư vi n l p trình GSS-API còn không cung c p an toàn truy n thông nhóm - c l p công ngh : Các chính sách không ph c v cho m t công ngh phát tri n ng d ng c th nào Hơn n a, có th cài t các chính sách trong m t ph m vi các công ngh an toàn thông tin, d a trên c... 22 1.2.3 Ki n trúc an ninh cho h th ng lư i Ph n này s trình bày m t ki n trúc an ninh d a trên các ng c nh an toàn và chính sách an toàn thông tin ư c nêu ra trên 1/ Th c th Môi trư ng lư i bao g m các ch th và i tư ng trong các tính toán Ch th bao g m các ngư i dùng, các ti n trình th c hi n tính toán, b i vì m i tính toán bao g m nhi u ti n trình, m i ti n trình l i thay m t cho m t ngư i dùng c... trên toàn b lư i quy t nh th t trình công vi c 3/ D ch v thông tin (Information Service) i v i m t môi trư ng ng và không thông tin v các thành ph n trong lư i s thay thông tin c n cung c p cơ ch t ng nh t như tính toán lư i thì các i liên t c Chính vì v y, d ch v ng c p nh t và ăng ký các thông tin v toàn h th ng như ki n trúc các tài nguyên, các d ch v có th cung c p trên lư i, tr ng thái c a toàn. .. m t a lý Hình 1-1: Tính toán lư i - nh nghĩa 1: Lư i tính toán là m t cơ s h t ng ph n c ng và ph n m m cung c p kh năng truy nh p nh t quán, tin c y, qui mô và r t i các tài nguyên tính toán m nh I Foster, C Kesselman (1999) - nh nghĩa 2: Tính toán lư i liên quan t i vi c chia s , i u ph i tài nguyên và gi i quy t v n trong ph m vi các t ch c o I Foster, C Kesselman, S Tuecke, “Anatomy of the Grid“(2000)... phân tán truy n th ng Ví d , các tính toán song song òi h i nhi u tài nguyên tính toán, d n t i nhu c u ph i thi t l p các m i quan h an toàn thông tin, không ơn gi n ch là v i client và server, mà gi a hàng trăm ti n trình th c hi n trong không gian t p h p nhi u mi n qu n tr Ngoài ra, c n ph i có các chính sách an toàn thông tin liên mi n cho lư i, i u khi n truy nh p gi a các mi n khác nhau cũng ph . CÔNG NGHỆ
NGUYỄN VĂN TRUNG
NGHIÊN CỨU VIỆC ĐẢM BẢO AN TOÀN
THÔNG TIN TRONG HỆ THỐNG TÍNH
TOÁN LƯỚI
Ngành: Công nghệ thông tin
Chuyên.
ĐỀ
AN
TOÀN
THÔNG
TIN
TRONG
TÍNH
TOÁN
LƯỚI 17
1.2.1. Các thách thức an toàn trong Tính toán lưới. 18
1.2.2. Các chính sách bảo đảm an
Ngày đăng: 17/02/2014, 20:57
Xem thêm: nghiên cứu việc đảm bảo an toàn thông tin trong hệ thống tính toán lưới, nghiên cứu việc đảm bảo an toàn thông tin trong hệ thống tính toán lưới