ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN VĂN TRUNG NGUYỄN VĂN TRUNG NGHIÊN CỨU VIỆC ĐẢM BẢO AN TOÀN THÔNG TIN TRONG HỆ THỐNG TÍNH TOÁN LƯỚI NGHIÊN CỨU VIỆC ĐẢM BẢO AN TOÀN THÔNG TIN TRONG HỆ THỐNG TÍNH TOÁN LƯỚI Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin Mã số: 60.48.05 LUẬN VĂN THẠC SĨ LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS Trịnh Nhật Tiến Hà Nội - 2015 Hà Nội - 2015 2.3.3 Minh họa cài đặt chế an toàn bảo mật cho dịch vụ GRAM 47 CHƯƠNG HỆ THỐNG QUẢN LÝ TỔ CHỨC ẢO 50 3.1 TỔ CHỨC ẢO 50 3.1.1 Khái niệm tổ chức ảo 50 3.1.2 Tổ chức ảo tài nguyên lưới 51 3.1.3 Thông tin người dùng tổ chức ảo 53 3.1.3.1 Cấu trúc tổ chức ảo 53 3.1.3.2 Thông tin người dùng 54 3.1.3.3 Định dạng thông tin VO 55 3.1.3.4 Thông tin quyền người dùng với RP 55 3.2 HỆ THỐNG QUẢN LÝ TỔ CHỨC ẢO 56 3.2.1 Người dùng với VOMS 57 3.2.1.1 Người dùng lưới với VOMS 57 3.2.1.2 Người quản trị với VOMS 60 3.2.2 Dịch vụ VOMS 61 3.2.2.1 Dịch vụ sinh thuộc tính AAS 62 3.2.2.2 Dịch vụ đăng ký & quản trị ARS 63 3.2.3 Phân quyền người dùng VOMS 64 3.2.3.1 Danh sách điều khiển truy cập 64 3.2.3.2 Quyền thực tác vụ quản lý VO VOMS 65 3.3 DỊCH VỤ TẠO DANH SÁCH TRUY CẬP EDG-MKGRIDMAP 69 MỤC LỤC MỤC LỤC DANH MỤC THUẬT NGỮ LỜI CAM ĐOAN LỜI CẢM ƠN 10 CHƯƠNG TỔNG QUAN VỀ TÍNH TOÁN LƯỚI 11 1.1 TÍNH TOÁN LƯỚI 11 1.1.1 Khái niệm Tính toán lưới 11 1.1.2 Lợi ích Tính toán lưới 13 1.1.3 Vấn đề hệ thống lưới 15 1.1.4 Kiến trúc lưới 16 1.2 VẤN ĐỀ AN TOÀN THÔNG TIN TRONG TÍNH TOÁN LƯỚI 17 1.2.1 Các thách thức an toàn Tính toán lưới 18 1.2.2 Các sách bảo đảm an ninh cho hệ thống lưới 20 1.2.3 Kiến trúc an ninh cho hệ thống lưới 23 CHƯƠNG NỀN TẢNG AN TOÀN THÔNG TIN LƯỚI GSI 29 2.1 CÁC KHÁI NIỆM CƠ BẢN VỀ AN TOÀN THÔNG TIN 29 2.1.1 Mã hóa thông tin 29 2.1.2 Hệ mã hóa khóa đối xứng 30 2.1.3 Hệ mã hóa khóa phi đối xứng 31 2.1.4 Chữ ký số 32 CHƯƠNG KẾT QUẢ THỬ NGHIỆM 70 4.1 HỆ THỐNG QUẢN LÝ NGƯỜI DÙNG LƯỚI TÍNH TOÁN 70 4.1.1 Giới thiệu hệ thống GOODAS 71 4.1.2 Mô hình bảo mật cho GOODAS 73 4.2 THÀNH PHẦN QUẢN LÝ TỔ CHỨC ẢO 74 4.2.1 Sử dụng VOMS 74 4.2.1.1 Người dùng lưới VOMS 75 4.2.1.2 Người quản trị VOMS 78 4.2.2 Sử dụng EDG-MKGRIDMAP 86 2.1.5 Chứng số 33 2.1.6 Nhà cung cấp quản lý chứng số 35 2.2 CƠ SỞ HẠ TẦNG AN TOÀN THÔNG TIN TRÊN LƯỚI 37 2.2.1 Cơ sở hạ tầng mật mã khóa công khai 37 2.2.2 Bảo vệ thông tin mức thông điệp mức giao vận 38 2.2.3 Giấy ủy nhiệm lưới 39 2.2.4 Sự ủy quyền 39 2.2.5 Chứng thực GSI 40 2.2.6 Ứng dụng GSI 40 4.3 THÀNH PHẦN QUẢN LÝ GIẤY UỶ NHIỆM 86 4.3.1 Cổng điện tử lưới 86 4.3.1 Mô hình uỷ quyền truy nhập cổng điện tử lưới 88 4.3.3 Dịch vụ quản lý giấy uỷ nhiệm 89 4.4 MỘT SỐ HANB CHÊC CỦA VOMS 92 2.3 BỘ CÔNG CỤ GLOBUS TOOLKIT 4.0 41 2.3.1 Thành phần Globus Toolkit 41 2.3.2 An toàn bảo mật Globus Toolkit 45 4.4.1 Hạn chế VOMS 92 4.4.2 Hạn chế EDG-MKGRIDMAP 93 4.5 HƯỚNG PHÁT TRIỂN CỦA VOMS 94 4.5.1 VOMRS kết hợp VOMS 94 4.5.1.1 Tổng quan VOMRS 94 DANH MỤC THUẬT NGỮ Từ viết tắt AAS Nghĩa tiếng Anh Attribute Authority Service Chú giải Dịch vụ phân quyên thuộc tính AC Attribute Certificate Chứng nhận thuộc tính ACL Access Control Lists Danh sách điều khiển quyền truy cập ARS Dịch vụ đăng ký quản trị CA Administration and Registration Service Certificate Authority CAS Community Authorization 4.5.1.2 Đồng VOMRS VOMS 96 4.5.2 GUMS & PRIMA thay EDG-MKGRIDMAP 97 KẾT LUẬN 99 TÀI LIỆU THAM KHẢO 100 PHỤ LỤC: CÀI ĐẶT VOMS VÀ EDG-MKGRIDMAP .101 CÀI ĐẶT VOMS 101 1.1 Chuẩn bị hệ thống 101 1.2 Cài đặt VOMS 102 CÀI ĐẶT EDG-MKGRIDMAP 104 2.1 Chuẩn bị hệ thống 104 2.2 Cài đặt EDG-MKGRIDMAP 104 CẤU HÌNH HỆ THỐNG 105 3.1 Cấu hình VOMS 105 3.2 Cấu hình VO 107 3.3 Cấu hình EDG-MKGRIDMAP 111 DN Distinguished Name EDGEDG Make Gridmap MKGRIDMAP FTP GOODAS GRAM GRIM GSI GSS-API GT GUMS LMJFS MJS File Transfer Protocol Grid Oriented Online Document Analysing System Globus Resource Allocation Management Grid Resource Identity Mapper Grid Security infrastructure Generic Security Service Application Program Interface Globus Toolkit Nhà cung cấp quản lý chứng số Dịch vụ thẩm quyền cộng đồng Tên phân biệt người dùng lưới Công cụ tự động ánh xạ người dụng cục người dùng thuộc VO Giao thức truyền file qua mạng TCP Hệ thống lưới tìm kiếm so khớp tài liệu điện tử Quản lý định vị tài nguyên lưới Ánh xạ thực thể tài nguyên lưới Hạ tầng an toàn thông tin lưới Giao diện lập trình ứng dụng dịch vụ bảo mật chung Bộ công cụ phát triển Globus Alliance, dùng để phát triển ứng dụng lưới Grid User Management Hệ thống quản lý người dùng lưới System Local Managed Job Factory Dịch vụ sinh MJS địa phương Services Managed Job Service Dịch vụ quản lý công việc MMJFS OGSA PKI Master Managed Job Factory Service Open Grid Service Architecture Public Key Infrastructure PRIMA PRivilige Management and Authorization RP SAML Resource Provider Security Assertion Markup Language Service Oriented SOA tâm nghiên cứu tổ chức giới áp dụng triển khai công nghệ Trình chủ sinh MJS vào thực tiễn, mở khả lĩnh vực công nghệ thông tin Kiến trúc dịch vụ lưới lĩnh vực khác Hạ tầng khóa công khai Do đặc điểm đa dạng không đồng tổ chức tài nguyên Dịch vụ quản lý ưu tiên phân quyền Nhà cung cấp tài nguyên Ngôn ngữ đánh dấu liên kết an toàn lưới, vấn đề bảo mật lưới vấn đề quan tâm hàng đầu Có vấn đề bảo mật chưa gặp công nghệ bảo mật cho hệ thống tính toán phân tán truyền thống Các thách thức an toàn bảo mật đưa sách bảo mật liên miền cho lưới, công nghệ điều khiển truy Kiến trúc hướng dịch vụ nhập miền khác Architecture Một vấn đề quan trọng đặt nghiên cứu an toàn bảo mật lưới việc Protocol Giao thức truy cập đối tượng đơn giản SSL Secure Sockets Layer Giao thức bảo mật lớp sockets TLS Transport Layer Security Giao thức bảo mật tầng giao vận Giải pháp phát triển lưới tìm kiếm so khớp tài liệu điện tử liên trường VO VOMRS Virtual Organization Virtual Organization Management Registration Service Virtual Organization Membership Service Web Service Web Service Deployment Tổ chức ảo Dịch vụ quản lý đăng ký tổ chức ảo GOODAS Hệ thống lưới phát triển trung tâm tính toán hiệu cao (HPCC) SOAP Simple Object Acess VOMS WS WSDD quản lý bảo mật danh sách điều khiển truy nhập môi trường động có tính phân tán cao Luận văn trình bày giải pháp hoàn chỉnh cho việc quản lý người dùng lưới, xác thực phân quyền cho phép người dùng hay tổ chức ảo gia nhập thuộc trường đại học Bách Khoa Hà Nội Cấu trúc luận văn bao gồm mục sau Chương I: Tổng quan tính toán lưới Dịch vụ thành viên tổ chức ảo Chương II: Nền tảng an toàn thông tin lưới GSI Chương III: Hệ thống quản lý tổ chức ảo Dịch vụ web Ngôn ngữ đặc tả dịch vụ Web Chương IV: Kết thử nghiệm Descriptor WSRF Kết luận, Phụ lục & Tài liệu tham khảo trình bày phần cuối luận Web Services Resource Framework Framework đưa GT4 hỗ trợ kiến trúc lập trình văn LỜI CAM ĐOAN Tôi xin cam kết nội dung báo cáo chưa nộp cho LỜI MỞ ĐẦU chương trình cấp thạc sĩ nhưu chương trình cấp Hiện tính toán lưới lên công nghệ nhiều hứa hẹn khác tương lai, với khả tập hợp nguồn tài nguyên nhàn rỗi, nhằm hướng tới mục tiêu hiệu tính toán khả chia sẻ, truyền thông liệu Nhiều trung Tôi xin cam đoan kết đạt luận văn sản phẩm nghiên cứu, tìm hiểu riêng cá nhân Trong toàn nội dung luận văn, điều trình Và cuối xin gửi lời cảm ơn gia đình, bố, mẹ, vợ hỗ trợ bày cá nhân tổng hợp từ nhiều nguồn tài liệu Tất tài thiếu họ Tình yêu họ, khích lệ, động viên, quan tâm, chăm liệu tham khảo có xuất xứ rõ ràng trích dẫn hợp pháp sóc họ giúp vượt qua tất khó khăn để theo học chương trình hoàn thiện luận văn cuối khoá Tôi xin chân thành cảm ơn! Chương Tôi xin hoàn chịu trách nhiệm chịu hình thức kỷ luật theo quy định cho lời cam đoan TỔNG QUAN VỀ TÍNH TOÁN LƯỚI 1.1 TÍNH TOÁN LƯỚI 1.1.1 Khái niệm Tính toán lưới Ngày nay, với phát triển vượt bậc khoa học kỹ thuật công nghệ, Học viên xuất toán nhiều lĩnh vực đòi hỏi sức mạnh tính toán mà máy tính riêng lẻ đảm trách Tính toán lưới đời nhằm tạo khả chia sẻ tài nguyên phạm vi toàn cầu, khả tận dụng phần mềm tài nguyên vật lý phân tán mặt địa lý Nguyễn Văn Trung LỜI CẢM ƠN Trước hết, tác giả xin bày tỏ lòng biết ơn sâu sắc tới thầy giáo hướng dẫn PGS.TS Trịnh Nhật Tiến ý kiến đóng góp chuyên môn động viên khích lệ thầy suốt trình làm nghiên cứu Tôi xin gửi lời cám ơn trân trọng tới GS.TS Nguyễn Thanh Thủy, Giám đốc Trung tâm Tính toán hiệu cao Trường Đại học Bách Khoa Hà Nội Thầy tạo điều kiện sở vật chất tinh thần cho trình nghiên cứu trung tâm Tôi xin gửi tới Khoa Công nghệ thông tin, Trường Đại học Công Hình 1-1: Tính toán lưới nghệ, Đại học Quốc Gia Hà Nội toàn thể thầy cô, anh chị bạn lời cảm ơn chân thành giúp đỡ nhiệt tình, vô giá trình nghiên cứu học tập - Định nghĩa 1: Lưới tính toán sở hạ tầng phần cứng phần mềm cung cấp khả truy nhập quán, tin cậy, qui mô rẻ tới tài nguyên tính toán mạnh 10 I Foster, C Kesselman (1999) - - Định nghĩa 2: Vượt qua phạm vi tổ chức: có nhiều trạm sách truy nhập khác trạm Tính toán lưới liên quan tới việc chia sẻ, điều phối tài nguyên giải vấn đề Có thể hình dung đơn giản lưới bao gồm tập tài nguyên đa dạng phạm vi tổ chức ảo (còn gọi nút lưới - PC, cluster, hệ thống lưu trữ, …) thuộc nhiều tổ I Foster, C Kesselman, S Tuecke, “Anatomy of the Grid“(2000) - Định nghĩa 3: chức nhằm giải toán Lưới tính toán hệ thống có đặc trưng sau: • Tài nguyên điều phối cách phi tập trung • Sử dụng giao thức chuẩn, mở đa • Cung cấp chất lượng dịch vụ không tầm thường 1.1.2 Lợi ích Tính toán lưới 1/ Khai thác tài nguyên nhàn rỗi Một lợi ích tính toán lưới khả chạy ứng dụng tài nguyên khác Thống kê cho thấy, máy tính để bàn, ngày I Foster‘s Three-Point Checklist (HPCWIRE - 22.07.2002) làm việc có khoảng 5% thời gian bận, lại rỗi [2] Việc tận dụng khoảng thời gian rỗi để chạy ứng dụng khác việc làm hiệu kinh tế Mỗi tác giả đưa định nghĩa đứng số quan niệm định 2/ Cung cấp khả xử lý song song Chẳng hạn định nghĩa bị ảnh hưởng cách sâu sắc dự án siêu tính toán Khả chạy ứng dụng song song tính thú vị mà tính toán lưới (meta-computing) trước Định nghĩa tập trung vào quan trọng giao thức mang lại Lúc này, công việc chia thành nhiều công việc con, công việc phương tiện để tương tác thành phần, định nghĩa “có thể thích thực đồng thời tài nguyên khác lưới Do đó, thời hợp cho nghiên cứu lưới có qui mô lớn tương lai Định nghĩa gian chạy ứng dụng rút ngắn nhiều lần bỏ qua nhiều đóng góp từ tổ chức công nghiệp, có lẽ không xác đáng” Tuy nhiên, vấn đề ứng dụng triển khai theo cách (W Gentzsch, HPCWIRE 05.08.2002) Cần xem xét yếu tố khả song song hóa, trao đổi Vì vậy, để có nhìn toàn diện lưới, ta không đưa định công việc chạy để đánh giá xem ứng dụng có thực hiệu nghĩa cụ thể Thay vào đó, xem xét khái niệm lưới sở đặc triển khai lưới hay không 3/ Giúp hợp tác tổ chức trưng sau: - Kích thước lớn: theo nghĩa số lượng tài nguyên tiềm tàng khoảng cách mặt Sự hợp tác thể thông qua khái niệm tổ chức ảo - kết hợp nhiều tổ chức thực mục tiêu Thông qua mô hình tổ chức ảo, tổ chức thực chia sẻ địa lý chúng tài nguyên liệu, thiết bị đặc biệt - Phân tán: có độ trễ đáng kể truyền liệu điều ảnh hưởng lớn đến 4/ Giúp truy nhập tài nguyên khác: ứng dụng Ngoài tài nguyên tính toán lưu trữ, lưới cung cấp loại tài nguyên khác, - Động: tài nguyên thay đổi ứng dụng thực - Hỗn tạp: kiến trúc tính chất nút lưới hoàn toàn khác chẳng hạn đường truyền mạng, phần mềm đắt tiền Ví dụ người dùng 11 12 muốn tăng thông lượng kết nối tới Internet để thực khai phá liệu, Có vấn đề quan tâm tính toán lưới [3], là: tận dụng kết nối Internet riêng biệt nút lưới khác để chạy toán 1/ An toàn bảo mật (Security) Một tảng an toàn bảo mật vững định phát triển môi 5/ Giúp cân sử dụng tài nguyên Lưới cung cấp khả lập lịch, giúp phân bổ công việc lên nút cách hợp lý, trường tính toán lưới Với tính chất quy mô lớn, quan hệ chia sẻ tài nguyên nhiều tổ chức, an toàn bảo mật phải coi yếu tố hàng đầu tránh tình trạng bị tải nút lưới Hai vấn đề quan trọng an toàn bảo mật phải xem xét tính toán lưới là: - Chứng thực người dùng (Authentication) Xác thực thẩm quyền (Authorization) 2/ Lập lịch quản lý tài nguyên (Resource Management and Scheduling) Các tài nguyên lưới thường phân tán không đồng Do đó, việc tích hợp, đồng hóa biểu diễn chúng dạng thống yêu cầu tất yếu Trong môi trường tính toán lưới, thời điểm có nhiều ứng dụng truy cập chia sẻ nhiều tài nguyên khác nhau, cần có lập lịch nhằm tối ưu hóa công việc Bộ lập lịch phải dựa vào thông tin toàn lưới để định thứ tự đệ trình công việc 3/ Dịch vụ thông tin (Information Service) Đối với môi trường động không đồng tính toán lưới thông tin thành phần lưới thay đổi liên tục Chính vậy, dịch vụ thông tin cần cung cấp chế tự động cập nhật đăng ký thông tin toàn hệ thống kiến Hình 1-2: Công việc chuyển sang nút bận trúc tài nguyên, dịch vụ cung cấp lưới, trạng thái toàn môi trường lưới 6/ Mang lại độ tin cậy Khái niệm tin cậy tính toán lưới thể khía cạnh sau: là, 4/ Quản lý liệu (Data Management) lưới có tài nguyên tính toán đắt tiền, cung cấp độ tin cậy cao cho Việc truy cập nguồn liệu lưới đòi hỏi khả trao đổi, tương toán thực chúng Hai là, lưới cung cấp khả lập lịch lại, phân bổ lại tác với liệu lên đến giga bytes Điều đòi hỏi tính toán công việc có lỗi xảy Ba là, cần, công việc chạy đồng thời lưới phải có chiến lược lưu trữ tối ưu hóa hệ thống lưu trữ nhiều nút, việc xảy lỗi nút không làm ảnh hưởng đến kết 1.1.4 Kiến trúc lưới công việc Theo [4], lưới bao gồm thành phần sau: 1/ Tầng (Fabric) 1.1.3 Vấn đề hệ thống lưới 13 14 Bao gồm tài nguyên phân tán, tài nguyên có kiến trúc tính chất - Đăng nhập lần: Khi bắt đầu tính toán đòi hỏi sử dụng tài nguyên, cho thuê tài nguyên hay khác truyền thông nội bộ, người dùng chứng thực, chứng thực 2/ Tầng trung gian lưới (Core Middleware) Cung cấp dịch vụ lưới quản lý truy nhập từ xa, định vị tài nguyên, tính toán đăng ký khám phá tài nguyên, bảo mật - Giấy ủy nhiệm người dùng: Các mật khẩu, khóa bí mật phải bảo vệ sách mã hóa, hệ 3/ Tầng trung gian phía người dùng (User level middleware) Bao gồm môi trường phát triển ứng dụng, công cụ lập trình môi giới thống file bảo mật, phân quyền, tài nguyên nhằm lựa chọn tài nguyên phù hợp thực công việc tài - Tích hợp giải pháp an toàn thông tin địa phương: nguyên Các giải pháp liên miền phải tích hợp với giải pháp an toàn thông tin địa phương để đảm bảo độc lập thành viên lưới 4/ Các ứng dụng lưới cổng giao tiếp Tầng ứng dụng lưới phát triển công cụ hỗ trợ Cổng - Hạ tầng giấy ủy nhiệm, chứng số thống nhất: điện tử lưới cung cấp giao diện Web cho ứng dụng lưới, giúp người dùng Truy nhập liên miền đòi hỏi phải có quy ước thống để biểu diễn định đệ trình công việc tập hợp kết thông qua Web danh thực thể lưới người dùng, tài nguyên, Vì thế, cần có chuẩn 1.2 VẤN ĐỀ AN TOÀN THÔNG TIN TRONG TÍNH TOÁN LƯỚI để mã hóa chứng số cho mục đích an toàn thông tin Hiện tại, X509 chuẩn cho chứng số phổ biến môi trường lưới Do đặc điểm hỗn tạp không đồng tổ chức tài nguyên lưới, vấn đề an toàn thông tin lưới vấn đề quan tâm - Hỗ trợ an toàn nhóm truyền thông: hàng đầu Có vấn đề an toàn thông tin chưa gặp công nghệ an toàn thông tin cho hệ thống tính toán phân tán truyền thống Ví dụ, tính Một tính toán đòi hỏi số tiến trình, cộng tác hoạt động toán song song đòi hỏi nhiều tài nguyên tính toán, dẫn tới nhu cầu phải thiết lập chúng với nhóm Tổ hợp nhóm tiến trình thay đổi mối quan hệ an toàn thông tin, không đơn giản với client server, mà hàng vòng đời tính toán Vì thế, cần cung cấp an toàn truyền thông nhóm động trăm tiến trình thực không gian tập hợp nhiều miền quản trị Ngoài ra, cần Không có giải pháp hỗ trợ tính này, chí thư viện lập trình phải có sách an toàn thông tin liên miền cho lưới, công nghệ điều khiển GSS-API không cung cấp an toàn truyền thông nhóm truy nhập miền khác phải hỗ trợ - Độc lập công nghệ: Các ứng dụng hệ thống lưới đòi hỏi chức Các sách không phục vụ cho công nghệ phát triển ứng dụng cụ thể chức an toàn thông tin là: chứng thực, điều khiển truy nhập, Hơn nữa, cài đặt sách phạm vi công nghệ an toàn toàn vẹn Khi phát triển kiến trúc lưới, cần phải lựa chọn giải pháp để đáp ứng thông tin, dựa kĩ thuật mã hóa công khai phân phối khóa công khai đòi hỏi đặc tính riêng lưới: 1.2.1 Các thách thức an toàn Tính toán lưới 15 16 Các yêu cầu an toàn lưới định hướng để cung cấp tổ chức ảo mở rộng miền tin tưởng ổn định lâu dài, phép chia sẻ tài nguyên sử phân tán, rộng lớn để chia sẻ sử dụng nguồn tài nguyên đa dạng mô dụng Giải pháp tải chồng sách dẫn tới chức chủ yếu sau mà lưới hình thống Tuy nhiên, tài nguyên thành phần khác tham gia lưới phải thực hiện: lại bị quản lý nội quy sách tổ chức truyền thống mà chúng - Hỗ trợ nhiều chế an toàn khác nhau: thành viên Do vậy, để tổ chức ảo truy nhập vào tài nguyên tổ chức Các miền tài nguyên hay tổ chức ảo thường có đầu tư đáng kể truyền thống, chúng phải thiết lập cộng tác qua mối quan hệ tin tưởng hai bên, chế sở hạ tầng an toàn thông tin địa phương họ Do mà thách tồn người dùng với tổ chức truyền thống họ mối quan hệ người thức lớn phải liên kết công nghệ an toàn thông tin địa phương dùng với tổ chức ảo Chúng ta thiết lập quan hệ tin tưởng trực tiếp thay toàn nó, tốn hoàn toàn tính kế thừa tổ chức truyền thống với tổ chức ảo hay thành viên mở rộng - Khởi tạo động dịch vụ: Cơ chế an toàn lưới giải trở ngại cách cho phép có tổ Người dùng khởi tạo dịch vụ mà không cần có can thiệp chức ảo thống chung phần sách tổ chức truyền thống (policy nhà quản trị, dịch vụ tương tác với Như domain overlay) phải có chế định danh thực thể lưới, cấp quyền cho dịch vụ mà không ảnh hưởng tới chế bảo mật điạ phương Một ví dụ sở hạ tầng GSI, dịch vụ lưới cung cấp cho người dùng, định danh người dùng sử dụng dịch vụ, định danh dịch vụ, định danh hệ thống mà dịch vụ đăng ký xác định rõ ràng - Thiết lập động miền chứng thực tin tưởng (trust domain): Việc chứng thực không thiết lập người dùng tài nguyên tổ chức ảo mà mở rộng tổ chức ảo với Như đòi hỏi phải có mô hình an toàn thông tin hướng người dùng (user-driven security model), cho phép người dùng tạo thực thể miền sách để liên kết tài nguyên tổ chức ảo 1.2.2 Các sách bảo đảm an ninh cho hệ thống lưới Bảo vệ CSDL tránh khỏi hiểm hoạ có nghĩa bảo vệ liệu CSDL, Hình 1-3: Miền tin tưởng chung tổ chức ảo tránh khỏi việc truy cập không hợp lệ, cách vô tình hay cố ý Các tài nguyên tổ chức đưa điều khiển sách mở rộng Mỗi lưới tập hợp gồm nhiều tài nguyên hay gọi nút lưới Một số tài (outsource policy) cho bên thứ ba, tổ chức ảo (VOs), phối hợp sách nguyên thuộc quyền sử dụng tất thành viên lưới, số khác lại 17 18 hạn chế quyền truy nhập thành viên Một số thuật ngữ sau xây dựng chủ thể sở hữu chứng số lưới theo chuẩn X509 Trong miền cụ thể, nghiên cứu vấn đề bảo đảm an toàn cho hệ thống chứng số ánh xạ tương ứng với người dùng cục thông qua file ánh xạ (grid-mapfile), ghi chứa tên người dùng cục Tính toán lưới định danh chứng số + Chủ thể thành viên hoạt động an toàn thông tin Đối với môi trường 2/ Hoạt động lưới hạn chế đơn miền quản trị lưới, chủ thể thường người dùng, tài nguyên hay tiến trình thay mặt cho tài Mặc dù lưới tập đa miền quản trị, nhiên hoạt động đa miền lại nguyên phải tuân theo sách địa phương đơn miền quản trị Nói cách khác, không + Giấy ủy nhiệm thông tin cung cấp định danh cho chủ thể để xác định tên vai có hoạt động hay dịch vụ lưới đưa vào hoạt động địa phương thông qua trò chủ thể Giấy ủy nhiệm ký nhà thẩm quyền có thời gian tồn sách lưới định Sau khoảng thời gian giấy ủy nhiệm không hiệu lực 3/ Các chủ thể toàn cục cục tồn + Chứng thực tiến trình để chủ thể chứng minh định danh cho đối tượng Tại đơn miền quản trị tồn hai chủ thể trên, sách để ánh xạ yêu cầu Chứng thực hai bên (bên yêu cầu bên yêu cầu) trình hai từ phần tử toàn cục vào phần tử cục Để làm ví dụ, người dùng có hai bên chứng thực lẫn nhau, gọi chứng thực đa phương tên, tên toàn cục để hoạt động tất tài nguyên, tên cục + Thẩm quyền tiến trình mà thông qua đó, ta xác định chủ thể có phép tài nguyên Ánh xạ tên toàn cục vào tên cục tạo khả đăng nhập lần truy nhập sử dụng tài nguyên hay không (sigle-sign-on) môi trường lưới Trong sở hạ tầng GSI, tên toàn cục + Miền tin tưởng cấu trúc quản lý mức logic, sách an toàn thông tin tên định danh giấy ủy nhiệm X509, tên cục tên người dùng hệ điều ổn định, đơn lẻ mức địa phương nắm giữ, hay nói cách khác, tập chủ thể hành đối tượng quản lý đơn miền quản trị sách cục 4/ Chứng thực đa phương Sau sách bảo vệ thông tin giải yêu cầu thách thức trình Hoạt động thực thể định vị miền tin tưởng khác đòi hỏi chứng thực đa phương, bảo đảm cho an toàn bí mật hoạt động Ví dụ bày phần dịch vụ truyền file GridFTP, client server phải chứng minh định danh 1/ Môi trường lưới an toàn đa miền lưới, client đòi hỏi server có định danh mong muốn không, Do lưới tập hợp không đồng người dùng tài nguyên cục server kiểm tra danh sách định danh client, xem client có quyền đăng nhập bộ, sách an toàn cục dành cho tài nguyên người dùng vào server để sử dụng dịch vụ truyền file không khác nhau, sách lưới phải đảm bảo tích hợp tất tập hợp không đồng 5/ Ánh xạ Nói chung, môi trường lưới không hạn chế hay không ảnh hưởng tới Mỗi đối tượng toàn cục ánh xạ vào đối tượng cục coi chúng sách địa phương, nhiệm vụ sách lưới phải tập trung điều khiển tương tác liên miền, ánh xạ hoạt động liên miền vào sách địa qua chứng thực địa phương đối tượng cục phương Ví dụ sở hạ tầng GSI, hoạt động liên miền thực 6/ Điều khiển truy nhập 19 20 Hình 4- 19: Các đơn đăng ký duyệt 87 88 Hình 4- 20: Thông tin cấu hình VO 4.2.2 Sử dụng EDG-MKGRIDMAP - Thực thi edg-mkgridmap lần đầu tiên: /opt/edg/sbin/edg-mkgridmap output=/etc/grid-security/grid-mapfile - 41 3,9,15,21 * * * /opt/edg/sbin/edg-mkgridmap output=/etc/grid-security/gridmapfile >> /opt/edg/log/edg-mkgridmap.log 2>&1 e) Quản lý cấu hình - Thông tin cấu hình VO - Thông tin người dùng Các lần tiếp theo, thêm edg-mkgridmap vào danh sách công việc chạy tự động Dưới tài khoản root máy thực thi, sử dụng crontab -e thêm tham số thiết lập “cron job” vào crontab: 89 90 91 92 4.3 THÀNH PHẦN QUẢN LÝ GIẤY UỶ NHIỆM Thành phần thiết lập kiểm soát truy nhập dịch vụ tài nguyên lưới thông qua giấy uỷ nhiệm lưới theo chuẩn X509 Người dùng qua cổng điện lưới 93 94 truy nhập tài nguyên có giấy uỷ nhiệm hợp lệ Thành phần có chức quản lý giấy uỷ nhiệm lưới thêm mới, gia hạn, gỡ bỏ cho người dùng cổng điện tử lưới Người sử dụng truy nhập từ nơi mà nơi mà giấy ủy nhiệm Grid sẵn họ Người sử dụng làm điều thông qua Cổng điện tử lưới mà giấy ủy nhiệm cho phép họ làm 4.3.1 Cổng điện tử lưới Cổng điện tử lưới hiểu cổng kết nối người dùng với dịch vụ lưới tầng So với ứng dụng dựa Web thông thường, cổng điện tử lưới ưu việt nhờ khả tùy biến môi trường người sử dụng, cho phép tách biệt thành phần nghiệp vụ từ máy chủ ứng dụng tái sử dụng thành phần Web Chính nhờ khả này, Cổng điện tử lưới trở thành sử lựa chọn phổ biến cho nhà phát triển ứng dụng lưới 4.3.1 Mô hình uỷ quyền truy nhập cổng điện tử lưới Việc truy xuất giấy uỷ nhiệm lưới uỷ quyền truy nhập lưới cho cổng điện tử thể hình vẽ: Hình 4-22: Mô hình uỷ quyền truy nhập cổng điện tử lưới (1) Người dùng kết nối với cổng điện tử lưới sử dụng trình duyệt Web cung cấp thông tin chứng thực đưa trước tới kho lưu trữ thông qua form web hay giao diện đơn giản Người sử dụng xác định kho lưu trữ MyProxy cho cổng điện tử để sử dụng, có nhiều kho Trên mô hình truy nhập dịch vụ lưới từ cổng điện tử lưới Người dùng đăng nhập vào cổng điện tử lưới với tài khoản mình, đưa đặc tả công việc, yêu cầu chuyển xuống dịch vụ lưới, phân bổ xuống tài nguyên lưới để thực hiện, cuối trả kết cho người dùng giao diện Web Tuy nhiên, xây dựng cổng giao diện lưới, nảy sinh số yêu cầu bảo mật sau: Người sử dụng phải có trình duyệt Web chuẩn để tiếp cận Cổng điện tử lưới 95 (2) Cổng điện tử sử dụng thông tin đăng nhập (định danh mật khẩu) người dùng yêu cầu lấy giấy ủy nhiệm từ kho lưu trữ (3) Khi thông tin đăng nhập hợp lệ, MyProxy gửi lại cho cổng điện tử lưới giấy ủy nhiệm người dùng Khi cổng điện tử thay mặt người dùng tiếp cận an toàn tới dịch vụ lưới Hành động logout khỏi cổng điện tử xóa giấy ủy quyền người dùng portal Khi người dùng quên logout, giấy chứng nhận mãn hạn thời điểm định yêu cầu từ dịch vụ MyProxy.Thời gian sống thường khoảng vài 96 Quá trình lặp lại nhiều lần, người dùng đòi hỏi, giấy ủy quyền giữ MyProxy mãn hạn Tại thời điểm này, người sử dụng cần chạy chương trình myproxy-init từ vị trí nơi giấy chứng nhận có sẵn ủy nhiệm tập giấy ủy quyền tới kho lưu trữ Thời gian lớn giấy ủy nhiệm kho lưu trữ xác định máy chủ lưu trữ mặc định tuần/lần 4.3.3 Dịch vụ quản lý giấy uỷ nhiệm - Globus Toolkit: công cụ tảng để phát triển lưới, với chuẩn mở xây dựng dịch vụ lưới OGSA hạ tầng bảo mật GSI - SimpleCA: nhà thẩm quyền cung cấp giấy ủy nhiệm lưới, tảng cấu hình bảo mật GSI - Gridsphere Portal: cổng điện tử chuẩn mở, kết hợp hai công nghệ Web Grid, tạo nên tảng cho người sử dụng nhà phát triển lưới Đã có nhiều dự án phát triển tảng Gridsphere HPC Europa, D-Grid, P-Grade, BIRN, Telescience, Australian Virtual Observatory, UK Science - MyProxy: máy chủ để lưu trữ giấy ủy nhiệm trực tuyến - Java Cog Kit: cung cụ phát triển lưới, ánh xạ công nghệ Java Globus Toolkit, cho phép nhà phát triển xây dựng ứng dụng lưới ngôn ngữ Java Dịch vụ giúp cho người dùng truy nhập dịch vụ lưới hỗ trợ bảo mật GSI cách dễ dàng, đăng nhập lần hay ủy quyền cho cổng điện tử lưới thực công việc lưới Một số chức dịch vụ sau: - Xác thực người dùng lưới: Dịch vụ có chế kiểm tra tính hợp lệ người dùng, bảo đảm người dùng phải có giấy ủy nhiệm X509 thời hạn sử dụng dịch vụ cài đặt bảo mật GSI Nếu không hợp lệ, người dùng phải quay lại hình đăng nhập xin cấp giấy ủy nhiệm từ dịch vụ - Quản lý vòng đời: Dịch vụ có khả cập nhật động thời gian sống giấy ủy nhiệm, khoảng thời gian định, giấy ủy nhiệm tự hủy người dùng quên (bỏ ) kích hoạt - Cấp lại giấy ủy nhiệm: Do giấy ủy nhiệm cho người dùng có thời gian sống hạn chế, người dùng sử dụng dịch vụ tính toán với liệu lớn, thời gian xử lý lâu dịch vụ bảo mật phải có chế làm tươi lại giấy ủy nhiệm, không làm ảnh hưởng tới công việc người lưới - Quản lý kho lưu trữ: Rõ ràng hệ thống lưu trữ nhiều giấy ủy nhiệm người dùng để ủy quyền lên portal, nên việc quản lý kho lưu trữ quan trọng Các giấy ủy nhiệm người dùng mã hóa kho lưu trữ, dù kho lưu trữ có bị tổn thương, kẻ địch phải thời gian để giải mã, giấy ủy nhiệm người dùng hết hạn Dịch vụ cung cấp khả cho phép người dùng lựa chọn hệ thống kho lưu trữ miền phân tán khác mặt địa lý qua công nghệ phân tán dịch vụ lưới - Quản lý giấy ủy nhiệm đa người dùng: người dùng có nhiều giấy chứng nhận khác nhau, từ nhà thẩm quyền CA khác Dịch vụ cung cấp khả lưu trữ tất giấy chứng nhận người dùng, đưa thông tin công việc người dùng muốn thực hiện, lựa chọn giấy ủy nhiệm đắn cho phần việc, sau trả lại giấy ủy nhiệm cho người dùng Dịch vụ xây dựng dựa tảng: 97 Dưới mô tả thể dịch vụ tảng Gridsphere: - Quản lý người dùng lưới - Quản lý giấy uỷ nhiệm lưới: - Các quyền cho giao dịch truyền file có hỗ trợ GSI: 98 Tuy nhiên, hệ thống quản lý tổ chức ảo nhiều vấn đề Dịch vụ phụ trách quản lý thông tin người dùng cấp độ VO dịch vụ ánh xạ người dùng cấp độ RP có hạn chế 4.4.1 Hạn chế VOMS Hiện tại, quy trình đăng ký VOMS không hỗ trợ quản lý sách sử dụng lưới AUP (Grid Acceptable Use Policy ) thời gian hiệu lực quyền thành viên VO Nó không thích hợp VO có quy mô lớn khu vực toàn cầu Để giải giới hạn này, Fermilab WLCG (Worldwide LHC Computing Service) phát triển VOMRS, công cụ mới, cho phép quản lý đăng ký mạnh mẽ mềm dẻo với tính sau đây: - Đệ trình công việc lưới: 1/ Hỗ trợ nhiều cấp độ quản trị (Ví dụ: Quản lý VO, quản lý nhóm ) Mỗi cấp độ có quyền khác quản lý VO 2/ Muốn tham gia vào VO, người dùng phải đồng ý với sách sử dụng lưới VOAUP (VO & Grid Acceptable Use Policy) 3/ Cho phép người quản trị theo dõi phiên thay đổi AUP 4/ Quản lý thời gian hiệu lực quyền thành viên VO 4.4.2 Hạn chế EDG-MKGRIDMAP Dịch vụ ánh xạ người dùng EDG-MKGRIDMAP giải pháp phổ biến cho quy trình ánh xạ người dùng lưới vào tài khoản cục Và thực tế, dùng rộng rãi cộng đồng lưới Globus Glite Tuy nhiên, chế ánh xạ EDGMKGRIDMAP cứng Trong số trường hợp, chế ánh xạ cứng không đủ để giải số yêu cầu ánh xạ đặc biệt Ví dụ, người dùng A thành viên VO GOODAS Trong VO GOODAS có nhóm nhóm Math nhóm Literature Người dùng A muốn sử dụng tài liệu nhóm Như vậy, họ phải thành viên nhóm Math Literature Trên máy cục bộ, tài khoản hệ thống thao tác với tài nguyên nhóm 4.4 MỘT SỐ HẠN CHẾ CỦA VOMS Hai dịch vụ hệ thống quản lý tổ chức ảo dịch vụ VOMS dịch vụ EDG-MKGRIDMAP Hai dịch vụ ăn khớp, phối hợp tốt với hệ thống quản lý người dùng lưới nói chung nên phù hợp vận dụng vào môi trường lưới hệ thống liên thư viện GOODAS Trong đó, dịch vụ VOMS dịch vụ mã nguồn mở Từ đó, luận văn đóng góp thêm phần thiết kế đa ngôn ngữ cho giao diện quản trị VOMS-Admin, giúp cho quy trình quản lý thân thiện nhiều người dùng 99 Math “laMath” (local account Math), với tài nguyên nhóm Literature “laLiterature” Để thực thi quyền, EDG-MKGRIDMAP phải ánh xạ người dùng A vào tài khoản cục “laMath” “laLiterature” Trong tệp Gripmap, xuất mục ánh xạ, dẫn tới nhập nhằng hệ thống phải lựa chọn mục thực Như vậy, trường hợp này, chế ánh xạ cứng không đáp ứng Để giải quyết, cần có chế khác mềm dẻo, mang tính “động” Cơ chế cho phép lựa chọn ánh xạ vào thời điểm thực thi Đó GUMS 100 đó, họ yêu cầu thêm chứng nhận bổ sung, gia nhập nhóm, gán vai trò nhóm Các yêu cầu gửi đến người phụ trách nhóm để giải 4.5 HƯỚNG PHÁT TRIỂN CỦA VOMS Sử dụng tổ chức ảo quản lý người dùng lưới giải pháp tiên tiến phổ biến dùng hệ thống lưới lớn Những hạn chế phân tích hệ thống quản lý người dùng GOODAS dịch vụ sử dụng cấp độ quản lý hạn chế Hướng phát triển hệ thống tương lai kết hợp dịch vụ VOMRS với VOMS khâu quản lý thông tin người dùng mức VO thay dịch vụ ánh xạ EDG-MKGRIDMAP dịch vụ GUMS PRIMA mức RP 4.5.1 VOMRS kết hợp VOMS Như nêu trên, nhận thấy hạn chế VOMS quản lý đăng ký VO có quy mô lớn LHC, EGEE Đầu năm 2003, WLCG Fermilab tiến hành nghiên cứu hệ thống gọi VOMS eXtension (gọi tắt VOX) VOX với hạt nhân dịch vụ đăng ký VOM - VOMRS, cung cấp giao diện Web thuận tiện cho người dùng đăng ký, lưu chúng vào sở liệu riêng thường xuyên đồng với sở liệu VOMS thông qua gói quản trị VOMSAdmin VOMRS đời, giải nhiều hạn chế VOMS 4.5.1.1 Tổng quan VOMRS Cụ thể, phía người dùng, VOMRS thu thập nhiều thông tin cá nhân trình đăng ký từ họ hơn, tăng cường tính pháp lý bắt buộc người dùng phải đồng ý vào cam kết sử dụng lưới trước gia nhập VO Tuân theo chuẩn JSPG, VOMRS yêu cầu thành viên phải ký vào thỏa thuận sử dụng lưới AUP trình đăng ký Định kỳ hàng năm AUP thay đổi, VOMRS yêu cầu người dùng ký lại thỏa thuận Đồng thời, VOMRS lưu lại thời gian ký phiên AUP Quá trình đăng ký người dùng chia thành pha: • • Người dùng đăng ký nhóm vào trạng thái sau: • Chấp thuận: Người dùng thành viên nhóm • Từ chối: Người phụ trách nhóm từ chối cho người dùng tham gia nhóm • Treo: Người dùng tạm thời bị tước quyền thành viên • Hết hạn: Quyền thành viên hết hạn theo lịch AUP hết hạn.VOMRS cho phép người dùng chủ động gửi yêu cầu tham gia nhóm, gửi yêu cầu cấp quyền lên người quản trị Về phía người quản lý, VOMRS bổ sung thêm tính tạm treo quyền thành viên, định kỳ kiểm tra thời gian quyền thành viên hiệu lực Qua đó, kịp thời gửi thông báo hết hạn tới cho người dùng yêu cầu họ đăng ký quyền thành viên VOMRS hỗ trợ nhiều cấp bậc quản trị VO Mỗi cấp bậc có vai trò trách nhiệm riêng Cụ thể, người đại diện VO (Representative) xử lý yêu cầu tham gia VO người dùng Sau đó, yêu cầu gia nhập nhóm người dùng lại quản lý nhóm (Group Manager) phụ trách Quản trị VO (VO Admin) có quyền cao toàn VO Nhóm VOMRS mở rộng tính quản lý trạng thái nhóm Nhóm trạng thái mở hạn chế tùy theo định quản lý nhóm Nếu nhóm trạng thái mở, người dùng tham gia vào nhóm tự Ngược lại, nhóm tình trạng hạn chế, người dùng phải phép quản lý nhóm gia nhập nhóm Mọi hành động người dùng người quản trị ghi lại VOMRS database gọi kiện VOMRS VOMRS gửi thông báo có kiện xảy nhận yêu cầu Ví dụ: Các thành viên nhận thông báo trạng thái thành viên Người quản trị nhận thông báo có yêu cầu tham gia nhóm người dùng, có nhóm, vai trò tạo Pha 1: Người dùng điền thông tin theo mẫu VOMRS, lựa chọn tổ chức muốn tham gia người đại diện tổ chức Các thông tin giấy phép cá nhân người dùng thu thập tự động trình duyệt Pha 2: Người dùng nhận email thông báo bước trình đăng ký thành công Nếu đồng ý, người dùng trở thành thành viên Khi 101 102 4.5.2 GUMS & PRIMA thay EDG-MKGRIDMAP Tương lai phát triển hệ thống kết hợp VOMRS VOMS để bổ sung lẫn quản lý thông tin người dùng lưới cấp độ VO Còn cấp độ RP, dịch vụ EDG-MKGRIDMAP với chế ánh xạ cứng hạn chế thay hai dịch vụ GUMS PRIMA mềm dẻo Hình 4- 24: Kiến trúc GUMS Hình 4- 23: Đồng VOMS VOMRS 4.5.1.2 Đồng VOMRS VOMS Một đặc điểm quan trọng VOMRS có khả trao đổi thông tin thành viên với hệ thống khác thông qua chế thông báo kiện Nhờ VOMRS đồng với VOMS để quản lý người dùng VO Chính xác, thông tin thành viên VOMRS chuyển qua VOMS thông qua API VOMS-Admin Cụ thể, VOMRS kích hoạt, chức đăng ký VOMS tạm thời bị tắt Người dùng người quản trị làm việc với thông tin nhóm, vai trò thực trực tiếp giao diện VOMRS Sau đó, định kỳ, VOMRS đồng thông tin với sở liệu VOMS Việc cấp chứng thực sử dụng tài nguyên lưới VOMS đảm nhiệm 103 Cụ thể, hệ thống có PRIMA GUMS, người dùng lưới muốn sử dụng tài nguyên, đầu tiên, họ gửi yêu cầu cấp chứng thực tạm thời tới VOMS/VOMRS VOMS/VOMRS trả lại người dùng chứng số sử dụng lưới, bên có gắn thêm thông tin nhóm vai trò người dùng Khi chứng nhận gửi tới bên cung cấp tài nguyên RP để xin sử dụng, GateKeeper trích thông tin Để kiểm tra thông tin này, PRIMA sử dụng để hỗ trợ cho GateKeeper PRIMA sau tiếp tục liên hệ với GUMS (Grid User Management System) để kiểm tra quyền sử dụng tài nguyên người dùng GUMS tiếp tục liên hệ với VOMS để lấy thông tin người dùng Sau lấy thông tin, GUMS kết hợp với sách tài nguyên site cục để tiến hành ánh xạ GUMS cung cấp chế ánh xạ tĩnh thông qua GridMap ánh xạ động liên kết với PRIMA GUMS giống EDG-MKGRIDMAP khả ánh xạ tĩnh EDG-MKGRIDMAP trực tiếp trả tài khoản ánh xạ cho người dùng (cung cấp ánh xạ động) PRIMA 104 + Cơ sở hạ tầng an toàn thông tin lưới GSI: bao gồm giấy chứng nhận giấy uỷ nhiệm lưới khả uỷ quyền, chứng thực đa phương toàn vẹn + Hệ thống quản lý tổ chức ảo: khái niệm tổ chức ảo, mô hình quản lý ứng dụng dịch vụ VOMS EDG-MKGRIDMAP + Cổng điện tử lưới: khái niệm cổng điện tử lưới vấn đề quản lý giấy uỷ nhiệm cổng điện tử lưới 2/ Thử nghiệm chương trình: Luận văn xây dựng Hệ thống quản lý người dùng lưới tổ chức ảo cho lưới tính toán Hệ thống cài đặt thử nghiệm lưới tìm kiếm chia sẻ tài liệu điện tử GOODAS Các thành phần Hệ thống bao gồm: + Thành phần quản lý tổ ảo: cho phép quản lý tổ chức ảo VO, hoạt động đăng ký lưới, xác định quyền truy nhập đến dịch vụ hệ thống + Thành phần quản lý giấy uỷ nhiệm: thiết lập kiểm soát truy nhập dịch vụ tài nguyên lưới quản lý giấy uỷ nhiệm thông qua Cổng điện tử lưới Hình 4- 25: Dự án VO Services GUMS PRIMA thành phần dự án “VO Services” bao gồm VOMS/VOMRS, Globus Toolkit/Glite, GUMS, PRIMA VO Services giải pháp toàn diện cho quản trị người dùng lưới cấp độ VO RP Hiện tại, VO Services ứng dụng rộng rãi EGEE, PRAGMA, US ATLAS, US CMS, FermiGrid Hướng phát triển tương lai hệ thống quản lý người dùng lưới GOODAS triển khai VO Services KẾT LUẬN Một phần kết luận văn trình bày báo cáo hội nghị khoa học ICT.rda’08, Chương trình KC.01/06-10 Kết ứng dụng luận văn xác nhận Trung tâm tính toán hiệu cao (Trường Đại học Bách khoa Hàn Nội.) Các minh chứng phần phụ lục TÀI LIỆU THAM KHẢO Luận văn tập trung nghiên cứu tìm hiểu vấn đề an toàn thông tin cho lưới cách toàn diện có hệ thống Dựa tảng đó, luận văn đưa mô hình an toàn bảo mật cho hệ thống quản lý tổ chức ảo quản lý giấy uỷ nhiệm môi trường lưới nói chung tích hợp với hệ thống tìm kiếm chia sẻ tài liệu trực tuyến GOODAS nói riêng [1] Ian Foster, Carl Kesselman - The Grid: Blueprint for a New Computing Infrastructure, 1st edition, Morgan Kaufmann Publishers, San Francisco, USA (1 November 1998), ISBN: 1558604758 [2] IBM Red Book - Introduction to Grid Computing Các kết luận văn là: [3] IBM Red Books - Introduction to Grid Computing with Globus 1/ Tìm hiểu nghiên cứu tài liệu để hệ thống lại vấn đề sau: + Tổng quan tính toán lưới: định nghĩa tính toán lưới, lợi tích kiến trúc lưới, + Vấn đề an toàn thông tin tính toán lưới: thách thức an toàn bảo mật kiến trúc an ninh cho hệ thống tính toán lưới 105 [4] Mark Baker, Rajkumar Buyya, Domenico Laforenza - Grids and Grid technologies for wide-area distributed computing [5] Trịnh Nhật Tiến – Giáo trình AN TOÀN DỮ LIỆU 2008 [6] MyProxy – Credential Management Service http://grid.ncsa.illinois.edu/myproxy/ 106 [7] Chadwick, D.W and A Otenko The PERMIS X.509 Role Based Privilege 1.1 Chuẩn bị hệ thống Management Infrastructure in 7th ACM Symposium on Access Control Models and Yêu cầu tối thiểu cho hệ thống Java 5, MySQL 5, Apache-Tomcat trở lên Technologies 2002 Phiên lựa chọn để thử nghiệm Java SE 1.6, MySQL 5.1.35 Apache- [8] R Alfieri, R Cecchini, V Ciaschini - VOMS, an Authorization System for Virtual Tomcat 5.5.28 Các gói cấu hình hệ thống VOMS phải chuẩn bị bao gồm: Organizations Gói cấu hình chung glite: [9] Akos Frohner, and Karoly Lorentey - VO Management with VOMS glite-config-3.1.3-3.slc4.i386.rpm [10] Ian Foster, Carl Kesselman, Steven Tuecke, 2001 - Enabling Scalable Virtual glite-info-generic-2.0.2-3.noarch.rpm glite-info-templates-1.0.0-11.noarch.rpm [11] Markus Lorch, 2004 - The PRIMA System for Privilege Management, Authorization glite-security-trustmanager-1.8.16-3.noarch.rpm and Enforcement in Grid Environments glite-security-util-java-1.4.0-1.noarch.rpm glite-security-utils-config-3.1.0-1.slc4.i386.rpm organizations PHỤ LỤC: CÀI ĐẶT VOMS VÀ EDG-MKGRIDMAP glite-version-3.1.0-1.slc4.i386.rpm Gói cấu hình VOMS: Cài đặt VOMS glite-security-voms-admin-client-2.0.11-1.noarch.rpm glite-security-voms-admin-interface-2.0.2-2.noarch.rpm glite-security-voms-admin-server-2.0.18-1.noarch.rpm glite-security-voms-api-cpp-1.8.12-1.slc4.i386.rpm glite-security-voms-api-noglobus-1.8.8-2.slc4.i386.rpm glite-security-voms-clients-1.8.12-1.slc4.i386.rpm glite-security-voms-config-1.8.12-1.slc4.i386.rpm glite-security-voms-mysql-3.1.0-1.slc4.i386.rpm glite-scurity-voms-server-1.8.12-1.slc4.i386.rpm Cách thứ hai để cài đặt VOMS sử dụng repository DAG, gLite, 10 glite-VOMS_mysql-3.1.3-0.noarch.rpm jpackage17 …cho công cụ quản lý phần mềm yum tiến hành cài đặt thông qua “yum 11 glite-voms-server-config-3.1.7-4.slc4.i386.rpm Hiện tại, có nhiều cách để cài đặt VOMS thông qua trình cài đặt PACMAN công cụ VDT (Virtual Data Toolkit), trực thuộc Đại học WinconsinMadison Đây cách mà lưới PRAGMA thực Tuy nhiên, trình cài đặt PACMAN chạy số tảng hạn chế AIX; CentOS 5; Debian 3, 4; Mac OS X; Red Hat Enterprise Linux 3, 4, 5; ROCKS Linux 3.3 x86; Scientific Linux Fermi 3, x86; SUSE Linux Nên trình cài đặt PACMAN hệ điều hành phổ biến khác Fedora hay Ubuntun gặp nhiều lỗi thư viện phát triển chí thất bại install voms” Đây hướng dẫn thức gLite Nhưng, với nhà quản trị hệ thống, để hệ thống âm thầm thực cài đặt hệ thống lớn, dù tiện lợi trước Và nhiều gói phần mềm phụ thuộc kèm khác, tùy thuộc vào thư viện phát triển kèm hệ điều hành mắt, để quản trị hệ thống lâu dài vận hành trơn tru trở ngại lớn Phần sau trình bày cách triển khai hệ thống phần 1.2 Cài đặt VOMS 107 108 Để tiến hành cài đ.ặt ta sử dụng lệnh “rpm -ivh TenGoiCaiDat.rpm” Quá trình cài đặt gói gói phụ thuộc tiến hành gói gliteVOMS_mysql-3.1.3-0.noarch.rpm thông báo cài đặt thành công Các gói thư viện phụ thuộc cài đặt khó Có thể thông qua việc download gói cài đặt trực tiếp thông qua trình hỗ trợ cài đặt Yum Extender openldap-servers-2.4.15-6.fc11.i586.rpm perl-Crypt-SSLeay-0.57-2.el4.rf.i386.rpm perl-Date-Manip-5.54-2.el4.rf.noarch.rpm perl-LDAP-0.34-5.fc11.noarch.rpm perl-libwww-perl-5.805-1.1.1.noarch.rpm Gói cấu hình chính: edg-mkgridmap-3.0.0-1.noarch.rpm edg-mkgridmap-conf-3.0.0-1.noarch.rpm 2.2 Cài đặt EDG-MKGRIDMAP - Cách thức cài đặt EDG-MKGRIDMAP giống với phương pháp cài đặt VOMS Cài đặt gói thư viện phụ thuộc: yum enablerepo=addons enablerepo=extras install perl-IO-Socket-SSL perlNetSSLeay - Cài đặt edg-mkgridmap rpm -Uvh edg-mkgridmap-3.0.0-1.noarch.rpm edg-mkgridmap-conf-3.0.01.noarch.rpm Cấu hình hệ thống 3.1 Cấu hình VOMS Trình hỗ trợ quản lý phần mềm Yum Extender - Thiết lập biến môi trường VOMS: Một số ý trình cài đặt là: cp $GLITE_LOCATION/etc/profile.d/glite-env.sh /etc/profile • Cài đặt gói phần mềm phụ thuộc trước, thứ tự cài đặt gói đảm bảo để tránh lỗi “Fail Dependencies” - • Cài đặt gói VOMS sau cùng, gặp trường hợp thiếu gói thư viện giằng (gói A yêu cầu phải có gói B, gói B yêu cầu phải có gói A) giải Yum Extender GLITE_LOCATION=/opt/glite Sửa tiếp /etc/profile: #Cau hinh VOMS GLITE export 2.1 Chuẩn bị hệ thống PATH=$PATH:$GLITE_LOCATION/bin:$GLITE_LOCATION/sbin/ export GLITE_LOCATION_VAR=/var/glite export GLITE_LOCATION_LOG=/var/log/glite - Copy gói thư viện cần thiết từ $GLITE_LOCATION/share/vomsadmin/endorsed sang $CATALINA_HOME/common/endorsed Yêu cầu tối thiểu cho hệ thống Java 5, Perl 5.8 trở lên Phiên lựa chọn để thử nghiệm Java SE 1.6, Perl 5.10 Một số gói cấu hình phụ thuộc kèm: cp $GLITE_LOCATION/share/voms-admin/endorsed/* $CATALINA_HOME/co mmon/endorsed Nếu gói phần mềm bị trùng lặp thư viện, dùng tham số –replacefiles – force Cài đặt EDG-MKGRIDMAP openldap-clients-2.4.15-6.fc11.i586.rpm 109 110 - - Tạo chứng thực dạng java keystore cho localhost: Đây chứng nhận chứng thực cho VOMS server ký CA người dùng tin tưởng Chứng nhận sử dụng trình xác thực lẫn sau Mặc định, gia nhập lưới, ta xin sẵn chứng thực cho host Ta tận dụng chứng thực cho host để làm chứng thực cho VOMS server Chuyển chứng thực host từ định dạng pem sang định dạng pkcs12: openssl pkcs12 -export -in /etc/grid-security/hostcert.pem -inkey /etc/gridsecurity/hostkey.pem -certfile /etc/grid-security/certificates/ca1d96a0.0 -name "host keystore" -out hoststore.p12 tham số certfile trỏ đến public key chuẩn X509 định dạng pem - Chuyển tiếp sang định dạng java keystore: keytool -importkeystore -srckeystore hoststore.p12 -destkeystore hoststore.ks srcstoretype pkcs12 -deststoretype jks - Thêm chứng nhận nhà cung cấp chứng thực CA ký cho chứng thực server vào keystore: keystorePass="123456" truststorePass="123456" truststoreFile="webapps/ca.jks" truststoreType="JKS"/> Trong đó, tham số clientAuth yêu cầu người dùng phải xuất chứng thực localhost tin cậy, kiểm tra qua truststoreFile CA Tham số keystoreFile trỏ tới chứng thực dạng keystore localhost Ta trỏ tới https://localhost:8443 để kiểm tra kết triển khai Tomcat SSL 3.2 Cấu hình VO Sau cài đặt xong gói phần mềm VOMS, ta tiến hành tạo tổ chức ảo Có cách để tạo tổ chức ảo sử dụng câu lệnh tạo trực tiếp gói cài đặt gLite VOMS MYSQL; điền trực tiếp thông tin tệp cấu hình glite tiện tích kèm gói gLite a Sử dụng lệnh tạo VO trực tiếp voms-admin-configure - Sử dụng $GLITE_LOCATION/sbin/voms-admin-configure, cú pháp sau: keytool -import -keystore -alias ca1d96a0 -file /etc/gridhoststore.ks security/certificates/ca1d96a0.0 - Vì trình người dùng đăng nhập vào giao diện quản trị đòi hỏi trình xác thực lẫn VOMS server người dùng Để kiểm tra giấy chứng nhận người dùng, ta cần phải có giấy chứng nhận CA cấp chứng nhận cho họ Tương tự trình tạo java keystore cho host, ta tạo java keystore chứa tất chứng nhận CA mà ta tin tưởng voms-admin-configure install dbtype mysql keytool -import ca.ks -alias ca1d96a0 -file /etc/gridkeystore security/certificates/ca1d96a0.0 - Cuối cùng, ta cấu hình tomcat hoạt động cổng 8443, giao thức https: dbpassword