Luận văn thạc sĩ - Đề tài: "Nghiên cứu việc đảm bảo an toàn thông tin trong hệ thống tính toán lưới" - Đại học Quốc gia Hà Nội-Trường Đại học Công nghệ - Nguyễn Văn Trung - Năm 2011

pdf 111 trang phuongnguyen 2780
Bạn đang xem 20 trang mẫu của tài liệu "Luận văn thạc sĩ - Đề tài: "Nghiên cứu việc đảm bảo an toàn thông tin trong hệ thống tính toán lưới" - Đại học Quốc gia Hà Nội-Trường Đại học Công nghệ - Nguyễn Văn Trung - Năm 2011", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfluan_van_thac_si_de_tai_nghien_cuu_viec_dam_bao_an_toan_thon.pdf

Nội dung text: Luận văn thạc sĩ - Đề tài: "Nghiên cứu việc đảm bảo an toàn thông tin trong hệ thống tính toán lưới" - Đại học Quốc gia Hà Nội-Trường Đại học Công nghệ - Nguyễn Văn Trung - Năm 2011

  1. I H C QU C GIA HÀ N I TR NG I H C CÔNG NGH NGUY N V N TRUNG NGHIÊN C U VI C M B O AN TOÀN THÔNG TIN TRONG H TH NG TÍNH TOÁN L I LU N V N TH C S Hà N i - 2011 1
  2. I H C QU C GIA HÀ N I TR NG I H C CÔNG NGH NGUY N V N TRUNG NGHIÊN C U VI C M B O AN TOÀN THÔNG TIN TRONG H TH NG TÍNH TOÁN L I Ngành: Công ngh thông tin Chuyên ngành: H th ng thông tin Mã s : 60.48.05 LU N V N TH C S NG I H NG D N KHOA H C: PGS.TS. Tr nh Nh t Ti n Hà N i - 2011 2
  3. MC L C MC L C 1 DANH M C THU T NG 6 LI CAM OAN 8 LI C M ƠN 10 CH ƯƠ NG 1. TNG QUAN V TÍNH TOÁN L I 11 1.1. TÍNH TOÁN LƯI. 11 1.1.1. Khái ni m Tính toán l i. 11 1.1.2. L i ích c a Tính toán l i. 13 1.1.3. V n c ơ b n c a m t h th ng l i. 15 1.1.4. Ki n trúc c a m t l i 16 1.2. VN AN TOÀN THÔNG TIN TRONG TÍNH TOÁN LƯI 17 1.2.1. Các thách th c an toàn trong Tính toán l i. 18 1.2.2. Các chính sách b o m an ninh cho h th ng l i 20 1.2.3. Ki n trúc an ninh cho h th ng l i 23 CH ƯƠ NG 2 . N N T NG AN TOÀN THÔNG TIN L I GSI 29 2.1. CÁC KHÁI NI M CƠ BN V AN TOÀN THÔNG TIN 29 2.1.1. Mã hóa thông tin 29 2.1.2. H mã hóa khóa i x ng. 30 2.1.3. H mã hóa khóa phi i x ng. 31 2.1.4. Ch ký s 32 2.1.5. Ch ng ch s . 33 2.1.6. Nhà cung c p và qu n lý ch ng ch s . 35 2.2. CƠ S H TNG AN TOÀN THÔNG TIN TRÊN LƯI. 37 2.2.1. C ơ s h t ng m t mã khóa công khai. 37 2.2.2. B o v thông tin m c thông ip và m c giao v n. 38 2.2.3. Gi y y nhi m l i. 39 2.2.4. S y quy n. 39 2.2.5. Ch ng th c trong GSI. 40 2.2.6. ng d ng c a GSI. 40 2.3. B CÔNG C GLOBUS TOOLKIT 4.0. 41 2.3.1. Thành ph n chính c a Globus Toolkit. 41 2.3.2. An toàn b o m t trong Globus Toolkit. 45 2.3.3. Minh h a cài t c ơ ch an toàn b o m t cho d ch v GRAM. 47 3
  4. CH ƯƠ NG 3 . H TH NG QU N LÝ T CH C O 50 3.1. T CH C O. 50 3.1.1. Khái ni m t ch c o. 50 3.1.2. T ch c o và tài nguyên l i. 51 3.1.3. Thông tin ng i dùng trong t ch c o. 53 3.1.3.1 C u trúc t ch c o. 53 3.1.3.2 Thông tin ng ưi dùng. 54 3.1.3.3 nh d ng thông tin VO. 55 3.1.3.4 Thông tin v các quy n ng ưi dùng v i RP. 55 3.2. H TH NG QU N LÝ T CH C O. 56 3.2.1. Ng i dùng v i VOMS. 57 3.2.1.1 Ng ưi dùng l ưi v i VOMS. 57 3.2.1.2 Ng ưi qu n tr v i VOMS 60 3.2.2. D ch v VOMS. 61 3.2.2.1 D ch v sinh thu c tính AAS. 62 3.2.2.2 D ch v ng ký & qu n tr ARS. 63 3.2.3. Phân quy n ng i dùng trong VOMS. 64 3.2.3.1 Danh sách iu khi n truy c p. 64 3.2.3.2 Quy n th c hi n các tác v qu n lý VO trong VOMS. 65 3.3. DCH V TO DANH SÁCH TRUY CP EDG-MKGRIDMAP. 69 CH ƯƠ NG 4 . KT QU TH NGHI M 70 4.1. H TH NG QU N LÝ NG ƯI DÙNG LƯI TÍNH TOÁN 70 4.1.1. Gi i thi u h th ng GOODAS. 71 4.1.2. Mô hình b o m t cho GOODAS. 73 4.2. THÀNH PH N QU N LÝ T CH C O 74 4.2.1. S d ng VOMS. 74 ưư 75 ư 78 4.2.2 S d ng EDG-MKGRIDMAP. 86 4.3. THÀNH PH N QU N LÝ GI Y U NHI M 86 4.3.1. Cng in t l i. 86 4.3.1. Mô hình u quy n truy nh p trên c ng in t l i. 88 4.3.3. Dch v qu n lý gi y u nhi m. 89 4.4 MT S HA N CHÊ CA VOMS. 92 92 -MKGRIDMAP. 93 4.5. HƯNG PHÁT TRI N CA VOMS 94 4
  5. 94 4.5.1.1 T ng quan v VOMRS. 94 4.5.1.2 ng b VOMRS và VOMS. 96 -MKGRIDMAP. 97 KT LU N 99 TÀI LI U THAM KH O 100 PH L C: CÀI T VOMS VÀ EDG-MKGRIDMAP. 101 1. CÀI T VOMS. 101 1.1. Chu n b h th ng 101 1.2. Cài t VOMS 102 2. CÀI T EDG-MKGRIDMAP. 104 2.1. Chu n b h th ng 104 2.2. Cài t EDG-MKGRIDMAP 104 3. CU HÌNH H TH NG 105 3.1. C u hình VOMS 105 3.2. C u hình VO. 107 3.3. C u hình EDG-MKGRIDMAP. 111 5
  6. DANH M C THU T NG T vi t t t Ngh a ti ng Anh Chú gi i AAS Attribute Authority Service Dch v phân quyên thu c tính AC Attribute Certificate Ch ng nh n thu c tính ACL Access Control Lists Danh sách iu khi n quy n truy cp ARS Administration and Dch v ng ký và qu n tr Registration Service CA Certificate Authority Nhà cung c p và qu n lý ch ng ch s CAS Community Authorization Dch v th m quy n c ng ng DN Distinguished Name Tên phân bi t ng ưi dùng trong l ưi EDG- EDG Make Gridmap Công c t ng ánh x ng ưi d ng MKGRIDMAP cc b và ng ưi dùng thu c VO. FTP File Transfer Protocol Giao th c truy n file qua m ng TCP GOODAS Grid Oriented Online H th ng l ưp Document Analysing tài li u in t System GRAM Globus Resource Qu n lý nh v tài nguyên l ưi Allocation Management GRIM Grid Resource Identity Ánh x th c th tài nguyên l ưi Mapper GSI Grid Security infrastructure H t ng an toàn thông tin lưi GSS-API Generic Security Service Giao di n l p trình ng d ng d ch Application Program v b o m t chung Interface GT Globus Toolkit B công c ưc phát tri n b i Globus Alliance, dùng phát tri n các ng d ng l ưi GUMS Grid User Management H th ng qu n lý ng ưi dùng l ưi System LMJFS Local Managed Job Dch v sinh MJS a ph ươ ng Factory Services MJS Managed Job Service Dch v qu n lý công vi c MMJFS Master Managed Job Trình ch sinh MJS Factory Service 6
  7. OGSA Open Grid Service Ki n trúc d ch v l ưi Architecture PKI Public Key Infrastructure H t ng khóa công khai PRIMA PRivilige Management and Dch v qu n lý ưu tiên và phân Authorization quy n RP Resource Provider SAML Security Assertion Markup Ngôn ng ánh d u liên k t an toàn Language SOA Service Oriented Ki n trúc h ưng d ch v Architecture SOAP Simple Object Acess Giao th c truy c p i t ưng ơ n Protocol gi n SSL Secure Sockets Layer Giao th c b o m t l p sockets TLS Transport Layer Security Giao th c b o m t tng giao v n VO Virtual Organization T ch c o VOMRS Virtual Organization Dch v qu n lý ng ký t ch c o Management Registration Service VOMS Virtual Organization Dch v thành viên t ch c o Membership Service WS Web Service Dch v web WSDD Web Service Deployment Ngôn ng c t d ch v Web Descriptor WSRF Web Services Resource Framework ư a ra b i GT4 h tr Framework ki n trúc l p trình m i 7
  8. LI M U Hi n nay tính toán l ưi ang n i lên nh ư m t công ngh nhi u h a h n trong tươ ng lai, v i kh n ng t p h p các ngu n tài nguyên nhàn r i, nh m h ưng t i các mc tiêu v hi u n ng tính toán và kh n ng chia s , truy n thông d li u. Nhi u trung tâm nghiên c u và các t ch c trên th gi i ang áp d ng và tri n khai công ngh này vào th c ti n, m ra các kh n ng m i trong l nh v c công ngh thông tin cng nh ư các l nh v c khác. Do c im a d ng và không ng nh t c a các t ch c và tài nguyên trong l ưi, v n b o m t trong l ưi là m t trong nh ng v n ưc quan tâm hàng u. Có nh ng v n b o m t m i ch ưa t ng g p trong các công ngh b o mt hi n t i cho h th ng tính toán phân tán truy n th ng. Các thách th c v an toàn bo m t ưc ưa ra nh ư các chính sách b o m t liên mi n cho l ưi, các công ngh iu khi n truy nh p gi a các mi n khác nhau. Mt v n quan tr ng t ra trong nghiên c u an toàn b o m t trên l ưi là vi c qu n lý b o m t và danh sách iu khi n truy nh p trong m t môi tr ưng ng và có tính phân tán cao. Lu n v n trình bày m t gi i pháp hoàn ch nh cho vi c qu n lý ng ưi dùng l ưi, xác th c phân quy n và cho phép ng ưi dùng hay t ch c o gia nh p m i. Gi i pháp ưc phát tri n trong l ưi t liên tr ưng GOODAS. H th ng l ưi ưc phát tri n t i trung tâm tính toán hi u nng cao (HPCC) thu c tr ưng i h c Bách Khoa Hà N i. C u trúc c a lu n v n bao g m các m c sau. Ch ư ng I : T ng quan v tính toán l ưi Ch ư ng II : Nn t ng an toàn thông tin l ưi GSI Ch ư ng III : H th ng qu n lý t ch c o Ch ư ng IV : Kt qu th nghi m Kt lu n, Ph l c & Tài li u tham kh o ưc trình bày ph n cu i c a lu n v n. 8
  9. LI CAM OAN Tôi xin cam k t r ng n i dung c a b n báo cáo này ch ưa ưc n p cho b t k m t ch ươ ng trình c p b ng th c s nào c ng nh ưu b t k m t ch ươ ng trình c p bng nào khác. Tôi xin cam oan k t qu t ưc trong lu n v n là s n ph m nghiên cu, tìm hi u c a riêng cá nhân tôi. Trong toàn b ni dung c a lun vn, nh ng iu ưc trình bày ho c là ca cá nhân tôi ho c là ưc tng h p t nhi u ngu n tài li u. T t c các tài li u tham kh o u có xu t x rõ ràng và ưc trích d n h p pháp. Tôi xin hoàn ch u trách nhi m và ch u m i hình th c k lu t theo quy nh cho l i cam oan c a mình. Hc viên Nguy n V n Trung 9
  10. LI C M ƠN Tr ưc h t, tác gi xin bày t lòng bi t ơn sâu s c nh t t i th y giáo h ưng dn PGS.TS. Tr nh Nh t Ti n v nh ng ý ki n óng góp v chuyên môn và s ng viên khích l c a th y trong su t quá trình làm nghiên c u c a tôi. Tôi xin g i l i cám ơn trân tr ng ti GS.TS. Nguy n Thanh Th y, Giám c Trung tâm Tính toán hi u n ng cao Tr ưng i h c Bách Khoa Hà N i. Th y ã to m i iu ki n v c ơ s v t ch t và tinh th n cho tôi trong quá trình nghiên cu ti trung tâm. Tôi c ng xin ưc g i t i Khoa Công ngh thông tin, Tr ưng i h c Công ngh , i h c Qu c Gia Hà N i cùng toàn th các th y cô, anh ch và các b n li c m ơn chân thành v s giúp nhi t tình, vô giá trong quá trình nghiên c u và hc t p t i ây. Và cu i cùng tôi xin g i l i c m ơn gia ình, b , m , v con tôi v s h tr không th thi u c a h . Tình yêu c a h , s khích l , ng viên, s quan tâm, ch m sóc c a h ã giúp tôi v ưt qua t t c khó kh n theo h c ch ươ ng trình và hoàn thi n b n lu n v n cu i khoá này. Tôi xin chân thành c m ơn! 10
  11. Ch ươ ng 1. TNG QUAN V TÍNH TOÁN L I 1.1. TÍNH TOÁN L I. 1.1.1. Khái ni m Tính toán l ưi. Ngày nay, v i s phát tri n v ưt b c c a khoa h c k thu t và công ngh , ã xu t hi n nh ng bài toán trong nhi u l nh v c òi h i s c m nh tính toán mà m t máy tính riêng l không th m trách. Tính toán l ưi ra i nh m t o kh n ng chia s tài nguyên trên ph m vi toàn c u, kh n ng t n d ng các ph n m m c ng nh ư tài nguyên v t lý phân tán c v m t a lý. 1-1: Tính toán l ưi - Định ngh ĩa 1: Lưi tính toán là m t c ơ s h t ng ph n c ng và ph n m m cung c p kh nng truy nh p nh t quán, tin c y, qui mô và r ti các tài nguyên tính toán m nh. I. Foster, C. Kesselman (1999) - Định ngh ĩa 2: Tính toán l ưi liên quan t i vi c chia s , iu ph i tài nguyên và gi i quy t vn trong ph m vi các t ch c o. I. Foster, C. Kesselman, S. Tuecke, “Anatomy of the Grid“(2000) 11
  12. - Định ngh ĩa 3: Lưi tính toán là m t h th ng có các c tr ưng sau: • Tài nguyên ưc iu ph i m t cách phi t p trung • S d ng các giao th c chu n, m và a n ng • Cung c p ch t l ưng d ch v không t m th ưng I. Foster‘s Three-Point Checklist (HPCWIRE - 22.07.2002). Mi tác gi khi ưa ra nh ngh a u ng trên m t s quan ni m nh t nh. Ch ng h n nh ngh a 1 b nh h ưng m t cách sâu s c b i các d án siêu tính toán (meta-computing) tr ưc ó. nh ngh a 2 t p trung vào s quan tr ng c a các giao th c nh ư là ph ươ ng ti n tươ ng tác gi a các thành ph n, còn nh ngh a 3 “có th s thích h p h ơn cho các nghiên c u v l ưi có qui mô r t l n trong t ươ ng lai. nh ngh a này ã b qua nhi u óng góp t các t ch c công nghi p, do ó có l là không xác áng” (W. Gentzsch, HPCWIRE 05.08.2002). Vì v y, có ưc m t cái nhìn toàn di n v l ưi, ta không ư a ra m t nh ngh a c th nào. Thay vào ó, chúng ta xem xét khái ni m l ưi trên c ơ s các c tr ưng sau: - Kích th ưc l n: theo ngh a s l ưng các tài nguyên ti m tàng và kho ng cách v mt a lý gi a chúng. - Phân tán: có tr áng k trong truy n d li u và iu này có th nh h ưng ln n ng d ng. - ng: các tài nguyên có th thay i khi ng d ng ang ưc th c hi n - Hn t p: ki n trúc và tính ch t c a các nút l ưi có th là hoàn toàn khác nhau - Vưt qua ph m vi m t t ch c: có nhi u tr m và các chính sách truy nh p có th khác nhau trên các tr m. Có th hình dung ơ n gi n m t l ưi bao g m m t t p các tài nguyên a d ng (còn g i là các nút l ưi - có th là PC, cluster, h th ng lưu tr , ) thu c v nhi u t ch c nh m gi i quy t m t bài toán nào ó. 12
  13. 1.1.2. L i ích c a Tính toán l ưi. 1/. Khai thác các tài nguyên nhàn r i Mt trong nh ng l i ích c ơ b n c a tính toán l ưi là kh n ng ch y ng d ng trên m t tài nguyên khác. Th ng kê cho th y, i v i các máy tính bàn, trong m t ngày làm vi c thì ch có kho ng 5% th i gian là b n, còn l i là r i [2]. Vi c t n d ng kho ng th i gian r i này ch y các ng d ng khác là m t vi c làm r t hi u qu và kinh t . 2/. Cung c p kh n ng x lý song song Kh n ng ch y ng d ng song song là tính n ng thú v nh t mà tính toán l ưi mang l i. Lúc này, m t công vi c ưc chia thành nhi u công vi c con, các công vi c con này ưc th c hi n ng th i trên các tài nguyên khác nhau c a l ưi. Do ó, thi gian ch y ng d ng s ưc rút ng n nhi u l n. Tuy nhiên, v n là không ph i ng d ng nào c ng có th tri n khai theo cách này ưc. C n xem xét các y u t nh ư kh n ng song song hóa, s trao i gi a các công vi c con khi ch y ánh giá xem m t ng d ng có th c s hi u qu khi ưc tri n khai trên l ưi hay không. 3/. Giúp h p tác gi a các t ch c S h p tác ưc th hi n thông qua khái ni m t ch c o - s k t h p nhi u t ch c th c cùng m c tiêu. Thông qua mô hình t ch c o, các t ch c th c có th chia s tài nguyên nh ư d li u, các thi t b c bi t. 4/. Giúp truy nh p các tài nguyên khác: Ngoài tài nguyên tính toán và l ưu tr , l ưi còn cung c p các lo i tài nguyên khác, ch ng h n ưng truy n m ng, các ph n m m t ti n. Ví d nh ư n u m t ng ưi dùng mu n t ng thông l ưng k t n i t i Internet th c hi n khai phá d li u, anh ta có th t n d ng các k t n i Internet riêng bi t c a các nút l ưi khác ch y bài toán trên. 5/. Giúp cân b ng trong s d ng tài nguyên Lưi cung c p kh n ng l p l ch, giúp phân b các công vi c lên các nút m t cách h p lý, tránh tình tr ng b quá t i b t kì m t nút nào. 13
  14. 1-2: Công vi c ưc chuy n sang các nút ít b n h n 6/. Mang l i tin c y Khái ni m tin c y trong tính toán l ưi ưc th hi n các khía c nh sau: m t là, trong l ưi có nh ng tài nguyên tính toán t ti n, cung c p tin c y cao cho nh ng bài toán ưc th c hi n trên chúng. Hai là, l ưi cung c p kh n ng l p l ch l i, phân b l i công vi c n u có l i x y ra. Ba là, nu c n, m t công vi c có th ưc ch y ng th i trên nhi u nút, cho nên vi c x y ra l i m t nút s không làm nh hưng n k t qu c a công vi c ó. 14
  15. 1.1.3. V n c bn c a m t h th ng l ưi. Có 4 v n c ơ b n ưc quan tâm trong tính toán l ưi [3], ó là: 1/. An toàn và b o m t (Security) Mt n n t ng an toàn và bo m t v ng ch c s quy t nh s phát tri n c a môi tr ưng tính toán l ưi. V i tính ch t quy mô l n, quan h chia s tài nguyên gi a nhi u t ch c, an toàn và b o m t luôn ph i ưc coi là m t trong nh ng y u t hàng u trong l ưi. Hai v n quan tr ng trong an toàn b o m t ph i xem xét trong tính toán lưi là: - Ch ng th c ng ưi dùng (Authentication) - Xác th c th m quy n (Authorization). 2/. Lp l ch và qu n lý tài nguyên (Resource Management and Scheduling) Các tài nguyên l ưi th ưng phân tán và không ng nh t. Do ó, vi c tích h p, ng b hóa và bi u di n chúng d ưi m t d ng th ng nh t là yêu c u t t y u. Trong môi tr ưng tính toán l ưi, t i m t th i im có th có r t nhi u ng d ng cùng truy cp chia s m t ho c nhi u tài nguyên khác nhau, do v y c n có b l p l ch nh m t i ưu hóa các công vi c. B l p l ch ph i d a vào các thông tin trên toàn b l ưi quy t nh th t trình công vi c. 3/. Dch v thông tin (Information Service) i v i m t môi tr ưng ng và không ng nh t nh ư tính toán l ưi thì các thông tin v các thành ph n trong l ưi s thay i liên t c. Chính vì v y, d ch v thông tin c n cung c p c ơ ch t ng c p nh t và ng ký các thông tin v toàn h th ng nh ư ki n trúc các tài nguyên, các d ch v có th cung c p trên l ưi, tr ng thái ca toàn b môi tr ưng l ưi. 4/. Qu n lý d li u (Data Management) Vi c truy c p các ngu n d li u trên l ưi òi h i m t kh n ng trao i, t ươ ng tác v i các d li u có th lên n giga bytes ho c h ơn th n a. iu này òi h i tính toán l ưi ph i có các chi n l ưc l ưu tr c ng nh ư t i ưu hóa các h th ng l ưu tr . 15
  16. 1.1.4. Ki n trúc c a m t l ưi Theo [4], m t l ưi bao g m các thành ph n sau: 1/. Tng n n (Fabric) Bao g m các tài nguyên phân tán, các tài nguyên này có th có ki n trúc và tính ch t r t khác nhau. 2/. Tng trung gian l ưi (Core Middleware) Cung c p các d ch v c ơ b n c a l ưi nh ư qu n lý truy nh p t xa, nh v tài nguyên, ng ký và khám phá tài nguyên, b o m t. 3/. Tng trung gian phía ng ưi dùng (User level middleware) Bao g m môi tr ưng phát tri n ng d ng, các công c l p trình và các b môi gi i tài nguyên nh m l a ch n các tài nguyên phù h p và th c hi n công vi c trên các tài nguyên ó. 4/. Các ng d ng l ưi và cng giao ti p Tng trên cùng là các ng d ng l ưi ưc phát tri n b i các công c h tr . Cng in t l ưi cung c p giao di n Web cho các ng d ng l ưi, giúp ng ưi dùng có th trình công vi c và t p h p k t qu thông qua Web. 16
  17. 1.2. V N AN TOÀN THÔNG TIN TRONG TÍNH TOÁN L I Do c im h n t p và không ng nh t c a các t ch c và tài nguyên trong lưi, v n an toàn thông tin trong l ưi là m t trong nh ng v n ưc quan tâm hàng u. Có nh ng v n an toàn thông tin mi ch ưa t ng g p trong các công ngh an toàn thông tin hi n t i cho h th ng tính toán phân tán truy n th ng. Ví d , các tính toán song song òi h i nhi u tài nguyên tính toán, d n t i nhu c u ph i thi t l p các m i quan h an toàn thông tin, không ơ n gi n ch là v i client và server, mà gi a hàng tr m ti n trình th c hi n trong không gian t p h p nhi u mi n qu n tr . Ngoài ra, c n ph i có các chính sách an toàn thông tin liên mi n cho l ưi, các công ngh iu khi n truy nh p gi a các mi n khác nhau c ng ph i ưc h tr . Các ng d ng và h th ng l ưi có th òi h i b t c ch c n ng nào trong các ch c n ng c ơ b n c a an toàn thông tin nh ư là: ch ng th c, iu khi n truy nh p, và toàn v n. Khi phát tri n ki n trúc l ưi, c ng c n ph i l a ch n gi i pháp áp ng ưc òi h i c a các c tính r t riêng c a l ưi: - Đă ng nh ập m ột l ần: Khi b t u m t tính toán òi h i s d ng tài nguyên, cho thuê tài nguyên hay truy n thông n i b , ng ưi dùng có th ưc ch ng th c, và s không ph i ch ng th c trong các tính toán ti p theo. - Gi ấy ủy nhi ệm ng ười dùng: Các mt kh u, khóa bí m t ph i ưc b o v b ng các chính sách nh ư mã hóa, h th ng file b o m t, phân quy n, - Tích h ợp các gi ải pháp an toàn thông tin địa ph ươ ng: Các gi i pháp liên mi n ph i tích h p v i các gi i pháp an toàn thông tin a ph ươ ng m b o c l p c a các thành viên l ưi. - Hạ t ầng gi ấy ủy nhi ệm, ch ứng ch ỉ s ố th ống nh ất: Truy nh p liên mi n òi h i ph i có m t quy ưc th ng nh t bi u di n nh danh c a các th c th l ưi nh ư là ng ưi dùng, tài nguyên, Vì th , c n có m t chu n mã hóa các ch ng ch s cho m c ích an toàn thông tin. Hi n t i, X509 là chu n cho các ch ng ch s ph bi n trong môi tr ưng l ưi. 17
  18. - Hỗ tr ợ an toàn nhóm truy ền thông: Mt tính toán có th òi h i m t s các ti n trình, cùng c ng tác các ho t ng c a chúng v i nhau nh ư là m t nhóm. T h p các nhóm ti n trình s thay i trong vòng i c a m t tính toán. Vì th , c n cung c p an toàn truy n thông nhóm ng. Không có gi i pháp nào hi n t i h tr tính n ng này, th m chí là th ư vi n lp trình GSS-API còn không cung c p an toàn truy n thông nhóm. - Độc l ập công ngh ệ: Các chính sách không ph c v cho m t công ngh phát tri n ng d ng c th nào. H ơn n a, có th cài t các chính sách trong m t ph m vi các công ngh an toàn thông tin, d a trên c k thu t mã hóa công khai và phân ph i khóa công khai. 1.2.1. Các thách th c an toàn trong Tính toán l ưi. Các yêu c u an toàn lưi trên ưc nh h ưng cung c p các t ch c o phân tán, r ng l n chia s và s d ng các ngu n tài nguyên a d ng trong m t mô hình th ng nh t. Tuy nhiên, các tài nguyên c ng nh ư các thành ph n khác tham gia lưi l i b qu n lý b i các n i quy và các chính sách c a m t t ch c truy n th ng mà chúng là thành viên. Do v y, các t ch c o truy nh p vào các tài nguyên trong các t ch c truy n th ng, chúng ph i ưc thi t l p và c ng tác qua m i quan h tin t ưng hai bên, t n t i gi a ng ưi dùng v i các t ch c truy n th ng c a h và m i quan h gi a ng ưi dùng v i các t ch c o. Chúng ta không th thi t l p quan h tin t ưng tr c ti p gi a các t ch c truy n th ng v i t ch c o hay các thành viên m r ng c a nó. Cơ ch an toàn lưi gi i quy t các tr ng i này b ng cách cho phép có m t t ch c o th ng nh t chung m t ph n chính sách c a các t ch c truy n thng (policy domain overlay). 18
  19. 1-3: Mi n tin t ưng chung c a t ch c o. Các tài nguyên và các t ch c ưa ra các iu khi n chính sách m r ng (outsource policy) cho m t bên th ba, các t ch c o (VOs), ph i h p các chính sách m r ng trong m t mi n tin t ưng n nh lâu dài, cho phép chia s tài nguyên và s d ng. Gi i pháp t i ch ng các chính sách d n t i các ch c n ng ch y u sau mà lưi ph i th c hi n: - Hỗ tr ợ nhi ều c ơ ch ế an toàn khác nhau : Các mi n tài nguyên hay các t ch c o th ưng ã có s u t ư áng k trong các c ơ ch và c ơ s h t ng an toàn thông tin ca a ph ươ ng h . Do v y mà thách th c l n nh t chính là ph i liên k t các công ngh an toàn thông tin trên các a ph ươ ng h ơn là thay th toàn b nó, nh ư th s r t t n kém và hoàn toàn không có tính k th a. - Kh ởi t ạo độ ng các d ịch v ụ: Ng ưi dùng có th kh i t o ra các d ch v m i mà không c n có s can thi p ca nhà qu n tr , ngoài ra các d ch v này còn có th t ươ ng tác v i nhau. Nh ư v y là ph i có c ơ ch nh danh các th c th l ưi, c p quy n cho các d ch v mà không 19
  20. nh h ưng t i các c ơ ch b o m t i ph ươ ng. M t ví d trong c ơ s h t ng GSI, khi m t d ch v l ưi cung c p cho ng ưi dùng, các nh danh v ng ưi dùng s dng d ch v , nh danh c a d ch v , nh danh c a h th ng mà d ch v ng ký trên ó u ưc xác nh rõ ràng. - Thi ết l ập độ ng các mi ền ch ứng th ực tin t ưởng (trust domain) : Vi c ch ng th c không ch ưc thi t l p gi a ng ưi dùng và tài nguyên trong m t t ch c o mà còn m r ng gi a các t ch c o v i nhau. Nh ư v y òi hi ph i có m t mô hình an toàn thông tin hưng ng ưi dùng (user-driven security model), cho phép ng ưi dùng t o ra các th c th và các mi n chính sách liên k t tài nguyên trong các t ch c o. 1.2.2. Các chính sách b o m an ninh cho h th ng l ưi Bo v CSDL tránh kh i nh ng hi m ho có ngh a là b o v d li u trong CSDL, tránh kh i vi c truy cp không h p l , mt cách vô tình hay c ý. Mi l ưi là m t t p h p g m nhi u tài nguyên hay còn g i là nút l ưi. Mt s tài nguyên có th thu c quy n s d ng c a t t c các thành viên l ưi, trong khi s khác l i h n ch quy n truy nh p i v i các thành viên. M t s thu t ng sau ưc xây d ng trong khi nghiên c u các v n v b o m an toàn cho h th ng Tính toán lưi + Ch ủ th ể là m t thành viên c a các ho t ng an toàn thông tin. i v i môi tr ưng l ưi, ch th th ưng là ng ưi dùng, tài nguyên hay các ti n trình thay m t cho các tài nguyên ó + Gi ấy ủy nhi ệm là thông tin cung c p nh danh cho ch th xác nh tên và vai trò c a ch th ó. Gi y y nhi m ưc ký b i nhà th m quy n và có th i gian t n ti nh t nh. Sau kho ng th i gian ó thì gi y y nhi m không còn hi u l c + Ch ứng th ực là ti n trình ch th ch ng minh nh danh c a mình cho i tưng ưc yêu c u. Ch ng th c hai bên (bên yêu c u và bên ưc yêu c u) là quá trình hai bên ch ng th c l n nhau, còn g i là ch ng th c a ph ươ ng. + Th ẩm quy ền là ti n trình mà thông qua ó, ta xác nh ưc m t ch th có ưc phép truy nh p và s d ng tài nguyên hay không 20
  21. + Mi ền tin t ưởng là c u trúc qu n lý m c logic, do m t chính sách an toàn thông tin n nh, ơn l m c a ph ươ ng n m gi , hay nói cách khác, nó là m t t p các ch th và i t ưng ưc qu n lý b i ơn mi n qu n tr và chính sách c c b . Sau ây là các chính sách b o v thông tin gi i quy t các yêu c u thách th c trình bày ph n trên. 1/. Môi tr ưng l ưi an toàn a mi n Do l ưi là m t t p h p không ng nh t c a các ng ưi dùng và tài nguyên cc b , cho nên các chính sách an toàn cc b dành cho các tài nguyên và ng ưi dùng c ng khác nhau, chính sách l ưi ph i m b o tích h p ưc t t c các t p hp không ng nh t này. Nói chung, môi tr ưng l ưi không h n ch hay không nh h ưng t i các chính sách a ph ươ ng, nhi m v c a chính sách l ưi là ph i t p trung iu khi n các t ươ ng tác liên mi n, ánh x các ho t ng liên mi n vào trong các chính sách a ph ươ ng. Ví d trong c ơ s h t ng GSI, các ho t ng liên mi n ưc th c hi n b i các ch th s h u m t ch ng ch s lưi theo chu n X509. Trong t ng mi n c th , các ch ng ch s này s ưc ánh x t ươ ng ng v i m t ng ưi dùng c c b nào ó thông qua m t file ánh x (grid-mapfile), là m t b n ghi ch a tên ng ưi dùng c c b và nh danh c a ch ng ch s ó. 2/. Ho t ng l ưi h n ch trong n mi n qu n tr Mc dù l ưi là m t t p a mi n qu n tr , tuy nhiên các ho t ng a mi n l i ph i tuân theo các chính sách a ph ươ ng trên ơ n mi n qu n tr . Nói cách khác, không có ho t ng hay d ch v l ưi nào ưc ưa vào các ho t ng a ph ươ ng thông qua các chính sách c a l ưi. 3/. Các ch th toàn c c và c c b u t n t i Ti m i ơn mi n qu n tr u t n t i hai ch th trên, và chính sách ánh x t m t ph n t toàn c c vào ph n t c c b . làm ví d , m i ng ưi dùng u có hai tên, m t tên toàn c c ho t ng trên t t c các tài nguyên, và m t tên c c b trên m i tài nguyên. Ánh x tên toàn c c vào tên c c b t o kh n ng ng nh p mt l n (sigle-sign-on) trên môi tr ưng l ưi. Trong c ơ s h t ng GSI, tên toàn c c chính là tên nh danh c a gi y y nhi m X509, và tên c c b là tên ng ưi dùng trong h iu hành. 21
  22. 4/. Ch ng th c a ph ư ng Ho t ng gi a các th c th nh v trong các mi n tin t ưng khác nhau òi hi ch ng th c a ph ươ ng, b o m cho s an toàn và bí m t c a các ho t ng. Ví d trong d ch v truy n file GridFTP, c client và server u ph i ch ng minh nh danh c a mình trong l ưi, client òi h i server có nh danh nh ư mình mong mu n không, còn server s ki m tra danh sách các nh danh client, xem client có quy n ng nh p vào server s d ng d ch v truy n file không. 5/. Ánh x Mi i t ưng toàn c c ưc ánh x vào i t ưng c c b ưc coi nh ư chúng ã qua ch ng th c a ph ươ ng trên i t ưng c c b ó. 6/. iu khi n truy nh p Tt c các quy t nh iu khi n ưc ưa ra u là c c b hay d a trên c ơ s c a i t ưng c c b , hay không có m t quy t nh iu khi n nào là toàn c c, áp d ng cho t t c các tài nguyên c c b . Ví d , m t ng ưi dùng l ưi có th s dng d ch v truy n file GridFTP t i m t tài nguyên này, nh ưng t i các tài nguyên khác trong l ưi, anh ta s không có quy n truy nh p. Anh ta không th ra l nh truy n file cho toàn b các tài nguyên trong l ưi. 7/. C ch s d ng Gi y ch ng nh n Có th dùng ch ng ch s vi các ch ươ ng trình thay m t cho cùng m t ti n trình, ch y trên cùng m t ch th trong cùng m t mi n tin t ưng. Nh ư ã bi t, tính toán l ưi liên quan t i hàng tr m ti n trình ch y trên m t tài nguyên ơ n. Chính sách này cho phép m r ng cho các ng d ng song song có kích th ưc l n, b ng cách tránh các yêu cu ph i t o m t ch ng ch s duy nh t cho m i ti n trình, mà cho phép các ti n trình song song này dùng chung m t t p các ch ng ch s . 22
  23. 1.2.3. Ki n trúc an ninh cho h th ng l ưi Ph n này s trình bày mt ki n trúc an ninh da trên các ng c nh an toàn và chính sách an toàn thông tin ưc nêu ra trên. 1/. Th c th Môi tr ưng l ưi bao g m các ch th và i t ưng trong các tính toán. Ch th bao g m các ng ưi dùng, các ti n trình th c hi n tính toán, b i vì m i tính toán bao g m nhi u ti n trình, m i ti n trình l i thay m t cho m t ng ưi dùng c th . i tưng ưc hình dung nh ư môi tr ưng r ng l n c a các tài nguyên có s n: máy tính, kho d li u, m ng, thi t b hi n th , ph c v cho tính toán. 2/. Gi y ch ng nh n ó là gi i pháp th ng nh t các nh danh c a các th c th l ưi, cung c p cho c ng ưi dùng và tài nguyên. C ơ ch này giúp gi m b t th i gian ch ng th c khi th c hi n tính toán, t o iu ki n thu n l i cho ng ưi dùng. Có hai lo i ch ng ch s: + Gi y ch ng nh n ng ưi dùng ưc c p quyn thay m t ng ưi dùng trong m t th i gian h n ch . Gi y ch ng nh n ng ưi dùng ho t ng thay cho ng ưi dùng, nh ó nó có nh ng thu n li nh ư: không yêu c u ng ưi dùng ph i có m t trong th i gian tính toán, thay vào ó ch ng ch s ca ng ưi dùng ph i sn có trong su t th i gian tính toán. H ơn n a, th i gian s ng c a ch ng ch s ưc iu khi n b i ng ưi dùng, giúp cho ng ưi dùng hoàn toàn ch ng trong quá trình tính toán mà không c n có m t ó. + Gi y ch ng nh n tài nguyên Ch ng nh n cho m t tài nguyên là thành viên h p l c a l ưi, các chính sách an toàn riêng trong tài nguyên ó t ươ ng thích v i các chính sách chung c a l ưi. Ví d, trong chính sách an toàn ca Globus Toolkit 4 (GT4), gi y y nhi m tài nguyên GRIM (Grid Resource Identity Mapper) ch ng minh tài nguyên này là thành viên ca l ưi, tuân theo chính sách an toàn ca l ưi. Ngoài ra, ki n trúc GRIM cho phép cơ ch y quy n truy c p tài nguyên (e.g. máy) thông qua ch ươ ng trình setuid, cho phép tài nguyên này n m lâu dài trong m t máy c th, tuân theo chính sách an toàn trong máy ó. 23
  24. 3/. Các giao th c Là các quy ưc ưc ưa ra cho ho t ng an toàn trong môi tr ưng l ưi. Trong ki n trúc này, s d ng m t s giao th c giúp cho các ho t ng trên toàn b lưi: ng ưi dùng có th ng nh p, nh v tài nguyên, nh v các tài nguyên khác trong ti n trình th c hi n. • Mô t ả ki ến trúc U, R, P: t ươ ng ng là các ng ưi dùng, tài nguyên, và ti n trình. UP, RP: ch ng ch s ng ưi dùng và ch ng ch s tài nguyên. CX: Gi y y nhi m c a ch th X. SigX(text): v n b n (text) ưc kí b i ch th X. -4: Mô hình ki n trúc bo v thông tin ca h th ng tính toán l ưi Nh ư trên hình v , các ho t ng trong ki n trúc bao g m: 1/. Ng ưi dùng thông qua gi y y nhi m ng ưi dùng, ng nh p h th ng: S d ng giao th c 1. 2/. nh v tài nguyên và kh i t o các ti n trình qua gi y y nhi m ng ưi dùng: S d ng giao th c 2. 24
  25. 3/. M i ti n trình có th nh v các tài nguyên khác m t cách tr c ti p: S d ng giao th c 3. 4/. Kh i t o b ng ánh x các nh danh toàn c c vào trong các nh danh c c b : S d ng giao th c 4. Sau ây là tóm t t các giao th c trên: Giao th c 1: ng nh p h th ng 1/. Ng ưi dùng s d ng ch ng ch s ng nh p vào h th ng máy tính 2/. Ng ưi dùng t o ra gi y y nhim ng ưi dùng (C UP ), s d ng ch ng ch s ng ưi dùng UP kí lên m t b n ghi bao g m: nh danh ng ưi dùng, tên máy c c b , th i gian h p l cho C UP và b t c thông tin nào ưc òi h i b i giao th c ch ng th c s d ng cài t ki n trúc. Cup = SigU (usr-id, máy, start-time, end-time, auth-info). ây c n phân bi t ch ng ch s ng ưi dùng UP và gi y y nhi m ng ưi dùng C UP . Ch ng ch s ng ưi dùng UP cho phép các ho t ng trên l ưi, tuy nhiên nó có m t vài h n ch : d b t n th ươ ng và không h n ch th i gian ho t ng khi thay m t ng ưi dùng. Gi i pháp là s d ng gi y y nhi m t m th i C UP , là s k t hp c a ch ng ch s UP vi m t khoá bí m t tươ ng ng. Gi y y nhi m C UP có th ho t ng thay m t ng ưi dùng, nh ưng th i gian ho t ng h n ch và m t s ràng bu c b i ng ưi dùng nh ư: tên máy (n ơi mà UP ưc phép ho t ng), tên các mi n (n ơi mà UP ưc phép kh i t o ti n trình và s dng tài nguyên). 3/. Ngưi dùng s h u gi y u nhi m CUP ưc phép kh i t o m t ti n trình. Nó da trên chính sách an toàn cc b b o v tính toàn v n c a C UP . 25
  26. Giao th c 2: Giao th c nh v tài nguyên 1/. Các ch ng ch s UP và RP th m quy n l n nhau (xem khái ni m th m quy n a ph ươ ng 1.2.2 ) s d ng gi y y nhi m C UP và C RP . M t ph n c a ti n trình này, RP ki m tra m b o C UP vn còn h p l , ch ưa h t th i h n. 2/. UP chuy n các yêu c u v nh v tài nguyên cho RP d ưi d ng Sig UP (các yêu c u nh v ) 3/. RP ki m tra tính h p l c a UP ã yêu c u nh v , b o m các yêu c u này úng là do UP ã kí. 4/. N u yêu c u ưc ti p nh n, RP t o ra b n ghi RESOURCE_CREDENTIAL ch a: tên ng ưi dùng, tài nguyên nh v cho ng ưi dùng ó, tên tài nguyên. 5/. RP chuy n RESOURCE_CREDENTIAL m t cách an toàn t i UP (th c hi n nh ư bưc 1, UP chuy n yêu c u nh v t i RP). 6/. UP ki m tra tính h p l RESOURCE_CREDENTIAL, xác nh n và kí lên nó - Sig up (RESOURCE_CREDENTIAL), t o ra m t gi y y nhi m yêu c u tài nguyên. Gi y y nhi m này còn ưc g i là gi y y nhi m ti n trình C P. 7/. UP chuy n C P mt cách an toàn t i RP (th c hi n nh ư bưc 1, UP chuy n yêu cu nh v t i RP). 8/. RP nh v tài nguyên, ti p t c ti p nh n các ti n trình C P mi ca ng ưi dùng. Giao th c 3: Giao th c nh v tài nguyên thông qua ti n trình ng ưi dùng 1/. Ti n trình và UP c a nó ch ng th c l n nhau (xem ch ng th c a ph ươ ng 1.2.2 ) thông qua C P và C UP . 2/. Ti n trình phát ra m t yêu c u t i UP c a nó, d ưi d ng: Sig P {" nh v ", các tham s yêu c u nh v } 3/. N u UP ch p nh n yêu c u, nó s phát ra m t yêu c u nh v tài nguyên t i RP c th nào ó s d ng giao th c 2, ã mô t trên. 4/. K t qu nh v tài nguyên s ưc UP kí lên, sau ó chuy n cho ti n trình yêu cu. 26
  27. Giao th c 4: Ánh x nh danh toàn c c vào nh danh c c b . 1/. UP ch ng th c v i RP 2/. UP phát ra m t yêu c u ã ký MAP-SUBJECT-UP d ưi d ng các tham s nh ư tên ch th tài nguyên, tên ch th toàn c c. 3/. Ng ưi dùng ng nh p vào tài nguyên s d ng các ph ươ ng th c ch ng th c c a tài nguyên và b t u ti n trình ng ký. 4/. Ti n trình ánh x tài nguyên phát ra yêu c u MAP-SUBJECT-P t i RP, d ưi dng các tham s : tên ch th tài nguyên, tên ch th toàn c c. a. RP i các yêu c u MAP-SUBJECT-UP và MAP-SUBJECT-P v i các tham s tươ ng ng. b. RP b o m r ng ti n trình ng ký ánh x thu c v ch th tài nguyên ưc xác nh trong yêu c u ánh x . c. Nu ki m tra h p l , RP s thi t l p ánh x và g i xác nh n t i ti n trình ng ký ánh x và UP. d. Nu ki m tra không h p l trong kho ng th i gian MAP-TIMEOUT, RP s lo i b yêu c u và g i xác nh n t i các th c th ang ch i. e. Nu xác nh n ch ưa ưc nh n trong kho ng th i gian MAP-TIMEOUT, yêu c u coi nh ư là không ưc ch p nh n. Ho t ng chi ti t c a các giao th c u ưc thi t l p d a trên th m quy n, k thu t ch kí in t và mã hóa. Tuy nhiên, ki n trúc không c p k thu t ch kí in t riêng bi t nào, vi c cài t c th s d ng giao di n l p trình ng d ng chung GSS, do ó vi c cài t và phát tri n có th s d ng b t c công ngh an toàn thông tin riêng bi t nào. 27
  28. KT CH Ơ NG Tóm l i, v n b o m an toàn thông tin trong môi tr ưng l ưi còn r t nhi u thách th c. Vì ây là môi tr ưng phân tán v a lý, ngu n tài nguyên không ng nh t, và t n t i nhi u chính sách qu n lý c a các t ch c khác nhau. gi i quy t các khó kh n này, yêu c u ph i có gi i pháp t ng th và ng nht gi a các t ch c tham gia l ưi. ó c ng là n i dung chính c a ch ươ ng sau, i sâu vào các khía cnh b o m an toàn thông tin cho H th ng tính toán l ưi. 28
  29. Ch ươ ng 2 . NN T NG AN TOÀN THÔNG TIN LI GSI VÀ B CÔNG C GLOBUS TOOLKIT 4.0 2.1. CÁC KHÁI NI M C Ơ B N V AN TOÀN THÔNG TIN 2.1.1. Mã hóa thông tin Trong mã hóa thông tin có hai khóa là khoá mã hoá và khoá gi i mã. Ng ưi gi mã hóa thông tin b ng khoá mã hoá, và g i bn mã cho ng ưi nh n. Hình 2- 1: Mã hóa thông tin s d ng khóa Ng ưi nh n s d ng khoá gi i mã gi i mã thông tin. Hình 2- 2: Gi i mã thông ip s d ng khóa mã gi i Sau ây, ta s xem xét hai ph ươ ng pháp mã hóa thông d ng là mã hóa khóa i x ng (mã hóa khóa bí m t) và mã hóa khóa phi i x ng (mã hóa khóa công khai). 29
  30. 2.1.2. H mã hóa khóa i x ng. Mã hóa i x ng là ph ươ ng pháp mã hoá mà bi t khoá mã hoá d dàng tính ưc khoá gi i mã và ng ưc l i. Trong mt s h mã hoá i x ng thì hai khoá này trùng nhau. Hình 2- 3: Mã hoá khoá i x ng Mc dù các ph ươ ng pháp mã hóa i x ng th ưng có t c cao và d cài t, nh ưng chúng l i có nhi u y u im. M t nh ưc im chính ó là vì c ng ưi gi và ng ưi nh n u s d ng cùng m t khoá mã hoá do ó c n ph i có s trao i thông tin th ng nh t khóa thông qua m t kênh m t. ây là m t v n khó trong an toàn và b o m t. Các h th ng bo v thông tin ngày nay s d ng các thu t toán mã hóa b t i x ng (khoá mã hoá và khoá gi i mã khác nhau) cùng v i h mã hoá i x ng bo v thông tin. 30
  31. 2.1.3. H mã hóa khóa phi i x ng. Hình 2- 4: Mã hoá khoá phi i x ng H mã hóa khoá phi i x ng có khoá mã hoá và khoá gi i mã khác nhau, bi t ưc khoá này “khó” tính ưc khoá kia. Các khóa này ưc xây d ng bng hàm m t chi u có c a s p (Trap-door). Trong hai khóa ó, m t khóa ưc ch n làm khóa bí m t và khóa còn l i ưc ch n làm khóa công khai. Khóa bí m t ch có m t ng ưi là ch nhân c a nó nm gi . Khóa công khai ưc công b r ng rãi cho b t c ai mu n trao i thông tin m t v i ng ưi s h u khóa. Khóa công khai ưc s d ng mã hóa thông tin và khóa bí m t ưc s d ng gi i mã. Quá trình giao ti p gi a hai i t ưng A và B có th ưc mô t nh ư sau: B sinh ra m t c p khóa bí m t và công khai, khóa bí m t ưc c t gi m t cách an toàn và ưc b o v b ng m t m t mã còn khóa công khai ưc cung c p r ng rãi. A có th s d ng khóa công khai ( ưc phát hành b i B) mã hóa thông tin và g i cho B. Lúc này, ch duy nh t B, ng ưi s h u khóa bí m t, có th gi i mã thông tin bng khoá bí m t. Ngoài ra, mã hoá khoá phi i x ng còn ưc dùng trong các c ơ ch xác th c. Tuy nhiên, m t nh ưc im l n c a h mã hóa công khai này là quá trình gi i mã cng nh ư mã hóa m t nhi u th i gian. 31
  32. 2.1.4. Ch ký s Nh ng n m 80 c a th k hai m ươ i, các nhà khoa h c ã phát minh ra “ ch ký s ” ch ng th c m t “ tài li u s ”. ó là “ bn mã” ca xâu bít tài li u [5]. Ch ký ưc dùng xác nh tính h p th c c a v n b n trong quá trình giao d ch. Do ó, ch ký trên gi y là c tr ưng ca tng cá nhân. Ch ký s là m t hàm ph thu c vào thông tin mà nó ký. Trong giao d ch tr c tuy n, ch ký s ưc coi là m t thông tin g n li n v i giao d ch. Hình 2- 5: Ch ký s và mã hóa công khai Ký s trên tài li u s là ký trên t ng bít c a tài li u. K gian khó có th gi mo ch ký s n u nó không bi t “khoá l p mã”. ki m tra m t ch ký s thu c v m t tài li u s , ng ưi ta dùng chìa khoá công khai và tài li u i kèm. Ký s th c hi n trên t ng bít tài li u nên dài c a ch ký s ít nh t b ng dài c a tài li u. Do ó thay vì ký trên tài li u dài, ng ưi ta th ưng dùng “ hàm b m” t o ra “ i di n” cho tài li u, sau ó m i ký s lên “ i di n” này. 32
  33. 2.1.5. Chng ch s. Hình 2- 6: Ch ng ch s Ch ng ch khoá công khai (g i t t là ch ng ch s ) là m t v n b n in t xác nh n khoá công khai ưc s h u b i m t ng ưi c th . Chng ch s ưc c p bi c ơ quan có th m quy n g i là Nhà cung c p và qu n lý ch ng ch s . Ví d v giao d ch in t gi a hai ch th A và B, thông qua Nhà cung c p và qu n lý ch ng ch s S nh ư sau: Bưc 1. Xin các ch ng ch s : Trưc khi giao d ch, A gi khoá công khai cho S và S s c p ch ng ch s AC. Thông tin t A có th g m M = [ZA, Tên, ] trong ó có ZA là khoá công khai ca A. T ươ ng t B c ng s ưc S c p cho m t ch ng ch s BC. Bưc 2: Giao d ch in t : A tìm ch ng ch s BC ca B, ki m nh ch ký s ca S ã kí lên BC. N u ch ng ch s BC úng do S phát hành, A tách khoá công khai c a B, mã hoá thông tin c a mình và g i cho B. Vi vi c s d ng ch ng ch s , quá trình ch ng th c có s liên quan c a ba bên A, B, S. Quá trình ki m ch ng r t nghiêm ng t, S ph i ch ng minh là ng ưi phát hành các ch ng ch s , các thông tin mà A g i cho B c ng b o m bí m t, b i vì nó ã ưc mã hóa b ng khóa công khai c a B, ch có B m i có khóa bí m t gi i mã thông tin t A. 33
  34. Chu n ch ng ch s X509 ây là khuy n ngh v nh d ng c a ch ng ch s theo chu n X509. Ch ng ch s chu n X509 là v n b n ch a các thông tin theo nh d ng sau: Hình 2-5: Ch ng ch s theo chu n X509 + Subject : tên c a i t ưng xin c p. Nó ưc mã hoá theo nh d ng tên nh danh (Distinguished Name) c a i t ưng. + Subject’s public key : bao g m các thông tin v khoá và thu t toán s d ng sinh ra khoá công khai ó. + Issuer’s Subject : tên nh danh c a Nhà cung c p và qu n lý ch ng ch s . + Digital signature : ch ký s sinh ra b i khoá bí m t c a Nhà cung c p và qu n lý chng ch s . Ch ký này có th ưc ki m nh b ng khoá công khai c a Nhà cung cp và qu n lý ch ng ch s . + Tên nh danh (Distinguished Name - DN) : g m các c p giá tr cách nhau b ng d u ph y. Ví d : "O=University of Technology, OU=Faculty of Information Technology, CN=HPC". 34
  35. Tên nh danh có nhi u tr ưng, trong ó, có m t s tr ưng thông d ng là: O: tên t ch c (Organization). OU: tên c a ơn v trong t ch c ó (Organization Unit). CN: tên i t ưng, thông th ưng là tên c a ng ưi dùng (Common Name). C: t n ưc (Country). Tên nh danh cho phép ta xác nh ưc nh danh duy nh t c a m t i t ưng trong t ch c. 2.1.6. Nhà cung c p và qu n lý ch ng ch s. Nhà cung c p và qu n lý ch ng ch s c p phát và qu n lý khoá công khai dùng trong m t mã. Mi i t ưng tham gia giao ti p có th tin t ưng Nhà cung c p và qu n lý ch ng ch s khác nhau. Trong tr ưng h p này, c u trúc phân c p Nhà cung c p và qu n lý ch ng ch s s cho phép các bên tham gia tin t ưng các Nhà cung c p và qu n lý ch ng ch s khác nhau v n có th thi t l p các m i quan h tin cy trong giao ti p. Trong hình 2-7, ch ng ch s ca Borja ưc ký b i Nhà cung c p và qu n lý ch ng ch s FOO. Ng ưc l i, ch ng ch s ca Nhà cung c p và qu n lý ch ng ch s FOO ưc ký b i Nhà cung c p và qun lý ch ng ch s BAR. Cu i cùng ch ng ch s ca BAR ưc ký b i chính nó. Nu chúng ta nh n ưc ch ng ch s ca Borja mà không hoàn toàn tin tưng Nhà cung c p và qu n lý ch ng ch s FOO, nh ư v y có ngh a là ch ng ch s ca Borja s không ưc tin tưng ngay. Chúng ta có th ki m tra xem ch ng ch s ca Nhà cung c p và qu n lý ch ng ch s FOO có ưc c p b i m t Nhà cung cp và qu n lý ch ng ch s mà ta tin t ưng hay không. N u Nhà cung c p và qu n lý ch ng ch s BAR n m trong danh sách tin t ưng c a ta, khi ó ch ng ch s ca Borja ưc tin t ưng. 35
  36. Hình 2- 7: C u trúc phân c p Nhà cung c p và qu n lý ch ng ch s Tuy nhiên, chú ý r ng Nhà cung c p và qu n lý ch ng ch s cp cao t ký ch ng ch s ca mình. iu này không hi m th y. Ch ng ch s này ưc g i là ch ng ch s t ký. M t Nhà cung c p và qu n lý ch ng ch s vi m t ch ng ch s t ký ưc g i là Nhà cung c p và qu n lý ch ng ch s gc, b i không có Nhà cung c p và qu n lý ch ng ch s nào trên nó. tin t ưng ch ng ch s ưc ký bi m t Nhà cung c p và qu n lý ch ng ch s , Nhà cung c p và qu n lý ch ng ch s gc t ươ ng ng ph i n m trong danh sách Nhà cung c p và qu n lý ch ng ch s ưc tin t ưng. 36
  37. 2.2. CƠ S H TNG AN TOÀN THÔNG TIN TRÊN LI. An toàn thông tin là m t trong nh ng n n t ng quan tr ng nh t trong h th ng l ưi. Cơ s h t ng an toàn thông tin l ưi (GSI) gi i quy t nh ng v n an toàn thông tin còn t n t i trong tính toán l ưi, mà n n t ng chính là nh ng ki n th c v mã m t ã nêu ra ph n trên. Trong ph n này trình bày mt s c im ca GSI và cài t ng d ng c a nó. 2.2.1. C s h tng mt mã khóa công khai. GSI ưc xây d ng d a trên c ơ s h t ng mt mã khóa công khai (PKI). GSI bao g m tp các th c th (ng ưi dùng và tài nguyên), ưc phân bi t b i tên duy nh t g i là tên nh danh. Ch ng th c trong GSI ngh a là cho m i th c th ng ưi dùng ho c tài nguyên m t tên nh danh duy nh t. m i th c th có m t nh danh duy nh t, GSI ưa ra khái ni m gi y y nhi m l ưi, là s k t h p c a ch ng ch l ưi v i mt khoá bí m t t ươ ng ng. Mt iu quan tr ng trong môi tr ưng PKI ca l ưi, m i th c th ph i th c hi n s trao quy n b o m s toàn v n c a h th ng trong các giao d ch a ph ươ ng và a ti n trình. b o m khóa bí m t không b ánh c p, có th s d ng mt s ph ươ ng pháp: - Lưu tr khóa trong m t file có quy n truy nh p h n ch . - Lưu tr khóa trong h th ng file mà khoá mã hoá ch ưc bi t b i ng ưi s h u nó. Ví d máy ch MyProxy qu n lý các gi y u nhi m l ưi. - Lưu tr khóa bí m t b ng các thi t b ph n c ng có m t kh u. Gi i pháp ph n cng cho ta tính an toàn cao, nh ưng nó l i ít ưc s d ng b i thi u s phát tri n ca ph n c ng. - S d ng gi y y nhi m trong m t kho ng th i gian s ng nh t nh. iu này òi hi th ưng xuyên ph i có cp mi các gi y y nhi m, b o v khóa bí m t b ng cách h n ch s l di n c a nó. 37
  38. 2.2.2. B o v thông tin mc thông ip và m c giao v n. GSI cho phép chúng ta th c hi n b o v thông tin hai m c: m c giao v n và m c thông ip. An toàn thông tin m c giao v n cho phép toàn b truy n thông ưc mã hóa. An toàn thông tin m c thông ip ch cho phép ni dung c a thông ip ưc mã hóa. Hình 2- 8: An toàn thông tin mc giao v n Hình 2- 9: An toàn thông tin m c thông ip Hai m c b o m t giao v n và thông ip có th m b o tính toàn v n, riêng tư và xác th c nh s d ng các ph ươ ng pháp m t mã. Tuy nhiên, không ph i t t c truy n thông c n có c ba c tính này. Nói chung, h i tho i an toàn ph i m b o ti thi u kh n ng ch ng th c. 38
  39. 2.2.3. Gi y y nhi m l ưi. Trong môi tr ưng l ưi, ng ưi dùng cn s d ng nhi u tài nguyên. M i l n yêu c u c p phép tài nguyên, ng ưi dùng c n ph i ch ng th c, và m i l n ch ng th c ng ưi dùng c n nh p m t kh u. Vi c s d ng nhi u l n m t kh u trong ch ng th c a ph ươ ng gây b t ti n cho ng ưi dùng, ng th i khoá bí m t r t d b ánh cp. Mt cách khác là s d ng ph n m m nh c và l ưu tr m t kh u ng ưi dùng mt l n. Tuy nó r t thu n ti n cho ng ưi dùng, nó l i b t l i trên quan im v an toàn thông tin, khi mà nó l khóa bí m t trong m t kho ng th i gian dài. GSI gi i quyt v n này v i khái ni m gi y y nhi m. M i gi y y nhi m s ho t ng thay m t ng ưi dùng trong m t kho ng th i gian y quy n ng n h n. Nói cách khác, vi c s d ng gi y y nhi m ng n h n thay th cho các ch ng ch s dài h n khi ch ng th c ng ưi dùng. Gi y y nhi m là s k t h p gi a ch ng ch s dài h n c a ng ưi dùng vi khóa bí m t riêng c a nó. Gi y y nhi m, theo m t cách khác, là s liên k t ng n hn gi a tên nh danh c a ng ưi dùng v i m t khóa bí m t khác. Ch ng ch s th ưng ưc l ưu tr s dng mã hóa trong h th ng file a ph ươ ng, th ưng ưc bo v b i quy n truy c p file trong h th ng, có th ưc s d ng nhi u l n mà không có s b t ti n nào. Còn gi y y nhi m d b t n th ươ ng, nó có th i gian s ng ng n h n h ơn nhi u so v i các ch ng ch s dài h n c a ng ưi dùng, thông th ưng là vài gi . 2.2.4. S y quy n. i v i tính toán ph c t p và kéo dài liên quan t i nhi u ti n trình khác nhau, ng ưi dùng không ph i lúc nào c ng có m t ch ng th c cho m i ti n trình. GSI gi i quy t v n này b ng cách cho phép ng ưi dùng y quy n gi y y nhi m ca mình cho giao d ch các máy t xa. 39
  40. S y quy n c ng t ươ ng t nh ư vi c t o ra các gi y y nhi m, m t t p ch ng ch s dài h n s ưc dùng t o ra t p các gi y y nhi m m i, có th i gian s ng ng n hơn. S khác nhau là vi c t o ra các gi y y nhi m x y ra trong các phiên k t ni òi h i ch ng th c GSI, khi các ti n trình t xa òi h i gi y y nhi m c a ng ưi dùng cho ch ng th c. M t iu áng chú ý n a là s y quy n có th là m t chu i, mt ng ưi có th y quy n cho m t máy A, sau ó ti n trình s d ng trên máy A có th y quy n cho máy B và c ti p t c nh ư v y. 2.2.5. Ch ng th c trong GSI. GSI s d ng grid-mapfile ưa ra danh sách iu khi n truy nh p d a trên danh sách ng ưi dùng ưc nh ngh a. Vi c ch ng th c các nh danh GSI s chuy n v ch ng th c các nh danh a ph ươ ng, cùng v i vi c ó, các chính sách ư a ra c ng n m trong ph m vi c c b nh ư: quy n truy nh p file, dung l ưng a, tc CPU. Gn ây GSI áp d ng chu n SAML [6] nh ngh a các nh d ng xác nh n b o m t và giao th c l y xác nh n. GSI s d ng ch ng th c SAML theo hai cách: Dch v ch ng th c c ng ng CAS ho c dch v ch ng th c c a bên th ba nh ư PERMIT. 2.2.6. ng d ng c a GSI. GSI cho phép ng ưi dùng và các ng d ng l ưi truy nh p vào các tài nguyên mt cách an toàn. M t s kh n ng an toàn bo m t ưc GSI t p trung h tr : c ơ ch u quy n và ng nh p m t l n, th m quy n và ch ng th c a ph ươ ng, các gi y y nhi m thay m t ng ưi dùng trong th i gian ng n h n, GSI cng là thành ph n thi t y u cho m t s công c nh ư grid-proxy-init t o ra gi y y nhi m t các ch ng ch s , các d ch v truy n file GridFTP và máy ch thông tin LDAP, trình các ng d ng t xa Globus Toolkit Gram hay Secure Shell (SSH) k t n i t i các máy t xa. Ngoài ra, t p các th ư vi n an toàn bo m t GSI trong Java Cog Kit t o iu ki n thu n l i cho phát tri n các ng d ng l ưi có h tr b o m t. 40
  41. 2.3. B CÔNG C GLOBUS TOOLKIT 4.0. B công c Globus Toolkit (GT) là s n ph m c a d án Globus – d án ưc s h p tác c a nhi u công ty, phòng thí nghi m c a M nh m tìm ra gi i pháp cho tính toán l ưi. Globus Toolkit là t p h p các d ch v , ph n m m, các th ư vi n xây dng theo ki n trúc m . Có th nói d án Globus ã và ang óng góp r t l n vào s phát tri n c a tính toán l ưi. ã có hàng tr m d án áp d ng tính toán l ưi l n, nh trên toàn th gi i ang s d ng b công c Globus Toolkit xây d ng c ơ s h t ng và tri n khai các ng d ng c a mình. Phiên b n m i nh t hi n nay là phiên b n GT4, ây là phiên b n u tiên có h tr các th c thi Web Services trong nhi u thành ph n c a nó. Tuy nhiên v n có m t s thành ph n ch ưa s d ng các th c thi Web Services và vì lý do t ươ ng thích v i các phiên b n c h ơn. 2.3.1. Thành ph n chính c a Globus Toolkit. GT4 gm có 5 thành ph n chính sau [4]: − Thành ph n th c thi cơ b n (Common runtime components) − Thành ph n bo v thông tin (Security component) − Thành ph n qu n lý d li u (Data management component) − Dch v theo dõi và tìm ki m (Monitoring and Discovery Services) − Thành ph n qu n lý th c thi (Execution management) 1/. Thành ph n th c thi c b n (Common runtime components) Thành ph n th c thi cơ b n bao g m t p các th ư vi n và các công c cung cp môi tr ưng x lý cho c hai mô hình d ch v : d ch v web và không ph i là dch v web. ng th i ây là thành ph n n n t ng c a Globus Toolkit ph c v cho các d ch v khác trong b công c này. 41
  42. 2/. Thành ph n bo v thông tin (Security Component) Thành ph n bo v thông tin nm phía d ưi t t c các thành ph n khác cung cp các ch c n ng an toàn thông tin, ưc xây d ng d a trên mô hình mã hóa khóa công khai, giao th c b o m t SSL (Secure Socket Layer) và ch ng ch s X.509. Thành ph n này cung c p c ơ ch xác th c m t l n (single sign on), mã hóa trong truy n thông và cơ ch y quy n. C n kh ng nh r ng: bo v thông tin trong tính toán l ưi là m t v n trung tâm. Khi tri n khai ph m vi l n, l ưi v i c ơ c u ph c t p n u không ưc thi t k g n li n v i an toàn thông tin thì h th ng l ưi r t d b s p do truy xut trái phép, các lo i sâu, các ph ươ ng th c t n công, c ng nh ư các hacker. 3/. Thành ph n qun lý d li u (Data management) Globus Toolkit cung c p các d ch v thao tác v i d li u: • Dch v truy n file trên l ưi GridFTP GridFTP là m r ng c a giao th c FTP truy n th ng cung c p d ch v truy n file hi u qu cao và ưc th c hi n trên n n b o m t l ưi ch t ch . Ngoài ra, mt tính n ng quan tr ng c a giao th c GridFTP là cho phép truy n file theo mô hình third-party. Trong mô hình truy n file truy n th ng, vi c truy n file ch th c hi n ưc gi a client và server. Còn trong mô hình truy n file third-party, Client có th th c hi n truy n file gi a các server v i nhau 42
  43. Hình 2- 10 : Truy n file theo mô hình third-party • Dch v truy n file tin c y RFT (Realiable File Transfer) RFT s d ng GridFTP truy n file. RFT cung c p d ch v truy n file tin c y dưi d ng d ch v web, ng th i RFT c ng s d ng c ơ s d li u có th ph c hi vi c truy n file n u x y ra s c . Hình 2- 11: D ch v truy n file RFT 43
  44. • Dch v sao l ưu d li u trên l ưi Dch v sao l ưu d li u DRS (Data Replication Service), d ch v nh v t p RLS (Replica Location Service) 4/. Dch v theo dõi và tìm ki m tài nguyên (Monitoring and Discovery Services) Dch v theo dõi và tìm ki m tài nguyên cung c p ki n trúc th ng nh t cho vi c theo dõi các thông tin v c u hình h th ng trên các nút l ưi c a toàn b h th ng. Dch v thông tin cung c p thông tin v t lý nh ư: h iu hành, n ng l c x lý, b nh ng th i c ng cung c p các thông tin v các d ch v mà nút l ưi ó cung c p các d ch v l ưi. 5/. Thành ph n qu n lý th c thi (Execution management) Globus Tookit cung c p các thành ph n làm nhi m v th c thi công vi c, giám sát công vi c, và giao ti p v i b l p l ch a ph ươ ng. Trong ó quan tr ng nh t là thành ph n WS GRAM (Grid Resource Allocation and Management). WS GRAM là m t d ch v l ưi ưc vi t theo mô hình Web Services, cung c p kh n ng th c hi n và qu n lý tr ng thái công vi c t xa. Khi Client trình công vi c, yêu c u ó ưc g i t i b ng thông ip SOAP (Simple Object Access Protocol) [5] và ưc x lý b i thành ph n WS GRAM trên máy ó. WS GRAM có kh n ng chuy n các yêu c u ó thành d ng mà các b l p l ch a ph ươ ng hi u ưc và yêu c u các b l p l ch a ph ưng th c hi n. Trong quá trình th c thi công vi c, WS GRAM còn k t h p v i d ch v RFT th c hi n truy n, nh n các file u vào và các file k t qu . Ngoài ra Globus Toolkit còn cung c p các thành ph n khác liên quan n vi c qu lý th c thi công vi c nh ư: b siêu l p l ch Community Scheduler Framework 4 (CSF4), d ch v qu n lý không gian làm vi c Workspace Management Service (WMS). Tuy nhiên các thành ph n này ang trong giai on phát tri n và ch ưa ưc hoàn thi n. 44
  45. 2.3.2. An toàn b o m t trong Globus Toolkit. GT4 cung c p m t s d ch v v an toàn b o m t: - Credential processing service : là d ch v m nh n vi c x lý và ki m tra các yêu c u v ch ng th c. - Authorization service : d ch v này xác nh quy n c a các ho t ng d a trên vi c áp d ng các quy n b o m t i v i t ng i t ưng yêu c u hành ng ó và c th yêu c u ó. - Credential Conversion service : là d ch v trung gian chuy n i gi a các c ơ ch y nhi m a ph ươ ng và các t ch c o. - Identity Mapping service : là d ch v ánh x tài kho n ng ưi dùng trong m t mi n t i m t tài kho n i v i m t min khác. - Audit : d ch v log l i các s ki n. Môi tr ưng trình ch (Hosting environment) Trình ch là môi tr ưng nuôi s ng và phát tri n các d ch v . Dch v lưi cng t ươ ng t nh ư các d ch v Web khác, ưc xây d ng trên các môi tr ưng trình ch nh ư J2EE hay .NET. Nh ng trình ch này cung c p m c cao c a an toàn bo mt và h u h t các ch c n ng an toàn bo m t u ưc t trên trình ch do ó s làm cho vi c phát tri n ơn gi n h ơn và cho phép các ch c n ng ưc nâng c p hoàn toàn c l p v i các ng d ng. Hình dưi ây ư a ra m t ví d ã ưc ơn gi n hóa c a cách th c ho t ng c a mô hình OGSA. M t yêu c u xu t phát t m t OGSA client t i m t OGSA service. C client và service u ưc ch a trong các trình ch ( ơn gi n mt s các chi ti t v quá trình b o m t nh ư auditing (ki m nh), quá trình ch ng nh n client ưc b qua). 45
  46. Hình 2- 12: Ki n trúc an toàn bo m t trong Globus Toolkit Client u tiên s t o m t yêu c u t i m t d ch v OGSA và truy n yêu c u ó t i trình ch x lý. Các b ưc sau dùng x lý yêu c u t client: - Trình ch ch a client ki m tra các chính sách an toàn bo m t c a d ch v ưc yêu cu xác nh nh ng c ơ ch và y nhi m nào c n ph i tuân theo có th trình yêu c u. - Nu trình ch bên phía client xác nh ưc r ng các c ơ ch y nhi m c n thi t ch ưa có, thì nó s yêu c u m t d ch v Credential Conversion Service chuy n các gi y y nhi m ã có thành d ng c n thit. (ví d CAS chuy n các gi y y nhi m cá nhân thành gi y y nhi m c a VO, và KCA chuy n gi a chu n Kerberos và PKI – Public Key Infrastructure). - Trình ch phía client s d ng Token Processing và Validate Service (d ch v x lý và ki m tra) x lý các yêu c u ch ng th c khi giao ti p v i d ch v yêu c u. Chính d ch v này ã làm cho ng d ng và trình ch không ph i quan tâm nhi u n các chi ti t c th . 46
  47. - V phía server, trình ch c ng s d ng m t d ch v x lý vi c ch ng th c c a client. Sau quá trình ch ng th c client, trình ch phía server chuy n yêu c u và thông tin v client t i m t d ch v ch ng th c ví d PERMIS hay Akenti quy t nh các quy n h n th c thi. Nu t t c các b ưc trên u thành công thì trình ch phía server s chuy n các yêu c u ã ưc cho phép t i d ch v ưc yêu c u x lý. ng d ng bi t rng trình ch ã m nh n toàn b vi c b o m t do ó ch t p trung vào vi c x lý yêu c u. 2.3.3. Minh h a cài t c ch an toàn b o m t cho d ch v GRAM. Tài nguyên l ưi bao g m các các máy ch , máy tr m, các siêu máy tính, các thi t b l ưu tr k t n i v i m t l ưi d li u thông qua m ng truy n thông cùng th c hi n m t m c tiêu chung. Dch v nh v tài nguyên GRAM (Globus Resource Allocation Management) là d ch v c a GT cho phép client có th kh i t o, qu n lý, theo dõi an toàn b o m t các nhi m v tính toán trên các máy xa. Vi c ti n hành i vi GRAM là m t trong nh ng công vi c ph c t p nh t b i vì nó liên quan nhi u n c c ơ ch an toàn b o m t a ph ươ ng và các client t xa. Ph n này s trình bày vi c cài t an toàn b o m t trong GRAM minh h a cho vi c cài t cho các d ch v. có th th c hi n công vi c nh GRAM, m t client ph i mô t công vi c, ch rõ nh ng chi ti t v th ư m c th c thi, n ơi lưu tr các u ra và u vào. Nh ng mô t này ưc g i t i tài nguyên và k t qu là m t th c th c a d ch v qu n lý công vi c MJS (Managed Job Service). M t MJS là m t d ch v c a l ưi cho phép kh i t o công vi c, iu khi n, theo dõi công vi c. MJS ưc t o b i m t dch v sinh MJS. V lý thuy t thì s có t ươ ng ng vi m i tài kho n ng ưi dùng m t dch v sinh MJS, tuy nhiên trong th c t tránh lãng phí, GT ch th c thi m t trình ch sinh MJS là Master Managed Job Factory Service (MMJFS). 47
  48. Mi MMJFS ch y trên m i tài nguyên và tri u g i dch v sinh MJS a ph ươ ng LMJFS (Local Managed Job Factory Services) dùng khi c n thi t. Dch v iu h ưng (Proxy Router service) dn nh ng yêu c u t ng ưi dùng t i LMJFS nu có (ho c MMJFS n u LMJFS c a ng ưi dùng ó không t n t i). V i MJS factory thì có th có m t hay nhi u th hi n c a MJS ch y cùng m t lúc trên môi tr ưng trình ch . Hình 2- 13: C ch th c hi n c a GRAM Nh ư minh h a trên hình 2-14, th c hi n công vi c trên GRAM ph i qua 7 bưc: 1/. Ng ưi yêu c u to m t b n mô t công vi c và kèm v i mt gi y y nhi m thích hp. Yêu c u này sau ó ưc g i t i tài nguyên ích. 2/. Dch v iu h ưng Proxy Router nh n yêu c u và g i t i LMJFS n u có (nh y t i bưc 6) ho c g i t i MMJFS (th c hi n ti p b ưc 3). 3/. MMJFS xác nh n ch ký trên yêu c u sau ó xác nh tài kho n c c b mà công vi c s th c hi n da trên tài kho n ó s d ng grid-mapfile, m t file n m trên máy cc b ch a nh ng thông tin ánh x t GSI vào tài kho n c c b . 48
  49. 4/. MMJFS tri u g i quá trình Setuid Starter kh i t o LMJFS. Setuid Starter là ch ươ ng trình có c quy n (ví d nh ư setuid-root) mà ch c n ng duy nh t c a nó là kh i t o m t LMJFS ã ưc c u hình s n cho m t ng ưi dùng. 5/. Khi LMJFS ã ưc t o, nó c n nh n ưc gi y y nhi m và ph i t ng ký v i dch v iu h ưng Proxy Router nó th nh n ưc các yêu c u khác trong t ươ ng lai. LMJFS tri u g i Grid Resource Identity Mapper (GRIM) nh n ưc gi y y nhi m. GRIM là m t ch ươ ng trình có c quy n truy c p và sinh ra các gi y y nhi m cho LMJFS. Gi y y nhi m này ch a trong nó nh danh ng ưi dùng l ưi, tên ng ưi dùng c c b giúp cho ng ưi yêu c u có th m b o ây úng là LMJFS c n thi t. 6/. LMJFS nh n ưc yêu c u công vi c, LMJFS ki m nh ch ký trên yêu c u m b o là nó không b gi m o và ki m tra xem ng ưi yêu c u có ưc quy n truy cp tài kho n ng ưi dùng c c b mà LMJFS ang ch y. LMJFS kh i t o m t MJS và tr l i tham chi u d ch v n ng ưi dùng. 7/. Ng ưi yêu c u kt n i t i MJS b t u công vi c. Ng ưi yêu c u và MJS ki m ch ng l n nhau tr ưc khi ti n hành quá trình giao d ch. MJS ki m nh xem requestor có th m quy n th c thi trong tài kho n c c b hay không còn requestor ki m nh xem MJS có gi y y nhi m (GRIM credential) h p lý t máy ch hay không, iu này cho phép client không ch xác nh ưc là MJS ch y trên úng máy ch mà còn ch y trên úng tài kho n. 49
  50. Ch ươ ng 3. H TH NG QU N LÝ T CH C O 3.1. T CH C O. 3.1.1. Khái nim t ch c o. Các ng d ng l ưi hi n t i có th khác nhau v s l ưng ng ưi tham gia, th i gian di n ra & m c các ho t ng trao i thông tin, l ưng tài nguyên chia s Song, chúng u có các im t ươ ng ng v các c ơ ch chia s và s d ng tài nguyên: 1/. Ràng bu c tài nguyên chia s : Nh ng ng ưi cung cp tài nguyên, xác nh các ràng bu c s d ng trên chính tài nguyên h cung c p. H có quy n quy t nh khi nào, tài nguyên nào s ưc chia s . 2/. Quan h chia s : M i quan h gi a các bên tham gia chia s và s d ng tài nguyên là m i quan h ngang hàng, ch không theo mô hình khách ch . Các t ch c tham gia, v a có th là bên cung c p, v a có th là bên s d ng. 3/. Chính sách chia s ng: S d g i là ng vì chính sách chia s có th thay i liên t c, ph thu c vào quy t nh c a bên cung c p tài nguyên. Các bên tham gia c n cp nh t liên t c các chính sách này có ph ươ ng án s d ng thích h p. Nhóm các cá nhân, t ch c cùng tuân theo các c ơ ch chia s và s d ng tài nguyên nh ư v y, ưc g i là t ch c o (VO – Virtual Organization). Hình 3- 1: T ch c o. 50
  51. Trong hình 3- các ơ n v tham gia. T ch c o P có th s d ng ch ươ ng trình B, d li u D c a t ch c th t 3; ch ươ ng trình A c a t ch c th t 1. T ch c o Q có th s d ng chu k tính toán r nh r i c a các t ch c th t 1và 2. M t s tài nguyên c a t ch c th t có th tham gia vào cùng nhi u t ch c o nh ư ch ươ ng trình A và các tài nguyên tính toán trên máy ch a nó (t ch c th t 2). Nh ư v y, t ch c o th c ch t là nhóm các cá nhân, ơ n v có cùng ph m vi và chính sách chia s tài nguyên. Các thành viên trong cùng VO ch ưc s d ng các tài nguyên l ưi trong ph m vi mà bên cung c p tài nguyên – Resource Provider (RP) quy nh cho VO ó. Do ó, khi xem xét d ưi góc tài nguyên, có th coi lưi là k t qu c a s h p tác gi a bên s d ng - VO và bên cung c p - RP. 3.1.2. T ch c o và tài nguyên l ưi. Vì l ưi có nhi u ng ưi dùng và nhi u lo i tài nguyên nên kéo theo ph i qu n lý mt l ưng l n các thông tin v ng ưi dùng và các quy n c a h v i tài nguyên. Các thông tin này còn ưc g i là thông tin phân quy n. Các thông tin v phân quy n ưc chia ra thành hai lo i: • Thông tin v ề ng ười dùng trong t ổ ch ức ảo: Các thông tin v t ch c o, nhóm c a ng ưi dùng trong t ch c, vai trò c a h trong nhóm và các quy n t ươ ng ng ng ưi ó ưc phép th c hi n. • Thông tin v ề các quy ền c ủa ng ười dùng v ới RP : Ph thu c vào thông tin c a ng ưi dùng trong VO, các thông tin RP s ưc ánh x t ươ ng ươ ng. Nhóm các thông tin v ng ưi dùng trong t ch c o ưc qu n lý tp trung t i server c a VO, nhóm thông tin v quy n c a ng ưi dùng v i RP ưc l ưu t i các tài nguyên ưc yêu c u. Nhóm thông tin th hai ưc RP t o ra d a trên các chính sách s d ng tài nguyên l ưi c c b và các th a thu n cam k t tài nguyên v i VO. Các thông tin này ưc l ưu d ưi d ng danh sách qu n lý các truy c p (Access Control List - ACL), quy t nh vi c truy c p tài nguyên có ưc phép hay không. 51
  52. Dù vai trò c a VO và RP là khác nhau trong vi c qu n lý và s d ng tài nguyên, nh ưng s ph i h p gi a chúng s quy t nh tính nh t quán trong chính sách s d ng tài nguyên c a toàn b l ưi. iu ki n u tiên cho m t ng ưi dùng mu n tham gia l ưi, h ph i là thành viên c a m t VO nào ó. T ng quát, h có th là thành viên c a nhi u VO khác nhau. Trong m i VO, ng ưi dùng l i có các vai trò khác nhau. Yêu c u ưc t ra là: ngay sau khi ng ưi dùng ng nh p, h có quy n ch n các VO mà h tham gia. Các quy n tươ ng ng v i vai trò c a h trong VO ó ph i ưc xác nh ngay sau ó. V phía RP, c n c vào vai trò ng ưi dùng l ưi trong VO, s ánh x h vào các ng ưi dùng a ph ươ ng trên máy c c b . Các quy n c a ng ưi dùng a ph ươ ng ph i m b o cho ng ưi dùng l ưi th c thi ưc các quy n c a h trong VO. Do ó, m bo ưc tính nh t quán trong chính sách s d ng tài nguyên c a VO nói riêng và toàn b l ưi nói chung. Hình 3- 2: Ng ưi dùng l ưi v i VO và RP. 52
  53. 3.1.3. Thông tin ng ưi dùng trong t ch c o. 3.1.3.1 C ấu trúc t ổ ch ức ảo. Cu trúc t ch c c a t ch c o là c u trúc phân c p. T ch c o là nhóm l n nh t. T nhóm l n nh t l i chia nh thành các nhóm con tr c thu c. M i nhóm có quy n khác nhau trên nh ng tài nguyên l ưi mà t ch c o ưc c p. Tùy theo yêu cu, ng ưi dùng ưc chia vào các nhóm phù h p v i nhi m v c a h . Mi nhóm có m t ho c nhi u ng ưi qu n tr . Có 2 c p qu n tr là qu n lý nhóm và qu n tr toàn b VO. m c nhóm, các công vi c qu n tr là qu n lý thành viên trong nhóm, x lý các yêu c u tham gia nhóm, gán các quy n qu n tr cho thành viên trong nhóm. Lên t i c p toàn VO, ng ưi qu n tr có thêm quy n xét duy t ơ n ng ký tham gia vào VO. Có th bi u di n c u trúc c a VO b ng th có h ưng không chu trình. G,R G1,R G2,R G3,R G1.1,R G1.2,R G2.1,R G3.1,R G1.2.1,R Hình 3- 3: Cây phân c p VO. Mi nhóm ưc bi u di n b i m t nh c a th (nút), m i quan h gi a hai nhóm ưc bi u di n b ng m t c nh có hưng . VO ban u là nhóm g c, là cha c a chính nó. Ngo i tr nhóm g c, m i nhóm có th có nhi u nhóm cha. Tuy nhiên, m t nhóm không ưc phép là nhóm con c a chính con nó, m b o không có chu trình trong th . 53
  54. 3.1.3.2 Thông tin ng ười dùng. Do c u trúc t ch c phân c p c a VO mà khi ng ưi dùng ưc phân vào nhóm con, thì ng ưi ó c ng ng th i là thành viên c a nhóm cha. Chính xác h ơn, ng ưi dùng ó là thành viên c a t t c các nhóm n m trên ưng n i t nhóm con n nút gc trên th . Ng ưi dùng trong nhóm ưc c tr ưng b i vai trò và các quy n t ươ ng ng vi vai trò ó. Khi ng ưi dùng tham gia nhóm, h s gi m t vai trò nào ó, ơ n gi n có th là “Group Member” ho c cao nh t là VO-Admin. Ph m vi c a vai trò ch ưc gi i h n trong nhóm. S khác nhau gi a nhóm và vai trò th hi n ch : các nhóm ng ưi dùng tham gia luôn ưc ch rõ, còn vai trò c a ng ưi dùng thì có th ưc tùy ch n trong danh sách các vai trò có s n. Tươ ng ng v i vai trò là các quy n h ưc phép làm. Vai trò và các quy n ưc k th a t các nhóm cha c a nhóm mà ng ưi dùng ang tham gia. k t lu n, ta ưa ra mô hình: Ngưi dùng U là thành viên c a nhóm {G1, G2 Gn}. Quan h c a ng ưi dùng U v i nhóm Gk, ưc c tr ưng b i b ba ( Gk, Rk, Ck) t ươ ng ng v i thông tin v thành viên nhóm, vai trò, quy n. Các thông tin phân quy n y v U s là (G1, R1, C1 ) (Gn, Rn, Cn). B ba thu c tính này ph n ánh s th a thu n gi a bên yêu c u VO và bên th c thi RP. VO cung c p các thông tin v quy n c a ng ưi dùng, và RP có nhi m v m bo th c thi các quy n ó. Ly ví d nh ư lưi d li u CERN ưc coi nh ư t ch c o VO có hai nhóm là s n xu t (production) và sao l ưu (replicator). Các vai trò có th trong nhóm là qu n tr VO (VO-admin) và qu n tr nhóm (Admin). M i thành viên nhóm có các quy n th c thi lâu dài (long-job) hay là l ưu tr l n (large-space). 54
  55. 3.1.3.3 Định d ạng thông tin VO. Ng ưi dùng trong VO có 3 thu c tính c ơ b n là nhóm, vai trò và quy n. C 3 thu c tính này ưc g i chung là “Tên thu c tính y ” - “Fully Qualified Attribute Names” (FQAN). Cú pháp: /VO [/group [/subgroup (s)]][ /Role = role ][ /Capability = cap ] Ví d : Vai trò Administrator trong group AGP ca VO hpcc.hut.edu.vn là: /hpcc.hut.edu.vn /AGP /Role =Administrator. 3.1.3.4 Thông tin v ề các quy ền ng ười dùng v ới RP. ng vi các thông tin v ng ưi dùng trong VO, m t c ơ ch khác trên RP t ng th c hi n luôn m b o các quy n ng ưi dùng trên RP th c hi n nh t quán vi chính sách tài nguyên c a VO. C ơ ch ánh x gridmap ưc s d ng. Nhi m v ca nó là ánh x thông tin ng ưi dùng vào các tài kho n c c b trên máy th c thi. Tài kho n c c b có các quy n gì trên tài nguyên l ưi, ng ưi dùng l ưi s có các quy n nh ư v y. V y làm th nào xác nh ưc tài kho n nào s ưc gán cho ng ưi dùng l ưi? N u c ơ ch ánh x ho t ng sai l ch s nh h ưng tr c ti p n tính úng n cho chính sách s d ng tài nguyên c ng nh ư an toàn cho c h th ng th c thi. Cơ ch ánh x d a trên vi c t ng thi t l p m t kênh trao i thông tin an toàn gi a VO và RP. Phía RP s nh k theo dõi các thông tin t phía VO, c p nh t các ng ưi dùng m i c ng nh ư các quy n c a h . K t h p v i các chính sách tài nguyên c c b c ng nh ư các th a thu n ã ký v i VO, RP ch n ra tài kho n phù hp ánh x cho úng. Nh ư v y, qu n lý thông tin v quy n c a ng ưi dùng trong l ưi, ta chia các thông tin c a h theo ph m vi h thu c vào (bên s d ng tài nguyên – VO) và bên cung c p tài nguyên cho h (RP). qu n lý các thông tin thành viên trên VO, chúng ta s s d ng dch v thành viên t ch c o – Virtual Organization Membership Service ( VOMS ). Các thông tin v quy n ng ưi dùng s ưc qu n lý bi d ch v ánh x EDG-MKGRIDMAP . 55
  56. 3.2. H TH NG QU N LÝ T CH C O. Dch v thành viên t ch c o VOMS là n l c phát tri n chung c a hai d án L ưi d li u Châu Âu - European DataGrid và Atlantic. Tr i qua h ơn 10 n m phát tri n, ngày nay VOMS ã ưc tích h p s n trong Glite và là thành ph n không th tách r i trong mô hình qu n lý ng ưi dùng l ưi theo t ch c o c a c ng ng l ưi này. VOMS cho phép qu n lý thông tin phân quy n c a ng ưi dùng trong VO theo th i gian th c. Các thông tin phân quy n ưc l ưu bao g m các thông tin ch ng th c, vai trò ng ưi dùng và các quy n c a h trong VO. VOMS cung c p thêm các thông tin b sung vào gi y phép c a ng ưi dùng. RP s c n c vào các thông tin này phân quy n. Hình 3- 4: Ki n trúc VOMS. Hình 3-4 minh h a các t ươ ng tác gi a ng ưi dùng v i VOMS. 2 lo i ng ưi dùng t ươ ng tác v i h th ng là ng ưi dùng l ưi và ng ưi qu n tr VO. Ng ưi dùng lưi ng ký và xin gi y phép ho t ng v i VOMS. Ng ưi qu n tr qu n lý VO và x lý các yêu c u gia nh p. 56
  57. 3.2.1. Ng ưi dùng v i VOMS. 3.2.1.1 Ng ười dùng l ưới v ới VOMS. Mu n s d ng tài nguyên trong l ưi, ng ưi dùng ph i tham gia vào VO có quy n s d ng tài nguyên ó. Vi c u tiên ng ưi dùng c n làm là ng ký thành viên vi ng ưi qu n tr VO. M i ng ưi dùng có th ng ký v i nhi u VO khác nhau. Sau khi ưc ch p nh n, ng ưi dùng xin ch ng nh n t m th i (proxy cerfiticate) có quy n truy c p tài nguyên. C th , quy trình ng ưi dùng xin gia nh p VO nh ư sau: 1/. Ng ưi dùng s h u ch ng ch s ca CA ưc VOMS Server tín nhi m. Ng ưi dùng truy c p web admin c a VOMS Server, cung c p mt s thông tin cá nhân, ng ý v i các iu kho n s d ng l ưi c a VO và n p ơn xin gia nh p. 2/. Mt email ưc g i t i hòm th ư c a ng ưi dùng. Ng ưi dùng nh n ưc email, la ch n ng ý ti p t c quá trình ng ký. 3/. Ng ưi dùng ch quy t nh t VO-Admin xem xét ơ n gia nh p VO. M t email thông báo s ưc g i t i ng ưi dùng khi có k t qu xét duy t c a ng ưi qu n tr VO. Hình 3- 5: Quy trình xin ng ký dùng lưi tính toán. 57
  58. grid-proxy-init là công c cp phép ch ng ch s t m th i cho ng ưi dùng lưi. Thay vì s d ng grid-proxy-init, ta s s d ng voms-proxy-init xin c p ch ng th c quy n thành viên. Gi ng nh ư công c grid-proxy-init, công c voms-proxy-init cng t o ra ch ng ch s tm th i cho ng ưi dùng lưi, và g n thêm các thông tin v phân quy n c a ng ưi dùng t VOMS server. Các thông tin này bao gm gi y y quy n c a ng ưi dùng, c a VOMS server và th i h n c a ch ng nh n t m th i. T t c các thông tin này sau ó u ưc xác nh n b ng ch k s c a VOMS server. Các ch ng nh n do voms-proxy-init sinh ra u ho t ng t t v i các h th ng c không h tr VO m b o tính t ươ ng thích ng ưc. Quy trình ng ưi dùng xin ch ng ch s t m th i nh ư sau nh ư sau: 1/. Ng ưi dùng và VOMS server xác th c l n nhau. 2/. Ng ưi dùng g i yêu c u xin ch ng th c n VOMS server. 3/. VOMS server xác nh n thành viên & vai trò c a ngưi dùng trong VO và ki m tra li yêu c u; sau ó c p và tr l i cho ng ưi dùng các thông tin ưc yêu c u. 4/. Ng ưi dùng ki m tra các thông tin nh n ưc. Hình 3- 6: Quy trình xin ch ng nh n VOMS. 58
  59. Ngoài các thu c tính cơ b n c a ch ng nh n l ưi, ch ng nh n t m th i g n thêm các thu c tính nh n ưc t VOMS server. Ngoài ra, ng ưi dùng có th tích h p thêm các thu c tính xác th c khác nh ư ph ươ ng pháp Kerberos, nhãn th i gian Sau khi có ch ng nh n VO t VOMS, ng ưi dùng g i các ch ng nh n này n n RP s d ng tài nguyên. ki m tra quy n, Gatekeeper bên phía th c thi s tách các thu c tính b sung t VOMS, ki m nh và xác th c các thu c tính phân quy n. Các thu c tính này, k t h p v i chính sách s d ng tài nguyên tr ưc ó gia VO và RP, s quy t nh các tài nguyên ng ưi dùng ưc phép s d ng. Các thu c tính này là không b t bu c, nên các ch ng th c do VOMS sinh ra v n m b o tính tươ ng thích ng ưc, t c là làm vi c ưc v i các h th ng không h tr ki m tra các thu c tính v phân quy n. 59
  60. 3.2.1.2 Ng ười qu ản tr ị v ới VOMS Ng ưi qu n tr VOMS ưc chia ra 2 c p qu n tr . c p qu n lý nhóm, h qu n lý quy n, thành viên c a các nhóm con trong VO. c p toàn VO, ng ưi qu n tr có thêm nhi m v qu n lý các ơn gia nh p VO. C th , ng ưi qu n tr nhóm có các quy n sau: Hình 3- 7: Ng ưi qu n tr nhóm v i h th ng. Ng ưi qu n tr nhóm ph trách qu n lý ng ưi dùng (thêm, xóa, tìm ki m), qu n lý nhóm (thêm, xóa, tìm ki m, qu n lý ACL cho nhóm), qu n lý vai trò (thêm, xóa, tìm ki m), qu n lý thành viên (thêm, b t; gán, g b vai trò c a các thành viên). Ng ưi qu n tr VO th a k các quy n qu n lý c a qu n tr nhóm. 60
  61. Hình 3-8: Qu n tr nhóm và qu n tr VO. Ngoài ra, qu n tr VO còn có thêm các quy n qu n lý riêng c p toàn t ch c. ó là qu n lý ng ký. Hình 3-9: Qu n tr VO và h th ng. 3.2.2. D ch v VOMS. Da theo 2 lo i tác nhân chính t ươ ng tác v i h th ng là ng ưi dùng lưi và ng ưi qu n tr , có th chia dch v VOMS thành 2 ph n chính theo phía ng ưi dùng và phía qu n tr . Phía qu n tr bao g m: • Server qu n tr : x lý các yêu c u t phía máy khách, c p nh t, s a i c ơ s d li u. • Client qu n tr : óng vai trò ng ưi qu n tr VO ( thêm ng ưi dùng, t o, xóa nhóm, thay i vai trò ). 61
  62. Phía ng ưi dùng bao g m: • Server ng ưi dùng: nh n các yêu c u t phía máy khách và tr l i các thông tin v ng ưi dùng. • Client ng ưi dùng: liên h v i server l y v ch ng nh n ng ưi dùng, danh sách các nhóm, vai trò và kh n ng c a ng ưi dùng. M i quá trình giao ti p gi a client và server ph i m b o xác th c và an toàn. Hình 3- 10: H th ng VOMS. Thành ph n chính c a server ng ưi dùng là D ch v sinh thu c tính AAS (Attribute Authority Service). Thành ph n chính ca server qu n tr là D ch v ng ký & qu n tr ARS (Administration and Registration Service). ARS là công c c a ng ưi qu n tr , ph trách qu n lý c u trúc phân c p nhóm, ng ưi dùng, thành viên trong VO. AAS s cn c vào các thông tin phân quy n do ARS c p ch ng th c quy n cho ng ưi dùng. 3.2.2.1 D ịch v ụ sinh thu ộc tính AAS. AAS h tr sinh ch ng th c d ưi 2 nh d ng là X509 AC (Attribute Certificate) và SAML AA (Atrribute Assertion). 62
  63. X509 AC g m 2 ph n là vomsd (VOMS Daemon) và voms-proxy-init. VOMSD ch y nh ư m t ti n trình ng m, xác th c yêu c u voms-proxy-init n t ng ưi dùng và c p ch ng nh n thu c tính AC (Attribute Cerfiticate) cho thành viên VO. SAML AA, ưc phát tri n trong d án OMII và m i ưc tích hp vào VOMS-Admin g n ây. V i SAML AA, VOMS h tr giao th c SAML các client có th l y v ch ng nh n thu c tính thông qua giao th c này. 3.2.2.2 D ịch v ụ đă ng ký & qu ản tr ị ARS. Là d ch v chính c a server qu n tr , nhi m v c a ARS là qu n lý VO. ARS là công c qu n lý VO chính c a ng ưi qu n tr . ARS h tr giao th c k t n i SOAP, nên có th d dàng chuy n sang d ch v OGSA. Nó bao g m 5 thành ph n c ơ b n: + Nhân (Core): các ch c n ng c ơ b n cho phía client. + Qu n tr (Admin): qu n tr c ơ s d li u VOMS. + Nh t ký (History): ghi l i nh t ký các thay i. + Yêu c u (Request): c ơ ch qu n lý các yêu c u c a ng ưi dùng m i và các thay i khác. + Tính t ươ ng thích (Compability): s d ng ti n ích mkgridmap , ơ n gi n hóa vi c truy c p n danh sách ng ưi dùng. Hình 3- 11: Thành ph n ca server qu n tr . 63
  64. ARS tích h p giao di n Web ( ng d ng web J2EE ch y trên Apache Tomcat ) thu n l i cho phía ng ưi dùng ng ký thành viên. Ng ưi qu n tr có th tươ ng tác tr c ti p v i ARS thông qua website này ho c s d ng giao di n dòng lnh (voms-admin client). Hình 3- 12: Giao di n Web và dòng l nh cho qu n tr VO. 3.2.3. Phân quy n ng ưi dùng trong VOMS. 3.2.3.1 Danh sách điều khi ển truy c ập. Toàn b các tác v qu n tr c a ARS u d a trên quy trình ch ng th c X509 và c p quy n t VOMS-Admin Authorization framework. Ng ưi qu n tr mu n th c hi n các thao tác thêm, s a, xóa; nh t thi t ph i có quy n t ươ ng ng trên VO. C th , xác nh ng ưi dùng trong VO ưc phép làm gì, VOMS-Admin t ch c danh sách iu khi n truy c p ACL (Access Control List). ACL bao g m nhi u m c, m i m c là m t c p: ch th VO và quy n ưc phép. Ch th VO có th là qu n tr c a VO, thành viên c a VO, VOMS FQAN ho c b t c ng ưi dùng có ch ng th c nào. 64
  65. Các quy n c ơ b n c a các ch th VO trong VOMS là: Quy n c b n Ý ngh a CONTAINER_READ Thao tác duy t, thêm xóa nhóm và vai trò. CONTAINER_WRITE Thêm, xóa ng ưi dùng. MEMBERSHIP_READ Qu n lý thành viên trong nhóm, vai trò. MEMBERSHIP_WRITE ATTRIBUTES_READ Qu n lý các thu c tính c a ng ưi dùng, nhóm, ATTRIBUTES_WRITE vai trò. ACL_READ Qu n lý ACL và ACL m c nh c a VO. ACL_WRITE ACL_DEFAULT REQUESTS_READ Qu n lý ng ký, gia nh p nhóm, gán vai trò. REQUESTS_WRITE 3-1: Các quy n c ơ b n trong VOMS. Bên c nh các ACL, trong m i nhóm còn có các ACL m c nh. Nó liên quan n ACL c a nhóm con và nhóm cha. M c nh, khi các nhóm con ưc t o ra, nó s k th a ACL c a nhóm cha. Khi ng ưi qu n tr c n ACL c a nhóm con khác v i ACL c a nhóm cha, Default ACL ưc thi t l p. Nhóm con s k th a Default ACL c a nhóm cha, thay vì ACL c a nhóm cha. 3.2.3.2 Quy ền th ực hi ện các tác v ụ qu ản lý VO trong VOMS. Mi thao tác trong qu n lý VO u c n c vào các quy n h t nhân ưư ưươư ưư dng. 65
  66. Sau ây, ta s ưa ra các tác v qu n lý trong VOMS và các quy n c ơ b n cn ph i có có th th c hi n các tác v này. ơn gi n, ta quy nh m t s ký hi u: Tên Chú thích /vo Nhóm g c trong VO (g,R) Ch th trong VO có vai trò R trong t ch c g (g g’) Tt c các nhóm t nhóm g n nhóm g’ trong VO parent(g) Nhóm cha c a nhóm g R Quy n c W D Quy n m c nh (dùng cho ACL) C: Quy n v i nhóm, vai trò. M: Quy n v i thành viên Atts: Quy n v i thu c tính Acl: Quy n v i Acl Req: Quy n v i qu n lý ng ký 3-2: B ng ký hi u các khái ni m trong VO. 66
  67. Các tác v qu n lý VO và các quy n c n thi t th c hi n nó là: Tác v Quy n c n thi t To/ Xóa ng ưi dùng (/vo,C:rw M:rw) To/ Xóa nhóm (/vo, C:rw) (/vo parent(parent(g)), C:r) (parent(g), C:rw) Li t kê nhóm con (/vo g, C:r) To/ Xóa vai trò (/vo, C:rw) Li t kê vai trò (/vo, C:r) Thêm/ B t thành viên trong nhóm g (/vo parent(g) , C:r) (g, M:rw) Li t kê các thành viên c a nhóm g (/vo parent(g) , C:r) (g, M:rw) Gán/ B vai trò R trong nhóm g (/vo parent(g) , C:r) ((g,R), M:rw) Li t kê các thành viên có vai trò R (/vo parent(g) , C:r) trong nhóm g ((g,R), M:r) To/ Xóa thu c tính ng ưi dùng (/vo, Attrs:rw) Li t kê các thu c tính c a ng ưi dùng (/vo, Attrs:r) To/ Xóa thu c tính c a nhóm (/vo parent(g) , C:r) (/vo, Attrs: rw) (g, Attrs:rw) Li t kê các thu c tính c a nhóm (/vo parent(g) , C:r) (/vo, Attrs: r) (g, Attrs:r) 67
  68. To/ Xóa các thu c tính c a vai trò. (/vo parent (g) , C:r) (/vo, Attrs: rw) ((g,R), Attrs:rw) Li t kê các thu c tính c a vai trò (/vo parent(g) , C:r) (/vo, Attrs: r) ((g,R), Attrs:r) Sa ACL c a nhóm g (/vo parent(g) , C:r) (g, Acl:rw) Xem ACL c a nhóm g (/vo parent(g) , C:r) (g, Acl:r) Sa ACL c a vai trò R trong nhóm g (/vo parent(g) , C:r) ((g,R), Acl:rw) Xem ACL c a vai trò R trong nhóm g (/vo parent(g) , C:r) ((g,R), Acl:r) Sa ACL m c nh c a nhóm g (/vo parent(g) , C:r) (g, Acl:rwd) Xem ACL m c nh c a nhóm g (/vo parent(g) , C:r) (g, Acl:rd) Sa ACL m c nh c a vai trò R trong (/vo parent(g) , C:r) nhóm g ((g,R), Acl:rwd) Xem ACL m c nh c a vai trò R trong (/vo parent(g) , C:r) nhóm g ((g,R), Acl:rd) 3-3: Các tác v trong qu n tr VO và các quy n yêu c u. 68
  69. 3.3. DCH V TO DANH SÁCH TRUY C P EDG-MKGRIDMAP. i v i ng ưi dùng m i trên l ưi tính toán, sau khi hoàn thành b ưc ng ký và ưc ch p nh n là thành viên c a l ưi, h có quy n yêu c u tài nguyên th c hi n các bài toán trên l ưi. Trên các máy th c thi, làm th nào có th nh n bi t ng ưi dùng l ưi này có quy n s d ng tài nguyên hay không, n u có thì quy n h n ca h n âu. D ch v EDG-MKGRIDMAP là m t công c cho phép k t n i VO vi RP hay là ng ưi dùng v i tài nguyên. EDG-MKGRIDMAP là m t perl script, ưc phát tri n b i European Datagrid. Nhi m v c a EDG-MKGRIDMAP (EDG Make Gridmap) là t ươ ng tác vi các d ch v qu n lý ng ưi dùng m c trên nh ư VOMS, LDAP và sinh ra các tp gridmap theo yêu c u. C th , EDG-MKGRIDMAP thi t lp kênh thông tin an toàn v i VOMS server, sau ó nó l y các thông tin v ng ưi dùng trong VO. Trên các máy th c thi, ng ưi qu n tr tác ng vào EDG-MKGRIDMAP chính sách tài nguyên c c b c a mình. Chính sách này d a trên các th a thu n v i VO v tài nguyên óng góp, s quy nh các quy n h n nh c a ng ưi dùng l ưi trên tài nguyên c a h . Quy nh này ưc th c thi qua 2 b ưc. B ưc th nh t là t o ra các tài kho n cc b c n dùng và quy nh quy n s d ng tài nguyên óng góp cho các tài kho n cc b ó. B ưc ti p theo là quy nh các ng ưi dùng trên VO s ưc g n vào tài kho n nào. Các chính sách s d ng cc b này, k t h p v i danh sách các ng ưi dùng trong VO ưc truy xu t lúc ho t ng s là u vào c a quá trình t o ra các tp ánh x gridmap. u ra c a quá trình ưc các d ch v l ưi s d ng ki m tra quy n. Có r t nhi u công c gi ng nh ư EDG-MKGRIDMAP, ví d GUMS, nh ưng EDG-MKGRIDMAP v n ưc s d ng r ng rãi và ph bi n. Tuy quá trình ánh x còn c ng nh c, không h tr c ơ ch ánh x ng, nh ưng nh tính ơn gi n, g n nh , d s d ng; EDG-MKGRDIMAP hi n t i là m t d ch v không th tách r i trong c ng ng l ưi LCG/EGEE 69
  70. Ch ươ ng 4. KT QU TH NGHI M 4.1. H TH NG QU N LÝ NG I DÙNG L I TÍNH TOÁN Tác gi ã tham gia cùng nhóm nghiên c u l ưi AGP, thu c trung tâm tính toán hi u n ng cao HPCC (i H c Bách Khoa Hà N i) thi t k và xây d ng thành ph n b o v cho h th ng l ưi p tài li u in t GOODAS (Grid Oriented Online Document Analysing System). GOODAS là mt h thng lưi ph c v chia s , tra c u trong công tác nghiên c u và gi ng d y và so kh p tài li u liên tr ưng nh m phòng ch ng gian l n. H th ng ưc tri n khai th nghi m trên h th ng l ưi d li u c c b c a Trung tâm tính toán hi u n ng cao (Tr ưng i h c Bách Khoa Hà N i). L ưi c c b bao g m 10 máy desktop bàn có c u hình Pentium D 2.8GHz, b nh RAM 1,5GB, c ng 80GB. Middleware k t n i các máy trên v i nhau là Globus Toolkit 4, version 4.2.1. H iu hành s d ng Fedora 11. Máy ch thông tin trin khai VOMS là máy ch bkluster . An toàn b o m t cho h th ng g m 2 thành ph n: qu n lý ng lý l ưi và phân quy n trên VO; qu n lý ng ưi dùng và gi y u nhi m trên cng in t l ưi. Vì v y, h th ng th nghi m s thi t t 1 VOMS Server qu n lý VO và qu n tr tham gia l ưi. Mt máy ch khác s ph c v cho c ng in t l ưi, qu n lý ng ưi dùng và gi y u nhi m l ưi, ng th i thi t l p ki m soát truy nh p tài nguyên l ưi qua c ng in t . 10 máy desktop trong l ưi d li u s óng vai trò là các RP, s tri n khai d ch v ánh x . ưư -ư g ph n PH LC: CÀI T VOMS VÀ EDG-MKGRIDMAP. Ph n tri n khai c ng in t và dch v qu n lý gi y u nhi m ưc trình bày các ph n sau. 70
  71. 4.1.1. Gi i thi u h th ng GOODAS. Vn qu n lý các tài li u in t phân tán trên m ng t ra nhi u thách th c như qu n lý tài nguyên ng, các yêu c u an toàn b o m t và chia s . H th ng GOODAS ra i, d a trên vi c k t h p c a công ngh tính toán l ưi và mô hình t ch c o, nh m t o ra m t l ưi d li u v chia s và qu n lý các tài li u in t phân tán gi a các tr ưng i h c và trên ph m vi qu c gia. H th ng GOODAS ưc xây d ng theo ki n trúc phân t ng, các thành ph n u h ưng d ch v và ph c v các yêu c u c th . Các im m nh c a h th ng là tính kh m , tính thân thi n và duy trì h t ng an toàn b o m t l ưi trong su t v i ng ưi dùng. Hình 4- 1: Ki n trúc h th ng GOODAS - Tng tài nguyên: là các h th ng l ưu tr , h th ng máy tính và h t ng m ng có hi u n ng tính toán cao. - Tng trung gian : bao g m h t ng an toàn b o m t l ưi GSI, các d ch v truy n file, sao l ưu d li u, khám phá tài nguyên và d ch v qu n lý gi y u nhi m. 71
  72. - Tng dch v ng d ng : tng d ch v ng d ng cung c p các d ch v l ưi hưng ng d ng & h ưng ng ưi dùng, nh m t n d ng s c m nh mà h t ng l ưi mang l i. Trong ph m vi h th ng qu n lý tài li u in t , t ng ng d ng tri n khai các d ch v ti n ích nh ư qu n lý tài li u, tìm ki m, ánh ch m c, so kh p vn b n. - Tng trình di n: chính là cng in t l ưi (Cng in t l ưi), cung c p các kh n ng truy c p s d ng d ch v và tài nguyên l ưi. Cng in t l ưi làm trong su t s ph c t p c a l ưi t i ng ưi dùng, và là s l a ch n cho h u h t các lưi d li u l n trên th gi i hi n nay. Hình 4-2 minh ho mô hình tri n khai c a h th ng: Hình 4- 2: Mô hình tri n khai h th ng GOODAS 72
  73. Ng ưi dùng truy c p h th ng thô ư ưư ư ư ư ư 4.1.2. Mô hình b o m t cho GOODAS. Thi t k mô hình b o m t cho h th ng GOODAS ph i duy trì an toàn b o mt cho h t ng l ưi, nh ưng ph i b o m tính trong su t và thân thi n v i ng ưi dùng. Gi i pháp ưc l a ch n là vi c k t h p gi a qu n lý ng ưi dùng l ưi v i qu n lý ng ưi dùng portal và ng d ng t ch c o VO. Hình 4- 3: Mô hình b o m t cho GOODAS 73
  74. Mô hình bo v thông tin bao g m các thành ph n sau ây: Nhà cung c p ch ng ch s ( Online CA ): c p phát và ki m tra các ch ng ch s theo chu n X509 cho ng ưi dùng l ưi. Có r t nhi u nhà cung c p ch ng ch s khác nhau, tu theo m c ích s d ng và thi t l p h t ng an toàn b o m t c a các h th ng tính toán l ưi. Nhà cung c p ch ng ch My Proxy CA và Simple CA th ưng ưc dùng ph bi n trong các l ưi nghiên c u. Dch v qu n lý gi y u nhi m (Credential Management ): gi i pháp qu n lý gi y u nhi m ưc s d ng r ng rãi trong các h th ng tính toán l ưi hi n i ngày nay. D ch v bao g m kho l ưu tr gi y u nhi m ( Credential Repository ) và mt nhà ch ng th c th m quy n tr c tuy n ( MyProxy CA ) cho phép ng ưi dùng l y l i các gi y u nhi m l ưi khi c n. H th ng qu n lý t ch c o ( VO Management ): cung c p các gi y u nhi m m r ng, có thêm các thu c tính phân quy n c a VO cho c ng in t l ưi. Ngoài ra h th ng cung c p m t giao di n qu n tr riêng cho phép VO ng ký gia nh p l ưi và qu n lý các VO qua giao di n web. Cng in t l ưi ( VO Portal ): có kh n ng truy su t các gi y u nhi m c a VOMS hay My Proxy CA t kho l ưu tr MyProxy. Các gi y gi y u nhi m này ưc s d ng cho các d ch v l ưi có yêu c u h t ng an toàn b o m t l ưi GSI 4.2. THÀNH PH N QU N LÝ T CH C O Thành ph n này cho phép phân nhóm ng ưi dùng, gán vai trò, xác nh quy n truy nh p n các d ch v c a h th ng. Ngoài ra moun còn có ch c n ng qu n lý các t ch c o cho cho phép ng ưi dùng ng ký gia nh p VO. 4.2.1. S dng VOMS. ưươ ưưưưư ưư ư 74
  75. 4.2.1.1 Người dùng lưới và VOMS. ư ư ưư -ư a) ư dùng lư i, ng ư ph i có ch ng ch s ư ch ng ch s CA (ư c VOMS GOODAS tin t ư ng) GOODAS tin t ư ng bi các nhà cung c p ư th 1/. Ng ưi dùng s h u ch ng ch s ca các CA ưc VOMS Server tín nh n. Ng ưi dùng truy c p web admin c a VOMS Server, cung c p 1 s thông tin cá nhân, ng ý v i các iu kho n s d ng l ưi c a VO và n p ơn xin gia nh p. - C ch ng ch s : cn ph i thi t l p h t ng an toàn thông tin GSI c a Globus Toolkit v i các ch ng ch lưi hp l . Hình 4- 4ư - ư ư $openssl pkcs12 -export -in usercert.pem -inkey userkey.pem -out usercert.p12 Enter Export Password: Verifying - Enter Export Password: - ư - - 75