Hiện nay tính toán lưới đang nổi lên nhưmột công nghệnhiều hứa hẹn trong
tương lai, với khảnăng tập hợp các nguồn tài nguyên nhàn rỗi, nhằm hướng tới các
mục tiêu vềhiệu năng tính toán và khảnăng chia sẻ, truyền thông dữliệu. Nhiều
trung tâm nghiên cứu và các tổchức trên thếgiới đang áp dụng và triển khai công
nghệnày vào thực tiễn, mởra các khảnăng mới trong lĩnh vực công nghệthông tin
cũng nhưcác lĩnh vực khác.
Do đặc điểm đa dạng và không đồng nhất của các tổ chức và tài nguyên
trong lưới, vấn đềbảo mật trong lưới là một trong những vấn đề được quan tâm
hàng đầu. Có những vấn đềbảo mật mới chưa từng gặp trong các công nghệbảo
mật hiện tại cho hệthống tính toán phân tán truyền thống. Các thách thức vềan toàn
bảo mật được đưa ra nhưcác chính sách bảo mật liên miền cho lưới, các công nghệ
điều khiển truy nhập giữa các miền khác nhau.
Một vấn đềquan trọng đặt ra trong nghiên cứu an toàn bảo mật trên lưới là
việc quản lý bảo mật và danh sách điều khiển truy nhập trong một môi trường động
và có tính phân tán cao. Luận văn trình bày một giải pháp hoàn chỉnh cho việc quản
lý người dùng lưới, xác thực phân quyền và cho phép người dùng hay tổchức ảo
gia nhập mới. Giải pháp được phát triển trong lướitìm kiếm và so khớp tài liệu điện
tửliên trường GOODAS. Hệthống lưới được phát triển tại trung tâm tính toán hiệu
năng cao (HPCC) thuộc trường đại học Bách Khoa Hà Nội. Cấu trúc của luận văn
bao gồm các mục sau.
Chương I: Tổng quan vềtính toán lưới
Chương II: Nền tảng an toàn thông tin lưới GSI
Chương III: Hệthống quản lý tổchức ảo
Chương IV: Kết quảthửnghiệm
Kết luận, Phụlục & Tài liệu tham khảo được trình bày ởphần cuối của
luận văn.
111 trang |
Chia sẻ: lvbuiluyen | Lượt xem: 2147 | Lượt tải: 5
Bạn đang xem trước 20 trang tài liệu Luận văn Nghiên cứu việc đảm bảo an toàn thông tin trong hệ thống tính toán lưới, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
1
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
NGUYỄN VĂN TRUNG
NGHIÊN CỨU VIỆC ĐẢM BẢO AN TOÀN
THÔNG TIN TRONG HỆ THỐNG TÍNH
TOÁN LƯỚI
LUẬN VĂN THẠC SĨ
Hà Nội - 2011
2
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
NGUYỄN VĂN TRUNG
NGHIÊN CỨU VIỆC ĐẢM BẢO AN TOÀN
THÔNG TIN TRONG HỆ THỐNG TÍNH
TOÁN LƯỚI
Ngành: Công nghệ thông tin
Chuyên ngành: Hệ thống thông tin
Mã số: 60.48.05
LUẬN VĂN THẠC SĨ
NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS. Trịnh Nhật Tiến
Hà Nội - 2011
3
MỤC LỤC
MỤC LỤC .............................................................................................................. 1
DANH MỤC THUẬT NGỮ ................................................................................... 6
LỜI CAM ĐOAN .................................................................................................... 8
LỜI CẢM ƠN ....................................................................................................... 10
CHƯƠNG 1. TỔNG QUAN VỀ TÍNH TOÁN LƯỚI ..................................... 11
1.1. TÍNH TOÁN LƯỚI. ................................................................................... 11
1.1.1. Khái niệm Tính toán lưới. ..................................................................... 11
1.1.2. Lợi ích của Tính toán lưới. ................................................................... 13
1.1.3. Vấn đề cơ bản của một hệ thống lưới. ................................................... 15
1.1.4. Kiến trúc của một lưới .......................................................................... 16
1.2. VẤN ĐỀ AN TOÀN THÔNG TIN TRONG TÍNH TOÁN LƯỚI ............... 17
1.2.1. Các thách thức an toàn trong Tính toán lưới. ....................................... 18
1.2.2. Các chính sách bảo đảm an ninh cho hệ thống lưới .............................. 20
1.2.3. Kiến trúc an ninh cho hệ thống lưới ..................................................... 23
CHƯƠNG 2. NỀN TẢNG AN TOÀN THÔNG TIN LƯỚI GSI .................... 29
2.1. CÁC KHÁI NIỆM CƠ BẢN VỀ AN TOÀN THÔNG TIN ......................... 29
2.1.1. Mã hóa thông tin .................................................................................. 29
2.1.2. Hệ mã hóa khóa đối xứng. .................................................................... 30
2.1.3. Hệ mã hóa khóa phi đối xứng. .............................................................. 31
2.1.4. Chữ ký số .............................................................................................. 32
2.1.5. Chứng chỉ số. ........................................................................................ 33
2.1.6. Nhà cung cấp và quản lý chứng chỉ số. ................................................. 35
2.2. CƠ SỞ HẠ TẦNG AN TOÀN THÔNG TIN TRÊN LƯỚI. ........................ 37
2.2.1. Cơ sở hạ tầng mật mã khóa công khai. ................................................. 37
2.2.2. Bảo vệ thông tin mức thông điệp và mức giao vận. ............................... 38
2.2.3. Giấy ủy nhiệm lưới. .............................................................................. 39
2.2.4. Sự ủy quyền. ......................................................................................... 39
2.2.5. Chứng thực trong GSI. .......................................................................... 40
2.2.6. Ứng dụng của GSI. ............................................................................... 40
2.3. BỘ CÔNG CỤ GLOBUS TOOLKIT 4.0. ................................................... 41
2.3.1. Thành phần chính của Globus Toolkit. ................................................. 41
2.3.2. An toàn bảo mật trong Globus Toolkit. ................................................. 45
2.3.3. Minh họa cài đặt cơ chế an toàn bảo mật cho dịch vụ GRAM. .............. 47
4
CHƯƠNG 3. HỆ THỐNG QUẢN LÝ TỔ CHỨC ẢO ................................... 50
3.1. TỔ CHỨC ẢO. ........................................................................................... 50
3.1.1. Khái niệm tổ chức ảo. ........................................................................... 50
3.1.2. Tổ chức ảo và tài nguyên lưới. .............................................................. 51
3.1.3. Thông tin người dùng trong tổ chức ảo. ................................................ 53
3.1.3.1 Cấu trúc tổ chức ảo. ........................................................................ 53
3.1.3.2 Thông tin người dùng. ..................................................................... 54
3.1.3.3 Định dạng thông tin VO. ................................................................. 55
3.1.3.4 Thông tin về các quyền người dùng với RP. .................................... 55
3.2. HỆ THỐNG QUẢN LÝ TỔ CHỨC ẢO. ..................................................... 56
3.2.1. Người dùng với VOMS. ......................................................................... 57
3.2.1.1 Người dùng lưới với VOMS. ........................................................... 57
3.2.1.2 Người quản trị với VOMS ............................................................... 60
3.2.2. Dịch vụ VOMS. ..................................................................................... 61
3.2.2.1 Dịch vụ sinh thuộc tính AAS. .......................................................... 62
3.2.2.2 Dịch vụ đăng ký & quản trị ARS. .................................................... 63
3.2.3. Phân quyền người dùng trong VOMS. .................................................. 64
3.2.3.1 Danh sách điều khiển truy cập. ........................................................ 64
3.2.3.2 Quyền thực hiện các tác vụ quản lý VO trong VOMS. .................... 65
3.3. DỊCH VỤ TẠO DANH SÁCH TRUY CẬP EDG-MKGRIDMAP. ............. 69
CHƯƠNG 4. KẾT QUẢ THỬ NGHIỆM ........................................................ 70
4.1. HỆ THỐNG QUẢN LÝ NGƯỜI DÙNG LƯỚI TÍNH TOÁN ..................... 70
4.1.1. Giới thiệu hệ thống GOODAS. .............................................................. 71
4.1.2. Mô hình bảo mật cho GOODAS. ........................................................... 73
4.2. THÀNH PHẦN QUẢN LÝ TỔ CHỨC ẢO ................................................. 74
4.2.1. Sử dụng VOMS. .................................................................................... 74
4.2.1.1 Người dùng lưới và VOMS. ............................................................ 75
4.2.1.2 Người quản trị và VOMS. ............................................................... 78
4.2.2 Sử dụng EDG-MKGRIDMAP. .......................................................... 86
4.3. THÀNH PHẦN QUẢN LÝ GIẤY UỶ NHIỆM ........................................... 86
4.3.1. Cổng điện tử lưới. ................................................................................. 86
4.3.1. Mô hình uỷ quyền truy nhập trên cổng điện tử lưới. .............................. 88
4.3.3. Dịch vụ quản lý giấy uỷ nhiệm. ............................................................. 89
4.4 MỘT SỐ HABN CHÊ C ỦA VOMS. ............................................................... 92
4.4.1 Hạn chế của VOMS. .............................................................................. 92
4.4.2 Hạn chế của EDG-MKGRIDMAP. ........................................................ 93
4.5. HƯỚNG PHÁT TRIỂN CỦA VOMS .......................................................... 94
5
4.5.1 VOMRS kết hợp cùng VOMS. ................................................................ 94
4.5.1.1 Tổng quan về VOMRS. ................................................................... 94
4.5.1.2 Đồng bộ VOMRS và VOMS. .......................................................... 96
4.5.2 GUMS & PRIMA thay thế EDG-MKGRIDMAP. ................................... 97
KẾT LUẬN .......................................................................................................... 99
TÀI LIỆU THAM KHẢO ..................................................................................100
PHỤ LỤC: CÀI ĐẶT VOMS VÀ EDG-MKGRIDMAP. .................................101
1. CÀI ĐẶT VOMS. ........................................................................................101
1.1. Chuẩn bị hệ thống ..................................................................................101
1.2. Cài đặt VOMS ........................................................................................102
2. CÀI ĐẶT EDG-MKGRIDMAP. ..................................................................104
2.1. Chuẩn bị hệ thống ..................................................................................104
2.2. Cài đặt EDG-MKGRIDMAP ..................................................................104
3. CẤU HÌNH HỆ THỐNG ..................................................................................105
3.1. Cấu hình VOMS......................................................................................105
3.2. Cấu hình VO. ..........................................................................................107
3.3. Cấu hình EDG-MKGRIDMAP. ...............................................................111
6
DANH MỤC THUẬT NGỮ
Từ viết tắt Nghĩa tiếng Anh Chú giải
AAS Attribute Authority Service Dịch vụ phân quyên thuộc tính
AC Attribute Certificate Chứng nhận thuộc tính
ACL Access Control Lists Danh sách điều khiển quyền truy
cập
ARS Administration and
Registration Service
Dịch vụ đăng ký và quản trị
CA Certificate Authority Nhà cung cấp và quản lý chứng chỉ
số
CAS Community Authorization Dịch vụ thẩm quyền cộng đồng
DN Distinguished Name Tên phân biệt người dùng trong lưới
EDG-
MKGRIDMAP
EDG Make Gridmap Công cụ tự động ánh xạ người dụng
cục bộ và người dùng thuộc VO.
FTP File Transfer Protocol Giao thức truyền file qua mạng TCP
GOODAS Grid Oriented Online
Document Analysing
System
Hệ thống lưới tìm kiếm và so khớp
tài liệu điện tử
GRAM Globus Resource
Allocation Management
Quản lý định vị tài nguyên lưới
GRIM Grid Resource Identity
Mapper
Ánh xạ thực thể tài nguyên lưới
GSI Grid Security infrastructure Hạ tầng an toàn thông tin lưới
GSS-API Generic Security Service
Application Program
Interface
Giao diện lập trình ứng dụng dịch
vụ bảo mật chung
GT Globus Toolkit Bộ công cụ được phát triển bởi
Globus Alliance, dùng để phát triển
các ứng dụng lưới
GUMS Grid User Management
System
Hệ thống quản lý người dùng lưới
LMJFS Local Managed Job
Factory Services
Dịch vụ sinh MJS địa phương
MJS Managed Job Service Dịch vụ quản lý công việc
MMJFS Master Managed Job
Factory Service
Trình chủ sinh MJS
7
OGSA Open Grid Service
Architecture
Kiến trúc dịch vụ lưới
PKI Public Key Infrastructure Hạ tầng khóa công khai
PRIMA PRivilige Management and
Authorization
Dịch vụ quản lý ưu tiên và phân
quyền
RP Resource Provider Nhà cung cấp tài nguyên
SAML Security Assertion Markup
Language
Ngôn ngữ đánh dấu liên kết an toàn
SOA Service Oriented
Architecture
Kiến trúc hướng dịch vụ
SOAP Simple Object Acess
Protocol
Giao thức truy cập đối tượng đơn
giản
SSL Secure Sockets Layer Giao thức bảo mật lớp sockets
TLS Transport Layer Security Giao thức bảo mật tầng giao vận
VO Virtual Organization Tổ chức ảo
VOMRS Virtual Organization
Management Registration
Service
Dịch vụ quản lý đăng ký tổ chức ảo
VOMS Virtual Organization
Membership Service
Dịch vụ thành viên tổ chức ảo
WS Web Service Dịch vụ web
WSDD Web Service Deployment
Descriptor
Ngôn ngữ đặc tả dịch vụ Web
WSRF Web Services Resource
Framework
Framework đưa ra bởi GT4 hỗ trợ
kiến trúc lập trình mới
8
LỜI MỞ ĐẦU
Hiện nay tính toán lưới đang nổi lên như một công nghệ nhiều hứa hẹn trong
tương lai, với khả năng tập hợp các nguồn tài nguyên nhàn rỗi, nhằm hướng tới các
mục tiêu về hiệu năng tính toán và khả năng chia sẻ, truyền thông dữ liệu. Nhiều
trung tâm nghiên cứu và các tổ chức trên thế giới đang áp dụng và triển khai công
nghệ này vào thực tiễn, mở ra các khả năng mới trong lĩnh vực công nghệ thông tin
cũng như các lĩnh vực khác.
Do đặc điểm đa dạng và không đồng nhất của các tổ chức và tài nguyên
trong lưới, vấn đề bảo mật trong lưới là một trong những vấn đề được quan tâm
hàng đầu. Có những vấn đề bảo mật mới chưa từng gặp trong các công nghệ bảo
mật hiện tại cho hệ thống tính toán phân tán truyền thống. Các thách thức về an toàn
bảo mật được đưa ra như các chính sách bảo mật liên miền cho lưới, các công nghệ
điều khiển truy nhập giữa các miền khác nhau.
Một vấn đề quan trọng đặt ra trong nghiên cứu an toàn bảo mật trên lưới là
việc quản lý bảo mật và danh sách điều khiển truy nhập trong một môi trường động
và có tính phân tán cao. Luận văn trình bày một giải pháp hoàn chỉnh cho việc quản
lý người dùng lưới, xác thực phân quyền và cho phép người dùng hay tổ chức ảo
gia nhập mới. Giải pháp được phát triển trong lưới tìm kiếm và so khớp tài liệu điện
tử liên trường GOODAS. Hệ thống lưới được phát triển tại trung tâm tính toán hiệu
năng cao (HPCC) thuộc trường đại học Bách Khoa Hà Nội. Cấu trúc của luận văn
bao gồm các mục sau.
Chương I: Tổng quan về tính toán lưới
Chương II: Nền tảng an toàn thông tin lưới GSI
Chương III: Hệ thống quản lý tổ chức ảo
Chương IV: Kết quả thử nghiệm
Kết luận, Phụ lục & Tài liệu tham khảo được trình bày ở phần cuối của
luận văn.
9
LỜI CAM ĐOAN
Tôi xin cam kết rằng nội dung của bản báo cáo này chưa được nộp cho bất
kỳ một chương trình cấp bằng thạc sĩ nào cũng nhưu bất kỳ một chương trình cấp
bằng nào khác.
Tôi xin cam đoan kết quả đạt được trong luận văn là sản phẩm nghiên cứu,
tìm hiểu của riêng cá nhân tôi. Trong toàn bộ nội dung của luận văn, những điều
được trình bày hoặc là của cá nhân tôi hoặc là được tổng hợp từ nhiều nguồn tài
liệu. Tất cả các tài liệu tham khảo đều có xuất xứ rõ ràng và được trích dẫn hợp
pháp.
Tôi xin hoàn chịu trách nhiệm và chịu mọi hình thức kỷ luật theo quy
định cho lời cam đoan của mình.
Học viên
Nguyễn Văn Trung
10
LỜI CẢM ƠN
Trước hết, tác giả xin bày tỏ lòng biết ơn sâu sắc nhất tới thầy giáo hướng
dẫn PGS.TS. Trịnh Nhật Tiến về những ý kiến đóng góp về chuyên môn và sự
động viên khích lệ của thầy trong suốt quá trình làm nghiên cứu của tôi.
Tôi xin gửi lời cám ơn trân trọng tới GS.TS. Nguyễn Thanh Thủy, Giám
đốc Trung tâm Tính toán hiệu năng cao Trường Đại học Bách Khoa Hà Nội. Thầy
đã tạo mọi điều kiện về cơ sở vật chất và tinh thần cho tôi trong quá trình nghiên
cứu tại trung tâm.
Tôi cũng xin được gửi tới Khoa Công nghệ thông tin, Trường Đại học
Công nghệ, Đại học Quốc Gia Hà Nội cùng toàn thể các thầy cô, anh chị và các bạn
lời cảm ơn chân thành về sự giúp đỡ nhiệt tình, vô giá trong quá trình nghiên cứu và
học tập tại đây.
Và cuối cùng tôi xin gửi lời cảm ơn gia đình, bố, mẹ, vợ con tôi về sự hỗ trợ
không thể thiếu của họ. Tình yêu của họ, sự khích lệ, động viên, sự quan tâm, chăm
sóc của họ đã giúp tôi vượt qua tất cả khó khăn để theo học chương trình và hoàn
thiện bản luận văn cuối khoá này. Tôi xin chân thành cảm ơn!
11
Chương 1. TỔNG QUAN VỀ TÍNH TOÁN LƯỚI
1.1. TÍNH TOÁN LƯỚI.
1.1.1. Khái niệm Tính toán lưới.
Ngày nay, với sự phát triển vượt bậc của khoa học kỹ thuật và công nghệ, đã
xuất hiện những bài toán trong nhiều lĩnh vực đòi hỏi sức mạnh tính toán mà một
máy tính riêng lẻ không thể đảm trách. Tính toán lưới ra đời nhằm tạo khả năng
chia sẻ tài nguyên trên phạm vi toàn cầu, khả năng tận dụng các phần mềm cũng
như tài nguyên vật lý phân tán cả về mặt địa lý.
Hình 1-1: Tính toán lưới
- Định nghĩa 1:
Lưới tính toán là một cơ sở hạ tầng phần cứng và phần mềm cung cấp khả
năng truy nhập nhất quán, tin cậy, qui mô và rẻ tới các tài nguyên tính toán mạnh.
I. Foster, C. Kesselman (1999)
- Định nghĩa 2:
Tính toán lưới liên quan tới việc chia sẻ, điều phối tài nguyên và giải quyết
vấn đề trong phạm vi các tổ chức ảo.
I. Foster, C. Kesselman, S. Tuecke, “Anatomy of the Grid“(2000)
12
- Định nghĩa 3:
Lưới tính toán là một hệ thống có các đặc trưng sau:
• Tài nguyên được điều phối một cách phi tập trung
• Sử dụng các giao thức chuẩn, mở và đa năng
• Cung cấp chất lượng dịch vụ không tầm thường
I. Foster‘s Three-Point Checklist (HPCWIRE - 22.07.2002).
Mỗi tác giả khi đưa ra định nghĩa đều đứng trên một số quan niệm nhất định.
Chẳng hạn định nghĩa 1 bị ảnh hưởng một cách sâu sắc bởi các dự án siêu tính toán
(meta-computing) trước đó. Định nghĩa 2 tập trung vào sự quan trọng của các giao
thức như là phương tiện để tương tác giữa các thành phần, còn định nghĩa 3 “có thể
sẽ thích hợp hơn cho các nghiên cứu về lưới có qui mô rất lớn trong tương lai. Định
nghĩa này đã bỏ qua nhiều đóng góp từ các tổ chức công nghiệp, do đó có lẽ là
không xác đáng” (W. Gentzsch, HPCWIRE 05.08.2002).
Vì vậy, để có được một cái nhìn toàn diện về lưới, ta không đưa ra một định
nghĩa cụ thể nào. Thay vào đó, chúng ta xem xét khái niệm lưới trên cơ sở các đặc
trưng sau:
- Kích thước lớn: theo nghĩa số lượng các tài nguyên tiềm tàng và khoảng cách về
mặt địa lý giữa chúng.
- Phân tán: có độ trễ đáng kể trong truyền dữ liệu và điều này có thể ảnh hưởng
lớn đến ứng dụng.
- Động: các tài nguyên có thể thay đổi khi ứng dụng đang được thực hiện
- Hỗn tạp: kiến trúc và tính chất của các nút lưới có thể là hoàn toàn khác nhau
- Vượt qua phạm vi một tổ chức: có nhiều trạm và các chính sách truy nhập có thể
khác nhau trên các trạm.
Có thể hình dung đơn giản một lưới bao gồm một tập các tài nguyên đa dạng
(còn gọi là các nút lưới - có thể là PC, cluster, hệ thống lưu trữ, …) thuộc về nhiều
tổ chức nhằm giải quyết một bài toán nào đó.
13
1.1.2. Lợi ích của Tính toán lưới.
1/. Khai thác các tài nguyên nhàn rỗi
Một trong những lợi ích cơ bản của tính toán lưới là khả năng chạy ứng dụng
trên một tài nguyên khác. Thống kê cho thấy, đối với các máy tính để bàn, trong một
ngày làm việc thì chỉ có khoảng 5% thời gian là bận, còn lại là rỗi [2]. Việc tận dụng
khoảng thời gian rỗi này để chạy các ứng dụng khác là một việc làm rất hiệu quả và
kinh tế.
2/. Cung cấp khả năng xử lý song song
Khả năng chạy ứng dụng song song là tính năng thú vị nhất mà tính toán lưới
mang lại. Lúc này, một công việc được chia thành nhiều công việc con, các công việc
con này được thực hiện đồng thời trên các tài nguyên khác nhau của lưới. Do đó, thời
gian chạy ứng dụng sẽ được rút ngắn nhiều lần.
Tuy nhiên, vấn đề là không phải ứng dụng nào cũng có thể triển khai theo cách
này được. Cần xem xét các yếu tố như khả năng song song hóa, sự trao đổi giữa các
công việc con khi chạy để đánh giá xem một ứng dụng có thực sự hiệu quả khi được
triển khai trên lưới hay không.
3/. Giúp hợp tác giữa các tổ chức
Sự hợp tác được thể hiện thông qua khái niệm tổ chức ảo - sự kết hợp nhiều tổ
chức thực cùng mục tiêu. Thông qua mô hình tổ chức ảo, các tổ chức thực có thể chia
sẻ tài nguyên như dữ liệu, các thiết bị đặc biệt.
4/. Giúp truy nhập các tài nguyên khác:
Ngoài tài nguyên tính toán và lưu trữ, lưới còn cung cấp các loại tài nguyên
khác, chẳng hạn đường truyền mạng, các phần mềm đắt tiền. Ví dụ như nếu một
người dùng muốn tăng thông lượng kết nối tới Internet để thực hiện khai phá dữ liệu,
anh ta có thể tận dụng các kết nối Internet riêng biệt của các nút lưới khác để chạy bài
toán trên.
5/. Giúp cân bằng trong sử dụng tài nguyên
Lưới cung cấp khả năng lập lịch, giúp phân bổ các công việc lên các nút một
cách hợp lý, tránh tình trạng bị quá tải ở bất kì một nút nào.
14
Hình 1-2: Công việc được chuyển sang các nút ít bận hơn
6/. Mang lại độ tin cậy
Khái niệm tin cậy trong tính toán lưới được thể hiện ở các khía cạnh sau: một
là, trong lưới có những tài nguyên tính t