1. Trang chủ
  2. » Luận Văn - Báo Cáo

(LUẬN VĂN THẠC SĨ) Nghiên cứu việc đảm bảo an toàn thông tin trong hệ thống tính toán lưới

111 3 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 111
Dung lượng 4,85 MB

Cấu trúc

  • CHƯƠNG 1. TỔNG QUAN VỀ TÍNH TOÁN LƯỚI (0)
    • 1.1. TÍNH TOÁN LƯỚI (11)
      • 1.1.1. Khái niệm Tính toán lưới (11)
      • 1.1.2. Lợi ích của Tính toán lưới (13)
      • 1.1.3. Vấn đề cơ bản của một hệ thống lưới (15)
      • 1.1.4. Kiến trúc của một lưới (16)
    • 1.2. VẤN ĐỀ AN TOÀN THÔNG TIN TRONG TÍNH TOÁN LƯỚI (17)
      • 1.2.1. Các thách thức an toàn trong Tính toán lưới (18)
      • 1.2.2. Các chính sách bảo đảm an ninh cho hệ thống lưới (20)
      • 1.2.3. Kiến trúc an ninh cho hệ thống lưới (23)
  • CHƯƠNG 2. NỀN TẢNG AN TOÀN THÔNG TIN LƯỚI GSI (0)
    • 2.1. CÁC KHÁI NIỆM CƠ BẢN VỀ AN TOÀN THÔNG TIN (29)
      • 2.1.1. Mã hóa thông tin (29)
      • 2.1.2. Hệ mã hóa khóa đối xứng (30)
      • 2.1.3. Hệ mã hóa khóa phi đối xứng (31)
      • 2.1.4. Chữ ký số (32)
      • 2.1.5. Chứng chỉ số (33)
      • 2.1.6. Nhà cung cấp và quản lý chứng chỉ số (35)
    • 2.2. CƠ SỞ HẠ TẦNG AN TOÀN THÔNG TIN TRÊN LƯỚI (37)
      • 2.2.1. Cơ sở hạ tầng mật mã khóa công khai (37)
      • 2.2.2. Bảo vệ thông tin mức thông điệp và mức giao vận (38)
      • 2.2.3. Giấy ủy nhiệm lưới (39)
      • 2.2.4. Sự ủy quyền (39)
      • 2.2.5. Chứng thực trong GSI (40)
      • 2.2.6. Ứng dụng của GSI (40)
    • 2.3. BỘ CÔNG CỤ GLOBUS TOOLKIT 4.0 (41)
      • 2.3.1. Thành phần chính của Globus Toolkit (41)
      • 2.3.2. An toàn bảo mật trong Globus Toolkit (45)
      • 2.3.3. Minh họa cài đặt cơ chế an toàn bảo mật cho dịch vụ GRAM (47)
        • 3.1.3.1 Cấu trúc tổ chức ảo (53)
        • 3.1.3.2 Thông tin người dùng (54)
        • 3.1.3.3 Định dạng thông tin VO (55)
        • 3.1.3.4 Thông tin về các quyền người dùng với RP (55)
    • 3.2. HỆ THỐNG QUẢN LÝ TỔ CHỨC ẢO (56)
      • 3.2.1. Người dùng với VOMS (57)
        • 3.2.1.1 Người dùng lưới với VOMS (57)
        • 3.2.1.2 Người quản trị với VOMS (60)
      • 3.2.2. Dịch vụ VOMS (61)
        • 3.2.2.1 Dịch vụ sinh thuộc tính AAS (62)
        • 3.2.2.2 Dịch vụ đăng ký & quản trị ARS (63)
      • 3.2.3. Phân quyền người dùng trong VOMS (64)
        • 3.2.3.1 Danh sách điều khiển truy cập (64)
        • 3.2.3.2 Quyền thực hiện các tác vụ quản lý VO trong VOMS (65)
    • 3.3. DỊCH VỤ TẠO DANH SÁCH TRUY CẬP EDG-MKGRIDMAP (69)
  • CHƯƠNG 4. KẾT QUẢ THỬ NGHIỆM (0)
    • 4.1. HỆ THỐNG QUẢN LÝ NGƯỜI DÙNG LƯỚI TÍNH TOÁN (70)
      • 4.1.1. Giới thiệu hệ thống GOODAS (71)
      • 4.1.2. Mô hình bảo mật cho GOODAS (73)
    • 4.2. THÀNH PHẦN QUẢN LÝ TỔ CHỨC ẢO (74)
      • 4.2.1. Sử dụng VOMS (74)
        • 4.2.1.1 Người dùng lưới và VOMS (75)
        • 4.2.1.2 Người quản trị và VOMS (78)
      • 4.2.2 Sử dụng EDG-MKGRIDMAP (86)
    • 4.3. THÀNH PHẦN QUẢN LÝ GIẤY UỶ NHIỆM (86)
      • 4.3.1. Cổng điện tử lưới (86)
      • 4.3.1. Mô hình uỷ quyền truy nhập trên cổng điện tử lưới (88)
      • 4.3.3. Dịch vụ quản lý giấy uỷ nhiệm (89)
    • 4.4 MỘT SỐ HA B N CHÊ C CỦA VOMS (0)
  • TÀI LIỆU THAM KHẢO (100)
    • 1. C ÀI ĐẶT VOMS (101)
      • 1.1. Chuẩn bị hệ thống (101)
      • 1.2. Cài đặt VOMS (102)
    • 2. C ÀI ĐẶT EDG-MKGRIDMAP (104)
      • 2.1. Chuẩn bị hệ thống (104)
      • 2.2. Cài đặt EDG-MKGRIDMAP (104)
    • 3. C ẤU HÌNH HỆ THỐNG (105)
      • 3.1. Cấu hình VOMS (105)
      • 3.2. Cấu hình VO (107)
      • 3.3. Cấu hình EDG-MKGRIDMAP (0)

Nội dung

TỔNG QUAN VỀ TÍNH TOÁN LƯỚI

TÍNH TOÁN LƯỚI

1.1.1 Khái niệm Tính toán lưới

Trong bối cảnh khoa học kỹ thuật và công nghệ phát triển mạnh mẽ, nhiều bài toán phức tạp xuất hiện, đòi hỏi sức mạnh tính toán vượt qua khả năng của một máy tính đơn lẻ Tính toán lưới đã ra đời để chia sẻ tài nguyên toàn cầu, tối ưu hóa việc sử dụng phần mềm và tài nguyên vật lý phân tán về mặt địa lý.

Lưới tính toán là hạ tầng kết hợp giữa phần cứng và phần mềm, mang đến khả năng truy cập ổn định, đáng tin cậy, có thể mở rộng và tiết kiệm chi phí cho các tài nguyên tính toán mạnh mẽ.

Tính toán lưới liên quan tới việc chia sẻ, điều phối tài nguyên và giải quyết vấn đề trong phạm vi các tổ chức ảo

I Foster, C Kesselman, S Tuecke, “Anatomy of the Grid“(2000)

Lưới tính toán là một hệ thống có các đặc trưng sau:

• Tài nguyên được điều phối một cách phi tập trung

• Sử dụng các giao thức chuẩn, mở và đa năng

• Cung cấp chất lượng dịch vụ không tầm thường

I Foster‘s Three-Point Checklist (HPCWIRE - 22.07.2002)

Mỗi tác giả đưa ra định nghĩa dựa trên những quan niệm nhất định, như định nghĩa 1 chịu ảnh hưởng sâu sắc từ các dự án siêu tính toán trước đó Định nghĩa 2 nhấn mạnh tầm quan trọng của các giao thức trong việc tương tác giữa các thành phần, trong khi định nghĩa 3 có thể phù hợp hơn cho các nghiên cứu về lưới quy mô lớn trong tương lai Tuy nhiên, định nghĩa này đã bỏ qua nhiều đóng góp từ các tổ chức công nghiệp, dẫn đến khả năng không chính xác (W Gentzsch, HPCWIRE 05.08.2002).

Để hiểu rõ về lưới, chúng ta không nên đưa ra một định nghĩa cụ thể mà thay vào đó, cần xem xét khái niệm lưới dựa trên các đặc trưng nổi bật của nó.

- Kích thước lớn: theo nghĩa số lượng các tài nguyên tiềm tàng và khoảng cách về mặt địa lý giữa chúng

- Phân tán: có độ trễ đáng kể trong truyền dữ liệu và điều này có thể ảnh hưởng lớn đến ứng dụng

- Động: các tài nguyên có thể thay đổi khi ứng dụng đang được thực hiện

- Hỗn tạp: kiến trúc và tính chất của các nút lưới có thể là hoàn toàn khác nhau

- Vượt qua phạm vi một tổ chức: có nhiều trạm và các chính sách truy nhập có thể khác nhau trên các trạm

Một lưới bao gồm nhiều tài nguyên đa dạng, hay còn gọi là các nút lưới, như máy tính cá nhân, cụm máy chủ và hệ thống lưu trữ, thuộc về nhiều tổ chức khác nhau, nhằm mục đích giải quyết các bài toán cụ thể.

1.1.2 Lợi ích của Tính toán lưới

1/ Khai thác các tài nguyên nhàn rỗi

Tính toán lưới mang lại lợi ích lớn khi cho phép chạy ứng dụng trên các tài nguyên khác Thống kê cho thấy, trong một ngày làm việc, máy tính để bàn chỉ sử dụng khoảng 5% thời gian, trong khi 95% còn lại là thời gian rỗi Tận dụng thời gian rỗi này để chạy các ứng dụng khác không chỉ hiệu quả mà còn tiết kiệm chi phí.

2/ Cung cấp khả năng xử lý song song

Khả năng chạy ứng dụng song song là một trong những tính năng nổi bật của tính toán lưới, cho phép chia nhỏ một công việc thành nhiều công việc con Những công việc con này được thực hiện đồng thời trên các tài nguyên khác nhau của lưới, giúp rút ngắn đáng kể thời gian chạy ứng dụng.

Không phải tất cả các ứng dụng đều có thể triển khai hiệu quả trên lưới Để đánh giá khả năng này, cần xem xét các yếu tố như khả năng song song hóa và sự trao đổi giữa các công việc con trong quá trình chạy.

3/ Giúp hợp tác giữa các tổ chức

Sự hợp tác giữa các tổ chức được thể hiện qua khái niệm tổ chức ảo, nơi nhiều tổ chức thực có cùng mục tiêu Mô hình tổ chức ảo cho phép các tổ chức chia sẻ tài nguyên như dữ liệu và thiết bị đặc biệt, nâng cao hiệu quả hoạt động.

4/ Giúp truy nhập các tài nguyên khác:

Lưới không chỉ cung cấp tài nguyên tính toán và lưu trữ mà còn bao gồm các tài nguyên khác như đường truyền mạng và phần mềm đắt tiền Chẳng hạn, người dùng có thể tăng cường thông lượng kết nối Internet để thực hiện khai thác dữ liệu bằng cách tận dụng các kết nối Internet riêng biệt từ các nút lưới khác để chạy các bài toán.

5/ Giúp cân bằng trong sử dụng tài nguyên

Lưới cung cấp khả năng lập lịch hiệu quả, cho phép phân bổ công việc hợp lý giữa các nút, từ đó ngăn chặn tình trạng quá tải ở bất kỳ nút nào.

Hình 1-2: Công việc được chuyển sang các nút ít bận hơn

6/ Mang lại độ tin cậy

Khái niệm tin cậy trong tính toán lưới bao gồm một số khía cạnh quan trọng: trước hết, lưới chứa các tài nguyên tính toán đắt giá, đảm bảo độ tin cậy cao cho các bài toán Thứ hai, lưới có khả năng lập lịch lại và phân bổ công việc khi xảy ra lỗi Cuối cùng, một công việc có thể được thực hiện đồng thời trên nhiều nút, giúp bảo vệ kết quả khỏi ảnh hưởng của lỗi ở một nút cụ thể.

1.1.3 Vấn đề cơ bản của một hệ thống lưới

Có 4 vấn đề cơ bản được quan tâm trong tính toán lưới [3], đó là:

1/ An toàn và bảo mật (Security)

Một nền tảng an toàn và bảo mật vững chắc là yếu tố quyết định cho sự phát triển của môi trường tính toán lưới Với quy mô lớn và mối quan hệ chia sẻ tài nguyên giữa nhiều tổ chức, an toàn và bảo mật cần được ưu tiên hàng đầu Hai vấn đề quan trọng trong an toàn bảo mật cần xem xét trong tính toán lưới là

- Chứng thực người dùng (Authentication)

- Xác thực thẩm quyền (Authorization)

2/ Lập lịch và quản lý tài nguyên (Resource Management and Scheduling)

Tài nguyên lưới thường phân tán và không đồng nhất, vì vậy việc tích hợp, đồng bộ hóa và biểu diễn chúng một cách thống nhất là rất cần thiết Trong môi trường tính toán lưới, nhiều ứng dụng có thể cùng lúc truy cập và chia sẻ các tài nguyên khác nhau, do đó cần có bộ lập lịch để tối ưu hóa các công việc Bộ lập lịch này phải dựa vào thông tin toàn bộ lưới để quyết định thứ tự đệ trình công việc.

Dịch vụ thông tin đóng vai trò quan trọng trong môi trường tính toán lưới, nơi mà các thành phần luôn thay đổi Để đảm bảo tính chính xác và kịp thời, dịch vụ này cần cung cấp cơ chế tự động cập nhật và đăng ký thông tin về kiến trúc tài nguyên, các dịch vụ khả dụng trên lưới, cũng như trạng thái tổng thể của môi trường lưới.

4/ Quản lý dữ liệu (Data Management)

VẤN ĐỀ AN TOÀN THÔNG TIN TRONG TÍNH TOÁN LƯỚI

Vấn đề an toàn thông tin trong lưới ngày càng trở nên quan trọng do đặc điểm hỗn tạp và không đồng nhất của các tổ chức và tài nguyên Các công nghệ an toàn thông tin hiện tại chưa đáp ứng được những thách thức mới trong hệ thống tính toán phân tán, đặc biệt là trong các tính toán song song cần nhiều tài nguyên Điều này yêu cầu thiết lập các mối quan hệ an toàn thông tin phức tạp giữa hàng trăm tiến trình trong không gian nhiều miền quản trị Hơn nữa, cần có chính sách an toàn thông tin liên miền và công nghệ điều khiển truy cập giữa các miền khác nhau Các ứng dụng trong lưới cần đáp ứng các chức năng cơ bản của an toàn thông tin như chứng thực, điều khiển truy cập và toàn vẹn, đồng thời lựa chọn giải pháp phù hợp với các đặc tính riêng của lưới.

Khi bắt đầu một tính toán yêu cầu tài nguyên, người dùng sẽ được chứng thực và không cần phải chứng thực lại trong các tính toán tiếp theo.

- Gi ấ y ủ y nhi ệ m ng ườ i dùng:

Các mật khẩu, khóa bí mật phải được bảo vệ bằng các chính sách như mã hóa, hệ thống file bảo mật, phân quyền,

- Tích h ợ p các gi ả i pháp an toàn thông tin đị a ph ươ ng:

Các giải pháp liên miền phải tích hợp với các giải pháp an toàn thông tin địa phương để đảm bảo độc lập của các thành viên lưới

- H ạ t ầ ng gi ấ y ủ y nhi ệ m, ch ứ ng ch ỉ s ố th ố ng nh ấ t:

Truy nhập liên miền yêu cầu một quy ước thống nhất để biểu diễn định danh của các thực thể trong mạng, bao gồm người dùng và tài nguyên Do đó, cần thiết lập một chuẩn mã hóa cho các chứng chỉ số nhằm đảm bảo an toàn thông tin Hiện nay, chuẩn X509 được công nhận là tiêu chuẩn phổ biến cho các chứng chỉ số trong môi trường mạng.

- H ỗ tr ợ an toàn nhóm truy ề n thông:

Một tính toán có thể yêu cầu nhiều tiến trình làm việc cùng nhau như một nhóm, và sự tổ hợp của các nhóm tiến trình sẽ thay đổi trong suốt vòng đời của tính toán Do đó, việc đảm bảo an toàn trong truyền thông giữa các nhóm là rất cần thiết Tuy nhiên, hiện tại không có giải pháp nào hỗ trợ tính năng này, kể cả thư viện lập trình GSS-API cũng không cung cấp an toàn cho truyền thông nhóm.

Các chính sách không chỉ tập trung vào một công nghệ phát triển ứng dụng cụ thể, mà còn có thể áp dụng cho nhiều công nghệ an toàn thông tin khác nhau Những chính sách này được xây dựng dựa trên các kỹ thuật mã hóa công khai và phân phối khóa công khai, nhằm đảm bảo tính bảo mật và hiệu quả trong việc triển khai công nghệ.

1.2.1 Các thách thức an toàn trong Tính toán lưới

Các yêu cầu an toàn lưới nhằm tạo ra các tổ chức ảo phân tán để chia sẻ và sử dụng tài nguyên đa dạng trong một mô hình thống nhất Tuy nhiên, các tài nguyên và thành phần tham gia lưới vẫn bị quản lý bởi các quy định và chính sách của tổ chức truyền thống mà chúng thuộc về Để các tổ chức ảo có thể truy cập tài nguyên từ các tổ chức truyền thống, cần thiết lập mối quan hệ tin tưởng giữa người dùng và tổ chức truyền thống cũng như giữa người dùng và tổ chức ảo Việc thiết lập quan hệ tin tưởng trực tiếp giữa tổ chức truyền thống và tổ chức ảo hoặc các thành viên mở rộng là không khả thi.

Cơ chế an toàn lưới giúp giải quyết các trở ngại bằng cách tạo ra một tổ chức ảo, cho phép thống nhất một phần chính sách của các tổ chức truyền thống thông qua việc áp dụng mô hình policy domain overlay.

Hình 1-3: Miền tin tưởng chung của tổ chức ảo

Các tài nguyên và tổ chức cung cấp các điều khiển chính sách mở rộng cho bên thứ ba, các tổ chức ảo (VOs), nhằm phối hợp các chính sách mở rộng trong một miền tin tưởng ổn định lâu dài Điều này cho phép chia sẻ và sử dụng tài nguyên hiệu quả Giải pháp tải chồng các chính sách dẫn đến các chức năng chủ yếu mà lưới phải thực hiện.

- H ỗ tr ợ nhi ề u c ơ ch ế an toàn khác nhau :

Các miền tài nguyên và tổ chức ảo đã đầu tư nhiều vào an toàn thông tin tại địa phương Thách thức lớn nhất là liên kết các công nghệ an toàn thông tin hiện có thay vì thay thế hoàn toàn, vì điều này sẽ tốn kém và thiếu tính kế thừa.

- Kh ở i t ạ o độ ng các d ị ch v ụ:

Người dùng có thể tự khởi tạo dịch vụ mới mà không cần sự can thiệp của quản trị viên, và các dịch vụ này có khả năng tương tác lẫn nhau Điều này đòi hỏi một cơ chế định danh cho các thực thể trong mạng và cấp quyền cho dịch vụ mà không làm ảnh hưởng đến các cơ chế bảo mật địa phương Ví dụ, trong hạ tầng GSI, khi một dịch vụ mạng được cung cấp cho người dùng, các định danh của người dùng, dịch vụ và hệ thống mà dịch vụ đăng ký đều được xác định một cách rõ ràng.

- Thi ế t l ậ p độ ng các mi ề n ch ứ ng th ự c tin t ưở ng (trust domain) :

Chứng thực không chỉ diễn ra giữa người dùng và tài nguyên trong một tổ chức ảo, mà còn giữa các tổ chức ảo khác nhau Điều này yêu cầu một mô hình an toàn thông tin hướng người dùng, cho phép người dùng tạo ra các thực thể và các miền chính sách để kết nối tài nguyên trong các tổ chức ảo.

1.2.2 Các chính sách bảo đảm an ninh cho hệ thống lưới

Bảo vệ cơ sở dữ liệu (CSDL) là việc đảm bảo an toàn cho dữ liệu, ngăn chặn truy cập trái phép, dù là vô tình hay cố ý Việc này không chỉ giúp bảo vệ thông tin quan trọng mà còn duy trì tính toàn vẹn và bảo mật của hệ thống.

Mỗi lưới bao gồm nhiều tài nguyên, gọi là nút lưới, với một số tài nguyên có thể được sử dụng bởi tất cả các thành viên, trong khi những tài nguyên khác lại bị hạn chế quyền truy cập Các thuật ngữ được phát triển trong quá trình nghiên cứu nhằm đảm bảo an toàn cho hệ thống tính toán lưới.

Chủ thể trong an toàn thông tin là thành viên tham gia vào các hoạt động bảo vệ dữ liệu Trong môi trường mạng, chủ thể thường bao gồm người dùng, tài nguyên và các tiến trình đại diện cho những tài nguyên này.

Giấy ủy nhiệm là tài liệu xác định danh tính và vai trò của chủ thể, được ký bởi nhà thẩm quyền và có thời hạn hiệu lực nhất định Sau khi hết thời gian quy định, giấy ủy nhiệm sẽ không còn giá trị pháp lý.

NỀN TẢNG AN TOÀN THÔNG TIN LƯỚI GSI

CÁC KHÁI NIỆM CƠ BẢN VỀ AN TOÀN THÔNG TIN

Trong quá trình mã hóa thông tin, có hai loại khóa quan trọng: khóa mã hóa và khóa giải mã Người gửi sử dụng khóa mã hóa để mã hóa thông tin và sau đó gửi bản mã cho người nhận.

Hình 2- 1: Mã hóa thông tin sử dụng khóa

Người nhận sử dụng khoá giải mã để giải mã thông tin

Hình 2- 2: Giải mã thông điệp sử dụng khóa mã giải

Trong bài viết này, chúng ta sẽ khám phá hai phương pháp mã hóa phổ biến: mã hóa khóa đối xứng (hay còn gọi là mã hóa khóa bí mật) và mã hóa khóa phi đối xứng (hay mã hóa khóa công khai).

2.1.2 Hệ mã hóa khóa đối xứng

Mã hóa đối xứng là phương pháp mà khóa mã hóa và khóa giải mã có mối quan hệ chặt chẽ, cho phép dễ dàng tính toán khóa này từ khóa kia Trong nhiều hệ thống mã hóa đối xứng, hai khóa này thậm chí còn giống nhau.

Hình 2- 3: Mã hoá khoá đối xứng

Mặc dù mã hóa đối xứng có tốc độ cao và dễ cài đặt, nhưng nó cũng gặp phải nhiều nhược điểm, trong đó có việc cả người gửi và người nhận đều sử dụng chung một khóa mã hóa Điều này đòi hỏi phải có một kênh an toàn để trao đổi khóa, tạo ra thách thức trong việc đảm bảo an toàn và bảo mật thông tin.

Hiện nay, các hệ thống bảo vệ thông tin áp dụng thuật toán mã hóa bất đối xứng, trong đó sử dụng khóa mã hóa và khóa giải mã khác nhau, kết hợp với hệ thống mã hóa đối xứng nhằm đảm bảo an toàn cho dữ liệu.

2.1.3 Hệ mã hóa khóa phi đối xứng

Hình 2- 4: Mã hoá khoá phi đối xứng

Hệ mã hóa khóa phi đối xứng sử dụng hai khóa khác nhau cho mã hóa và giải mã, trong đó việc tính toán một khóa từ khóa còn lại là rất khó khăn Các khóa này được tạo ra thông qua hàm một chiều có cửa sập (Trap-door).

Trong hệ thống mã hóa, có hai loại khóa: khóa bí mật và khóa công khai Khóa bí mật chỉ được một người duy nhất nắm giữ, trong khi khóa công khai được công bố để mọi người có thể sử dụng khi cần trao đổi thông tin mật Khóa công khai được dùng để mã hóa thông tin, còn khóa bí mật được sử dụng để giải mã thông tin đó.

Quá trình giao tiếp giữa hai đối tượng A và B bắt đầu khi B tạo ra một cặp khóa, bao gồm khóa bí mật được bảo mật cẩn thận và khóa công khai được chia sẻ rộng rãi.

Khóa công khai do B phát hành có thể được sử dụng để mã hóa thông tin trước khi gửi đến B Chỉ có B, với khóa bí mật của mình, mới có khả năng giải mã thông tin này.

Mã hóa khóa phi đối xứng được sử dụng trong các cơ chế xác thực, nhưng một nhược điểm lớn của phương pháp này là quá trình mã hóa và giải mã tốn nhiều thời gian.

Vào những năm 80 của thế kỷ 20, các nhà khoa học đã phát minh ra chữ ký số, một công nghệ nhằm xác thực tài liệu số bằng cách sử dụng "bản mã" của xâu bít tài liệu.

Chữ ký là yếu tố quan trọng để xác định tính hợp pháp của văn bản trong giao dịch, và mỗi cá nhân có một chữ ký riêng biệt Chữ ký số, khác với chữ ký truyền thống, phụ thuộc vào thông tin mà nó xác nhận Trong các giao dịch trực tuyến, chữ ký số được xem là thông tin không thể tách rời khỏi giao dịch đó.

Hình 2- 5: Chữ ký số và mã hóa công khai

Ký số trên tài liệu số là ký hiệu trên từng bít của tài liệu, giúp xác thực tính xác thực của nó Kẻ gian rất khó giả mạo chữ ký số nếu không có “khóa lập mã” Để kiểm tra chữ ký số của một tài liệu số, cần sử dụng khóa công khai và tài liệu đi kèm.

Ký số trên từng bít tài liệu yêu cầu chữ ký số có độ dài tối thiểu bằng độ dài của tài liệu Thay vì ký trực tiếp trên tài liệu dài, người ta thường sử dụng “hàm băm” để tạo ra một “đại diện” cho tài liệu, sau đó thực hiện ký số trên “đại diện” này.

Chứng chỉ khoá công khai, hay còn gọi là chứng chỉ số, là văn bản điện tử xác nhận quyền sở hữu khoá công khai của một cá nhân cụ thể Chứng chỉ số này được cấp bởi cơ quan có thẩm quyền, được gọi là Nhà cung cấp và quản lý chứng chỉ số.

Ví dụ về giao dịch điện tử giữa hai chủ thể A và B, thông qua Nhà cung cấp và quản lý chứng chỉ số S như sau:

Bước 1 Xin các chứng chỉ số:

Trước khi giao dịch, A gửi khoá công khai cho S và S sẽ cấp chứng chỉ số

CƠ SỞ HẠ TẦNG AN TOÀN THÔNG TIN TRÊN LƯỚI

An toàn thông tin đóng vai trò quan trọng trong hệ thống lưới, với cơ sở hạ tầng an toàn thông tin lưới (GSI) nhằm giải quyết các vấn đề an toàn thông tin còn tồn tại trong tính toán lưới Nền tảng chính của GSI là kiến thức về mã mật, và trong phần này, chúng tôi sẽ trình bày một số đặc điểm cũng như cài đặt ứng dụng của GSI.

2.2.1 Cơ sở hạ tầng mật mã khóa công khai

GSI được xây dựng trên nền tảng hạ tầng mật mã khóa công khai (PKI), bao gồm các thực thể như người dùng và tài nguyên, được phân biệt bằng tên định danh duy nhất Chứng thực trong GSI có nghĩa là mỗi thực thể sẽ nhận được một tên định danh riêng biệt Để đảm bảo tính duy nhất này, GSI giới thiệu khái niệm giấy ủy nhiệm lưới, kết hợp giữa chứng chỉ lưới và khóa bí mật tương ứng Trong môi trường PKI, việc trao quyền giữa các thực thể là rất quan trọng để duy trì tính toàn vẹn của hệ thống trong các giao dịch đa phương và đa tiến trình Để bảo vệ khóa bí mật khỏi bị đánh cắp, có thể áp dụng một số phương pháp bảo mật hiệu quả.

- Lưu trữ khóa trong một file có quyền truy nhập hạn chế

Lưu trữ khóa trong hệ thống file là một phương pháp bảo mật, trong đó khóa mã hóa chỉ được biết bởi người sở hữu Một ví dụ điển hình là máy chủ MyProxy, được sử dụng để quản lý các giấy ủy nhiệm lưới hiệu quả.

Lưu trữ khóa bí mật bằng thiết bị phần cứng có mật khẩu mang lại tính an toàn cao Tuy nhiên, giải pháp này ít được áp dụng do sự thiếu phát triển của công nghệ phần cứng.

Giấy ủy nhiệm chỉ có hiệu lực trong một khoảng thời gian nhất định, do đó cần thường xuyên cấp mới để đảm bảo tính bảo mật Việc này giúp bảo vệ khóa bí mật bằng cách hạn chế sự lộ diện của nó.

2.2.2 Bảo vệ thông tin mức thông điệp và mức giao vận

GSI cho phép chúng ta thực hiện bảo vệ thông tin ở hai mức: mức giao vận và mức thông điệp

An toàn thông tin mức giao vận cho phép toàn bộ truyền thông được mã hóa

An toàn thông tin mức thông điệp chỉ cho phép nội dung của thông điệp được mã hóa

Hình 2- 8: An toàn thông tin mức giao vận

Hình 2- 9: An toàn thông tin mức thông điệp

Hai mức bảo mật giao vận và thông điệp có thể đảm bảo tính toàn vẹn, riêng tư và xác thực thông qua các phương pháp mật mã Mặc dù không phải tất cả truyền thông đều cần ba đặc tính này, nhưng hội thoại an toàn ít nhất phải đảm bảo khả năng chứng thực.

Trong môi trường mạng, người dùng thường phải yêu cầu nhiều tài nguyên và thực hiện chứng thực bằng mật khẩu mỗi lần Việc nhập mật khẩu nhiều lần trong quá trình chứng thực đa phương không chỉ gây bất tiện mà còn làm tăng nguy cơ bị đánh cắp thông tin Một giải pháp là sử dụng phần mềm để lưu trữ và nhắc nhở mật khẩu, tuy nhiên, phương pháp này lại tiềm ẩn rủi ro về an toàn thông tin do khóa bí mật có thể bị lộ trong thời gian dài.

GSI giải quyết vấn đề này thông qua khái niệm giấy ủy nhiệm, cho phép người dùng ủy quyền trong một khoảng thời gian ngắn hạn Giấy ủy nhiệm ngắn hạn được sử dụng thay cho các chứng chỉ số dài hạn trong quá trình xác thực người dùng.

Giấy ủy nhiệm là sự kết hợp giữa chứng chỉ số dài hạn của người dùng và khóa bí mật riêng, tạo ra một liên kết ngắn hạn giữa tên định danh và khóa bí mật khác Chứng chỉ số thường được lưu trữ an toàn bằng mã hóa trong hệ thống file địa phương, có thể sử dụng nhiều lần mà không gặp trở ngại Ngược lại, giấy ủy nhiệm có thời gian sống ngắn hạn, thường chỉ kéo dài vài giờ, khiến nó dễ bị tổn thương hơn so với chứng chỉ số dài hạn.

2.2.4 Sự ủy quyền Đối với tính toán phức tạp và kéo dài liên quan tới nhiều tiến trình khác nhau, người dùng không phải lúc nào cũng có mặt để chứng thực cho mỗi tiến trình GSI giải quyết vấn đề này bằng cách cho phép người dùng ủy quyền giấy ủy nhiệm của mình cho giao dịch các máy từ xa

Sự ủy quyền tương tự như việc tạo ra các giấy ủy nhiệm, với một tập chứng chỉ số dài hạn được sử dụng để tạo ra các giấy ủy nhiệm mới có thời gian sống ngắn hơn Khác biệt chính là việc tạo ra giấy ủy nhiệm diễn ra trong các phiên kết nối yêu cầu chứng thực GSI, khi các tiến trình từ xa cần giấy ủy nhiệm của người dùng để chứng thực Đáng chú ý, sự ủy quyền có thể diễn ra theo chuỗi, cho phép một người ủy quyền cho máy A, sau đó máy A có thể ủy quyền tiếp cho máy B, và quy trình này có thể tiếp tục.

GSI sử dụng grid-mapfile để quản lý quyền truy cập dựa trên danh sách người dùng đã định nghĩa Quá trình xác thực các định danh GSI được chuyển giao cho việc xác thực các định danh địa phương, đồng thời các chính sách liên quan cũng được áp dụng trong phạm vi cục bộ, bao gồm quyền truy cập file, dung lượng đĩa và tốc độ CPU.

Gần đây, GSI đã áp dụng chuẩn SAML để định nghĩa các định dạng xác nhận bảo mật và giao thức lấy xác nhận GSI sử dụng chứng thực SAML thông qua hai phương thức: dịch vụ chứng thực cộng đồng CAS và dịch vụ chứng thực của bên thứ ba như PERMIT.

GSI cung cấp cho người dùng và ứng dụng lưới khả năng truy cập an toàn vào các tài nguyên Nó hỗ trợ nhiều tính năng bảo mật, bao gồm cơ chế ủy quyền và đăng nhập một lần, thẩm quyền và chứng thực đa phương, cùng với các giấy ủy nhiệm ngắn hạn cho người dùng GSI là thành phần quan trọng cho các công cụ như grid-proxy-init để tạo giấy ủy nhiệm từ chứng chỉ số, dịch vụ truyền file GridFTP, và máy chủ thông tin LDAP Nó cũng hỗ trợ việc đệ trình các ứng dụng từ xa thông qua Globus Toolkit Gram hoặc Secure Shell (SSH) để kết nối với các máy từ xa Thêm vào đó, GSI còn cung cấp một tập hợp thư viện bảo mật trong Java Cog Kit.

BỘ CÔNG CỤ GLOBUS TOOLKIT 4.0

Bộ công cụ Globus Toolkit (GT) là sản phẩm của dự án Globus, một sáng kiến hợp tác giữa nhiều công ty và phòng thí nghiệm tại Mỹ nhằm phát triển giải pháp cho tính toán lưới Globus Toolkit bao gồm các dịch vụ, phần mềm và thư viện được xây dựng theo kiến trúc mở, cung cấp nền tảng linh hoạt cho các ứng dụng tính toán phân tán.

Dự án Globus đã đóng góp đáng kể vào sự phát triển của tính toán lưới, với hàng trăm dự án lớn nhỏ trên toàn thế giới sử dụng Globus Toolkit để xây dựng cơ sở hạ tầng và triển khai ứng dụng Phiên bản mới nhất, GT4, là phiên bản đầu tiên hỗ trợ thực thi Web Services trong nhiều thành phần, mặc dù vẫn còn một số thành phần chưa áp dụng công nghệ này để đảm bảo tính tương thích với các phiên bản cũ hơn.

2.3.1 Thành phần chính của Globus Toolkit

GT4 gồm có 5 thành phần chính sau [4]:

− Thành phần thực thi cơ bản (Common runtime components)

− Thành phần bảo vệ thông tin (Security component)

− Thành phần quản lý dữ liệu (Data management component)

− Dịch vụ theo dõi và tìm kiếm (Monitoring and Discovery Services)

− Thành phần quản lý thực thi (Execution management)

1/ Thành phần thực thi cơ bản (Common runtime components)

Thành phần thực thi cơ bản của Globus Toolkit bao gồm các thư viện và công cụ cần thiết để cung cấp môi trường xử lý cho cả dịch vụ web và không phải dịch vụ web, đóng vai trò là nền tảng cho các dịch vụ khác trong bộ công cụ này.

2/ Thành phần bảo vệ thông tin (Security Component)

Thành phần bảo vệ thông tin là yếu tố quan trọng nhất trong hệ thống an toàn thông tin, được xây dựng dựa trên mô hình mã hóa khóa công khai, giao thức SSL và chứng chỉ số X.509 Nó cung cấp các cơ chế như xác thực một lần, mã hóa trong truyền thông và ủy quyền Bảo vệ thông tin trong tính toán lưới là vấn đề trung tâm, đặc biệt khi triển khai ở quy mô lớn Nếu không thiết kế an toàn thông tin một cách chặt chẽ, hệ thống lưới phức tạp sẽ dễ bị sụp đổ do truy cập trái phép, sâu và các phương thức tấn công từ hacker.

3/ Thành phần quản lý dữ liệu (Data management)

Globus Toolkit cung cấp các dịch vụ thao tác với dữ liệu:

• Dịch vụ truyền file trên lưới GridFTP

GridFTP là một phiên bản mở rộng của giao thức FTP truyền thống, nhằm cung cấp dịch vụ truyền file hiệu quả cao trong môi trường bảo mật lưới chặt chẽ Một trong những tính năng nổi bật của GridFTP là khả năng hỗ trợ mô hình truyền file third-party, cho phép client thực hiện việc truyền file giữa các server mà không cần phải qua client, khác với mô hình truyền file truyền thống chỉ cho phép truyền trực tiếp giữa client và server.

Hình 2- 10: Truyền file theo mô hình third-party

• Dịch vụ truyền file tin cậy RFT (Realiable File Transfer)

RFT sử dụng GridFTP để truyền file, cung cấp dịch vụ truyền file tin cậy qua web Ngoài ra, RFT còn sử dụng cơ sở dữ liệu để phục hồi quá trình truyền file trong trường hợp xảy ra sự cố.

Hình 2- 11: Dịch vụ truyền file RFT

• Dịch vụ sao lưu dữ liệu trên lưới

Dịch vụ sao lưu dữ liệu DRS (Data Replication Service), dịch vụ định vị tệp RLS (Replica Location Service)

4/ Dịch vụ theo dõi và tìm kiếm tài nguyên (Monitoring and Discovery Services)

Dịch vụ theo dõi và tìm kiếm tài nguyên cung cấp kiến trúc thống nhất để giám sát thông tin cấu hình hệ thống trên các nút lưới toàn bộ hệ thống Đồng thời, dịch vụ thông tin cung cấp các dữ liệu vật lý như hệ điều hành, khả năng xử lý và bộ nhớ, cũng như thông tin về các dịch vụ mà từng nút lưới cung cấp.

5/ Thành phần quản lý thực thi (Execution management)

Globus Toolkit cung cấp các thành phần thiết yếu cho việc thực thi công việc, giám sát và giao tiếp với bộ lập lịch địa phương, trong đó thành phần quan trọng nhất là WS GRAM (Grid Resource Allocation and Management).

WS GRAM là dịch vụ lưới dựa trên mô hình Web Services, cho phép thực hiện và quản lý trạng thái công việc từ xa Khi Client gửi yêu cầu công việc, thông điệp SOAP (Simple Object Access Protocol) được sử dụng để truyền tải và xử lý bởi thành phần WS GRAM trên máy chủ Dịch vụ này có khả năng chuyển đổi yêu cầu thành định dạng mà các bộ lập lịch địa phương có thể hiểu và yêu cầu chúng thực hiện Trong quá trình thực thi, WS GRAM kết hợp với dịch vụ RFT để truyền và nhận các file đầu vào cũng như file kết quả.

Globus Toolkit cung cấp nhiều thành phần hỗ trợ quản lý thực thi công việc, bao gồm bộ siêu lập lịch Community Scheduler Framework 4 (CSF4) và dịch vụ quản lý không gian làm việc Workspace Management Service (WMS) Tuy nhiên, các thành phần này vẫn đang trong quá trình phát triển và chưa hoàn thiện.

2.3.2 An toàn bảo mật trong Globus Toolkit

GT4 cung cấp một số dịch vụ về an toàn bảo mật:

- Credential processing service: là dịch vụ đảm nhận việc xử lý và kiểm tra các yêu cầu về chứng thực

Dịch vụ ủy quyền xác định quyền truy cập cho các hoạt động bằng cách áp dụng các quyền bảo mật cho từng đối tượng yêu cầu hành động cụ thể.

- Credential Conversion service: là dịch vụ trung gian chuyển đổi giữa các cơ chế ủy nhiệm địa phương và các tổ chức ảo

- Identity Mapping service: là dịch vụ ánh xạ tài khoản người dùng trong một miền tới một tài khoản đối với một miền khác

- Audit: dịch vụ log lại các sự kiện

Môi trường trình chủ (Hosting environment) là nền tảng thiết yếu để phát triển và duy trì các dịch vụ trực tuyến Các dịch vụ lưới tương tự như dịch vụ Web khác, thường được xây dựng trên các nền tảng như J2EE hoặc NET Những trình chủ này không chỉ cung cấp mức độ bảo mật cao mà còn cho phép các chức năng an toàn được quản lý độc lập, từ đó đơn giản hóa quá trình phát triển và nâng cấp ứng dụng.

Mô hình OGSA hoạt động thông qua việc gửi yêu cầu từ một OGSA client đến một OGSA service, với cả hai đều được lưu trữ trong các trình chủ Để đơn giản hóa, các chi tiết về bảo mật như kiểm định và chứng nhận client đã được bỏ qua.

Hình 2- 12: Kiến trúc an toàn bảo mật trong Globus Toolkit

Khách hàng đầu tiên sẽ gửi yêu cầu đến dịch vụ OGSA và chuyển tiếp yêu cầu đó tới trình chủ xử lý Các bước tiếp theo sẽ được thực hiện để xử lý yêu cầu từ khách hàng.

Trình chủ chứa client thực hiện kiểm tra các chính sách an toàn bảo mật của dịch vụ yêu cầu, nhằm xác định các cơ chế và ủy nhiệm cần tuân thủ để gửi yêu cầu một cách hợp lệ.

HỆ THỐNG QUẢN LÝ TỔ CHỨC ẢO

Dịch vụ thành viên tổ chức ảo VOMS là kết quả của sự hợp tác giữa hai dự án Lưới dữ liệu Châu Âu - European DataGrid và Atlantic Sau hơn 10 năm phát triển, VOMS đã được tích hợp vào Glite, trở thành một phần thiết yếu trong mô hình quản lý người dùng lưới theo tổ chức ảo của cộng đồng này.

VOMS cho phép quản lý thông tin phân quyền người dùng trong VO theo thời gian thực, bao gồm thông tin chứng thực, vai trò và quyền hạn của họ Hệ thống cũng cung cấp thông tin bổ sung vào giấy phép người dùng, giúp RP căn cứ vào đó để thực hiện phân quyền hiệu quả.

Hình 3-4 minh họa các tương tác giữa người dùng và hệ thống VOMS, bao gồm hai loại người dùng chính: người dùng lưới và người quản trị VO Người dùng lưới có nhiệm vụ đăng ký và xin giấy phép hoạt động với VOMS, trong khi người quản trị VO chịu trách nhiệm quản lý và điều hành hệ thống VO.

3.2.1.1 Ng ườ i dùng l ướ i v ớ i VOMS

Để sử dụng tài nguyên trong lưới, người dùng cần tham gia vào một VO có quyền truy cập Bước đầu tiên là đăng ký thành viên với quản trị viên của VO Người dùng có thể đăng ký với nhiều VO khác nhau Sau khi được chấp nhận, họ sẽ xin chứng nhận tạm thời (proxy certificate) để có quyền truy cập tài nguyên.

Cụ thể, quy trình người dùng xin gia nhập VO như sau:

Người dùng có chứng chỉ số được CA tín nhiệm có thể truy cập vào trang quản trị của VOMS Server Tại đây, họ cần cung cấp thông tin cá nhân, đồng ý với các điều khoản sử dụng lưới của VO và nộp đơn xin gia nhập.

2/ Một email được gửi tới hòm thư của người dùng Người dùng nhận được email, lựa chọn đồng ý tiếp tục quá trình đăng ký

Người dùng đang chờ đợi quyết định từ VO-Admin về việc xét duyệt đơn gia nhập VO Khi có kết quả, một email thông báo sẽ được gửi đến người dùng từ quản trị viên VO.

Quy trình xin đăng ký sử dụng lưới tính toán bắt đầu với công cụ grid-proxy-init, cho phép cấp phép chứng chỉ số tạm thời cho người dùng Tuy nhiên, thay vì sử dụng grid-proxy-init, người dùng nên sử dụng voms-proxy-init để xin cấp chứng thực quyền thành viên Công cụ voms-proxy-init không chỉ tạo ra chứng chỉ số tạm thời mà còn bổ sung thông tin phân quyền từ máy chủ VOMS, giúp quản lý quyền truy cập hiệu quả hơn.

Thông tin cần thiết bao gồm giấy ủy quyền của người dùng, giấy ủy quyền của VOMS server và thời hạn của chứng nhận tạm thời Tất cả thông tin này được xác nhận bằng chữ ký số của VOMS server Chứng nhận do voms-proxy-init tạo ra tương thích tốt với các hệ thống cũ không hỗ trợ VO, đảm bảo tính tương thích ngược.

Quy trình người dùng xin chứng chỉ số tạm thời như sau như sau:

1/ Người dùng và VOMS server xác thực lẫn nhau

2/ Người dùng gửi yêu cầu xin chứng thực đến VOMS server

Máy chủ VOMS xác nhận thành viên và vai trò của người dùng trong VO, đồng thời kiểm tra lại yêu cầu trước khi cấp và trả lại các thông tin đã được yêu cầu Sau đó, người dùng tiến hành kiểm tra các thông tin nhận được.

Chứng nhận tạm thời không chỉ bao gồm các thuộc tính cơ bản của chứng nhận lưới mà còn tích hợp thêm các thuộc tính từ VOMS server Người dùng có thể bổ sung các phương pháp xác thực khác như Kerberos và nhãn thời gian Sau khi nhận chứng nhận VO từ VOMS, người dùng gửi chứng nhận này đến RP để truy cập tài nguyên Gatekeeper sẽ tách và xác thực các thuộc tính bổ sung từ VOMS để kiểm tra quyền truy cập, kết hợp với chính sách sử dụng tài nguyên đã được thiết lập trước đó.

VO và RP quyết định quyền truy cập vào tài nguyên của người dùng Mặc dù các thuộc tính này không bắt buộc, nhưng chứng thực do VOMS tạo ra vẫn tương thích ngược, cho phép hoạt động với các hệ thống không hỗ trợ kiểm tra thuộc tính phân quyền.

3.2.1.2 Ng ườ i qu ả n tr ị v ớ i VOMS

Người quản trị VOMS được phân chia thành hai cấp độ: cấp độ quản lý nhóm và cấp độ toàn Ở cấp độ quản lý nhóm, họ có trách nhiệm quản lý quyền và thành viên của các nhóm con trong VO.

VO, người quản trị có thêm nhiệm vụ quản lý các đơn gia nhập VO

Cụ thể, người quản trị nhóm có các quyền sau:

Hình 3- 7: Người quản trị nhóm với hệ thống

Người quản trị nhóm có trách nhiệm quản lý người dùng, bao gồm thêm, xóa và tìm kiếm Họ cũng quản lý nhóm bằng cách thêm, xóa, tìm kiếm và quản lý ACL cho nhóm Ngoài ra, người quản trị còn thực hiện việc quản lý vai trò thông qua việc thêm, xóa và tìm kiếm Việc quản lý thành viên bao gồm thêm, bớt và gán hoặc gỡ bỏ vai trò của các thành viên Người quản trị VO sẽ thừa kế các quyền quản lý từ người quản trị nhóm.

Hình 3-8: Quản trị nhóm và quản trị VO

Ngoài ra, quản trị VO còn có thêm các quyền quản lý riêng ở cấp độ toàn tổ chức Đó là quản lý đăng ký

Hình 3-9: Quản trị VO và hệ thống

Dịch vụ VOMS có thể được chia thành hai phần chính dựa trên hai loại tác nhân tương tác với hệ thống: người dùng lưới và người quản trị Phần quản trị bao gồm các chức năng và nhiệm vụ liên quan đến việc quản lý hệ thống.

• Server quản trị: xử lý các yêu cầu từ phía máy khách, cập nhật, sửa đổi cơ sở dữ liệu

• Client quản trị: đóng vai trò người quản trị VO ( thêm người dùng, tạo, xóa nhóm, thay đổi vai trò…)

Phía người dùng bao gồm:

• Server người dùng: nhận các yêu cầu từ phía máy khách và trả lại các thông tin về người dùng

Người dùng client liên hệ với server để nhận chứng nhận, danh sách nhóm, vai trò và khả năng của mình Tất cả các quá trình giao tiếp giữa client và server cần phải được đảm bảo về xác thực và an toàn.

Thành phần chính của server người dùng là Dịch vụ sinh thuộc tính AAS (Attribute Authority Service)

DỊCH VỤ TẠO DANH SÁCH TRUY CẬP EDG-MKGRIDMAP

Người dùng mới trên lưới tính toán, sau khi đăng ký và được chấp nhận, có quyền yêu cầu tài nguyên để thực hiện các bài toán Để xác định quyền sử dụng tài nguyên của người dùng, dịch vụ EDG-MKGRIDMAP đóng vai trò kết nối giữa VO và RP, giúp nhận biết quyền hạn của người dùng trong việc sử dụng tài nguyên.

EDG-MKGRIDMAP là một script Perl do European Datagrid phát triển, có nhiệm vụ tương tác với các dịch vụ quản lý người dùng như VOMS và LDAP để tạo ra các tệp gridmap theo yêu cầu Cụ thể, EDG-MKGRIDMAP thiết lập kênh thông tin an toàn với máy chủ VOMS, lấy thông tin người dùng trong VO, và cho phép quản trị viên điều chỉnh chính sách tài nguyên cục bộ dựa trên thỏa thuận với VO về tài nguyên đóng góp, từ đó xác định quyền hạn của người dùng lưới trên các tài nguyên này.

Quy định này được thực hiện qua hai bước: đầu tiên, tạo tài khoản cục bộ và quy định quyền sử dụng tài nguyên cho các tài khoản đó; tiếp theo, xác định người dùng trên VO sẽ gắn với tài khoản nào Các chính sách sử dụng cục bộ và danh sách người dùng trong VO sẽ là đầu vào cho quá trình tạo tệp ánh xạ gridmap, mà đầu ra của quá trình này được các dịch vụ lưới sử dụng để kiểm tra quyền.

EDG-MKGRIDMAP là một công cụ phổ biến trong cộng đồng lưới LCG/EGEE, mặc dù có nhiều công cụ tương tự như GUMS Mặc dù quá trình ánh xạ của nó còn cứng nhắc và không hỗ trợ cơ chế ánh xạ động, nhưng nhờ vào tính đơn giản, gọn nhẹ và dễ sử dụng, EDG-MKGRIDMAP vẫn giữ vai trò quan trọng và không thể thiếu trong lĩnh vực này.

KẾT QUẢ THỬ NGHIỆM

HỆ THỐNG QUẢN LÝ NGƯỜI DÙNG LƯỚI TÍNH TOÁN

Tác giả đã hợp tác với nhóm nghiên cứu lưới AGP tại trung tâm tính toán hiệu năng cao HPCC (Đại Học Bách Khoa Hà Nội) để thiết kế và xây dựng các thành phần bảo vệ cho hệ thống lưới tìm kiếm và so khớp tài liệu điện tử GOODAS (Grid Oriented Online Document Analysing System) GOODAS hỗ trợ chia sẻ và tra cứu tài liệu trong nghiên cứu và giảng dạy, đồng thời giúp phòng chống gian lận giữa các trường học.

Hệ thống đã được triển khai thử nghiệm trên lưới dữ liệu cục bộ tại Trung tâm tính toán hiệu năng cao của Trường Đại học Bách Khoa Hà Nội Lưới cục bộ bao gồm 10 máy desktop với cấu hình Pentium D 2.8GHz, RAM 1,5GB và ổ cứng 80GB Để kết nối các máy, hệ thống sử dụng middleware Globus Toolkit 4, phiên bản 4.2.1, và hệ điều hành Fedora 11 Máy chủ thông tin triển khai VOMS là máy chủ bkluster.

An toàn bảo mật cho hệ thống bao gồm hai yếu tố chính: quản lý đăng ký lưới và phân quyền trên VO, cùng với việc quản lý người dùng và giấy ủy nhiệm trên cổng điện tử lưới.

Hệ thống thử nghiệm sẽ thiết lập một máy chủ VOMS để quản lý VO và quản trị tham gia lưới Một máy chủ khác sẽ phục vụ cho cổng điện tử lưới, quản lý người dùng và giấy ủy nhiệm lưới, đồng thời thiết lập kiểm soát truy cập tài nguyên qua cổng điện tử Trong mạng dữ liệu, 10 máy desktop sẽ đóng vai trò là các RP và triển khai dịch vụ ánh xạ.

Hướng dẫn chi tiết triển khai dịch vụ quản lý thông tin người dùng VOMS trên máy chủ thông tin BKLUSTER và dịch vụ ánh xạ EDG-MKGRIDMAP trên 10 máy desktop trong lưới được trình bày trong phần phụ lục về cài đặt VOMS và EDG-MKGRIDMAP Các phần sau sẽ đề cập đến việc triển khai cổng điện tử và dịch vụ quản lý giấy ủy nhiệm.

4.1.1 Giới thiệu hệ thống GOODAS

Quản lý tài liệu điện tử phân tán trên mạng gặp nhiều thách thức, bao gồm quản lý tài nguyên động, yêu cầu an toàn bảo mật và chia sẻ Hệ thống GOODAS được phát triển để giải quyết vấn đề này, kết hợp công nghệ tính toán lưới và mô hình tổ chức ảo, nhằm tạo ra một mạng lưới dữ liệu hiệu quả cho việc chia sẻ và quản lý tài liệu điện tử giữa các trường đại học và trên toàn quốc.

Hệ thống GOODAS được thiết kế theo kiến trúc phân tầng, với các thành phần dịch vụ đáp ứng yêu cầu cụ thể Điểm mạnh của hệ thống bao gồm khả năng mở rộng, tính thân thiện và duy trì hạ tầng an toàn, bảo mật cho người dùng.

Hình 4- 1: Kiến trúc hệ thống GOODAS

- Tầng tài nguyên: là các hệ thống lưu trữ, hệ thống máy tính và hạ tầng mạng có hiệu năng tính toán cao

Tầng trung gian bao gồm hạ tầng an toàn bảo mật lưới GSI, cung cấp các dịch vụ truyền file, sao lưu dữ liệu, khám phá tài nguyên và dịch vụ quản lý giấy uỷ nhiệm.

Tầng dịch vụ ứng dụng cung cấp các dịch vụ lưới hướng ứng dụng và người dùng, tận dụng sức mạnh của hạ tầng lưới Trong hệ thống quản lý tài liệu điện tử, tầng ứng dụng triển khai các dịch vụ tiện ích như quản lý tài liệu, tìm kiếm, đánh chỉ mục và so khớp văn bản.

Cổng điện tử lưới (Gateway) là một thành phần quan trọng, cung cấp khả năng truy cập vào các dịch vụ và tài nguyên của mạng lưới Nó giúp đơn giản hóa sự phức tạp của mạng lưới cho người dùng, trở thành lựa chọn hàng đầu cho nhiều mạng dữ liệu lớn trên toàn cầu hiện nay.

Hình 4-2 minh hoạ mô hình triển khai của hệ thống:

Hình 4- 2: Mô hình triển khai hệ thống GOODAS

Người dùng truy cập hệ thống qua portal của trường để thực hiện các yêu cầu như tìm kiếm và so khớp văn bản Mỗi yêu cầu sẽ được site cục bộ liên hệ với Dịch vụ Giám sát & quản lý thông tin để lấy thông tin từ các site khác trong hệ thống và gửi các yêu cầu xử lý Sau khi nhận kết quả từ các site khác, site cục bộ sẽ tổng hợp và trả về kết quả cho người dùng qua portal Việc tổng hợp kết quả cần dựa vào thông tin dữ liệu mô tả từ các site, được cung cấp bởi Dịch vụ siêu dữ liệu mô tả từ Information Server.

4.1.2 Mô hình bảo mật cho GOODAS

Mô hình bảo mật cho hệ thống GOODAS cần đảm bảo an toàn cho hạ tầng lưới, đồng thời giữ tính trong suốt và thân thiện với người dùng Giải pháp tối ưu là kết hợp quản lý người dùng lưới với quản lý người dùng portal và ứng dụng tổ chức ảo VO.

Hình 4- 3: Mô hình bảo mật cho GOODAS

Mô hình bảo vệ thông tin bao gồm các thành phần sau đây:

Nhà cung cấp chứng chỉ số (Online CA) đóng vai trò quan trọng trong việc cấp phát và kiểm tra các chứng chỉ số theo chuẩn X509 cho người dùng trong lưới Có nhiều nhà cung cấp chứng chỉ số khác nhau, tùy thuộc vào mục đích sử dụng và thiết lập hạ tầng an toàn bảo mật của các hệ thống tính toán lưới Trong số đó, My Proxy CA và Simple CA thường được sử dụng phổ biến trong các lưới nghiên cứu.

Dịch vụ quản lý giấy uỷ nhiệm (Credential Management) là giải pháp phổ biến trong các hệ thống tính toán lưới hiện đại, bao gồm kho lưu trữ giấy uỷ nhiệm (Credential Repository) và nhà chứng thực thẩm quyền trực tuyến (MyProxy CA) Giải pháp này cho phép người dùng dễ dàng lấy lại các giấy uỷ nhiệm lưới khi cần thiết.

Hệ thống quản lý tổ chức ảo (VO Management) cung cấp giấy uỷ nhiệm mở rộng với các thuộc tính phân quyền cho cổng điện tử lưới Hệ thống cũng có giao diện quản trị riêng, cho phép VO đăng ký gia nhập lưới và quản lý các VO thông qua giao diện web.

THÀNH PHẦN QUẢN LÝ TỔ CHỨC ẢO

Thành phần này cho phép phân nhóm người dùng, gán vai trò và xác định quyền truy cập vào các dịch vụ trong hệ thống Ngoài ra, mô-đun còn có chức năng quản lý các tổ chức ảo, cho phép người dùng đăng ký tham gia vào VO.

Có hai loại người dùng chính tương tác với dịch vụ quản lý tổ chức ảo VOMS: người dùng lưới và người quản trị của VO Người dùng lưới sử dụng VOMS để thực hiện các tác vụ cần thiết trong quản lý tổ chức.

4.2.1.1 Người dùng lưới và VOMS

Người dùng lưới có thể đăng ký gia nhập VO và xin chứng nhận sử dụng lưới thông qua VOMS Quy trình đăng ký diễn ra trên giao diện Website VOMS-Admin, trong khi việc xin chứng nhận được thực hiện với VOMS client Để đăng ký sử dụng lưới, người dùng cần có chứng chỉ số do nhà cung cấp chứng chỉ số CA được VOMS GOODAS tin tưởng cấp Hiện tại, GOODAS tin tưởng vào các nhà cung cấp AGP Globus Simple CA và HaNoi CA Các bước cần thực hiện để gia nhập VO bao gồm việc hoàn thành các yêu cầu cần thiết trên nền tảng VOMS.

Người dùng cần có chứng chỉ số được xác thực bởi VOMS Server để truy cập vào trang quản trị Họ phải cung cấp thông tin cá nhân, đồng ý với các điều khoản sử dụng của VO và nộp đơn xin gia nhập.

- Chuẩn bị các chứng chỉ số: cần phải thiết lập hạ tầng an toàn thông tin GSI của Globus Toolkit với các chứng chỉ lưới hợp lệ

Hình 4- 4: Các giấy chứng nhận lưới

- Các chứng nhận định dạng PEM không được trình duyệt hỗ trợ Vì vậy, chuyển chúng sang định dạng được chấp nhận pkcs12

$openssl pkcs12 -export -in usercert.pem -inkey userkey.pem -out usercert.p12 Enter Export Password:

- Người dùng nhập các chứng nhận định dạng pkcs12 vào trình duyệt

Để truy cập VOMS-Admin GOODAS, hãy vào địa chỉ: https://bkluster.hut.edu.vn:9443/voms/GOODAS và cung cấp các thông tin cần thiết Người dùng cần xác thực chứng nhận từ GOODAS VOMS Server, sau đó server sẽ thực hiện việc xác thực lại chứng nhận của người dùng.

Sau khi quá trình xác thực lẫn nhau thành công, người dùng đến trang đăng ký và điền đầy đủ các thông tin

2/ Một email được gửi tới hòm thư của người dùng Người dùng nhận được email, lựa chọn đồng ý tiếp tục quá trình đăng ký

- Thông báo đã gửi email xác nhận tới cho người dùng

Hình 4- 5: Chờ đơn xét duyệt của người quản trị VO

Người dùng đang chờ quyết định từ VO-Admin về đơn gia nhập VO Khi có kết quả xét duyệt từ quản trị viên, một email thông báo sẽ được gửi tới người dùng.

- Người quản trị nhận được thông báo có đơn gia nhập VO mới

- Người quản trị tiến hành xét duyệt đơn đăng ký

Hình 4- 7: Người quản trị duyệt đơn đăng ký

- Dù được người quản trị VO đồng ý hay chấp nhận, một email sẽ được thông báo cho người dùng b) Quy trình xin chứng nhận sử dụng lưới

Sau khi hoàn tất đăng ký, người dùng cần cài đặt VOMS client cho các máy trong lưới của mình Sau khi cài đặt thành công, người dùng tiến hành xin giấy chứng nhận sử dụng lưới Quy trình xin giấy chứng nhận bắt đầu bằng việc người dùng gửi yêu cầu xin chứng thực đến VOMS server.

Máy chủ VOMS xác nhận thành viên và vai trò của người dùng trong VO, kiểm tra lại yêu cầu và sau đó cấp phát thông tin cần thiết cho người dùng Người dùng sẽ tiến hành kiểm tra các thông tin đã nhận.

4.2.1.2 Người quản trị và VOMS

Có 2 cấp độ người quản trị trong VO Đó là cấp quản lý nhóm và cấp quản trị toàn VO Người quản trị nhóm phụ trách quản lý người dùng (thêm, xóa, tìm kiếm), quản lý nhóm (thêm, xóa, tìm kiếm, quản lý ACL cho nhóm), quản lý vai trò (thêm, xóa, tìm kiếm), quản lý thành viên (thêm, bớt; gán, gỡ bỏ vai trò của các thành viên) Người quản trị VO thừa kế các quyền quản lý của quản trị nhóm Ngoài ra, họ có thêm quyền xét duyệt đăng ký cho người dùng vào VO a) Quản lý người dùng

Hình 5: Liệt kê các người dùng trong VO

Hình 4- 8: Quản lý email cá nhân và thông tin thành viên của người dùng b) Quản lý nhóm

Hình 4- 9: Liệt kê các nhóm trong VO

- Chi tiết nhóm: Quản lý danh sách điều khiển truy nhập (ACL) và các thành viên trong nhóm

- Thêm mới ACL cho nhóm

Hình 4- 12: Thêm ACL cho nhóm

Hình 4- 13: Tìm kiếm nhóm c) Quản lý chức năng của hệ thống

- Liệt kê các chức năng

Hệ thống lưới phân tích tài liệu trực tuyến GOODAS có các chức năng: quản trị, giảng viên và các thành viên

Hình 4- 15: Tạo mới chức năng

Hình 4- 16: Tìm kiếm chức năng

- Xóa chức năng d) Quản lý đăng ký

- Duyệt các đơn đăng ký chưa được xử lý

Hình 4- 17: Người quản trị duyệt các đơn đăng ký chưa xử lý

- Chi tiết người dùng đăng ký

- Các đơn đăng ký đã duyệt

Hình 4- 19: Các đơn đăng ký đã duyệt e) Quản lý cấu hình

- Thông tin cấu hình của VO

Hình 4- 20: Thông tin cấu hình của VO

- Thực thi edg-mkgridmap lần đầu tiên:

/opt/edg/sbin/edg-mkgridmap output=/etc/grid-security/grid-mapfile

Để tự động hóa các lần tiếp theo, hãy thêm edg-mkgridmap vào danh sách các công việc chạy tự động Dưới tài khoản root của máy thực thi, sử dụng lệnh crontab -e và thêm các tham số thiết lập cho "cron job" vào crontab.

41 3,9,15,21 * * * /opt/edg/sbin/edg-mkgridmap output=/etc/grid-security/grid- mapfile >> /opt/edg/log/edg-mkgridmap.log 2>&1

THÀNH PHẦN QUẢN LÝ GIẤY UỶ NHIỆM

Thành phần này thiết lập kiểm soát truy cập dịch vụ và tài nguyên mạng thông qua giấy ủy nhiệm lưới theo chuẩn X509 Người dùng chỉ có thể truy cập tài nguyên qua cổng điện lưới khi có giấy ủy nhiệm hợp lệ Ngoài ra, thành phần còn quản lý các giấy ủy nhiệm lưới, bao gồm việc thêm mới, gia hạn và gỡ bỏ cho từng người dùng trên cổng điện tử lưới.

Cổng điện tử lưới là điểm kết nối giữa người dùng và các dịch vụ lưới ở tầng dưới, nổi bật hơn so với các ứng dụng Web thông thường nhờ khả năng tùy biến môi trường sử dụng Nó cho phép tách biệt các thành phần nghiệp vụ từ máy chủ ứng dụng và tái sử dụng các thành phần của Web Chính nhờ những ưu điểm này, Cổng điện tử lưới đã trở thành lựa chọn phổ biến cho các nhà phát triển ứng dụng lưới.

Hình 4-21: Cổng điện tử lưới

Mô hình truy nhập dịch vụ lưới từ cổng điện tử lưới cho phép người dùng đăng nhập bằng tài khoản cá nhân, cung cấp các đặc tả công việc và yêu cầu Những yêu cầu này sẽ được chuyển xuống các dịch vụ lưới và phân bổ tài nguyên để thực hiện, sau đó kết quả sẽ được trả về cho người dùng qua giao diện Web Tuy nhiên, việc xây dựng các cổng giao diện lưới cần chú ý đến một số yêu cầu bảo mật quan trọng.

Người sử dụng phải có một trình duyệt Web chuẩn để tiếp cận các Cổng điện tử lưới

Người sử dụng vẫn có thể truy nhập từ những nơi mà những nơi mà giấy ủy nhiệm Grid là không có sẵn đối với họ

Người sử dụng có thể làm bất cứ điều gì thông qua Cổng điện tử lưới mà giấy ủy nhiệm có thể cho phép họ làm

4.3.1 Mô hình uỷ quyền truy nhập trên cổng điện tử lưới

Việc truy xuất giấy uỷ nhiệm lưới và uỷ quyền truy nhập lưới cho các cổng điện tử được thể hiện như hình vẽ:

Hình 4-22: Mô hình uỷ quyền truy nhập trên cổng điện tử lưới

Người dùng có thể dễ dàng kết nối với cổng điện tử lưới thông qua trình duyệt Web, cung cấp thông tin chứng thực đã đăng ký trước đó Họ có thể sử dụng các form trên web hoặc giao diện đơn giản để thực hiện việc này Nếu có nhiều kho lưu trữ, người dùng có thể xác định kho lưu trữ MyProxy phù hợp cho cổng điện tử.

(2) Cổng điện tử sử dụng các thông tin đăng nhập (định danh và mật khẩu) của người dùng yêu cầu lấy giấy ủy nhiệm từ kho lưu trữ

Khi thông tin đăng nhập hợp lệ, MyProxy sẽ gửi giấy ủy nhiệm của người dùng đến cổng điện tử lưới, cho phép cổng này tiếp cận an toàn các dịch vụ lưới thay mặt người dùng.

Hành động logout khỏi cổng điện tử sẽ xóa giấy ủy quyền của người dùng trên portal Nếu người dùng quên logout, giấy chứng nhận sẽ hết hạn sau một khoảng thời gian nhất định khi có yêu cầu từ dịch vụ MyProxy, thường là vài giờ Quá trình này có thể lặp lại nhiều lần cho đến khi giấy ủy quyền của MyProxy hết hạn Khi đó, người dùng cần chạy chương trình myproxy-init từ vị trí có sẵn giấy chứng nhận để ủy nhiệm lại các giấy ủy quyền vào kho lưu trữ.

4.3.3 Dịch vụ quản lý giấy uỷ nhiệm

Dịch vụ này cho phép người dùng truy cập dễ dàng vào các dịch vụ lưới hỗ trợ bảo mật GSI, bao gồm khả năng đăng nhập một lần hoặc ủy quyền cho cổng điện tử lưới thực hiện các tác vụ trên lưới.

Một số chức năng của dịch vụ như sau:

Xác thực người dùng lưới là dịch vụ kiểm tra tính hợp lệ của người dùng, yêu cầu người dùng phải có giấy ủy nhiệm X509 còn hiệu lực để sử dụng các dịch vụ cài đặt bảo mật GSI Nếu giấy ủy nhiệm không hợp lệ, người dùng sẽ phải quay lại màn hình đăng nhập để xin cấp giấy ủy nhiệm từ dịch vụ.

Quản lý vòng đời của giấy ủy nhiệm cho phép dịch vụ tự động cập nhật thời gian sống của giấy ủy nhiệm Nếu người dùng không kích hoạt giấy ủy nhiệm trong khoảng thời gian nhất định, nó sẽ tự động hủy để đảm bảo an toàn và hiệu quả.

Giấy ủy nhiệm có thời hạn sử dụng hạn chế, do đó, khi người dùng thực hiện các dịch vụ tính toán với bộ dữ liệu lớn và thời gian xử lý lâu, cần có cơ chế làm tươi lại giấy ủy nhiệm Điều này đảm bảo rằng dịch vụ bảo mật không ảnh hưởng đến công việc của người dùng trên lưới.

Quản lý kho lưu trữ là yếu tố quan trọng trong hệ thống lưu trữ nhiều giấy ủy nhiệm người dùng để ủy quyền lên portal Các giấy ủy nhiệm này được mã hóa trong kho lưu trữ, giúp bảo vệ thông tin ngay cả khi kho lưu trữ bị tổn thương, vì kẻ địch cần thời gian để giải mã và giấy ủy nhiệm có thể đã hết hạn Dịch vụ cung cấp tùy chọn cho người dùng lựa chọn hệ thống kho lưu trữ trên các miền phân tán khác nhau về mặt địa lý thông qua công nghệ phân tán của dịch vụ lưới.

Quản lý giấy ủy nhiệm đa người dùng cho phép người dùng sở hữu nhiều giấy chứng nhận từ các nhà thẩm quyền CA khác nhau Dịch vụ này cung cấp khả năng lưu trữ tất cả các giấy chứng nhận, hỗ trợ người dùng trong việc xác định công việc cần thực hiện và lựa chọn giấy ủy nhiệm phù hợp cho từng nhiệm vụ, sau đó trả lại giấy ủy nhiệm cho người dùng một cách nhanh chóng và hiệu quả.

Dịch vụ được xây dựng dựa trên các nền tảng:

- Globus Toolkit: đây là bộ công cụ nền tảng để phát triển lưới, với chuẩn mở xây dựng các dịch vụ lưới OGSA và hạ tầng bảo mật GSI

- SimpleCA: nhà thẩm quyền cung cấp các giấy ủy nhiệm lưới, là nền tảng trong cấu hình bảo mật GSI

- Gridsphere Portal: cổng điện tử chuẩn mở, kết hợp giữa hai công nghệ Web và

Grid tạo ra nền tảng vững chắc cho cả người dùng và các nhà phát triển lưới Nhiều dự án đáng chú ý đang được triển khai trên nền tảng Gridsphere, bao gồm HPC Europa, D-Grid, P-Grade, BIRN, Telescience và Australian Virtual Observatory.

- MyProxy: máy chủ để lưu trữ các giấy ủy nhiệm trực tuyến

- Java Cog Kit: là bộ cung cụ phát triển lưới, ánh xạ giữa công nghệ Java và

Globus Toolkit, cho phép các nhà phát triển xây dựng các ứng dụng lưới bằng ngôn ngữ Java

Dưới đây là mô tả các thể hiện của dịch vụ trên nền tảng Gridsphere:

- Quản lý người dùng lưới

- Quản lý giấy uỷ nhiệm lưới:

- Các quyền cho các giao dịch truyền file có hỗ trợ GSI:

- Đệ trình các công việc trên lưới:

4.4 MỘT SỐ HẠN CHẾ CỦA VOMS

Dịch vụ chính của hệ thống quản lý tổ chức ảo bao gồm VOMS và EDG-MKGRIDMAP, hai dịch vụ này phối hợp hiệu quả trong quản lý người dùng lưới, đặc biệt phù hợp với môi trường liên thư viện GOODAS VOMS là dịch vụ mã nguồn mở, và luận văn này đóng góp thiết kế đa ngôn ngữ cho giao diện quản trị VOMS-Admin, giúp quy trình quản lý trở nên thân thiện hơn với người dùng.

Hệ thống quản lý tổ chức ảo hiện vẫn gặp nhiều vấn đề, đặc biệt là trong dịch vụ phụ trách quản lý thông tin người dùng ở cấp độ VO và dịch vụ ánh xạ người dùng ở cấp độ RP, vẫn tồn tại những hạn chế cơ bản cần được khắc phục.

MỘT SỐ HA B N CHÊ C CỦA VOMS

[1] Ian Foster, Carl Kesselman - The Grid: Blueprint for a New Computing Infrastructure, 1 st edition, Morgan Kaufmann Publishers, San Francisco, USA (1 November 1998), ISBN: 1558604758

[2] IBM Red Book - Introduction to Grid Computing

[3] IBM Red Books - Introduction to Grid Computing with Globus

[4] Mark Baker, Rajkumar Buyya, Domenico Laforenza - Grids and Grid technologies for wide-area distributed computing

[5] Trịnh Nhật Tiến – Giáo trình AN TOÀN DỮ LIỆU 2008

[6] MyProxy – Credential Management Service http://grid.ncsa.illinois.edu/myproxy/

[7] Chadwick, D.W and A Otenko The PERMIS X.509 Role Based Privilege

Management Infrastructure in 7th ACM Symposium on Access Control Models and Technologies 2002

[8] R Alfieri, R Cecchini, V Ciaschini - VOMS, an Authorization System for Virtual Organizations

[9] Akos Frohner, and Karoly Lorentey - VO Management with VOMS

[10] Ian Foster, Carl Kesselman, Steven Tuecke, 2001 - Enabling Scalable Virtual organizations

[11] Markus Lorch, 2004 - The PRIMA System for Privilege Management, Authorization and Enforcement in Grid Environments.

Ngày đăng: 17/12/2023, 02:18

Nguồn tham khảo

Tài liệu tham khảo Loại Chi tiết
[1]. Ian Foster, Carl Kesselman - The Grid: Blueprint for a New Computing Infrastructure, 1 st edition, Morgan Kaufmann Publishers, San Francisco, USA (1 November 1998), ISBN: 1558604758 Sách, tạp chí
Tiêu đề: The Grid: Blueprint for a New Computing Infrastructure
[5]. Trịnh Nhật Tiến – Giáo trình AN TOÀN DỮ LIỆU. 2008 [6]. MyProxy – Credential Management Servicehttp://grid.ncsa.illinois.edu/myproxy/ Sách, tạp chí
Tiêu đề: Giáo trình AN TOÀN D"Ữ" LI"Ệ"U. 2008
[3]. IBM Red Books - Introduction to Grid Computing with Globus Khác
[4]. Mark Baker, Rajkumar Buyya, Domenico Laforenza - Grids and Grid technologies for wide-area distributed computing Khác
[7]. Chadwick, D.W. and A. Otenko. The PERMIS X.509 Role Based Privilege Management Infrastructure. in 7th ACM Symposium on Access Control Models and Technologies. 2002 Khác
[8]. R. Alfieri, R. Cecchini, V. Ciaschini - VOMS, an Authorization System for Virtual Organizations Khác
[9]. Akos Frohner, and Karoly Lorentey - VO Management with VOMS Khác
[10]. Ian Foster, Carl Kesselman, Steven Tuecke, 2001 - Enabling Scalable Virtual organizations Khác
[11]. Markus Lorch, 2004 - The PRIMA System for Privilege Management, Authorization and Enforcement in Grid Environments Khác

TRÍCH ĐOẠN

Minh họa cài đặt cơ chế an toàn bảo mật cho dịch vụ GRAM Người dùng với VOMS

Dịch vụ quản lý giấy uỷ nhiệm

TÀI LIỆU CÙNG NGƯỜI DÙNG

  • Đang cập nhật ...

TÀI LIỆU LIÊN QUAN