1. Trang chủ
  2. » Luận Văn - Báo Cáo

Bảo mật trong mội trường lưới với tiếp cận hướng tác từ

54 250 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 54
Dung lượng 2,06 MB

Nội dung

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - LUẬN VĂN THẠC SĨ KHOA HỌC NGÀNH: CÔNG NGHỆ THÔNG TIN BẢO MẬT TRONG MÔI TRƯỜNG LƯỚI VỚI TIẾP CẬN HƯỚNG TÁC TỬ BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - LUẬN VĂN THẠC SĨ KHOA HỌC BẢO MẬT TRONG MÔI TRƯỜNG LƯỚI VỚI TIẾP CẬN HƯỚNG TÁC TỬ NGÀNH: CÔNG NGHỆ THÔNG TIN MÃ SỐ: LÊ HUY CƯỜNG LÊ HUY CƯỜNG Người hướng dẫn khoa học: PGS.TS NGUYỄN THANH THỦY HÀ NỘI 2006 HÀ NỘI 2006 MỤC LỤC MỤC LỤC LỜI NÓI ĐẦU LỜI CẢM ƠN DANH MỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT DANH MỤC HÌNH VẼ Chương Tổng quan tính toán lưới, bảo mật môi trường lưới 1.1 Tính toán lưới 1.1.1 Giới thiệu tính toán lưới 1.1.2 Lợi ích tính toán lưới 10 1.1.3 Các vấn đề lưới 12 1.1.4 Kiến trúc lưới 14 1.2 Các khái niệm bảo mật 15 1.2.1 Một số thuật ngữ 15 1.2.2 Mã hóa thông tin sử dụng khóa 16 1.2.3 Mã hóa đối xứng 17 1.2.4 Mã hóa công khai 18 1.2.5 Chữ ký điện tử 19 1.2.6 Giấy chứng nhận điện tử Nhà chứng nhận thẩm quyền 21 1.3 Cơ chế bảo mật môi trường lưới 25 1.4 Các sách bảo mật môi trường lưới 28 1.5 Giới thiệu hạ tầng bảo mật lưới GSI 30 1.5.1 Cơ sở hạ tầng khóa công khai 30 1.5.2 Bảo mật mức thông điệp mức giao vận 31 1.5.3 So sánh hiệu bảo mật mức thông điệp với mức giao vận 32 1.5.4 Giấy ủy nhiệm 34 1.5.5 Sự ủy quyền 35 1.5.6 Chứng thực 35 1.5.7 Ứng dụng GSI 36 Chương An toàn bảo mật Globus Toolkit 37 2.1 Giới thiệu GT4 37 2.1.1 GT4, OGSA WSRF 37 2.1.2 Giới thiệu chung dịch vụ web 40 2.1.3 WSRF - tảng tài nguyên dịch vụ web 48 2.1.4 Kiến trúc Globus Toolkit 53 2.2 Các thành phần bảo mật GT4 55 2.3 Ví dụ minh họa: cài đặt bảo mật GRAM 57 Chương Ứng dụng công nghệ tác tử tính toán lưới 61 3.1 Tác tử 61 3.1.1 Khái niệm tác tử 61 3.1.2 Hệ đa tác tử 66 3.1.3 Truyền thông tác tử 73 3.2 Tiềm ứng dụng công nghệ tác tử lưới 76 3.3 Các hướng tiếp cận tích hợp công nghệ tác tử lưới 77 3.4 Hướng triển khai công nghệ tác tử hệ thống BKGrid2006 79 3.4.1 Kiến trúc hệ thống BKGrid2006 79 3.4.2 Xây dựng tác tử giúp đơn giản hóa việc thương lượng sử dụng dịch vụ 81 Chương Xây dựng môđun bảo mật BKGrid 2006 84 4.1 Yêu cầu cần thiết xây dựng môđun quản trị người dùng 84 4.2 Kiến trúc môđun quản trị người dùng 86 4.3 Thiết kế chi tiết 89 4.3.1 Nhà chứng nhận thẩm quyền 89 4.3.2 Thành phần Quản lý giấy ủy nhiệm 91 4.3.3 Thành phần Quản lý ánh xạ người dùng 91 4.3.4 Tích hợp với chức quản lý người dùng 92 4.3.5 Đảm bảo an toàn cho môđun quản trị người dùng 93 4.4 Tích hợp vào hệ thống BKGrid 2006 94 4.5 Hướng dẫn sử dụng 95 4.6 Triển khai thử nghiệm 97 4.6.1 Cấu hình triển khai 97 4.6.2 Kết triển khai 99 Chương Kết luận 102 5.1 Kết đạt 102 5.2 Hướng phát triển 103 TÀI LIỆU THAM KHẢO 104 LỜI NÓI ĐẦU Công nghệ tính toán lưới nghiên cứu, phát triển ứng dụng rộng rãi giới Tuy nhiên, Việt Nam công nghệ mẻ Để bắt kịp với xu chung giới, Trung tâm Tính toán hiệu cao, Trường Đại học Bách Khoa Hà Nội triển khai đề tài Tính toán lưới nhằm mục đích tìm hiểu làm chủ công nghệ ứng dụng vào thực tiễn Lưới tính toán tập bao gồm nhiều tài nguyên phân tán không đồng nhất, tài nguyên thuộc nhiều tổ chức khác Do vậy, hệ thống lưới, vấn đề an ninh bảo mật đặt lên hàng đầu Để trở thành người dùng lưới, người dùng phải đáp ứng yêu cầu phức tạp bảo mật như: có giấy chứng nhận, người quản trị cấp phép truy LỜI CẢM ƠN Trong thời gian làm luận văn tốt nghiệp, nhận hỗ trợ quý báu từ thầy cô giáo, cán thành viên khác Trung tâm Tính toán hiệu cao Trung tâm máy tính Trường Đại học Bách Khoa Hà Nội Em xin chân thành cảm ơn PGS TS Nguyễn Thanh Thủy, Giám đốc Trung tâm Tính toán hiệu cao, người tận tình bảo, cung cấp sở vật chất điều kiện tốt cho em hoàn thành đề tài Em xin chân thành cảm ơn TS Lê Đăng Hưng, thầy đóng góp ý kiến quý báu suốt trình thực đề tài Em xin chân thành cảm ơn ThS Đinh Hùng, thầy động viên tạo điều kiện cho em suốt thời gian thực đề tài cập, lần truy cập vào tài nguyên phải tạo giấy ủy nhiệm để tương tác với Cuối xin gửi lời cảm ơn chân thành tới bạn sinh viên tài nguyên Điều làm khó khăn cho người sử dụng, người sử nhóm GCK46 HPCK46 Các bạn giúp nhiều việc tìm hiểu dụng hiểu biết bảo mật lưới triển khai hệ thống lưới tính toán Trung tâm máy tính Nhiệm vụ luận văn "Bảo mật môi trường lưới với tiếp cận hướng tác tử " nghiên cứu sở hạ tầng bảo mật lưới ứng dụng Hà Nội, ngày 20 tháng 10 năm 2006 Học viên thực công nghệ tác tử tính toán lưới, áp dụng vào xây dựng môđun quản trị người dùng hệ thống lưới BKGrid 2006 Mục đích môđun quản trị người dùng làm cho yêu cầu bảo mật trở nên suốt người dùng Cấu trúc luận văn chia thành chương: ¾ Chương 1: Tổng quan tính toán lưới, bảo mật môi trường lưới ¾ Chương 2: An toàn bảo mật Globus Toolkit 4.03 ¾ Chương 3: Ứng dụng công nghệ tác tử tính toán lưới ¾ Chương 4: Kiến trúc hệ thống BKGrid 2006 mô đun bảo mật ¾ Chương 5: Kết đạt hướng phát triển Lê Huy Cường STT DANH MỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT DANH MỤC HÌNH VẼ Thuật ngữ Giải thích ACL Agent Communication Language AID Agent Identification AMS Agent management System AP Agent Platform DF Directory Facilitator GSI Grid Security Infrastructure GT Globus Toolkit HAP Home Agent Platform KQML Knowledge Query and Manipulation Language 10 MAS MultiAgent System 11 MTS Message Transport Service 12 OGSA Open Grid Services Architecture 13 PKI Public Key Infrastructure 14 SSL/TLS Secure Socket Layer/Transport Layer Security 15 UDDI Universal Description Discovery and Integration 16 WSRF Web Services Resource Framework Hình 1.1 Tính toán lưới với tài nguyên phân tán Hình 1.2 Công việc chuyển sang nút bận 12 Hình 1.3 Kiến trúc phân tầng lưới 15 Hình 1.4 Mã hóa tin sử dụng khóa 16 Hình 1.5 Giải mã thông điệp sử dụng khóa giải 17 Hình 1.6 Mã đối xứng 17 Hình 1.7 Giải thuật mã hóa không đối xứng 18 Hình 1.8 Chữ ký điện tử mã hóa công khai 19 Hình 1.9 Giấy chứng nhận 21 Hình 1.10 Giấy chứng nhận theo chuẩn X509 22 Hình 1.11 Cấu trúc phân cấp Nhà chứng nhận thẩm quyền 24 Hình 1.12 Tổ chức ảo 26 Hình 1.13 Đưa miền sách phân tán vào miền tin tưởng chung tổ chức ảo 27 Hình 1.14 Bảo mật mức giao vận 32 Hình 1.15 Bảo mật mức thông điệp 32 Hình 2.1 Quan hệ OGSA, GT4, WSRF dịch vụ web 39 Hình 2.2 Các dịch vụ web 40 Hình 2.3 Một triệu gọi dịch vụ web điển hình 42 Hình 2.4 Kiến trúc dịch vụ web 43 Hình 2.5 Client server stub sinh từ file WSDL 44 Hình 2.6 Chi tiết triệu gọi dịch vụ web điển hình 45 Hình 2.7 Kiến trúc phía server ứng dụng dịch vụ web 47 Hình 2.8 Một triệu gọi dịch vụ web phi trạng thái 49 Hình 2.9 Một triệu gọi dịch vụ web có trạng thái 49 Hình 2.10 Cách tiếp cận tài nguyên cho vấn đề trạng thái dịch vụ web 50 Hình 2.11 Một dịch vụ web với nhiều tài nguyên, tài nguyên biểu diễn file 51 Hình 2.12 Dịch vụ web – tài nguyên 52 Hình 2.13 Kiến trúc Globus Toolkit 54 Hình 2.14 Ví dụ việc sử dụng dịch vụ dịch vụ khác 56 Hình 2.15 Cơ chế thực GRAM 58 Hình 3.1 Sự phụ thuộc hành động tác tử 72 Hình 3.2 Truyền thông tác tử 73 Hình 3.3 Kiến trúc BKGrid 2006 79 Hình 3.4 Tác tử hỗ trợ thương lượng sử dụng dịch vụ lưới 83 Hình 4.1 Minh hoạ giấy chứng nhận, giấy uỷ nhiệm 84 Hình 4.2 Kiến trúc môđun quản trị người dùng 87 Hình 4.3 Kiến trúc Nhà chứng nhận thẩm quyền 89 Hình 4.4 Sơ đồ lớp Nhà chứng nhận thẩm quyền 90 Hình 4.5 Sơ đồ lớp thành phần Quản lý giấy ủy nhiệm 91 Hình 4.6 Sơ đồ lớp MapService 92 Hình 4.7 Lưu đồ tạo người dùng 93 Hình 4.8 Tương tác môđun đệ trình công việc với môđun quản trị người dùng 95 Hình 4.9 Sơ đồ triển khai thử nghiệm 97 Hình 4.10 Xem thông tin giấy ủy nhiệm 99 Hình 4.11 Tạo giấy ủy nhiệm 100 Hình 4.12 Dịch vụ MathService 101 Chương Tổng quan tính toán lưới, bảo mật môi trường lưới 1.1 Tính toán lưới 1.1.1 Giới thiệu tính toán lưới Ngày nay, với phát triển vượt bậc khoa học kỹ thuật công nghệ, xuất toán nhiều lĩnh vực đòi hỏi sức mạnh tính toán mà máy tính riêng lẻ làm Ngoài ra, nhìn chung người muốn có khả chia sẻ tài nguyên phạm vi toàn cầu, khả tận dụng phần mềm tài nguyên vật lý phân tán mặt địa lý Tính toán lưới đời nhằm giải yêu cầu Hình 1.1 Tính toán lưới với tài nguyên phân tán Tính toán lưới không khái niệm mẻ (được đưa lần vào năm 1998 I Forster C Kesselman [3]), phát triển mạnh mẽ nhiều vấn đề cần giải Một 10 vấn đề việc đưa định nghĩa hoàn chỉnh chuẩn lưới Vì vậy, để có nhìn toàn diện lưới, luận văn không đưa định nghĩa cụ thể Thay vào đó, xem xét khái niệm lưới Từ trước đến nay, tổ chức, cá nhân tùy theo cách quan niệm thực tế xây dựng hệ thống mà đưa định nghĩa khác lưới Chẳng hạn như: sở đặc trưng sau: - Kích thước lớn: theo nghĩa số lượng tài nguyên tiềm tàng khoảng cách mặt địa lý chúng - Định nghĩa 1: Một lưới tính toán sở hạ tầng phần cứng phần mềm cung cấp khả truy nhập quán, tin cậy, qui mô - Phân tán: có độ trễ đáng kể truyền liệu điều ảnh hưởng lớn đến ứng dụng - Động: tài nguyên thay đổi ứng dụng thực rẻ tới tài nguyên tính toán mạnh I Foster, C Kesselman (1999) - Định nghĩa 2: Tính toán lưới liên quan tới việc chia sẻ, điều phối tài nguyên giải vấn đề phạm vi tổ chức ảo I Foster, C Kesselman, S Tuecke, “Anatomy of the Grid“ (2000) - Định nghĩa 3: Một lưới hệ thống có đặc trưng: • Tài nguyên điều phối cách phi tập trung • Sử dụng giao thức chuẩn, mở đa • Cung cấp chất lượng dịch vụ không tầm thường I Foster‘s Three-Point Checklist (HPCWIRE - 22.07.2002) Mỗi tác giả đưa định nghĩa đứng số quan niệm - Hỗn tạp: kiến trúc tính chất nút lưới hoàn toàn khác - Vượt qua phạm vi tổ chức: có nhiều trạm sách truy nhập khác trạm Có thể hình dung đơn giản lưới bao gồm tập tài nguyên đa dạng (còn gọi nút lưới - PC, cluster, hệ thống lưu trữ, …) thuộc nhiều tổ chức nhằm giải toán 1.1.2 Lợi ích tính toán lưới Các lợi ích mà tính toán lưới mang lại bao gồm: định Chẳng hạn định nghĩa bị ảnh hưởng cách sâu sắc dự án - Khai thác tài nguyên nhàn rỗi: lợi ích siêu tính toán (meta-computing) trước Định nghĩa tập trung vào quan tính toán lưới khả chạy ứng dụng tài nguyên khác trọng giao thức phương tiện để tương tác thành phần, Thống kê cho thấy, máy tính để bàn, ngày làm định nghĩa “có thể thích hợp cho nghiên cứu lưới có qui việc có khoảng 5% thời gian bận, lại rỗi [4] Việc tận mô lớn tương lai Định nghĩa bỏ qua nhiều đóng góp từ tổ dụng khoảng thời gian rỗi để chạy ứng dụng khác việc chức công nghiệp, có lẽ không xác đáng” (W Gentzsch, HPCWIRE làm hiệu kinh tế 05.08.2002) - Cung cấp khả xử lý song song: khả chạy ứng dụng song song tính thú vị mà tính toán lưới mang lại Lúc này, 11 12 công việc chia thành nhiều công việc con, công việc thực đồng thời tài nguyên khác lưới Do đó, thời gian chạy ứng dụng rút ngắn nhiều lần Tuy nhiên, vấn đề ứng dụng triển khai theo cách Cần xem xét yếu tố khả song song hóa, trao đổi công việc chạy để đánh giá xem ứng dụng có thực hiệu triển khai lưới hay không - Giúp truy nhập tài nguyên khác: tài nguyên tính toán lưu trữ, lưới cung cấp loại tài nguyên khác, chẳng hạn đường truyền mạng, phần mềm đắt tiền Ví dụ người dùng muốn tăng thông lượng kết nối tới Internet để thực khai phá liệu, tận dụng kết nối Internet riêng biệt nút lưới khác để chạy toán - Giúp cân sử dụng tài nguyên: lưới cung cấp khả lập lịch, giúp phân bổ công việc lên nút cách hợp lý, tránh tình trạng bị tải nút Hình 1.2 Công việc chuyển sang nút bận - Mang lại độ tin cậy: khái niệm tin cậy tính toán lưới thể - Giúp hợp tác tổ chức: hợp tác thể thông qua khái khía cạnh sau: là, lưới có tài nguyên tính niệm tổ chức ảo - kết hợp nhiều tổ chức thực mục tiêu Thông toán đắt tiền, cung cấp độ tin cậy cao cho toán thực qua mô hình tổ chức ảo, tổ chức thực chia sẻ tài nguyên chúng Hai là, lưới cung cấp khả lập lịch lại, phân bổ lại liệu, thiết bị đặc biệt công việc có lỗi xảy Ba là, cần, công việc chạy đồng thời nhiều nút, việc xảy lỗi nút không làm ảnh hưởng đến kết công việc 1.1.3 Các vấn đề lưới Có vấn đề quan tâm xem xét đề cập đến tính toán lưới [5], là: 13 - An toàn bảo mật (Security): Một tảng bảo mật vững định phát triển môi trường tính toán lưới Với tính chất quy mô lớn, quan hệ chia sẻ tài nguyên nhiều tổ chức, an toàn bảo mật phải coi yếu tố hàng đầu lưới Hai vấn đề quan trọng an toàn bảo mật phải xem xét tính toán lưới là: o Chứng thực người dùng (Authentication) o Xác thực thẩm quyền (Authorization) - Lập lịch quản lý tài nguyên (Resource Management and Scheduling): Các tài nguyên lưới thường phân tán không đồng Do đó, việc tích hợp, đồng hóa biểu diễn chúng dạng thống yêu cầu tất yếu Trong môi trường tính toán lưới, thời điểm có nhiều ứng dụng truy cập chia sẻ nhiều tài nguyên khác nhau, cần có lập lịch nhằm tối ưu hóa công việc Bộ lập lịch phải dựa vào thông tin toàn lưới để định thứ tự đệ trình công việc - Dịch vụ thông tin (Information Service): Đối với môi trường động không đồng tính toán lưới thông tin thành phần lưới thay đổi liên tục Chính vậy, dịch vụ thông tin cần cung cấp chế tự động cập nhật đăng ký thông tin toàn hệ thống kiến trúc tài nguyên, dịch vụ cung cấp lưới, trạng thái toàn môi trường lưới - Quản lý liệu (Data Management): Việc truy cập nguồn liệu lưới đòi hỏi khả trao đổi, tương tác với liệu lên đến giga bytes Điều đòi hỏi tính toán lưới 14 phải có chiến lược lưu trữ tối ưu hóa hệ thống lưu trữ 1.1.4 Kiến trúc lưới Theo [6], lưới bao gồm thành phần sau (hình 1.3): - Tầng (Fabric): bao gồm tài nguyên phân tán, tài nguyên có kiến trúc tính chất khác - Tầng trung gian lưới (Core Middleware): cung cấp dịch vụ lưới quản lý truy nhập từ xa, định vị tài nguyên, đăng ký khám phá tài nguyên, bảo mật - Tầng trung gian phía người dùng (User level middleware): bao gồm môi trường phát triển ứng dụng, công cụ lập trình môi giới tài nguyên nhằm lựa chọn tài nguyên phù hợp thực công việc tài nguyên - Các ứng dụng lưới portal: tầng ứng dụng lưới phát triển công cụ hỗ trợ Grid Portal cung cấp giao diện Web cho ứng dụng lưới, giúp người dùng đệ trình công việc tập hợp kết thông qua Web 15 16 cầu) trình hai bên chứng thực lẫn nhau, gọi chứng thực đa phương Đối tượng: tài nguyên bảo vệ sách bảo mật địa phương cụ thể Xác thực thẩm quyền: tiến trình mà thông qua đó, ta xác định chủ thể có phép truy nhập sử dụng tài nguyên hay không Miền tin tưởng: cấu trúc quản lý mức logic, sách bảo mật ổn định, đơn lẻ mức địa phương nắm giữ, hay nói cách khác, tập chủ thể đối tượng quản lý đơn miền quản trị sách bảo mật cục 1.2.2 Mã hóa thông tin sử dụng khóa Để truyền tin an toàn, thông tin gửi người gửi mã hóa khóa mã người nhận để đọc thông tin mã hóa anh(chị) ta phải sử dụng khóa giải để giải mã Người gửi mã hóa thông tin khóa mã gửi cho người nhận: Hình 1.3 Kiến trúc phân tầng lưới 1.2 Các khái niệm bảo mật 1.2.1 Một số thuật ngữ Chủ thể: thành viên hoạt động bảo mật Đối với môi trường lưới, chủ thể thường người dùng, tài nguyên hay tiến trình thay mặt cho tài nguyên Giấy ủy nhiệm: thông tin dùng để cung cấp định danh cho chủ thể để xác định tên vai trò chủ thể Chứng thực: tiến trình để chủ thể chứng minh định danh cho đối tượng yêu cầu Chứng thực hai bên (bên yêu cầu bên yêu Hình 1.4 Mã hóa tin sử dụng khóa Người nhận sử dụng khóa giải để giải mã thông tin 17 18 Các hệ thống bảo mật ngày thường sử dụng thuật toán mã hóa bất đối xứng (các khóa mã khóa giải khác nhau) Mã hóa công khai giải pháp sử dụng phổ biến ngày 1.2.4 Mã hóa công khai Hình 1.5 Giải mã thông điệp sử dụng khóa giải Sau đây, ta xem xét hai phương pháp mã hóa thông dụng mã đối xứng mã công khai 1.2.3 Mã hóa đối xứng Mã hóa đối xứng sử dụng khóa cho trình mã hóa giải mã Trong đó, hàm giải mã hàm ngược hàm mã hóa Hình 1.7 Giải thuật mã hóa không đối xứng Nền tảng mã hóa công khai khóa mã khóa giải khác Các khóa xây dựng cách hàm bẫy sập chiều Đồng thời, cửa bẫy (Trap-door) Trong hai khóa đó, khóa chọn làm khóa bí mật khóa lại chọn làm khóa công khai Khóa bí mật có người chủ nhân Hình 1.6 Mã đối xứng Mặc dù phương pháp mã hóa đối xứng thường có tốc độ cao dễ cài đặt, chúng lại có nhiều yếu điểm Một nhược điểm nắm giữ Khóa công khai công bố rộng rãi cho muốn trao đổi thông tin mật với người sở hữu khóa Khóa công khai sử dụng để mã hóa thông tin khóa bí mật sử dụng để giải mã người gửi người nhận sử dụng khóa mã cần phải có Đối với hệ thống mã hóa công khai, độ phức tạp giải mã thường hàm trao đổi thông tin thống khóa thông qua kênh mật Đây vấn mũ độ phức tạp giải mã hệ thống mã đối xứng thường đề lớn an toàn bảo mật tuyến tính Quá trình giao tiếp hai đối tượng A B mô tả sau: B sinh cặp khóa bí mật công khai, khóa bí mật cất 77 78 Ngược lại, cộng đồng tác tử tập trung vào khía cạnh “trí tuệ”: phần - Xây dựng kiến trúc dịch vụ: hội tụ công nghệ lưới công nghệ mềm giải vấn đề cách tự động, hoạt động cách linh hoạt tác tử đẩy nhanh định nghĩa kiến trúc môi trường không chắn động dịch vụ tích hợp, cung cấp tảng mạnh mẽ cho hành vi tự Đối với hệ tác tử, để xây dựng khả linh hoạt phức tạp, trị Kiến trúc phải định nghĩa giao diện hành vi hỗ trợ môi trường phân tán thực sự, mối quan hệ xã hội cấu trúc tổ chức dịch vụ động có trạng thái, tập giao diện dịch vụ xem có sẵn Chẳng hạn, môi trường phát triển tác tử cung cấp mức cao giúp theo dõi quản lý Việc định nghĩa tập phù khả suy diễn phức tạp bên trong, mà không hỗ trợ việc tương tác an hợp phần tử cấu trúc kết nghiên cứu quan trọng, có toàn hay tìm kiếm dịch vụ; giải thuật cộng tác hướng đến kết tối thể làm cho việc tạo lập, tái sử dụng kết hợp thành phần ưu mặt xã hội, mà giả sử tác tử có toàn tri thức cần thiết, hoạt động giải thuật thương lượng nhằm đạt kết tối ưu cho tất tác tử - Thương lượng quản lý dựa tin cậy: hầu hết hệ phân tham gia, lại giả sử tất thành phần hệ thống tán, tương tác thực thể (dịch vụ) bảo đảm biết đến bắt đầu trình thương lượng không thay đổi trình tin cậy hoàn toàn Nhiều định xác thực thường phải thực vận hành hệ thống Do đó, nói tác tử hoàn toàn “trí tuệ” mà với thiếu chặt chẽ quan hệ tin tưởng bắp Tầng trung gian lưới giải vấn đề xác thực, không Như vậy, có hai vấn đề cần giải Đối với lưới, để hiệu phải cho vấn đề khó thiết lập, theo dõi, quản lý tin tưởng việc đạt mục tiêu, cần có thêm khả định linh hoạt, phi tập trung môi trường động, mở Yêu cầu đặt cần kỹ thuật Còn tác tử, cần môi trường phân tán mạnh cho phép chúng khám phá, triệu gọi, liên kết quản lý khả cần thiết để thực thi định Sự hội tụ công nghệ lưới công nghệ tác tử rõ ràng Vì vậy, việc ứng dụng công nghệ tác tử vào môi trường lưới hướng nghiên cứu hứa hẹn cho việc biểu diễn suy diễn tin cậy - Khả tiên đoán hệ thống: Việc cung cấp đảm bảo hiệu hệ thống quan trọng, đặc biệt môi trường phân tán động lưới Sự đảm bảo đòi hỏi hiểu biết sâu sắc hành vi hệ thống - Khả cộng tác người máy tính: Nhiều tổ chức ảo có tính chất lai tạp, nghĩa số vấn đề đảm nhận người, 3.3 Các hướng tiếp cận tích hợp công nghệ tác tử lưới Ta liệt kê số hướng tiếp cận cho việc ứng dụng công nghệ tác tử vào lưới sau: số khác lại máy tính phụ trách Các thành phần phải làm việc ăn khớp với để đạt mục tiêu chung, việc xây dựng nên mô hình hợp tác cần thiết 79 80 - Tích hợp ngữ nghĩa: Các hệ thống phân tán mở bao gồm nhiều chủ sở Để làm điều này, môđun quản trị người dùng BKGrid 2006 hữu tài nguyên với sách quản lý tài nguyên khác bao gồm chức cấp giấy chứng nhận, giấy ủy nhiệm người dùng, ánh Việc tương tác dựa ý nghĩa khó thực hiện, tổ chức có xạ người dùng lưới với người dùng cục Người dùng đăng ký toài khoản mô hình liệu riêng khác Vấn đề đặt cần thống qua Portal sử dụng cần cung cấp tên mật sử dụng định nghĩa ontology, điều hoà lược đồ hay ngữ hệ thống Mục tiêu xây dựng mô đun quản trị người dùng ràng nghĩa buộc an ninh bảo mật trở nên suốt với người dùng, tạo điều kiện 3.4 Hướng triển khai công nghệ tác tử hệ thống BKGrid2006 3.4.1 Kiến trúc hệ thống BKGrid2006 cho việc sử dụng hệ thống từ xa Hệ thống trở nên trực quan, đơn giản với người dùng; người dùng hiểu biết sâu tính toán lưới sử dụng hệ thống Hệ thống BKGrid 2006 xây dựng dựa kiến trúc phân tầng, thành phần hướng dịch vụ, phục vụ yêu cầu cụ thể, riêng biệt người dùng Hệ thống xây dựng tảng hệ điều hành Linux công cụ Globus Toolkit phiên 4.0.3 với mô đun cần thiết như: 3.4.1.2 Môđun khai phá liệu Weka Weka hệ chương trình khai phá tri thức sử dụng rộng rãi giới Chúng chọn làm ứng dụng thử nghiệm để triển khai môi trường lưới BKGrid 2006 Đặc điểm ứng dụng dạng yêu cầu nhiều nguồn tài nguyên tính toán lưu trữ nên thích Môđun quản trị người dùng Môđun Khai phá liệu BKGrid 2006 Portal Môđun Lập lịch Môđun đệ trình công việc Java Cog Kit Java Framework Globus Toolkit 4.03 Hệ điều hành Linux Hình 3.3 Kiến trúc BKGrid 2006 3.4.1.1 Môđun quản trị người dùng Ngoài chức quản trị người dùng Portal thông thường, môđun quản trị người dùng BKGrid 2006 có chức khác quan trọng kết hợp Portal với tài nguyên lưới trở thành hệ thống hợp để triển khai môi trường lưới Các thuật toán sở Weka bóc tách viết lại dạng dịch vụ lưới Đây dịch vụ khai phá liệu triệu gọi sử dụng lập lịch môi giới tài nguyên 3.4.1.3 Môđun đệ trình công việc Môđun đệ trình công việc cho phép người dùng triệu gọi sử dụng từ xa tiện ích trung tâm tính toán hiệu cao dịch vụ dịch vụ chạy ứng dụng từ xa Người dùng việc viết sẵn ứng dụng theo chuẩn MPI sau đệ trình lên Portal BKGrid 2006, dịch vụ tính toán cluster chịu trách nhiệm điều khiển thực thi ứng dụng trả lại kết xử lý cho người dùng 81 82 hệ thống portlet Một lối vào grid application portlet PDSR 3.4.1.4 Môđun lập lịch Tài nguyên môi trường lưới nhiều đa dạng Khi có công mô tả portlet ontology, ràng buộc portlet yêu cầu liệu theo ngữ việc cần thực hiện, điều quan trọng chọn nghĩa Một cung cấp dịch vụ thêm vào chất lượng tài nguyên cần, để thực công việc với thời gian chi phí dịch vụ cho portlet PDSR Với aplication thấp Môđun lập lịch tiếp nhận yêu cầu người dùng, sử dụng thông portlet, chẳng hạn giải vấn đề miền, chất lượng tin từ môđun thông tin, lựa chọn tài nguyên phù hợp để thực công việc dịch vụ mô tả mở rộng toán miền giải Công việc thực yêu cầu khai phá liệu, đệ trình công Với portlet hệ thống, chẳng hạn giải việc Môđun lập lịch phải đảm nhận theo dõi công việc, phục hồi chống lỗi toán có liên quan với miền, chất lượng dịch vụ mô tả loại công trước thông báo kết cho người dùng việc mà portlet phù hợp cho xử lý 3.4.2 Xây dựng tác tử giúp đơn giản hóa việc thương lượng sử dụng dịch vụ - Portlet Interface Repository (PInR) sử dụng để lưu trữ thông tin liên quan tới giao diện OGSA Grid Service Handle (GSH) Việc sử dụng công nghệ Portal cho phép tạo môi trường làm việc riêng dịch vụ lưới liên quan với Một giao diện mô tả cách sử dụng biệt cho người dùng, người dùng tùy chọn số thay đổi tham số vào/ra portlet Ví dụ như, giao diện portlet môi trường làm việc mình, đồng thời tách biệt chức dịch vụ trang web mô tả đầu vào tệp liệu đơn giản riêng biệt từ phía máy chủ tái sử dụng thành phần chức Web viết HTML XML, đầu ảnh Để xây dựng Portals lưới, hướng quan tâm nhiều sử bảng Mỗi giao diện portlet PinR có lối vào dụng portlet cộng đồng lưới Tuy nhiên, tưởng tượng có PDSR ngày nhiều portlet phát triển cộng đồng điều - Portlet Implementation Repository(PImR) sử dụng để lưu trữ gây thêm khó khăn cho người dùng tìm kiếm portlet phù việc thực đầy đủ portlet thông qua tham chiếu dịch vụ hợp Vì vậy, portlet nên thích với ngữ nghĩa để cải thiện lưới (OGSA Grid Service Reference - GSR) kết hợp với dịch hiệu việc tìm kiếm portlet Hướng phát triển hệ thống BKGrid vụ lưới 2006 hướng tới mục tiêu Bằng cách dựa công cụ GT4 để xây dựng portal lưới ngữ nghĩa với portlet lưu trữ vào kho: Khi sử dụng dịch vụ lưới qua portal, người tiêu thụ dịch vụ, chẳng hạn người dùng đầu cuối cần thương lượng với nhà cung - Portlet Domain Service Repository (PDSR) sử dụng để đăng ký cấp dịch vụ điều kiện để sử dụng dịch vụ Sự phức tạp bên portlet với khả ngữ nghĩa Một lối vào portlet trang web hạ tầng lưới nhu cầu làm việc nhanh chóng làm cho agent PDSR mô tả cách tổ chức liệu trang Web Một lối phần mềm trở thành ứng cử viên phù hợp để làm công việc thương lượng vào portlet hệ thống lưới PDSR mô tả chức yêu cầu 83 84 Khi xây dựng Grid portal, người dùng truy xuất portlet thông qua User Agent (UA) Mỗi UA đóng vai người dùng người tiêu thụ dịch vụ tương tác với Grid System Agent (GSA) đóng vai trò nhà cung cấp dịch vụ Một UA giúp đỡ người dùng việc biểu diễn yêu cầu portlet, đệ trình yêu cầu người dùng cho GSA Trong lúc nhận yêu cầu portlet người dùng, GSA tìm phù hợp ngữ nghĩa PDSR Nếu có giao diện portlet phù hợp thể dịch vụ tạo kết hợp với portlet cách chuyển Chương Xây dựng môđun bảo mật BKGrid 2006 4.1 Yêu cầu cần thiết xây dựng môđun quản trị người dùng Như trình bày chương trước, việc chứng thực xác thực thẩm quyền lưới chủ yếu dựa vào giấy chứng nhận giấy ủy nhiệm (xem minh hoạ hình 4.1) Để sử dụng tài nguyên lưới, trước tiên người quản trị hệ thống phải cài đặt Nhà chứng nhận thẩm quyền Globus Toolkit cung cấp sẵn Nhà chứng nhận thẩm quyền SimpleCA Sau đó, để người dùng trở thành thành viên lưới sử dụng GSH tới tham chiếu dịch vụ lưới GSR phù hợp tài nguyên lưới, người dùng phải thực bước sau: SGP Tìm phù hợp ngữ nghĩa (2) Biểu diễn toán dạng XML Mô tả toán (1) UA GSA SGP (5) SGH SGP SGH PDSR SGP (3) Sắp đặt giao diện Hình 4.1 Minh hoạ giấy chứng nhận, giấy uỷ nhiệm (4) PInR PImR Hình 3.4 Tác tử hỗ trợ thương lượng sử dụng dịch vụ lưới Xin giấy chứng nhận từ Nhà chứng nhận thẩm quyền Quá trình bao gồm bước sau: o Cài đặt gói Nhà chứng nhận thẩm quyền cung cấp để có khả tạo file yêu cầu xin giấy chứng nhận ứng với Nhà chứng nhận thẩm quyền o Tạo file yêu cầu xin giấy chứng nhận (cert_request) o Gửi file yêu cầu xin giấy chứng nhận cho Nhà chứng nhận thẩm quyền (chẳng hạn qua thư) o Nhà chứng nhận thẩm quyền xem xét, sau ký lên file yêu cầu để tạo giấy chứng nhận gửi lại cho người dùng 85 Yêu cầu người quản trị tài nguyên nút lưới ánh xạ định danh người dùng giấy chứng nhận với tài khoản người dùng cục (gridmap-file) Sau đó, muốn sử dụng dịch vụ hay tài nguyên, người dùng tạo giấy ủy nhiệm từ giấy chứng nhận, giấy ủy nhiệm dùng để tương tác với tài nguyên giúp chương trình hoạt động thay mặt người dùng Để thực công việc trên, với mà Globus Toolkit cung 86 thông tin khác môđun quản trị người dùng quản lý Để thực mục tiêu đề ra, công việc cần thực là: - Xây dựng Nhà chứng nhận thẩm quyền riêng hệ thống cung cấp chức liên quan đến giấy chứng nhận: xin giấy chứng nhận, cấp giấy chứng nhận - Tích hợp Nhà chứng nhận thẩm quyền vào chức quản lý người dùng BKGrid 2006 Portal, tạo tài khoản người dùng tạo giấy chứng nhận cho người dùng cấp, người dùng bắt buộc phải thực bước nút lưới có cài - Xây dựng thành phần quản lý giấy ủy nhiệm dùng để tạo giấy ủy nhiệm đặt đủ tiện ích cần thiết Các tiện ích Globus Toolkit cung cấp có từ giấy chứng nhận Thành phần quản lý giấy ủy nhiệm thể sử dụng cách thực dạng dòng lệnh, hoàn toàn tích hợp vào môđun quản trị người dùng, sử dụng cần giao diện để lập trình Người dùng đăng ký sử dụng lưới từ xa tạo giấy ủy nhiệm cung cấp giấy ủy nhiệm cho người dùng Môđun bảo mật hệ thống BKGrid2005 [1] cung cấp khả lấy giấy ủy nhiệm từ kho lưu trữ cung cấp cho người dùng cần thiết Để sử dụng chức này, hệ thống phải cài đặt Nhà chứng nhận thẩm quyền, người dùng phải xin giấy chứng nhận yêu cầu Nhà chứng nhận thẩm quyền ký, sau người dùng tạo giấy ủy nhiệm lưu giữ giấy ủy nhiệm vào kho lưu trữ trực tuyến Các công việc hoàn toàn phải thực thủ công nút lưới Sau qua bước người dùng sử dụng Portal để lấy giấy ủy nhiệm cần thiết Để khắc phục tồn trên, mục tiêu luận văn đặt tích hợp tất công việc vào chức quản trị người dùng Portal bình thường Việc xin giấy chứng nhận, ký giấy chứng nhận, tạo giấy ủy nhiệm môđun quản trị người dùng đảm nhiệm Tất công việc trở nên suốt với người dùng, người dùng cần nhớ tên mật khẩu, tất - Xây dựng thành phần quản lý ánh xạ người dùng để ánh xạ người dùng lưới sang người dùng cục nút lưới 4.2 Kiến trúc môđun quản trị người dùng Mô đun quản trị người dùng bao gồm thành phần (được thể hình 4.2) sau: - Thành phần Cơ sở liệu: Lưu thông tin người dùng: tên đăng nhập, tên đầy đủ, email, mật khẩu, tổ chức thông tin giấy chứng nhận người dùng - Thành phần Nhà chứng nhận thẩm quyền: Có tất chức Nhà chứng nhận thẩm quyền cấp giấy chứng nhận cho người dùng, cho máy Tuy nhiên môđun quản trị người dùng sử dụng chức cấp giấy chứng nhận người dùng phục vụ người dùng 87 88 - Thành phần Quản lý giấy ủy nhiệm: Tạo giấy ủy nhiệm, cung cấp - Thành phần Các chức quản lý người dùng bản: Thành giấy ủy nhiệm cho cần thiết, quản lý vòng đời giấy ủy nhiệm (quản phần kế thừa từ môđun quản lý người dùng Gridsphere lý thời hạn hiệu lực, làm tươi giấy ủy nhiệm) Portal, thực công việc như: tạo người dùng, quản lý thông tin người dùng Những thông tin mà quản lý không bao gồm thông tin liên quan đến môi trường lưới giấy chứng nhận, giấy ủy nhiệm - Thành phần Quản lý người dùng: Thành phần kết hợp Portlet dịch vụ hệ thống Giao diện cho người sử dụng thành phần: Các chức quản trị người dùng bản, Nhà chứng Giao diện cho người quản trị nhận thẩm quyền, Quản lý ánh xạ người dùng, thành phần Quản lý giấy ủy nhiệm, quản lý toàn thông tin liên quan tới người Lấy giấy ủy quyền người dùng Đăng ký tài khoản Đăng nhập Thoát Thay đổi thông tin Xem yêu cầu Tạo tài khoản Thay đổi thông tin dùng, bao gồm giấy chứng nhận giấy ủy nhiệm - Thành phần Giao diện cho người dùng: Giao diện cung cấp cho người dùng bình thường, qua người dùng đăng ký tài khoản, đăng nhập vào, thoát khỏi hệ thống, chỉnh sửa thông tin người dùng - Thành phần Giao diện cho người quản trị: Giao diện cho phép người Quản lý người dùng quản trị xem xét yêu cầu xin đăng ký tài khoản, định có chấp nhận yêu cầu xin đăng ký tài khoản hay không, chỉnh sửa Các chức quản lý người dùng Quản lý ánh xạ người dùng Quản lý giấy ủy nhiệm Nhà chứng nhận thẩm quyền thông tin người dùng hệ thống - Thành phần Portlet dịch vụ hệ thống: Toàn Portal xây dựng dựa công nghệ portlet Mỗi dịch vụ mà hệ thống CSDL Hình 4.2 Kiến trúc môđun quản trị người dùng - Thành phần Quản lý ánh xạ người dùng: Ánh xạ người dùng lưới (đăng ký Portal) sang người dùng cục nút lưới cung cấp (dịch vụ thông tin, dịch vụ weka, môđun đệ trình công việc ) có portlet Portal, thực chất phần client dịch vụ viết theo chuẩn portlet Người dùng sử dụng portlet để triệu gọi dịch vụ chạy bên Để tương tác với tài nguyên hệ thống, portlet lấy giấy ủy nhiệm từ môđun quản trị 89 90 người dùng thông qua giao diện lập trình (API) mà môđun cung cấp 4.3 Thiết kế chi tiết Phần trình bày thiết kế thành phần hệ thống kết hợp thành phần 4.3.1 Nhà chứng nhận thẩm quyền Các lớp Nhà chứng nhận thẩm quyền: «interface» CertSigner +createSubjectKeyId() +createAuthorityKeyId() +loadKeysAndSign() +signCert() +save() +getSignedCert() CertSignerImpl «interface» CertManager +localCertsInstalled() +localCACertsInstalled() +checkCAPassword() +loadLocalCertificates() +installLocalCertificates() +saveLocalCertificates() +saveCertificates() +saveX509Cert() CertManagerImpl Globus Toolkit cung cấp sẵn Nhà chứng nhận thẩm quyền SimpleCA thành phần đơn giản hệ thống xây dựng Nhà chứng nhận thẩm quyền bao gồm bốn thành phần chính: -createSubjectKeyId() -createAuthorityKeyId() -loadKeysAndSign() -signCert() +getSignedCert() +save() +localCertsInstalled() +localCACertsInstalled() +checkCAPassword() +loadLocalCertificates() +installLocalCertificates() +saveLocalCertificates() +saveCertificates() +saveX509Cert() «interface» CertGenerator +makeCertDN() +createCertRequest() +generateSelfSignedCertAndKey() +createX509Cert() +createX509V3Certificate() «interface» GSIProperties +load() +getString() +getProperties() +installBCProvider() +getResBundle() - CertManager: Quản lý giấy chứng nhận Nhà chứng nhận thẩm quyền (do tự Nhà chứng nhận thẩm quyền cấp cho mình), giấy chứng nhận cấp cho người dùng; quản lý yêu cầu xin giấy chứng nhận việc ký giấy chứng nhận - CertGenerator: Tạo yêu cầu xin giấy chứng nhận, sinh giấy chứng nhận tự ký (dùng để làm giấy chứng nhận Nhà chứng nhận thẩm quyền gốc) - CertSigner: Ký yêu cầu xin giấy chứng nhận để tạo giấy chứng nhận - GSIProperties: Quản lý thông số liên quan tới hạ tầng bảo mật lưới (GSI) CertGeneratorImpl -makeCertDN() +createCertRequest() +generateSelfSignedCertAndKey() +createX509Cert() +createX509V3Certificate() GSIPropertiesImpl +load() +getString() +getProperties() +installBCProvider() +getResBundle() «interface» BKCA +usage() +longUsage() +main() BKCA BKCAImpl CertManager CertGenerator CertSigner GSIProperties Hình 4.3 Kiến trúc Nhà chứng nhận thẩm quyền +usage() +longUsage() +main() Hình 4.4 Sơ đồ lớp Nhà chứng nhận thẩm quyền 91 92 Trong lớp CertGeneratorImpl, CertSignerImpl, CertManagerImpl, GSIPropertiesImpl, BKCAImpl tương ứng với thành phần CertGenerator, MapService viết theo chuẩn dịch vụ lưới Sơ đồ lớp thành phần này: CertSigner, CertManager, GSIProperties, BKCA hình 4.3 4.3.2 Thành phần Quản lý giấy ủy nhiệm Như giới thiệu trên, thành phần Quản lý giấy ủy nhiệm thực chức tạo giấy ủy nhiệm, quản lý vòng đời giấy ủy nhiệm, cấp giấy ủy nhiệm cho thành phần khác hệ thống Hình 4.6 Sơ đồ lớp MapService 4.3.4 Tích hợp với chức quản lý người dùng Môđun quản trị người dùng BKGrid 2006 sử dụng lại toàn chức quản lý người dùng mà Gridsphere cung cấp, đồng thời tích hợp ba thành phần Nhà chứng nhận thẩm quyền, Quản lý giấy chứng nhận, Quản Hình 4.5 Sơ đồ lớp thành phần Quản lý giấy ủy nhiệm 4.3.3 Thành phần Quản lý ánh xạ người dùng Như phân tích phần 4.1, sau tạo giấy chứng nhận cho người dùng phải ánh xạ người dùng sang người dùng cục nút lưới Thành phần Quản lý ánh xạ người dùng gồm hai thành phần nhỏ: - Thành phần MapManager Portal: sau tạo người dùng, MapManager dựa vào danh sách nút lưới hệ thống để gửi yêu cầu cập nhật người dùng tới nút Thành phần cài đặt đơn giản - Thành phần MapService cài đặt nút lưới: tiếp nhận yêu cầu từ MapManager thực việc cập nhận người dùng lý ánh xạ người dùng Việc tích hợp ba thành phần vào môđun quản trị người dùng Gridsphere thể điểm sau: - Khi tạo người dùng sử dụng Nhà chứng nhận thẩm quyền để tạo giấy chứng nhận người dùng thực việc ánh xạ người dùng Giấy chứng lưu máy chủ Web Đồng thời thông tin liên quan tới giấy chứng nhận người dùng lưu thêm vào sở liệu người dùng Lưu đồ thực tạo người dùng thể hình 4.7 - Khi người dùng sử dụng dịch vụ Portal, thành phần Quản lý giấy ủy nhiệm tạo giấy ủy nhiệm cung cấp cho dịch vụ hoạt động Thành phần Quản lý giấy ủy nhiệm quản lý thời gian hiệu 93 lực giấy ủy nhiệm tạo lại giấy ủy nhiệm hết hạn sử dụng 94 Môđun có nhiều mức bảo vệ như: - Bảo vệ qua chế bảo vệ chung máy chủ web Portal Giấy ủy nhiệm lưu máy chủ web địa khác Các dịch vụ Portal phép sử dụng giấy ủy nhiệm, không phép truy cập vào giấy chứng nhận người dùng - Bảo vệ mã hóa: giấy chứng nhận giấy ủy nhiệm mã hóa mật - Bảo vệ qua quyền truy cập file: file lưu giấy chứng nhận giấy ủy nhiệm đọc ghi chủ sở hữu file (chính tài khoản người dùng kích hoạt máy chủ web- hệ điều hành Linux thường root); người dùng lại kể nhóm với chủ sở hữu quyền truy cập - Các thành phần khác hệ thống sử dụng giấy ủy nhiệm, truy cập vào giấy chứng nhận Giấy ủy nhiệm lại có thời hạn sử dụng ngắn Do có ý định công giấy ủy nhiệm này, công xong sử dụng giấy ủy nhiệm - Khi truyền giấy ủy nhiệm cho thành phần khác sử dụng truyền nội dung giấy ủy nhiệm không truyền đường dẫn giấy ủy nhiệm hệ thống Điều giữ bí mật cách lưu trữ giấy ủy nhiệm, giảm khả bị công - Luôn thực việc kiểm tra xem giấy chứng nhận giấy ủy nhiệm có bị thay đổi không (về nội dung file quyền truy cập file) Nếu có thay đổi cảnh báo cho người quản trị Hình 4.7 Lưu đồ tạo người dùng 4.3.5 Đảm bảo an toàn cho môđun quản trị người dùng Môđun quản trị người dùng quản lý thông tin quan trọng liên quan tới người dùng, có thông tin liên quan tới bảo mật lưới giấy chứng nhận giấy ủy nhiệm Do việc đảm bảo an toàn cho môđun quan trọng 4.4 Tích hợp vào hệ thống BKGrid 2006 Môđun quản trị người dùng thực phía hệ thống, thành phần khác hệ thống muốn thực phải thông qua môđun quản trị người dùng Trước tiên môđun quản trị người dùng định có cho phép người dùng sử dụng Portal hay không, sau môđun cung cấp giấy ủy nhiệm cho thành phần muốn tương tác với tài nguyên lưới 95 Một ví dụ tương tác môđun quản trị người dùng với môđun đệ trình công việc biểu diễn lưu đồ sau: 96 Nhà chứng nhận thẩm quyền Do hệ thống cần cài đặt Nhà chứng nhận thẩm quyền BKCA mà không cần Nhà chứng nhận thẩm quyền khác Sau hướng dẫn sử dụng BKCA dòng lệnh: - Để tạo file yêu cầu xin giấy chứng nhân: BKCA req - Để tạo giấy chứng nhận cho máy (host certificate): BKCA host - Để ký giấy yêu cầu tạo giấy chứng nhận Hình 4.8 Tương tác môđun đệ trình công việc với môđun quản trị người dùng Như hình vẽ, người dùng yêu cầu môđun đệ trình công việc thực hiện, môđun yêu cầu môđun quản trị người dùng cấp cho giấy ủy BKCA ca - Hiển thị thông tin giấy chứng nhận BKCA x509 Các tham số việc tạo yêu cầu xin giấy chứng nhận: nhiệm Sau môđun đệ trình công việc tương tác với tài nguyên bên o out [đường dẫn tới file chứa yêu cầu tạo ra] để thực công việc Sau công việc thực xong, môđun o keyout [đường dẫn tới file chứa khóa bí mật tạo ra] đệ trình công việc trả lại kết cho người dùng Trong toàn trình này, người dùng không cần biết giấy ủy nhiệm 4.5 Hướng dẫn sử dụng Trên Portal, việc quản trị người dùng đơn giản, không khác việc quản trị người dùng Portal thông thường Tất công việc liên quan tới Nhà chứng nhận thẩm quyền, giấy chứng nhận, giấy ủy nhiệm o pwd [mật dùng để mã hóa] o dn [định danh giấy chứng nhận] o bits [độ dài giấy chứng nhận] Các tham số việc ký giấy chứng nhận: o rq [đường dẫn tới file chứa yêu cầu xin giấy chứng nhận] thực tự động, người dùng người quản trị không cần o out [đường dẫn file chứa giấy chứng nhận tạo ra] quan tâm tới chúng o cacert [đường dẫn tới file chứa giấy chứng nhận Nhà chứng Riêng Nhà chứng nhận thẩm quyền BKCA, việc cung cấp giao diện lập trình (API) cho chương trình khác sử dụng (chẳng hạn môđun Nhà chứng nhận thẩm quyền), Nhà chứng nhận thẩm quyền BKCA sử dụng trực tiếp dòng lệnh với đầy đủ tính nhận thẩm quyền] o cakey [đường dẫn tới file chứa khóa bí mật Nhà chứng nhận thẩm quyền] o capwd [mật Nhà chứng nhận thẩm quyền] 97 98 Các tham số việc xin giấy chứng nhận cho máy: o out [đường dẫn tới file chứa giấy chứng nhận máy tạo ra] o keyout [đường dẫn tới file chứa khóa bí mật giấy chứng nhận máy] Hệ thống triển khai minh họa hình 4.9 Hệ thống triển khai bao gồm: - Một máy chủ web sử dụng Web Server Jakarta-tomcat-4.1.31 - nút lưới có cài phần mềm Globus Toolkit 4.03, có nút lưới o capwd [mật Nhà chứng nhận thẩm quyền] o dn [định danh giấy chứng nhận máy] máy chủ web - Client: máy kết nối tới máy chủ web qua trình duyệt Các tham số cho việc xem thông tin giấy chứng nhận X509: o in [đường dẫn tới file chứa giấy chứng nhận X509] web Khi tiến hành triển khai thử nghiệm, thành phần lại hệ thống BKGrid 2006 (môđun thông tin, môđun weka, môđun đệ trình công việc) 4.6 Triển khai thử nghiệm Chúng tiến hành triển khai thử nghiệm hạ tầng mạng LAN Trung tâm máy tính, khoa Công nghệ thông tin Trung tâm Tính toán hiệu cao, trường Đại học Bách Khoa Hà Nội chưa hoàn thành Hơn toàn hoạt động môđun Quản trị người dùng hoàn toàn ẩn so với người dùng, luận văn tiến hành xây dựng hai dịch vụ nhỏ để kiểm tra hoạt động hệ thống: - Dịch vụ tính toán MathService: thực phép tính cộng, trừ, nhận 4.6.1 Cấu hình triển khai chia Dịch vụ viết dạng dịch vụ lưới, bao gồm hai thành phần: Máy 30 192.168.50.30 CSDL Máy 26 192.168.50.26 Máy 27 192.168.50.27 o Server: thực thi trình chứa Globus Toolkit, cài đặt nút lưới Máy chủ Web Nút lưới Nút lưới Nút lưới o Client: viết dạng portlet tích hợp vào Portal - Dịch vụ ProxyService: cho phép người dùng xem thông tin giấy ủy Ethernet 100MB nhiệm mình, xin cấp lại giấy ủy nhiệm ProxyService viết dạng portlet thành phần Portal ` ` Client Client 192.168.50.x Nút lưới Máy 28 192.168.50.28 Nút lưới 192.168.201.x Máy 29 192.168.50.29 Hình 4.9 Sơ đồ triển khai thử nghiệm Dịch vụ ProxyService xây dựng với mục đích kiểm nghiệm khả cấp giấy ủy nhiệm tạo giấy ủy nhiệm, chứng tỏ việc tạo giấy chứng nhận thực tốt 99 100 MathService xây dựng để thấy trở thành thành viên Portal, người dùng sử dụng dịch vụ khác Portal tài nguyên hệ thống lưới 4.6.2 Kết triển khai Tất chức môđun quản trị người dùng hoạt động tốt Khi tạo người dùng, giấy chứng nhận đồng thời tạo ra, tất nút lưới cập nhật thông tin người dùng để ánh xạ vào grid-mapfile Dịch vụ ProxyService: Khi kích chuột vào nút View Proxy thông tin giấy ủy nhiệm ô chữ bên Hình 4.11 Tạo giấy ủy nhiệm Điểm khác hình 4.10 4.11 thời gian hiệu lực giấy ủy nhiệm Trong hình 4.10, giấy ủy nhiệm sử dụng thời gian thời gian hiệu lực 20129 giây Trong hình 4.11 giấy ủy nhiệm tạo thời gian hiệu lực 25199 giây Khi tạo nhiều người dùng, nhiều người dùng đăng nhập vào Portal, chức hoạt động đúng, thông tin giấy ủy nhiệm cấp cho người dùng khác Như toàn chức tạo giấy chứng nhận, giấy ủy nhiệm thực Dịch vụ MathService: Hình 4.10 Xem thông tin giấy ủy nhiệm Khi kích chuột vào nút Refresh Proxy, giấy uỷ quyền tạo thông tin giấy ủy nhiệm ô chữ: Có thể chọn nút thực dịch vụ từ hộp danh sách nút (listbox) Khi nhập số vào ô Input Number, sau kích chuột vào nút Add, phía server thực trả kết quả: 101 102 Chương Kết luận 5.1 Kết đạt Luận văn tập trung nghiên cứu vấn đề liên quan đến bảo mật môi trường lưới việc ứng dụng công nghệ hướng tác tử để giảm thiểu khó khăn cho người sử dụng Ngoài luận văn xem Hình 4.12 Dịch vụ MathService Thông tin phía Server: The caller is: C=VN,L=1024,O=hpc,E=binhbm@yahoo.com,CN=binhbm,CN=proxy Invoke method: ADD(15) Current value: 171 Dịch vụ thực tốt chọn nút lưới khác xét việc cài đặt thêm vào mô đun quản trị người dùng hệ thống BKGrid 2006 đạt số kết sau: - Kết hợp người dùng lưới người dùng Portal Người dùng có quyền sử dụng Portal có quyền sử dụng thành phần khác hệ thống, bao gồm tài nguyên lưới - Làm suốt yêu cầu bảo mật người dùng Hệ thống trở nên trực quan dễ hiểu người dùng Người dùng không cần có hiểu biết lưới bảo mật lưới sử dụng hệ thống - Giúp cho người dùng sử dụng hệ thống từ xa, kể lúc đăng ký tài khoản lúc sử dụng thành phần hệ thống - Giúp cho việc phát triển ứng dụng lưới dễ dàng hơn, quan tâm tới việc phải đảm bảo yêu cầu bảo mật lưới triển khai ứng dụng Môđun quản trị người dùng có ý nghĩa mở rộng hệ thống, số lượng người dùng tài quyên lớn, việc thao tác tay trở nên tải Hiện môđun triển khai để phục vụ riêng hệ thống lưới BKGrid Khi cần kết nối với tổ chức lưới khác cần yêu cầu tổ chức công nhận Nhà chứng nhận thẩm quyền BKCA hệ thống Công việc thực đơn giản cách cung cấp cho tổ chức cần kết nối giấy chứng nhận Nhà chứng nhận thẩm quyền BKCA (được tạo BKCA sử dụng lần đầu tiên), tổ chức lưu giấy chứng nhận 103 104 vào thư mục chứa giấy chứng nhận Nhà chứng nhận thẩm quyền tin tưởng họ Như môđun quản trị người dùng giải hoàn chỉnh việc quản trị người dùng lưới, bao gồm bảo mật lưới TÀI LIỆU THAM KHẢO Tiếng Việt [1] Nguyễn Văn Trung, Các chế bảo mật tính toán lưới, Đồ án tốt 5.2 Hướng phát triển Việc quản trị người dùng lưới có liên quan mật thiết với việc quản trị tài nguyên lưới, chẳng hạn phải ánh xạ người dùng lưới sang người dùng cục nút lưới Hiện hệ thống BKGrid 2006 chưa có môđun quản trị nghiệp Kỹ sư Đại học Bách Khoa Hà nội (2005) [2] Nguyễn Nhật Tân, Môi giới tài nguyên lưới dùng công nghệ tác tử, Đồ án tốt nghiệp Kỹ sư Đại học Bách Khoa Hà nội (2006) tài nguyên, môđun quản trị người dùng lấy danh sách nút lưới Tiếng Anh cách thủ công Cách làm có số nhược điểm: [3] Ian Foster, Carl Kesselman (eds), The Grid: Blueprint for a New - Không cập nhật động danh sách nút lưới: không phát nút lưới tham gia vào hệ thống, nút dừng hoạt động - Phức tạp số nút lưới lớn Hướng phát triển thời gian tới xây dựng môđun quản trị tài Computing Infrastructure, 1st edition, Morgan Kaufmann Publishers, San Francisco, USA (1 November 1998), ISBN: 1558604758 [4] IBM Red Book, Introduction to Grid Computing (December 2005.) [5] IBM Red Books, Introduction to Grid Computing with Globus (September nguyên sử dụng công nghệ agent để quản lý toàn tài nguyên hệ thống 2003.) cách động đồng thời hướng tới xây dựng BKGrid thành lưới ngữ [6] Mark Baker, Rajkumar Buyya, Domenico Laforenza, Grids and Grid nghĩa technologies for wide-area distributed computing [7] The Globus Security TeamGlobus Toolkit Version 4, Grid Security Infrastructure: A Standards Perspective [8] Wooldridge, M, Agent-based software engineering IEEEProc Software Engineering, 144 26-37 1997 [9] Jennings, N.R, An agent-based approach for building complex software systems, Communications of the ACM, 44 (4) 35-41 2001 [10] Ian Foster, Carl Kesselman, Gene Tsudak, Steven Tuecke, A security architecture for computational grid 105 [11] Von Velch, Frank Siebenlist, Ian Foster, John BresnahanCarl, Karl Czajkowski, Jarek Gawor, Carl Kesselman, Sam Meder, Laura Perlman, Steven Tuecke, Security for Grid Services [12] http://www.globus.org [13] http://www.ggf.org [14] http://www.oasis-open.org

Ngày đăng: 04/08/2016, 19:30

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w