Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 114 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
114
Dung lượng
4,13 MB
Nội dung
Header Page of 16 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN VĂN TRUNG NGHIÊN CỨU VIỆC ĐẢM BẢO AN TOÀN THÔNG TIN TRONG HỆ THỐNG TÍNH TOÁN LƯỚI LUẬN VĂN THẠC SĨ Hà Nội - 2015 Footer Page of 16 Header Page of 16 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN VĂN TRUNG NGHIÊN CỨU VIỆC ĐẢM BẢO AN TOÀN THÔNG TIN TRONG HỆ THỐNG TÍNH TOÁN LƯỚI Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin Mã số: 60.48.05 LUẬN VĂN THẠC SĨ NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS Trịnh Nhật Tiến Hà Nội - 2015 Footer Page of 16 Header Page of 16 MỤC LỤC MỤC LỤC DANH MỤC THUẬT NGỮ LỜI CAM ĐOAN LỜI CẢM ƠN 10 CHƯƠNG TỔNG QUAN VỀ TÍNH TOÁN LƯỚI 11 1.1 TÍNH TOÁN LƯỚI 11 1.1.1 Khái niệm Tính toán lưới 11 1.1.2 Lợi ích Tính toán lưới 13 1.1.3 Vấn đề hệ thống lưới 15 1.1.4 Kiến trúc lưới 16 1.2 VẤN ĐỀ AN TOÀN THÔNG TIN TRONG TÍNH TOÁN LƯỚI 17 1.2.1 Các thách thức an toàn Tính toán lưới 18 1.2.2 Các sách bảo đảm an ninh cho hệ thống lưới 20 1.2.3 Kiến trúc an ninh cho hệ thống lưới 23 CHƯƠNG NỀN TẢNG AN TOÀN THÔNG TIN LƯỚI GSI 29 2.1 CÁC KHÁI NIỆM CƠ BẢN VỀ AN TOÀN THÔNG TIN 29 2.1.1 Mã hóa thông tin 29 2.1.2 Hệ mã hóa khóa đối xứng 30 2.1.3 Hệ mã hóa khóa phi đối xứng 31 2.1.4 Chữ ký số 32 2.1.5 Chứng số 33 2.1.6 Nhà cung cấp quản lý chứng số 35 2.2 CƠ SỞ HẠ TẦNG AN TOÀN THÔNG TIN TRÊN LƯỚI 37 2.2.1 Cơ sở hạ tầng mật mã khóa công khai 37 2.2.2 Bảo vệ thông tin mức thông điệp mức giao vận 38 2.2.3 Giấy ủy nhiệm lưới 39 2.2.4 Sự ủy quyền 39 2.2.5 Chứng thực GSI 40 2.2.6 Ứng dụng GSI 40 2.3 BỘ CÔNG CỤ GLOBUS TOOLKIT 4.0 41 2.3.1 Thành phần Globus Toolkit 41 2.3.2 An toàn bảo mật Globus Toolkit 45 Footer Page of 16 Header Page of 16 2.3.3 Minh họa cài đặt chế an toàn bảo mật cho dịch vụ GRAM 47 CHƯƠNG HỆ THỐNG QUẢN LÝ TỔ CHỨC ẢO 50 3.1 TỔ CHỨC ẢO 50 3.1.1 Khái niệm tổ chức ảo 50 3.1.2 Tổ chức ảo tài nguyên lưới 51 3.1.3 Thông tin người dùng tổ chức ảo 53 3.1.3.1 Cấu trúc tổ chức ảo 53 3.1.3.2 Thông tin người dùng 54 3.1.3.3 Định dạng thông tin VO 55 3.1.3.4 Thông tin quyền người dùng với RP 55 3.2 HỆ THỐNG QUẢN LÝ TỔ CHỨC ẢO 56 3.2.1 Người dùng với VOMS 57 3.2.1.1 Người dùng lưới với VOMS 57 3.2.1.2 Người quản trị với VOMS 60 3.2.2 Dịch vụ VOMS 61 3.2.2.1 Dịch vụ sinh thuộc tính AAS 62 3.2.2.2 Dịch vụ đăng ký & quản trị ARS 63 3.2.3 Phân quyền người dùng VOMS 64 3.2.3.1 Danh sách điều khiển truy cập 64 3.2.3.2 Quyền thực tác vụ quản lý VO VOMS 65 3.3 DỊCH VỤ TẠO DANH SÁCH TRUY CẬP EDG-MKGRIDMAP 69 CHƯƠNG KẾT QUẢ THỬ NGHIỆM 70 4.1 HỆ THỐNG QUẢN LÝ NGƯỜI DÙNG LƯỚI TÍNH TOÁN 70 4.1.1 Giới thiệu hệ thống GOODAS 71 4.1.2 Mô hình bảo mật cho GOODAS 73 4.2 THÀNH PHẦN QUẢN LÝ TỔ CHỨC ẢO 74 4.2.1 Sử dụng VOMS 74 4.2.1.1 Người dùng lưới VOMS 75 4.2.1.2 Người quản trị VOMS 78 4.2.2 Sử dụng EDG-MKGRIDMAP 86 4.3 THÀNH PHẦN QUẢN LÝ GIẤY UỶ NHIỆM 86 4.3.1 Cổng điện tử lưới 86 4.3.1 Mô hình uỷ quyền truy nhập cổng điện tử lưới 88 4.3.3 Dịch vụ quản lý giấy uỷ nhiệm 89 4.4 MỘT SỐ HANB CHÊC CỦA VOMS 92 Footer Page of 16 Header Page of 16 4.4.1 Hạn chế VOMS 92 4.4.2 Hạn chế EDG-MKGRIDMAP 93 4.5 HƯỚNG PHÁT TRIỂN CỦA VOMS 94 4.5.1 VOMRS kết hợp VOMS 94 4.5.1.1 Tổng quan VOMRS 94 4.5.1.2 Đồng VOMRS VOMS 96 4.5.2 GUMS & PRIMA thay EDG-MKGRIDMAP 97 KẾT LUẬN 99 TÀI LIỆU THAM KHẢO 100 PHỤ LỤC: CÀI ĐẶT VOMS VÀ EDG-MKGRIDMAP .101 CÀI ĐẶT VOMS 101 1.1 Chuẩn bị hệ thống 101 1.2 Cài đặt VOMS 102 CÀI ĐẶT EDG-MKGRIDMAP 104 2.1 Chuẩn bị hệ thống 104 2.2 Cài đặt EDG-MKGRIDMAP 104 CẤU HÌNH HỆ THỐNG 105 3.1 Cấu hình VOMS 105 3.2 Cấu hình VO 107 3.3 Cấu hình EDG-MKGRIDMAP 111 Footer Page of 16 Header Page of 16 DANH MỤC THUẬT NGỮ Từ viết tắt AAS Nghĩa tiếng Anh Attribute Authority Service Chú giải Dịch vụ phân quyên thuộc tính AC Attribute Certificate Chứng nhận thuộc tính ACL Access Control Lists Danh sách điều khiển quyền truy cập ARS Dịch vụ đăng ký quản trị CA Administration and Registration Service Certificate Authority CAS Community Authorization DN Distinguished Name EDGEDG Make Gridmap MKGRIDMAP FTP GOODAS GRAM GRIM GSI GSS-API GT GUMS LMJFS MJS File Transfer Protocol Grid Oriented Online Document Analysing System Globus Resource Allocation Management Grid Resource Identity Mapper Grid Security infrastructure Generic Security Service Application Program Interface Globus Toolkit Nhà cung cấp quản lý chứng số Dịch vụ thẩm quyền cộng đồng Tên phân biệt người dùng lưới Công cụ tự động ánh xạ người dụng cục người dùng thuộc VO Giao thức truyền file qua mạng TCP Hệ thống lưới tìm kiếm so khớp tài liệu điện tử Quản lý định vị tài nguyên lưới Ánh xạ thực thể tài nguyên lưới Hạ tầng an toàn thông tin lưới Giao diện lập trình ứng dụng dịch vụ bảo mật chung Bộ công cụ phát triển Globus Alliance, dùng để phát triển ứng dụng lưới Grid User Management Hệ thống quản lý người dùng lưới System Local Managed Job Factory Dịch vụ sinh MJS địa phương Services Managed Job Service Dịch vụ quản lý công việc Footer Page of 16 Header Page of 16 MMJFS OGSA PKI Master Managed Job Factory Service Open Grid Service Architecture Public Key Infrastructure PRIMA PRivilige Management and Authorization RP SAML Resource Provider Security Assertion Markup Language Service Oriented SOA Trình chủ sinh MJS Kiến trúc dịch vụ lưới Hạ tầng khóa công khai Dịch vụ quản lý ưu tiên phân quyền Nhà cung cấp tài nguyên Ngôn ngữ đánh dấu liên kết an toàn Kiến trúc hướng dịch vụ Architecture Protocol Giao thức truy cập đối tượng đơn giản SSL Secure Sockets Layer Giao thức bảo mật lớp sockets TLS Transport Layer Security Giao thức bảo mật tầng giao vận VO VOMRS Virtual Organization Virtual Organization Management Registration Service Virtual Organization Membership Service Web Service Web Service Deployment Tổ chức ảo Dịch vụ quản lý đăng ký tổ chức ảo SOAP Simple Object Acess VOMS WS WSDD Dịch vụ thành viên tổ chức ảo Dịch vụ web Ngôn ngữ đặc tả dịch vụ Web Descriptor WSRF Web Services Resource Framework Framework đưa GT4 hỗ trợ kiến trúc lập trình LỜI MỞ ĐẦU Hiện tính toán lưới lên công nghệ nhiều hứa hẹn tương lai, với khả tập hợp nguồn tài nguyên nhàn rỗi, nhằm hướng tới mục tiêu hiệu tính toán khả chia sẻ, truyền thông liệu Nhiều trung Footer Page of 16 Header Page of 16 tâm nghiên cứu tổ chức giới áp dụng triển khai công nghệ vào thực tiễn, mở khả lĩnh vực công nghệ thông tin lĩnh vực khác Do đặc điểm đa dạng không đồng tổ chức tài nguyên lưới, vấn đề bảo mật lưới vấn đề quan tâm hàng đầu Có vấn đề bảo mật chưa gặp công nghệ bảo mật cho hệ thống tính toán phân tán truyền thống Các thách thức an toàn bảo mật đưa sách bảo mật liên miền cho lưới, công nghệ điều khiển truy nhập miền khác Một vấn đề quan trọng đặt nghiên cứu an toàn bảo mật lưới việc quản lý bảo mật danh sách điều khiển truy nhập môi trường động có tính phân tán cao Luận văn trình bày giải pháp hoàn chỉnh cho việc quản lý người dùng lưới, xác thực phân quyền cho phép người dùng hay tổ chức ảo gia nhập Giải pháp phát triển lưới tìm kiếm so khớp tài liệu điện tử liên trường GOODAS Hệ thống lưới phát triển trung tâm tính toán hiệu cao (HPCC) thuộc trường đại học Bách Khoa Hà Nội Cấu trúc luận văn bao gồm mục sau Chương I: Tổng quan tính toán lưới Chương II: Nền tảng an toàn thông tin lưới GSI Chương III: Hệ thống quản lý tổ chức ảo Chương IV: Kết thử nghiệm Kết luận, Phụ lục & Tài liệu tham khảo trình bày phần cuối luận văn LỜI CAM ĐOAN Tôi xin cam kết nội dung báo cáo chưa nộp cho chương trình cấp thạc sĩ nhưu chương trình cấp khác Footer Page of 16 Header Page of 16 Tôi xin cam đoan kết đạt luận văn sản phẩm nghiên cứu, tìm hiểu riêng cá nhân Trong toàn nội dung luận văn, điều trình bày cá nhân tổng hợp từ nhiều nguồn tài liệu Tất tài liệu tham khảo có xuất xứ rõ ràng trích dẫn hợp pháp Tôi xin hoàn chịu trách nhiệm chịu hình thức kỷ luật theo quy định cho lời cam đoan Học viên Nguyễn Văn Trung LỜI CẢM ƠN Trước hết, tác giả xin bày tỏ lòng biết ơn sâu sắc tới thầy giáo hướng dẫn PGS.TS Trịnh Nhật Tiến ý kiến đóng góp chuyên môn động viên khích lệ thầy suốt trình làm nghiên cứu Tôi xin gửi lời cám ơn trân trọng tới GS.TS Nguyễn Thanh Thủy, Giám đốc Trung tâm Tính toán hiệu cao Trường Đại học Bách Khoa Hà Nội Thầy tạo điều kiện sở vật chất tinh thần cho trình nghiên cứu trung tâm Tôi xin gửi tới Khoa Công nghệ thông tin, Trường Đại học Công nghệ, Đại học Quốc Gia Hà Nội toàn thể thầy cô, anh chị bạn lời cảm ơn chân thành giúp đỡ nhiệt tình, vô giá trình nghiên cứu học tập Footer Page of 16 Header Page 10 of 16 Và cuối xin gửi lời cảm ơn gia đình, bố, mẹ, vợ hỗ trợ thiếu họ Tình yêu họ, khích lệ, động viên, quan tâm, chăm sóc họ giúp vượt qua tất khó khăn để theo học chương trình hoàn thiện luận văn cuối khoá Tôi xin chân thành cảm ơn! Chương TỔNG QUAN VỀ TÍNH TOÁN LƯỚI 1.1 TÍNH TOÁN LƯỚI 1.1.1 Khái niệm Tính toán lưới Ngày nay, với phát triển vượt bậc khoa học kỹ thuật công nghệ, xuất toán nhiều lĩnh vực đòi hỏi sức mạnh tính toán mà máy tính riêng lẻ đảm trách Tính toán lưới đời nhằm tạo khả chia sẻ tài nguyên phạm vi toàn cầu, khả tận dụng phần mềm tài nguyên vật lý phân tán mặt địa lý Hình 1-1: Tính toán lưới - Định nghĩa 1: Lưới tính toán sở hạ tầng phần cứng phần mềm cung cấp khả truy nhập quán, tin cậy, qui mô rẻ tới tài nguyên tính toán mạnh 10 Footer Page 10 of 16 Header Page 100 of 16 Về phía người quản lý, VOMRS bổ sung thêm tính tạm treo quyền thành viên, định kỳ kiểm tra thời gian quyền thành viên hiệu lực Qua đó, kịp thời gửi thông báo hết hạn tới cho người dùng yêu cầu họ đăng ký quyền thành viên VOMRS hỗ trợ nhiều cấp bậc quản trị VO Mỗi cấp bậc có vai trò trách nhiệm riêng Cụ thể, người đại diện VO (Representative) xử lý yêu cầu tham gia VO người dùng Sau đó, yêu cầu gia nhập nhóm người dùng lại quản lý nhóm (Group Manager) phụ trách Quản trị VO (VO Admin) có quyền cao toàn VO Nhóm VOMRS mở rộng tính quản lý trạng thái nhóm Nhóm trạng thái mở hạn chế tùy theo định quản lý nhóm Nếu nhóm trạng thái mở, người dùng tham gia vào nhóm tự Ngược lại, nhóm tình trạng hạn chế, người dùng phải phép quản lý nhóm gia nhập nhóm Mọi hành động người dùng người quản trị ghi lại VOMRS database gọi kiện VOMRS VOMRS gửi thông báo có kiện xảy nhận yêu cầu Ví dụ: Các thành viên nhận thông báo trạng thái thành viên Người quản trị nhận thông báo có yêu cầu tham gia nhóm người dùng, có nhóm, vai trò tạo 100 Footer Page 100 of 16 Header Page 101 of 16 Hình 4- 23: Đồng VOMS VOMRS 4.5.1.2 Đồng VOMRS VOMS Một đặc điểm quan trọng VOMRS có khả trao đổi thông tin thành viên với hệ thống khác thông qua chế thông báo kiện Nhờ VOMRS đồng với VOMS để quản lý người dùng VO Chính xác, thông tin thành viên VOMRS chuyển qua VOMS thông qua API VOMS-Admin Cụ thể, VOMRS kích hoạt, chức đăng ký VOMS tạm thời bị tắt Người dùng người quản trị làm việc với thông tin nhóm, vai trò thực trực tiếp giao diện VOMRS Sau đó, định kỳ, VOMRS đồng thông tin với sở liệu VOMS Việc cấp chứng thực sử dụng tài nguyên lưới VOMS đảm nhiệm 101 Footer Page 101 of 16 Header Page 102 of 16 4.5.2 GUMS & PRIMA thay EDG-MKGRIDMAP Tương lai phát triển hệ thống kết hợp VOMRS VOMS để bổ sung lẫn quản lý thông tin người dùng lưới cấp độ VO Còn cấp độ RP, dịch vụ EDG-MKGRIDMAP với chế ánh xạ cứng hạn chế thay hai dịch vụ GUMS PRIMA mềm dẻo Hình 4- 24: Kiến trúc GUMS Cụ thể, hệ thống có PRIMA GUMS, người dùng lưới muốn sử dụng tài nguyên, đầu tiên, họ gửi yêu cầu cấp chứng thực tạm thời tới VOMS/VOMRS VOMS/VOMRS trả lại người dùng chứng số sử dụng lưới, bên có gắn thêm thông tin nhóm vai trò người dùng Khi chứng nhận gửi tới bên cung cấp tài nguyên RP để xin sử dụng, GateKeeper trích thông tin Để kiểm tra thông tin này, PRIMA sử dụng để hỗ trợ cho GateKeeper PRIMA sau tiếp tục liên hệ với GUMS (Grid User Management System) để kiểm tra quyền sử dụng tài nguyên người dùng GUMS tiếp tục liên hệ với VOMS để lấy thông tin người dùng Sau lấy thông tin, GUMS kết hợp với sách tài nguyên site cục để tiến hành ánh xạ GUMS cung cấp chế ánh xạ tĩnh thông qua GridMap ánh xạ động liên kết với PRIMA GUMS giống EDG-MKGRIDMAP khả ánh xạ tĩnh EDG-MKGRIDMAP trực tiếp trả tài khoản ánh xạ cho người dùng (cung cấp ánh xạ động) PRIMA 102 Footer Page 102 of 16 Header Page 103 of 16 Hình 4- 25: Dự án VO Services GUMS PRIMA thành phần dự án “VO Services” bao gồm VOMS/VOMRS, Globus Toolkit/Glite, GUMS, PRIMA VO Services giải pháp toàn diện cho quản trị người dùng lưới cấp độ VO RP Hiện tại, VO Services ứng dụng rộng rãi EGEE, PRAGMA, US ATLAS, US CMS, FermiGrid Hướng phát triển tương lai hệ thống quản lý người dùng lưới GOODAS triển khai VO Services KẾT LUẬN Luận văn tập trung nghiên cứu tìm hiểu vấn đề an toàn thông tin cho lưới cách toàn diện có hệ thống Dựa tảng đó, luận văn đưa mô hình an toàn bảo mật cho hệ thống quản lý tổ chức ảo quản lý giấy uỷ nhiệm môi trường lưới nói chung tích hợp với hệ thống tìm kiếm chia sẻ tài liệu trực tuyến GOODAS nói riêng Các kết luận văn là: 1/ Tìm hiểu nghiên cứu tài liệu để hệ thống lại vấn đề sau: + Tổng quan tính toán lưới: định nghĩa tính toán lưới, lợi tích kiến trúc lưới, + Vấn đề an toàn thông tin tính toán lưới: thách thức an toàn bảo mật kiến trúc an ninh cho hệ thống tính toán lưới 103 Footer Page 103 of 16 Header Page 104 of 16 + Cơ sở hạ tầng an toàn thông tin lưới GSI: bao gồm giấy chứng nhận giấy uỷ nhiệm lưới khả uỷ quyền, chứng thực đa phương toàn vẹn + Hệ thống quản lý tổ chức ảo: khái niệm tổ chức ảo, mô hình quản lý ứng dụng dịch vụ VOMS EDG-MKGRIDMAP + Cổng điện tử lưới: khái niệm cổng điện tử lưới vấn đề quản lý giấy uỷ nhiệm cổng điện tử lưới 2/ Thử nghiệm chương trình: Luận văn xây dựng Hệ thống quản lý người dùng lưới tổ chức ảo cho lưới tính toán Hệ thống cài đặt thử nghiệm lưới tìm kiếm chia sẻ tài liệu điện tử GOODAS Các thành phần Hệ thống bao gồm: + Thành phần quản lý tổ ảo: cho phép quản lý tổ chức ảo VO, hoạt động đăng ký lưới, xác định quyền truy nhập đến dịch vụ hệ thống + Thành phần quản lý giấy uỷ nhiệm: thiết lập kiểm soát truy nhập dịch vụ tài nguyên lưới quản lý giấy uỷ nhiệm thông qua Cổng điện tử lưới Một phần kết luận văn trình bày báo cáo hội nghị khoa học ICT.rda’08, Chương trình KC.01/06-10 Kết ứng dụng luận văn xác nhận Trung tâm tính toán hiệu cao (Trường Đại học Bách khoa Hàn Nội.) Các minh chứng phần phụ lục TÀI LIỆU THAM KHẢO [1] Ian Foster, Carl Kesselman - The Grid: Blueprint for a New Computing Infrastructure, 1st edition, Morgan Kaufmann Publishers, San Francisco, USA (1 November 1998), ISBN: 1558604758 [2] IBM Red Book - Introduction to Grid Computing [3] IBM Red Books - Introduction to Grid Computing with Globus [4] Mark Baker, Rajkumar Buyya, Domenico Laforenza - Grids and Grid technologies for wide-area distributed computing [5] Trịnh Nhật Tiến – Giáo trình AN TOÀN DỮ LIỆU 2008 [6] MyProxy – Credential Management Service http://grid.ncsa.illinois.edu/myproxy/ 104 Footer Page 104 of 16 Header Page 105 of 16 [7] Chadwick, D.W and A Otenko The PERMIS X.509 Role Based Privilege Management Infrastructure in 7th ACM Symposium on Access Control Models and Technologies 2002 [8] R Alfieri, R Cecchini, V Ciaschini - VOMS, an Authorization System for Virtual Organizations [9] Akos Frohner, and Karoly Lorentey - VO Management with VOMS [10] Ian Foster, Carl Kesselman, Steven Tuecke, 2001 - Enabling Scalable Virtual organizations [11] Markus Lorch, 2004 - The PRIMA System for Privilege Management, Authorization and Enforcement in Grid Environments PHỤ LỤC: CÀI ĐẶT VOMS VÀ EDG-MKGRIDMAP Cài đặt VOMS Hiện tại, có nhiều cách để cài đặt VOMS thông qua trình cài đặt PACMAN công cụ VDT (Virtual Data Toolkit), trực thuộc Đại học WinconsinMadison Đây cách mà lưới PRAGMA thực Tuy nhiên, trình cài đặt PACMAN chạy số tảng hạn chế AIX; CentOS 5; Debian 3, 4; Mac OS X; Red Hat Enterprise Linux 3, 4, 5; ROCKS Linux 3.3 x86; Scientific Linux Fermi 3, x86; SUSE Linux Nên trình cài đặt PACMAN hệ điều hành phổ biến khác Fedora hay Ubuntun gặp nhiều lỗi thư viện phát triển chí thất bại Cách thứ hai để cài đặt VOMS sử dụng repository DAG, gLite, jpackage17 …cho công cụ quản lý phần mềm yum tiến hành cài đặt thông qua “yum install voms” Đây hướng dẫn thức gLite Nhưng, với nhà quản trị hệ thống, để hệ thống âm thầm thực cài đặt hệ thống lớn, dù tiện lợi trước mắt, để quản trị hệ thống lâu dài vận hành trơn tru trở ngại lớn Phần sau trình bày cách triển khai hệ thống phần 105 Footer Page 105 of 16 Header Page 106 of 16 1.1 Chuẩn bị hệ thống Yêu cầu tối thiểu cho hệ thống Java 5, MySQL 5, Apache-Tomcat trở lên Phiên lựa chọn để thử nghiệm Java SE 1.6, MySQL 5.1.35 ApacheTomcat 5.5.28 Các gói cấu hình hệ thống VOMS phải chuẩn bị bao gồm: Gói cấu hình chung glite: glite-config-3.1.3-3.slc4.i386.rpm glite-info-generic-2.0.2-3.noarch.rpm glite-info-templates-1.0.0-11.noarch.rpm glite-security-trustmanager-1.8.16-3.noarch.rpm glite-security-util-java-1.4.0-1.noarch.rpm glite-security-utils-config-3.1.0-1.slc4.i386.rpm glite-version-3.1.0-1.slc4.i386.rpm Gói cấu hình VOMS: glite-security-voms-admin-client-2.0.11-1.noarch.rpm glite-security-voms-admin-interface-2.0.2-2.noarch.rpm glite-security-voms-admin-server-2.0.18-1.noarch.rpm glite-security-voms-api-cpp-1.8.12-1.slc4.i386.rpm glite-security-voms-api-noglobus-1.8.8-2.slc4.i386.rpm glite-security-voms-clients-1.8.12-1.slc4.i386.rpm glite-security-voms-config-1.8.12-1.slc4.i386.rpm glite-security-voms-mysql-3.1.0-1.slc4.i386.rpm glite-scurity-voms-server-1.8.12-1.slc4.i386.rpm 10 glite-VOMS_mysql-3.1.3-0.noarch.rpm 11 glite-voms-server-config-3.1.7-4.slc4.i386.rpm Và nhiều gói phần mềm phụ thuộc kèm khác, tùy thuộc vào thư viện phát triển kèm hệ điều hành 1.2 Cài đặt VOMS 106 Footer Page 106 of 16 Header Page 107 of 16 Để tiến hành cài đ.ặt ta sử dụng lệnh “rpm -ivh TenGoiCaiDat.rpm” Quá trình cài đặt gói gói phụ thuộc tiến hành gói gliteVOMS_mysql-3.1.3-0.noarch.rpm thông báo cài đặt thành công Các gói thư viện phụ thuộc cài đặt khó Có thể thông qua việc download gói cài đặt trực tiếp thông qua trình hỗ trợ cài đặt Yum Extender Trình hỗ trợ quản lý phần mềm Yum Extender Một số ý trình cài đặt là: • Cài đặt gói phần mềm phụ thuộc trước, thứ tự cài đặt gói đảm bảo để tránh lỗi “Fail Dependencies” • Cài đặt gói VOMS sau cùng, gặp trường hợp thiếu gói thư viện giằng (gói A yêu cầu phải có gói B, gói B yêu cầu phải có gói A) giải Yum Extender Nếu gói phần mềm bị trùng lặp thư viện, dùng tham số –replacefiles – force Cài đặt EDG-MKGRIDMAP 2.1 Chuẩn bị hệ thống Yêu cầu tối thiểu cho hệ thống Java 5, Perl 5.8 trở lên Phiên lựa chọn để thử nghiệm Java SE 1.6, Perl 5.10 Một số gói cấu hình phụ thuộc kèm: openldap-clients-2.4.15-6.fc11.i586.rpm 107 Footer Page 107 of 16 Header Page 108 of 16 openldap-servers-2.4.15-6.fc11.i586.rpm perl-Crypt-SSLeay-0.57-2.el4.rf.i386.rpm perl-Date-Manip-5.54-2.el4.rf.noarch.rpm perl-LDAP-0.34-5.fc11.noarch.rpm perl-libwww-perl-5.805-1.1.1.noarch.rpm Gói cấu hình chính: edg-mkgridmap-3.0.0-1.noarch.rpm edg-mkgridmap-conf-3.0.0-1.noarch.rpm 2.2 Cài đặt EDG-MKGRIDMAP - Cách thức cài đặt EDG-MKGRIDMAP giống với phương pháp cài đặt VOMS Cài đặt gói thư viện phụ thuộc: yum enablerepo=addons enablerepo=extras install perl-IO-Socket-SSL perlNetSSLeay - Cài đặt edg-mkgridmap rpm -Uvh edg-mkgridmap-3.0.0-1.noarch.rpm edg-mkgridmap-conf-3.0.01.noarch.rpm Cấu hình hệ thống 3.1 Cấu hình VOMS - Thiết lập biến môi trường VOMS: cp $GLITE_LOCATION/etc/profile.d/glite-env.sh /etc/profile - Sửa tiếp /etc/profile: #Cau hinh VOMS GLITE export GLITE_LOCATION=/opt/glite PATH=$PATH:$GLITE_LOCATION/bin:$GLITE_LOCATION/sbin/ export GLITE_LOCATION_VAR=/var/glite export GLITE_LOCATION_LOG=/var/log/glite - Copy gói thư viện cần thiết từ $GLITE_LOCATION/share/vomsadmin/endorsed sang $CATALINA_HOME/common/endorsed cp $GLITE_LOCATION/share/voms-admin/endorsed/* $CATALINA_HOME/co mmon/endorsed 108 Footer Page 108 of 16 Header Page 109 of 16 - Tạo chứng thực dạng java keystore cho localhost: Đây chứng nhận chứng thực cho VOMS server ký CA người dùng tin tưởng Chứng nhận sử dụng trình xác thực lẫn sau Mặc định, gia nhập lưới, ta xin sẵn chứng thực cho host Ta tận dụng chứng thực cho host để làm chứng thực cho VOMS server - Chuyển chứng thực host từ định dạng pem sang định dạng pkcs12: openssl pkcs12 -export -in /etc/grid-security/hostcert.pem -inkey /etc/gridsecurity/hostkey.pem -certfile /etc/grid-security/certificates/ca1d96a0.0 -name "host keystore" -out hoststore.p12 tham số certfile trỏ đến public key chuẩn X509 định dạng pem - Chuyển tiếp sang định dạng java keystore: keytool -importkeystore -srckeystore hoststore.p12 -destkeystore hoststore.ks srcstoretype pkcs12 -deststoretype jks - Thêm chứng nhận nhà cung cấp chứng thực CA ký cho chứng thực server vào keystore: keytool -import -keystore -alias ca1d96a0 -file /etc/gridhoststore.ks security/certificates/ca1d96a0.0 - Vì trình người dùng đăng nhập vào giao diện quản trị đòi hỏi trình xác thực lẫn VOMS server người dùng Để kiểm tra giấy chứng nhận người dùng, ta cần phải có giấy chứng nhận CA cấp chứng nhận cho họ Tương tự trình tạo java keystore cho host, ta tạo java keystore chứa tất chứng nhận CA mà ta tin tưởng keytool -import ca.ks -alias ca1d96a0 -file /etc/gridkeystore security/certificates/ca1d96a0.0 - Cuối cùng, ta cấu hình tomcat hoạt động cổng 8443, giao thức https: Trong đó, tham số clientAuth yêu cầu người dùng phải xuất chứng thực localhost tin cậy, kiểm tra qua truststoreFile CA Tham số keystoreFile trỏ tới chứng thực dạng keystore localhost Ta trỏ tới https://localhost:8443 để kiểm tra kết triển khai Tomcat SSL 3.2 Cấu hình VO Sau cài đặt xong gói phần mềm VOMS, ta tiến hành tạo tổ chức ảo Có cách để tạo tổ chức ảo sử dụng câu lệnh tạo trực tiếp gói cài đặt gLite VOMS MYSQL; điền trực tiếp thông tin tệp cấu hình glite tiện tích kèm gói gLite a Sử dụng lệnh tạo VO trực tiếp voms-admin-configure - Sử dụng $GLITE_LOCATION/sbin/voms-admin-configure, cú pháp sau: voms-admin-configure install dbtype mysql vo createdb –deploy-database dbauser dbapwd dbusername dbpassword port smtp-host mail-from - Khi tạo xong, thông tin cấu hình VO lưu tại: $GLITE_LOCATION/etc/voms/VOName/voms.conf - Trong hệ thống GOODAS, ta tạo VO GOODAS: $GLITE_LOCATION/sbin/voms-admin-configure install \ dbtype mysql \ 110 Footer Page 110 of 16 Header Page 111 of 16 vo GOODAS \ createdb \ deploy-database \ dbauser root \ dbapwd SQLRootPassword \ dbusername trungnv\ dbpassword SQLUserPassword \ port 15000 \ mail-from ndh7891@gmail.com \ smtp-host bkluster.hut.edu.vn - Sau tạo xong VO GOODAS, khởi động VOMS core VOMS-Admin: $GLITE_LOCATION/etc/init.d/voms start GOODAS $GLITE_LOCATION/etc/init.d/voms-admin start GOODAS - Kiểm tra VOMS core VOMS-Admin khởi động: $GLITE_LOCATION/libexec/voms/voms-ping GOODAS Nếu kết OK VOMS-Core khởi động thành công $GLITE_LOCATION/sbin/voms-admin-ping GOODAS Nếu kết OK VOMS-Admin khởi động thành công - Khi muốn gỡ bỏ VO: $GLITE_LOCATION/sbin/voms-admin-configure remove vo GOODAS - Mặc định, lệnh gỡ bỏ VO mà giữ lại sở liệu người dùng Nếu muốn gỡ bỏ VO sở liệu cùng: $GLITE_LOCATION/sbin/voms-admin-configure undeploy-database remove vo GOODAS - Khi hệ thống báo lỗi, xem chi tiết lỗi log Các log VOMS-Core lưu tại: /var/log/voms; VOMS-Admin lưu $CATALINA_HOME/logs/voms-admin-VOName.log b Tạo trực tiếp VO sử dụng tệp cấu hình Glite Ngoài cách dùng câu lệnh trực tiếp tạo VO gói gLite VOMS gLite cung cấp tệp cấu hình VO chuẩn Mẫu tệp cấu hình VO lưu 111 Footer Page 111 of 16 Header Page 112 of 16 /opt/glite/etc/config/templates Người quản trị VO điền thông tin vào mẫu chuẩn gọi script thực thi VO tạo Ta lưu tệp cấu hình chuẩn sang thư mục /opt/glite/etc/config, sau thay đổi trực tiếp giá trị “changme” để tiến hành cấu hình cp /opt/glite/etc/config/templates/* /opt/glite/etc/config Các file cấu hình VO bao gồm: glite-global.cfg.xml: Thiết lập biến môi trường EDG_LOCATION, GPT_LOCATION, GLOBUS_LOCATION, EDG_LOCATION, JAVA_HOME, CATALINA_HOME, , tomcat.user.name, tomcat.user.group glite-security-utils.cfg.xml: Thay đổi email nhận thông báo cron glite-voms-server.cfg.xml: Tham số Giá trị Ý nghĩa voms.db.type mysql Loại sở liệu, MySQL Oracle voms.db.host localhost Hostname server database voms.admin.smtp.host localhost Tên máy chủ SMTP gửi email voms.mysql.admin.name root Tên người quản trị database MySQL Các tham số glite-voms-server.cfg.xml vo-list.cfg.xml: Tham số Giá trị Ý nghĩa vo.name VO-Name Tên VO cài voms.hostname Localhost Hostname server voms voms.port.number 15000 Cổng giao tiếp với VOMS-Core voms.db.name voms_VO-Name Tên database MySQL VO voms.db.user.name vo_VO-Name Tên người dùng MySQL thao tác với database voms_VOName voms.db.user.password 123456 Password cho vo_VO-Name 112 Footer Page 112 of 16 Header Page 113 of 16 voms.admin.notification e-mail ndh7891@gmail.co m Email người quản trị VO voms.admin.certificate admincert.pem Certificate người quản trị VO Các tham số vo-list.cfg.xml - Sau thiết lập tham số, kiểm tra tệp cấu hình thiết lập đúng: $GLITE_LOCATION/etc/config/scripts/glite-voms-server-config.py –c - Thiết lập tất VO VOMS server: $GLITE_LOCATION/etc/config/scripts/glite-voms-server-config.py –configure - Nếu trình thiết lập thành công trả về: The gLite VOMS server was successfully configured - Nếu thiết lập VO đơn lẻ: $GLITE_LOCATION/etc/config/scripts/glite-voms-server-config.py configure vo=VO-Name - Khởi động tất VO VOMS server: $GLITE_LOCATION/etc/config/scripts/glite-voms-server-config.py –start - Khởi động VO VOMS server: $GLITE_LOCATION/etc/config/scripts/glite-voms-server-config.py vo=VO-Name start - - Tắt tất VO VOMS server: $GLITE_LOCATION/etc/config/scripts/glite-voms-server-config.py –stop - Tắt VO VOMS server: $GLITE_LOCATION/etc/config/scripts/glite-voms-server-config.py vo=VO-Name stop - - Kiểm tra trạng thái hoạt động toàn VO VOMS server: $GLITE_LOCATION/etc/config/scripts/glite-voms-server-config.py –status - Gỡ bỏ VO VOMS server: 113 Footer Page 113 of 16 Header Page 114 of 16 $GLITE_LOCATION/etc/config/scripts/glite-voms-server-config.py remove vo=VO-Name - - Gỡ bỏ VO sở liệu nó: $GLITE_LOCATION/etc/config/scripts/glite-voms-server-config.py remove vo=VO-Name remove-db - 3.3 Cấu hình EDG-MKGRIDMAP - Tệp cấu hình EDG-MKGRIDMAP lưu /opt/edg/etc Tệp đại diện cho sách tài nguyên cục máy thực thi Nếu chưa có, ta tạo edgmkgridmap cài đặt sách ánh xạ vào nó: group vomss://vomrs-pragma.sdsc.edu:8443/voms/GOODAS?/GOODAS/AGP agp-user group vomss://vomrspragma.sdsc.edu:8443/voms/GOODAS?/GOODAS/CUDA cuda-user gmf_local /opt/edg/etc/grid-mapfile-local - Tạo tệp gridmap rỗng /opt/edg/etc/grid-mapfile-local để chuẩn bị ghi thông tin ánh xạ vào sử dụng tệp ánh xạ có sẵn /etc/gridsecurity/gridmapfile touch /opt/edg/etc/grid-mapfile-local - Tạo file nhật ký edg-mkgridmap logfile: mkdir /opt/edg/log touch /opt/edg/log/edg-mkgridmap.log 114 Footer Page 114 of 16 ... CÔNG NGHỆ NGUYỄN VĂN TRUNG NGHIÊN CỨU VIỆC ĐẢM BẢO AN TOÀN THÔNG TIN TRONG HỆ THỐNG TÍNH TOÁN LƯỚI Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin Mã số: 60.48.05 LUẬN VĂN THẠC SĨ... ích Tính toán lưới 13 1.1.3 Vấn đề hệ thống lưới 15 1.1.4 Kiến trúc lưới 16 1.2 VẤN ĐỀ AN TOÀN THÔNG TIN TRONG TÍNH TOÁN LƯỚI 17 1.2.1 Các thách thức an toàn Tính toán. .. kết thông qua Web 1.2 VẤN ĐỀ AN TOÀN THÔNG TIN TRONG TÍNH TOÁN LƯỚI Do đặc điểm hỗn tạp không đồng tổ chức tài nguyên lưới, vấn đề an toàn thông tin lưới vấn đề quan tâm hàng đầu Có vấn đề an toàn