Đảm bảo an toàn cho môđun quản trị người dùng

Một phần của tài liệu Bảo mật trong môi trường lưới với tiếp cận hướng tác từ (Trang 95)

Môđun quản trị người dùng quản lý những thông tin quan trọng liên quan tới người dùng, trong đó có những thông tin liên quan tới bảo mật lưới như giấy chứng nhận và giấy ủy nhiệm. Do vậy việc đảm bảo an toàn cho môđun là rất quan trọng.

Môđun này có nhiều mức bảo vệ như:

- Bảo vệ qua cơ chế bảo vệ chung của máy chủ web và Portal.

- Bảo vệ bằng mã hóa: giấy chứng nhận và giấy ủy nhiệm được mã hóa bằng mật khẩu.

- Bảo vệ qua quyền truy cập file: file lưu giấy chứng nhận và giấy ủy nhiệm chỉ có thể đọc và ghi bởi chủ sở hữu file (chính là tài khoản người dùng kích hoạt máy chủ web- trên hệđiều hành Linux thường là root); những người dùng còn lại kể cả trong cùng nhóm với chủ sở hữu đều không có quyền truy cập.

- Các thành phần khác của hệ thống chỉ có thể sử dụng giấy ủy nhiệm, không thể truy cập vào giấy chứng nhận. Giấy ủy nhiệm lại có thời hạn sử dụng ngắn. Do đó nếu có ý định tấn công trên giấy ủy nhiệm này, khi tấn công xong cũng không thể sử dụng giấy ủy nhiệm này nữa. - Khi truyền giấy ủy nhiệm cho các thành phần khác sử dụng sẽ truyền

nội dung của giấy ủy nhiệm chứ không truyền đường dẫn của giấy ủy nhiệm trong hệ thống. Điều này sẽ giữ bí mật được cách lưu trữ giấy ủy nhiệm, giảm khả năng bị tấn công.

- Luôn luôn thực hiện việc kiểm tra xem giấy chứng nhận và giấy ủy nhiệm có bị thay đổi không (về nội dung file và quyền truy cập file). Nếu có bất kỳ sự thay đổi nào sẽ lập tức cảnh báo cho người quản trị.

4.4.Tích hp vào h thng BKGrid 2006

Môđun quản trị người dùng thực hiện ở phía trên cùng của hệ thống, các thành phần khác trong hệ thống muốn thực hiện phải thông qua môđun quản trị người dùng. Trước tiên môđun quản trị người dùng quyết định có cho phép người dùng sử dụng Portal hay không, sau đó môđun này cung cấp giấy ủy nhiệm cho các thành phần muốn tương tác với tài nguyên lưới.

Một ví dụ về tương tác giữa môđun quản trị người dùng với môđun đệ trình công việc được biểu diễn trong lưu đồ sau:

Hình 4.8. Tương tác giữa môđun đệ trình công việc với môđun quản trị người dùng

Như hình vẽ, khi người dùng yêu cầu môđun đệ trình công việc thực hiện, môđun này sẽ yêu cầu môđun quản trị người dùng cấp cho nó giấy ủy nhiệm. Sau đó môđun đệ trình công việc sẽ tương tác với các tài nguyên bên dưới để thực hiện công việc. Sau khi công việc được thực hiện xong, môđun đệ trình công việc trả lại kết quả cho người dùng. Trong toàn bộ quá trình này, người dùng không cần biết về giấy ủy nhiệm.

4.5.Hướng dn s dng

Trên Portal, việc quản trị người dùng hết sức đơn giản, nó không khác gì việc quản trị người dùng của một Portal thông thường. Tất cả các công việc liên quan tới Nhà chứng nhận thẩm quyền, giấy chứng nhận, giấy ủy nhiệm đều được thực hiện tự động, người dùng và người quản trị đều không cần quan tâm tới chúng.

Riêng đối với Nhà chứng nhận thẩm quyền BKCA, ngoài việc cung cấp giao diện lập trình (API) cho các chương trình khác sử dụng (chẳng hạn như trong môđun Nhà chứng nhận thẩm quyền), Nhà chứng nhận thẩm quyền BKCA còn có thể sử dụng trực tiếp bằng dòng lệnh với đầy đủ các tính năng

của một Nhà chứng nhận thẩm quyền. Do vậy hệ thống chỉ cần cài đặt Nhà chứng nhận thẩm quyền BKCA mà không cần bất kỳ Nhà chứng nhận thẩm quyền nào khác. Sau đây là hướng dẫn sử dụng BKCA bằng dòng lệnh:

- Để tạo file yêu cầu xin giấy chứng nhân:

BKCA req

- Để tạo giấy chứng nhận cho máy (host certificate):

BKCA host

- Để ký giấy một yêu cầu và tạo giấy chứng nhận

BKCA ca

- Hiển thị thông tin về giấy chứng nhận

BKCA x509

Các tham số trong việc tạo yêu cầu xin giấy chứng nhận:

o out [đường dẫn tới file chứa yêu cầu sẽ tạo ra]

o keyout [đường dẫn tới file chứa khóa bí mật sẽ tạo ra]

o pwd [mật khẩu dùng để mã hóa]

o dn [định danh của giấy chứng nhận]

o bits [độ dài giấy chứng nhận]

Các tham số trong việc ký giấy chứng nhận:

o rq [đường dẫn tới file chứa yêu cầu xin giấy chứng nhận]

o out [đường dẫn của file chứa giấy chứng nhận sẽ tạo ra]

o cacert [đường dẫn tới file chứa giấy chứng nhận của Nhà chứng nhận thẩm quyền]

o cakey [đường dẫn tới file chứa khóa bí mật của Nhà chứng nhận thẩm quyền]

Các tham số trong việc xin giấy chứng nhận cho máy:

o out [đường dẫn tới file chứa giấy chứng nhận máy sẽ tạo ra]

o keyout [đường dẫn tới file chứa khóa bí mật của giấy chứng nhận máy]

o capwd [mật khẩu của Nhà chứng nhận thẩm quyền]

o dn [định danh của giấy chứng nhận máy]

Các tham số cho việc xem thông tin về giấy chứng nhận X509:

o in [đường dẫn tới file chứa giấy chứng nhận X509]

4.6.Trin khai th nghim

Chúng tôi đã tiến hành triển khai thử nghiệm trên hạ tầng mạng LAN của Trung tâm máy tính, khoa Công nghệ thông tin và Trung tâm Tính toán hiệu năng cao, trường Đại học Bách Khoa Hà Nội.

4.6.1.Cấu hình triển khai Ethernet 100MB Ethernet 100MB Máy chủ Web Nút lưới 1 CSDL ` ` Nút lưới 2 Máy 26 192.168.50.26 Máy 30 192.168.50.30 Nút lưới 3 Máy 27 192.168.50.27 Nút lưới 4 Máy 28 192.168.50.28 Nút lưới 5 Máy 29 192.168.50.29 Client Client 192.168.50.x 192.168.201.x

Hệ thống triển khai được minh họa trong hình 4.9. Hệ thống triển khai bao gồm:

- Một máy chủ web sử dụng Web Server là Jakarta-tomcat-4.1.31.

- 5 nút lưới có cài phần mềm Globus Toolkit 4.03, trong đó có 1 nút lưới chính là máy chủ web.

- Client: bất kỳ máy nào có thể kết nối tới máy chủ web qua trình duyệt web.

Khi tiến hành triển khai thử nghiệm, các thành phần còn lại của hệ thống BKGrid 2006 (môđun thông tin, môđun weka, môđun đệ trình công việc) chưa hoàn thành. Hơn nữa toàn bộ hoạt động của môđun Quản trị người dùng hoàn toàn ẩn đi so với người dùng, do vậy luận văn tiến hành xây dựng hai dịch vụ nhỏđể kiểm tra sự hoạt động của hệ thống:

- Dịch vụ tính toán MathService: thực hiện các phép tính cộng, trừ, nhận chia. Dịch vụ này được viết dưới dạng dịch vụ lưới, và bao gồm hai thành phần:

o Server: thực thi trên trình chứa của Globus Toolkit, được cài đặt trên cả 5 nút lưới.

o Client: được viết dưới dạng một portlet và được tích hợp vào Portal. - Dịch vụ ProxyService: cho phép người dùng xem thông tin về giấy ủy

nhiệm của mình, xin cấp lại giấy ủy nhiệm. ProxyService được viết dưới dạng portlet và là một thành phần của Portal.

Dịch vụ ProxyService được xây dựng với mục đích kiểm nghiệm khả năng cấp giấy ủy nhiệm và tạo mới giấy ủy nhiệm, và như vậy cũng chứng tỏ việc tạo giấy chứng nhận đã thực hiện tốt.

MathService được xây dựng để thấy được rằng khi trở thành thành viên của Portal, người dùng có thể sử dụng các dịch vụ khác của Portal và các tài nguyên của hệ thống lưới.

4.6.2.Kết quả triển khai

Tất cả các chức năng của môđun quản trị người dùng đều hoạt động tốt. Khi tạo mới một người dùng, giấy chứng nhận đồng thời cũng được tạo ra, và tất cả các nút lưới đều được cập nhật thông tin về người dùng để ánh xạ vào grid-mapfile.

Dch v ProxyService:

Khi kích chuột vào nút View Proxy thông tin về giấy ủy nhiệm sẽ hiện ra ở ô chữ bên dưới.

Hình 4.10. Xem thông tin về giấy ủy nhiệm

Khi kích chuột vào nút Refresh Proxy, giấy uỷ quyền mới được tạo ra và thông tin về giấy ủy nhiệm được hiện ra trong ô chữ:

Hình 4.11. Tạo mới giấy ủy nhiệm

Điểm khác giữa hình 4.10 và 4.11 là thời gian còn hiệu lực của giấy ủy nhiệm. Trong hình 4.10, giấy ủy nhiệm đã được sử dụng một thời gian và thời gian còn hiệu lực là 20129 giây. Trong hình 4.11 giấy ủy nhiệm được tạo mới và thời gian còn hiệu lực là 25199 giây.

Khi tạo nhiều người dùng, và nhiều người dùng cùng đăng nhập vào Portal, các chức năng trên đây vẫn hoạt động đúng, thông tin về giấy ủy nhiệm cấp cho mỗi người dùng là khác nhau.

Như vậy toàn bộ các chức năng tạo giấy chứng nhận, giấy ủy nhiệm đã thực hiện đúng.

Dch v MathService:

Có thể chọn nút thực hiện dịch vụ từ hộp danh sách các nút (listbox). Khi nhập một số vào ô Input Number, sau đó kích chuột vào nút Add, phía server thực hiện và trả về kết quả:

Hình 4.12. Dịch vụ MathService Thông tin hiện ra phía Server:

The caller is:

C=VN,L=1024,O=hpc,E=binhbm@yahoo.com,CN=binhbm,CN=proxy Invoke method: ADD(15)

Current value: 171

Chương 5. Kết lun

5.1.Kết quđạt được

Luận văn đã tập trung nghiên cứu về các vấn đề liên quan đến bảo mật trong môi trường lưới cũng như việc ứng dụng công nghệ hướng tác tử để giảm thiểu các khó khăn cho người sử dụng. Ngoài ra luận văn cũng đã xem xét việc cài đặt thêm vào mô đun quản trị người dùng trong hệ thống BKGrid 2006 và đã đạt được một số kết quả sau:

- Kết hợp người dùng lưới và người dùng Portal. Người dùng có quyền sử dụng Portal sẽ có quyền sử dụng các thành phần khác của hệ thống, bao gồm các tài nguyên của lưới.

- Làm trong suốt các yêu cầu bảo mật đối với người dùng. Hệ thống trở nên trực quan dễ hiểu đối với người dùng. Người dùng không cần có hiểu biết về lưới và bảo mật lưới vẫn có thể sử dụng hệ thống.

- Giúp cho người dùng có thể sử dụng hệ thống từ xa, kể cả lúc đăng ký tài khoản và lúc sử dụng các thành phần của hệ thống.

- Giúp cho việc phát triển ứng dụng lưới dễ dàng hơn, do không phải quan tâm tới việc phải đảm bảo các yêu cầu về bảo mật lưới khi triển khai ứng dụng.

Môđun quản trị người dùng rất có ý nghĩa khi mở rộng hệ thống, bởi khi đó số lượng người dùng và tài quyên là rất lớn, việc thao tác bằng tay sẽ trở nên quá tải. Hiện tại môđun này chỉđược triển khai để phục vụ riêng hệ thống lưới BKGrid. Khi cần kết nối với các tổ chức lưới khác chỉ cần yêu cầu các tổ chức đó công nhận Nhà chứng nhận thẩm quyền BKCA của hệ thống. Công việc này được thực hiện đơn giản bằng cách cung cấp cho các tổ chức cần kết nối giấy chứng nhận của Nhà chứng nhận thẩm quyền BKCA (được tạo ra khi BKCA được sử dụng lần đầu tiên), các tổ chức đó lưu giấy chứng nhận này

vào thư mục chứa giấy chứng nhận của các Nhà chứng nhận thẩm quyền được tin tưởng của họ. Như vậy môđun quản trị người dùng đã giải quyết khá hoàn chỉnh việc quản trị người dùng lưới, bao gồm cả bảo mật lưới.

5.2.Hướng phát trin

Việc quản trị người dùng lưới có liên quan mật thiết với việc quản trị tài nguyên lưới, chẳng hạn như phải ánh xạ người dùng lưới sang người dùng cục bộ tại mỗi nút lưới. Hiện tại hệ thống BKGrid 2006 chưa có môđun quản trị tài nguyên, do vậy môđun quản trị người dùng lấy danh sách các nút lưới một cách thủ công. Cách làm này có một số nhược điểm:

- Không cập nhật động danh sách các nút lưới: không phát hiện được các nút lưới mới tham gia vào hệ thống, hoặc các nút mới dừng hoạt động... - Phức tạp khi số nút lưới là lớn.

Hướng phát triển trong thời gian tới là xây dựng môđun quản trị tài nguyên sử dụng công nghệ agent để quản lý toàn bộ tài nguyên của hệ thống một cách động đồng thời hướng tới xây dựng BKGrid thành một lưới ngữ nghĩa.

TÀI LIU THAM KHO

Tiếng Việt

[1] Nguyễn Văn Trung, Các cơ chế bảo mật trong tính toán lưới, Đồ án tốt nghiệp Kỹ sưĐại học Bách Khoa Hà nội (2005)

[2] Nguyễn Nhật Tân, Môi giới tài nguyên lưới dùng công nghệ tác tử, Đồ án tốt nghiệp Kỹ sưĐại học Bách Khoa Hà nội (2006)

Tiếng Anh

[3] Ian Foster, Carl Kesselman (eds), The Grid: Blueprint for a New

Computing Infrastructure, 1st edition, Morgan Kaufmann Publishers, San Francisco, USA (1 November 1998), ISBN: 1558604758.

[4] IBM Red Book, Introduction to Grid Computing (December 2005.)

[5] IBM Red Books, Introduction to Grid Computing with Globus (September 2003.)

[6] Mark Baker, Rajkumar Buyya, Domenico Laforenza, Grids and Grid

technologies for wide-area distributed computing.

[7] The Globus Security TeamGlobus Toolkit Version 4, Grid Security

Infrastructure: A Standards Perspective.

[8] Wooldridge, M, Agent-based software engineering. IEEEProc. Software Engineering, 144. 26-37. 1997.

[9] Jennings, N.R, An agent-based approach for building complex software

systems, Communications of the ACM, 44 (4). 35-41. 2001.

[10] Ian Foster, Carl Kesselman, Gene Tsudak, Steven Tuecke, A security

[11] Von Velch, Frank Siebenlist, Ian Foster, John BresnahanCarl, Karl Czajkowski, Jarek Gawor, Carl Kesselman, Sam Meder, Laura Perlman, Steven Tuecke, Security for Grid Services

[12] http://www.globus.org

[13] http://www.ggf.org

Một phần của tài liệu Bảo mật trong môi trường lưới với tiếp cận hướng tác từ (Trang 95)

Tải bản đầy đủ (PDF)

(107 trang)