THÀNH PHẦN QUẢN LÝ GIẤY UỶ NHIỆM

Một phần của tài liệu (LUẬN VĂN THẠC SĨ) Nghiên cứu việc đảm bảo an toàn thông tin trong hệ thống tính toán lưới (Trang 86)

CHƯƠNG 4 KẾT QUẢ THỬ NGHIỆM

4.3. THÀNH PHẦN QUẢN LÝ GIẤY UỶ NHIỆM

Thành phần này thiết lập các kiểm soát truy nhập dịch vụ và tài nguyên lưới thông qua giấy uỷ nhiệm lưới theo chuẩn X509. Người dùng qua cổng điện lưới chỉ

có thể truy nhập tài nguyên khi có giấy uỷ nhiệm hợp lệ. Thành phần còn có chức năng quản lý các giấy uỷ nhiệm lưới như thêm mới, gia hạn, gỡ bỏ cho từng người dùng trên cổng điện tử lưới.

4.3.1. Cổng điện tử lưới.

Cổng điện tử lưới được hiểu là cổng kết nối giữa người dùng với các dịch vụ

lưới ở tầng dưới. So với các ứng dụng dựa trên Web thông thường, cổng điện tử

lưới ưu việt hơn nhờ khả năng tùy biến môi trường người sử dụng, cho phép tách biệt các thành phần nghiệp vụ từ máy chủ ứng dụng và tái sử dụng các thành phần của Web. Chính nhờ khả năng này, Cổng điện tử lưới đã trở thành sử lựa chọn phổ

Grid Services

Hình 4-21: Cng đin t lưới

Trên đây là mô hình truy nhập dịch vụ lưới từ cổng điện tử lưới. Người dùng sẽ đăng nhập vào cổng điện tử lưới với tài khoản của mình, đưa ra các đặc tả công việc, các yêu cầu sẽ được chuyển xuống các dịch vụ lưới, phân bổ xuống các tài nguyên lưới để thực hiện, và cuối cùng trả về kết quả cho người dùng trên giao diện Web. Tuy nhiên, khi xây dựng các cổng giao diện lưới, nảy sinh một số yêu cầu bảo mật sau:

Người sử dụng phải có một trình duyệt Web chuẩn để tiếp cận các Cổng điện tử

lưới.

Người sử dụng vẫn có thể truy nhập từ những nơi mà những nơi mà giấy ủy

nhiệm Grid là không có sẵn đối với họ.

Người sử dụng có thể làm bất cứđiều gì thông qua Cổng điện tử lưới mà giấy ủy

4.3.1. Mô hình uỷ quyền truy nhập trên cổng điện tử lưới.

Việc truy xuất giấy uỷ nhiệm lưới và uỷ quyền truy nhập lưới cho các cổng

điện tửđược thể hiện như hình vẽ:

Hình 4-22: Mô hình u quyn truy nhp trên cng đin t lưới.

(1) Người dùng có thể kết nối với cổng điện tử lưới sử dụng trình duyệt Web và cung cấp các thông tin chứng thực đã đưa ra trước đây tới kho lưu trữ thông qua các form trên web hay các giao diện đơn giản. Người sử dụng có thể xác định một kho lưu trữ MyProxy cho cổng điện tửđể sử dụng, nếu có nhiều hơn một kho.

(2) Cổng điện tử sử dụng các thông tin đăng nhập (định danh và mật khẩu) của người dùng yêu cầu lấy giấy ủy nhiệm từ kho lưu trữ.

(3) Khi thông tin đăng nhập là hợp lệ, MyProxy sẽ gửi lại cho cổng điện tử lưới một giấy ủy nhiệm của người dùng. Khi ấy cổng điện tử có thể thay mặt người dùng tiếp cận an toàn tới các dịch vụ lưới.

Hành động logout ra khỏi cổng điện tử sẽ xóa giấy ủy quyền của người dùng trên portal. Khi người dùng quên logout, giấy chứng nhận sẽ mãn hạn tại một thời

điểm nhất định khi yêu cầu từ dịch vụ MyProxy.Thời gian sống thường là khoảng vài giờ. Quá trình này có thể lặp lại nhiều lần, khi người dùng đòi hỏi, cho tới khi giấy ủy quyền giữ bởi MyProxy mãn hạn. Tại thời điểm này, người sử dụng cần chạy chương trình myproxy-init từ vị trí nơi các giấy chứng nhận có sẵn và ủy nhiệm tập mới các giấy ủy quyền tới kho lưu trữ. Thời gian lớn nhất của giấy ủy

4.3.3. Dịch vụ quản lý giấy uỷ nhiệm.

Dịch vụ này giúp cho người dùng có thể truy nhập các dịch vụ lưới hỗ trợ

bảo mật GSI một cách dễ dàng, có thể đăng nhập một lần hay ủy quyền cho cổng

điện tử lưới thực hiện các công việc trên lưới. Một số chức năng của dịch vụ như sau:

- Xác thc người dùng lưới: Dịch vụ có cơ chế kiểm tra tính hợp lệ của người dùng, bảo đảm người dùng phải có một giấy ủy nhiệm X509 còn thời hạn khi sử

dụng các dịch vụ cài đặt bảo mật GSI. Nếu không hợp lệ, người dùng phải quay lại màn hình đăng nhập xin cấp giấy ủy nhiệm từ dịch vụ.

- Qun lý vòng đời: Dịch vụ có khả năng cập nhật động thời gian sống của giấy

ủy nhiệm, một khoảng thời gian nhất định, giấy ủy nhiệm sẽ tự hủy nếu người dùng quên (bỏ) kích hoạt nó.

- Cp li giy y nhim: Do giấy ủy nhiệm cho người dùng có thời gian sống là hạn chế, khi người dùng sử dụng một dịch vụ tính toán nào đó với bộ dữ liệu lớn, thời gian xử lý lâu thì dịch vụ bảo mật phải có cơ chế làm tươi lại giấy ủy nhiệm, không làm ảnh hưởng tới công việc của người trên lưới.

- Qun lý kho lưu trữ: Rõ ràng hệ thống lưu trữ rất nhiều giấy ủy nhiệm người dùng để ủy quyền lên portal, nên việc quản lý kho lưu trữ là rất quan trọng. Các giấy ủy nhiệm người dùng được mã hóa trong kho lưu trữ, để cho dù kho lưu trữ

có bị tổn thương, kẻđịch vẫn phải mất một thời gian để giải mã, và khi đó giấy

ủy nhiệm người dùng có thể sẽ hết hạn. Dịch vụ cung cấp khả năng cho phép người dùng lựa chọn các hệ thống kho lưu trữ trên các miền phân tán khác nhau về mặt địa lý qua công nghệ phân tán của dịch vụ lưới.

- Qun lý giy y nhim đa người dùng: người dùng có thể có nhiều giấy chứng nhận khác nhau, từ các nhà thẩm quyền CA khác nhau. Dịch vụ cung cấp khả

năng lưu trữ tất cả các giấy chứng nhận của người dùng, đưa thông tin về công việc người dùng muốn thực hiện, lựa chọn giấy ủy nhiệm đúng đắn cho mỗi phần việc, sau đó trả lại giấy ủy nhiệm cho người dùng.

Dịch vụđược xây dựng dựa trên các nền tảng:

- Globus Toolkit: đây là bộ công cụ nền tảng để phát triển lưới, với chuẩn mở xây dựng các dịch vụ lưới OGSA và hạ tầng bảo mật GSI

- SimpleCA: nhà thẩm quyền cung cấp các giấy ủy nhiệm lưới, là nền tảng trong cấu hình bảo mật GSI

- Gridsphere Portal: cổng điện tử chuẩn mở, kết hợp giữa hai công nghệ Web và Grid, tạo nên một nền tảng cho cả người sử dụng và các nhà phát triển lưới. Đã có rất nhiều dự án đã và đang phát triển trên nền tảng Gridsphere như HPC Europa, D-Grid, P-Grade, BIRN, Telescience, Australian Virtual Observatory, UK Science.

- MyProxy: máy chủđể lưu trữ các giấy ủy nhiệm trực tuyến.

- Java Cog Kit: là bộ cung cụ phát triển lưới, ánh xạ giữa công nghệ Java và Globus Toolkit, cho phép các nhà phát triển xây dựng các ứng dụng lưới bằng ngôn ngữ Java

Dưới đây là mô tả các thể hiện của dịch vụ trên nền tảng Gridsphere: - Quản lý người dùng lưới

- Các quyền cho các giao dịch truyền file có hỗ trợ GSI:

4.4 MT S HẠN CHẾ CỦA VOMS.

Hai dịch vụ chính của hệ thống quản lý tổ chức ảo là dịch vụ VOMS và dịch

vụ EDG-MKGRIDMAP. Hai dịch vụ ăn khớp, phối hợp tốt với nhau trong hệ thống

quản lý người dùng lưới nói chung nên rất phù hợp khi vận dụng vào môi trường lưới của hệ thống liên thư viện GOODAS. Trong đó, dịch vụ VOMS là một dịch vụ mã nguồn mở. Từ đó, luận văn đóng góp thêm phần thiết kế đa ngôn ngữ cho giao

diện quản trị của VOMS-Admin, giúp cho quy trình quản lý thân thiện hơn nhiều

người dùng.

Tuy nhiên, hệ thống quản lý tổ chức ảo vẫn còn nhiều vấn đề. Dịch vụ phụ trách quản lý thông tin người dùng trên cấp độ VO và dịch vụ ánh xạ người dùng trên cấp độ RP vẫn còn có các hạn chế cơ bản của nó.

4.4.1 Hạn chế của VOMS.

Hiện tại, quy trình đăng ký của VOMS không hỗ trợ quản lý chính sách sử

dụng lưới AUP (Grid Acceptable Use Policy ) và thời gian hiệu lực của quyền thành viên trong VO. Nó không thích hợp trong các VO có quy mô lớn trên khu vực hoặc toàn cầu. Để giải quyết những giới hạn này, Fermilab và WLCG (Worldwide LHC Computing Service) đã phát triển VOMRS, một công cụ mới, cho phép quản lý

đăng ký mạnh mẽ và mềm dẻo hơn với các tính năng sau đây:

1/. Hỗ trợ nhiều cấp độ quản trị (Ví dụ: Quản lý VO, quản lý nhóm...). Mỗi cấp độ

sẽ có các quyền khác nhau trong quản lý VO.

2/. Muốn tham gia vào VO, người dùng phải đồng ý với chính sách sử dụng lưới và VO-AUP (VO & Grid Acceptable Use Policy).

3/. Cho phép người quản trị theo dõi phiên bản và sự thay đổi của AUP. 4/. Quản lý thời gian hiệu lực của quyền thành viên trong VO.

4.4.2 Hạn chế của EDG-MKGRIDMAP.

Dịch vụ ánh xạ người dùng EDG-MKGRIDMAP là một giải pháp phổ biến

cho quy trình ánh xạ người dùng lưới vào tài khoản cục bộ. Và thực tế, đang được dùng rộng rãi trong các cộng đồng lưới Globus và Glite. Tuy nhiên, cơ chế ánh xạ

của EDG-MKGRIDMAP là cứng. Trong một số trường hợp, cơ chế ánh xạ cứng là

không đủ để giải quyết một số yêu cầu ánh xạ đặc biệt.

Ví dụ, người dùng A là thành viên của VO GOODAS. Trong VO GOODAS có 2 nhóm con là nhóm Math và nhóm Literature. Người dùng A muốn sử dụng các tài liệu của cả 2 nhóm này. Như vậy, họ phải là thành viên của cả 2 nhóm Math và Literature. Trên máy cục bộ, tài khoản hệ thống thao tác với các tài nguyên nhóm Math là “laMath” (local account Math), với tài nguyên nhóm Literature là “laLiterature”. Để thực thi quyền, EDG-MKGRIDMAP phải ánh xạ người dùng A vào 2 tài khoản cục bộ “laMath” và “laLiterature”. Trong tệp Gripmap, xuất hiện 2 mục ánh xạ, sẽ dẫn tới nhập nhằng hệ thống không biết phải lựa chọn mục nào khi thực hiện. Như vậy, trong trường hợp này, cơ chế ánh xạ cứng không đáp ứng được.

Để giải quyết, cần có cơ chế khác mềm dẻo, mang tính “động” hơn. Cơ chế này cho phép lựa chọn ánh xạ căn cứ vào thời điểm thực thi. Đó là GUMS.

4.5. HƯỚNG PHÁT TRIN CA VOMS

Sử dụng tổ chức ảo trong quản lý người dùng lưới là giải pháp tiên tiến và phổ biến đang được dùng trong các hệ thống lưới lớn. Những hạn chế trong phân tích trên về hệ thống quản lý người dùng trong GOODAS là do các dịch vụ sử dụng trong mỗi cấp độ quản lý còn hạn chế. Hướng phát triển của hệ thống trong tương lai là kết hợp dịch vụ VOMRS với VOMS trong khâu quản lý thông tin người dùng

ở mức VO và thay thế dịch vụ ánh xạ EDG-MKGRIDMAP bởi 2 dịch vụ GUMS và PRIMA ở mức RP.

4.5.1 VOMRS kết hợp cùng VOMS.

Nhưđã nêu trên, nhận thấy những hạn chế của VOMS trong quản lý đăng ký các VO có quy mô lớn như LHC, EGEE. Đầu năm 2003, WLCG và Fermilab đã tiến hành nghiên cứu một hệ thống mới gọi là VOMS eXtension (gọi tắt VOX). VOX với hạt nhân là dịch vụ đăng ký VOM - VOMRS, cung cấp giao diện Web thuận tiện cho người dùng đăng ký, lưu chúng vào cơ sở dữ liệu của riêng nó và thường xuyên đồng bộ với cơ sở dữ liệu của VOMS thông qua gói quản trị VOMS- Admin. VOMRS ra đời, đã giải quyết được nhiều hạn chế của VOMS.

4.5.1.1 Tng quan v VOMRS.

Cụ thể, về phía người dùng, VOMRS thu thập được nhiều thông tin cá nhân trong quá trình đăng ký từ họ hơn, cũng như tăng cường tính pháp lý khi bắt buộc người dùng phải đồng ý vào cam kết sử dụng lưới trước khi gia nhập VO. Tuân theo chuẩn của JSPG, VOMRS yêu cầu các thành viên phải ký vào thỏa thuận sử dụng lưới AUP trong quá trình đăng ký. Định kỳ hàng năm hoặc mỗi khi AUP thay đổi, VOMRS cũng yêu cầu người dùng ký lại các thỏa thuận trên. Đồng thời, VOMRS cũng lưu lại thời gian ký và phiên bản của các AUP.

Quá trình đăng ký của người dùng được chia thành 2 pha:

• Pha 1: Người dùng điền thông tin theo mẫu trong VOMRS, lựa chọn tổ chức muốn tham gia và người đại diện của tổ chức đó. Các thông tin về giấy phép cá nhân của người dùng được thu thập tựđộng quá trình duyệt.

• Pha 2: Người dùng nhận được email thông báo bước đầu tiên trong quá trình

đăng ký thành công. Nếu được đồng ý, người dùng trở thành thành viên. Khi

đó, họ có thể yêu cầu được thêm các chứng nhận bổ sung, được gia nhập nhóm, được gán vai trò trong nhóm... Các yêu cầu này sẽđược gửi đến người phụ trách nhóm để giải quyết.

Người dùng khi đăng ký nhóm sẽở vào 1 trong 4 trạng thái sau: • Chấp thuận: Người dùng là thành viên của nhóm.

• Từ chối: Người phụ trách nhóm từ chối cho người dùng tham gia nhóm. • Treo: Người dùng tạm thời bị tước quyền thành viên.

• Hết hạn: Quyền thành viên hết hạn theo lịch hoặc do AUP hết hạn.VOMRS cũng cho phép người dùng được chủ động gửi yêu cầu tham gia nhóm, gửi yêu cầu cấp quyền lên người quản trị ...

Về phía người quản lý, VOMRS bổ sung thêm tính năng tạm treo quyền thành viên, định kỳ kiểm tra thời gian quyền thành viên còn hiệu lực. Qua đó, kịp thời gửi các thông báo hết hạn tới cho người dùng và yêu cầu họđăng ký mới quyền thành viên . VOMRS cũng hỗ trợ nhiều cấp bậc quản trị VO hơn. Mỗi cấp bậc có vai trò và trách nhiệm riêng. Cụ thể, người đại diện VO (Representative) xử lý các yêu cầu tham gia VO của người dùng. Sau đó, yêu cầu gia nhập nhóm của người dùng lại do quản lý nhóm (Group Manager) phụ trách. Quản trị VO (VO Admin) có quyền cao nhất trong toàn bộ VO.

Nhóm trong VOMRS được mở rộng tính năng quản lý trạng thái nhóm. Nhóm có thể ở trạng thái mở hoặc hạn chế tùy theo quyết định của quản lý nhóm. Nếu nhóm trong trạng thái mở, người dùng tham gia vào nhóm tự do. Ngược lại, nếu nhóm đang trong tình trạng hạn chế, người dùng phải được phép của quản lý nhóm thì mới có thể gia nhập nhóm.

Mọi hành động của người dùng cũng như người quản trị luôn được ghi lại trong VOMRS database gọi là sự kiện VOMRS. VOMRS sẽ gửi thông báo có sự

kiện mới xảy ra nếu nhận được yêu cầu. Ví dụ: Các thành viên nhận thông báo trạng thái thành viên. Người quản trị nhận thông báo khi có yêu cầu tham gia nhóm của người dùng, khi có nhóm, vai trò mới được tạo.

Hình 4- 23: Đồng b VOMS và VOMRS

4.5.1.2 Đồng b VOMRS và VOMS.

Một đặc điểm quan trọng của VOMRS là nó có khả năng trao đổi thông tin thành viên với các hệ thống khác thông qua cơ chế thông báo sự kiện. Nhờ vậy VOMRS có thể đồng bộ với VOMS để cùng quản lý người dùng trong VO. Chính xác, mọi thông tin về thành viên trong VOMRS sẽ được chuyển qua VOMS thông qua các API của VOMS-Admin.

Cụ thể, khi VOMRS được kích hoạt, chức năng đăng ký của VOMS tạm thời bị tắt. Người dùng và người quản trị khi làm việc với các thông tin về nhóm, vai trò sẽ thực hiện trực tiếp trên giao diện của VOMRS. Sau đó, định kỳ, VOMRS sẽ đồng bộ các thông tin này với cơ sở dữ liệu của VOMS. Việc cấp các chứng thực sử

4.5.2 GUMS & PRIMA thay thế EDG-MKGRIDMAP.

Tương lai phát triển của hệ thống sẽ là kết hợp VOMRS và VOMS để bổ

sung lẫn nhau trong quản lý thông tin người dùng lưới cấp độ VO. Còn trên cấp độ

RP, dịch vụ EDG-MKGRIDMAP với cơ chế ánh xạ cứng còn hạn chế sẽđược thay thế bởi hai dịch vụ mới GUMS và PRIMA mềm dẻo hơn.

Hình 4- 24: Kiến trúc GUMS

Cụ thể, trong hệ thống có PRIMA và GUMS, khi người dùng lưới muốn sử

dụng tài nguyên, đầu tiên, họ gửi yêu cầu cấp chứng thực tạm thời tới VOMS/VOMRS. VOMS/VOMRS trả lại người dùng chứng chỉ số sử dụng lưới,

Một phần của tài liệu (LUẬN VĂN THẠC SĨ) Nghiên cứu việc đảm bảo an toàn thông tin trong hệ thống tính toán lưới (Trang 86)

Tải bản đầy đủ (PDF)

(111 trang)