CHƯƠNG 4. KẾT QUẢ THỬ NGHIỆM
4.5. HƯỚNG PHÁT TRIỂN CỦA VOMS
Sử dụng tổ chức ảo trong quản lý người dùng lưới là giải pháp tiên tiến và phổ biến đang được dùng trong các hệ thống lưới lớn. Những hạn chế trong phân tích trên về hệ thống quản lý người dùng trong GOODAS là do các dịch vụ sử dụng trong mỗi cấp độ quản lý còn hạn chế. Hướng phát triển của hệ thống trong tương lai là kết hợp dịch vụ VOMRS với VOMS trong khâu quản lý thông tin người dùng ở mức VO và thay thế dịch vụ ánh xạ EDG-MKGRIDMAP bởi 2 dịch vụ GUMS và PRIMA ở mức RP.
4.5.1 VOMRS kết hợp cùng VOMS.
Như đã nêu trên, nhận thấy những hạn chế của VOMS trong quản lý đăng ký các VO có quy mô lớn như LHC, EGEE. Đầu năm 2003, WLCG và Fermilab đã tiến hành nghiên cứu một hệ thống mới gọi là VOMS eXtension (gọi tắt VOX). VOX với hạt nhân là dịch vụ đăng ký VOM - VOMRS, cung cấp giao diện Web thuận tiện cho người dùng đăng ký, lưu chúng vào cơ sở dữ liệu của riêng nó và thường xuyên đồng bộ với cơ sở dữ liệu của VOMS thông qua gói quản trị VOMSAdmin. VOMRS ra đời, đã giải quyết được nhiều hạn chế của VOMS.
4.5.1.1 Tổng quan về VOMRS.
Cụ thể, về phía người dùng, VOMRS thu thập được nhiều thông tin cá nhân trong quá trình đăng ký từ họ hơn, cũng như tăng cường tính pháp lý khi bắt buộc người dùng phải đồng ý vào cam kết sử dụng lưới trước khi gia nhập VO. Tuân theo chuẩn của JSPG, VOMRS yêu cầu các thành viên phải ký vào thỏa thuận sử dụng lưới AUP trong quá trình đăng ký. Định kỳ hàng năm hoặc mỗi khi AUP thay đổi, VOMRS cũng yêu cầu người dùng ký lại các thỏa thuận trên. Đồng thời, VOMRS cũng lưu lại thời gian ký và phiên bản của các AUP.
Quá trình đăng ký của người dùng được chia thành 2 pha:
• Pha 1: Người dùng điền thông tin theo mẫu trong VOMRS, lựa chọn tổ chức muốn tham gia và người đại diện của tổ chức đó. Các thông tin về giấy phép cá nhân của người dùng được thu thập tự động quá trình duyệt.
• Pha 2: Người dùng nhận được email thông báo bước đầu tiên trong quá trình đăng ký thành công. Nếu được đồng ý, người dùng trở thành thành viên. Khi
đó, họ có thể yêu cầu được thêm các chứng nhận bổ sung, được gia nhập nhóm, được gán vai trò trong nhóm... Các yêu cầu này sẽ được gửi đến người phụ trách nhóm để giải quyết.
Người dùng khi đăng ký nhóm sẽ ở vào 1 trong 4 trạng thái sau:
• Chấp thuận: Người dùng là thành viên của nhóm.
• Từ chối: Người phụ trách nhóm từ chối cho người dùng tham gia nhóm.
• Treo: Người dùng tạm thời bị tước quyền thành viên.
• Hết hạn: Quyền thành viên hết hạn theo lịch hoặc do AUP hết hạn.VOMRS cũng cho phép người dùng được chủ động gửi yêu cầu tham gia nhóm, gửi yêu cầu cấp quyền lên người quản trị ...
Về phía người quản lý, VOMRS bổ sung thêm tính năng tạm treo quyền thành viên, định kỳ kiểm tra thời gian quyền thành viên còn hiệu lực. Qua đó, kịp thời gửi các thông báo hết hạn tới cho người dùng và yêu cầu họ đăng ký mới quyền thành viên . VOMRS cũng hỗ trợ nhiều cấp bậc quản trị VO hơn. Mỗi cấp bậc có vai trò và trách nhiệm riêng. Cụ thể, người đại diện VO (Representative) xử lý các yêu cầu tham gia VO của người dùng. Sau đó, yêu cầu gia nhập nhóm của người dùng lại do quản lý nhóm (Group Manager) phụ trách. Quản trị VO (VO Admin) có quyền cao nhất trong toàn bộ VO.
Nhóm trong VOMRS được mở rộng tính năng quản lý trạng thái nhóm. Nhóm có thể ở trạng thái mở hoặc hạn chế tùy theo quyết định của quản lý nhóm. Nếu nhóm trong trạng thái mở, người dùng tham gia vào nhóm tự do. Ngược lại, nếu nhóm đang trong tình trạng hạn chế, người dùng phải được phép của quản lý nhóm thì mới có thể gia nhập nhóm.
Mọi hành động của người dùng cũng như người quản trị luôn được ghi lại trong VOMRS database gọi là sự kiện VOMRS. VOMRS sẽ gửi thông báo có sự kiện mới xảy ra nếu nhận được yêu cầu. Ví dụ: Các thành viên nhận thông báo trạng thái thành viên. Người quản trị nhận thông báo khi có yêu cầu tham gia nhóm của người dùng, khi có nhóm, vai trò mới được tạo.
Hình 4- 23: Đồng bộ VOMS và VOMRS
4.5.1.2 Đồng bộ VOMRS và VOMS.
Một đặc điểm quan trọng của VOMRS là nó có khả năng trao đổi thông tin thành viên với các hệ thống khác thông qua cơ chế thông báo sự kiện. Nhờ vậy VOMRS có thể đồng bộ với VOMS để cùng quản lý người dùng trong VO. Chính xác, mọi thông tin về thành viên trong VOMRS sẽ được chuyển qua VOMS thông qua các API của VOMS-Admin.
Cụ thể, khi VOMRS được kích hoạt, chức năng đăng ký của VOMS tạm thời bị tắt. Người dùng và người quản trị khi làm việc với các thông tin về nhóm, vai trò sẽ thực hiện trực tiếp trên giao diện của VOMRS. Sau đó, định kỳ, VOMRS sẽ đồng bộ các thông tin này với cơ sở dữ liệu của VOMS. Việc cấp các chứng thực sử dụng tài nguyên lưới vẫn do VOMS đảm nhiệm.
4.5.2 GUMS & PRIMA thay thế EDG-MKGRIDMAP.
Tương lai phát triển của hệ thống sẽ là kết hợp VOMRS và VOMS để bổ sung lẫn nhau trong quản lý thông tin người dùng lưới cấp độ VO. Còn trên cấp độ RP, dịch vụ EDG-MKGRIDMAP với cơ chế ánh xạ cứng còn hạn chế sẽ được thay thế bởi hai dịch vụ mới GUMS và PRIMA mềm dẻo hơn.
Hình 4- 24: Kiến trúc GUMS
Cụ thể, trong hệ thống có PRIMA và GUMS, khi người dùng lưới muốn sử dụng tài nguyên, đầu tiên, họ gửi yêu cầu cấp chứng thực tạm thời tới VOMS/VOMRS. VOMS/VOMRS trả lại người dùng chứng chỉ số sử dụng lưới, bên trong có gắn thêm các thông tin về nhóm và vai trò của người dùng. Khi chứng nhận này được gửi tới bên cung cấp tài nguyên RP để xin sử dụng, GateKeeper sẽ trích các thông tin này ra. Để kiểm tra các thông tin này, PRIMA được sử dụng để hỗ trợ cho GateKeeper. PRIMA sau đó tiếp tục liên hệ với GUMS (Grid User Management System) để kiểm tra quyền sử dụng tài nguyên của người dùng. GUMS tiếp tục liên hệ với VOMS để lấy về thông tin người dùng. Sau khi lấy được thông tin, GUMS kết hợp với chính sách tài nguyên của site cục bộ để tiến hành ánh xạ. GUMS cung cấp cả cơ chế ánh xạ tĩnh thông qua GridMap và ánh xạ động khi liên kết với PRIMA. GUMS giống EDG-MKGRIDMAP ở khả năng ánh xạ tĩnh nhưng hơn EDG-MKGRIDMAP khi nó có thể trực tiếp trả về tài khoản ánh xạ cho người dùng (cung cấp ánh xạ động) về PRIMA.
Hình 4- 25: Dự án VO Services
GUMS và PRIMA là 2 trong 4 thành phần của dự án “VO Services” bao gồm VOMS/VOMRS, Globus Toolkit/Glite, GUMS, PRIMA. VO Services là giải pháp toàn diện cho quản trị người dùng lưới trên cấp độ VO và RP. Hiện tại, VO Services đang được ứng dụng rộng rãi trong EGEE, PRAGMA, US ATLAS, US CMS, cũng như FermiGrid. Hướng phát triển tương lai của hệ thống quản lý người dùng lưới trong GOODAS sẽ là triển khai VO Services.
KẾT LUẬN
Luận văn đã tập trung nghiên cứu tìm hiểu các vấn đề an toàn thông tin cho lưới một cách toàn diện và có hệ thống. Dựa trên nền tảng đó, luận văn đưa ra mô hình an toàn bảo mật cho hệ thống quản lý tổ chức ảo và quản lý giấy uỷ nhiệm trong môi trường lưới nói chung và tích hợp với hệ thống tìm kiếm và chia sẻ tài liệu trực tuyến GOODAS nói riêng.
Các kết quả chính của luận văn là:
1/. Tìm hiểu và nghiên cứu tài liệu để hệ thống lại các vấn đề sau:
+ Tổng quan tính toán lưới: các định nghĩa về tính toán lưới, các lợi tích và kiến trúc của một lưới,
+ Vấn đề an toàn thông tin trong tính toán lưới: các thách thức về an toàn bảo mật và kiến trúc an ninh cho một hệ thống tính toán lưới
+ Cơ sở hạ tầng an toàn thông tin lưới GSI: bao gồm giấy chứng nhận và giấy uỷ nhiệm lưới và các khả năng uỷ quyền, chứng thực đa phương và toàn vẹn.
+ Hệ thống quản lý tổ chức ảo: các khái niệm tổ chức ảo, mô hình quản lý và ứng dụng trong dịch vụ VOMS và EDG-MKGRIDMAP
+ Cổng điện tử lưới: các khái niệm về cổng điện tử lưới và vấn đề quản lý giấy uỷ nhiệm trên cổng điện tử lưới 2/. Thử nghiệm chương trình:
Luận văn đã xây dựng Hệ thống quản lý người dùng lưới và các tổ chức ảo cho một lưới tính toán. Hệ thống này được cài đặt thử nghiệm trên lưới tìm kiếm và chia sẻ tài liệu điện tử GOODAS. Các thành phần chính của Hệ thống bao gồm:
+ Thành phần quản lý tổ ảo: cho phép quản lý các tổ chức ảo VO, các hoạt động đăng ký lưới, xác định quyền truy nhập đến các dịch vụ của hệ thống.
+ Thành phần quản lý giấy uỷ nhiệm: thiết lập các kiểm soát truy nhập dịch vụ và tài nguyên lưới và quản lý giấy uỷ nhiệm thông qua Cổng điện tử lưới.
Một phần kết quả của luận văn đã được trình bày trong báo cáo tại hội nghị khoa học ICT.rda’08, Chương trình KC.01/06-10.
Kết quả ứng dụng của luận văn đã được xác nhận của Trung tâm tính toán hiệu năng cao (Trường Đại học Bách khoa Hàn Nội.) Các minh chứng trên trong phần phụ lục.
TÀI LIỆU THAM KHẢO
[1]. Ian Foster, Carl Kesselman - The Grid: Blueprint for a New Computing Infrastructure, 1st edition, Morgan Kaufmann Publishers, San Francisco, USA (1 November 1998), ISBN: 1558604758.
[2]. IBM Red Book - Introduction to Grid Computing.
[3]. IBM Red Books - Introduction to Grid Computing with Globus.
[4]. Mark Baker, Rajkumar Buyya, Domenico Laforenza - Grids and Grid technologies for wide-area distributed computing. [5]. Trịnh Nhật Tiến – Giáo trình AN TOÀN DỮ
LIỆU. 2008 [6]. MyProxy – Credential Management Service
http://grid.ncsa.illinois.edu/myproxy/
[7]. Chadwick, D.W. and A. Otenko. The PERMIS X.509 Role Based Privilege Management Infrastructure. in 7th ACM Symposium on Access Control Models and Technologies. 2002
[8]. R. Alfieri, R. Cecchini, V. Ciaschini - VOMS, an Authorization System for Virtual Organizations.
[9]. Akos Frohner, and Karoly Lorentey - VO Management with VOMS.
[10]. Ian Foster, Carl Kesselman, Steven Tuecke, 2001 - Enabling Scalable Virtual organizations.
[11]. Markus Lorch, 2004 - The PRIMA System for Privilege Management, Authorization and Enforcement in Grid Environments.
PHỤ LỤC: CÀI ĐẶT VOMS VÀ EDG-MKGRIDMAP.