Dịch vụ quản lý giấy uỷ nhiệm

Một phần của tài liệu Nghiên cứu việc đảm bảo an toàn thông tin trong hệ thống tính toán lưới (Trang 89)

Dịch vụ này giúp cho người dùng có thể truy nhập các dịch vụ lưới hỗ trợ

bảo mật GSI một cách dễ dàng, có thể đăng nhập một lần hay ủy quyền cho cổng

điện tử lưới thực hiện các công việc trên lưới. Một số chức năng của dịch vụ như sau:

- Xác thc người dùng lưới: Dịch vụ có cơ chế kiểm tra tính hợp lệ của người dùng, bảo đảm người dùng phải có một giấy ủy nhiệm X509 còn thời hạn khi sử

dụng các dịch vụ cài đặt bảo mật GSI. Nếu không hợp lệ, người dùng phải quay lại màn hình đăng nhập xin cấp giấy ủy nhiệm từ dịch vụ.

- Qun lý vòng đời: Dịch vụ có khả năng cập nhật động thời gian sống của giấy

ủy nhiệm, một khoảng thời gian nhất định, giấy ủy nhiệm sẽ tự hủy nếu người dùng quên (bỏ) kích hoạt nó.

- Cp li giy y nhim: Do giấy ủy nhiệm cho người dùng có thời gian sống là hạn chế, khi người dùng sử dụng một dịch vụ tính toán nào đó với bộ dữ liệu lớn, thời gian xử lý lâu thì dịch vụ bảo mật phải có cơ chế làm tươi lại giấy ủy nhiệm, không làm ảnh hưởng tới công việc của người trên lưới.

- Qun lý kho lưu trữ: Rõ ràng hệ thống lưu trữ rất nhiều giấy ủy nhiệm người dùng để ủy quyền lên portal, nên việc quản lý kho lưu trữ là rất quan trọng. Các giấy ủy nhiệm người dùng được mã hóa trong kho lưu trữ, để cho dù kho lưu trữ

có bị tổn thương, kẻđịch vẫn phải mất một thời gian để giải mã, và khi đó giấy

ủy nhiệm người dùng có thể sẽ hết hạn. Dịch vụ cung cấp khả năng cho phép người dùng lựa chọn các hệ thống kho lưu trữ trên các miền phân tán khác nhau về mặt địa lý qua công nghệ phân tán của dịch vụ lưới.

- Qun lý giy y nhim đa người dùng: người dùng có thể có nhiều giấy chứng nhận khác nhau, từ các nhà thẩm quyền CA khác nhau. Dịch vụ cung cấp khả

năng lưu trữ tất cả các giấy chứng nhận của người dùng, đưa thông tin về công việc người dùng muốn thực hiện, lựa chọn giấy ủy nhiệm đúng đắn cho mỗi phần việc, sau đó trả lại giấy ủy nhiệm cho người dùng.

90

Dịch vụđược xây dựng dựa trên các nền tảng:

- Globus Toolkit: đây là bộ công cụ nền tảng để phát triển lưới, với chuẩn mở xây dựng các dịch vụ lưới OGSA và hạ tầng bảo mật GSI

- SimpleCA: nhà thẩm quyền cung cấp các giấy ủy nhiệm lưới, là nền tảng trong cấu hình bảo mật GSI

- Gridsphere Portal: cổng điện tử chuẩn mở, kết hợp giữa hai công nghệ Web và Grid, tạo nên một nền tảng cho cả người sử dụng và các nhà phát triển lưới. Đã có rất nhiều dự án đã và đang phát triển trên nền tảng Gridsphere như HPC Europa, D-Grid, P-Grade, BIRN, Telescience, Australian Virtual Observatory, UK Science.

- MyProxy: máy chủđể lưu trữ các giấy ủy nhiệm trực tuyến.

- Java Cog Kit: là bộ cung cụ phát triển lưới, ánh xạ giữa công nghệ Java và Globus Toolkit, cho phép các nhà phát triển xây dựng các ứng dụng lưới bằng ngôn ngữ Java

Dưới đây là mô tả các thể hiện của dịch vụ trên nền tảng Gridsphere: - Quản lý người dùng lưới

91

- Các quyền cho các giao dịch truyền file có hỗ trợ GSI:

92

4.4 MT S HẠN CHẾ CỦA VOMS.

Hai dịch vụ chính của hệ thống quản lý tổ chức ảo là dịch vụ VOMS và dịch

vụ EDG-MKGRIDMAP. Hai dịch vụ ăn khớp, phối hợp tốt với nhau trong hệ thống

quản lý người dùng lưới nói chung nên rất phù hợp khi vận dụng vào môi trường lưới của hệ thống liên thư viện GOODAS. Trong đó, dịch vụ VOMS là một dịch vụ mã nguồn mở. Từ đó, luận văn đóng góp thêm phần thiết kế đa ngôn ngữ cho giao

diện quản trị của VOMS-Admin, giúp cho quy trình quản lý thân thiện hơn nhiều

người dùng.

Tuy nhiên, hệ thống quản lý tổ chức ảo vẫn còn nhiều vấn đề. Dịch vụ phụ trách quản lý thông tin người dùng trên cấp độ VO và dịch vụ ánh xạ người dùng trên cấp độ RP vẫn còn có các hạn chế cơ bản của nó.

4.4.1 Hạn chế của VOMS.

Hiện tại, quy trình đăng ký của VOMS không hỗ trợ quản lý chính sách sử

dụng lưới AUP (Grid Acceptable Use Policy ) và thời gian hiệu lực của quyền thành viên trong VO. Nó không thích hợp trong các VO có quy mô lớn trên khu vực hoặc toàn cầu. Để giải quyết những giới hạn này, Fermilab và WLCG (Worldwide LHC Computing Service) đã phát triển VOMRS, một công cụ mới, cho phép quản lý

đăng ký mạnh mẽ và mềm dẻo hơn với các tính năng sau đây:

1/. Hỗ trợ nhiều cấp độ quản trị (Ví dụ: Quản lý VO, quản lý nhóm...). Mỗi cấp độ

sẽ có các quyền khác nhau trong quản lý VO.

2/. Muốn tham gia vào VO, người dùng phải đồng ý với chính sách sử dụng lưới và VO-AUP (VO & Grid Acceptable Use Policy).

3/. Cho phép người quản trị theo dõi phiên bản và sự thay đổi của AUP. 4/. Quản lý thời gian hiệu lực của quyền thành viên trong VO.

93

4.4.2 Hạn chế của EDG-MKGRIDMAP.

Dịch vụ ánh xạ người dùng EDG-MKGRIDMAP là một giải pháp phổ biến

cho quy trình ánh xạ người dùng lưới vào tài khoản cục bộ. Và thực tế, đang được dùng rộng rãi trong các cộng đồng lưới Globus và Glite. Tuy nhiên, cơ chế ánh xạ

của EDG-MKGRIDMAP là cứng. Trong một số trường hợp, cơ chế ánh xạ cứng là

không đủ để giải quyết một số yêu cầu ánh xạ đặc biệt.

Ví dụ, người dùng A là thành viên của VO GOODAS. Trong VO GOODAS có 2 nhóm con là nhóm Math và nhóm Literature. Người dùng A muốn sử dụng các tài liệu của cả 2 nhóm này. Như vậy, họ phải là thành viên của cả 2 nhóm Math và Literature. Trên máy cục bộ, tài khoản hệ thống thao tác với các tài nguyên nhóm Math là “laMath” (local account Math), với tài nguyên nhóm Literature là “laLiterature”. Để thực thi quyền, EDG-MKGRIDMAP phải ánh xạ người dùng A vào 2 tài khoản cục bộ “laMath” và “laLiterature”. Trong tệp Gripmap, xuất hiện 2 mục ánh xạ, sẽ dẫn tới nhập nhằng hệ thống không biết phải lựa chọn mục nào khi thực hiện. Như vậy, trong trường hợp này, cơ chế ánh xạ cứng không đáp ứng được.

Để giải quyết, cần có cơ chế khác mềm dẻo, mang tính “động” hơn. Cơ chế này cho phép lựa chọn ánh xạ căn cứ vào thời điểm thực thi. Đó là GUMS.

94

4.5. HƯỚNG PHÁT TRIN CA VOMS

Sử dụng tổ chức ảo trong quản lý người dùng lưới là giải pháp tiên tiến và phổ biến đang được dùng trong các hệ thống lưới lớn. Những hạn chế trong phân tích trên về hệ thống quản lý người dùng trong GOODAS là do các dịch vụ sử dụng trong mỗi cấp độ quản lý còn hạn chế. Hướng phát triển của hệ thống trong tương lai là kết hợp dịch vụ VOMRS với VOMS trong khâu quản lý thông tin người dùng

ở mức VO và thay thế dịch vụ ánh xạ EDG-MKGRIDMAP bởi 2 dịch vụ GUMS và PRIMA ở mức RP.

4.5.1 VOMRS kết hợp cùng VOMS.

Nhưđã nêu trên, nhận thấy những hạn chế của VOMS trong quản lý đăng ký các VO có quy mô lớn như LHC, EGEE. Đầu năm 2003, WLCG và Fermilab đã tiến hành nghiên cứu một hệ thống mới gọi là VOMS eXtension (gọi tắt VOX). VOX với hạt nhân là dịch vụ đăng ký VOM - VOMRS, cung cấp giao diện Web thuận tiện cho người dùng đăng ký, lưu chúng vào cơ sở dữ liệu của riêng nó và thường xuyên đồng bộ với cơ sở dữ liệu của VOMS thông qua gói quản trị VOMS- Admin. VOMRS ra đời, đã giải quyết được nhiều hạn chế của VOMS.

4.5.1.1 Tng quan v VOMRS.

Cụ thể, về phía người dùng, VOMRS thu thập được nhiều thông tin cá nhân trong quá trình đăng ký từ họ hơn, cũng như tăng cường tính pháp lý khi bắt buộc người dùng phải đồng ý vào cam kết sử dụng lưới trước khi gia nhập VO. Tuân theo chuẩn của JSPG, VOMRS yêu cầu các thành viên phải ký vào thỏa thuận sử dụng lưới AUP trong quá trình đăng ký. Định kỳ hàng năm hoặc mỗi khi AUP thay đổi, VOMRS cũng yêu cầu người dùng ký lại các thỏa thuận trên. Đồng thời, VOMRS cũng lưu lại thời gian ký và phiên bản của các AUP.

Quá trình đăng ký của người dùng được chia thành 2 pha:

• Pha 1: Người dùng điền thông tin theo mẫu trong VOMRS, lựa chọn tổ chức muốn tham gia và người đại diện của tổ chức đó. Các thông tin về giấy phép cá nhân của người dùng được thu thập tựđộng quá trình duyệt.

95

• Pha 2: Người dùng nhận được email thông báo bước đầu tiên trong quá trình

đăng ký thành công. Nếu được đồng ý, người dùng trở thành thành viên. Khi

đó, họ có thể yêu cầu được thêm các chứng nhận bổ sung, được gia nhập nhóm, được gán vai trò trong nhóm... Các yêu cầu này sẽđược gửi đến người phụ trách nhóm để giải quyết.

Người dùng khi đăng ký nhóm sẽở vào 1 trong 4 trạng thái sau: • Chấp thuận: Người dùng là thành viên của nhóm.

• Từ chối: Người phụ trách nhóm từ chối cho người dùng tham gia nhóm. • Treo: Người dùng tạm thời bị tước quyền thành viên.

• Hết hạn: Quyền thành viên hết hạn theo lịch hoặc do AUP hết hạn.VOMRS cũng cho phép người dùng được chủ động gửi yêu cầu tham gia nhóm, gửi yêu cầu cấp quyền lên người quản trị ...

Về phía người quản lý, VOMRS bổ sung thêm tính năng tạm treo quyền thành viên, định kỳ kiểm tra thời gian quyền thành viên còn hiệu lực. Qua đó, kịp thời gửi các thông báo hết hạn tới cho người dùng và yêu cầu họđăng ký mới quyền thành viên . VOMRS cũng hỗ trợ nhiều cấp bậc quản trị VO hơn. Mỗi cấp bậc có vai trò và trách nhiệm riêng. Cụ thể, người đại diện VO (Representative) xử lý các yêu cầu tham gia VO của người dùng. Sau đó, yêu cầu gia nhập nhóm của người dùng lại do quản lý nhóm (Group Manager) phụ trách. Quản trị VO (VO Admin) có quyền cao nhất trong toàn bộ VO.

Nhóm trong VOMRS được mở rộng tính năng quản lý trạng thái nhóm. Nhóm có thể ở trạng thái mở hoặc hạn chế tùy theo quyết định của quản lý nhóm. Nếu nhóm trong trạng thái mở, người dùng tham gia vào nhóm tự do. Ngược lại, nếu nhóm đang trong tình trạng hạn chế, người dùng phải được phép của quản lý nhóm thì mới có thể gia nhập nhóm.

Mọi hành động của người dùng cũng như người quản trị luôn được ghi lại trong VOMRS database gọi là sự kiện VOMRS. VOMRS sẽ gửi thông báo có sự

kiện mới xảy ra nếu nhận được yêu cầu. Ví dụ: Các thành viên nhận thông báo trạng thái thành viên. Người quản trị nhận thông báo khi có yêu cầu tham gia nhóm của người dùng, khi có nhóm, vai trò mới được tạo.

96

Hình 4- 23: Đồng b VOMS và VOMRS

4.5.1.2 Đồng b VOMRS và VOMS.

Một đặc điểm quan trọng của VOMRS là nó có khả năng trao đổi thông tin thành viên với các hệ thống khác thông qua cơ chế thông báo sự kiện. Nhờ vậy VOMRS có thể đồng bộ với VOMS để cùng quản lý người dùng trong VO. Chính xác, mọi thông tin về thành viên trong VOMRS sẽ được chuyển qua VOMS thông qua các API của VOMS-Admin.

Cụ thể, khi VOMRS được kích hoạt, chức năng đăng ký của VOMS tạm thời bị tắt. Người dùng và người quản trị khi làm việc với các thông tin về nhóm, vai trò sẽ thực hiện trực tiếp trên giao diện của VOMRS. Sau đó, định kỳ, VOMRS sẽ đồng bộ các thông tin này với cơ sở dữ liệu của VOMS. Việc cấp các chứng thực sử

97

4.5.2 GUMS & PRIMA thay thế EDG-MKGRIDMAP.

Tương lai phát triển của hệ thống sẽ là kết hợp VOMRS và VOMS để bổ

sung lẫn nhau trong quản lý thông tin người dùng lưới cấp độ VO. Còn trên cấp độ

RP, dịch vụ EDG-MKGRIDMAP với cơ chế ánh xạ cứng còn hạn chế sẽđược thay thế bởi hai dịch vụ mới GUMS và PRIMA mềm dẻo hơn.

Hình 4- 24: Kiến trúc GUMS

Cụ thể, trong hệ thống có PRIMA và GUMS, khi người dùng lưới muốn sử

dụng tài nguyên, đầu tiên, họ gửi yêu cầu cấp chứng thực tạm thời tới VOMS/VOMRS. VOMS/VOMRS trả lại người dùng chứng chỉ số sử dụng lưới, bên trong có gắn thêm các thông tin về nhóm và vai trò của người dùng. Khi chứng nhận này được gửi tới bên cung cấp tài nguyên RP để xin sử dụng, GateKeeper sẽ

trích các thông tin này ra. Để kiểm tra các thông tin này, PRIMA được sử dụng để

hỗ trợ cho GateKeeper. PRIMA sau đó tiếp tục liên hệ với GUMS (Grid User Management System) để kiểm tra quyền sử dụng tài nguyên của người dùng. GUMS tiếp tục liên hệ với VOMS để lấy về thông tin người dùng. Sau khi lấy được thông tin, GUMS kết hợp với chính sách tài nguyên của site cục bộđể tiến hành ánh xạ. GUMS cung cấp cả cơ chế ánh xạ tĩnh thông qua GridMap và ánh xạđộng khi liên kết với PRIMA. GUMS giống EDG-MKGRIDMAP ở khả năng ánh xạ tĩnh nhưng hơn EDG-MKGRIDMAP khi nó có thể trực tiếp trả về tài khoản ánh xạ cho người dùng (cung cấp ánh xạđộng) về PRIMA.

98

Hình 4- 25: D án VO Services

GUMS và PRIMA là 2 trong 4 thành phần của dự án “VO Services” bao gồm VOMS/VOMRS, Globus Toolkit/Glite, GUMS, PRIMA. VO Services là giải pháp toàn diện cho quản trị người dùng lưới trên cấp độ VO và RP. Hiện tại, VO Services đang được ứng dụng rộng rãi trong EGEE, PRAGMA, US ATLAS, US CMS, cũng như FermiGrid. Hướng phát triển tương lai của hệ thống quản lý người dùng lưới trong GOODAS sẽ là triển khai VO Services.

99

KẾT LUẬN

Luận văn đã tập trung nghiên cứu tìm hiểu các vấn đề an toàn thông tin cho lưới một cách toàn diện và có hệ thống. Dựa trên nền tảng đó, luận văn đưa ra mô hình an toàn bảo mật cho hệ thống quản lý tổ chức ảo và quản lý giấy uỷ nhiệm

trong môi trường lưới nói chung và tích hợp với hệ thống tìm kiếm và chia sẻ tài liệu trực tuyến GOODAS nói riêng.

Các kết qu chính ca lun văn là:

1/. Tìm hiểu và nghiên cứu tài liệu để hệ thống lại các vấn đề sau:

+ Tng quan tính toán lưới: các định nghĩa về tính toán lưới, các lợi tích và kiến trúc của một lưới,

+ Vn đề an toàn thông tin trong tính toán lưới: các thách thức về an toàn bảo mật và kiến trúc an ninh cho một hệ thống tính toán lưới

+ Cơ s h tng an toàn thông tin lưới GSI: bao gồm giấy chứng nhận và giấy uỷ nhiệm lưới và các khả năng uỷ quyền, chứng thực đa phương và toàn vẹn.

+ H thng qun lý t chc o: các khái niệm tổ chức ảo, mô hình quản lý và

ứng dụng trong dịch vụ VOMS và EDG-MKGRIDMAP

+ Cng đin t lưới: các khái niệm về cổng điện tử lưới và vấn đề quản lý giấy uỷ nhiệm trên cổng điện tử lưới

2/. Thử nghiệm chương trình:

Luận văn đã xây dựng Hệ thống quản lý người dùng lưới và các tổ chức ảo cho một lưới tính toán. Hệ thống này được cài đặt thử nghiệm trên lưới tìm kiếm và chia sẻ tài liệu điện tử GOODAS. Các thành phần chính của Hệ thống bao gồm:

+ Thành phn qun lý tổ ảo: cho phép quản lý các tổ chức ảo VO, các hoạt

động đăng ký lưới, xác định quyền truy nhập đến các dịch vụ của hệ thống.

+ Thành phn qun lý giy u nhim: thiết lập các kiểm soát truy nhập dịch vụ và tài nguyên lưới và quản lý giấy uỷ nhiệm thông qua Cổng điện tử lưới.

Một phần kết quả của luận văn đã được trình bày trong báo cáo tại hội nghị

Một phần của tài liệu Nghiên cứu việc đảm bảo an toàn thông tin trong hệ thống tính toán lưới (Trang 89)

Tải bản đầy đủ (PDF)

(111 trang)