hóa sẽ làm giảm thời xây dựng, phát triển các hệ thống Grid. Thay vì dành nhiều thời gian cho việc xây dựng các chức năng giao tiếp, các hệ thống quản lý, với việc sử dụng các hệ thống chuẩn hoá có sẵn, các nhà phát triển ứng dụng sẽ có nhiều thời gian hơn để tối ưu các chức năng xử lý dữ liệu.
Phân tích như trên cho thấy việc xây dựng các chuẩn là cần thiết. Để đáp ứng nhu cầu đó, tổ chức Global Grid Forum(GGF) ra đời với thành viên là hầu hết các nhà nghiên cứu, các tổ chức hàng đầu trong việc xây dựng công nghệ Grid Computing. GGF đã và đang phát triển các chuẩn về Grid Computing như : Open Grid Services Architecture (OGSA), Open Grid Services Infrastructure (OGSI), Web Services Resource Framework (WSRF).
Các chuẩn trên đây cũng là chuẩn duy nhất hiện nay trong ngành công nghệ Grid Computing. Các chuẩn này vẫn trong giai đoạn phát triển.
Mục tiêu của OGSA và OGSI nhằm xây dựng một nền tảng để hỗ trợ việc xây dựng một tập các dịch vụ có thể được tìm thấy và được gọi bởi bất kỳ hệ thống nào trong Grid. Mục tiêu chính là định nghĩa được các giao diện dịch vụ (service interface) hoàn toàn độc lập với các cài đặt cụ thể bên dưới, điều đó sẽ giúp cung cấp các dịch vụ OGSA trên bất kỳ thiết bị tính toán nào kết nối với Grid.
Open Grid Services Architecture (OGSA)
Chuẩn Open Grid Services Architecture (OGSA) xác định toàn bộ các kết cấu, cấu trúc, dịch vụ cơ bản của một ứng dụng Grid và có thể được áp dụng trong bất kỳ một hệ thống Grid nào. Về thực chất, OGSA định nghĩa các dịch vụ Grid (Grid service) là gì, chúng cần có những khả năng gì, được xây dựng trên những công nghệ nào. Nó cũng xác định mô hình lập trình cho Grid service. Tuy nhiên, OGSA không đi sâu vào mặt kỹ thuật của vấn đề, nó chỉ giúp phân biệt cái gì là Grid và cái gì không phải.
OGSA xác định Grid service phải được xây dựng dựa trên các chuẩn về Web service hiện hành, xem Grid service như là các Web service được chỉnh sửa để đáp ứng các yêu cầu mới. Ví dụ, bản thân các Grid service được định nghĩa bằng chuẩn WSDL (Web Services Definition Language) với một số mở rộng. Điều này rất quan trọng, vì nó cung cấp một loạt các công nghệ dựa theo một chuẩn chung và mở để truy cập nhiều loại Grid service dựa trên các chuẩn hiện hành như SOAP, XML, và WS-Security. Với điều kiện như vậy, có thể thêm và tích hợp
các Grid service mới một cách đơn giản, dễ dàng. Nó cung cấp một phương pháp chung nhất để tìm kiếm, xác định, sử dụng các service mới khi chúng có mặt. Từ đó, giải quyết được vấn đề liên kết hoạt động giữa các Grid và các tài nguyên.
Open Grid Services Infrastructure (OGSI)
OGSI là một bản đặc tả chính thức các khái niệm được mô tả trong OGSA. OGSI version 1.0 xác định một một tập các service cơ bản, xác định cách xây dựng một Grid service, định nghĩa các hoạt động chung nhất của tất cả các Grid service, vạch ra các cơ chế để tạo lập; quản lý các Grid service, cơ chế trao đổi thông tin giữa các Grid service.
Chuẩn OGSI dựa trên các chuẩn khác như XML, Web service, WSDL, … do đó, nó cũng là một chuẩn mở.
Web Services Resource Framework (WSRF)
Là một bước phát triển của OGSI, nó kết hợp kiến trúc Grid vào công nghệ Web service hiện hành. Thay vì xây dựng một kiểu Grid service mới, những đặc tả này cho phép các service xác định trong OGSI được xây dựng hoàn toàn dựa trên Web service.
Tóm lại, các hệ thống Grid đều cần phải được xây dựng trên một chuẩn chung. Hiện nay chỉ có một chuẩn chung đang được phát triển và được khuyến cáo là nên sử dụng khi xây dựng các hệ thống Grid. Chuẩn đó là OGSA và bản đặc tả của nó, OGSI. Theo chuẩn OGSA, các hệ thống Grid được xây dựng xung quanh khái niệm Grid service. Grid service cần phải xây dựng dựa trên các công nghệ chuẩn hiện hành, do đó công nghệ Web service được chọn trong hàng loạt các công nghệ như CORBA, RMI, RPC,… Và hiện nay, toàn bộ bản đặc tả OGSI version 1.0 đã được cài đặt cụ thể trong bộ Globus Toolkit từ version 3.0 trở đi, và UNICORE cũng bắt đầu cài đặt lại theo OGSA, OGSI. Hình I.8.1 tóm tắt mối quan hệ giữa các chuẩn trên
Hình I.8.1: Mối quan hệ giữa các chuẩn về Grid Service.
OGSA định nghĩa và dựa trên Grid service, OGSI đặc tả Grid service theo OGSA, Grid service là một mở rộng của Web service, một công nghệ cho
phép các thành phần phân tán giao tiếp với nhau, GT là một bản cài đặt hoàn chỉnh OGSI với ngôn ngữ Java.
Các tổ chức hỗ trợ và phát triển tính toán lưới
Diễn đàn điện toán lưới toàn cầu GGF: Diễn đàn Grid toàn cầu có mục đích định nghĩa các đặc tả cho tính toán lưới. GGF được phát triển với hợp tác giữa khu vực công nghiệp và khoa học với những hỗ trợ quan trọng từ cả hai khu vực này.
Tổ chức Globus Alliance: Globus Alliance triển khai một số chuẩn được phát triển tại diễn đàn GGF thông qua bộ phần mềm lưới trung gian Globus Toolkit. Với chức năng là một thành phần trung gian trong kiến trúc lưới, bộ phần mềm này cung cấp nền tảng chuẩn để thiết lập các dịch vụ trên lưới tính toán, nhưng tính toán lưới còn cần có nhiều thành phần khác và rất nhiều công cụ để thiết lập và duy trì môi trường lưới.
PHẦN II: BẢO MẬT TÍNH TOÁN LƯỚI
II.1. Giới thiệu về bảo mật tính toán lưới
Yêu cầu tích hợp và quản lý tài nguyên trong một VO đã dẫn đến những thách thức về an ninh cho tính toán lưới. Để đáp ứng nhiều vấn đề liên qua đến cấp giấy chứng nhận, quản lý nhóm thành viên, ủy quyền, các mối quan hệ giữa các thành viên trong một “tổ chức ảo” (VO), tất cả thành viên cần phải thiết lập một cơ chế để làm việc. Cơ chế này dựa trên cả sự tin cậy lẫn những kiến trúc an ninh và các quy định trong VO này. Nghiên cứu về tính toán lưới đã giới thiệu những công nghệ an ninh không những dựa trên sự tin tưởng của các thành viên nội bộ trong hệ thống, mà dựa trên việc sử dụng các VO và cầu nối giữa các máy thành viên trong một tác vụ cụ thể. Những kết quả nghiên cứu đó đã dẫn đến việc xây dựng bộ công cụ phần mềm đang được sử dụng rộng rãi – Globus Toolkit (GT).
Những thách thức an ninh cho tính toán lưới
An ninh trong môi trường tính toán lưới phải đáp ứng được những yêu cầu về tính toán diện rộng, tính “động” của hệ thống, và phân phối những VO. Từ góc độ an ninh, một thuộc tính quan trọng của các VO là những thành viên và tài nguyên được điều phối bởi các quy định và chính sách của tổ chức trước đó mà họ là thành viên. Mặt khác, trong khi một số VO, như tổ chức hợp tác khoa học trong nhiều năm, có thể rất lớn và tồn tại lâu dài (giả sử rằng các đàm phán với những nhà cung cấp tài nguyên đã được chấp nhận), thì một số VO chỉ tồn tại thời gian ngắn, để hỗ trợ một nhiệm vụ nhỏ duy nhất, ví dụ hai cá nhân chia sẻ tài liệu, dữ liệu. Trong những trường hợp nhỏ như vậy, những yêu cầu về điều khiển và an ninh trong VO không được quá lớn. Một yêu cầu cơ bản như vậy là để cho phép các VO truy cập vào tài nguyên tồn tại trong các tổ chức trước đó. Khi đó đã có chính sách giữa những người sử dụng. Một VO phải được thiết lập và phối hợp thông qua các sự tin tưởng giữa những người dùng địa phương với tổ chức của họ; và của những VO với người sử dụng. Chúng ta không thể khẳng định sự tin cậy giữa những tổ chức trước đây và những VO hay những thành
viên bên ngoài. Như trong hình II.1, hệ thống an ninh trong tính toán lưới giải quyết yêu cầu đó bằng cách xem một VO là một lớp phủ với chính sách khu vực và lưới địa chỉ các cơ chế bảo mật những thách thức bằng cách cho phép một VO được đối xử như là một lớp phủ chính sách miền. Nhiều nguồn tài nguyên đang thuê hoặc các tổ chức hỗ trợ bên ngoài sẽ cấp phát một số quyền cho tổ chức thứ ba: một VO điều phối các chính sách nguồn tài nguyên bên ngoài nhằm thống nhất cách thức phối hợp tài nguyên và chia sẻ sử dụng.
Hình II.1: Tổ chức ảo (VO)
Hệ thống an ninh trong tính toán lưới rất phức tạp vì trên thực tế, có rất nhiều dịch vụ (tài nguyên) mới được phát triển và vận hành trong suốt quá trình chạy của một VO. Ví dụ như người dùng có thể thiết lập một giao diện cá nhân để truy xuất vào các tài nguyên, hay VO có thể tự sinh ra một thư mục để lưu lại lịch sử làm việc của các thành viên trong tổ chức. Sự kết hợp của các lớp phủ (và chính sách liên quan) với các thực thể (được tạo ra liên tục) cần ba yếu tố quan trọng trong một mô hình an ninh dành cho tính toán lưới:
Cơ chế bảo mật đa thành phần
Những tổ chức tham gia các VO thường đã đầu tư đáng kể cho cơ chế an ninh và cơ sở hạ tầng. Hệ thống bảo mật mới thích ứng với cái đang có, thay vì thay thế chúng.
Linh động tạo ra những dịch vụ
Người sử dụng phải có quyền tạo ra các dịch vụ mới (tài nguyên) một cách tự động mà không cần sự can thiệp của quản trị. Những dịch vụ này phải được phối hợp được và phải tương tác an toàn với các dịch vụ khác. Những người tham gia phải định danh được những dịch vụ đó để cấp quyền tương ứng và phù hợp với những quy tắc chung.
Linh động thiết lập các khu vực tin cậy
chỉ giữa những người sử dụng với các nguồn tài nguyên của hệ thống mà còn giữa chính các nguồn tài nguyên với nhau. Những khu vực tin cậy này có thể mở rộng ra và phải linh động thích ứng với những cá nhân hay tổ chức mới gia nhập vào, hoặc rời khỏi hệ thống.
Những cơ chế quản lý an ninh truyền thống không thể giải quyết các vấn đề cấp phát động của hệ thống tính toán lưới. Chúng ta cần một mô hình linh động hướng đến người sử dụng để họ có thể tạo ra những thực thể và những khu vực quy định chung, từ đó tham gia vào và cùng chia sẽ tài nguyên trong những VO.
II.2. Những yêu cầu an ninh cho hệ thống tính toán lưới
Yêu cầu bảo mật
VO là một trong những khái niệm cơ bản trong tính toán lưới. Một VO được định nghĩa là một nhóm linh động (có thể tham gia vào hoặc rời khỏi nhóm trong quá trình vận hành) của nhiều cá nhân, nhóm, hoặc các tổ chức thỏa mãn các điều kiện và quy định chia sẻ tài nguyên.
Một môi trường tính toán lưới rất cần thiết để phối hợp quản lý tài nguyên và chia sẻ chúng trong một VO, và VO này có thể mở rộng, tích hợp thêm nhiều tổ chức khác nữa. Điều này cho thấy một ứng dụng tính toán lưới có thể bao trùm lên nhiều khu vực được cấp quyền khác nhau. Mỗi khu vực cấp quyền đó sẽ có những yêu cầu và chính sách riêng. Một cơ sở hạ tầng an ninh cho tính toán lưới là cần thiết để bảo vệ cho những chính sách của từng khu vực cũng như những chính sách do VO đặt ra. Để đạt được yêu cầu về cơ sở hạ tầng an ninh tính toán lưới thì cần phải có khả năng tương tác giữa các khu vực khác nhau trong khi vẫn duy trì một sự tách biệt rõ ràng về các chính sách an ninh và cơ chế triển khai của cả hai VO và tổ chức thực (RO).