Luận văn xây dựng giải pháp mã hóa Ổ Đĩa Ảo trên môi trường Điện toán Đám mây iaas

Còn các nhà cung cấp dịch vụ cũng luôn đau đầu với bài toán làm sao dé dam bao an toàn đữ liệu cho khách hàng, từ đó tạo được lòng tin từ người dùng Đôi với loại hình dịch vụ điện toán

Trang 1

Luận văn thạc sĩ kỹ thuật GVHD: PGS.TS Ngô Hồng Sơn

2 Mục tiêu, nhiệm vụ và phạm vi của luận văn 10

3 Phương pháp thực hiện s 1222220222212 0errre 11

CHUONG 1: DIEN TOAN DAM MAY VA CAc VAN DE AN NINH THONG

1.1 Khái niệm điện toán đám mây cc cec 12 1.2 Các đặc trưng của điện toản đám mây 2 12 1.3 Mô hình dịch vụ cũa Cloud eomputing s25 13 13.1 Mô hình hạ tẳng như một dịch vụ -laa§ 14

1.3.2 Mô hinh nên tảng như một dịch vụ — PaaS 15 13.3 Mô hinh phan mém như một dịch vụ — SaaS 15

1.4 Các mô hình triển khai của cloud computing -+ 16 1.41 Mô hinh đám may céng céng (Public cloud) 16

1.43 Mô hình đám mây lai (Hybrid eloud) - „16

1.5 Một số nên tâng dam may IaaS ma nguồn mở 17

Trang 2

1.5.4 CloudStack

2 Tổng quan vẻ CloudStack

1 Giới thiêu vẻ CloudStaek

2.2 Đặc điểm của CloudStack snes

2.2.1 Các khái niệm liên quan

23 Kiến trúc CloudStack

231 Máy chủquảnlý _—

3 Các vẫn đề an ninh thông tin trên mỗi trường điện toán đám mây laaS 3.1 Các vẫn đề an ninh chung trên môi trường điện toán dam mây

3.2 Van de dam bảo an ninh dữ liệu trên môi trường laaS

3.3 Các giải pháp mã hóa dữ liệu người dủng trên môi trường TaaS

1 Vân đề bảo mật dữ liệu người dùng trên CloudStack

2 Giải pháp ma hoa 6 dia ao

3 Kết luận pr TEE EET

CHUONG 3: TRIEN KHAI, THU NGHIEM VA DANH GIA

1 Triển khai thử nghiệm giải pháp

Trang 3

1.13 Cải đặt cấuhinhNES cccccccocoe.8O)

1.1.4 Cải đặt máy chủ host

1.1.5 Chuẩn bị mẫu máy ảo hệ thống luggiagndasgasssgasasaaSE

3 Phương hưởng phát triển liltettti8aãi2cutSväNBAGianataidNd1aLgaua880a0ies,aS66,

TAI LIEU THAM KHẢO

Trang 4

LOI CAM DOAN

Tác giả luận văn xin cam đoan đây lả công trình nghiên cứu của riêng tác giả

luận văn; đúc kết của quá trình nghiên cửu từ việc tập hợp các nguồn tải liệu, các kiến thức đã học đến việc tự thu thập các thông tin liên quan và liên hệ thực tế tại

đơn vị công tác Các số liệu, kết quả nêu trong luân văn lả trung thực và chưa từng được ai công bỏ trong bắt kỳ công trinh nào khác

Tác giả luận văn xi cam đoan rằng mọi sự giúp đỡ cho việc thực hiện Luận

văn này đã được cảm ơn và các thông tin trích dẫn trong Luận văn đã được chỉ rõ

nguồn gốc

Tác giả luận văn xm chịu trách nhiệm vẻ nghiên cứu của mình

Học viên thực hiện luận văn

Trang 5

LOI CAM ON

Trước tiên, tôi - tác giả luận văn xin được gửi lời cảm ơn đến các Quý Thây/Cô đã giảng dạy trong chương trình đảo tạo thạc sỹ, Viện Công Nghệ Thông

Tin và Truyền Thông, Đại học Bách khoa Hà Nội, những người đã tận tỉnh truyền

đạt kiến thức trong quá trình tôi học tập Đây là vốn kiến thức thực sự hữu ích không chỉ làm nên tảng cho quá trình nghiên cứu khóa luận, mả cỏn là hành trang giúp tôi vững bước trên con đường hoạt động trong lĩnh vực Công nghệ thông tin nói riêng vả trong cuộc sống nói chưng

Với tắt cả lòng kinh trọng vả biết ơn, tôi xin được gửi lời cảm ơn chân thành tới PGS.TS Ngô Hồng là người đã định hướng, hướng dân cho tôi những ngày dau

thực hiện luận văn Mặc dủ trong quá trình thực hiện luận văn, có những giai đoạn khó khăn không thuận lợi, nhưng những lời động viên, hướng dẫn quý báu của các

thây đã giúp tôi vượt qua và hoàn thảnh luận văn nay

Tôi cũng xin gửi lời biết ơn đến Ban Giám đốc Viện Nghiên cửu và Phát triển Viettel/Tap doan Viên thông Quân đôi và các đồng nghiệp đã tạo điệu kiện giúp đỡ

tôi trong quá trình nghiên cửu, triển khai thử nghiệm các giải pháp trong quá trình thực hiện Luận vẫn

Cuỗi cùng tôi xin gửi lời biết ơn sâu sắc đến gia đình, bạn bè ~ những người đã luôn bên cạnh giúp đỡ và tạo điêu kiện tốt nhất cho tôi trong suốt quá trình học tập

cũng như thực hiện luận văn

Do thời gian có hạn và kinh nghiệm nghiên cứu khoa học chưa nhiều nên

luận văn còn nhiêu thiểu sót, rất mong nhận được ý kiến góp ý của Quý Thầy/Cô và

Trang 6

DANH MUC CAC KY HIEU, CHU VIET TAT

Advanced Eneryption Standard — Thuật toán mã hóa khóa đổi xứng,

API Application Programming Interface — Giao dién lập trình img dung

AWS Amazon Web Service — Dich vu Web cia Amazon

CPU Central Processing Unit — Bé xtr ly trung tam

CSP Cloud Service Provider —Nha cung cap dich vu dam may

TaaS Infrastructure as a Service — Ha tang như một dịch vụ

KVM Kernel-based Virtual Machine

ISON Java Script Object Notation — Dinh dang dit ligu Java Script

NIST National Institute of Standards and Technology

SaaS Software as a Service — Phan mem như một dịch vụ

PaaS Platform as a Service — Nén tảng như một dịch vụ

SSL Secure Sockets Layer

VM Virtual Machine — May ao

XML eXtensible Markup Language — Ng6n ngit đánh dâu mỡ rộng,

Trang 7

DANH MỤC HÌNH VẼ Hình 1: So sảnh các mô hình điện toản đám mây vả mô hình truyền thống 14

Hình2: Các mô hình triển khai của Cloud computing -:cs 552222222 16

Hình3: Mô hinh CloudSlack 2it0051/80g0H HiữGii28DtnHSi428030) „19

Hinh4: Kiến trúc CloudStack seo

Hình §: Kién tric ctia Management server WGf5005015n00030505.mE 23

Hinh 6, Khảo sát về những vẫn đề đổi với cloud computing 25

Hình§: Kiên trủc module mã hóa 02222 2222 eeeeeerưec 34

Hình 9: Giao tiếp giữa các projeet 2022100222222 34 Hinh 10: Luông xử lý thao tạo tạo volume mã hỏa i 0585 35 Hinh 11: Luéng thao tac gin 6 dia mA BGA cco sssessssssssessennteernseeenees 36 Hinh 12: Giao điện người dùng truy cập vào máy ảo sensei DD

Hinh 13: — Ma héa 6 dia ao trén CloudStack 0 00 00ccccscssuenivuieesssensiee 38

Hình 15: Quá trình giải mã dữ liệu trên ô đĩa ảo ee 40

Hình 16: Kết quả Benehmark các giải thuật mã hỏa của TrueCrypt „41 Hinh 17: Đăng ký sử dụng giải pháp mãhóa ààoà s42)

Hình18: - Khởitạo mãhóa ổ đĩa 00 020ceeriee 44

Hình19: Quá trình sao lưu khỏa mãhóa ssse -.4

Hình 21: Mô hình triển khai giải pháp 22222222222 222212210 152 48

Hinh22: Cơ sở dữ liệu củacloudstack sccccccee 50

7 Học viên: Nguyễn Định Việt

Trang 8

Câu hình sử dụng SSL cho web portal .0.0.00:0c:0:0s0cteeeees

Giao diện quân trị cloudstack

Tao zone Kich hoat zone Hoan thành tạo zone - Tạo mâu đề cải đặt máy ão -ccccsssccc

Tạo máy ảo 2 2222222222101

Hoàn thành tạo máy ảo

Truy cap vao may ao théng qua console proxy

Tao 6 dia ao

Gan 6 dia ao cho may ao

§ Học viên: Nguyễn Định Việt

Trang 9

ĐANH MỤC CÁC BẢNG

Bang 1: So sánh một số nên tảng đám mây IaaS mã nguồn mở 7

Bang 2: Kết quả so sảnh tốc độ đọc ghi với dụng lượng RAM 2GB 62

Bang 3: Kết quả so sánh tóc độ đọc ghi với dung lượng RAM 4GB 63

Bang 4: Kết quả so sánh tốc độ đọc ghi với dung lượng RAM 6GB 63

9 Học viên: Nguyễn Định Việt

Trang 10

PHAN MO DAU

1 Tổng quan

Điện ton dam may (Cloud computing) đang là xu hướng phát triển mạnh

của ngành Công nghệ thông ti Điện toán đảm mây là một mô hình tỉnh toản năng

động cao, cỏ khả năng mở rộng đến các tải nguyễn ảo trên mạng Internet Hiện nay, các dịch vụ sử dụng công nghệ điện toán đám mây đã trở nên hết sức phô biên từ các địch vụ lưu trữ, dịch vụ ứng dụng đền các dịch vụ cung cap ha tang cong nghệ

thông tin (IaaS)

Tuy nhiên những nghiên cứu gân đây nhất cho thay van đề về bảo mật, an toàn thông tin đang là vẫn đề lớn được tất cả người dùng cũng như các nha cung cap quan tâm Những người dùng (đặc biệt là người dùng doanh nghiệp) luôn thắc mắc liệu việc đẻ dữ liệu của minh trong ha tang ctia nha cung cấp liệu cỏ an toàn hay ko? Còn các nhà cung cấp dịch vụ cũng luôn đau đầu với bài toán làm sao dé dam bao

an toàn đữ liệu cho khách hàng, từ đó tạo được lòng tin từ người dùng

Đôi với loại hình dịch vụ điện toán đám mây cung cấp hạ tảng điện toán (IaaS

cloud eomputing) thi toàn bộ dữ liệu người dủng trên các máy chủ ảo được cung

cấp bởi nhà cung cấp cloud computing được lưu trữ đưới đạng các volume (6 dia) của máy ảo trên hạ tâng của nhà cung cấp dịch vụ Vì vậy làm cách nao dé dam bao

an toàn cho dữ liệu người dùng trên hệ thông cloud là vẫn đề quan trọng Giải pháp

mã hóa đữ liệu của người dùng trên môi trường cloud computing la một trong những nội dung đâm bảo an toản dữ liệu Nội dung luận văn này đề xuất giải pháp

mã hóa toàn bộ ö đĩa äo của người đủng được cung cấp bởi nhà cung cấp địch vụ

2 Mục tiêu, nhiệm vụ và phạm vi của luận văn

~_ Tìm hiểu tổng quan về điện toán đám mây, các vẫn đẻ an ninh thông tin trên

môi trường điện toan dam may IaaS

- Tim hiéu cac van de vé dam bao an ninh dit ligu, de xuất giải pháp mã hoa

dữ liệu người dùng trên môi trưởng điện toán đám may IaaS sử dụng giải

thuật thuộc hệ mật mã khỏa đổi xứng, đề xuất giải pháp giải quyết vẫn đẻ quản lý, trao đổi khóa mã hỏa

10 Học viên: Nguyễn Đình Việt

Trang 11

- Cai dat, thử nghiệm giải pháp mã hóa đữ liệu trên nên tảng CloudStack

3 _ Phương pháp thực hiện

~_ Tham khảo các tải liệu, bài báo, sách nghiên cứu vẻ các vẫn đề an ninh dữ

liệu trên môi trường điện toán đám mây

~_ Sử dụng các thư viện mật mã khỏa đối xứng mã nguồn mở, các nên tảng ảo hóa, giải pháp cloud mã nguồn mở đề xây dựng giải pháp và thử nghiệm

~_ Đo đạc, đánh giá hiện năng đọc/ghi dữ liêu trước và sau khi mã hỏa

~ Tìm hiểu nhu cau thực tế sử dụng giải pháp cho cả nhân và trong doanh

nghiệp đề đánh giả khả năng ứng dụng của giải pháp

4 Kết quả đạt được

~_ Năm và hiểu được các khải niệm liên quan đến điện toán đám mây, các vẫn

để về an ninh dữ liệu trên môi trường điện toán đám mây laaS

- Dé xuat được giải pháp mã hóa đữ liêu người dùng và giải quyết vẫn dé quan

lý khóa mã hóa

- Cai dit, thử nghiệm thành công giải pháp mã hỏa trên nên tảng CloudStack

ll Học viên: Nguyễn Đình Việt

Trang 12

CHƯƠNG 1: DIEN TOAN DAM MAY VA CAC VAN DE AN NINH THONG

TIN TREN MOI TRUONG ĐIỆN TOAN DAM MAY IAAS

1 Tổng quan về điện toán đám mây

1.1 Khái niệm điện toán đám mây

Có nhiều phát biểu vẻ định nghĩa của điện toán đảm mây của các hang nghiên cửu công nghệ thông tin, theo Wikipedia “Điện toán đám mây (cloud computing) là một mô hình điện toán cỏ khả năng co giãn (sealable) linh động và các tài nguyên thưởng được ảo hóa được cung cấp như một dịch vụ trên mạng Internet”[18] hoặc theo NIST “Điện toán đám mây là một mö hình cho phép truy cập mạng thuận tiện

theo nhu cầu đến một kho tải nguyên điện toán dùng chung, cỏ thể định câu hình (ví

dụ nhu mang, may chủ, lưu trữ, ứng dụng) có thẻ được cung cấp và thu hỏi một cách nhanh chóng với yêu câu tối thiểu về quản lý hoặc can thiệp của nhà cung cấp

dich vu.” [10]

Tuy nhiên điện toán đám mây cỏ thể được hiểu một cách đơn giản như là sự sử dụng tài nguyên tỉnh toán cỏ khả năng thay đổi theo nhu câu vả được cung cấp như

là một địch vụ từ bên ngoài với chỉ phí trả cho môi lân sử dụng Thuật ngữ “đám

may” 6 day là ám chỉ Internet, người dùng có thẻ truy cập đền tải nguyên tôn tại trong “dam may (cloud)” tai bat ky thoi điểm nảo vả từ bất kỳ dau thông qua hệ thông Internet Họ có thể làm việc với các tài nguyên đỏ mà không cân phải hiểu biết vẻ công nghệ, kỹ thuật và hạ tẳng cơ sở của đảm mây

1.2 Các đặc trưng của điện toán đám mây

NIST đưa ra 05 đặc trưng cơ bản của điện toán đám mây như sau (trang 8,

NIST cloud computing standards roadmap) [10].:

- On-demand self-service: khach hàng có thẻ được cung cấp tải nguyên như máy chủ, lưu trữ mạng, một cách tự động theo yêu cầu mà không cần phải

có sự giúp đỡ hay can thiệp từ phía nhà cung cấp dịch vụ

- Broad network access: người dùng có thể đễ dàng truy cập vào đảm mây chỉ với một ứng dụng cỏ khả năng truy cập mạng (Internet) từ bắt kỳ thiết bị nao, bao gôm máy tính, thiết bị cằm tay, dì động,

Trang 13

13

Location independent resource pooling: tai nguyén tinh toan ctia nha cung

cấp được phan chia dé phuc vu nhieu khach hang theo mô hình đa chiếm hữu (multi-tenancy model), với các tải nguyên vật lý và tài nguyên ảo được cấp động va thu hồi dựa theo yêu cầu của khách hang Su không phụ thuộc vào

vị trí ở đây cỏ nghĩa là khách hàng không biết và cũng không co quyền kiểm soát vị trí chính xác của tài nguyên được cung cấp Ví dụ vẻ tải nguyên cỏ the bao gém lưu trữ, xử lý, bộ nhớ, băng thông mạng và các máy ảo

Rapid elasticity: tai nguyén co thé được cung cấp một cách nhanh chóng và mềm đẻo, cỏ thể tăng lên hay giảm đi đễ dàng tủy theo yêu cầu của khách

hàng Với khách hàng, tải nguyên luôn sẵn sảng và cỏ thể coi là vô tân, có

thể yêu cầu vào bắt cứ thời điểm nảo

Measured service: các hệ thông cloud tự đông điều khiển và tình chỉnh tải nguyên sử dụng bằng cách áp dụng các biện pháp đo lường ở các cấp độ

khác nhau phù hợp với từng loại dịch vụ (ví dụ như lưu trữ, xử lý, băng

thông vả tài khoản người đủng đang active) Tài nguyên sử dụng có thể được

giám sát, đo lường và khách hàng thưởng sẽ chỉ phải trả phí cho lượng tài nguyên mà họ đã sử dụng,

M6 hinh dich vu ciia Cloud computing

Trong điện toán đảm mây, mọi khả năng liên quan đến công nghệ thông tin đều

được cung cap phé biển dưới dạng “dịch vụ” (service), người sử dụng truy cập các

dich vụ công nghệ từ một nhà cung cấp nảo đỏ “trong đám mây” mả không can quan tâm đến các cơ sở hạ tầng phục vụ công nghệ đó Có 03 mô hình cơ bản nhất thường được sử đụng trong điện toán đám mây là: Phản mềm như một dịch vụ

(SaaS); Nên tảng như một dịch vụ (PaaS) và Ha tầng như một dịch vụ (IaaS) Một

cách đơn giản, có thể so sánh các mô hình này với mô hình truyền thông như hình:

Trang 14

Luận văn thạc sĩ kỹ thuật GVHD: PGS.TS Ngé Hồng Son

1.3.1 M6 hinh ha ting nhw mat dich vu—IaaS

M6 hinh TaaS cung cấp cho người dùng một hạ tầng thô (dưới hình thức các

máy chủ ảo, lưu trữ, mạng, ) như là một dịch vụ Người dùng cỏ thể triển khai và chạy phan mem bất kỳ trên máy ảo, cỏ thê bao gồm cả hệ điều hành và các ứng dung Nguoi ding không quản lý hay điều khiển hạ tầng thực của cloud nhưng cỏ quyền kiểm soát hệ điều hành, lưu trữ, các ứng dụng và một số thành phan mang co bản (ví dụ như tường lửa, cân bằng tải) trên máy chủ ảo họ được cấp Những dich

vụ IaaS thông thường được tính phi sử dụng dựa theo lượng tỉnh toán hay tài

nguyên mà người dùng sử dụng [10]

Những đặc trưng tiêu biểu của Iaa§:

- _ Cung cấp hạ tầng như một địch vụ: bao gồm cã máy chủ (ảo), thiết bị mạng,

bộ nhớ, CPU, không gian đĩa cứng, trang thiết bị trung tâm dữ liệu

~_ Khả năng mở rộng linh hoạt

- Chi phi thay đổi tùy theo thực tẻ

~ Nhiều người thuê có thể củng đủng chung trên một tài nguyên (nhiều máy ảo

Trang 15

~ Cập độ doanh nghiệp: đem lại lợi ích cho công ty bởi một nguồn tài nguyên tính toản tổng hợp

Một số nhà cung cấp IaaS như Amazon với Amazon Elastic Compute Cloud (EC2) Rackspace, GoGrid Ngoài ra, một số doanh nghiệp cỏ thẻ tự xây dung hệ thống đám mây laaS của mình dựa trên nên tảng của các giải pháp mã nguồn mở có thể kể đến như CloudStack, OpenStack, Euealytus, OpenNebula.Trong đó,

€CloudStaek là một giải pháp có nhiều ưu điểm như đề dàng triển khai, hỗ trợ nhiêu nên tảng ảo hóa, khả năng quản lý hạ tảng vật lý lớn, cung cấp sẵn các giao diện tương tác giữa người dùng, quản trị với hệ thông (chỉ tiết sẽ được trinh bảy ở mục

3 của chương nảy)

1.3.2 Mô hình nền tảng như một dịch vụ — PaaS

Mô hình PaaS cung cấp cho người dùng khả năng triển khai và phát triển ứng

dụng của chính họ trên hạ tâng cloud sử dụng các ngôn ngữ lập trình vả công cụ do nhà cung cấp cloud hỗ trợ (vi dụ java, python, Net) Một số giải pháp PaaS như

Windows Azure, Google App Engine [10]

1.3.3 Mô hình phần mềm như một dịch vụ — SaaS

Mô hình SaaS cung cấp cho người dùng khả năng sử dụng các ửng dụng của

nhà cung cấp chạy trên hạ tảng cloud và có thể truy cập từ nhiều thiết bị đầu cuối

thông qua một giao điện khách đơn giản như một trình duyệt Web (ví dụ, web-

based email) Người dùng không quản ly hay kiểm soát hạ tầng phia dưới, mạng, máy chủ, hệ điều hảnh, lưu trữ hay thậm chí một số câu hình ứng dụng hệ thống, ma chỉ sử dụng ứng dụng kèm theo một số câu hình hạn chế với ửng dụng đó [10]

Trang 16

1.4.1 M6 hinh đám mây công cộng (Public cloud)

Là các dịch vụ đảm mây công cộng, người dùng sẽ đăng ký với nhà cung cấp

vả trả phí sử dụng dựa theo chính sách giá của nhà cung cấp Public eloud là mô

hình triển khai được sử dụng phổ biến nhất hiện nay của cloud computing Đổi tượng sử dụng: Bao gồm người dùng bên ngoài internet Đổi tượng quan ly la nha

cung cấp dịch vụ [10]

1.42 Mô hình đám mây riêng (Private cloud)

Private cloud là các dịch vụ điện toán đám mây được cung cấp trong các doanh

nghiệp được các doanh nghiệp trực tiếp quản lý [10]

1.4.3 Mô hình đám mây lai (Hybrid cloud)

La su két hop ctia private cloud va public cloud Cho phép ta khai thác điểm

mạnh của từng mô hình cũng như đưa ra phương thức sử dụng tối ưu cho người sử

Trang 17

dụng Những “đám mây” nảy thường do doanh nghiệp tao ra vả việc quản lý sẽ được phân chia giữa doanh nghiệp và nhà cung cấp điện toán đảm mây công công [I0]

1.5 Một số nền tảng đám mây IaaS mã nguồn mở

hoa hỗ trợ ms Virtual Box VMware Sper Ys VMware, Virtual i

Box

M lạng DHCP server on | Manyal the cluster OpenStack Linux Bridge hoặc i

Tưởng lita, ae = Hỗ trợ (OpenStack | Hỗ trợ (tích hợp

VPN Không, hens Neutron) sin)

Quản trị wor Command ine | Commandline | vep Ap

Bảng 1- So sánh một số nên tảng đâm mây IaaŠ mã nguồn mở

1.5.1 Eucalyptus

La một phản mềm mã nguồn mở Linux-based cung cấp nên tảng đám mây theo

mô hình IaaS với cả 2 mỏ hình đám mây riêng hoặc đám mây công cộng Điểm

mạnh của Euealyptus là khả năng hỗ trợ việc xây dựng hệ thống mả không yêu cầu

Trang 18

Là bộ công cụ nguồn mở sử dụng đề xây dựng đám mây riêng, đám mây công

cộng hoặc đám mây lai OpenNebula tương thích với các nên tảng ảo hóa cia Xen, KVM, VMWARE va Virtual Box

1.5.3 OpenStack

Là một dự án nguồn mở của cộng đồng cho việc phát triển điện toán đám mây

phủ hợp với nhả cung cấp (CSP) cũng như người đủng được phát triển bởi

Rackspace hosting va NASA Openstack bao gém 3 du an chinh: Openstack

Compute (cö chức năng quản lý, cấp phát tài nguyên äo hóa cho các máy Ao),

Openstack Object Storage (thực hiện việc lưu trữ, sao lưu đữ liệu hệ thông) và

Openstack Image Service (đảm nhận chức năng phát hiên, đăng ký, truyền tải dịch

vụ cho các ö đĩa ảo) Hiện nay OpenStack được đánh giá là nên tảng mã nguồn mở xây dựng ha tâng đám mây khá mạnh với sự hồ trợ của các hãng máy tính lớn trên thể giới như HP, IBM, Cisco, Microsoft

1.5.4 CloudStack

Apache CloudStack 1a phan mém ma nguén méviet trên nên Java, được thiết ke

để hỗ trợ triển khai và quản lý một hệ thông mạng lớn các máy ảo, tính sẵn sảng cao

va tính mở rộng đặc trưng trong môi trường đảm mây CloudStack hiện tại hỗ trợ khá tốt cho nhiều công nghệ ảo hóa khác nhau như VMware, Oracle VM, KVM, XenServer va nén tang Xen Cloud va dang được đánh giá là một trong những nên tang đám mây mạnh nhất hiện nay Đây cũng là nên tảng được đẻ xuất đề triển khai

ha tang dam may IaaS trong Luan van nay vả sẽ được trình bay chỉ tiết trong phan

tiếp theo

2 _ Tổng quan về CloudStack

2.1 Giới thiệu về CloudStack

CloudStack là hệ thống hệ điều hảnh điện toản đảm mây mã nguồn mở, cho phép người dùng phổi hợp ao hoa server, network, network storage dé cung cấp

Trang 19

‘Luan van thac sĩ kỹ thuật GVHD: PGS.TS Ngé Hồng Son

Infrastructure —as-a service (Iaas) tuong tu Amazon EC2 CloudStack phối hợp các nguồn tải nguyên ảo hỏa thành một môi trường đông nhất, nơi có thê ủy nhiệm cho người sử dụng tự tạo các máy ảo và sử dụng tủy theo nhu câu riêng của họ[17]

CloudStack cỏ thẻ áp dụng triển khai ở cả 03 mô hình Private Cloud, Public

Cloud, Hybrid Cloud

2.2 Đặc điểm của CloudStack

~ Hỗ trợ nhiều nên tảng ảo hóa (hypervisor): Xenserver, VMware, OracleVM,

KVM, XCP

- Kha ning quan ly ha tang vat lý lớn và khả năng mở rộng cao: CloudStack

có thể quản lý khoảng 10.000 máy chủ vật lý Các máy chủ quản lý tập trung,

trên một quy mô lớn, loại bỏ sự cân thiết của các cụm máy tính quản lý trung gian Không có một thành phần đơn lẻ nào là điểm chau lỗi duy nhất bởi vậy

Trang 20

-_ CloudStack sử dụng security groups hoặc chia Vian tạo thành các mạng ảo

giúp cô lập các tài khoản người dùng đề tăng cường khả năng quản lý truy

cập, phân quyền người dủng

- Hỗ trợ nhiều giao điện tương tác giữa người dùng và hệ thông cloud CloudStack cho phép người dùng tương tác với hệ thống qua Web UI, command line va API đề quản lý tài nguyên

- Cung cap các dịch vụ mạng : Ngoài việc cung cấp các dich vu ao hoa (RAM, CPU, 6 đĩa lưu trữ) CloudStaek cỏn cung cấp các dịch vụ mạng như cân bang tai, DHCP, routing, VLAN, firewall, VPN

~_ Hỗ trợ nhiều giao thức lưu trữ: NES, SCSI, FC, FCoE

- Cung cap dong tai nguyên người dùng: CloudStaek có khả năng cung cấp tài nguyên một cách lĩnh động, người dùng có thẻ lựa chọn giới hạn trên và dưới

của tải nguyên (CPU, RAM, HDD) và hệ thông sẽ tự động co giãn tài

nguyên tủy theo tải thực tế của máy ảo

- H6 tro API chuẩn: CloudStack cung cấp các API chuẩn cho lập trình viên phát triển ứng dụng tích hợp vào hệ thông quản lý giúp các nhà cung cấp cỏ thẻ tùy biến hệ thông một cách linh hoạt [17]

2.2.1 Các khái niệm liên quan

Zone: Co thé anh xa mét zone nhu mét data center vat ly Trong đỏ đã bao gồm nhiều tài nguyên Khi triển khai CloudStack, một máy chủ quản lý dịch vụ cloud có the quan ly nhieu Zone

Pod: Trong một data center thì cỏ nhiều tủ rack, mỗi tủ rack cỏ một Switch kết

nổi các máy chủ trong tủ đó Ta có thể ánh xạ một Pod như một tủ rack nhu vay

Trang 21

trong vật lý Theo đúng định nghĩa, một Pod là một nhóm các thiết bị phân cấp theo layer-2 trong m6 hinh OSI Hay nói để hiểu hơn, sau nảy những thiết bị nào được cầu hình cùng một mạng LAN thì đó là Pod

Cluster: cluster bao gồm một hoặc nhiều Host và thành phần lưu trữ Primary Storage Cluster trong thue té la mét cum các máy tỉnh vật lý được liên kết với nhau

để củng thực thi một nhiệm vụ Khi người quản trị trién khai theo co che cluster thi

i

khéng can phai lo ling khi mét phan ti trong cluster bi dirt két

Host: 1a một phân tử tính toán đơn lẻ trong cluster Host cũng lả nơi sẽ chạy các

dịch vụ ảo hỏa Host chỉnh là một server vật lý mả sau nảy nhà quản trị cloud sẽ

triển khai

Hypervisor: là nẻn tảng ảo hóa được cài đặt trên các host, hypervisor giúp hệ

thông CloudStack có thể ảo hóa tải nguyên phản cửng đề cung cấp tải nguyên ảo

cho người dùng CloudStaek hỗ trợ các hypervisor Xenserver, VMware, OracleVM,

KVM, XCP

Primary storage: là một thành phân của Cluster Tại đầy chứa các phân vung 6 đĩa ảo cho các máy ảo và tất cả các máy ảo đang chạy trên Host Khi triển khai thực

tế, khu vực lưu trữ chính sẽ được dùng làm Primary Storage

Secondary storage: là một phản trong Zone Tại đây chứa các templates, ISO

images, và các snapshots của máy ảo, ô cửng ảo Khi triển khai, trong một Zone sẽ chi can một Secondary Storage dùng đề lưu trữ và backup dữ liệu

Console Proxy: là một máy äo được sinh ra bởi hệ thông cloud sử dụng làm may

chủ proxy cho phép người dùng truy cập từ xa bằng trình duyệt vào máy ảo

Network: ClousStack cung cấp hai mô hình triển khai network khi triển khai hạ

tang cloud: co ban (Basic) va nang cao (Advanced)

- Basic: sit dung mot lớp mang share duy nhat Cac may ao tao ra trong cing một Zone sẽ cỏ chung một lớp mạng

- Advanced: c6 thé duoc cau hinh gồm nhiêu lớp mạng vả tương ứng với mỗi

lớp mạng sẽ cỏ thể được câu hình thêm cac dich vu network tương ứng đi kem nhu firewall, load balancer

Instance: là các máy tính ảo được tạo ra bởi CloudStack, một instanee bao gồm

CPU ảo, RAM ao, mang ao va cae 6 dia ao

Trang 22

Template: là các mâu (bao gồm các đĩa cài đặt hệ điều hành hoặc bản ghost các

máy ảo) được tạo sẵn để tạo máy ảo

Root disk: là ô đĩa chứa bê điều bảnh của các máy tính ảo, khi một instance được

tạo ra mặc định CloudStack sẽ chỉ tạo 01 ô đĩa chứa hệ điêu hảnh của máy ảo Root

disk la 01 file được lưu trữ trên primary storage

Data disk: 14 6 dia duge gan thém vao máy ảo đẻ lưu trữ dữ liệu của người dùng CloudStack khuyên cáo người dùng không nên lưu trữ trên root disk Data disk la

01 file được lưu trữ trên primary storage

2.3 Kiến trúc CloudStack

Một hệ thong CloudStack duoc chia lam 02 phan: may chi quản lý

(Management Server) và bạ tẳng đán! nây trả nô quân lý

Trang 23

‘Luan van thac sĩ kỹ thuật GVHD: PGS.TS Ngé Hồng Son

Cac thành phần của Management server:

- Kemel: module kernel có ba chức năng chính:

e Nhân lệnh thực thi từ API vả chuyên tới các Plugin xử lý tương ứng Ví

du: API tạo mới máy ảo

e Đồng bộ với Database

- Plugin API: Module này bao gồm toàn bộ các hảm chức năng tương ửng cho

các lệnh thực thị, đây là phân xử lý chức năng cho hệ thông

- REST API Là module phục vụ tương tác giữa adminuser với hệ thông, REST API bao gồm OAM&P API, End User API, EC2 API, Other APIs,

Pluggable Service API Engine

Trang 24

- Services API: La module dam nhiém việc cung cấp các dịch vụ cho hệ thông,

định nghĩa các services để admin lựa chọn sử dụng Ví dụ: dịch vụ HA (High Avaiable service)

- Management: La module dim nhiệm chức năng quản lý cho các đổi tượng trong hệ thông Bao gồm việc quản lý tài nguyên, tiền trình xử lý, cơ sở dữ liêu và các sự kiên trên hệ thông,

- Messege/Event Bus: Là module đảm nhiệm việc truyền thông điệp giữa

Management Server voi Agent chạy trên cac host Cac thông điệp được truyén theo hai format la XML hoặc ISON

- Agent: La module dam nhiém viée quản lý host và tương tac vi Management

Server Tủy vào Hypervisor chạy trên Host mà cỏ Agent quan ly tuong ứng,

Ví dụ với KVM ta có CloudAgent là Agent mà CloudStack tự định nghĩa, với

Xen ta có XenAPI (XAPI) được phát triển bởi Citrix, hay đối với ESXI thi ta

có VCENTER được phát triển bởi VMware Agent phối hợp với Hypervisor

dé quản lý và phân bồ tải nguyên cho các may ao bao gồm: network, storage,

image, snapshot

- Job Queue: Là module hàng đợi cho các lệnh xử lý trên hệ thong, theo kien tric hang đợi bắt đồng bộ, các Job trong Queue được thực thi theo mô hình FIFO, tuy nhiên là mô hình bất đồng bộ nên Iob đứng sau trong hàng đợi không nhất thiết phải chờ đợi Iob đứng trước nỏ hoàn thành mới bắt đầu xử

Trang 25

3 Các vấn để an ninh thông tin trên môi trường điện toán đám mây IaaS

3.1 Các vẫn đề an ninh chung trên môi trường điện toán đám mây

Ảo hóa và điện toán đám mây có thể giúp người dùng (cả nhân, tổ chức ) giảm

bớt chỉ phi vẻ hạ tầng công nghệ thông tin và quản trị, nhưng các mỗi đe dọa vẻ an ninh cũng nhiều hơn, vì thế an ninh trong điện toán đảm mây cảng cần phải được

Quyền truy cập dữ liệu của người dùng: Một doanh nghiệp sẽ cảm thấy

không an toàn, khi dữ liêu nhạy cảm của mình được xử lý, lưu trữ bên ngoài đơn vị mình hoặc được quản lý bởi người quản trị không thuộc đơn vị mình

Thông thường, đối với một doanh nghiệp người quản trị dữ liệu của công ty

Trang 26

được quản lý và phải cỏ cam kết về đảm bảo an toản cho dữ liệu của đơn vị

minh, tuy nhiên vẫn xảy ra các trưởng hợp chính các quản trị hệ thống làm

mắt, đảnh cắp dữ liêu (chẳng hạn như các trường hợp quản trị đánh cắp dữ liệu bán cho các đổi thủ hoặc trong trường hợp nghỉ việc có thẻ quay lại đánh cắp dữ liệu thong qua các công hậu được thiết lập sẵn trước đó) Đỏi với môi

trường điện toán đám mây thi rủi ro này cao hơn vị người quản trị dữ liệu là

của nhà cung cấp dịch vụ điện toán đám mây

Tinh tuân thủ: Người dùng là người chịu trách nhiệm cuồi củng vẻ an ninh

vả sự toản vẹn cho chính đữ liệu của họ, thậm chí khi nó nằm trong sự kiêm soát của một nhà cung cấp dich vụ Các nhà cung cấp dich vụ truyền thông thường được kiểm định độc lập và cỏ các chứng chỉ đảm bảo an toản thông tin đo bên thứ ba cấp, các nhà cung cập dịch vụ truyền thông cũng cung cấp cho khách hang của họ đây đủ thông tin về mức điều khiến dữ liệu của khách hàng Các nhả cung cấp cloud computing không có khả năng này

Vị trí lưu trữ đữ liệu: Khi sử dụng cloud, ngwoi ding thường không biết

chính xác đữ liêu của mình được lưu ở đầu Trên thực tế, người đủng thậm

chỉ không biết nó được lưu ở quốc gia nao Do đỏ, dé đảm bảo an toàn cho

dữ liệu trên môi trường điện toán dam may can thiết có sự cam kết về mặt luật pháp về đảm bảo an toàn cho dữ liệu

Sự cách ly dữ liệu: Hầu hết các dịch vụ đám mây đều sir dung SSL dé bao

vệ đữ liệu trong quả trình truyền trên mạng, tuy nhiên dữ liệu trong môi

trường điện toán đám mây lại được lưu trữ trong môi trường chia sẻ Các giải

pháp mã hóa cỏ thể giải quyết được các vẫn đề vẻ cha sẽ đữ liêu trên môi

trường điện toản đảm mây, tuy nhiên khi sử dụng các giải pháp mã hỏa dữ

liệu thì các vấn đẻ vẻ thuật toán mã hóa, độ dải khỏa, trao đổi khỏa mã hóa

và tỉnh sẵn sảng của dữ liệu khi sử dụng các giải pháp mã hóa là vẫn đề quan

Trang 27

hoặc thời gian khôi phục chậm

Sự hỗ trợ điều tra: Là các nguy cơ khi xảy ra các sự cô về mất an toàn thông tin, có thể xây ra các trường hợp nha cung cấp địch vụ đám mây không

hồ trợ điều tra nguyên nhân các sự cô

Khả năng tổn tai: Nha cung cap đám mây cũng là một doanh nghiệp, trong,

trường hợp doanh nghiệp làm ăn thua lỗ có thể dẫn đến phá sản và ngừng

cung cap dich vu, nếu trường hợp nảy xảy ra thì nguy cơ mất an toàn dữ liệu

3.2 Vẫn đề đảm bảo an ninh dữ liệu trên môi trường laaS

Với một hệ thông đám mây IaaS, dữ liêu người dùng được lưu trữ dưới dạng các

6 dia ao (virtual disk), cac 6 dia ao nay thuc chit la cac file anh (virtual image) được lưu trữ trên hệ thống lưu trữ (image repository) của nhà cung cấp dich vụ cloud Khi người dùng bậttắt máy ảo của mình được cung cấp bởi nhả cung cấp

dich vu cloud thi cac 6 dia ao nảy được gắn/gỡ vao các may ao dé người dùng truy

xuat dit ligu cia minh [6] [7] [9] [15]

Trang 28

Hinh 7 _ Kién artic hé thong laaS

(nguồn: [6], trang 91) Với việc toàn bộ dữ liệu trong ổ đĩa ảo của người dùng được lưu trữ dưới dạng

các file trên các repository của nhả cung cap dần đến một số nguy cơ về an toản dữ

liệu của người dùng như:

~ Nguy cơ bị tấn công trực tiếp vào máy ao qua mạng: hacker cỏ thẻ tân công, trực tiếp vảo các máy ảo người dùng thông qua các lỗ hỏng của các phan

mềm được cài đặt trên máy ảo hoặc Trojan house

~_ Nguy cơ mất dữ liệu trong quá trình truyền file trong hệ thống: trong quá trình tạo/xóa/bậUtắt máy ảo các file ö đĩa được truyền giữa các thành phan trong hệ thông cloud, điều nảy hoàn toản có thê xay ra nguy cơ bị tân công, dẫn đến mất dữ liệu người dùng,

Trang 29

- Hé thông lưu trữ ctia nha cung cap cloud bi tân công: khi hệ thông lưu trữ của nhả cung cấp bị tấn công, hacker hoản toản có thể lây các file chưa ô đĩa

ảo của người dùng và dựng lại hệ thông để mount ô đĩa vào mét may ao khac

và đọc được toàn bộ đữ liệu của người dùng

- Nguy co tir quan trị của hệ thông cloud: quản trị của hệ thông cloud cỏ toản

quyền truy cập và có thẻ truy cập vào các file đĩa ảo của người dùng Trong, trường hợp máy tính của quản trị hệ thông bị tân công thì hacker hoàn toàn

có thể chiếm được dữ liêu của người dủng

3.3 Các giải pháp mã hóa dữ liệu người dùng trên môi trường IaaS

Để đảm bảo an toàn cho dữ liệu của người dùng trên môi trường IaaS thì mã hỏa

dữ liêu được xem là giải pháp cần thiết, tuy nhiên việc lựa chọn các thuật toán mã

hóa, đô dài khóa và vấn để quản lý khóa mã hóa là hết sức quan trọng Trên môi

trường IaaS có thẻ triển khai các giải pháp ma hoa dữ liệu như [1] [11] [13]:

-_ Mã hỏa ñle'thư mue (File/folder Encryption): là giải pháp thực hiện mã hỏa

các file/thư mục riêng lẻ được lưu trên ô đĩa của máy ảo Các giải pháp này

thường là do chính người dùng tự cải đặt, quản lý và thực hiện mã hóa/giải

mã dữ liệu mà người dùng chọn Với các giải pháp mã hóa file/thư mục thỉ

ưu điểm là có tính linh động cao, người dùng có thẻ tủy chọn file/thư mục cụ thể cần mã hóa Một số giải pháp mã hóa dạng này như VeraCrypt, AxCrypt,

Wiar Các thuật toán mã hỏa hỗ trợ khả đa dạng như AES, Twofish Tuy

nhiên, với các giải pháp kiểu này người dùng phải tự quản lý khỏa mã hóa

của mình do đó có thẻ xảy ra các nguy cơ người đủng quên khóa mã hóa hoặc lâm lộ khóa mã hóa trong quá trình lưu trữ

- Ma héa toan bé 6 dia ao (Full Virtual Disk Encryption): la gidi phap ma hoa

ma toan bé di liéu ctia 6 dia, giai phap nay thuong hoạt động theo cơ chế mã hoa 6 đĩa trên đường di (on-the-fly encryption) Nghĩa là dữ liệu tự động được mã hóa hoặc giải mã ngay khi được ghi xuống đĩa ảo hoặc ngay khi dữ liệu được nạp lên mả không cỏ bắt kỳ sự can thiệp nảo của người dùng Dữ liêu được lưu trữ trên mot 6 dia da duoc ma hoa (encryption volume) khong

Trang 30

thể đọc được nêu người dùng không cung cáp đúng khỏa mã hóa bằng một

trong ba hình thức là mật khẩu (password) hoặc tập tin có chứa khóa (keyfile) hoặc khỏa mã hóa (encryption key) Toản bộ dữ liệu trén é dia ma

hóa đều được mã hoa (vi dụ như tên file, tên folder, nội dung của từng file,

dung lượng còn trồng, siêu dữ liệu ) Việc triển khai giải pháp mã hỏa theo

dạng này thường có 02 cách thực hiện:

¢ Nguoi ding tu cai đặt các giải pháp mã hóa trên máy ảo của mình: với

cách nảy người ding phải tự tạo, quản lý khỏa mã hóa, tự triên khai

các giải pháp sao lưu, khôi phục dữ liệu Việc người dùng tự quản lý

khóa mã hóa đữ liệu như đã nói ở trên có thể dẫn đến nhiều nguy co mất an toàn dữ liệu

¢ Nha cung cap dịch vụ eloud triển khai giải pháp mã hóa dữ liệu: Nhà

cung cap dich vu Cloud Computing tự xây dựng giải pháp mã hỏa dữ

liệu cho khách hàng của họ Cách làm nảy có yêu điểm lả yêu câu khách hang cung cấp khóa mã hỏa của họ cho nhà cung cap dịch vụ Cloud, như vậy đủ muốn hay không thì nhà cung cap dịch vụ Cloud cũng có thể xem được dữ liệu khách hảng Ví dụ về cách làm này có thể kế tới Amazon S3 Server Side Eneryption Việc mã hỏa dữ liệu được giao trách nhiệm cho bên thứ ba, được nhả cung cấp dịch vụ Cloud Computing và khách hàng của họ tin tưởng Rất nhiều nhà cung cấp dịch vụ mã hóa dữ liệu lớn có thể kế ra là: TrendMiero (giải

phap SecureCloud), Vormetric, SafeNet (giải pháp ProtectV), Voltage, Porticor Cac nha cing cap dich va Cloud Computing dang

bắt tay với các giải pháp này dé dam bao an toản dữ liệu cho người

dùng của họ, cỏ thẻ liệt kê ra như VMWare (sử dụng SecureCloud, ProtectV, Porticor), Amazon EC2 (sit dung SecureCloud), Amazon Web Service (sit dung Vormetric, ProteetV, Porticor) Cách lâm nảy

có một yếu điểm là người sử dụng phải đưa quyên thao tác trên hệ thong Cloud cho bên thứ ba (bên cung cấp giải pháp mã hóa) Như

Trang 31

vậy, bên thứ ba lại có quyền thao tác với tải nguyên của khách hàng,

trên hệ thống Cloud Computing (ví dụ như hủy mảy chủ ảo của khách hang)[14]

3.3.1 Bitlocker

BitLocker la phan mém ma hoa mã nguồn đóng của Microsoft được tích hợp sẵn trên các hệ điều hành (từ Windows 7 trở lên) của Microsoft cho phép mã hỏa toàn

bộ dữ liệu trong 6 dia cimg, USB và các thiết bị lưu trữ khác giúp chồng lại những

thay đồi, truy cập trái phép vào đữ liệu Mặc định Bidocker sử dụng giải thuật mã

hóa AES ở chế độ mã khỏi chuỗi (Cipher Block Chaining — CBC) hoặc mã khỏi hẹp

(XEX-based tweaked-codebook mode with ciphertext stealing — XT§) với khóa có

độ dải 128 hoặc 256 bit

Điểm mạnh của Bitlocker là đễ đảng thiết lập, sử dụng và có hiệu năng khá cao

do được tích hợp sẵn với hệ điều hành Tuy nhiên, Bitlocker không hỗ trợ hệ điều

hành Linux và là giải pháp mã nguồn đóng do đó chỉ thích hợp với các trường hợp

người dùng tự thiết lập mã hóa và tự quản lý khỏa mã hóa, với Biocker không the tích hop thanh dich vụ mã hỏa trên môi trường đảm mây đẻ cung cấp cho người dùng do Microsoft không cung cấp API đề tương tác với Bitlocker

3.3.2 VeraCrypt

Là phân mềm mã hóa dữ liệu mã nguồn mở được phát triển bởi IDRTX có khả

năng hỗ trợ mã hỏa toàn bộ dữ liệu trên ỏ đĩa bằng cơ chẻ mã hỏa đữ liệu trên

đường đi (on-the-fly eneryption) VeraCrypt ma hóa dữ liệu ở ché độ XT§ vả hỗ trợ

các giải thuật mã hóa AES, Serpent, Twofish, Camellia va Kuznyechik

4 Giai phap mã hóa dữ liệu TrueCrypt

TrueCrypt được phát triển boi TrueCrypt Foundation giai pháp mã hỏa dữ liệu

mã nguồn mở có khả năng mã hóa toàn bộ ö đĩa (thâm chí cả ô đĩa chửa hệ điều hành TrueCrypt hỗ trợ cài đặt trên hệ điểu hành Windows và Linux [19]

TrueCrypt hồ trợ các thuật toán mã hóa AES, Serpent, va Twofish

Cơ chế thiết lập và quản lý của TrueCrypt là mã hỏa ô đĩa trên đường đi (on-the-

fly encryption), Nghia la dé liệu tự động được mã hóa hoặc giải mã ngay khi được

Trang 32

ghi xuống đĩa cứng hoặc ngay khi dữ liệu được nạp lên mả không có bắt kỳ sự can

thiệp nào của người dùng Dữ liệu được lưu trữ trên một ö đĩa đã được mã hỏa

(encryption volume) khéng thể đọc được nêu người dùng không cung cấp đúng khóa mã hỏa bằng một trong ba hình thức là mật khẩu (password) hoặc tập tin cỏ

chứa khỏa (keyfile) hoặc khóa mã hóa (eneryption key)

Toản bộ đữ liệu trên ỏ đía mã hỏa déu được mã hỏa (vi dụ như tên file, tên folder, nội dung của từng file, dung lượng còn trồng, siêu dữ liệu ) Dữ liệu có thẻ duoc copy tir mét 6 dia ma hoa ctia TrueCrypt sang mét 6 dia binh thường không

mã hỏa (vả ngược lại) một cách bình thường mà không co su khac biét nao ca, ke ca

các thao tác kéo-thả

Khi một tập tin được đọc nó sẽ được giải mã on-the-fly (trong bộ nhớRAM),

ngược lại khi tập tin hay thư mục được chép lên ô TrueCrypt thì sẽ được tự đông,

mã hoá trước khi lưu TrueCrypt không nạp toản bộ dữ liệu cần mã hóa (file/folder)

vào RAM củng lúc đề tiền hành mã hỏa hay giải mã, mà chương trình chỉ nạp một phần tập tin vào bộ nhớ đề thực hiện quá trình này, sau đó nạp tiếp những phan còn lại theo cơ chế "cuốn chiêu" Điều nảy lam cho bộ nhở không bị chiếm dụng toan

bộ nhưng vẫn cỏ thể tiền hành mã hoả/giải mã trong suốt quả trình xử lý tập tin như

doe, ghi, xem video

TrueCrypt không lưu bắt kỳ dữ liêu đã được giải mã lên đĩa cứng mà chỉ tạm

thời lưu trữ lên RAM, khi hệ thông shutdown/restart hoặc bị sự cô mắt nguồn đột ngột thì dữ liệu vẫn được lưu trong trạng thải an toàn

TrueCrypt là giải pháp mã nguồn mở do đó có khả năng cung cấp các thư viện, công cu cho việc mã hỏa đữ liệu, mã hỏa ô đĩa và có khả năng tích hợp vảo hệ thong dam mây

Kiến trúc và hoạt động của TrueCrypt:

Trang 33

Mount Dam nhiệm chức năng mount / dismount volume

3 | Format Dam nhiém chire ning format volume, tao volume header

4 | Driver Dam nhiệm chức năng tương tác với phân cứng

~ Driver: là project tương tác trực tiếp với phần cứng Bao gồm hai chức năng,

chinh 1a: Read Deerypted Sector va Write Encrypted Sector Project nay

tương tác trực tiếp với tat ca cac project con lai (boot, mount, format, crypto)

cia module

~_ Boot là project thực hiện chức năng liên quan tới quá trình boot máy ảo

trong trường hợp thực hiện mã hỏa phân vùng ö cứng chứa hệ điều hảnh Khi

đó, trong quả trình boot máy ảo, module sẽ hiển thị hộp thoại yêu cầu người dùng nhập passphase đề thực hiện quá trinh mã hóa/giải mã Một số hàm chinh ctia project Boot bao gồm:

¢ Boot Menu: hién thi menu hya chon boot,

- Mount: la project thực hiện chức năng gắn (mount) và gỡ (unmount) cae

volume ma hoa, cho phép người dùng thực hiện các thao tác đọc/ghi dữ liệu

trên các volume đó Hai hàm chức năng chỉnh của projeet này là:

- Format: la project thực hiện chức năng định dạng volume, phục vụ quá trinh

mã hóa dữ liệu Hai hàm chỉnh của project nảy la:

we a Học viên: Nguyễn Đình Việt

Trang 34

‘Luan van thac si ky thuat GVHD: PGS.TS Ngô Hỏng Sơn

ext2-4, nữ, fat3

* Create Volume Header: tao header mã hóa cho volume

- Crypto: la project dam nhiệm chức năng cung cấp các thư viên phục vụ quả

Tiêu đề	Luận văn xây dựng giải pháp mã hóa ổ đĩa ảo trên môi trường điện toán đám mây iaas
Tác giả	Nguyễn Định Việt
Người hướng dẫn	PGS.TS Ngụ Hồng Sơn
Trường học	Không có thông tin
Chuyên ngành	Kỹ thuật
Thể loại	Luận văn thạc sĩ

Định dạng
Số trang	68
Dung lượng	3,77 MB