Chính yêu cầu tích hợp và quản lý tài nguyên trong một “tổ chức ảo” đã dẫn đến những thách thức về an ninh cho tính toán lưới.. Nghiên cứu về tính toán lư ới đã giới thiệu những công ngh
Trang 1Mục Lục
I Giới thiệu 3
II Những thách thức an ninh cho tính toán lưới 3
III Những yêu cầu an ninh cho hệ thống tính toán lưới 5
IV Đặc điểm của bảo mật hệ thống tính toán lưới 6
V Bảo mật thông tin 7
1 Hệ mã khóa bí mật 8
2 Hệ mã khóa công khai 8
VI Mô hình bảo mật trong grid 8
1 Binding security 9
2 Policy expression and Exchange 9
3 Secure Association 10
4 Authorization Enforcement 10
5 Identity and Credential Mapping/Translation 11
6 Secure Logging 11
7 Management of Security 11
VII Cơ sở hạ tầng bảo mật lưới 11
1 Cơ chế xác thực GSI 11
2 Authentication và authorization 12
3 Delegation 13
4 Thiết lập giao tiếp an toàn giữa Client và Service 15
4.1 Cơ chế bắt tay SSL 15
4.2 Sử dụng cơ chế Kerberos để xác thực giữa client và server 16
VIII Các loại mô hình bảo mật Grid trong các phiên bản Globus Tookit 19
IX Bảo mật trong cơ sở kiến trúc hệ thống của Grid 21
Trang 2X Tài liệu tham khảo 22
Hình Ảnh Hình 1.1: Tổ chức ảo (VO) 4
Hình 5.1: Mô tả về mô hình bảo mật 9
Hình 7.1: Hình ảnh trực quan khi sử dụng cơ chế kerbe ros 18
Hình 8.1: Quá trình xác thực thông qua CAS 19
Hình 8.2: Cơ chế bảo mật trong GT3 20
Trang 3Tính toán lưới liên quan mật thiết đến sự chia sẽ và hợp tác sử dụng nguồn tài nguyên trong những ràng buộc nhất định Sự đa dạng và thường thay đổi của những nguồn tài nguyên đã trở thành một thách thức về an ninh cho những những phương pháp tiếp cận mới Cụ thể là một người sử dụng phải thỏa thuận với nhiều hệ thống đặt tại nhiều vị trí khác nhau, hỗ trợ nhiều dịch
vụ được tạo ra liên tục và cho phép các dịch vụ này thực thi với những khu vực tin cậy
I Giới thiệu
Thuật ngữ "Grid" dùng để chỉ các hệ thống và ứng dụng mà chúng tích hợp và quản lý các tài nguyên, và các dịch vụ mà chúng đã được phân bố thông qua cấu trúc “đa kiểm soát” Một kịch bản phổ biến trong tính toán lưới liên quan đến sự hình thành động của các "tổ chức ảo" bao gồm các nhóm cá nhân và tài nguyên liên quan và các d ịch vụ thống nhất bởi một mục đích chung, nhưng không ở nhiều vị trí khác nhau Chính yêu cầu tích hợp và quản lý tài nguyên trong một
“tổ chức ảo” đã dẫn đến những thách thức về an ninh cho tính toán lưới Để đáp ứng nhiều vấn đề liên qua đến cấp giấy chứng nhận, quản lý nhóm thành viên, ủy quyền, các mối quan hệ giữa các thành viên trong một “tổ chức ảo”, tất cả thành viên cần phải thiết lập một cơ chế để làm việc Cơ chế này dựa trên cả sự tin cậy lẫn những kiến trúc an ninh và các quy định trong “tổ chức ảo” này
Nghiên cứu về tính toán lư ới đã giới thiệu những công nghệ an ninh không dựa trên sự tin tưởng của các thành viên nội bộ trong hệ thống, mà dựa trên việc sử dụng các “tổ chức ảo” (VO) và cầu nối giữa các máy thành viên trong một tác vụ cụ thể Những kết quả nghiên cứu đó đã dẫn đến bộ phần mềm đang được sử dụng rộng rãi – Globus Toolkit (GT)
II Những thách thức an ninh cho tính toán lưới
An ninh trong môi trường tính toán lưới phải đáp ứng được những yêu cầu về tính toán diện rộng, tính “động” của hệ thống, và phân phối những “tổ chức ảo” Từ góc độ an ninh, một thuộc tính quan trọng của các “tổ chức ảo” là những thành viên và tài nguyên được điều phối bởi các quy định và chính sách của tổ chức trước đó mà họ là thành viên Mặt khác, trong khi một số “tổ chức ảo”, như tổ chức hợp tác khoa học trong nhiều năm, có thể rất lớn và tồn tại lâu dài (giả sử rằng các đàm phán với những nhà cung cấp tài nguyên đã được chấp nhận), thì một số “tổ chức ảo” chỉ tồn tại thời gian ngắn, để hỗ trợ một nhiệm vụ nhỏ duy nhất, ví dụ hai cá nhân chia sẻ tài liệu,
Trang 4dữ liệu Trong những trường hợp nhỏ như vậy, những yêu cầu về điều khiển và an ninh trong “tổ chức ảo” không được quá lớn
Một yêu cầu cơ bản như vậy là để cho phép các “tổ chức ảo” truy cập vào tài nguyên tồn tại trong các tổ chức trước đó Khi đó đã có chính sách giữa những người sử dụng Một “tổ chức ảo” phải được thiết lập và phối hợp thông qua các sự tin tưởng giữa những người dùng địa phương với tổ chức của họ; và của những “tổ chức ảo” với người sử dụng Chúng ta không thể khẳng định sự tin cậy giữa những tổ chức trước đây và những “tổ chức ảo” hay những thành viên bên ngoài Như trong hình 1.1, hệ thống an ninh trong tính toán lưới giải quyết yêu cầu đó bằng các h xem một “tổ chức ảo” là một lớp phủ với chính sách khu vực và lưới địa chỉ các cơ chế bảo mật những thách thức bằng cách cho phép một VO được đối xử như là một lớp phủ chính sách miền Nhiều nguồn tài nguyên đang thuê hoặc các tổ chức hỗ trợ bên ngoài sẽ cấp phát một số quyền cho tổ chức thứ ba: một “tổ chức ảo” điều phối các chính sách nguồn tài nguyên bên ngoài nhằm thống nhất cách thức phối hợp tài nguyên và chia sẻ sử dụng
Hình 1.1: Tổ chức ảo (VO)
Hệ thống an ninh trong tính toán lưới rất phức tạp vì trên thực tế, có rất nhiều dịch vụ mới (tài nguyên) được phát triển và vận hành trong suốt quá trình chạy của một “tổ chức ảo” Ví dụ như người dùng có thể thiết lập một giao diện cá nhân để truy xuất vào các tài nguyên, hay “tổ chức ảo” có thể tự sinh ra một thư mục để lưu lại lịch sử làm việc của các thành viên trong tổ chức Sự kết hợp của các lớp phủ (và chính sách liên quan) với các thực thể (được tạo ra liên tục) cần ba yếu tố quan trọng trong một mô hình an ninh dành cho tính toán lưới
Trang 5Cơ chế bảo mật đa thành phần
Những tổ chức tham gia các “tổ chức ảo” thường đã đầu tư đáng kể cho cơ chế an ninh và cơ sở
hạ tầng Hệ thống bảo mật mới thích ứng với cái đang có, thay vì thay thế chúng
Linh động tạo ra những dịch vụ
Người sử dụng phải có quyền tạo ra các dịch vụ mới (tài nguyên) một cách tự động mà không cần
sự can thiệp của quản trị Những dịch vụ này phải được phối hợp được và phải tương tác an toàn với các dịch vụ khác Những người tham gia phải định danh được những dịch vụ đó để cấp quyền tương ứng và phù hợp với những quy tắc chung
Linh động thiết lập các khu vực tin cậy
Để phối hợp các nguồn tài nguyên, những “tổ chức ảo” cần thiết lập sự tin tưởng không chỉ giữa những người sử dụng với các nguồn tài nguyên của hệ thống mà còn giữa chính các nguồn tài nguyên với nhau Những khu vực tin cậy này có thể mở rộng ra và phải linh động thích ứng với những cá nhân hay tổ chức mới gia nhập vào, hoặc rời khỏi hệ thống
Những cơ chế quản lý an ninh truyền thống không thể giải quyết các vấn đề cấp phát động của hệ thống tính toán lư ới Chúng ta cần một mô hình linh động hướng đến người sử dụng để họ có thể tạo ra những thực thể và những khu vực quy định chung, từ đó tham gia vào và cùng chia sẽ tài nguyên trong những “tổ chức ảo”
III Những yêu cầu an ninh cho hệ thống tính toán lưới
”Tổ chức ảo” là một trong những khái niệm cơ bản trong tính toán lưới Một “tổ chức ảo” được định nghĩa là một nhóm linh động (có thể tham gia vào hoặc rời khỏi nhóm trong quá trình vận hành) của nhiều cá nhân, nhóm, hoặc các tổ chức thỏa mãn các điều kiện và quy định chia sẻ tài nguyên
Một môi trường tính toán lưới rất cần thiết để phối hợp quản lý tài nguyên và chia sẻ chúng trong một “tổ chức ảo”, và tổ chức ảo này có thể mở rộng, tích hợp thêm nhiều tổ chức khác nữa Điều này cho thấy một ứng dụng tính toán lưới có thể bao trùm lên nhiều khu vực được cấp quyền khác nhau Mỗi khu vực cấp quyền đó sẽ có những yêu cầu và chính sách riêng Một cơ sở hạ tầng an ninh cho tính toán lưới là cần thiết để bảo vệ cho những chính sách của từng khu vực cũng như những chính sách do “tổ chức ảo” đặt ra Để đạt được yêu cầu về cơ sở hạ tầng an ninh tính toán lưới thì cần phải có khả năng tương tác giữa các khu vực khác nhau trong khi vẫn duy
Trang 6trì một sự tách biệt rõ ràng về các chính sách an ninh và cơ chế triển khai của cả hai tổ chức ảo và thực
Tích hợp
Cơ sở hạ tầng an ninh của lưới cần phải tích hợp với cơ sở hạ tầng hiện tại thông qua nền tảng và môi trường lưu trữ Các kiến trúc an ninh tổng thể cần phải được hiện thực độc lập và có khả năng mở rộng để kết hợp các dịch vụ bảo mật mới
Khả năng cộng tác
Các dịch vụ tính toán lưới di chuyển qua nhiều khu vực và các môi trư ờng lưu trữ cần có khả năng tương tác với nhau để trao đổi các thông điệp (ví dụ, thông qua SOAP / HTTP), cho phép mỗi tổ chức xác định chính sách an ninh áp dụng cho mỗi giao dịch, và xác nhận một người sử dụng của một khu vực cho một khu vực khác
Mối quan hệ tin cậy
Một yêu cầu dịch vụ trên lưới có thể bao trùm nhiều khu vực an ninh khác nhau N hững khu vực
an ninh liên quan đáp ứng một yêu cầu dịch vụ sẽ thiết lập một cơ chế tin cậy với nhau Do tính chất năng động của môi trường tính toán lưới, đó là không thể thiết lập toàn bộ các mối tin cậy trước khi thực hiện các ứng dụng Vấn đề cơ sở tin cậy trở nên phức tạp trong hệ thống tính toán lưới
IV Đặc điểm của bảo mật hệ thống tính toán lưới
Các hệ thống tính toán lưới cao cấp yêu cầu mức độ bảo mật có các đặc điểm sau:
- Chứng thực: các giao thức “Cung cấp chứng thực” cần có để tích hợp các cơ chế bảo mật khác nhau và cách thức để các cơ chế này hoạt động với nhau
- Ủy quyền: những cơ chế cung cấp “ủy quyền” để cho phép người được ủy thác có quyền yêu cầu các dịch vụ đồng thời đảm bảo rằng các quyền truy cập được giới hạn cho các dịch vụ đó phù hợp với chính sách của toàn hệ thống
- Đăng nhập một lần: điều này đảm bảo cho việc xác thực người sử dụng xuyên suốt trong quá trình làm việc, dù cho công việc này cần phải qua nhiều khu vực tài nguyên khác nhau tại các khoảng thời gian khác nhau
- Làm mới một chứng thực: hệ thống có khả năng làm mới lại một chứng thực nếu thời gian thực hiện tác vụ lớn hơn thời gian sống của một chứng thực đã được cấp
Trang 7- Xác minh danh tính: để khẳng định đúng người sử dụng được cấp quyền truy cập vào hệ thống
- Tính riêng tư: yêu cầu cả người yêu cầu dịch vụ và nhà cung cấp chấp hành chính sách về riêng tư
- Bí mật: bảo vệ bí mật nội dung các thông điệp bên trong quá trình truyền tải, các thành phần OGSA trong tất cả mà chúng xuất hiện
- Kiểm định thông điệp: bảo đảm rằng việc thay đổi trái phép nội dung thông điệp hoặc dữ liệu sẽ bị phát hiện tại điểm nhận
- Đàm phán chính sách: cho phép ngữ cảnh bảo mật đàm phán cơ chế giữa các yêu cầu dịch
vụ và các nhà cung cấp dịch vụ tùy vào các thông tin của chính sách an ninh
- Bảo mật đăng nhập: cung cấp cơ sở cho việc “không thể chối bỏ” đăng nhập và kiểm tra đăng nhập để tất cả các dịch vụ sẽ được định dấu thời gian mà không là gián đoạn thông tin
- Khả năng quản lý: cung cấp những công cụ có thể giám sát và quản lý ở các mức và các môi trường lưu trữ
- Thông qua tường lửa: để giải quyết vấn đề bảo mật khi có nhiều dịch vụ cần mức độ bảo mật khác nhau và các vấn đề như quản lý danh tính, chính sách quản lý
- Đảm bảo cơ sở hạ tầng OGSA:
V Bảo mật thông tin
Bảo mật thông tin là khoa học nghiên cứu các nguyên lý và phương pháp cho phép mã hoá thô ng tin sao cho chỉ người có khóa giải mã (bí mật) mới có thể giải để hiểu đuợc thông tin gốc
Ví dụ: Nếu một người gửi tới một mật mã bắt đầu bằng "ULFW NZFXZ", dựa vào khóa đã có tôi
dễ dàng giải mã được thông tin đó "VIDU BAOMAT" vì chữ U thay chữ V, chữ L thay chữ I, chữ F thay chữ D
Trong bảo mật thông tin hai vấn đề cần nghiên cứu về mặt nguyên lý lẫn phương pháp là:
Bảo mật (Encryption): Nhằm ngăn cản không cho người lạ trích chọn thông tin từ các thông điệp
được gửi trên các kênh truyền phổ biến
Chứng thực (CA – Certification Authority): Nhằm đảm bảo chỉ có người nhận đúng mới có thể
đọc thông điệp, đồng thời người gửi không thể phủ nhận thông điệp mình gửi
Có thể chia các hệ mã thành 2 loại chính:
Trang 81 Hệ mã khóa bí mật
Quá trình mã hóa và giải mã đều sử dụng một khóa gọi là khóa bí mật, hay còn gọi là hệ mã đối xứng Trong quá trình trao đổi thông tin giữa A với B nếu dùng hệ mã khóa bí mật ek Thì A người gửi sẽ mã hóa thông điệp của họ bằng ek này Về phía B người nhận, sau khi nhận thông điệp thì giải mã thông điệp đó cũng bằng khoá ek Như vậy một người khác đánh cắp đuợc khoá
ek thì họ sẽ có thể giải mã và xem được nội dung thông điệp của người gửi Điển hình thuật toán khóa bí mật là mã hóa khối với n Byte đầu vào thành một khối Byte ở đầu ra, các phương pháp
mã hóa khối đã được đưa vào ứng dụng như: RC2 (8Byte), DES (8Byte), TRIPPLE DES (24 Byte), RIJINDAEL (32 Byte),…thuật toán mã hóa bí mật có tốc độ nhanh hơn so với hệ mã khóa công khai
2 Hệ mã khóa công khai
Quá trình mã hoá sử dụng một khóa có thể công khai và khi giải mã thì sử dụng một khóa khác
Vì sử sụng 1 cặp khóa trong đó có một khóa có thể được công bố nên gọi là hệ khóa công khai, hay còn gọi là hệ phi đối xứng Thực chất hệ mã khoá công khai sử dụng hai khóa có liên quan với nhau:
- Khóa công khai (Public key) được sử dụng để mã hoá những thông tin mà bạn muốn chia
sẽ với bất cứ ai Chính vì vậy bạn có thể tự do phân phát nó cho bất cứ ai mà bạn cần chia
sẻ thông tin ở dạng mã hoá
- Khoá riêng (Private key) khóa này thuộc sở hữu riêng tư của người được cấp và nó được
sử dụng để giải mã thông tin
VI Mô hình bảo mật trong grid
Mô hình bảo mật trong grid đư ợc phân làm hai loại:
- Xây dựng một mô hình hoàn toàn mới để bảo mật cho grid
- Xây dựng dịch vụ bảo mật dựa trên những yêu cầu cần thiết: điều đó có nghĩa là dịch vụ bảo mật được xây dựng cung cấp một tập các service cho các ứng dụng bên phía host trong môi trường OGSA
Hình 5.1 mô tả các chức năng một mô hình bảo mật có thể có trong grid gồm các chức năng binding security, audit & non-repudiation, mapping rules, privacy policy, authorization policy, service/end-point policy… Sau đây chúng ta sẽ tìm hiểu qua một số chức năng
Trang 9Hình 5.1: Mô tả về mô hình bảo mật
1 Binding security
SOAP và IIOP thường được sử dụng trong lớp Binding security Bảo mật binding dựa trên bảo mật của giao thức hoặc kiểu định dạng dữ liệu được sử dụng Khi một giao thức hay một định dạng dữ liệu mới được đưa ra cần phải có các yêu cầu bảo mật đi kèm và phải đảm bảo tối thiểu 3 yêu cầu: xác thực, toàn vẹn và bảo mật
HTTP là một giao thức quan trọng vì nó “trong suốt” với firewall và được chấp nhận rộng rãi Trong trường hợp liên kết dựa trên HTTP, các request có thể được gửi thông qua SSL, SSL hỗ trợ cơ chế xác thực, toàn vẹn và bảo mật Tuy nhiên SSL chỉ đảm bảo chất lượng dịch vụ nếu các end point tham gia sử dụng kết nối SSL Nếu một request cần traverse thông qua các điểm trung gian thì tại mỗi end-to-end các vấn đề bảo mật cũng cần phải được đưa ra tại lớp phía trên giao thức SSL
Trong trường hợp dữ liệu sử dụng cơ chế SOAP, thông tin bảo mật có thể được đính kèm trong chính dữ liệu SOAP này Ngoài ra dữ liệu SOAP còn được bảo mật và toàn vẹn khi sử dụng XML Digital Signature và XML Encryption
2 Policy expression and Exchange
Web services cần phải đưa ra các yêu cầu để những ai sử dụng phải tuân thủ, các yêu cầu này cần phải được giải quyết trước khi user tương tác được với service Ví dụ, khi một requester muốn sử
Trang 10dụng một service thì requester cần đưa ra các chứng thực đảm bảo rằng mình có quyền sử dụng service này đồng thời các message phải đúng format do service này yêu cầu Điều quan trọng đối với service requester là làm thế nào để biết được các requirement đi kèm với target service Ngay khi service requester biết được các yêu cầu và khả năng mà target service hỗ trợ, nó sẽ tính toán và cả service requester lẫn service provider sẽ lựa chọn một tập các binding tối ưu nhất để giao tiếp với một service khác WS-policy sẽ mô tả làm thế nào để cả service provider và service requester có thể đưa ra các yêu cầu và khả năng cung cấp của mình
Như vậy lớp policy expression and exchange sẽ giải quyết yêu cầu về trao đổi chính sách giữa các end-point tham gia Xa hơn nữa cho phép service requester và service provider khám phá policy của service khác
4 Authorization Enforce ment
Chính sách authorization là một phần quan trọng trong mô hình bảo mật lưới Mỗi một domain sẽ
sở hữu một dịch vụ cấp quyền (authorization service) Trong môi trường internet, authorization thường kết hợp với service provider để điều khiển truy cập vào resource dựa trên ID của service requester
Client hay service requester thông thường phải tin tưởng vào server hoặc service provider Trong trường hợp không có sự tin tưởng này thì service provider sẽ cung cấp cơ chế xác thực thông qua giao thức SSL, đây là cơ chế thiết lập giao tiếp tin tưởng giữa service requestor và service provider
Trang 11Authorization trong mỗi domain có các mô hình khác nhau:
Role based authorization
Rule based authorization
Capabilities, access control list
5 Identity and Credential Mapping/Translation
Môi trường Grid là sự kết hợp của nhiều tổ chức, mỗi tổ chức lại có domain bảo mật khác nhau Operations giữa các entity trong domain khác nhau cần yêu cầu cơ chế xác thực lẫn nhau (mutual authentication) Tuy nhiên việc giả sử tất cả các domain cùng chia sẻ một nơi đăng ký (global user registry) là phi thực tế Bởi vậy khi một operation giữa các entities vượt quá domain hay ranh giới của VO, ID của service requestor và providers tương ứng như các credential được mô tả trong domain này có thể không còn đúng về cú pháp cũng như ngữ nghĩa trong domain của partner Chính vì vậy cần có thành phần có chức năng ánh xạ ID/credentials để chuyển function trong domain này tương ứng các function trong domain khác
6 Secure Logging
Đây là chức năng cơ bản nhất của một service Khi bạn muốn sử dụng một service nào đó, điều đầu tiên là bạn cần phải đăng nhập để xác thực quyền bạn đã đăng ký để sử dụng service này hay chưa Chức năng này khá đơn giản nên có thể được áp dụng vào mọi thành phần trong mô hình
7 Management of Security
Mô hình bảo mật Grid sẽ nhóm các chức năng quản lý bảo mật dựa theo các khía cạnh về binding, policy và federation Mỗi một khía cạnh sẽ đưa ra các giải pháp bảo mật như: sử dụng hàm mã hóa, quản lý đăng ký của user, chính sách authorization, privacy Ngoài ra còn phát hiện khả năng xâm phạm, đưa ra các anti- virus service
VII Cơ sở hạ tầng bảo mật lưới
Phần trước chúng ta đã giới thiệu sơ lược các lớp chính trong mô hình bảo mật lưới Tại mỗi lớp
sẽ có các chuẩn được sử dụng để tăng tính bảo mật trong trao đổi thông tin và dữ liệu Trong phần này sẽ đề cập đến một vài cơ chế để làm thế nào mà các thành phần khác nhau trong lư ới có thể tương tác với nhau một cách dễ dàng
1 Cơ chế xác thực GSI
Khi ta xây dựng được Grid host, làm thế nào để ta có thể yêu cầu CA xác thực (cấp certificate) cho Grid host này?
