Bài giảng tính toán lưới chương 3 chuẩn OGSA/OGSI và hạ tầng trong môi trường lưới

Bài giảng tính toán lưới chương 3 chuẩn OGSAOGSI và hạ tầng trong môi trường lưới

Chương 3 Chuẩn OGSA/OGSI và

hạ tầng trong môi

trường Lưới Giảng viên: TS Đàm Quang Hồng Hải

TÍNH TOÁN LƯỚI

nhau

• Các dịch vụ Grid thường xuyên tương tác với nhau Càng nhiều dịch vụ thì số tương tác

giữa chúng càng tăng và rất dễ dẫn đến tình trạng hỗn loạn

• Vấn đề giao tiếp giữa các dịch vụ lưới sẽ rất phức tạp Do đó, cần thiết là phải có chuẩn định nghĩa giao diện giao tiếp chung cho các dịch vụ này

3

Chuẩn OGSA và OGSI

• OGSA và OGSI được Global Grid Forum

(GGF) phát triển cho mục tiêu chuẩn hoá

• Diễn đàn này là nơi thảo luận chính của

cộng đồng Grid nhằm thống nhất chuẩn

chung cho các thành phần của Grid

Computing GGF kết hợp giữa Open Grid Forum, diễn đàn Grid châu Âu eGrid, và

cộng đồng Grid châu Á - Thải Bình Dương

• GGF định nghĩa các chuẩn mạng lưới trong phạm vi các trình ứng dụng, các mô hình lập trình, quản trị dữ liệu, bảo mật, thực thi, lập lịch và quản lý tài nguyên

OGSA, OGSI và Grid Service

• Định nghĩa một chuẩn kiến trúc mới cho

các ứng dụng chạy trên lưới OGSA định

nghĩa dịch vụ lưới là gì, chúng có khả năng

gì, và dựa trên nền công nghệ nào

• Nhưng OGSA không đưa ra đặc tả chi tiết

và kỹ thuật cần để triển khai một dịch vụ lưới

• OGSA định nghĩa các phương thức và cơ chế

chuẩn cho của các hệ thống lưới như:

– Cách giao tiếp giữa các dịch vụ, thiết lập định danh, – Cách định quyền truy cập, phát hiện tài nguyên-dịch

vụ, Thông báo lỗi, và quản lý tập các dịch vụ…

7

Các thành phần cơ bản của

OGSA

• Cơ sở hạ tầng dịch vụ lưới mở OGSI: xây dựng

trên các kỹ thuật dịch vụ web và lưới, OGSI định nghĩa cơ chế tạo, quản lý và chuyển đổi thông tin giữa các dịch vụ lưới

• Các dịch vụ OGSA: xây dựng trên các cơ chế

OGSI để định nghĩa các giao diện và các hành vi kết hợp cho các chức năng không được hỗ trợ

trực tiếpbởi OGSI như phát hiện dịch vụ, truy

xuất dữ liệu, tích hợp dữ liệu…

• Các mô hình OGSA: hỗ trợ các đặc tả giao diện bằng cách định nghĩa các mô hình cho các tài

nguyên chung và các kiểu dịch vụ

– Cung cấp các chức năng nền dùng để xây dựng các dịch vụ lưới khác

– Cung cấp các chức năng chung dùng trong một số các dịch vụ mức cao

– Cung cấp các chức năng được thiết kế để dùng cho các quan hệ mở rộng

• Một chức năng được cung cấp bởi một dịch

vụ nền sẽ được mô tả trong một số các dịch

vụ mức cao

– CMM (Common Management Model): cung cấp một

cơ sở hạ tầng có thể quản lý được cho các tài nguyên trong OGSA CMM định nghĩa mô hình cư xử cơ sở

cho tất cả các tài nguyên và các bộ quản lý tài

nguyên trong lưới, công thêm chức năng quản lý các mối quan hệ và quản lý vòng đời

– OGSA Data Services (các dịch vụ dữ liệu OGSA):

cung cấp các chức năng cơ bản để quản lý dữ liệu

trong một môi trường lưới

OGSI

• Open Grid Services Infrastructure

• Nặng về đặc tả kỹ thuật cho các khái niệm được đưa ra trong OGSA OGSI định nghĩa các cơ chế tạo mới, quản trị và trao đổi

thông tin giữa các dịch vụ lưới

• Một dịch vụ lưới là dịch vụ web thích ứng với tập hợp các quy ước về giao diện và

cách đáp ứng để xác định cách một client tương tác với một lưới

• Đặc biệt, OGSI còn định nghĩa các giao

diện chuẩn và qui tắc của dịch vụ lưới –

xây dựng trên cơ sở các dịch vụ web

11

Cấu trúc GRID

thái, tạo-huỷ, thông báo sự kiện và quản

lý tham chiếu

13

OGSI và OGSA

• Factory có thể tạo ra các dịch vụ tồn tại

trong thời gian dài như việc nhân bản cục

bộ một tập dữ liệu được sử dụng liên tục

15

Life cycle

• Life cycle: là cơ chế dùng để ngăn các dịch

vụ lưới truy cập đến các tài nguyên không được yêu cầu Các dịch vụ lưới được tạo

với vòng đời xác định

State managemen

• State managemen: mọi dịch vụ lưới đều có một trạng thái OGSI xác định một khung

để biểu diễn các trạng thái và một cơ chế

để kiểm duyệt hoặc sửa đổi chúng

• OGSI cũng quy định số các trạng thái tối

thiểu mà mỗi dịch vụ lưới phải có

Service groups

• Service groups: là tập các dịch vụ lưới

được chỉ định cho một mục đích riêng nào

đó

Notification

• Notification: các dịch vụ tương tác với

nhau thông qua cơ chế trao đổi

• thông điệp trên các lời triệu gọi dịch vụ

Thông tin trạng thái được mô hình cho các dịch vụ lưới sẽ thay đổi khi hệ thống chạy

17

Handle Map

• Handle Map: dùng cho các vấn đề nhận

dạng Khi các factory được sử dụng để tạo

ra một thể hiện mới của dịch vụ lưới,

Factory trả về định danh của thể hiện mới này

• Định danh này là sự kết hợp của Grid

Service Handle (GSH) và một Grid Service Reference (GSR)

• GSH cung cấp tham chiếu đến định danh

của dịch vụ lưới còn GSR có thể thay đổi

theo thời gian sống của các dịch vụ lưới

Các yêu cầu về Hạ tầng Lưới

• Yêu cầu chức năng cơ bản: khám phá và môi giới; đo đạc và tính toán; chia sẻ dữ liệu;

triển khai; tổ chức ảo; giám sát; chính sách

• Yêu cầu bảo mật: bảo mật đa phần; giải

pháp bảo mật phạm vi; xác thực, uỷ quyền

và cấp quyền; mã hoá; chứng thực

• Các yêu cầu về đặc tính của hệ thống: phải

có khả năng chịu lỗi, phát hiện được hiểm

hoạ, tự "chăm sóc sức khỏe" của tài nguyên

• Quản lý tài nguyên: đồng nhất cách cung

cấp, ảo hoá tài nguyên, tối ưu việc sử dụng

19

Các yêu cầu về đặc tính của

hệ thống Lưới

• Có khả năng giám sát, theo dõi sự tấn

công, quấy rầy, quản lý được các ứng dụng

kế thừa, có thể "hệ thống hoá" và "tự động hoá" các hoạt động chuẩn cho bộ quản trị,

• Có khả nằng khởi tạo yêu cầu tương tác

theo thoả thuận giữa client và server và

tạo nhóm/tập các dịch vụ,

• Cho phép một số dịch vụ được kế thừa và

sử dụng lại các dịch vụ đã tồn tại

Yêu cầu về quản lý tài nguyên

• Quản lý tài nguyên: có khả năng lập lịch và

cung cấp băng thông động, có khả năng truy cập theo lô và truy cập tương tác,

• Hỗ trợ quản lý và giám sát việc sử dụng, lập lịch động cho các tác vụ, đảm bảo các tài

nguyên được sử dụng như nhau,

• Có khả năng đặt trước tài nguyên, có cơ chế ghi lại các xử lý, và phải quản lý được luồng

công việc và phải định giá được việc sử dụng tài nguyên để lập hoá đơn cho người dùng

21

Bảo mật trong môi trường lưới

• Các thành phần tham gia lưới lại chịu tác động của chính sách cục bộ trong phạm vi của mỗi thực thể tham gia lưới

• Cơ chế bảo mật lưới cho phép tổ chức ảo dùng chung một phần chính sách với các tổ chức

• Giải pháp tải chồng các chính sách như trên

bắt buộc bảo mật lưới phải đảm bảo:

– Hỗ trợ nhiều cơ chế bảo mật khác nhau khởi tạo động các dịch vụ;

– Thiết lập động các miền chứng thực tin

tưởng

Các chính sách bảo mật

trong môi trường lưới

• Môi trường lưới bảo mật đa miền: tập trung điều khiển các tương tác liên miền, ánh xạ hoạt động liên miền với các chính sách bảo mật địa phương

• Hoạt động lưới hạn chế trong đơn miền quản trị: các hoạt động đa miền phải tuân theo chính

sách bảo mật địa phương trên miền quản trị đơn

• Các chủ thể toàn cục và cục bộ đều tồn tại, tại mỗi miền quản trị đơn đều tồn tại hai chủ thể

• Chứng thực đa phương: hoạt động giữa các thực thể trong các miền tin tưởng khác nhau đòi hỏi phải có chứng thực đa phương

23

Yêu cầu bảo mật trong Lưới

• Xác thực, đăng nhập (Authentication): thẩm định tính hợp lệ của người được khai báo và định danh người này là ai

• Quyền hạn (Access Control): đảm bảo mỗi người dùng chỉ sử dụng các tài nguyên, dịch vụ được

phép

• Toàn vẹn dữ liệu: đảm bảo dữ liệu không bị thay đổi hay bị xóa đi bởi người không có thẩm quyền

• Bảo mật dữ liệu: Các thông tin nhạy cảm cần

đảm bảo không bị phát hiện bởi những người

khác

• Quản lý khóa: liên quan đến các vấn đề cấp phát khóa, xác thực, tạo ra phiên bản bảo mật

Hạ tầng an ninh mạng lưới GSI

• Hạ tầng an ninh mạng lưới GSI (Grid Security

Infrastructure) GSI là cơ chế cho phép xác thực và

truyền thông an toàn trên mạng lưới Nó cung cấp

một số dịch vụ như: khả năng xác thực lẫn nhau,

cơ chế đăng nhập một lần, cơ chế uỷ quyền

• GSI dựa trên các công nghệ mã khoá công khai

(Public Key Infrastructure hay PKI), Chứng thư

X.509 (Certificate), Nghi thức truyền thông bảo

mật (Secure Socket Layer hay SSL)

• Những chuẩn công nghiệp về bảo mật trên được

thêm vào cơ chế đăng nhập một lần (SSO) và uỷ

quyền (Proxy) tạo nên nền tảng bảo mật vững

chắc của mạng lưới

Kỹ thuật mã hoá (cryptography)

• Mã hoá (encryption): chuyển thông tin thành dạng

khác mà chỉ có người gửivà người nhận hiểu được

bằng cách giải mã (decryption)

• Khoá (key): thông tin sử dụng để mã hoá hay giải mã

– Khoá đối xứng (symmetric); khoá chia sẻ (shared):

cả người gửivà người nhậncùng biết

– Khoá công khai (public): khoá dùng để mã hoá

được công khai

– Sử dụng bảo mật mức thông điệp thì chỉ nội

dung của thông điệp SOAP được mã hóa

• Cả hai mức bảo mật này đều dựa trên khóa công khai, và do đó có thể đảm bảo tính toàn vẹn,

riêng tư và khả năng chứng thực

• Toàn vẹn thường rất cần thiết, nhưng có thể bỏ

qua Mã hóa có thể được kích hoạt để đảm bảo

tính riêng tư

Mã hóa đối xứng DES

• DES: Data Encryption Standard

• Đưa ra bởi NIST (National Institute of

Standard and Technology, US)

• Khoá (key) là một số nhị phân 56-bit; dữ liệu (data) là số nhị phân 64-bit

• Mức độ an toàn của DES:

– RSA Inc 1997, msg = “Strong

cryptography makes the world a safer

place” , khoá 56-bit giải mã bằng

brute-force: 4 tháng

29

29

Lược đồ mã hóa đối xứng

Mã khóa công khai

• Sử dụng khoá đối xứng (SKC):

– Khoá mã và khoá giải mã giống nhau (khoá bí mật), người gửi và người nhận cần phải thoả thuận trước khoá bí mật Nếu khoá dùng chung được gửi qua

công khai (PK - public key)

– Khoá giải mã là bí mật (SK - secret key; người gửi không cần biết khoá này của người nhận), người gửi không cần biết khoá bí mật của người nhận

31

Mã khóa công khai

• KB+ : khoá công khai (khoá mã) của Bob

• KB- : khoá bí mật (khoá giải mã) của Bob

• Alice chỉ cần biết KB+ để mã hoá thông điệp

m

Cơ sở hạ tầng khóa công

khai môi trường Lưới

• Chứng thực trong GSI là thao tác cung cấp cho mỗi thực thể một tên định danh duy

nhất bằng cách đưa ra khái niệm giấy ủy quyền lưới,

• Giấy ủy quyền lưới là một cặp giấy chứng nhận và khóa mã hóa (khóa bí mật)

• Trong môi trường PKI, mỗi thực thể phải

trao quyền sở hữu khóa bí mật của mình

để bảo đảm sự toàn vẹn của hệ thống

33

Giao thức Secure Sockets

Layer (SSL)

• Giao thức đa mục đích được thiết kế để tạo

ra các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước (socket

443) nhằm mã hoá toàn bộ thông tin

SSL

35

Giao thức SSL

• Giao thức SSL dựa trên hai nhóm con giao thức

là giao thức “bắt tay” (handshake protocol) và giao thức “bản ghi” (record protocol)

• Giao thức bắt tay xác định các tham số giao

dịch giữa hai đối tượng

• Các ứng dụng trao đổi “số nhận dạng/khoá

theo phiên” (session ID, session key), CA của máy chủ

• Ứng dụng máy trạm sử dụng các thông tin

trong chứng chỉ điện tử để mã hoá thông điệp gửi lại máy chủ mà chỉ có máy chủ đó có thể

giải mã

Giao thức SSL

37

Chứng thực số, khả năng

giả mạo

• Mục đích của chứng thực là đảm bảo chắc

chắn đối phương không bị giả mạo

• Alice say “I’m Alice”

Failed

Bob không

“nhìn thấy”

Alice trong mạng máy tính (# đời thực)

• Việc chứng thực các định danh GSI sẽ chuyển về chứng thực các định danh địa phương, cùng với

việc đó, các chính sách đưa ra cũng nằm trong

phạm vi cục bộ như: quyền truy nhập file, dung lượng đĩa, tốc độ CPU,

39

Giấy ủy nhiệm

• Trong môi trường lưới, người sử dụng cần được chứng thực nhiều lần trong khoảng

thời gian tương đối ngắn

• GSI giải quyết vấn đề này với khái niệm

giấy ủy nhiệm

– Mỗi giấy ủy nhiệm sẽ hoạt động thay mặt người dùng trong một khoảng thời gian ủy quyền

ngắn hạn

– Giấy ủy nhiệm có giấy chứng nhận và khóa bí mật riêng của nó, được tạo ra bằng cách kí lên giấy chứng nhận dài hạn của người dùng

Chứng thực với mã công khai

• Sử dụng nounce và mã hoá công khai

vai trò trung gian

được đó chính xác

là khoá công khai của Alice mà không phải là của Trudy?

• Giải pháp:

– Trusted Certification Authorities (CA)

– CA gán các khoá công khai cho từng user

Certificate Authority - CA

• Mỗi user sẽ đăng ký khoá công khai với CA

• Trước khi CA ký nhận và lưu trữ chứng nhận,

CA thực hiện một số thao tác sau:

– CA phát sinh ngẫu nhiên một cặp khóa bất đối xứng – CA cất lại khóa riêng của mình

– CA cấp khóa chứng thư cho người dùng

• Mỗi khi Bob cần khoá công khai của Alice thì sẽ không hỏi Alice mà hỏi CA

– Lấy certificate của Alice

– Sử dụng CA’s public key để giải mã  Alice public

key

43

Hoạt động của CA

Chứng thực trong môi

trường Lưới

• Mỗi đối tượng toàn cục được ánh xạ vào

đối tượng cục bộ được coi như chúng đã

qua chứng thực địa phương trên đối tượng cục bộ đó

• Tất cả các quyết định điều khiển được đưa

ra đều là cục bộ hay dựa trên cơ sở của đối tượng cục bộ

• Có thể dùng chung tập giấy chứng nhận

với các chương trình thay mặt cho cùng

một tiến trình, chạy trên cùng một chủ thể trong cùng một miền tin tưởng

• Chữ ký điện tử hoạt động dựa trên công

nghệ public key, nó sử dụng digital

certificate để ký và mã hoá các tài liệu và giao dịch

• Nhiều luật được ban hành trên thế giới

công nhận giá trị pháp lý của chữ ký điện

tử

Cơ chế quản lý quyền hạn

• Cơ chế quản lý quyền hạn được thực hiện

bằng cách tạo ánh xạ người dùng lưới với

người dùng cục bộ - cơ chế grid-map

• Có nhiều công cụ quản lý quyền hạn được xây dựng nhằm giải quyết hạn chế của grid-map khi tài nguyên tăng và người quản trị không thể quản lý được việc chia sẻ tài nguyên

– CAS (Community Authorization Service)

– VOMS (Virtual Organization Management Service), – PERMIS (Privilege and Role Management

Infrastructure Standars Validation),

Conversation để xác thực và mã hóa dữ

liệu trong các thông điệp

Chữ ký XML (XML Signature)

• Chữ ký XML dùng phương pháp mã hóa bất đốt xứng và hàm băm để tạo chữ ký Có ba cách để đưa chữ ký XML vào văn bản XML:

– Chữ ký nằm trong văn bản được ký

– Văn bản được ký nằm trong chữ ký

– Chữ ký và văn bản tách riêng

• Trước khi có chữ ký, PKCS#7 Signalture được

sử dụng để ký và S/MIME được dùng để gắn

chữ ký với tài liệu đã ký

• Trong môi trường Web Service, chữ ký XML

đảm bảo sự toàn vẹn dữ liệu, đảm bảo văn bản được ký bởi người gởi và xác thực

49

XML Signature

Mã hóa XML (XML Encryption)

• Kỹ thuật mã hóa XML được dùng để đảm

bảo bí mật của dữ liệu XML Mã hóa XML

áp dụng các phương pháp mã hóa đối

xứng DES,3DES và AES để mã hóa dữ liệu

Mã hóa XML có ba dạng:

– Mã hóa một phần tử XML và nội dung

trong đó

– Mã hóa nội dung phần tử XML

– Mã hóa một lọai dữ liệu bất kỳ

• Mã hóa XML là biểu diễn thông tin mã hóa

thành dạng XML và mã hóa một phần văn

51

Quản trị tài nguyên lưới

• Lưới không giữ quyền điều khiển tuyệt đối đối với tài nguyên -> phát triển phương

thức quản lý trên các vùng khác nhau

• Các ứng dụng lưới yêu cầu sử dụng đồng thời nhiều tài nguyên ở nhiều nơi khác

nhau để hoàn thành công việc

• Các tài nguyên lưới là sự không đồng nhất, các tổ chức khác nhau có các chính sách

quản lý tài nguyên khác nhau

• Mục đích của người dùng tài nguyên lại

khác nhau hoặc thậm chí có thể mâu

thuẫn nhau

52

Định vị tài nguyên lưới

• Khi có yêu cầu, bộ quản lý tài nguyên sẽ tìm tài nguyên từ dịch vụ chỉ mục (Index Service) sau

đó định vị tài nguyên đến một số nút trong lưới

• Tại các nút, tài nguyên sẽ được lập lịch sử dụng Khi một ứng dụng đang chạy, bộ quản lý tài

nguyên cần theo dõi trạng thái tài nguyên và

thông báo trở lại cho bộ lập lịch và hệ thống kế toán

• Khi một ứng dụng yêu cầu sử dụng tài nguyên

mà hiện tại tài nguyên đó đang phục vụ cho một ứng dụng khác thì nó sẽ được xếp vào hàng đợi cho đến khi tài nguyên đó được sử dụng xong và sẵn sàng phục vụ