Tải bản đầy đủ
Hình 1.4 Kiến trúc phân tầng lưới

Hình 1.4 Kiến trúc phân tầng lưới

Tải bản đầy đủ

10

Tầng Fabric (tầng thiết bị)
Tầng này bao gồm các tài nguyên cục bộ, phân tán trên
mạng, chúng bị ràng buộc bởi Cơ chế quản lý tài nguyên và Cơ chế
kiểm tra.
Tài nguyên của tầng này được phân thành các nhóm như sau:
- Tài nguyên tính toán: Đó là các kỹ thuật cần thiết để khởi
đầu chương trình và để giám sát cũng như việc điều khiển việc
thực hiện tiến trình xuất kết quả. Các kỹ thuật quản lý, cho phép
điều khiển các tài nguyên được cấp cho trong các tiến trình cũng
rất hữu hiệu (Ví dụ: Kỹ thuật đặt chỗ trước).
- Tài nguyên lưu trữ: Đó là các kỹ thuật cần cho việc sắp đặt
và lấy file, cũng như các kỹ thuật đọc và ghi một tập con của file
hoặc các chức năng lựa chọn hay thu nhỏ đối với các dữ liệu ở xa.
Các kỹ thuật quản lý tài nguyên cho phép điều khiển các tài
nguyên cấp cho chuyển giao dữ liệu (như không gian đĩa, băng
thông, CPU).
- Tài nguyên mạng: Đây là các kỹ thuật quản lý đối với các tài
nguyên được cấp cho chuyển giao trên mạng.
- Các kho mã nguồn: Đây là một dạng đặc biệt của các tài
nguyên lưu trữ. Nó cần các kỹ thuật để quản lý các phiên bản của
mã nguồn và mã nguồn.
Tầng Connectivity (tầng kết nối)
Tầng này đóng vai trò rất quan trọng, nó xác định các giao
thức lõi về kết nối và chứng thực cho các giao dịch trên mạng. Các
giao thức kết nối cho phép trao đổi dữ liệu giữa các tài nguyên của
tầng Fabric.
Các giao thức kết nối bao gồm các giao thức vận chuyển
(Transport), tìm đường (Rounting) và quản lý tên (Naming). Các

11

giao thức này tương tự các giao thức IP, TCP, UDP trong bộ giao
thức TCP/IP và các giao thức tầng ứng dụng như DNS,OSPF, RSPV...

Tầng Resource (tầng tài nguyên)
Tầng này dựa trên nền tảng sẵn có của tầng conectivity.
Những giao thức trong tầng này sẽ gọi các chức năng trong tầng
Fabric để truy cập và sử dụng các loại tài nguyên.
Hai giao thức chính:
- Giao thức thông tin (Information Protocol): Được sử dụng để
thu được các thông tin cấu trúc và trạng thái tài nguyên như cấu
hình mức tải hiện thời và các chính sách sử dụng khác...
- Giao thức quản lý (Management Protocol): Sử dụng để truy
cập các tài nguyên chia sẻ, tạo các tiến trình, truy cập dữ liệu...

Tầng Collective (tầng kết hợp)
Tầng này chứa các giao thức và dịch vụ cho phép giao tiếp
giữa các tài nguyên trong mạng lưới. Tầng này bao gồm các dịch
vụ chính sau:
- Các dịch vụ thư mục (Directory Sevices): Cho phép tìm ra
các nguồn tài nguyên và các đặc tính của nó.
- Các dịch vụ cấp phát chạy, lập lịch, môi giới (Co-allocation;
Sheduling; Brokering Services): Cho phép yêu cầu cấp tài nguyên
cho các mục đích cụ thể và lập lịch thực thi các công việc dựa trên
các tài nguyên được cấp phát.

12

- Các dịch vụ giám sát và dự báo (Monitoring and Diagnostic
Services): Cho phép theo dõi các sai hỏng, các cuộc tấn công sai
phạm, quá tải...
- Các dịch vụ nhân bản dữ liệu (Data replication Services):
Cho phép tăng hiệu năng hệ thống.
- Các hệ thống hỗ trợ lập trình lưới (Grid-enable Programming
Systems): Gồm các thư viện lập trình.
- Hệ thống quản lý tải và môi trường cộng tác (Workload
Management System & Collaboration Frame Work): Cho phép quản
lý các luồng công việc.
- Dịch vụ tìm kiếm phần mềm (Sofware Discovery Services):
Cho phép lựa chọn các nền tảng thực thi tuỳ theo các tham số của
bài toán.
Tầng Application (tầng ứng dụng)
Tầng này bao gồm các ứng dụng được phát triển trên môi
trường lưới. Các ứng dụng lưới này được xây dựng trên cơ sở gọi
các hàm, các dịch vụ được cung cấp bởi các tầng phía dưới. Vì vậy,
ở tầng này phải thiết kế và cài đặt các dịch vụ, các hàm cụ thể...để
sao cho người sử dụng lưới cảm thấy trong suốt. Người sử dụng
yêu cầu chạy ứng dụng, nhận về kết quả mà không hề biết ứng
dụng được chạy ở đâu trên hệ thống lưới, sử dụng tài nguyên gì, ở
đâu. Vì vậy, có thể xem hệ thống tính toán lưới như một máy tính
ảo được kết hợp các tài nguyên khác nhau.
1.2.

BẢO VỆ THÔNG TIN TRONG TÍNH TOÁN LƯỚI

1.2.1. Vấn đề cơ bản của một hệ thống tính toán lưới
Có 4 vấn đề cơ bản được quan tâm trong tính toán lưới [6] như sau:

13

1.2.1.1. Bảo vệ thông tin
Sự phát triển của hệ thống tính toán lưới được quyết định bởi một nền tảng
bảo vệ thông tin vững chắc. Với tính chất là có quy mô lớn, quan hệ chia sẻ tài
nguyên giữa nhiều tổ chức, bảo vệ thông tin phải là yếu tố được đặt lên hàng đầu
trong lưới.
Một số vấn đề bảo vệ thông tin phải xem xét trong tính toán lưới là:
-

Xác thực thực thể sử dụng lưới.

-

Bảo vệ thông tin trên đường truyền lưới.

-

Bảo vệ sự tấn công phá hoại hạ tầng cơ sở lưới.

- Phòng tránh các dạng tấn công lưới chẳng hạn tấn công từ chối dịch vụ,
tấn công giữa...
1.2.1.2. Lập lịch và quản lý tài nguyên
Các tài nguyên lưới thường phân tán và không đồng nhất. Do đó, việc tích
hợp, đồng bộ hoá và biểu diễn chúng dưới một dạng thống nhất là yêu cầu cần thiết.
Trong môi trường tính toán lưới, tại một thời điểm có thể có rất nhiều ứng
dụng cùng truy cập chia sẻ một hoặc nhiều tài nguyên khác nhau nên cần có bộ lập
lịch nhằm tối ưu hoá công việc. Bộ lập lịch dựa vào các thông tin trên lưới để quyết
định thứ tự đệ trình công việc.
1.2.1.3. Dịch vụ thông tin
Đối với môi trường động và không đồng nhất như tính toán lưới thì các
thông tin về các thành phần trong lưới sẽ thường xuyên thay đổi. Do đó, dịch vụ
thông tin cần cung cấp cơ chế tự động cập nhật và đăng ký các thông tin về toàn hệ
thống như tài nguyên, các dịch vụ có thể cung cấp trên lưới, trạng thái của toàn bộ
môi trường lưới.
1.2.1.4. Quản lý dữ liệu
Việc truy cập các nguồn dữ liệu trên lưới đòi hỏi một khả năng trao đổi,
tương tác giữa các dữ liệu có thể lên đến Giga bytes hoặc nhiều hơn. Điều này đòi
hỏi hệ thống lưới phải có chiến lược lưu trữ và tối ưu hoá hệ thống lưu trữ.

14

1.2.2. Hệ thống bảo vệ thông tin
1.2.2.1. Một số khái niệm
 Bảo vệ thông tin
Bảo vệ thông tin là một chủ đề rộng, có liên quan đến nhiều lĩnh vực và
trong thực tế có nhiều phương pháp để bảo vệ thông tin.
Bảo vệ thông tin bao gồm:
- Bảo đảm tính bí mật: Tính bí mật của thông tin là tính giới hạn về đối
tượng được quyền truy xuất đến thông tin.
- Bảo đảm tính toàn vẹn (bảo toàn): Đặc trưng này đảm bảo sự tồn tại
nguyên vẹn của thông tin, loại trừ mọi sự thay đổi thông tin có chủ đích hoặc hư
hỏng, mất mát thông tin do sự cố thiết bị hoặc phần mềm.
Tính toàn vẹn được xét trên hai khía cạnh
+ Tính nguyên vẹn của nội dung thông tin.
+ Tính xác thực của nguồn gốc thông tin.
- Bảo đảm tính xác thực:
Xác thực thông tin (message authentication) là một cơ chế được ứng dụng
trong xử lý thông tin với mục đích:
+ Đảm bảo nội dung thông tin trao đổi giữa các thực thể là chính xác,
không bị thêm, sửa, xoá hay phát lại (đảm bảo tính toàn vẹn về nội dung).
+ Đảm bảo đối tượng tạo ra thông tin (nguồn gốc thông tin) đúng là đối
tượng hợp lệ đã được khai báo (đảm bảo tính toàn vẹn về nguồn gốc thông tin).
- Bảo đảm tính khả dụng (sẵn sàng): Tính khả dụng của thông tin là tính sẵn
sàng của thông tin cho các nhu cầu truy xuất hợp lệ.
 Khái niệm mã hoá
Mã hoá (Encryption) là quá trình chuyển thông tin gốc có thể đọc được (gọi
là bản rõ-plaintext) thành thông tin bí mật khó có thể đọc được (gọi là bản mãClippher text). Quá trình biến đổi thông tin mật về dạng thông tin gốc ban đầu gọi là
quá trình giải mã (Decryption).

15

Thuật toán mã hoá (Encryption algorithm) hay giải mã là thủ tục tính toán
để mã hoá hay giải mã.
Khoá mã hoá là một giá trị làm cho thuật toán mã hoá được thực hiện theo
cách riêng biệt và sinh ra bản mã riêng. Thông thường khoá càng lớn thì bản mã
càng an toàn. Phạm vi các giá trị có thể có của khoá được gọi là không gian khoá.
 Hàm băm mật mã
Hàm băm mật mã hay gọi tắt là hàm băm là một hàm toán học chuyển đổi
một thông điệp có độ dài bất kỳ thành một dãy bit có độ dài cố định (tuỳ thuộc vào
thuật toán băm). Dãy bit này gọi là giá trị băm hay “Đại diện thông điệp”, “Đại diện
tài liệu”.
 Chữ ký số
Những năm 80 của thế kỷ XX, các nhà khoa học đã phát minh ra “chữ ký số”
để chứng thực một “tài liệu số”. Đó chính là “bản mã” của xâu bit tài liệu.[2]
Người ta tạo ra chữ ký số (chữ ký điện tử) trên tài liệu số giống như tạo ra
bản mã của tài liệu với khoá lập mã.
Như vậy, ký số trên tài liệu số là ký trên từng bit tài liệu. Kẻ gian khó có thể
giả mạo chữ ký số nếu không biết khoá lập mã.
Để kiểm tra một chữ ký số thuộc về một tài liệu số, người ta giải mã chữ ký
số bằng khoá giải mã và so sánh với tài liệu gốc.

1.2.2.2. Yêu cầu an toàn thông tin trên lưới
Do đặc điểm hỗn tạp và không đồng nhất của các tổ chức và
tài nguyên trong lưới, vấn đề bảo vệ thông tin trong lưới là một
trong những vấn đề được quan tâm hàng đầu. Có vấn đề bảo mật
mới chưa từng gặp trong các công nghệ bảo mật hiện tại cho hệ
thống tính toán truyền thống.
Ví dụ: Các hệ thống tính toán song song đòi hỏi nhiều tài
nguyên tính toán, dẫn tới nhu cầu phải thiết lập mối quan hệ bảo
mật, không chỉ đơn giản là với Client và Sever mà giữa hàng trăm

16

tiến trình thực hiện trong không gian tập hợp nhiều miền quản trị.
Ngoài ra, cần phải có các chính sách bảo mật liên miền cho lưới;
các công nghệ điều khiển truy nhập giữa các miền khác nhau cũng
phải được hỗ trợ.
Các ứng dụng và hệ thống lưới có thể đòi hỏi bất cứ chức năng nào như là:
chứng thực, điều khiển truy nhập, toàn vẹn, bí mật. Khi phát triển kiến trúc bảo mật
lưới, cũng phải lựa chọn giải pháp để đáp ứng được đòi hỏi của các đặc tính rất
riêng của lưới.
-

Đăng nhập một lần

Khi bắt đầu một tính toán đòi hỏi sử dụng tài nguyên, cho thuê tài nguyên
hay truyền thông nội bộ, người dùng có thể được chứng thực và sẽ không phải
chứng thực trong các tính toán tiếp theo.
-

Giấy uỷ nhiệm người dùng

Các mật khẩu, khoá bí mật,... phải được bảo vệ bằng các chính sách như mã
hoá, hệ thống File bảo mật, phân quyền.
-

Tích hợp các giải pháp bảo mật địa phương

Các giải pháp bảo mật liên miền phải tích hợp với các giải pháp bảo mật địa
phương để đảm bảo độc lập của các thành viên lưới.

-

Cơ sở hạ tầng giấy uỷ nhiệm, giấy chứng nhận thống nhất

Truy nhập liên miền đòi hỏi phải có một quy ước thống nhất để biểu diễn
định danh của các thực thể lưới như là người dùng, tài nguyên...Vì thế, cần có một
chuẩn để mã hoá các giấy chứng nhận cho mục đích bảo mật. Hiện tại, X509 là
chuẩn cho các giấy chứng nhận phổ biến trong môi trường lưới.
-

Hỗ trợ bảo mật nhóm truyền thông

17

Mọi tính toán lưới có thể đòi hỏi một số các tiến trình, cùng cộng tác các
hoạt động của chúng với nhau như một nhóm. Tổ hợp các nhóm tiến trình sẽ thay
đổi trong vòng đời của một tính toán. Vì thế, cần cung cấp bảo mật truyền thông
nhóm động. Hiện tại, không có giải pháp nào hỗ trợ tính năng này, thậm chí là thư
viện lập trình bảo mật GSS-API còn không có bảo mật nhóm.
-

Độc lập công nghệ

Các chính sách bảo mật không phục vụ cho một công nghệ phát triển ứng
dụng cụ thể nào. Hơn nữa, có thể cài đặt các chính sách bảo mật trong một phạm vi
các công nghệ bảo mật, dựa trên cả kỹ thuật mã khoá công khai và phân phối khoá
công khai.
Các yêu cầu an toàn ở trên được định hướng để cung cấp cho các tổ chức ảo
phân tán, rộng lớn để chia sẻ và sử dụng các nguồn tài nguyên đa dạng trong một
mô hình thống nhất. Nhưng các tài nguyên cũng như các thành phần khác tham gia
lưới lại bị quản lý bởi các cơ chế và các chính sách của một tổ chức truyền thống
mà chúng là thành viên. Do vậy, để tổ chức ảo truy nhập vào các tài nguyên của các
tổ chức truyền thống, chúng phải được thiết lập và cộng tác qua mối quan hệ tin
tưởng hai bên, tồn tại giữa người dùng với tổ chức truyền thống của họ và mối quan
hệ giữa người dùng với các tổ chức ảo. Cơ chế an toàn thông tin trên lưới giải quyết
vấn đề này bằng cách cho phép có một tổ chức ảo thống nhất chung một phần chính
sách của các tổ chức truyền thống

18

Hình 1.5 Miền tin tưởng chung của các tổ chức ảo
Các tài nguyên và các tổ chức đưa ra các điều khiển chính sách mở rộng cho
một bên thứ ba, các tổ chức ảo phối hợp các chính sách mở rộng trong một miền tin
tưởng ổn định lâu dài, để cho phép chia sẻ tài nguyên và sử dụng. Giải pháp tải
chồng chính sách như trên dẫn tới các chức năng chủ yếu sau mà hệ thống lưới phải
thực hiện như: Hỗ trợ nhiều cơ chế bảo mật khác nhau, khởi tạo động
các dịch vụ, thiết lập động các miền chứng thực tin tưởng.

1.2.2.3. Các chính sách bảo đảm an toàn thông tin
Một số định nghĩa:
+ Chủ thể: Là một thành viên của các hoạt động bảo vệ thông tin, đối với
môi trường lưới chủ thể thường là người dùng, tài nguyên hay các tiến trình thay
mặt cho tài nguyên đó.

19

+ Giấy uỷ nhiệm: Là một phần thông tin, dùng để cung cấp định danh cho
chủ thể xác định tên và vai trò của chủ thể đó trong lưới.
+ Thẩm quyền: Là tiến trình để chủ thể chứng minh định danh của mình cho
đối tượng được yêu cầu. Thẩm quyền hai bên (bên yêu cầu và bên được yêu cầu) là
quá trình hai bên thẩm quyền lẫn nhau, còn gọi là thẩm quyền đa phương.
+ Đối tượng: Là các tài nguyên được bảo vệ bởi một chính sách bảo đảm an
toàn thông tin nào đó.
+ Chứng thực: Là tiến trình mà thông qua đó ta xác định được một chủ thể
có được phép truy nhập và sử dụng tài nguyên hay không.
+ Miền tin tưởng: Là cấu trúc quản lý mức logic, do một chính sách bảo vệ ổ
định, đơn lẻ mức địa phương nắm giữ hay nói cách khác, nó là một tập các chủ thể
và đối tượng được quản lý bởi đơn miền quản trị và chính sách bảo vệ cục bộ.
Để giải quyết yêu cầu bảo vệ thông tin trong lưới tính toán ta có các chính
sách sau đây:
Môi trường bảo mật đa miền: Bởi vì lưới là một tập hợp không đồng nhất
của các người dùng và tài nguyên cục bộ, cho nên các chính sách bảo mật cục bộ
dành cho các tài nguyên và người dùng cũng khác nhau, chính sách bảo mật lưới
phải đảm bảo tích hợp được tất cả các tập hợp không đồng nhất này. Nói chung,
môi trường lưới không hạn chế hay không ảnh hưởng tới các chính sách bảo mật địa
phương, nhiệm vụ của chính sách bảo mật lưới là phải tập trung điều khiển các
tương tác liên miền, ánh xạ các hoạt động liên miền vào trong các chính sách bảo
mật địa phương.
Hoạt động lưới hạn chế trong đơn miền quản trị: Mặc dù lưới là một tập đa
miền quản trị, tuy nhiên các hoạt động đa miền lại phải tuân theo các chính sách bảo
mật địa phương trên đơn miền quản trị.
Các chủ thể toàn cục và cục bộ đều tồn tại: Tại mỗi đơn miền quản trị đều
tồn tại hai chủ thể trên và chính sách để ánh xạ từ một phần tử toàn cục vào phần tử
cục bộ.