Đang tải... (xem toàn văn)
Bài giảng tính toán lưới chương 6 một số vấn đề bảo mật khi cài đặt GT4
Chương 6 Một số vấn đề bảo mật khi cài đặt GT4 Giảng viên: TS Đàm Quang Hồng Hải TÍNH TOÁN LƯỚI 2 Bảo mật môi trường Lưới • Bảo mật là yếu tố rất quan trọng trong bất cứ hệ thống nào, nhất là đối với hệ thống phân tán gồm nhiều tài nguyên và người sử dụng nằm rải rác nhiều nơi. • GT4 và các công cụ liên quan cung cấp nền tảng bảo mật hoàn chỉnh không chỉ đối với truyền thông trên mạng mà còn đối với các tài nguyên (chính sách chia sẻ) và người dùng (xác thực và phân quyền). • GT4 cho phép thiết lập 1 hệ thống bảo mật cao, mở, và uyển chuyển nhằm bảo vệ thông tin, xác thực và phân quyền người dùng, đại diện và ủy quyền. 3 Bảo mật trong GT4 • Xác thực, đăng nhập (Authentication): thẩm định tính hợp lệ của người được khai báo và định danh người này là ai. • Quyền hạn (Access Control): đảm bảo mỗi người dùng chỉ sử dụng các tài nguyên, dịch vụ được phép • Toàn vẹn dữ liệu: đảm bảo dữ liệu không bị thay đổi hay bị xóa đi bởi người không có thẩm quyền. • Bảo mật dữ liệu: Các thông tin nhạy cảm cần đảm bảo không bị phát hiện bởi những người khác. • Quản lý khóa: liên quan đến các vấn đề cấp phát khóa, xác thực, tạo ra phiên bản bảo mật. 4 Mô hình một cơ quan cấp chứng nhận duy nhất với nhiều cơ sở đăng ký 5-1.4 5 Phần mềm SimpleCA • Phần mềm SimpleCA là phần mềm được xây dựng bởi VPN Consortium thực hiện việc chứng thực trên mạng. • SimpleCA là một phần của bộ công cụ Globus và có thể được cài đặt dễ dàng. • Về cơ bản bộ công cụ OpenSSL được dùng để chuyển giao giấy chứng thực với Globus. • Bộ công cụ OpenSSL có thể được sử dụng trực tiếp. 6 Nhận được giấy chứng nhận sử dụng lệnh của GT4 • Trước tiên, cần phải tạo ra một cặp khoá công khai/bí mật riêng. dùng lệnh grid-cert-request tại máy người dùng • Thực tế người dùng không thực sự cần khóa công khai riêng với giấy chứng nhận của mình vì là nơi cấp chứng nhận sẽ giữ khóa công khai, • Sau quá trình chứng thực, người dùng sẽ có được khoá bí mật và giấy chứng nhận được ký. • Quá trình xác lập các chứng thực sẽ được thực hiện trong quá trình cài đặt GT4 7 Lệnh grid-cert-request • Lệnh grid-cert-request sẽ tạo ra một cặp khoá riêng và một giấy chứng nhận chưa ký, có nghĩa là, một giấy chứng nhận không dấu có tên chủ thể và khoá công khai. grid-cert-request –(user/host) tên-đối-tượng • Các thể lựa chọn –user hay –host để thực hiện chứng thực với người dùng hay host. • Một tên mặc định (Giấy chứng nhận đối tượng) sẽ được hiển thị cho người sử dụng như là một phần của thông điệp. • Lệnh grid-cert-request có thể yêu cầu tạo một mật khẩu, mà sẽ được sử dụng để mã hóa khóa riêng và phải được người dùng ghi nhớ. 8 Các File được tạo ra bởi lệnh grid-cert-request • Ba file được tạo ra bởi lệnh grid-cert-request trong thư mục của người dùng globus, cụ thể là: (user/host)cert_request.pem (user/host)key.pem Empty file: (user/host) cert.pem (user/host)cert_request.pem - có thể được coi như là một chứng chỉ chưa ký có tên chủ thể (user/host) và khoá công khai. (user/host)key.pem (private key) – nơi chứa khóa bí mật (user/host)cert.pem - một nơi giữ chỗ cho giấy chứng nhận đã ký kết sẽ được đặt sau này. 9 Gửi các yêu cầu chứng thực tới Server CA • File (user/host)rcert_request.pem cần được gửi đến server CA để chứng thực. • Thông thường, các tập tin này được gửi bằng email đến các quản trị viên của server CA – tuy nhiên khi cài đặt GT4 thì copy trực tiếp tới máy CA. • Chú ý: Lệnh grid-cert-request sẽ có một thông báo cho người sử dụng biết phải làm gì. 10 Công việc thực hiện tại server CA • Sau khi nhận được yêu cầu, người quản trị server CA sẽ chạy lệnh grid-ca-sign-in: grid-ca-sign-in (user/host)cert_request.pem -out (user/host)cert.pem • Lệnh grid-ca-sign-in sẽ yêu cầu sử dụng nhập mật khẩu để mã/ giải mã khóa riêng của giấy chứng nhận quyền. • Lệnh grid-ca-sign-in sẽ ký giấy chứng nhận (user/host)cert.pem (trong câu lệnh được hiển thị). [...]... quyền (Delegation) • Một quá trình cho phép một đối tượng (ví dụ như một máy tính) để thay mặt mình thực hiện các công việc trên lưới • Cơ chế giải quyết yêu cầu về đăng nhập một lần (single signon) của một hệ thống Grid nhằm giảm số lần phải gõ password của người dùng khi sử dụng nhiều tài nguyên Grid có yêu cầu chứng thực • Cùng với Delegation là đăng nhập một lần, cho phép một người dùng nhập và... gian sống, proxy sẽ trở nên không hợp lệ, thường thì thời gian sống của proxy rất ngắn • Mỗi người sử dụng thời gian thực hiện một giao thức xác thực PKI, khóa riêng của người sử dụng phải được giải mã với cụm từ mật khẩu • Vào thời điểm đó, có thể có vi phạm bảo mật ngắn, nhưng ngay sau khi giải mã khóa thì thông tin phải được tiêu huỷ 28 Quy trình hoạt động trong GT4 Trong môi trường Globus, một ngay... các 26 Chứng thực tại proxy site Fig 5.7 27 Proxy private key and certificate lifetime • Một proxy bao gồm một chứng chỉ mới (có đính kèm khóa công khai mới của proxy) và một khóa bí mật mới Chứng chỉ mới chứa định danh của người chủ proxy, được sửa lại để cho biết đó là một proxy • Chứng chỉ mới được ký bởi người chủ sở hữu thay vì CA Trong proxy certificate có chứa thêm thời gian sống của proxy, khi. .. Người dùng có thể ủy quyền lại cho một chương trình trong một khoảng thời gian xác định truy cập đến các loại tài nguyên mà anh ta được phép sử dụng • Chương trình này cũng có thể ủy quyền có điều kiện một phần các tập quyền của nó cho chương trình con khác • Hệ thống mạng Grid phải hiểu, kiểm soát chặt chẽ và đáp ứng tốt cơ chế ủy quyền này một cách trong suối đối với chương trình được trao ủy quyền... của nó) và Proxy private key Tiêu đề của Giấy chứng nhận proxy là bản sắc của đơn vị cho cơ quan proxy với / proxy = CN hoặc / CN = thêm vào tên để chỉ ra rằng giấy chứng nhận là một chứng chỉ proxy 25 Proxy Certificates (2) • Chữ ký của chủ đề, không giấy chứng nhận quyền Có thể được so sánh với một cuộc bỏ phiếu proxy được chữ ký của bạn, nhưng được đặt bởi một người nào đó thay cho bạn Chữ... trên các vùng khác nhau nhằm phục vụ cho quá trình theo dõi cũng như điều khi n truy cập mà được áp dụng cho từng vùng ở các vị trí cụ thể • Tại một số vùng, một người dùng có thể có tài khoản thông thường Tại các vùng khác, người dùng có thể sử dụng tài khoản guest hoặc là một tài khoản được cấp bởi tổ chức đó • Tài nguyên lưới và người dùng có thể nằm ở những vùng khác nhau tại những quốc gia khác... lặp lại bởi người sử dụng (có nghĩa là, gửi mật khẩu/cụm mật khẩu) 23 Ví dụ cơ chế ủy quyền 24 Proxy Certificates • Một cách thực hiện phân giới thiệu của Globus Được sử dụng rộng rãi trong GSI Proxy giấy chứng nhận, (proxy) cho tài nguyên sở hữu proxy quyền hành động thay cho bạn, cũng giống như bỏ phiếu proxy có thể được sử dụng cho một người nào đó để đặt một cuộc bỏ phiếu thay cho bạn Proxy thông... trường Grid • Hai cách mà MyProxy có thể được sử dụng: – Là một kho chứa thông tin người dùng – Là một kho chứa thông tin proxy 34 Hoạt động của MyProxy server 35 Lệnh với MyProxy • myproxy-store đặt chứng thực từ các file ~/.globus/ usercert.pem và ~/.globus/userkey.pem vào MyProxy server • myproxy-init -t hours cài đặt proxy với thời gian sống là giờ (default 12 giờ) • myproxy-logon (trước kia là... khác nhau 14 Accounts ủy quyền • Người dùng cần được ủy quyền để truy cập vào một nguồn tài nguyên có nghĩa người dùng cần một tài khoản để truy cập • Trong hệ thống thông thường, các tài khoản chỉ cần thiết lập bằng tay (sử dụng một scrip, một cơ chế tự động để tạo và quản lý các tài khoản này rất cần thiết) • Có thể sử dụng một cơ sở dữ liệu mạng có thể truy cập được (LDAP) có danh sách người dùng và... quyền • MyProxy là một dịch vụ hỗ trợ truy cập từ xa và cho phép lưu trữ các chứng thư trong Grid • MyProxy server chứa một kho lưu trữ được phát triển cho các chứng chỉ và được sử dụng rộng rãi trong lưới điện toán • MyProxy server cung cấp proxy đời ngắn theo yêu cầu • Ban đầu MyProxy server là thành phần riêng biệt với Globus nhưng sau đó tích hợp vào Globus 4.0 • Đã trở thành một thành phần tích