Chương 6
Một số vấn đề bảo mật
khi cài đặt GT4
Giảng viên: TS Đàm Quang Hồng Hải
TÍNH TOÁN LƯỚI
2
Bảo mật môi trường Lưới
• Bảo mật là yếu tố rất quan trọng trong bất cứ hệ thống nào,
nhất là đối với hệ thống phân tán gồm nhiều tài nguyên và
người sử dụng nằm rải rác nhiều nơi.
• GT4 và các công cụ liên quan cung cấp nền tảng bảo mật hoàn
chỉnh không chỉ đối với truyền thông trên mạng mà còn đối với
các tài nguyên (chính sách chia sẻ) và người dùng (xác thực và
phân quyền).
• GT4 cho phép thiết lập 1 hệ thống bảo mật cao, mở, và uyển
chuyển nhằm bảo vệ thông tin, xác thực và phân quyền người
dùng, đại diện và ủy quyền.
3
Bảo mật trong GT4
• Xác thực, đăng nhập (Authentication): thẩm định tính hợp lệ
của người được khai báo và định danh người này là ai.
• Quyền hạn (Access Control): đảm bảo mỗi người dùng chỉ sử
dụng các tài nguyên, dịch vụ được phép
• Toàn vẹn dữ liệu: đảm bảo dữ liệu không bị thay đổi hay bị
xóa đi bởi người không có thẩm quyền.
• Bảo mật dữ liệu: Các thông tin nhạy cảm cần đảm bảo không
bị phát hiện bởi những người khác.
• Quản lý khóa: liên quan đến các vấn đề cấp phát khóa, xác
thực, tạo ra phiên bản bảo mật.

4

không dấu có tên chủ thể và khoá công khai.
grid-cert-request –(user/host) tên-đối-tượng
• Các thể lựa chọn –user hay –host để thực hiện chứng thực với
người dùng hay host.
• Một tên mặc định (Giấy chứng nhận đối tượng) sẽ được hiển
thị cho người sử dụng như là một phần của thông điệp.
• Lệnh grid-cert-request có thể yêu cầu tạo một mật khẩu, mà
sẽ được sử dụng để mã hóa khóa riêng và phải được người
dùng ghi nhớ.
8
Các File được tạo ra bởi lệnh
grid-cert-request
• Ba file được tạo ra bởi lệnh grid-cert-request trong thư mục của người
dùng globus, cụ thể là:

(user/host)cert_request.pem
(user/host)key.pem
Empty file: (user/host) cert.pem

(user/host)cert_request.pem - có thể được coi như là một chứng chỉ chưa
ký có tên chủ thể (user/host) và khoá công khai.

(user/host)key.pem (private key) – nơi chứa khóa bí mật

(user/host)cert.pem - một nơi giữ chỗ cho giấy chứng nhận đã ký kết sẽ
được đặt sau này.
9
Gửi các yêu cầu chứng thực tới
Server CA
• File (user/host)rcert_request.pem cần được gửi đến

Lưu đồ thực hiện việc chứng thực
của SimpleCA
13
Các file dùng cho chứng thực
• Cuối cùng chúng ta có các file chứng thực sau trên
máy tính:
• Với một user:
– User’s private key: userkey.pem
– User’s signed certificate: usercert.pem
• Với một máy tính (host):
– Host’s private key: hostkey.pem
– Host’s signed certificate: hostcert.pem 14
Ánh xạ người dùng Grid với các
Account cục bộ trên máy tính
• Mỗi người dùng sẽ được gắn với những tài khoản (Account)
cục bộ khác nhau, các ủy nhiệm thư hoặc các tài khoản khác
nhau trên các vùng khác nhau nhằm phục vụ cho quá trình theo
dõi cũng như điều khiển truy cập mà được áp dụng cho từng
vùng ở các vị trí cụ thể.
• Tại một số vùng, một người dùng có thể có tài khoản thông
thường. Tại các vùng khác, người dùng có thể sử dụng tài
khoản guest hoặc là một tài khoản được cấp bởi tổ chức đó.
• Tài nguyên lưới và người dùng có thể nằm ở những vùng khác
nhau tại những quốc gia khác nhau.

15
Accounts ủy quyền

Ví dụ trong file gridmap
18
Ví dụ người dùng grid với tên bob
19
Cập nhật file gridmap
• Để lấy thông tin tên người dùng được xác thực grid, dùng lệnh
grid-cert-info.

grid-cert-info -subject -f /home/student1/.globus/usercert.pem

/O=Grid/OU=GlobusTest/OU=simpleCA-coit-
grid02.uncc.edu/OU=uncc.edu/CN=student1

• Cập nhật tên người dùng này với Account local trong file
gridmap sử dụng lệnh:
grid-mapfile-add-entry
20
Thực thi việc ánh xạ
• File gridmap so sánh để truy cập vào access control lists,
nhưng chỉ cung cấp tên tài khoản ánh xạ và tên truy cập.
• Hệ thống không cung cấp các loại quyền cụ thể của truy cập
(cấp quyền truy cập, đọc / ghi / thực hiện, thành viên nhóm…)
• Người sử dụng quyền truy cập sẽ xuất phát từ danh sách truy
cập hệ thống kiểm soát local.
• Nói chung, cần cơ chế mạnh hơn để kiểm soát kiểu truy cập.

21
Cơ chế ủy quyền
• Cơ chế ủy quyền - Delegation, Proxy
• Người dùng có thể ủy quyền lại cho một chương trình trong


Proxy thông tin bao gồm:

Proxy certificate (với khóa công khai của nó) và
Proxy private key.

Tiêu đề của Giấy chứng nhận proxy là bản sắc của đơn vị cho cơ quan
proxy với / proxy = CN hoặc / CN = <number> thêm vào tên để chỉ ra rằng
giấy chứng nhận là một chứng chỉ proxy.