Chương 6
Một số vấn đề bảo mật
khi cài đặt GT4
Giảng viên: TS Đàm Quang Hồng Hải
TÍNH TOÁN LƯỚI
2
Bảo mật môi trường Lưới
• Bảo mật là yếu tố rất quan trọng trong bất cứ hệ thống nào,
nhất là đối với hệ thống phân tán gồm nhiều tài nguyên và
người sử dụng nằm rải rác nhiều nơi.
• GT4 và các công cụ liên quan cung cấp nền tảng bảo mật hoàn
chỉnh không chỉ đối với truyền thông trên mạng mà còn đối với
các tài nguyên (chính sách chia sẻ) và người dùng (xác thực và
phân quyền).
• GT4 cho phép thiết lập 1 hệ thống bảo mật cao, mở, và uyển
chuyển nhằm bảo vệ thông tin, xác thực và phân quyền người
dùng, đại diện và ủy quyền.
3
Bảo mật trong GT4
• Xác thực, đăng nhập (Authentication): thẩm định tính hợp lệ
của người được khai báo và định danh người này là ai.
• Quyền hạn (Access Control): đảm bảo mỗi người dùng chỉ sử
dụng các tài nguyên, dịch vụ được phép
• Toàn vẹn dữ liệu: đảm bảo dữ liệu không bị thay đổi hay bị
xóa đi bởi người không có thẩm quyền.
• Bảo mật dữ liệu: Các thông tin nhạy cảm cần đảm bảo không
bị phát hiện bởi những người khác.
• Quản lý khóa: liên quan đến các vấn đề cấp phát khóa, xác
thực, tạo ra phiên bản bảo mật.

4

Mô hình một cơ quan cấp chứng nhận duy
nhất với nhiều cơ sở đăng ký
5-1.4
5
Phần mềm SimpleCA
• Phần mềm SimpleCA là phần mềm được xây dựng
bởi VPN Consortium thực hiện việc chứng thực trên
mạng.
• SimpleCA là một phần của bộ công cụ Globus và có
thể được cài đặt dễ dàng.
• Về cơ bản bộ công cụ OpenSSL được dùng để chuyển
giao giấy chứng thực với Globus.
• Bộ công cụ OpenSSL có thể được sử dụng trực tiếp.
6
Nhận được giấy chứng nhận sử
dụng lệnh của GT4
• Trước tiên, cần phải tạo ra một cặp khoá công khai/bí mật
riêng.
dùng lệnh grid-cert-request tại máy người dùng
• Thực tế người dùng không thực sự cần khóa công khai riêng
với giấy chứng nhận của mình vì là nơi cấp chứng nhận sẽ giữ
khóa công khai,
• Sau quá trình chứng thực, người dùng sẽ có được khoá bí mật
và giấy chứng nhận được ký.
• Quá trình xác lập các chứng thực sẽ được thực hiện trong quá
trình cài đặt GT4
7
Lệnh grid-cert-request
• Lệnh grid-cert-request sẽ tạo ra một cặp khoá riêng và một
giấy chứng nhận chưa ký, có nghĩa là, một giấy chứng nhận

không dấu có tên chủ thể và khoá công khai.
grid-cert-request –(user/host) tên-đối-tượng
• Các thể lựa chọn –user hay –host để thực hiện chứng thực với
người dùng hay host.
• Một tên mặc định (Giấy chứng nhận đối tượng) sẽ được hiển
thị cho người sử dụng như là một phần của thông điệp.
• Lệnh grid-cert-request có thể yêu cầu tạo một mật khẩu, mà
sẽ được sử dụng để mã hóa khóa riêng và phải được người
dùng ghi nhớ.
8
Các File được tạo ra bởi lệnh
grid-cert-request
• Ba file được tạo ra bởi lệnh grid-cert-request trong thư mục của người
dùng globus, cụ thể là:

(user/host)cert_request.pem
(user/host)key.pem
Empty file: (user/host) cert.pem

(user/host)cert_request.pem - có thể được coi như là một chứng chỉ chưa
ký có tên chủ thể (user/host) và khoá công khai.

(user/host)key.pem (private key) – nơi chứa khóa bí mật

(user/host)cert.pem - một nơi giữ chỗ cho giấy chứng nhận đã ký kết sẽ
được đặt sau này.
9
Gửi các yêu cầu chứng thực tới
Server CA
• File (user/host)rcert_request.pem cần được gửi đến

server CA để chứng thực.
• Thông thường, các tập tin này được gửi bằng email
đến các quản trị viên của server CA – tuy nhiên khi
cài đặt GT4 thì copy trực tiếp tới máy CA.
• Chú ý: Lệnh grid-cert-request sẽ có một thông báo
cho người sử dụng biết phải làm gì.
10
Công việc thực hiện tại server CA
• Sau khi nhận được yêu cầu, người quản trị server CA sẽ chạy
lệnh grid-ca-sign-in:

grid-ca-sign-in (user/host)cert_request.pem -out
(user/host)cert.pem
• Lệnh grid-ca-sign-in sẽ yêu cầu sử dụng nhập mật khẩu để mã/
giải mã khóa riêng của giấy chứng nhận quyền.
• Lệnh grid-ca-sign-in sẽ ký giấy chứng nhận (user/host)cert.pem
(trong câu lệnh được hiển thị).

11
Gửi trả yêu cầu từ server CA
• Người quản trị server CA sẽ gửi trả lại giấy chứng nhận đã ký
cho người dùng, thường là bằng email hoặc copy file khi cài
đặt GT4.
• Người dùng sau đó thay thế file (user/host)cert.pem trống với
tập tin này (đổi tên nó là (user/host) cert.pem).
• Chú ý: có những cách khác của việc ký giấy chứng nhận cho
người sử dụng như bao gồm cả tài khoản quản trị cho phép
người dùng truy cập để tải về tập tin vào tài khoản người
dùng…
12

Lưu đồ thực hiện việc chứng thực
của SimpleCA
13
Các file dùng cho chứng thực
• Cuối cùng chúng ta có các file chứng thực sau trên
máy tính:
• Với một user:
– User’s private key: userkey.pem
– User’s signed certificate: usercert.pem
• Với một máy tính (host):
– Host’s private key: hostkey.pem
– Host’s signed certificate: hostcert.pem


14
Ánh xạ người dùng Grid với các
Account cục bộ trên máy tính
• Mỗi người dùng sẽ được gắn với những tài khoản (Account)
cục bộ khác nhau, các ủy nhiệm thư hoặc các tài khoản khác
nhau trên các vùng khác nhau nhằm phục vụ cho quá trình theo
dõi cũng như điều khiển truy cập mà được áp dụng cho từng
vùng ở các vị trí cụ thể.
• Tại một số vùng, một người dùng có thể có tài khoản thông
thường. Tại các vùng khác, người dùng có thể sử dụng tài
khoản guest hoặc là một tài khoản được cấp bởi tổ chức đó.
• Tài nguyên lưới và người dùng có thể nằm ở những vùng khác
nhau tại những quốc gia khác nhau.

15
Accounts ủy quyền

• Người dùng cần được ủy quyền để truy cập vào một nguồn tài
nguyên có nghĩa người dùng cần một tài khoản để truy cập.
• Trong hệ thống thông thường, các tài khoản chỉ cần thiết lập
bằng tay (sử dụng một scrip, một cơ chế tự động để tạo và quản
lý các tài khoản này rất cần thiết).
• Có thể sử dụng một cơ sở dữ liệu mạng có thể truy cập được
(LDAP) có danh sách người dùng và đặc quyền của truy cập,
và kết hợp các định dạng tên phân biệt tại chuẩn X-509.
16
Ánh xạ giữa người dùng được xác thực
Grid với Account local
• File chứa anh xạ: gridmap
• Để sử dụng được tài nguyên trên máy, Grid yêu cầu ánh
xạ giữa người dùng được xác thực grid với người dùng
local.
• Mỗi người sử dụng trong file danh sánh có dạng trong 1
dòng:
Distinguished_name local_user_account_name

17

"/O=Grid/OU=GlobusTest/OU=simpleCA-coit-
grid02.uncc.edu/OU=uncc.edu/CN=student1" student1

• Các tên được đặt trong dấu ngoặc kép để cho phép các người dùng
đã được xác thực trong Grid.
• Thông tin cần chính xác với cách xuất hiện trong giấy chứng nhận
của người dùng.
• GSI sử dụng file gridmap đã được thành lập nhằm kiểm soát việc
người dùng truy cập tài khoản

Ví dụ trong file gridmap
18
Ví dụ người dùng grid với tên bob
19
Cập nhật file gridmap
• Để lấy thông tin tên người dùng được xác thực grid, dùng lệnh
grid-cert-info.

grid-cert-info -subject -f /home/student1/.globus/usercert.pem

/O=Grid/OU=GlobusTest/OU=simpleCA-coit-
grid02.uncc.edu/OU=uncc.edu/CN=student1

• Cập nhật tên người dùng này với Account local trong file
gridmap sử dụng lệnh:
grid-mapfile-add-entry
20
Thực thi việc ánh xạ
• File gridmap so sánh để truy cập vào access control lists,
nhưng chỉ cung cấp tên tài khoản ánh xạ và tên truy cập.
• Hệ thống không cung cấp các loại quyền cụ thể của truy cập
(cấp quyền truy cập, đọc / ghi / thực hiện, thành viên nhóm…)
• Người sử dụng quyền truy cập sẽ xuất phát từ danh sách truy
cập hệ thống kiểm soát local.
• Nói chung, cần cơ chế mạnh hơn để kiểm soát kiểu truy cập.

21
Cơ chế ủy quyền
• Cơ chế ủy quyền - Delegation, Proxy
• Người dùng có thể ủy quyền lại cho một chương trình trong

một khoảng thời gian xác định truy cập đến các loại tài nguyên
mà anh ta được phép sử dụng.
• Chương trình này cũng có thể ủy quyền có điều kiện một phần
các tập quyền của nó cho chương trình con khác.
• Hệ thống mạng Grid phải hiểu, kiểm soát chặt chẽ và đáp ứng
tốt cơ chế ủy quyền này một cách trong suối đối với chương
trình được trao ủy quyền.
22
23
Cơ chế ủy quyền (Delegation)
• Một quá trình cho phép một đối tượng (ví dụ như một máy
tính) để thay mặt mình thực hiện các công việc trên lưới.
• Cơ chế giải quyết yêu cầu về đăng nhập một lần (single sign-
on) của một hệ thống Grid nhằm giảm số lần phải gõ password
của người dùng khi sử dụng nhiều tài nguyên Grid có yêu cầu
chứng thực.
• Cùng với Delegation là đăng nhập một lần, cho phép một người
dùng nhập và các agents của mình để có được các nguồn lực bổ
sung mà không cần xác thực lặp đi lặp lại bởi người sử dụng
(có nghĩa là, gửi mật khẩu/cụm mật khẩu).
24
Ví dụ cơ chế ủy quyền
25
Proxy Certificates
• Một cách thực hiện phân giới thiệu của Globus.
Được sử dụng rộng rãi trong GSI.

Proxy giấy chứng nhận, (proxy) cho tài nguyên sở hữu proxy quyền hành
động thay cho bạn, cũng giống như bỏ phiếu proxy có thể được sử dụng cho
một người nào đó để đặt một cuộc bỏ phiếu thay cho bạn.


Proxy thông tin bao gồm:

Proxy certificate (với khóa công khai của nó) và
Proxy private key.

Tiêu đề của Giấy chứng nhận proxy là bản sắc của đơn vị cho cơ quan
proxy với / proxy = CN hoặc / CN = <number> thêm vào tên để chỉ ra rằng
giấy chứng nhận là một chứng chỉ proxy.