Transcript سطح Grid

‫طبقه بندی موضوع های امنیت ‪Grid‬‬
‫مسلم کاویانی‬
‫محمد رضا کمانکش‬
‫امیر رضا فیاض زاده‬
‫‪1‬‬
‫‪‬‬
‫طبقه بندی امنیت‬
‫امنیت اطالعات‬
‫مجوز دستیابی‬
‫امنیت خدمات‬
‫موضوعات مربوط به امنیت شبکه‬
‫‪‬‬
‫موضوع امنیت میزبان‬
‫‪‬‬
‫مدیریت گواهی نامه ها‬
‫مدیریت صحیح‬
‫مانیتورینگ ( روش های کنترل )‬
‫منابع و ماخذ‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪2‬‬
‫‪ ‬موضوعات مربوط معماری‪:‬‬
‫‪ ‬امنیت اطالعات ‪،‬امنیت عمومی‪،‬شناسایی‪،‬وکالت (‪) SSO‬‬
‫‪ ‬مجوز دستیابی ‪ ،‬سطح سیستم عامل مجازی‪ ،‬سطح منابع‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫خدمات ‪QOS ، DOS ،‬‬
‫موضوعات مربوط به زیر بنا‪:‬‬
‫میزبان‪،‬حفاظت از داده ها‪،‬گرسنگی کار‬
‫شبکه‪،‬کنترل دستیابی‪،‬مسیر یابی‪،‬حسگر های‪، Grid‬چندگانگی سرعت باال‬
‫موضوعات مربوط به مدیریت‪:‬‬
‫‪ ‬الف) مدیریت گواهی نامه ها(صالحیت ها )‪ ،‬مخازن‪،‬اشتراک گذاری‬
‫‪‬‬
‫ب) مدیریت صحیح‪،‬ایجاد صحیح‪،‬انتقال صحیح‪،‬مدیریت صحیح‬
‫‪ ‬ج) سیستم‪ ،‬سطح کالستر‪ ،‬سطح ‪Grid‬‬
‫‪3‬‬
‫‪ ‬امنیت اطالعات‪:‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪4‬‬
‫موضوعات امنیتی مرتبط ‪ ،‬شامل موضوعاتی می شود که در طی ارتباط بین دو (‪ )2‬موجود‬
‫اتفاق می افتد‪ .‬این شامل موضوعات محرمانه و یکپارچگی می شود‪.‬‬
‫محرمانه بودن ‪ ،‬یعنی اینکه اطالعاتی که بوسیله استفاده کنندگان رد و بدل می شوند باید‬
‫فقط در دسترس گیرنده های مجاز باشند و یکپارچگی یعنی تمامی داده های دریافت شده‬
‫باید فقط توسط ارسال کنندگان ‪ ،‬ارسال و اصالح شود‪.‬‬
‫موضوعات حساس ی در تمام حوزه ای محاسبات و ارتباطات وجود دارند ‪ ،‬در ‪Grid‬‬
‫‪ Computing‬فوق العاده حساس شده و دلیل آن نا متجانس بودن و طبیعت توزیع‬
‫شدن موجودیت های درگیر در آنجاست‪.‬‬
‫در حوزه ی ‪ ، Grid Computing‬محققان و پژوهشگران با همدیگر ‪( GGF‬همایش‬
‫عمومی ‪ ) Grid‬را که اکنون ‪ OGF‬می خوانند ایجاد کرده اند‪ .‬آنها همچنین یک استاندارد‬
‫باز بنام ‪ OGSA‬را انتشار کرده اند‪ .‬یک الیه از ‪ OGSA‬الیه ی ‪ GSI‬است که بیشتر‬
‫اطالعات امنیتی ‪ Grid‬را پوشش می دهد‪ ، GT .‬نیز یک منبع اجرایی باز از ‪OGSA‬‬
‫است‪.‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪5‬‬
‫مجوز دستیابی‪:‬‬
‫یکی دیگر از موضوعات امنیتی ‪ ،‬مجوز دستیابی است‪ .‬سیستم ‪ Grid‬همچنین‬
‫منابع مورد نیاز گواهی و سیستم شناسایی گواهی را مانند هر سیستم دیگر به‬
‫اشتراک گذاشته است ‪ .‬یعنی این برای سیستم هایی که منابع را بین دپارتمان های‬
‫مختلف یا سازمان ها به اشتراک میگذارندو نمونه های مصرف منابع به صورت‬
‫گسترده بسیار مهم است‪ .‬هر قسمت می تواند بطور داخلی گواهی کاربری دستیابی به‬
‫منبع را داشته باشد‪ .‬سیستم های شناسایی می تواند به دو(‪ )2‬دسته تقسیم شوند‪:‬‬
‫سیستم های سطح ‪VO‬‬
‫سیستم های سطح منبع‬
‫سازمان مجازی یا سیستم های سطح ‪ Vo‬یک سیستم مرکزی شناسایی دارند که‬
‫صالحیت کاربران را برای دستیابی به منابع فراهم می کند‪.‬‬
‫سیستم های شناسایی سطح منبع ‪ ،‬از طرف دیگر به کاربران با استفاده از نمایش‬
‫صالحیت ‪ ،‬اجازه دستیابی به منبع را می دهد‪.‬‬
‫‪ ‬امنیت خدمات‪:‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪6‬‬
‫یکی از مهم ترین تهدید های امنیت موجود در زیر بنا ها ‪ ،‬خدمات اختالل مغرضانه‬
‫توسط دشمن هاست ‪.‬بیشتر این مثال ها در فضای اینترنت و جایی که سرور ها و‬
‫شبکه در پایین تر و دارای یک مقدار زیاد از ترافیک شبکه و کاربران هستند ‪ ،‬بکار می‬
‫روند‪.‬‬
‫موضوع امنیت سطح خدمات ‪ Grid‬می تواند به اجزا ء کوچکتر و دو (‪ )2‬نوع اصلی‬
‫تقسیم شود‪:‬‬
‫موضوع نقض ‪QOS‬‬
‫موضوع مربوط به ‪DOS‬‬
‫موضوع اول راجع به نقض عمدی ‪ Qos‬است که توسط دشمنان با متراکم کردن و‬
‫به تاخیر انداختن منابع انجام می گیرد ولی دومی خطرناک تر است و در جایی که‬
‫دسترس ی به خدمات مطمئن مطرح است بکار برده می شود‪.‬‬
‫‪ ‬موضوعات مربوط به امنیت شبکه‪:‬‬
‫‪ ‬در بافت ‪ ، Grid Computing‬موضوعات مربوط به امنیت شبکه ‪ ،‬وظیفه‬
‫اصلی را برای افزایش سرعت اجرای برنامه های کاربردی بر عهده دارند‪ .‬کنترل‬
‫دستیابی و انزوا ( ایزوله کردن ) از نیازمندی های اساس ی برای کنترل ترافیک موجود‬
‫در شبکه های تحت ‪ Grid‬می باشند ‪ .‬در این حوزه ‪ ،‬مجموعه ای از تکنولوژی‬
‫های ‪ Grid‬با ‪Vpn‬و تکنولوژی های دیواره آتش (‪ ) Fw‬مهم بنظر می‬
‫رسد‪.‬حمالت در مسیر یابی شامل حمالت اتصال و حمالت مسیر یاب ممکن است‬
‫باعث ایجاد خرابی اساس ی شوند‪ .‬چند پراکنی ( ایستگاه های شبکه ) یک لغت مهم‬
‫در مورد پخش اطالعات و احیانا برای شبکه های ‪ Grid‬در آینده مهم بنظر برسد‪.‬‬
‫‪ ‬اثبات عضو ‪ ،‬مدیریت کلید و اثبات منبع از موضوعات امنیتی مهم در چندپراکنی به‬
‫شمار می روند ‪ .‬از دیگر موضوعات مورد عالقه در شبکه های ‪ ،Grid‬مجموعه ای‬
‫از سنسور ها ی شبکه ای با تکنولوژی ‪ Grid‬است‪.‬‬
‫‪7‬‬
‫‪ - ‬موضوع امنیت میزبان‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪8‬‬
‫موضوعات امنیتی سطح میزبان ‪ ،‬موضوعاتی هستند که یک میزبان را ‪ ،‬راجع به ملحق کردن خودش به سیستم ‪، Grid‬‬
‫نگران می سازد‪ .‬زیر موضوعات اصلی این بخش عبارتند از ‪ :‬محافظت داده ها و گرسنگی کار‬
‫محافظت ممکن است حفاظت از داده ها ی میزبان در برابر یک ویروس یا کرم کامپیوتری باشد‪.‬‬
‫راه حلهای مربوط به موضوعات امنیتی میزبان‬
‫حفاظت از داده ها‬
‫راه حلها در این فضا از ایزوله کردن ( انزوا) استفاده می کنند که داده ها را به ‪ Grid‬یا کاربرد خاص ی محدود کنن‪.‬‬
‫بعض ی از این راه حلها عبارتند از ‪ :‬گودال ( جعبه ) سطح کاربردی ‪ ،‬مجازی سازی و گودال ( جعبه )‬
‫راه حل اول ‪ ،‬را ه حلی است جهت اثبات کاربرد رمز ( ‪ ) PCC‬جایی که از مولد های رمز ‪ ،‬بنا به دالیل امنیتی درخواست‬
‫تولید رمز می شود که آنها را در رمز تدوین شده ‪ ،‬بکار برند‪.‬‬
‫راه حل دوم ‪ ،‬ساخت ماشین های مجازی ( ‪ ) VM‬روی ماشین های فیزیکی است ‪ ،‬که نتیجه دارای انزوای قوی است‪.‬‬
‫راه حل سوم ‪ ،‬که آن را به دام انداختن ( گودال ) گویند ‪ ،‬با استفاده از این گودال از دستیابی به داده ها و حافظه مبنی بر‬
‫خط مش ی مطمئن جلوگیری می کنند‪.‬‬
‫گرسنگی کار‬
‫راه حل هایی که در گرسنگی کار مورد بررس ی قرار می دهند ‪ ،‬بصورت ذخیره سازی پیشرفته و فنون کاهش تقدم طبقه بندی‬
‫می شوند‪ .‬زیر سیستم ذخیره ی پیشرفته ‪ ،‬یک ‪ User‬یک مجموعه از منابع را در یک زمان خاص برای اجرای یکسری کارها‬
‫در خواست می کند‪ .‬منابع بر اساس نوع دسترس ی ‪ ،‬امنیت ‪ Qos ،‬و‪ ..‬ذخیره می شوند‪.‬‬
‫تکنیک کاهش تقدم ‪ ،‬حق تقدم کارهای اجرایی را کاهش می دهد که امکان گرسنگی کاهش یابد‪.‬‬
‫‪ ‬مدیریت گواهی نامه ها ‪:‬‬
‫‪ ‬مدیریت صالحیت ها در بافت ‪ Grid‬بسیار مهم اند ‪ ،‬بطوریکه سیستم های مختلف چند‬
‫گانه وجود دارند که نیاز به گواهی های مختلف برای دستیابی به آنهاست‪.‬سیستم های‬
‫مدیریت صالحیت ‪ ،‬کار ذخیره سازی و مدیریت گواهی ها را برای یکسری از سیستم های‬
‫متنوع دارند و کاربران می توانند به آنها طبق احتیاجشان دستیابی داشته باشند‪ .‬در سیستم‬
‫های مدیریت ‪ Grid‬بصورت معمولی باید مکانیزمی طراحی شود که شامل گواهی های‬
‫داخلی نیز باشد که به این " نیاز آغاز فراخوانی " گویند‪ .‬بطور مشابه ‪ ،‬امنیت و منبع ذخیره‬
‫سازی گواهی ها به یک اندازه مهم اند‪ .‬عالوه بر این ‪ ،‬سیستم های مدیریت گواهی ها باید‬
‫توانایی دستیابی و باز سازی گواهی ها ‪ ،‬مبنی بر نیاز کاربران را داشته باشند‪.‬مقداری از سایر‬
‫احتیاجات مهم برای سیستم ‪ Grid‬عبارتند از ‪:‬‬
‫‪ ‬ترجمه ‪ ،‬وکالت دادن ‪ ،‬کنترل گواهی ها‬
‫‪ ‬بر اساس الزامات فوق ‪ ،‬سیستم های مدیریت گواهی ها اساسا دو (‪ )2‬نوع اند‪:‬‬
‫‪ ‬سیستم های ذخیره گواهی ها ‪ ،‬که کار ذخیره سازی گواهی ها را انجام می دهند‪.‬‬
‫‪ ‬سیستم های به اشتراک گذاری گواهی ها ‪ ،‬که گواهی ها را در سیستم های چند گانه یا حوزه ها به‬
‫اشتراک می گذارند‪.‬‬
‫‪9‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪10‬‬
‫مدیریت صحیح ‪:‬‬
‫یکی دیگر از موضوعات مهم مدیریت که برای آدرس دهی نیازمند است ‪ ،‬اصول مدیریت‬
‫صحیح می باشد‪ .‬مدیریت صحیح ‪ ،‬انحصار به دیجیتال یا سیستم های محاسباتی نیست ‪،‬‬
‫بلکه هر روزه و در هر گره زندگی استفاده می شود‪.‬‬
‫اعتماد یک عامل چند جهته است که به اینکه یک میزبان از مولفه هایی شبیه اعتبار یک‬
‫موجودیت ‪ ،‬خط مش ی ها و عقاید راجع به یک موجودیت استفاده کننده ‪ ،‬بستگی دارد‪.‬‬
‫پس ‪ ،‬بایدمکانیزمی برای درک و مدیریت سطوح مورد اعتمادسیستم ها و اتصاالت جدید‬
‫‪ Node‬های ‪ Grid‬موجود باشد‪.‬‬
‫راه های مدیریت صحیح ‪:‬‬
‫مبنی بر اعتبار ‪ :‬این نوع سیستم ها بر متریک های مطمئن ( فواصل زمانی ) منتج شده از‬
‫اعتبار محلی و اعتبار جهانی یک سیستم یا یک کوجودیت وابسته هستند‪.‬‬
‫مبنی بر خط مش ی ‪ :‬در سیستم های مبنی بر خط مش ی ‪ ،‬موجودیت های مختلف یا‬
‫مولفه های تشکیل دهنده ی سیستم ‪ ،‬معاوضه و مدیریت گواهی ها برای تشکیل‬
‫ارتباط مطمئن ‪ ،‬مبنی بر خط مش ی مطمئن ‪ ،‬انجام می دهند ؛ نخستین هدف چنین‬
‫سیستم هایی ‪ ،‬فعال سازی کنترل دستیابی بوسیله ی تایید صالحیت ها و محدودکردن‬
‫دستیابی به خط مش ی ها ‪ ،‬مبنی بر روابط و خط مش ی های مطمئن است‪.‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪11‬‬
‫مانیتورینگ ( روش های کنترل )‪:‬‬
‫یکی از موضوعات قاطع مدیریت است‪.‬‬
‫کنترل منابع در سناریو های اصلی ‪ Grid‬به دو (‪ )2‬دلیل ضروری است ‪:‬‬
‫اوال‪ :‬سازمان های مختلف یا واحد ها می توانند مبنی بر استفاده ای که دارند ‪ ،‬بار‬
‫شوند‪.‬‬
‫دوما‪ :‬منابع مربوط به اطالعات می توانند برای نظارت یا اهداف مطلوب وارد شوند‪.‬‬
‫مراحل مختلف روش های کنترل عبارتند از ‪:‬‬
‫جمع آوری داده ها‬
‫پردازش داده ها‬
‫انتقال داده ها‬
‫ذخیره سازی و نمایش داده ها‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪12‬‬
‫جمع آوری داده ها شامل ‪ ،‬جمع آوری داده ها در میان سنسور ها ی مختلف‬
‫قرار داده شده ‪ ،‬در نقاط مختلف است‪ .‬جمع آوری داده ها می تواند ایستا‬
‫باشد‪ ،‬مانند ‪ :‬توپولوژی شبکه ‪ ،‬پیکر بندی ماشینی و یا پویا باشد مانند ‪Cpu :‬‬
‫پردازش داده ها شامل ‪ ،‬پردازش و فیلتر کردن داده ها مبنی بر خط مش ی های‬
‫مختلف است‪.‬‬
‫انتقال داده ها شامل ‪ ،‬انتقال داده های محسوس و پردازش شده به موجودیت‬
‫های مختلف است که داده ها باید دارای فرصتی باشند که در سایر بخش ها نیز‬
‫قابل فهم باشند‪.‬‬
‫ذخیره سازی داده ها ‪ ،‬ممکن است داده های پردازش شده یا جمع آوری شده ‪،‬‬
‫ذخیره شوند تا در آینده مورد پردازش قرار گیرند‪.‬‬
‫نمایش داده هاست که باید به شکلی قابل فهم برای تمام بخش های تحت‬
‫پوشش ‪ Grid‬باشد‪.‬‬
‫‪ ‬سیستم های مختلف کنترل ( مانیتورینگ )‬
‫‪ ‬مبنی بر سیستم (بر اساس سیستم )‬
‫‪ ‬مبنی بر کالستر (بر اساس کالستر)‬
‫‪ ‬مبنی بر ‪( Grid‬بر اساس ‪) Grid‬‬
‫‪‬‬
‫‪ ‬سطح سیستم ‪ :‬شامل جمع آوری و انتقال اطالعات به سیستم های مستقل یا شبکه ها می باشد‪ .‬جهت‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪13‬‬
‫کنترل شبکه ‪ ،‬پروتکل ‪ SNMP‬یک مثال برای مدیریت و کنترل ابزار های شبکه است‪.‬‬
‫سطح کالستر ‪ :‬سیستم های کنترلی سطح کالستر معموال بطور همگن در طبیعت وجود دارند و نیاز به‬
‫استقرار در عرض کالستر یا یک مجموعه از کالستر ها برای کنترل دارند‪.‬‬
‫سطح ‪ : Grid‬سیستم کنترلی سطح ‪ Grid‬نسبت به سایر سیستم های کنترلی سطح ‪ Grid‬انعطاف‬
‫پذیر تر و متفاوت است‪.‬‬
‫تعداد زیادی از سیستم های کنترلی سطح ‪ ،Grid‬استاندارد ها و رابط هایی برای ایجاد واسط ‪ ،‬باز یابی‬
‫‪ ،‬جستجو و نمایش اطالعات در فرصت های استاندارد فراهم می کنند‪.‬‬
‫مثال هایی از سیستم های کنترلی سطح ‪ Grid‬عبارتند از ‪:‬‬
‫)‪MDS (Monitoring and Discovery System‬‬
‫)‪MAGI(Managemend of Aadaptive Grid Infrastracture‬‬
:‫ منابع و مآخذ‬
1. Foster I., Kesselman C., The Grid 2 : Blueprint for a new computing 
infrastructure, ELSEVIER, 2004 
2. Jacobi B., Brown M., Fukui K., Trivedi N., Introduction to Grid 
Computing, an IBM Redbook, 2005 
3. IBM Redbooks : www.redbooks.ibm.com

4. Foster I., What is the Grid? A Three Point Checklist, Argonne National 
Laboratory & University of Chicago, 2003 
5. Foster I., Globus Toolkit version 4: Software for service-oriented 
systems, Argonne National Laboratory & University of Chicago, 2006 
6. Open Grid Forum : www.ogf.org 
7. Foster, I. and Kesselman, C. Globus: A Toolkit-Based Grid Architecture. Foster, I. and Kesselman, C. eds. The Grid:
Blueprint for a New Computing Infrastructure, Morgan Kaufmann, 1999, 259-278.
8. Globus Website : www.globus.org 
9. Schopf J. M., Grids: The Top Ten Questions, Mathematics and 
Computer Science Division, Argonne National Lab, Department of 
Computer Science, Northwestern University

10. Grama A., Gupta A., Karypis G., Kumar V., Introduction to parallel 
computing, Addison Wesley, 2003 
11. Wikipedia website : www.wikipedia.com 
12. Foster, I. and Kesselman, C. Computational Grids. Foster, I. and Kesselman, C. eds. The Grid: Blueprint for a New
Computing Infrastructure, Morgan Kaufmann, 1999, 2- 48.
13. IBM Official Website : www.ibm.com 
14. Foster, I., Kesselman, C., Nick, J. and Tuecke, S. The Physiology of the Grid: An Open Grid Services Architecture
for Distributed Systems Integration, Globus Project, 2002. http://www.globus.org/research/papers/ogsa. pdf.
15. Foster, I., Kesselman, C., Tsudik, G. and Tuecke, S. A Security Architecture for Computational Grids. ACM

Conference on Computers and Security, 1998, 83-91.
16. Foster, I., Kesselman, C. and Tuecke, S. The Anatomy of the Grid: Enabling Scalable Virtual Organizations.

International Journal of High Performance Computing Applications, 15 (3). 200-222. 2001.



14