Remidi Grid Computing1 (awang Prayogo 15.0504.0074).docx

Remidi Grid Computing Dosen : Setiya Nugroho, M.Eng. Nama : Awang Prayogo Npm : 15.0504.0074 Penelitian Tentang Teknologi Akses Tepercaya Dari Sumber Daya Grid Berdasarkan Pada Mesin Virtual

1. Pengenalan

Grid [1] adalah salah satu jenis komputasi terdistribusi teknologi, yang mewujudkan pembagian sumber daya dan lingkungan komputasi dengan cara integrasi sumber daya komputasi dalam berbagai lokasi fisik. Komponen dasar dari grid adalah Organisasi Virtual (VO). VO didistribusikan sumber daya komputasi dalam berbagai geografis lokasi atau organisasi. melalui infrastruktur jaringan. VOs menyadari itu koordinasi dan kombinasi sumber daya yang dinamis VO berbeda dalam kepercayaan yang berbeda dan wilayah manajemen. Hubungan tepercaya perlu dibangun di antara yang berbeda wilayah VO satu sama lain sebelum satu VO perlu mengakses sumber daya milik VO lain. GSI (Grid Security Infrastructure) [3] adalah dasar paket komponen keamanan yang diperkenalkan oleh Globus, dan itu juga salah satu solusi utama untuk saat ini keamanan jaringan. GSI, berdasarkan pada sistem PKI, menggunakan sertifikat berdasarkan standar X.509 dan SSL protokol komunikasi. GSI menyadari banyak jenis mekanisme keamanan, seperti otentikasi, otorisasi, enkripsi, agen sertifikat, dan Sistem Masuk Tunggal (SSO). Saat ini, teknologi otentikasi dalam grid adalah terutama antar entitas dalam grid, seperti mutual otentikasi antara pengguna atau pengguna dan sumber daya manajer, tidak banyak tentang keamanan local platform komputasi. Jika keamanan komputasi platform tidak dapat dijamin, keamanan komputasi dan otentikasi lainnya pada komputasi Platform juga tidak bisa dipercaya. Keamanan grid menekankan skalabilitas, interoperabilitas dan kepercayaan, di antaranya kepercayaan adalah dasar. Jika platform dan sumber daya komputasi grid tidak dapat dipercaya, dan bahkan mengandung perangkat lunak berbahaya (malware), penggunaan dan promosi grid akan dilakukan diblokir pasti. Sebaliknya, jika masing-masing platform perhitungan bergabung dengan grid dan sumber daya yang disediakan dapat dijamin tepercaya, dan platform komputasi dapat saling membuktikan, itu akan terjadi membantu untuk memecahkan banyak masalah keamanan jaringan. Makalah ini akan fokus pada Komputasi Tepercaya Platform Konstruksi berdasarkan teknologi virtual mesin, mekanisme akses tepercaya berdasarkan pada TNC dan pengesahan timbal balik platform komputasi tepercaya berdasarkan pada mesin virtual.

2. Penelitian terkait Penelitian tentang keamanan jaringan berkembang secara bertahap dengan perkembangan teknologi grid. Di awal era teknologi grid, Globus Toolkit2 diperkenalkan GSI sebagai infrastruktur keamanan. Dengan puasa pengembangan teknologi grid, banyak metode baru telah diperkenalkan, seperti agen, otorisasi deligate, otentikasi grup dan Layanan Web teknologi keamanan. Open Grid Forum (OGF), sebagai forum organisasi yang berwibawa di bidang grid komputasi, telah membentuk Open Grid Service Kelompok Kerja Otorisasi Arsitektur (OGSA AUTHZ-WG), Kelompok Studi Masalah Firewall (FI-RG) dan Kelompok Studi Komputasi Tepercaya (TC-RG), dan mengembangkan sejumlah standar yang terkait dengan grid keamanan. Mesin Virtual (VM) direferensikan ke sejumlah lingkungan komputasi virtual (termasuk virtual CPU, memori, bus, dan hard disk) dibuat pada satu lingkungan perangkat keras. Teknologi virtual bisa jadi dibagi menjadi Para-virtualisasi dan Full-virtualisasi, sesuai dengan apakah perlu mengubah operasi kode sumber sistem. Produk representatif dari teknologi Panvirtualization termasuk Denall, dikembangkan oleh University of Washington, Xen oleh Cambridge Universitas. Produk representatif dari teknologi Fullvirtualization termasuk IBM VM / 370, VMware Workstation, teknologi Intel VanderPool dan teknologi AMD Pacifica. Mesin virtual juga dapat diklasifikasikan menjadi dua kategori: virtualisasi perangkat keras dan perangkat lunak virtualisasi. Teknologi virtualisasi perangkat keras mengintegrasikan proses kompilasi inti ke dalam chip. Virtualisasi perangkat lunak mewujudkan Mesin Virtual Monitor (VMM) pada sumber daya perangkat keras dan peta mereka menjadi beberapa Mesin Virtual. Setiap VM terlihat seperti mesin sungguhan. Masing-masing dapat memiliki sendiri sistem operasi dan menjalankan berbagai aplikasi. Itu produk representatif dari virtualisasi perangkat lunak Terra dikembangkan oleh Universitas Stanford. Perangkat lunak inti Terra disebut Virtual Tepercaya Monitor Mesin (TVMM) [4, 5]. TVMM melakukan virtualisasi sumber daya perangkat keras ke beberapa mesin virtual, yang tidak saling mengganggu. TVMM mendukung dua jenis mesin virtual. Salah satunya adalah Open-box VM, dan yang lainnya adalah VM C1ose-box. Open-box VM adalah open peron. Ini mendukung banyak jenis komersial sistem operasi dan platform perangkat lunak. C1ose-box VM adalah platform tertutup dengan tujuan keamanan khusus aplikasi berjalan. TVMM menyediakan isolasi dan perlindungan terhadap perangkat lunak yang berjalan pada C1osebox VM, menjamin operasinya tidak akan terganggu dengan prosedur lain. Selain itu, ia juga menyediakan otentikasi untuk aplikasi yang berjalan di C1ose-box VM, yang memungkinkan mesin virtual untuk membuktikannya identitas ke aplikasi jarak jauh. TNC SubGroup (TNC-SG) didirikan oleh TCG pada Mei 2004 [6]. Sebagai bagian dari Infrastruktur TCG WorkGroup (IWG), tugas utama TNC adalah untuk mengembangkan dan mempublikasikan standar koneksi jaringan, berdasarkan pada teknologi perhitungan tepercaya, lindungi keamanan dan integritas jaringan, dan hindari ancaman dan kehancuran

yang disebabkan oleh titik akhir yang tidak aman dan peralatan yang mengakses jaringan. Dengan pengembangan dan peningkatan teknologi, banyak produsen yang dikembangkan sesuai dipercaya akses titik akhir sesuai dengan standar ini. Di bulan Mei, 2005, Check Point Corporation mengumumkan itu pengukuran integritas perangkat lunak memeriksa dukungan produk kerangka kerja TNC. Pada tahun 2006, jaringan Juniper perusahaan mengumumkan bahwa solusi Unified-nya Access Control (UAC) mendukung TNC. Qradar, diterbitkan oleh Q1 Labs, dengan manfaat pembukaan TNC,standar, telah mewujudkan interoperabilitas dengan UAC solusi Juniper Corporation. Titik Akhir KEDUTAAN Enforcer, yang diterbitkan oleh Wave Systems Corporation, adalah solusi kontrol akses jaringan berdasarkan standar. Itu, bergabung dengan Juniper Corporation UAC, menyediakan otentikasi platform yang kuat untuk mencegah serangan perangkat lunak berbahaya, dan memperkuat kepercayaan dari titik akhir. PatchLink Corporation adalah pelopor manajemen tambalan otomatis penyedia perangkat lunak. Dalam solusi TNC-nya, PatchLink server promosi dapat membuat manajemen tambalan strategi untuk titik akhir jaringan akses, serta menyediakan perbaikan otomatis untuk titik akhir yang dimiliki telah diisolasi.

3. Skema Teknologi Akses Tepercaya Sumber Daya Grid Berdasarkan Pada Mesin Virtual Skema akses tepercaya yang diusulkan dalam makalah ini adalah berdasarkan pada VM. VM tepercaya diadopsi untuk memastikan kepercayaan platform lokal. Platform komputasi dapat dipastikan terhubung ke jaringan dengan aman oleh Teknologi TNC. Selain itu, integritas, identitas dan kepercayaan kedua

3.1. Platform Komputasi Tepercaya Berdasarkan Mesin Virtual Dalam tulisan ini, teknologi VM tepercaya diadopsi membangun platform komputasi lokal. Selama proses pengesahan jarak jauh, komputasi local platform membangun rantai sertifikat lengkap melalui pengukuran level demi level dari hardware tamperresistant (TPM) bawah [7]. Pengguna akan mengirimrantai sertifikat ke penyedia sumber daya dan melaporkan konfigurasi platform dan jenis aplikasi untuk itu yang akan memverifikasi kepercayaan platform konfigurasi dan aplikasi atas. TPM memiliki sepasang kunci yang bagian pribadinya telah disematkan di TPM secara permanen dan bagian publik telah ditandatangani oleh memproduksi. Untuk proses pengesahan bisa mengarah ke kebocoran identitas platform komputasi lokal, mempertimbangkan privasi, sertifikat kunci publik dari TPM tidak dapat digunakan secara langsung dalam praktik tetapi sebagai alias sertifikat (sertifikat AIK) yang ditandatangani oleh privasi CA adalah digunakan sebagai gantinya. Sertifikat alias tidak hanya dapat bertahan untuk identitas platform komputasi lokal, tetapi juga tidak menemukan informasi privasi local platform komputasi. Dalam komputasi grid konvensional, sertifikat hanyalah bukti keaslian dan validitas identitas pengguna dan itu tidak memberikan bukti untuk perangkat lunak dan konfigurasi perangkat keras platform. Ini dapat menghasilkan proses komunikasi yang tidak aman antara pengguna dan penyedia sumber daya jika perangkat kerasnya dipindahkan atau perangkat lunaknya dirusak. Ketika VM tepercaya adalah diadopsi pada platform lokal, kapasitas komputasi dan sumber daya yang disediakan

oleh platform dapat dibuktikan, untuk platform dibangun dengan cara dan keuntungan tepercaya jaminan dari rantai sertifikat.

Rantai sertifikat lengkap ditunjukkan pada Gambar 1 [8]. Dari bawah ke atas, TPM menandatangani BIOS sendiri kunci pribadi dan kemudian BIOS menandatangani Boot Loader yang mana menandatangani TVMM dimana VM akan ditandatangani sehingga rantai sertifikat lengkap dapat dibangun selangkah demi selangkah langkah. Kepercayaan seluruh sertifikat lengkap rantai dapat dipastikan secara radikal berdasarkan kunci public sertifikat TPM sebagai sertifikat dasar dari keseluruhan rantai sertifikat.

Gambar 1. Rantai sertifikat Rantai sertifikat dapat menjadi bukti lengkap untuk konfigurasi perangkat lunak dan perangkat keras platform lokal, dan karena pembuatan sertifikat bersarang di rantai, integritas pembuatan rantai sertifikat selanjutnya dapat dipastikan sejak verifikasi ke sertifikat komponen atas akan dilakukan oleh kunci pribadi yang lebih rendah. Generasi yang sama proses sertifikat dalam rantai akan mengikuti langkah-langkah seperti ini. Pertama, pasangan kunci harus dihasilkan oleh komponen atas; Kedua, komponen mengirimkan permintaan sertifikat ke komponen bawahnya dengan kunci publik dan data aplikasi yang akan dibuktikan, dan komponen yang lebih rendah menghitung nilai hash dari komponen atas sehingga nilai hash dan public kunci komponen atas akan ditandatangani dengan swasta kunci yang dimiliki oleh komponen yang lebih rendah. Akhirnya, sertifikat akan dikembalikan ke komponen atas. Kasar isi sertifikat dalam rantai dijelaskan dalam Gambar 2.

Gambar 2. Sertifikat dalam rantai

Antarmuka ke otentikasi untuk VM akan menjadi disediakan oleh TVMM selama proses otentikasi dan TVMM akan melakukan langkah-langkah berikut sebelum startup program aplikasi. 1. Sepasang kunci publik / pribadi akan dihasilkan pertama; 2. API ENDORSE akan dihasilkan ke TVMM oleh VM yang kunci publik dan gambar eksekusi yang bisa dibuktikan identitas dirinya dikirim ke TVMM; 3. TVMM menghitung hash gambar eksekusi aktif VM yang kunci privasinya akan digunakan menandatangani hash nilai; 4. TVMM mengirimkan hash setelah tanda tangan, public kunci VM, dan sertifikat kunci publik TVMM ke CA; 5. CA terlebih dahulu memverifikasi nilai hash dengan public kunci TVMM untuk memastikan bahwa aplikasi telah berwenang; 6. Jika verifikasi lulus, sertifikat kunci public format yang sesuai dengan X.509 akan dihasilkan untuk VM oleh CA dan nilai hash VM terkandung di bidang nama umum sertifikat.

Daftar perangkat lunak resmi dan daftar aplikasi telah dilestarikan oleh penyedia sumber daya terlebih dahulu. Nilai hash masing-masing dari TVMM, Boot Loader dan TVMM disimpan di tempat yang diotorisasi daftar perangkat lunak dan nilai hash dari program aplikasi disimpan dalam daftar aplikasi resmi. Kapan penyedia sumber daya menerima rantai sertifikat, jika validasi kepercayaan aplikasi di VM adalah diperlukan, penyedia akan melacak kembali ke TPM berikut rutin yang ditunjukkan dalam rantai sertifikat dan validate the chain from the public key certificate of TPM level by level.

3.2. Akses Tepercaya Sumber Daya Grid Mekanisme Berdasarkan TNC Ketika sumber daya grid pada mesin virtual tepercaya bergabung dengan VO, kepercayaan proses aksesnya akan dijamin oleh teknologi TNC. Teknologi TNC hanya menjamin platform komputasi yang sesuai dengan kebijakan keamanan grid dapat bergabung dengan virtual grid organisasi dan mengisolasi platform komputasi yang tidak sesuai. Sebelum sumber daya jaringan terhubung untuk VO, platform dan lingkungan komputasi pengesahan harus dilakukan terlebih dahulu, sementara untuk periksa apakah mesin VM sesuai dengan grid kebijakan keamanan, yang digunakan untuk memastikan keamanan dan kepercayaan dari sumber daya jaringan local. Infrastruktur koneksi sumber daya jaringan tepercaya mekanisme menunjukkan pada gambar 3. Access Requestor (AR) adalah entitas grid berdasarkan pada mesin virtual tepercaya, yang menyediakan sumber daya ke grid atau mengakses sumber daya kisi-kisi. Titik Penegakan Kebijakan (PEP) adalah jaringan local lingkungan di grid. Poin Keputusan Kebijakan (PDP) adalah pusat manajemen keamanan virtual organisasi.

Integrity Measurement Collector (IMC) disimpan di platform komputasi lokal, yang bertanggung jawab untuk mengumpulkan integritas platform lokal sesuai dengan kebijakan keamanan yang didukung oleh sertifikat karakteristik penyedia sumber daya. Misalnya, untuk melindungi keselamatan lingkungan komputasi, penyedia sumber daya membutuhkan platform komputasi lokal untuk meluncurkan antivirus perangkat lunak dan mulai firewall. IMC adalah peta satu ke satu ke Pengukur Pengukuran Integritas (IMV) di Internet PDP yang fungsinya untuk mengevaluasi keadaan aman dari platform komputasi lokal yang dikumpulkan oleh IMC, hanya jika lingkungan komputasi yang dibutuhkan oleh sumber daya penyedia puas, hak komunikasi antara platform komputasi dan penyedia sumber daya akan diberikan oleh Poin Keputusan Kebijakan (PDP), jika tidak platform komputasi tidak dapat mengunduh sumber daya apa pun dari penyedia sumber daya. Ketika AR meminta untuk bergabung dengan organisasi virtual, langkah otentikasi terperinci adalah sebagai berikut: 1. AR mengirimkan permintaan ke PDP dan mengirimkannya sertifikat sendiri; 2. PDP memverifikasi sertifikat identitas pengguna dan jika verifikasi lulus penyerahan platform sertifikat identitas AR diminta agar otentikasi ke identitas platform AR dapat akan dimulai. Pada saat yang sama, identitas platform sertifikat PDP juga akan dikirimkan ke jaringan entitas untuk membuktikan identitasnya. 3. AR akan mengirimkan sertifikat platformnya ke PDP setelah konfirmasi identitas PDP oleh AR. Platform identitas AR dan PDP dibuktikan oleh AIK sertifikat platform lokal. AR dan PDP dapat membuktikannya keduanya masing - masing memiliki TPM yang valid dan otentik pada peron.

Gambar3. Akses Sumber Daya Kotak Tepercaya Mekanisme Berdasarkan TNC 4. PDP akan memverifikasi integritas platform AR setelah menyelesaikan otentikasi identitas platform dan nilai pengukuran integritas yang telah dikumpulkan oleh AR pada platform lokal sesuai dengan kebijakan yang ditentukan oleh PDP akan diajukan oleh AR. 5. PDP akan memverifikasi nilai pengukuran yang diajukan oleh AR sesuai dengan kebijakan yang telah ditetapkan untuk tentukan apakah nilai sesuai dengan keamanan kebijakan.

6. Jika verifikasi integritas platform juga lulus, maka PDP akan menerima AR yang bergabung dengan virtual organisasi, jika tidak.

3.3. Pengesahan Saling Komputasi Tepercaya Platform Berbasis Mesin Virtual Untuk membuktikan kepercayaan dari komputasi local ingkungan, pengesahan kepercayaan antara masing-masing VM tepercaya kan dilakukan sebelum dimulainya interaksi di antara mereka seperti skema yang diusulkan di koran. Secara konvensional skema otentikasi di grid, entitas grid mengidentifikasi dirinya sendiri melalui sertifikat kunci publik yang ditandatangani oleh CA sesuai dengan X.509. Kunci pribadi yang sesuai adalah disimpan dalam file yang dilindungi oleh kata sandi enkripsi, yang berarti bahwa kata sandi yang benar adalah diperlukan dalam proses otentikasi SSL. Itu beban kerja pengguna akan meningkat sebagian besar jika kata sandi diperlukan di setiap otentikasi. Waktu memasukkan kata sandi dapat dikurangi dengan GSI melalui pembuatan Agen pengguna. Agen akan menghasilkan pasangan kunci baru, sertifikat kunci publik yang akan ditandatangani oleh pengguna atau agen di tingkat atas. Bagian pribadi dari pasangan kunci dapat disimpan dalam polos di sistem file lokal yang lain pengguna tidak dapat mengakses sejak siklus hidup publik baru sertifikat kunci dan kunci pribadi agen sangat pendek. Kunci pribadi terkait dengan identitas penggunam sertifikat dapat ditulis ke TPM yang dilengkapi pada platform komputasi sehingga keamanan pengguna pribadi kunci dapat sangat ditingkatkan. Sementara itu, atribut sertifikat juga diperkenalkan untuk mendeklarasikan atribut persyaratan dan status yang diharapkan dari platform untuk mencapai. Sertifikat atribut untuk setiap komputasi platform akan dihasilkan oleh manajemen keamanan pusat dalam organisasi virtual.

Ketika pelanggan ingin mengunduh komputasi sumber daya dari penyedia sumber daya atau mengembalikan hasil komputasi kembali ke penyedia sumber daya, platform pengesahan antara satu sama lain akan dilakukan. Itu kedua belah pihak akan saling membuktikan identitas masing-masing. Jika otentikasi dilewatkan, pelanggan dan sumber daya penyedia akan menukar sertifikat atribut ke menunjukkan status integritas yang diharapkan dicapai oleh sisi lain. Platform lokal akan mengumpulkan pengukuran integritas platform saat menerima sertifikat atribut dari platform lain, dan atribut yang ditandatangani oleh kunci pribadi AIK adalah ditransfer ke platform lain sehingga komunikasi akan dilanjutkan jika otentikasi berhasil. Proses otentikasi yang dijelaskan di atas adalah dilakukan langkah demi langkah. Kegagalan dalam setiap langkah akan dilakukan proses persidangan berakhir dan mengarah pada kegagalan dari keseluruhan proses otentikasi.

3. Kesimpulan

Teknologi komputasi tepercaya, mesin virtual teknologi dan solusi keamanan jaringan tradisional digabungkan bersama dalam skema yang diusulkan untuk memperpanjang fungsi pengesahan kerangka kerja GSI di grid sumber daya dan menyelesaikan keamanan sumber daya jaringan local masalah mendasar. Lebih jauh lagi, penyebaran virus dan perangkat lunak berbahaya di Grid dapat dicegah secara efektif dan masalah keamanan jaringan lainnya juga bisa dipecahkan di bawah bantuan skema pada saat yang sama. Karena manajemen rantai sertifikat sumber daya Mekanisme ini didasarkan pada kepercayaan transitif dalam kepercayaan komputasi, skema menyelesaikan masalah hasil dari siklus hidup yang singkat dan tidak memadainya manajemen keamanan ada dalam manajemen sertifikat sumber daya sehingga efisiensi dan keamanan manajemen sertifikat juga dapat ditingkatkan secara efektif.