Skip to main content
QUICK REVIEW

[논문 리뷰] GridCertLib: a Single Sign-on Solution for Grid Web Portals

Riccardo Murri, Peter Kunszt|arXiv (Cornell University)|2011. 01. 21.
Distributed and Parallel Computing Systems참고 문헌 11인용 수 2
한 줄 요약

GridCertLib는 Shibboleth SAML 인증과 SLCS 인증서 서비스를 활용하여 단일 로그온을 가능하게 하는 자바 라이브러리로, 개인 키를 노출시키지 않고 일시적인 X.509 인증서와 VOMS 프oxy를 발급한다. 사용자가 개인 키를 직접 관리할 필요가 없게 되어 웹 기반 인터페이스를 통해 격자 자원에 원활하고 안전하게 액세스할 수 있다.

ABSTRACT

Abstract This paper describes the design and implementation of GridCertLib, a Java libraryleveraging a Shibboleth-based authentication infrastructure and the SLCS online cer-tificate signing service, to provide short-lived X.509 certificates and Grid proxies.The main use case envisioned for GridCertLib, is to provide seamless and secureaccess to Grid X.509 certificates and proxies in web applicat ions and portals: when auser logs in to the portal using SAML-based Shibboleth authentication, GridCertLibuses the SAML assertion to obtain a Grid X.509 certificate fro m the SLCS service andgenerate a VOMS proxy from it.We give an overviewof the architecture of GridCertLib and briefly describe its pro-gramming model. Its application to some deployment scenarios is outlined, as well asa report on practical experience integrating GridCertLib into portals for Bioinformat-ics and Computational Chemistry applications, based on the popular P-GRADE andDjango softwares. 1 Introduction Most Grid computing middleware in production use today relies on X.509 certificateproxies [44] for user authentication. This has been an issue when implementing web-based interfaces to Grid computingfacilities: in orderto generate a proxy, a copy of theX.509 private key is needed together with the passphrase used to encrypt it. However,uploadingthe public/privatekeypair to a web portal is undesirableon security grounds.Several solutions and workarounds have been implemented (see Section 2 below), butnone of them can be considered entirely satisfactory: either because they do not fullyaddress the security concerns, or because they require end users to take multiple steps,possibly through different and unrelated user interfaces (e.g. a web portal and UNIXshell commands).1

연구 동기 및 목표

  • 웹 포털에서 격자 X.509 프록시를 발급하는 데 있어 보안성과 사용성 문제를 해결하기 위해.
  • 사용자가 개인 키를 업로드하거나 인증을 위해 여러 인터페이스를 사용할 필요를 제거하기 위해.
  • 표준 SAML 기반 단일 로그온을 사용하여 격자 인증을 웹 애플리케이션에 원활하게 통합하기 위해.
  • SAML 암호화 조건에서의 일시적인 격자 프록시를 자동으로 생성하는 안전한 방법을 제공하기 위해.
  • 생물정보학 및 계산 화학 애플리케이션을 위한 과학 포털에 배포 가능하도록 지원하기 위해.

제안 방법

  • 사용자 신원 확인 조건을 확보하기 위해 Shibboleth를 활용한 SAML 기반 인증에 통합한다.
  • SAML 조건에 기반하여 SLCS 서비스를 사용해 일시적인 X.509 인증서를 발급한다.
  • 발급된 X.509 인증서에서 VOMS 프록시 인증서를 생성하여 격자 액세스를 위해 사용한다.
  • 개인 키를 노출시키지 않고도 인증서 생성을 처리할 수 있는 보안적인 서버 측 자바 라이브러리를 활용한다.
  • P-GRADE 및 Django와 같은 기존 웹 프레임워크와의 통합을 지원한다.
  • 포털 로그인에 성공한 후 자동으로 프록시를 생성하여 수동 단계를 제거한다.

실험 결과

연구 질문

  • RQ1개인 키 노출 없이 웹 기반 포털에서 안전하고 자동으로 격자 프록시를 생성할 수 있는 방법은 무엇인가?
  • RQ2SAML 기반 단일 로그온 프로세스를 효과적으로 확장하여 격자 컴퓨팅을 위한 일시적인 X.509 인증서를 발급할 수 있는가?
  • RQ3실제 과학 포털에 이러한 솔루션을 통합할 때 발생하는 실용적 과제와 이점은 무엇인가?
  • RQ4기존의 프록시 생성 방법에 비해 제안된 솔루션이 사용성과 보안성에서 어떻게 향상되는가?
  • RQ5이 솔루션은 다양한 과학 애플리케이션 도메인 간에 얼마나 재사용 가능한가?

주요 결과

  • GridCertLib는 개인 키 노출 없이 일시적인 X.509 인증서와 VOMS 프록시를 발급하여 격자 포털에서 안전한 단일 로그온을 성공적으로 구현한다.
  • 사용자가 개인 키를 관리하거나 셸 명령어를 실행할 필요가 없어져 사용성과 보안성이 향상된다.
  • P-GRADE 및 Django 기반 포털에서의 실질적 배포 사례를 통해 기존 인증 워크플로우와 안정적이고 신뢰할 수 있는 통합이 가능함을 입증했다.
  • 로그인 시 자동으로 프록시를 생성하는 아키텍처는 과학 계산 워크플로우에서 사용자 간섭을 줄였다.
  • SLCS를 사용한 인증서 서명은 생산 환경에서 신뢰성과 취소 기능을 보장한다.
  • 기존의 X.509 프록시 인증서에 의존하는 격자 미들웨어와의 호환성을 유지한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.