[논문 리뷰] Managing Dynamic User Communities in a Grid of Autonomous Resources
이 논문은 대규모 그리드 컴퓨팅 환경에서 인증 관리의 자동화와 확장성을 향상시키기 위해 가상조직 멤버십 서비스(VOMS)를 제안한다. 이는 동적으로 변화하는 사용자 공동체가 자율적 자원 간에 안전하게 액세스를 관리할 수 있도록 한다. 그리드 보안 인fra구조(GSI)를 확장하여 검증 가능한 VO 멤버십 진술을 제공함으로써 VOMS는 정책 기반의 세분화된 액세스 제어를 지원하면서도, LCAS 및 LCMAPS와 같은 보완 서비스를 통해 현지 사이트의 자율성을 유지한다. 기존 방법에 비해 확장성과 보안성이 크게 향상된다.
One of the fundamental concepts in Grid computing is the creation of Virtual Organizations (VO's): a set of resource consumers and providers that join forces to solve a common problem. Typical examples of Virtual Organizations include collaborations formed around the Large Hadron Collider (LHC) experiments. To date, Grid computing has been applied on a relatively small scale, linking dozens of users to a dozen resources, and management of these VO's was a largely manual operation. With the advance of large collaboration, linking more than 10000 users with a 1000 sites in 150 counties, a comprehensive, automated management system is required. It should be simple enough not to deter users, while at the same time ensuring local site autonomy. The VO Management Service (VOMS), developed by the EU DataGrid and DataTAG projects[1, 2], is a secured system for managing authorization for users and resources in virtual organizations. It extends the existing Grid Security Infrastructure[3] architecture with embedded VO affiliation assertions that can be independently verified by all VO members and resource providers. Within the EU DataGrid project, Grid services for job submission, file- and database access are being equipped with fine- grained authorization systems that take VO membership into account. These also give resource owners the ability to ensure site security and enforce local access policies. This paper will describe the EU DataGrid security architecture, the VO membership service and the local site enforcement mechanisms Local Centre Authorization Service (LCAS), Local Credential Mapping Service(LCMAPS) and the Java Trust and Authorization Manager.
연구 동기 및 목표
- 수천 명의 사용자와 수천 개의 사이트를 포함하는 대규모 그리드 컴퓨팅 환경에서 사용자 액세스를 관리하는 데서 발생하는 확장성과 자동화 과제를 해결하기 위해.
- 중앙집중식 VO 수준의 사용자 인증 및 액세스 정책 관리를 가능하게 하면서도 현지 사이트의 자율성을 유지하기 위해.
- 기존의 수동적이고 비확장 가능한 인증 메커니즘인 grid-mapfiles와 LDAP를 대체하기 위해 안전하고 확장 가능하며 분산된 인증 프레임워크를 제공하기 위해.
- 이종 그리드 자원 간에 사용자 역할, 그룹, 기능을 표준화되고 확장 가능한 아키텍처로 관리하기 위한 표준화된, 확장 가능한 아키텍처를 제공하기 위해.
- 기존 그리드 보안 인fra구조(GSI)와 통합하고, 전용 인증 및 자격 증명 매핑 서비스를 통해 네이티브 및 자바 기반 서비스를 모두 지원하기 위해.
제안 방법
- 표준화되고 검증 가능한 형식으로 VO 멤버십, 역할, 기능을 포함한 속성 증명서를 발급하고 관리하기 위한 VOMS 시스템의 설계 및 구현.
- GSI 아키텍처를 비핵심 확장 기능으로 확장하여 프oxy 증명서에 VO 소속 진술을 포함함으로써 기존 시스템과의 후행 호환성을 확보.
- 사용자 신원, VO 데이터, 작업 사양을 기반으로 액세스 결정을 내리는 플러그인형 프레임워크로 구현된 현지 센터 인증 서비스(LCAS)의 구현.
- 사이트별 정책을 사용하여 그리드 자격 증명(X.509 프록시)을 로컬 시스템 신원(UID/GID)으로 매핑하는 현지 자격 증명 매핑 서비스(LCMAPS)의 개발.
- 자바 웹 서비스에서 GSI 호환 인증 및 역할 기반 액세스 제어를 지원하기 위한 자바 기반 TrustManager 및 Authorization Manager의 개발.
- 계층적 그룹과 하위 그룹을 표현하기 위해 DAG 기반 모델을 도입하여 세분화된 액세스 제어 및 위임을 가능하게 함.
실험 결과
연구 질문
- RQ1대규모 그리드 환경에서 수동적 또는 중앙집중적 접근 방식의 한계를 초월해 액세스 제어를 자동화하고 확장할 수 있는 방법은 무엇인가?
- RQ2일致하고 VO 수준의 액세스 제어 정책을 시행하면서도 현지 사이트의 자율성을 유지할 수 있는 방법은 무엇인가?
- RQ3동적이고 검증 가능한 VO 멤버십 및 역할 진술을 지원하기 위해 기존 GSI 인fra구조에 필요한 아키텍처 확장은 무엇인가?
- RQ4유닉스 및 자바 기반 서비스와 같은 이종 네이티브 실행 환경 간에 자격 증명 매핑을 안전하고도 융통성 있게 수행할 수 있는 방법은 무엇인가?
- RQ5생산용 그리드 배포 환경에서 전통적인 액세스 제어 메커니즘과 비교했을 때 속성 증명서를 사용할 경우의 성능 및 유지보수성의 상충 관계는 무엇인가?
주요 결과
- VOMS는 대규모 그리드에서 사용자 공동체의 확장 가능하고 자동화된 관리를 성공적으로 구현하였으며, 150개국에서 10,000명 이상의 사용자와 1,000개 이상의 사이트를 지원한다.
- GSI와의 통합을 통해 기존 그리드 서비스에 변경 없이도 안전하고 후행 호환 가능한 인증을 제공한다.
- LCAS와 LCMAPS는 단일 기능의 grid-mapfile을 대체하는 플러그인형 정책 기반 아키텍처를 제공하며, 사이트별 액세스 규칙과 동적 자격 증명 매핑을 지원한다.
- VOMS에서 속성 증명서의 사용은 중앙 집중식 제어 없이도 역할, 그룹, 기능을 지원하는 세분화되고 확장 가능한 인증을 가능하게 한다.
- 권한 결정을 현지에서 유지하고 전역적 권한 확산을 방지함으로써 CAS 및 Akenti보다 보안성과 유지보수성이 향상됨을 입증한다.
- 향후 표준화된 AC 및 복제 메커니즘 도입을 통해 인증 인fra구조의 확장성과 신뢰성을 더욱 향상시킬 계획이다.
더 나은 연구,지금 바로 시작하세요
연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.
카드 등록 없음 · 무료 플랜 제공
이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.