Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] The Community Authorization Service: Status and Future

Laura Pearlman, Von Welch|ArXiv.org|Jun 14, 2003
Cloud Computing and Resource Management参考文献 13被引用数 138
ひとこと要約

コミュニティ承認サービス(CAS)は、リソース所有者が最終的な制御権を保ちつつ、認可権限を委任することで、複数の異種のポリシー領域にまたがる一貫性のあるアクセスポリシーを仮想組織(VO)が定義・実行できるようにする。分散型のポリシー委任モデルを採用することで、分散型科学共同作業における相互運用性とスケーラビリティを実現し、クロスドメインのポリシー実行の課題に対処する。

ABSTRACT

Virtual organizations (VOs) are communities of resource providers and users distributed over multiple policy domains. These VOs often wish to define and enforce consistent policies in addition to the policies of their underlying domains. This is challenging, not only because of the problems in distributing the policy to the domains, but also because of the fact that those domains may each have different capabilities for enforcing the policy. The Community Authorization Service (CAS) solves this problem by allowing resource providers to delegate some policy authority to the VO while maintaining ultimate control over their resources. In this paper we describe CAS and our past and current implementations of CAS, and we discuss our plans for CAS-related research.

研究の動機と目的

  • 仮想組織(VO)における複数の異種のポリシー領域にまたがる一貫性のあるアクセスポリシーを実行する課題に対処すること。
  • 下位のドメインポリシーを変更せずに、VOが自らのポリシーを定義・実行できることを可能にすること。
  • リソースプロバイダーの最終的制御権を保ちつつ、VOに認可権限を委任するメカニズムを提供すること。
  • 大規模な分散型科学共同作業における相互運用性とスケーラビリティをサポートすること。

提案手法

  • リソースプロバイダーがポリシー実行権限をVOの中央承認サービスに委任する分散型アーキテクチャを採用する。
  • VOが定義したポリシーに基づいてアクセストークンを発行可能にするポリシー委任モデルを採用し、下位ドメインポリシーを尊重する。
  • X.509証明書やSAMLを用いたアイデンティティおよび属性交換に標準プロトコルを活用し、既存のセキュリティインfraに統合する。
  • 複雑な承認ポリシーを表現するために、ロールベースアクセス制御(RBAC)と属性ベースアクセス制御(ABAC)モデルをサポートする。
  • リソースプロバイダーが最終的なアクセス意思決定権を保持する信頼階層を維持する。
  • 軽量でスケーラブルな通信プロトコルを用いて、地理的に分散されたシステム間で動的かつ効果的なポリシー配布・実行を実現する。

実験結果

リサーチクエスチョン

  • RQ1仮想組織において、複数の異種のポリシー領域にまたがる一貫性のあるアクセスポリシーをどのように実行できるか?
  • RQ2リソースプロバイダーの制御権を損なわずに、VOがどのように認可権限を委任できるか?
  • RQ3分散型システム間で、スケーラブルかつ相互運用可能にポリシー委任を実現するにはどのような仕組みが必要か?
  • RQ4大規模な科学共同作業において、動的ポリシー配布・実行を支えるアーキテクチャパターンは何か?
  • RQ5既存のセキュリティインfraは、VOレベルの承認ポリシーをどのように拡張できるか?

主な発見

  • CASは、異なる実行能力を持つドメインが存在する中でも、複数のポリシー領域にまたがる一貫性のあるアクセスポリシーをVOが定義・実行できることを可能にする。
  • リソースプロバイダーがリソースの最終的制御権を保持しているため、分散環境における信頼性と責任の所在が保証される。
  • 標準プロトコルを介したポリシー委任を実現することで、既存のセキュリティフレームワークとの相互運用性が確保されている。
  • 多様な参加者を有する大規模かつ動的な仮想組織を効果的にサポートできるアーキテクチャである。
  • CASプロトタイプは、高エネルギー物理学および核物理学共同作業を含む実世界のユースケースにおいて、実現可能性とパフォーマンスを実証した。
  • VOレベルのポリシー実行を集中化することで、管理負荷の低減と分散システム間でのポリシー不整合の削減が達成された。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。