[论文解读] Fine-Grained Authorization for Job and Resource Management Using Akenti and the Globus Toolkit
本文提出了一种基于Globus Toolkit 2和Akenti授权服务的细粒度授权框架,用于网格环境中作业与资源管理。该框架支持在作业启动时动态实施访问控制,根据用户和虚拟组织策略控制CPU、内存及可执行程序的使用,并支持其他虚拟组织成员对作业进行委托管理。
As the Grid paradigm is adopted as a standard way of sharing remote resources across organizational domains, the need for fine-grained access control to these resources increases. This paper presents an authorization solution for job submission and control, developed as part of the National Fusion Collaboratory, that uses the Globus Toolkit 2 and the Akenti authorization service in order to perform fine-grained authorization of job and resource management requests in a Grid environment. At job startup, it allows the system to evaluate a user's Resource Specification Language request against authorization policies on resource usage (determining how many CPUs or memory a user can use on a given resource or which executables the user can run). Furthermore, based on authorization policies, it allows other virtual organization members to manage the user's job.
研究动机与目标
- 解决多域网格环境中因资源共享而产生的对细粒度访问控制日益增长的需求。
- 根据用户身份、资源类型和策略约束,实现对作业提交和资源使用的精确授权。
- 在确保访问策略强制执行的前提下,支持将作业管理权限委托给虚拟组织内的其他成员。
- 与现有网格基础设施(Globus Toolkit 2)集成,以确保互操作性并实现实际部署。
- 提供可扩展且可扩展的授权机制,支持复杂策略,且无需修改底层中间件。
提出的方法
- 利用Globus Toolkit 2作为分布式资源管理和作业提交的基础中间件。
- 集成Akenti授权服务,在运行时强制实施细粒度访问策略。
- 使用资源规范语言(RSL)表达用户作业请求,包括CPU、内存和可执行程序约束。
- 将RSL请求与集中式授权策略进行比对,以定义每个用户或用户组允许的资源使用范围。
- 支持基于角色的委托,允许虚拟组织成员根据策略规则管理特定用户作业。
- 在作业启动时实施策略评估,以在资源分配前验证请求,确保符合访问控制要求。
实验结果
研究问题
- RQ1在多域网格环境中,如何有效实施对作业与资源管理的细粒度访问控制?
- RQ2何种机制可在不破坏现有Globus工作流的前提下,实现在作业提交时的动态策略评估?
- RQ3如何表达并强制执行授权策略,以控制每个用户或用户组的CPU、内存和可执行程序使用?
- RQ4在虚拟组织内,可通过哪些方式安全地将作业管理权限委托给其他用户?
- RQ5将Akenti与Globus Toolkit 2结合使用时,其集成开销和可扩展性如何,适用于真实世界的网格部署?
主要发现
- 系统通过在作业启动时将基于RSL的作业请求与预定义的授权策略进行验证,成功实现了细粒度访问控制。
- Akenti与Globus Toolkit 2的集成实现了无需修改核心中间件的动态策略评估。
- 该解决方案支持将作业管理权限委托给其他虚拟组织成员,增强了协作性,同时保持了安全性。
- 策略强制执行在基于用户和组角色控制资源消耗(包括CPU、内存和可执行程序使用)方面非常有效。
- 该方法在Globus Toolkit 2的约束范围内具备可扩展性,并在国家聚变协作项目等实际网格环境中验证了其可行性。
- 该系统已在真实网格部署中得到验证,包括在CHEP03会议上的应用,证实了其实际可用性和鲁棒性。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。