Skip to main content
QUICK REVIEW

[论文解读] GridCertLib: a Single Sign-on Solution for Grid Web Portals

Riccardo Murri, Peter Kunszt|arXiv (Cornell University)|Jan 21, 2011
Distributed and Parallel Computing Systems参考文献 11被引用 2
一句话总结

GridCertLib 是一个 Java 库,通过利用 Shibboleth SAML 身份认证和 SLCS 证书服务,为网格 Web 门户实现单点登录。该库可颁发短期有效的 X.509 证书和 VOMS 代理,且无需暴露私钥。它消除了用户直接管理私钥的需求,通过基于 Web 的接口实现无缝、安全的网格资源访问。

ABSTRACT

Abstract This paper describes the design and implementation of GridCertLib, a Java libraryleveraging a Shibboleth-based authentication infrastructure and the SLCS online cer-tificate signing service, to provide short-lived X.509 certificates and Grid proxies.The main use case envisioned for GridCertLib, is to provide seamless and secureaccess to Grid X.509 certificates and proxies in web applicat ions and portals: when auser logs in to the portal using SAML-based Shibboleth authentication, GridCertLibuses the SAML assertion to obtain a Grid X.509 certificate fro m the SLCS service andgenerate a VOMS proxy from it.We give an overviewof the architecture of GridCertLib and briefly describe its pro-gramming model. Its application to some deployment scenarios is outlined, as well asa report on practical experience integrating GridCertLib into portals for Bioinformat-ics and Computational Chemistry applications, based on the popular P-GRADE andDjango softwares. 1 Introduction Most Grid computing middleware in production use today relies on X.509 certificateproxies [44] for user authentication. This has been an issue when implementing web-based interfaces to Grid computingfacilities: in orderto generate a proxy, a copy of theX.509 private key is needed together with the passphrase used to encrypt it. However,uploadingthe public/privatekeypair to a web portal is undesirableon security grounds.Several solutions and workarounds have been implemented (see Section 2 below), butnone of them can be considered entirely satisfactory: either because they do not fullyaddress the security concerns, or because they require end users to take multiple steps,possibly through different and unrelated user interfaces (e.g. a web portal and UNIXshell commands).1

研究动机与目标

  • 解决在 Web 门户中颁发网格 X.509 代理所面临的安 全性和可用性挑战。
  • 消除用户需上传私钥或使用多个界面进行身份认证的需求。
  • 通过基于标准 SAML 的单点登录,实现网格身份认证与 Web 应用的无缝集成。
  • 提供一种安全、自动化的机制,基于 SAML 断言生成短期有效的网格代理。
  • 支持在生物信息学和计算化学等科学门户中的部署。

提出的方法

  • 与 Shibboleth 集成,通过 SAML 身份认证获取用户身份断言。
  • 使用 SLCS 服务基于 SAML 断言颁发短期有效的 X.509 证书。
  • 从已颁发的 X.509 证书生成 VOMS 代理证书,以实现网格访问。
  • 采用安全的服务器端 Java 库处理证书生成,且不暴露私钥。
  • 支持与 P-GRADE 和 Django 等现有 Web 框架的集成。
  • 在门户登录成功后自动完成代理生成,消除手动操作步骤。

实验结果

研究问题

  • RQ1如何在不暴露私钥的情况下,实现在基于 Web 的门户中安全、自动化的网格代理生成?
  • RQ2基于 SAML 的单点登录流程能否有效扩展,用于为网格计算颁发短期有效的 X.509 证书?
  • RQ3将此类解决方案集成到实际科学门户中面临哪些实际挑战与优势?
  • RQ4与现有代理生成方法相比,该解决方案在可用性和安全性方面有何改进?
  • RQ5该解决方案在不同科学应用领域中的可重用程度如何?

主要发现

  • GridCertLib 通过颁发短期有效的 X.509 证书和 VOMS 代理,成功实现了网格门户的安全单点登录,且无需暴露私钥。
  • 该方案消除了用户管理私钥或执行 shell 命令的需求,显著提升了可用性与安全性。
  • 在 P-GRADE 和基于 Django 的门户中实际部署表明,其与现有身份认证工作流集成稳定可靠。
  • 该架构支持登录后无缝生成代理,减少了科学计算工作流中的用户操作摩擦。
  • 使用 SLCS 进行证书签名,确保了生产环境中信任与吊销支持。
  • 该方法与依赖 X.509 代理证书的现有网格中间件保持向后兼容。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。