[论文解读] Managing Dynamic User Communities in a Grid of Autonomous Resources
本文提出虚拟组织成员服务(VOMS),以自动化并扩展大规模网格计算环境中授权管理,使动态用户群体能够安全地跨自治资源管理访问权限。通过在网格安全基础设施中扩展可验证的虚拟组织成员身份声明,VOMS 支持细粒度、策略驱动的访问控制,同时通过 LCAS 和 LCMAPS 等互补服务保持本地站点自治性,显著提升了传统方法在可扩展性和安全性方面的表现。
One of the fundamental concepts in Grid computing is the creation of Virtual Organizations (VO's): a set of resource consumers and providers that join forces to solve a common problem. Typical examples of Virtual Organizations include collaborations formed around the Large Hadron Collider (LHC) experiments. To date, Grid computing has been applied on a relatively small scale, linking dozens of users to a dozen resources, and management of these VO's was a largely manual operation. With the advance of large collaboration, linking more than 10000 users with a 1000 sites in 150 counties, a comprehensive, automated management system is required. It should be simple enough not to deter users, while at the same time ensuring local site autonomy. The VO Management Service (VOMS), developed by the EU DataGrid and DataTAG projects[1, 2], is a secured system for managing authorization for users and resources in virtual organizations. It extends the existing Grid Security Infrastructure[3] architecture with embedded VO affiliation assertions that can be independently verified by all VO members and resource providers. Within the EU DataGrid project, Grid services for job submission, file- and database access are being equipped with fine- grained authorization systems that take VO membership into account. These also give resource owners the ability to ensure site security and enforce local access policies. This paper will describe the EU DataGrid security architecture, the VO membership service and the local site enforcement mechanisms Local Centre Authorization Service (LCAS), Local Credential Mapping Service(LCMAPS) and the Java Trust and Authorization Manager.
研究动机与目标
- 解决大规模网格计算环境中管理用户访问的可扩展性和自动化挑战,用户和站点数量达数千个。
- 在实现集中化、虚拟组织(VO)级用户授权与访问策略管理的同时,确保本地站点的自治性。
- 用安全、可扩展且分布式的授权框架替代手动且不可扩展的授权机制(如 grid-mapfiles 和 LDAP)。
- 提供一种标准化、可扩展的架构,用于在异构网格资源间管理用户角色、组和能力。
- 与现有网格安全基础设施(GSI)集成,并通过专用的授权和凭证映射服务,支持原生和基于 Java 的服务。
提出的方法
- 设计并部署 VOMS 系统,用于以标准化、可验证的格式签发和管理嵌入虚拟组织成员身份、角色和能力的属性证书。
- 在 GSI 架构中扩展非关键性功能,将虚拟组织隶属关系声明包含在代理证书中,实现向后兼容性。
- 实现本地中心授权服务(LCAS)作为可插拔框架,基于用户身份、虚拟组织数据和作业规范做出访问决策。
- 开发本地凭证映射服务(LCMAPS),使用站点特定策略将网格凭证(X.509 代理)映射到本地系统身份(UID/GID)。
- 创建基于 Java 的 TrustManager 和授权管理器,支持 Java Web 服务中的 GSI 兼容认证和基于角色的访问控制。
- 采用基于有向无环图(DAG)的模型表示虚拟组织结构,以表达分层的组与子组关系,支持细粒度访问控制和委托机制。
实验结果
研究问题
- RQ1如何在大规模网格环境中实现授权的自动化与可扩展性,突破手动或集中式方法的局限?
- RQ2如何在保持一致、虚拟组织范围的访问控制策略的同时,维护本地站点的自治性?
- RQ3为支持动态、可验证的虚拟组织成员身份与角色声明,对现有 GSI 架构需要进行哪些架构扩展?
- RQ4如何在异构本机执行环境(如 UNIX 和基于 Java 的服务)之间安全且灵活地执行凭证映射?
- RQ5在实际网格部署中,使用属性证书与传统访问控制机制相比,其性能与可维护性权衡如何?
主要发现
- VOMS 成功实现了大规模网格中用户群体的可扩展、自动化管理,支持超过 10,000 名用户和 1,000 个站点,覆盖 150 个国家。
- VOMS 与 GSI 的集成实现了安全、向后兼容的授权,无需修改现有网格服务。
- LCAS 和 LCMAPS 将单体式的 grid-mapfile 替换为可插拔的、策略驱动的架构,支持站点特定的访问规则和动态凭证映射。
- VOMS 中使用属性证书实现了细粒度、可扩展的授权机制,支持角色、组和能力管理,且无需集中控制。
- 该系统在安全性与可维护性方面优于 CAS 和 Akenti,通过将授权决策保留在本地,避免了全局权限泛滥。
- 未来计划通过标准化属性证书和副本机制,进一步提升授权基础设施的可扩展性与可靠性。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。