본 보고서는 그리드 시스템의 인증 및 위임 시스템에 관하여 정리하여 살펴 보았다.
그리드 시스템에 관한 연구 개발이 시작되면서 가상조직 개념이 포함된 CAS를 기반으로 인증 및 위임 서비스가 제공되었다. 자원제공자는 자신이 신뢰하는 CAS 서버로부터 받은 인증서를 제시하는 사용자에게 자원을 제공하며, 지역 Identity는 gridmap 파일을 사용하여 지역 사용자 계정을 할당한다. 또한 Globus GSI의 프록시 인증서와 MyProxy를 통해서 Single sign-on을 지원한다.
CAS는 가상조직 내의 다양한 정책 관리가 힘들기 때문에 여러 가지 접근 정책 관리하는 모델이 제시 되었다. Akenti와 PERMIS 시스템을 통해서 자원제공자가 사용자의 Attribute를 신뢰하는 기관에 조회하여 정책 결정을 하며, VOMS는 사용자가 VOMS 서버로부터 받은 Attribute 인증서를 자원제공자에게 제시를 한다. 그리고 그리드 시스템에 속한 기관이 다양하게 늘어나면서 여러 인증 및 위임 모델을 통합 및 연동하는 프로젝트가 최근에 진행되고 있다. VO Services Project와 GridShib 프로젝트처럼 여러 개의 인증 시스템을 연동하여 그리드 시스템이 좀더 범용적으로 사용되도록 연구개발 되고 있다. 그리고 Web Services의 표준화된 보안 시스템과의 확장을 위하여 최근의 그리드 보안 시스템은 Web Services 보안을 고려하고 있다.
본 보고서는 관련 그리드 위임 및 인증 시스템을 정리하고, 다양하게 분류를 했다.
따라서 향후 그리드 시스템을 개발할 경우 필요한 위임 및 인증 시스템 설계에 도움이 되도록 한다. 향후 연구 및 보고서 보완 사항은 현재 많이 사용되는 그리드 미들웨어들에서 사용하고 있는 그리드 보안 시스템에 대해서 좀더 살펴볼 계획이다.
- 34 - [참고자료]
[1] A. Chakrabarti, A. Damodaran, and S. Sengupta, "Grid Computing Security: A Taxonomy," IEEE Security & Privacy, July 2007.
[2] G. C. Necula and P. Lee, "Research on Proof-Carrying Code for Untrusted-Code Security," in Proc. of IEEE Symposium on Security and Privacy, 1997.
[3] W. Johnston, S. Mudumbai, and M. Thompson, "Authorization and Attribute Certificates for Widely Distributed Access Control," in Proc. of IEEE 7th International Workshops on Enabling Technologies: Infrastructure for Collatobrative Enterprises, 1998.
[4] L. Pearlman, V. Welch, I. Foster, C. Kesselman, and S. Tuecke, "A Community Authorization Service for Group Collaboration," in Proc. of IEEE 3rd International Workshop on Policies for Distributed Systems and Networks, 2002.
[5] R. Alfieri, et al., "From gridmap-file to VOMS: Managing Authorization in a Grid Environment," Future Generation Computer Systems, vol. 21, pp. 549-558, 2005.
[6] MyProxy. Available: http://grid.ncsa.illinois.edu/myproxy/
[7] J. Novotny, S. Tuecke, and V. Welch, "An Online Credential Preository for the Grid: MyProxy," in Proc. of 10th International Symposium on High Performance Distributed Computing (HPDC-10), 2001.
[8] GridShip Project. Available: http://gridshib.globus.org
[9] V. Welch, T. Barton, K. Keahey, and F. Siebenlist, "Attributes, Anonymity, and Access: Shibboleth and Globus Integration to Facilitate Grid Collaboration," in Proc. of the 4th Annual PKI R&D Workshop, 2005.
[10] Shibboleth Project, Internet2. Available: http://shibboleth.internet2.edu/
[11] M. Humphrey, M. R. Thompson, and K. R. Jackson, "Security for Grids,"
Proceedings of the IEEE, vol. 93, March 2005.
[12] B. C. Neumann and T. Ts'o, "Kerberos: An Authentication Service for Computer Networks," IEEE Communications Magazines, vol. 32, pp. 33-38, 1994.
[13] B. Tung, et al., "Public Key Cryptography for Initial Authentication in Kerberos," RFC 1510bis, 2004.
[14] V. Welch, et al., "Security for Grid Services," in Proc. of Twelfth International Symposium on High Performance Distributed Computing (HPDC-12), 2003.
[15] I. Foster, C. Kesselman, J. Nick, and S. Tuecke. (2002, The Physiology of
- 35 - Credential Translation: A Solution to Web Access Control," presented at the 10th Usenix Security Symposium, 2001.
[18] D. W. Chadwick and A. Otenko, "The PERMIS X.509 Role Based Privilege Management Infrastructure," in Proc. of 7th ACM Symposium on Access Control Models and Technologies, 2002.
[19] M. Thompson, W. Johnston, S. Mudumbai, G. Hoo, K. Jackson, and A. Essiari,
"Certificate-based Access Control for Widely Distributed Resources," in Proc. of 8th Usenix Security Symposium, 1999.
[20] V. Welch, F. Siebenlist, and I. Foster, "Security for Grid Services," in Proc. of Twelfth International Symposium on High Performance Distributed Computing (HPDC-12), 2003.
[21] D. W. Chadwick and A. Otenko, "The PERMIS X.509 Role Based Privilege Management Infrastructure," Future Generation Computer Systems, vol. 19, pp.
277-289, 2003.
[22] D. W. Chadwick, A. Novikov, and A. Otenko, "GridShib and PERMIS Integration," Campus-Wide Information Systems, vol. 23, pp. 297-308, 2006.
[23] D. W. Chadwick, G. Zhao, S. Otenko, R. Laborde, L. Su, and T. A. Nguyen,
"PERMIS: A Modular Authorization Infrastructure," Concurrency and Computation: Practice and Experience, vol. 20, pp. 1341-1357, 2008.
[24] N. Damianou, N. Dulay, E. Lupu, and M. Sloman, "The Ponder Policy Specification Lanaguage," in Proc. of Workshop on Policies for Distributed Systems and Networks, 2001, pp. 18-39.
[25] M. Blaze, J. Feigenbaum, and J. Ioannidis, "The KeyNote Trust-Management System," RFC 2704, 1999.
[26] D. Chadwick and S. Otenko, "A Comparision of the Akenti and PERMIS Authorization Infrastructures in Ensuring Security in IT Infrastructures,"
in Proc. of ITI First International Conference on Information and Communications Technology, 2003.
[27] V. Welch, et al., "X.509 Proxy Certificates for Dynamic Delegation," in Proc. of 3rd Annual PKI R&D Workshop, 2004.
[28] VO Services Project. Available:
- 36 -
http://computing.fnal.gov/docs/products/voprivilege/index.html
[29] L. Bauerdick, et al., "The Virtual Organization Management Registration Service," in Proc. of Conference on Computing in High Energy and Nuclear Physics (CHEP'06), Mumbai, India, 2006.
[30] The dCache Collaboration. Available: http://www.dcache.org
[31] A. S. Rana, et al., "Introducing Advanced Fine-grained Security in dCache-SRM for PetaByte-scale Storage Systems on Global Data Grids: gPLAZMA 'grid-aware PLuggable AuthoriZation MAnagement System'," in Proc. of 2006 IEEE Nuclear Science Symposium Conference, 2006.
[32] I. Sfiligoi, O. Koeroo, G. Venekamp, D. Yocum, D. Groep, and D. Petravick,
"Addressing the Pilot Security Problem with gLExec," in Proc. of International Conference on Computing in High Energy and Nuclear Phycis (CHEP'07), 2007.
[33] "Security Assertion Markup Language (SAML) 1.1 Specification," OASIS, November 2003.
[34] T. Scavo and V. Welch, "A Grid Authorization Model for Science Gateways,"
in Proc. of International Workshop on Grid Computing Environments, 2007.
[35] J. Gemmill, J.-P. Robinson, T. Scavo, and P. Bangalore, "Cross-Domain Authorization for Federated Virtual Organization Using the myVocs Collaboration Environment," Concurrency and Computation: Practice and Experience, 2008.
[36] A. C. Squicciarini, E. Bertino, and S. Goasguen, "Access Control Strategies for Virtualized Environments in Grid Computing Systems," in Proc. of IEEE Workshop on Future Trends of Distributed Computing Systems (FTDC' 07), 2007.