GridShib [8, 9] 프로젝트는 대표적인 그리드 시스템인 Globus 툴킷과 자원 공유 미들웨어인 Shibboleth를 합쳐서 그리드 사용자로 하여금 여러 시스템 자원을 사용할 수 있도록 해준다. 이 두 시스템을 연동하기 위해서 GridShib은 SAML 형식의 인증 모델 기반으로 권한 인증을 할 수 있도록 두 시스템에 플러그인을 제공한다.
(1) Shibboleth
Shibboleth [10]는 사용자의 Attribute를 여러 기관 사이에서 사용될 수 있도록 해주는 시스템이다. 즉, 한 사용자가 속한 기관과 자원을 제공하는 여러 기관 사이에서 Attribute를 인증할 수 있도록 한다. Shibboleth는 다음과 같은 세 개의 구성요소로 구성이 된다.
Ÿ Handle Service : 이 서비스는 사용자들의 자신이 속한 지역 인증 서비스를 통해서 사용자를 인증하고 handle token을 발급해준다. Handle token은 SAML [33] 형식으로 되어 있어 사용자의 Identity인 handle을 가지고 있다.
Ÿ Attribute Authority : 사용자가 자신이 원하는 자원에 접근하려고 할 경우, 그
- 29 -
사용자의 handle token을 자원제공자에게 제시한다. 자원제공자는 이 handle token을 Attribute Authority에 사용자의 token에 대한 개인 정보를 보호하면서 어떤 자원을 사용할 수 있는지를 SAML assertion 형식으로 제공해준다.
Ÿ Target Resource : 자원제공자로서 Shibboleth 형식의 사용자 인증 및 Attribute Authority 접속하여 인증을 받아오는 기능을 가지고 있다.
그림 20. Shibboleth 자원 접근 단계 [9]
사용자가 자원제공자의 자원을 접근하는 단계는 다음과 같다.
1. 사용자는 Handle Service에 연결하여 인증을 받는다.
2. Handle Service는 사용자를 인증하기 위해서 사용자 기관의 인증 서비스를 사용한다.
3. Handle Service는 사용자에 대한 새로운 handle 을 생성하고, 이를 Attribute Authority에 저장하여 이후에 자원제공자가 요청했을 때 사용하도록 한다.
4. 이렇게 얻은 handle은 handle token 안에 넣어서 사용자에게 전달된다.
5. 사용자는 handle token을 자원제공자에게 보내면서 자원 사용을 요청한다.
6. 자원제공자는 사용자에 대해서 어떤 Shibboleth 서비스가 사용자의 handle token을 인증할 수 있는지 조회하고, 그 서버에게 token을 넘긴다.
7. 사용자의 Attribute에 대해서 그 자원에 대한 접근 권한을 검사한다. 만약 권한이 있으면 해당하는 Attribute 값을 얻는다.
8. Attribute 값을 SAML assertion 형식으로 전환하여 자원제공자에게 넘겨준다.
- 30 - (2) X.509와 SAML 연동
GridShib은 Globus 툴킷과 Shibboleth를 서로 연동하게 하는 소프트웨어로, Globus 툴킷을 위한 플러그인과 Shibboleth를 위한 플러그인을 제공한다. Globus 툴킷을 위한 플러그인은 사용자에 대한 Attribute를 Shibboleth Attribute Authority로부터 얻어와서 인증할 수 있는 역할을 한다. 반대로 Shibboleth 플러그인은 Globus의 사용자 인증서에 있는 DN을 바탕으로 해당하는 Attribute를 조회하도록 한다.
GT4에서 웹 서비스로 여러 서비스를 제공하지만 사용자 인증은 여전히 그림 21(a)처럼 X.509 인증서에 기반하고 있다. 사용자 개인 인증을 gridmap-file을 사용해서 확인이 가능하지만 정책 기반의 다양한 권한 위임을 하기 위해서는 다른 인증 모델 (VO Services Project [28] 등)과 연동해서 구현해야 한다.
그림 21. GSI와 GridShib 연동 모델 [34]
GridShib에서 Globus 툴킷에 Attribute 기반 인증을 구현하도록 SAML 관련 소프트웨어 모듈을 구현하였다. OASIS 웹 서비스 보안 관련 표준 중의 하나로 그림 22의 WS-Security X.509 Token Profile을 Globus GSI에 구현하였다. 따라서 GridShib에서 GT4의 Attribute 기반 인증 시 GSI 모델은 그림 21(b)와 같다. [34, 35]
그림 22. X.509 Token Profile 형식 [34]
4.
그리드 위임 및 인증 시스템 Ÿ Pull 모델 : PERMIS, Akenti, GridShib(2) 자원제공자와 서비스제공자
: VOMS, VO Services Project : PERMIS, Akenti, GridShib
(RP: Resource Provider)를 있다. 이 경우 두
경우
을 수행하지만, 각 담당