成果報告書詳細
管理番号100013579
タイトル平成17年度-平成19年度成果報告書 国際共同研究助成事業 2005IS178 eインフラストラクチャ構築のための国際標準セキュリティポリシ策定事業 平成19年度最終
公開日2009/4/24
報告書年度2005 - 2007
委託先名田中良夫 関口智嗣 Darcy QUESNEL Herve GUY David GROE
プロジェクト番号P88001
部署名研究開発推進
和文要約本研究においては、次世代情報処理基盤として研究が進められているeインフラストラクチャにおけるセキュリティ基盤の構築、運用に関する技術開発として、標準セキュリティポリシの策定およびeインフラストラクチャにおける認証、認可を実現するセキュリティシステムの設計、実装を行う。我々は各組織の公開ポリシを尊重したアクセス制御を実現する認証、認可システムの設計およびプロトタイプ実装と評価を行った。本システムにおいては、複数の組織により構成される仮想的な組織の概念を導入する。eインフラストラクチャにおいては、様々なデータや計算が標準的なプロトコルおよびインタフェースを通じて利用可能なサービスとして提供され、研究コミュニティはその要求に応じて必要なデータや計算を統合することによりVOを構成する。認証はGridSecurityInfrastructureに基づいて行うが、ユーザ証明書や秘密鍵の管理などをユーザに意識させないインタフェースを設計、実現した。提案アーキテクチャに基づいて衛星データを適切なアクセス制御のもとに配信するシステムを構築し、有効性を検証した。その結果、サービス提供者およびユーザの要求に応じて複数のセキュリティレベルが実現されることと、ユーザが証明書の操作などセキュリティの煩雑な処理を行なうことなく容易にeインフラストラクチャを利用する環境が構築されたことを確認した。セキュリティポリシの標準化については、アジア太平洋地域におけるポリシ策定委員会であるAsia Pacific Policy Management Authority、欧州におけるポリシ策定委員会であるEuropean Grid Policy Management Authority、北中南米におけるポリシ策定委員会であるThe America's Grid Policy Management Authorityの3地域のポリシ策定委員会により、グリッドのセキュリティポリシを世界レベルで策定するInternational Grid Trust Federationを2005年10月に設立した。また、PMAの活動内容の選定、運用ガイドライン、認証局の運用要件をIGTFおよびOpen Grid Forumにおいて文書化した。そのほか、'Authentication Profile for ClassicX. 509 Public Key Certification Authorities for secured in frastructure'、'Grid Certificate Profile'、'Guide lines for auditing Grid CAs'の3つのドキュメントを執筆した。1つ目のドキュメントは認証局の運用要件を規定するものであり、International Grid Trust Federation (IGTF)で承認、公開され、引き続き修正、バージョンアップを行っている。'GridCertificateProfile'は証明書の推奨プロファイルを示すドキュメントであり、2008年4月にOpen Grid Forumのドキュメント(GFD-C125)として公開された。'Guidelines for auditing Grid CAs'は同じくOpen Grid Forumドキュメントとしての公開をめざして作成、査読、修正を進め、2008年9月に公開コメントを受け付けるためにドキュメントエディタに送付した。
英文要約In this research, we have developed technologies for building and managing security which supports e-Science Infrastructure. Although security covers wide area of research issues, we have focused on authentication and authorization of end entities. Authentication is the process of determining whether someone or something is, in fact, who or what it is declared to be. Authorization is the process determining the permission for access resources or doing something. The fundamental of establishing trust relationship between different organizations which compose e-Science Infrastructure is the coordination of security policies between them. Therefore, it is necessary to build standard security policies to make e-Science Infrastructure practical. In addition, since each organization has its own policy for publication of services, the security system must be able to implement access control which respects organization's publication policies. In this research, we have developed an authentication and authorization framework which supports flexible access control and established standard security policies for e-Science Infrastructure. The designed security architecture includes framework for authentication and authorization, as well as user interface for ease of use. In the design, we have introduced the concept of a virtual organization in which various data and computing resources are provided as services represented by standard protocols. We use Grid Security Infrastructure, which is based on Public Key Infrastructure, X.509 certificates, and the Secure Sockets Layer communication protocol, for authenticating users and services. The designed architecture does not require end-users to install any special software on their desktop computers. In addition, the users do not have to take care of their own credentials by themselves, though every user must have a pair consisting of user certificate and key for use of the GSI environment. User accounts and credentials are centrally managed by the backend secure server. For authorization, service providers are able to control accesses for individual users. It is also possible to control access according to the roles and groups assigned to the user, or his belonging VO. This design implements flexible authorization framework which respects service provider's publication policy. Based on the proposed security architecture, we have deployed the satellite data delivery system which delivers satellite data through appropriate access control. The experimental results have shown that the proposed security architecture implements multiple levels of security according to the requirements by users and publication policies of data services without requesting users to do complex tasks such as certificate managements.
ダウンロード成果報告書データベース(ユーザ登録必須)から、ダウンロードしてください。

▲トップに戻る