數(shù)字圖書(shū)館中多級(jí)授權(quán)訪問(wèn)控制模型部署探討

容海萍　莫　嵐　蔣坤燕

〔摘 要〕以數(shù)字圖書(shū)館在網(wǎng)格環(huán)境下的發(fā)展為背景，對(duì)當(dāng)前流行的GSI安全認(rèn)證體系，以及PMI多級(jí)權(quán)限訪問(wèn)控制模型進(jìn)行了詳細(xì)的分析，并在此基礎(chǔ)上提出了一套完整的數(shù)字圖書(shū)館權(quán)限訪問(wèn)控制策略。

〔關(guān)鍵詞〕部署;數(shù)字圖書(shū)館;多極授權(quán)訪問(wèn)控制模型

〔中圖分類(lèi)號(hào)〕G250.76 〔文獻(xiàn)標(biāo)識(shí)碼〕A 〔文章編號(hào)〕1008-0821(2009)03-0090-03

數(shù)字圖書(shū)館權(quán)限訪問(wèn)控制策略提供了在網(wǎng)格中需要被關(guān)注的安全性解決方案。在此基礎(chǔ)上，本文實(shí)現(xiàn)了數(shù)字圖書(shū)館的安全模型部署，將整個(gè)部署分成用戶接口，安全中間件，安全資源服務(wù)器3個(gè)層面。實(shí)現(xiàn)了終端用戶和移動(dòng)用戶的單點(diǎn)登錄過(guò)程。同時(shí)，也對(duì)安全模型進(jìn)一步優(yōu)化，將密鑰托管機(jī)制引入網(wǎng)格安全中，將用戶密鑰的安全問(wèn)題，從簡(jiǎn)單的用戶操作系統(tǒng)安全保障或人為保管，轉(zhuǎn)化為更為安全的服務(wù)器統(tǒng)一授權(quán)管理。

1 數(shù)字圖書(shū)館部署框架

安全訪問(wèn)控制的基本框架，應(yīng)該獨(dú)立于應(yīng)用系統(tǒng)，減少與數(shù)據(jù)系統(tǒng)的藕合程度。數(shù)字圖書(shū)館的資源包括數(shù)字信息資源和服務(wù)資源。信息資源是存儲(chǔ)在存儲(chǔ)體上的各類(lèi)文本文件、圖像文件、聲音文件等數(shù)字化資源;服務(wù)資源包括對(duì)文件和數(shù)據(jù)的查詢、檢索等服務(wù)。對(duì)這些資源需要實(shí)施統(tǒng)一管理，一般采用一個(gè)數(shù)據(jù)服務(wù)器對(duì)應(yīng)一個(gè)應(yīng)用系統(tǒng)，獨(dú)立于各種安全子系統(tǒng)的授權(quán)管理系統(tǒng)，這是數(shù)字圖書(shū)館資源管理也是網(wǎng)絡(luò)資源管理的最主要的安全機(jī)制。授權(quán)控制框架可以對(duì)數(shù)字圖書(shū)館的各種應(yīng)用服務(wù)進(jìn)行授權(quán)管理，如WWW服務(wù)、client/sever:服務(wù)、FTP服務(wù)、TCP/IP應(yīng)用、數(shù)據(jù)庫(kù)操作等。授權(quán)管理系統(tǒng)能夠提供授權(quán)管理、管理和維護(hù)授權(quán)策略、對(duì)象映射、用戶角色等。應(yīng)用服務(wù)系統(tǒng)通過(guò)授權(quán)應(yīng)用程序接口獲取授權(quán)信息，實(shí)施對(duì)用戶的訪問(wèn)控制。在以邏輯模型的基礎(chǔ)上，實(shí)現(xiàn)的數(shù)字圖書(shū)館多級(jí)授權(quán)機(jī)制的物理模型如圖1所示。

數(shù)字圖書(shū)館授權(quán)體系分為2個(gè)主體，2個(gè)中間層。2個(gè)主體，一個(gè)是資源主體，一個(gè)是用戶主體。用戶主體，考慮到網(wǎng)格的不確定性，應(yīng)該支持固定用戶和移動(dòng)辦公用戶，在GSI模型底下，需要對(duì)移動(dòng)用戶的訪問(wèn)進(jìn)行進(jìn)一步的討論:

GSI模型規(guī)定，用戶必須擁有靜態(tài)的物理IP，也就是說(shuō)，一般意義上的移動(dòng)辦公要接入數(shù)字圖書(shū)館模型需要經(jīng)過(guò)一些改造，最普遍的方法，是移動(dòng)用戶經(jīng)過(guò)VPN隧道化方式訪問(wèn)接入網(wǎng)格。

圖中的資源主體，具體化為若干資源服務(wù)器，本文只是列舉了數(shù)字圖書(shū)館一些常見(jiàn)資源服務(wù)器，對(duì)于一些邊緣應(yīng)用和非感知應(yīng)用，可以根據(jù)不同的安全級(jí)別，納入不同的安全級(jí)別的管理中，本文所保護(hù)的是數(shù)字圖書(shū)館的數(shù)據(jù)資源，我們知道，數(shù)據(jù)資源是數(shù)字圖書(shū)館最終和最重要的信息資源，數(shù)字圖書(shū)館的安全問(wèn)題，最終會(huì)歸納到不同信息的公開(kāi)化程度問(wèn)題，也就是如何保證信息不被非法傳播的問(wèn)題。

兩個(gè)中間層分別是OGCE portal門(mén)戶和用戶代理中間件，橋接著用戶和資源主體，OGLE必須架設(shè)在可見(jiàn)的網(wǎng)格邊緣，網(wǎng)格邊緣的概念是，對(duì)外的訪問(wèn)不需要經(jīng)過(guò)第三方橋接，類(lèi)似于我們常說(shuō)的內(nèi)外網(wǎng)的概念，MyProxy用戶代理，雖然用戶不需要感知地訪問(wèn)，但由于需要向客戶端下發(fā)代理證書(shū)信息，也同樣需要被暴露。進(jìn)入交互后，模型進(jìn)入資源界面，如圖2，用戶可以自行選擇需訪問(wèn)的資源進(jìn)行訪問(wèn)，并且，系統(tǒng)屏蔽了用戶無(wú)法訪問(wèn)的數(shù)字資源。

2 數(shù)字圖書(shū)館部署

本模型的物理部署如下:

2.1 客戶端

支持Linux和Window:操作系統(tǒng)，為了支持Window操作系統(tǒng)，必須對(duì)Globus進(jìn)行一些特定的數(shù)據(jù)遷移工作:由于Globus的安全問(wèn)題，需要使用證書(shū)才能訪問(wèn)服務(wù)。這里，有3種證書(shū)，分別是CA證書(shū)、用戶證書(shū)和代理證書(shū)。我們可以從已經(jīng)安裝好Globus的Linux主機(jī)上將用戶證書(shū)(連同用戶的私鑰)和CA證書(shū)一同拷貝到Windows上使用。

2.2 OGCE安全門(mén)戶

門(mén)戶采用Java+Tomcat的傳統(tǒng)的〣/S模式構(gòu)建，〣/S結(jié)構(gòu)與客戶端無(wú)關(guān)性能夠良好的屏蔽各種因?yàn)榭蛻舳嘶蛘哂脩魡?wèn)題所造成的系統(tǒng)使用和維護(hù)的困難，并且易于部署和集中化管理，本模塊運(yùn)行在Linux服務(wù)器中，OGCE服務(wù)器必須部署在網(wǎng)格邊緣，能夠滿足不同鏈路的用戶的訪問(wèn)需求。

2.3 MyProxy中間件

本文為了節(jié)約服務(wù)器成本，將MyProxy中間件于某些服務(wù)器重復(fù)使用(如OGCE服務(wù)器)，因?yàn)橄掳l(fā)代理證書(shū)的過(guò)程對(duì)資源的占用情況很小，基本上不需要太多的額外開(kāi)支。

2.4 后臺(tái)數(shù)據(jù)庫(kù)服務(wù)器

存放數(shù)字圖書(shū)館數(shù)字資源的主要載體，根據(jù)需求由不同的服務(wù)器承擔(dān)，大型的數(shù)字圖書(shū)館一般采用SAN存儲(chǔ)陣列，對(duì)數(shù)據(jù)進(jìn)行物理保存，并有專(zhuān)門(mén)的訪問(wèn)服務(wù)器進(jìn)行訪問(wèn)控制，后臺(tái)數(shù)字資源的訪問(wèn)控制模塊OGSA就是部署在專(zhuān)門(mén)的訪問(wèn)服務(wù)器中。

2.5 網(wǎng)絡(luò)環(huán)境

本文能在具備有獨(dú)立的公網(wǎng)的IP地址的網(wǎng)絡(luò)環(huán)境中正常部署，且服務(wù)器和中間件前后端必須滿足數(shù)據(jù)交換的端口需要，如Web服務(wù)80端口，SSL的443端口都需要開(kāi)放。

3 本模型安全性討論

數(shù)字圖書(shū)館的分布式存儲(chǔ)需求，是網(wǎng)格應(yīng)用在數(shù)字圖書(shū)館中的主要原因。網(wǎng)格在給分布式存儲(chǔ)帶來(lái)方便的同時(shí)，也增加了網(wǎng)格安全的復(fù)雜度。本模型采用的認(rèn)證體系，主要從以下幾個(gè)方面解決該問(wèn)題:

3.1 如何將用戶隔離在不同的權(quán)限區(qū)域中

本模型采用PMI模型思想將用戶權(quán)限，通過(guò)虛擬組織進(jìn)行劃分，不同的虛擬組織對(duì)應(yīng)不同的資源權(quán)限組，這樣的多對(duì)多的權(quán)限映射，能將用戶權(quán)限最大程度地控制在可信任區(qū)域的范圍內(nèi)。模型中OGCE提供了用戶權(quán)限組的劃分，后臺(tái)OGSA提供了資源權(quán)限組的劃分。

3.2 如何控制用戶的訪問(wèn)接口

對(duì)于用戶而言，資源的獲取可以有若干種途徑，本安全體系將用戶獲取資源的途徑，統(tǒng)一使用OGCE單點(diǎn)登錄模型管理，避免出現(xiàn)多URL入口的訪問(wèn)漏洞，減少數(shù)字資源泄露的途徑。

3.3 如何控制用戶客戶端的安全性影響

系統(tǒng)的安全很大程度上取決于使用者的安全意識(shí)，本安全模型提出了密鑰全托管的思想，旨在將用戶密鑰的保存點(diǎn)，從不安全的使用者客戶端，轉(zhuǎn)移到安全的可信任第四方。降低用戶安全性的對(duì)系統(tǒng)安全性的影響，并能為密鑰集中管理回收發(fā)放提供便利條件。

目前網(wǎng)格安全還存在一些問(wèn)題沒(méi)有解決，比如:

3.3.1 沒(méi)有入侵檢測(cè)技術(shù)

目前的網(wǎng)格安全技術(shù)主要集中在開(kāi)發(fā)制定各種安全協(xié)議，以防止未經(jīng)授權(quán)的非法用戶的訪問(wèn)。但如果想要網(wǎng)格真正應(yīng)用好還必須研究網(wǎng)格環(huán)境下的入侵檢測(cè)技術(shù)，并努力減輕這種入侵所產(chǎn)生的破壞作用。網(wǎng)格安全要到達(dá)的最終效果，是要使得網(wǎng)格即使是在遭到攻擊的情況下，仍然能夠持續(xù)不斷地提供一定的服務(wù)質(zhì)量。

3.3.2 沒(méi)有持續(xù)監(jiān)控技術(shù)

對(duì)網(wǎng)格安全體系結(jié)構(gòu)的一個(gè)至關(guān)緊要的要求就是對(duì)虛擬組織的安全狀態(tài)持續(xù)監(jiān)控。通常，虛擬組織中某一成員的安全策略的改變，會(huì)影響到組織中的其他成員，但是這種影響只有當(dāng)它產(chǎn)生的后果發(fā)生時(shí)才會(huì)被檢測(cè)出來(lái)。因此對(duì)于虛擬組織中的安全策略的改變的持續(xù)監(jiān)控就顯得非常重要。開(kāi)發(fā)網(wǎng)格時(shí)必須同時(shí)建立軟件質(zhì)量保障機(jī)制。只有這樣，才能避免由于缺乏良好安全機(jī)制而導(dǎo)致整個(gè)網(wǎng)格框架的崩潰。

3.3.3 動(dòng)態(tài)控制技術(shù)

過(guò)于復(fù)雜的安全機(jī)制會(huì)對(duì)網(wǎng)格的運(yùn)行效果產(chǎn)生不好的影響。雖然一些高度敏感的應(yīng)用也許會(huì)需要復(fù)雜的安全機(jī)制，但對(duì)于其他的應(yīng)用來(lái)說(shuō)卻有可能變成一種負(fù)擔(dān)。因此，這就要求能根據(jù)實(shí)際運(yùn)行時(shí)所掌握的狀況來(lái)動(dòng)態(tài)控制網(wǎng)格安全的級(jí)別。但實(shí)際確實(shí)難以做到。

網(wǎng)格就是要通過(guò)開(kāi)放的網(wǎng)絡(luò)環(huán)境向用戶提供服務(wù)，這就不可避免地要涉及到網(wǎng)絡(luò)安全問(wèn)題，并且網(wǎng)格的目標(biāo)就是要實(shí)現(xiàn)更大范圍和更深層次的資源共享，所以它存在更重要的安全問(wèn)題，并提出了更高的安全需求。隨著網(wǎng)格安全技術(shù)不斷解決上述問(wèn)題以及相關(guān)的經(jīng)濟(jì)和法律上的配套的完善，一定能夠確保數(shù)據(jù)資源等的安全性，從而使得網(wǎng)格的大規(guī)模開(kāi)展成為可能。

4 本模型的容量測(cè)試

性能測(cè)試的目標(biāo)是驗(yàn)證在各種負(fù)載情況下數(shù)字圖書(shū)館網(wǎng)格服務(wù)的性能。進(jìn)行性能測(cè)試的最佳方式是使得多個(gè)測(cè)試客戶運(yùn)行完整的網(wǎng)格服務(wù)測(cè)試，包括請(qǐng)求提交和應(yīng)答驗(yàn)證。性能測(cè)試不僅通過(guò)指定的并發(fā)請(qǐng)求數(shù)目來(lái)監(jiān)視服務(wù)器的響應(yīng)速率，還要測(cè)試各類(lèi)負(fù)載是否導(dǎo)致網(wǎng)格服務(wù)功能性故障。因此，要求網(wǎng)格軟件性能測(cè)試工具能夠設(shè)置或者定制性能測(cè)試場(chǎng)景(主要是指定負(fù)載等級(jí)、負(fù)載分布等)來(lái)執(zhí)行網(wǎng)格性能測(cè)試套件。根據(jù)高性能計(jì)算系統(tǒng)常見(jiàn)的應(yīng)用場(chǎng)景，網(wǎng)格軟件性能測(cè)試工具可設(shè)置的場(chǎng)景主要包括bell曲線、緩沖區(qū)測(cè)試、線性增加和穩(wěn)定負(fù)載。這樣，通過(guò)使用不同的測(cè)試場(chǎng)景來(lái)使用不同的測(cè)試用例，同時(shí)還應(yīng)支持跨越遠(yuǎn)端的網(wǎng)格服務(wù)器分布虛擬用戶，從而模擬極限測(cè)試與壓力測(cè)試。

本文采用的測(cè)試模型是:①將用戶直接連接到單點(diǎn)CA服務(wù)器上訪問(wèn)數(shù)字資源;②將用戶放入網(wǎng)格環(huán)境中連接OGCE portal門(mén)戶訪問(wèn)數(shù)字資源;③壓力測(cè)試，模擬I00用戶分別通過(guò)CA和OGCE訪問(wèn)數(shù)字資源。

模擬用戶，可以編寫(xiě)OGCE登錄腳本從幾臺(tái)實(shí)驗(yàn)客戶端并發(fā)向OGCE發(fā)送請(qǐng)求。

具體做法如下:

①統(tǒng)一所有服務(wù)器的NTP(網(wǎng)絡(luò)時(shí)間協(xié)議)將網(wǎng)絡(luò)時(shí)間的誤差控制在最小范圍，列舉需要記錄時(shí)間的幾個(gè)模塊，由于模塊間并不是串聯(lián)通信，所以必須進(jìn)行一定的數(shù)學(xué)計(jì)算，時(shí)間的精確程度直接影響測(cè)算的準(zhǔn)確度。

②在用戶環(huán)境下記錄Session發(fā)起時(shí)間，以點(diǎn)擊鼠標(biāo)的時(shí)間為準(zhǔn)，此處沒(méi)有專(zhuān)門(mén)的程序記錄Log日志，為純?nèi)斯げ僮鳌?/p>

③將單用戶訪問(wèn)時(shí)，Session建立的起止時(shí)間記錄在log文件中。建立Session時(shí)，在前臺(tái)JSP頁(yè)面?zhèn)鬏擟urrentTime到后臺(tái)Java環(huán)境中，并記錄在OGCE服務(wù)器中。

④將MyProxy向用戶下發(fā)代理證書(shū)時(shí)間記錄在MyProxy服務(wù)器的Log文件中。

⑤將Session建立時(shí)間和Session發(fā)起時(shí)間取差值。計(jì)算OGCE響應(yīng)時(shí)間。類(lèi)似可計(jì)算MyProxy證書(shū)下發(fā)響應(yīng)時(shí)間與資源服務(wù)器響應(yīng)時(shí)間。

得出的數(shù)據(jù)如表1:

從數(shù)據(jù)上我們不難看出，該模型的主要瓶頸，并不在于門(mén)戶和中間層用戶代理，相反，資源服務(wù)器的負(fù)荷是制約容量的最大瓶頸，這也與一般的網(wǎng)絡(luò)資源訪問(wèn)架構(gòu)一致，證明，網(wǎng)格安全在應(yīng)用上不存在著先天性的硬傷，網(wǎng)絡(luò)的發(fā)展以及服務(wù)器的發(fā)展，是增大數(shù)據(jù)容量的最重要的因素。

5 模型的改進(jìn)過(guò)程

可信任的第四方的密鑰托管機(jī)制，這也是作者在本次模型中尚未實(shí)現(xiàn)的模塊，但作者認(rèn)為，密鑰托管在這個(gè)模型中有很重要的意義，(1)從安全性角度上講，密鑰托管，將保管密鑰的工作從客戶端轉(zhuǎn)化到可信任的服務(wù)器端，這使密鑰的管理更加集中，也避免了不安全的客戶端導(dǎo)致的網(wǎng)絡(luò)和服務(wù)器安全問(wèn)題，避免將密鑰安全轉(zhuǎn)嫁到客戶端系統(tǒng)安全中。

(2)密鑰托管，為移動(dòng)用戶提供了新的密鑰遷移思路，如果密鑰非主機(jī)綁定(這也是GSI的一個(gè)特點(diǎn)，也是本模塊實(shí)現(xiàn)的難點(diǎn))，則密鑰遷移可以減少新證書(shū)頒發(fā)的頻率，減輕CA服務(wù)器的負(fù)擔(dān)，對(duì)于密鑰的可重復(fù)使用有著很重要的現(xiàn)實(shí)意義。

(3)密鑰托管機(jī)制，可以進(jìn)一步加強(qiáng)權(quán)限控制管理，CA的職能是控制密鑰的頒發(fā)，而密鑰托管機(jī)構(gòu)則是控制密鑰的可用性，在分布式CA的狀態(tài)下，統(tǒng)一的密鑰管理，可以對(duì)密鑰的作廢和更新進(jìn)行集中的規(guī)劃，對(duì)密鑰的權(quán)限進(jìn)行進(jìn)一步的劃分，這樣，MyProxy的部分職能也就轉(zhuǎn)嫁到密鑰托管中心。

參考文獻(xiàn)

[1]田華，鄢喜愛(ài).圖書(shū)館數(shù)據(jù)庫(kù)安全技術(shù)研究[J].重慶圖情研究，2007，(2):11-13，17.

[2]王偉，李小鵬，張明果.圖書(shū)館INTRANET網(wǎng)絡(luò)及信息系統(tǒng)的安全技術(shù)[J].情報(bào)雜志，2001，(3):41-43.

[3]Keahey K，Welch V.Fine-grain authorization for resource management in the G rid environment.Proc.of Grid2002 Workshop，2002.2.

[4]Tuecke S，Czajkowski K，F(xiàn)oster I.Open Grid Services Infrastructure(OGSI)Version 1.0.[R].Global Grid Forum，2003.4.