網(wǎng)格環(huán)境下數(shù)字圖書(shū)館的訪問(wèn)控制研究

王知津 于曉燕

摘要根據(jù)網(wǎng)格環(huán)境下數(shù)字圖書(shū)館的安全特征及其在訪問(wèn)控制中面臨的主要問(wèn)題，指出了網(wǎng)格環(huán)境下數(shù)字圖書(shū)館訪問(wèn)控制的關(guān)鍵技術(shù)，并進(jìn)一步對(duì)四種訪問(wèn)控制策略進(jìn)行了分析，它們分別是：自主訪問(wèn)控制策略、強(qiáng)制訪問(wèn)控制策略、基于角色的訪問(wèn)控制策略和基于任務(wù)的訪問(wèn)控制策略。

關(guān)鍵詞網(wǎng)格數(shù)字圖書(shū)館網(wǎng)格訪問(wèn)訪問(wèn)控制

1引言

網(wǎng)格環(huán)境下的數(shù)字圖書(shū)館的資源是分布型的，這些信息可能屬于組織或個(gè)人，并且存在于多種異構(gòu)平臺(tái)下，同時(shí)這些信息本身也是異構(gòu)的，如關(guān)系型數(shù)據(jù)庫(kù)、文件等。大量的用戶(hù)需要對(duì)這些資源提出服務(wù)請(qǐng)求，與傳統(tǒng)的客戶(hù)機(jī)／服務(wù)器模式的信息系統(tǒng)相比，網(wǎng)格環(huán)境下的數(shù)字圖書(shū)館的安全機(jī)制要復(fù)雜很多。網(wǎng)格必須為這些數(shù)字圖書(shū)館的管理者提供安全管理機(jī)制，每個(gè)數(shù)字圖書(shū)館的管理者可以自由地決定共享哪些信息、共享給誰(shuí)或不共享哪些信息、不共享給誰(shuí)。信息的共享需嚴(yán)格控制，作為信息提供者的數(shù)字圖書(shū)館有權(quán)決定信息共享的所有策略，且這種權(quán)限控制必須是易維護(hù)并獨(dú)立于數(shù)據(jù)源本身，同時(shí)應(yīng)該在邏輯上提供不同的安全管理層次和控制程度。本文討論了網(wǎng)格環(huán)境下數(shù)字圖書(shū)館的安全特征及其在訪問(wèn)控制中面臨的主要問(wèn)題，指出了網(wǎng)格環(huán)境下數(shù)字圖書(shū)館訪問(wèn)控制的關(guān)鍵技術(shù)，并對(duì)四種訪問(wèn)控制策略進(jìn)行了重點(diǎn)分析。

2網(wǎng)格環(huán)境下數(shù)字圖書(shū)館的安全特征

網(wǎng)格上各個(gè)數(shù)字圖書(shū)館具有相互獨(dú)立性，用戶(hù)對(duì)信息的使用不依賴(lài)網(wǎng)格的結(jié)構(gòu)。對(duì)于用戶(hù)而言，信息網(wǎng)格呈現(xiàn)單一系統(tǒng)映像。網(wǎng)格中的信息共享關(guān)系是動(dòng)態(tài)的，這種共享關(guān)系具有很強(qiáng)的擴(kuò)展性，各個(gè)用戶(hù)之間可以方便地建立、撤銷(xiāo)共享及信任與授權(quán)關(guān)系；網(wǎng)格中的信息不僅可以被用戶(hù)訪問(wèn)，還可以被其他數(shù)字圖書(shū)館服務(wù)訪問(wèn)，為其信息服務(wù)提供基本的支持。網(wǎng)格中各個(gè)數(shù)字圖書(shū)館系統(tǒng)作為整個(gè)網(wǎng)格中有機(jī)的一部分，既為用戶(hù)提供統(tǒng)一的映像，又可以實(shí)現(xiàn)獨(dú)立控制和使用的目的。

由于網(wǎng)格中各個(gè)數(shù)字圖書(shū)館安全策略的差異，使得網(wǎng)格成為一個(gè)由多個(gè)不同安全策略構(gòu)成的異構(gòu)環(huán)境。因此，該環(huán)境必須支持多管理域間的策略協(xié)調(diào)與互操作。

下面，就網(wǎng)格環(huán)境下數(shù)字圖書(shū)館的主要安全特征分四個(gè)層面進(jìn)行分析，他們分別是：用戶(hù)層面、資源層面、應(yīng)用層面和網(wǎng)絡(luò)層面。

(1)用戶(hù)層面

網(wǎng)格環(huán)境中的用戶(hù)數(shù)量很大并在不斷變化之中，網(wǎng)格用戶(hù)是一個(gè)動(dòng)態(tài)的群體，他們可能來(lái)自不同的組織且頻繁改變。在網(wǎng)格數(shù)字圖書(shū)館系統(tǒng)中，合法的用戶(hù)主要關(guān)心的是能否有足夠的資源來(lái)完成其信息服務(wù)的請(qǐng)求以及其合法性是否會(huì)受到侵犯。雖然網(wǎng)格中的用戶(hù)可以屬于不同的組織，但出于計(jì)賬和訪問(wèn)控制的考慮，用戶(hù)在不同的資源上需要映射到對(duì)應(yīng)不同的本地名字空間的驗(yàn)證或本地賬號(hào)。

(2)資源層面

網(wǎng)格環(huán)境中的信息資源數(shù)量很多且在不斷變化，網(wǎng)格中的資源是跨管理域的、異構(gòu)的，來(lái)自不同的所有者。網(wǎng)格信息資源的所有者有權(quán)決定是否以及何時(shí)共享信息資源，并且訪問(wèn)控制策略可根據(jù)空間信息資源的數(shù)量和位置以及用戶(hù)的要求迅速改變。對(duì)于資源所有者來(lái)說(shuō)，所關(guān)心的是其資源的安全是否可以得到保障。資源擴(kuò)張帶來(lái)的資源安全隱患是網(wǎng)格中的一個(gè)重要問(wèn)題。

(3)應(yīng)用層面

應(yīng)用是與用戶(hù)和資源相關(guān)聯(lián)的網(wǎng)格實(shí)體。應(yīng)用由用戶(hù)提交，使用網(wǎng)格資源完成預(yù)先設(shè)定的功能，并獲得運(yùn)行結(jié)果。當(dāng)用戶(hù)將應(yīng)用提交給網(wǎng)格資源后，用戶(hù)希望該應(yīng)用不被其他用戶(hù)所破壞，同時(shí)也希望運(yùn)行結(jié)果是保密的，其代碼和運(yùn)行結(jié)果不被其他用戶(hù)隨意獲得。網(wǎng)格環(huán)境中的服務(wù)應(yīng)用程序可在其執(zhí)行過(guò)程中通過(guò)加密等方法動(dòng)態(tài)地請(qǐng)求、啟動(dòng)相應(yīng)的進(jìn)程并完成申請(qǐng)、釋放信息資源。

(4)網(wǎng)絡(luò)層面

網(wǎng)絡(luò)是網(wǎng)格系統(tǒng)實(shí)現(xiàn)計(jì)算與信息服務(wù)的通信基礎(chǔ)。網(wǎng)格環(huán)境必須與現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)充分融合，網(wǎng)格空間信息資源能支持不同的本地認(rèn)證、授權(quán)機(jī)制與策略，且這些機(jī)制與策略具有互操作性。

3網(wǎng)格環(huán)境下的數(shù)字圖書(shū)館訪問(wèn)控制的關(guān)鍵問(wèn)題

網(wǎng)格環(huán)境下數(shù)字圖書(shū)館信息訪問(wèn)控制的目的就是實(shí)現(xiàn)通用服務(wù)、輔助智能、全局一體以及自主控制。在信息訪問(wèn)控制研究中遇到的幾個(gè)關(guān)鍵問(wèn)題是通用性問(wèn)題、自主控制問(wèn)題、互操作問(wèn)題和管理問(wèn)題。

3.1通用性

網(wǎng)格訪問(wèn)控制的通用性是指其訪問(wèn)控制機(jī)制可以實(shí)現(xiàn)多種用戶(hù)根據(jù)其自身的不同需求自定義多種訪問(wèn)控制策略。在網(wǎng)格數(shù)字圖書(shū)館中，每個(gè)管理員都要根據(jù)自身的需求制定訪問(wèn)控制策略，從而使得網(wǎng)格的訪問(wèn)控制策略具有多樣性，因此網(wǎng)格的訪問(wèn)控制機(jī)制需要支持這些訪問(wèn)控制策略。

由訪問(wèn)控制策略確定的具體的授權(quán)規(guī)則需要通過(guò)訪問(wèn)控制模型實(shí)現(xiàn)，訪問(wèn)控制模型實(shí)現(xiàn)多種授權(quán)規(guī)則的能力就體現(xiàn)了其通用性。信息網(wǎng)格訪問(wèn)控制通用性的研究主要是信息網(wǎng)格訪問(wèn)控制模型的研究。一個(gè)策略中立的、形式化的、具有通用性的、可以靈活的表達(dá)各種訪問(wèn)控制策略的訪問(wèn)控制模型是信息網(wǎng)格訪問(wèn)控制研究的首要問(wèn)題，是解決其他問(wèn)題的前提條件。其中策略中立使得訪問(wèn)控制模型不必局限于自主訪問(wèn)控制或強(qiáng)制訪問(wèn)控制等策略；形式化的模型可以有效地實(shí)現(xiàn)管理域問(wèn)的訪問(wèn)控制映射，并驗(yàn)證訪問(wèn)控制的正確性。

3.2自主控制

網(wǎng)格訪問(wèn)控制的自主控制是指在信息網(wǎng)格的各個(gè)管理域中，都可以由該域中的管理員獨(dú)立地制定本管理域的訪問(wèn)控制策略。例如，網(wǎng)格中的一個(gè)數(shù)字圖書(shū)館訪問(wèn)控制策略的制定不受其他數(shù)字圖書(shū)館訪問(wèn)控制策略的干涉以及整個(gè)網(wǎng)格結(jié)構(gòu)的影響。當(dāng)一個(gè)數(shù)字圖書(shū)館或其他組織加入或退出信息網(wǎng)格時(shí)，不對(duì)信息網(wǎng)格其他組織的訪問(wèn)控制策略產(chǎn)生影響，而其自身的訪問(wèn)控制策略也不因加入或退出信息網(wǎng)格而改變。

在一個(gè)數(shù)字圖書(shū)館組織的內(nèi)部，同樣存在著訪問(wèn)控制的自主控制問(wèn)題，這通常體現(xiàn)為一個(gè)組織的各個(gè)部門(mén)對(duì)屬于本部門(mén)的信息資源授權(quán)的獨(dú)立性。

數(shù)字圖書(shū)館自主控制的實(shí)質(zhì)是讓圖書(shū)館自身?yè)碛袑?duì)屬于自己的信息資源的最終控制權(quán)。這是信息網(wǎng)格的一個(gè)重要特征，也是信息網(wǎng)格訪問(wèn)控制必須遵守的原則。跨管理域的授權(quán)不能超越本地的訪問(wèn)控制策略所制定的授權(quán)規(guī)則。

網(wǎng)格數(shù)字圖書(shū)館訪問(wèn)控制的自主控制問(wèn)題與通用性問(wèn)題的區(qū)別在于：通用性問(wèn)題解決的是支持和最終實(shí)現(xiàn)多種訪問(wèn)控制策略的問(wèn)題，而自主控制問(wèn)題主要解決的是在管理域中訪問(wèn)控制的獨(dú)立性問(wèn)題。

3.3互操作

網(wǎng)格訪問(wèn)控制的互操作問(wèn)題，實(shí)際上是解決網(wǎng)格中各個(gè)管理域之間跨域的授權(quán)問(wèn)題。網(wǎng)格中的某個(gè)數(shù)字圖書(shū)館系統(tǒng)需要提供單一登陸、單一控制點(diǎn)的授權(quán)機(jī)制，以實(shí)現(xiàn)全局一體的訪問(wèn)控制。

在跨管理域的授權(quán)中，由于信息訪問(wèn)的主體和客體可能屬于訪問(wèn)策略不同的管理域，訪問(wèn)控制可能會(huì)發(fā)生沖突，這就需要一定的協(xié)調(diào)機(jī)制。訪問(wèn)控制的互操作要滿足以下2條原則。

(1)自主原則：即在某一管理域中允許的信息訪問(wèn)，通過(guò)互操作也允許。

(2)安全原則：即在某一管理域中禁止的信息訪問(wèn)，通過(guò)互操作也禁止。

在網(wǎng)格數(shù)字圖書(shū)館的信息共享和信息服務(wù)中，有大量的跨管理域的訪問(wèn)控制的互操作需求。一個(gè)數(shù)字圖書(shū)館為用戶(hù)提供了一個(gè)單一入口點(diǎn)，但用戶(hù)得到的信息可能來(lái)源于多個(gè)信息服務(wù)系統(tǒng)，這時(shí)就需要網(wǎng)格中的多個(gè)組織進(jìn)行資源共享和協(xié)調(diào)。例如：用戶(hù)通過(guò)圖書(shū)館自動(dòng)化管理系統(tǒng)可以查詢(xún)到自己帳戶(hù)的借書(shū)狀態(tài)、通過(guò)上網(wǎng)帳戶(hù)管理查看自己的上網(wǎng)清單、通過(guò)統(tǒng)一檢索平臺(tái)檢索期刊數(shù)據(jù)庫(kù)并下載全文、通過(guò)原文傳遞服務(wù)申請(qǐng)不具有訪問(wèn)權(quán)限的全文信息、通過(guò)教參系統(tǒng)查看自己關(guān)心的課程的教學(xué)參考情況、通過(guò)VPN系統(tǒng)登陸到虛擬組織……

以上實(shí)例說(shuō)明網(wǎng)格信息就是這樣一個(gè)存在大量的各種信息系統(tǒng)間信息交互的系統(tǒng)，各個(gè)系統(tǒng)之間的信息需要互操作。而這些組織可能存在著自己的訪問(wèn)控制策略，由于網(wǎng)格中信息訪問(wèn)控制策略的多樣性，在管理域訪問(wèn)控制的互操作中可能會(huì)出現(xiàn)訪問(wèn)控制規(guī)則的沖突，從而需要一個(gè)協(xié)調(diào)機(jī)制。

3.4管理

網(wǎng)格訪問(wèn)控制的管理問(wèn)題就是要解決網(wǎng)格中訪問(wèn)控制的安全漏洞，提高網(wǎng)格訪問(wèn)安全性。

網(wǎng)格中存在多個(gè)數(shù)字圖書(shū)館系統(tǒng)、多種安全策略、大量的用戶(hù)及信息服務(wù)請(qǐng)求，還有各種異構(gòu)的信息資源，訪問(wèn)控制又存在多種粒度，同時(shí)信息網(wǎng)格是一個(gè)開(kāi)放、動(dòng)態(tài)的系統(tǒng)，所以必須提供一個(gè)易于管理的訪問(wèn)控制輔助工具，以降低訪問(wèn)控制管理的復(fù)雜度。

如果把網(wǎng)格環(huán)境下的每個(gè)獨(dú)立的數(shù)字圖書(shū)館系統(tǒng)看作是一個(gè)個(gè)獨(dú)立的管理域，那么，由于管理域間的訪問(wèn)控制策略的差異，跨管理域的授權(quán)可能會(huì)降低訪問(wèn)控制的確定性，造成安全漏洞。網(wǎng)格訪問(wèn)控制的管理，就是要通過(guò)一些輔助工具發(fā)現(xiàn)這些安全漏洞，為安全管理員提供輔助智能以便簡(jiǎn)化安全管理的流程。其管理內(nèi)容包括以下三方面內(nèi)容：

(1)遠(yuǎn)程訪問(wèn)安全管理：主要是保證用戶(hù)與系統(tǒng)之間的數(shù)據(jù)安全，防止偽裝用戶(hù)、防止偽裝服務(wù)器、防止對(duì)用戶(hù)數(shù)據(jù)的竊聽(tīng)和篡改、防止遠(yuǎn)程攻擊和入侵。

(2)用戶(hù)權(quán)利安全管理：主要是保證合法用戶(hù)正常使用授權(quán)的資源，防止非法用戶(hù)使用資源、防止合法用戶(hù)越權(quán)使用資源。

(3)作業(yè)和任務(wù)安全管理：主要是保證作業(yè)和任務(wù)的運(yùn)行安全，保證進(jìn)程間的通信安全、防止惡意程序運(yùn)行、保證系統(tǒng)的完整性。

綜上所述，網(wǎng)格環(huán)境下數(shù)字圖書(shū)館訪問(wèn)控制的關(guān)鍵問(wèn)題與網(wǎng)格的指導(dǎo)思想是一一對(duì)應(yīng)的。通用性問(wèn)題和自主控制問(wèn)題是網(wǎng)格特色的體現(xiàn)；互操作問(wèn)題是網(wǎng)格多管理域的特點(diǎn)對(duì)訪問(wèn)控制提出的要求，同時(shí)也體現(xiàn)了全局一體的指導(dǎo)思想；訪問(wèn)控制的管理問(wèn)題則是所有信息系統(tǒng)安全控制都面臨的問(wèn)題，只不過(guò)在網(wǎng)格中該問(wèn)題尤為突出。

4網(wǎng)格環(huán)境下數(shù)字圖書(shū)館訪問(wèn)控制的關(guān)鍵技術(shù)

網(wǎng)格環(huán)境下數(shù)字圖書(shū)館創(chuàng)立的目標(biāo)就是利用網(wǎng)格技術(shù)實(shí)現(xiàn)資源共享與協(xié)作，消除信息孤島。用戶(hù)將信息需求提交給數(shù)字圖書(shū)館系統(tǒng)，系統(tǒng)通過(guò)分析、查找、選擇最終將用戶(hù)所需的數(shù)據(jù)傳送給用戶(hù)，其流程如圖1所示。

首先，數(shù)據(jù)訪問(wèn)管理接收用戶(hù)對(duì)信息需求的描述，并將需求傳遞給資源調(diào)度與遠(yuǎn)程服務(wù)，通過(guò)調(diào)度系統(tǒng)在多個(gè)數(shù)據(jù)復(fù)本中選擇出最優(yōu)的存儲(chǔ)位置進(jìn)行數(shù)據(jù)查詢(xún)，并通過(guò)元數(shù)據(jù)管理確定數(shù)字對(duì)象的存儲(chǔ)路徑和物理文件名，然后將這些信息傳給數(shù)據(jù)傳輸機(jī)制，再逐級(jí)將檢索結(jié)果返回給用戶(hù)。

在整個(gè)流程中涉及的關(guān)鍵技術(shù)包括數(shù)據(jù)訪問(wèn)管理、資源調(diào)度與遠(yuǎn)程服務(wù)、數(shù)據(jù)復(fù)制技術(shù)、數(shù)據(jù)傳輸機(jī)制和元數(shù)據(jù)管理。

4.1數(shù)據(jù)訪問(wèn)管理

網(wǎng)格環(huán)境下數(shù)字圖書(shū)館的數(shù)據(jù)資源多種多樣，其表示、存儲(chǔ)的形式也各不相同。有些數(shù)據(jù)是以文件形式存儲(chǔ)的；有些數(shù)據(jù)則存儲(chǔ)在數(shù)據(jù)庫(kù)或者數(shù)據(jù)倉(cāng)庫(kù)中；還有一些特殊數(shù)據(jù)(如統(tǒng)計(jì)軟件生成的統(tǒng)計(jì)分析數(shù)據(jù)等)則以專(zhuān)門(mén)的系統(tǒng)格式存儲(chǔ)在各系統(tǒng)之中；另有一些數(shù)據(jù)是由多個(gè)分布存儲(chǔ)系統(tǒng)中的數(shù)據(jù)組成。

方便而有效地訪問(wèn)各種異構(gòu)數(shù)據(jù)組成的數(shù)據(jù)集合是網(wǎng)格環(huán)境下數(shù)字圖書(shū)館的主要功能，也是數(shù)字圖書(shū)館向用戶(hù)提供服務(wù)的關(guān)鍵。如果為每一種數(shù)據(jù)存儲(chǔ)方式提供一種訪問(wèn)方法，那么用戶(hù)是不能接受的。因此，作為網(wǎng)格環(huán)境下的數(shù)字圖書(shū)館必須將各種形式的數(shù)據(jù)存儲(chǔ)系統(tǒng)進(jìn)行抽象，形成一個(gè)抽象模型，為不同的數(shù)據(jù)存儲(chǔ)系統(tǒng)提供統(tǒng)一的數(shù)據(jù)訪問(wèn)接口。

數(shù)據(jù)訪問(wèn)管理的作用就是將數(shù)據(jù)存儲(chǔ)與數(shù)據(jù)檢索等高層用戶(hù)的請(qǐng)求映射為異構(gòu)分布式存儲(chǔ)環(huán)境中的底層數(shù)據(jù)進(jìn)行存儲(chǔ)、訪問(wèn)操作，實(shí)現(xiàn)廣域范圍內(nèi)對(duì)數(shù)據(jù)有效的、統(tǒng)一的訪問(wèn)及管理。

4.2資源調(diào)度與遠(yuǎn)程服務(wù)

在網(wǎng)格環(huán)境中，數(shù)字圖書(shū)館系統(tǒng)需要進(jìn)行資源的調(diào)度優(yōu)化和服務(wù)執(zhí)行，它主要包括請(qǐng)求的調(diào)度優(yōu)化、資源的調(diào)度優(yōu)化和資源的服務(wù)執(zhí)行。

請(qǐng)求的調(diào)度優(yōu)化要對(duì)用戶(hù)資源請(qǐng)求與可用資源進(jìn)行匹配，當(dāng)眾多用戶(hù)和應(yīng)用請(qǐng)求同時(shí)到達(dá)，就必須統(tǒng)籌優(yōu)化安排多個(gè)請(qǐng)求的資源需求。

遠(yuǎn)程執(zhí)行服務(wù)機(jī)制保證了多個(gè)地點(diǎn)的系統(tǒng)能夠遠(yuǎn)程啟動(dòng)執(zhí)行，能夠監(jiān)控、收集和查詢(xún)狀態(tài)信息，控制地理位置上分布的多個(gè)系統(tǒng)的任務(wù)執(zhí)行過(guò)程。

4.3數(shù)據(jù)復(fù)制技術(shù)

網(wǎng)格環(huán)境下數(shù)字圖書(shū)館的各種數(shù)據(jù)需要經(jīng)常復(fù)制，復(fù)制本質(zhì)上是對(duì)數(shù)據(jù)的緩存。雖然網(wǎng)絡(luò)速度提高很快，但要達(dá)到高性能頻繁訪問(wèn)和處理大量遠(yuǎn)程數(shù)據(jù)仍然很困難。復(fù)制技術(shù)為用戶(hù)應(yīng)用提供一個(gè)能夠快速訪問(wèn)和處理遠(yuǎn)程數(shù)據(jù)的局部緩沖數(shù)據(jù)拷貝，避免大量數(shù)據(jù)遠(yuǎn)程傳輸?shù)綉?yīng)用端。

復(fù)制目錄的結(jié)構(gòu)必須靈活且可擴(kuò)展，以免影響性能的發(fā)揮。在網(wǎng)格中，由于數(shù)據(jù)的復(fù)制和緩沖導(dǎo)致了網(wǎng)格特有的安全問(wèn)題，即一個(gè)站點(diǎn)緩沖了位于另一個(gè)地點(diǎn)系統(tǒng)中的數(shù)據(jù)，2個(gè)系統(tǒng)之間的安全保護(hù)機(jī)制、措施和安全級(jí)別不同，因此，數(shù)字圖書(shū)館如何能夠滿足每一個(gè)數(shù)據(jù)擁有者的對(duì)所有數(shù)據(jù)安全級(jí)別保護(hù)的要求是一個(gè)非常關(guān)鍵的問(wèn)題。

4.4數(shù)據(jù)傳輸機(jī)制

網(wǎng)格計(jì)算涉及大量數(shù)據(jù)的移動(dòng)、傳輸和復(fù)制，這就需要一種高效的數(shù)據(jù)傳輸機(jī)制來(lái)支持。數(shù)據(jù)傳輸管理就是要保證在廣域網(wǎng)絡(luò)環(huán)境下高速地、可靠地傳輸數(shù)據(jù)。數(shù)據(jù)傳輸機(jī)制應(yīng)支持以下幾種功能：

(1)支持高速數(shù)據(jù)傳輸：要支持廣泛的數(shù)據(jù)傳輸協(xié)議，可以采用并行數(shù)據(jù)傳輸機(jī)制。

(2)支持分塊數(shù)據(jù)傳輸：要支持多個(gè)分塊數(shù)據(jù)的并發(fā)數(shù)據(jù)傳輸，匯總后形成一個(gè)完整的數(shù)據(jù)集。

(3)支持部分?jǐn)?shù)據(jù)傳輸：用戶(hù)和應(yīng)用程序經(jīng)常需要數(shù)據(jù)集中的一部分?jǐn)?shù)據(jù)，而不是整個(gè)數(shù)據(jù)集，比如一個(gè)文件中的一段數(shù)據(jù)，因此支持部分?jǐn)?shù)據(jù)傳輸方式。

(4)支持多方數(shù)據(jù)傳輸：許多應(yīng)用程序需要用到多個(gè)資源，必須提供一種機(jī)制，允許1個(gè)地點(diǎn)的用戶(hù)和應(yīng)用程序能夠啟動(dòng)、監(jiān)視和控制其他2個(gè)地點(diǎn)存儲(chǔ)系統(tǒng)的數(shù)據(jù)傳輸，為應(yīng)用使用多個(gè)地點(diǎn)的資源提供保障。

(5)支持?jǐn)帱c(diǎn)續(xù)傳的數(shù)據(jù)傳輸：當(dāng)因數(shù)據(jù)傳輸故障導(dǎo)致傳輸中斷時(shí)，應(yīng)有斷點(diǎn)續(xù)傳和傳輸錯(cuò)誤恢復(fù)機(jī)制。

4.5元數(shù)據(jù)管理

良好地表示、存儲(chǔ)、訪問(wèn)和使用大量信息資源是網(wǎng)格環(huán)境下數(shù)字圖書(shū)館運(yùn)行的基本前提。在網(wǎng)格環(huán)境下，數(shù)字圖書(shū)館是分布的，資源及其提供者也是分布的。這些資源包括數(shù)據(jù)、計(jì)算機(jī)、設(shè)備、網(wǎng)絡(luò)、外

設(shè)、軟件、服務(wù)、代碼、人員等。元數(shù)據(jù)管理服務(wù)負(fù)責(zé)對(duì)網(wǎng)格中的各類(lèi)信息資源進(jìn)行命名、描述、收集、組織和管理，通過(guò)元數(shù)據(jù)管理，數(shù)字圖書(shū)館可以實(shí)現(xiàn)網(wǎng)格環(huán)境下的各類(lèi)信息服務(wù)。

元數(shù)據(jù)可以分為系統(tǒng)元數(shù)據(jù)、復(fù)本元數(shù)據(jù)和應(yīng)用元數(shù)據(jù)。系統(tǒng)元數(shù)據(jù)記錄網(wǎng)格自身的結(jié)構(gòu)信息，如網(wǎng)絡(luò)互聯(lián)情況、存儲(chǔ)系統(tǒng)的容量、計(jì)算機(jī)空閑情況、使用策略等。復(fù)本元數(shù)據(jù)記錄與數(shù)據(jù)副本有關(guān)的信息，如文件與具體存儲(chǔ)系統(tǒng)之間的映射信息。應(yīng)用元數(shù)據(jù)是指具體應(yīng)用相關(guān)的文件邏輯結(jié)構(gòu)或語(yǔ)義信息，如數(shù)據(jù)的內(nèi)容和結(jié)構(gòu)、獲取數(shù)據(jù)的必要條件等。為了實(shí)現(xiàn)命名、定位和訪問(wèn)的透明性，網(wǎng)格不僅需要有效地管理數(shù)量繁多的名字和屬性以及它們之間的關(guān)系，需要管理數(shù)據(jù)集的定位信息和數(shù)據(jù)資源存儲(chǔ)形式等相關(guān)信息，還需要管理系統(tǒng)資源的安全、授權(quán)、訪問(wèn)控制等信息。

5網(wǎng)格環(huán)境下數(shù)字圖書(shū)館訪問(wèn)控制的關(guān)鍵策略

網(wǎng)格環(huán)境下數(shù)字圖書(shū)館的訪問(wèn)控制實(shí)質(zhì)是一種限制合法(即已通過(guò)認(rèn)證機(jī)制的)的實(shí)體(即用戶(hù)或信息服務(wù)請(qǐng)求)的行為和操作的安全機(jī)制。也就是說(shuō)，數(shù)字圖書(shū)館系統(tǒng)需要對(duì)合法的用戶(hù)或服務(wù)請(qǐng)求的信息訪問(wèn)進(jìn)行授權(quán)。

訪問(wèn)控制通過(guò)驗(yàn)證監(jiān)控程序在數(shù)字圖書(shū)館系統(tǒng)中仲裁每一個(gè)用戶(hù)或某個(gè)用戶(hù)行為的服務(wù)訪問(wèn)請(qǐng)求。在訪問(wèn)控制驗(yàn)證中，驗(yàn)證監(jiān)控程序通過(guò)參照授權(quán)的數(shù)字圖書(shū)館系統(tǒng)來(lái)決定該用戶(hù)的操作請(qǐng)求是否被授權(quán)，系統(tǒng)的安全管理員或用戶(hù)在進(jìn)行授權(quán)的決策中要嚴(yán)格遵守該數(shù)字圖書(shū)館系統(tǒng)的訪問(wèn)控制策略。

訪問(wèn)控制系統(tǒng)一般包括：

主體：發(fā)出訪問(wèn)操作、存取要求的主動(dòng)方，通常指數(shù)字圖書(shū)館的用戶(hù)或某個(gè)應(yīng)用程序進(jìn)程。

客體：被調(diào)用的程序或欲存取的數(shù)據(jù)和資源，通常指數(shù)字圖書(shū)館系統(tǒng)本身。

授權(quán)訪問(wèn)：指主體訪問(wèn)客體的許可。授權(quán)訪問(wèn)對(duì)每一對(duì)主體和客體來(lái)說(shuō)，在某一時(shí)間內(nèi)是給定的。例如，授權(quán)訪問(wèn)有讀寫(xiě)、執(zhí)行。

訪問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用，同時(shí)也是維護(hù)網(wǎng)格系統(tǒng)的安全、保護(hù)網(wǎng)格資源的重要手段。常見(jiàn)的訪問(wèn)控制策略主要有自主訪問(wèn)控制策略、強(qiáng)制訪問(wèn)控制策略、基于角色的訪問(wèn)控制策略和基于任務(wù)的訪問(wèn)控制策略。

5.1自主訪問(wèn)控制策略

自主訪問(wèn)控制是一種最普通的訪問(wèn)控制手段，它的含義是由客體自主地來(lái)確定各個(gè)主體對(duì)它的直接訪問(wèn)權(quán)限。自主訪問(wèn)控制基于對(duì)主體或主體所屬的主體組標(biāo)識(shí)來(lái)限制對(duì)客體的訪問(wèn)，并允許主體顯式地指定其他主體對(duì)該主體所擁有的信息資源是否可以訪問(wèn)及可執(zhí)行的訪問(wèn)類(lèi)型，這種控制是自主的。自主策略以用戶(hù)的身份為基礎(chǔ)，規(guī)范系統(tǒng)中每個(gè)信息資源訪問(wèn)模式的授權(quán)方式，實(shí)現(xiàn)接入式控制服務(wù)。在自主訪問(wèn)控制中，用戶(hù)對(duì)數(shù)字圖書(shū)館系統(tǒng)進(jìn)行訪問(wèn)的每一個(gè)請(qǐng)求都由授權(quán)規(guī)范進(jìn)行檢查驗(yàn)證。

自主訪問(wèn)控制策略的優(yōu)點(diǎn)是具有很強(qiáng)的靈活性，其缺點(diǎn)是信息在系統(tǒng)中傳遞的時(shí)候，并不能提供真正的安全保證。這是因?yàn)椋谧灾髟L問(wèn)策略中，用戶(hù)一旦獲得某信息后，就不再對(duì)用戶(hù)使用該信息的行為加以限制，因此信息的分發(fā)是不被控制的。

例如，用戶(hù)A是數(shù)字圖書(shū)館系統(tǒng)x的一個(gè)授權(quán)訪問(wèn)用戶(hù)，而用戶(hù)B不具有該系統(tǒng)的訪問(wèn)權(quán)限，然而，用戶(hù)A可以將其從數(shù)字圖書(shū)館系統(tǒng)x訪問(wèn)到的內(nèi)容傳遞給用戶(hù)B，使本不具有訪問(wèn)該系統(tǒng)的用戶(hù)B也訪問(wèn)到系統(tǒng)x。由于這種信息分發(fā)過(guò)程不需要經(jīng)過(guò)數(shù)字圖書(shū)館系統(tǒng)的認(rèn)證，因此，很容易產(chǎn)生安全漏洞，所以自主訪問(wèn)控制策略的安全級(jí)別很低。

5.2強(qiáng)制訪問(wèn)控制策略

強(qiáng)制訪問(wèn)控制的基礎(chǔ)是將系統(tǒng)中的主體和客體進(jìn)行分級(jí)。系統(tǒng)中的所有信息資源都被標(biāo)以一定的密級(jí)，每一個(gè)用戶(hù)也被授予某一個(gè)級(jí)別的許可證，例如絕密級(jí)、機(jī)密級(jí)、秘密級(jí)、無(wú)密級(jí)等。對(duì)于任意一個(gè)數(shù)字對(duì)象，只有具有合法許可證的用戶(hù)才能存取。也就是說(shuō)，用戶(hù)對(duì)信息資源的訪問(wèn)只有在用戶(hù)和信息資源的安全等級(jí)滿足一定條件的時(shí)候才能進(jìn)行，這種分等級(jí)的強(qiáng)制控制的核心就是實(shí)現(xiàn)信息流的單向流通。

在多層次安全級(jí)別的數(shù)字圖書(shū)館系統(tǒng)中，要預(yù)先定義用戶(hù)的可信任級(jí)別和信息的敏感程度安全級(jí)別，當(dāng)用戶(hù)提出訪問(wèn)請(qǐng)求時(shí)，系統(tǒng)對(duì)兩者進(jìn)行比較以確定訪問(wèn)是否合法。

強(qiáng)制訪問(wèn)控制策略的優(yōu)點(diǎn)是可以確保信息的安全性和完整性，對(duì)信息訪問(wèn)控制相對(duì)比較嚴(yán)格。其缺點(diǎn)是這種強(qiáng)制訪問(wèn)控制的實(shí)現(xiàn)工作量太大，并且主體訪問(wèn)級(jí)別和客體安全級(jí)別的劃分與現(xiàn)實(shí)要求常常無(wú)法取得一致，此外，同級(jí)別間缺乏控制機(jī)制。

5.3基于角色的訪問(wèn)控制策略

基于角色的訪問(wèn)控制以系統(tǒng)中用戶(hù)的行為為基礎(chǔ)對(duì)用戶(hù)和信息資源的訪問(wèn)進(jìn)行控制。角色可以定義為一組與特定的工作或活動(dòng)相關(guān)聯(lián)的行為和職責(zé)。該技術(shù)的基本思想是將授權(quán)賦予角色而不是直接賦予主體，主體通過(guò)角色分派來(lái)得到客體操作權(quán)限。擁有某角色的用戶(hù)可以訪問(wèn)全部該角色被授權(quán)的信息資源。用戶(hù)在不同的情況下可以有多個(gè)角色，1個(gè)角色也可以擁有多個(gè)用戶(hù)。

在基于角色的訪問(wèn)控制中，用戶(hù)和權(quán)限通過(guò)角色聯(lián)系起來(lái)，用戶(hù)被賦予某種角色，也就擁有相應(yīng)的權(quán)限。這樣就可以十分簡(jiǎn)單地通過(guò)分配和取消角色來(lái)完成用戶(hù)權(quán)限的授予和取消，改變用戶(hù)的角色分配，同時(shí)提供角色分配規(guī)則和操作檢查規(guī)則。在一個(gè)數(shù)字圖書(shū)館系統(tǒng)中，針對(duì)各種工作職能定義不同的角色，并根據(jù)用戶(hù)的責(zé)任和資格分配其角色。安全管理人員根據(jù)需要定義各種角色，設(shè)置合適的訪問(wèn)權(quán)限，而用戶(hù)根據(jù)其責(zé)任和資歷再被指派為不同的角色。這樣，整個(gè)訪問(wèn)控制過(guò)程就被分為兩個(gè)部分，即訪問(wèn)權(quán)限與角色相關(guān)聯(lián)，角色再與用戶(hù)相關(guān)聯(lián)，從而實(shí)現(xiàn)了用戶(hù)與訪問(wèn)權(quán)限的邏輯分離。

由于角色在系統(tǒng)中具有相對(duì)于主體的穩(wěn)定性，并更便于直觀理解，從而大大減少了系統(tǒng)授權(quán)管理的復(fù)雜性，降低了安全管理員的工作復(fù)雜性和工作量。這種方式的優(yōu)點(diǎn)是便于授權(quán)管理，具有很強(qiáng)的靈活性。但是，在實(shí)時(shí)性和協(xié)作性較強(qiáng)的應(yīng)用領(lǐng)域，該方式則顯得力不從心，不能主動(dòng)控制工作流中任務(wù)執(zhí)行的順序是該方式的缺點(diǎn)。

5.4基于任務(wù)的訪問(wèn)控制策略

基于任務(wù)的訪問(wèn)控制其核心思想是從應(yīng)用的角度出發(fā)保護(hù)資源。在這種策略中，主體對(duì)客體的訪問(wèn)，不僅依賴(lài)主體和客體的授權(quán)關(guān)系，還依賴(lài)于主體當(dāng)前執(zhí)行的任務(wù)以及任務(wù)的狀態(tài)?？腕w的訪問(wèn)控制將根據(jù)主體執(zhí)行的任務(wù)情況發(fā)生變化。當(dāng)且僅當(dāng)相關(guān)任務(wù)處于活動(dòng)狀態(tài)時(shí)，主體的訪問(wèn)權(quán)限才能有效，否則權(quán)限將被凍結(jié)或撤銷(xiāo)。因此，這是一種動(dòng)態(tài)授權(quán)的主動(dòng)安全模型。

此控制的核心是關(guān)于授權(quán)步(Authorization—Step)的定義，授權(quán)步是訪問(wèn)控制系統(tǒng)最基本的控制單位，由受信者集(trustee-set)和若干個(gè)許可集(permissions set)組成，如圖2所示，受信者集是所有可能被授予執(zhí)行任務(wù)的用戶(hù)的集合，許可集則是執(zhí)行任務(wù)時(shí)擁有的訪問(wèn)權(quán)限。當(dāng)任務(wù)到來(lái)，授權(quán)步初始化以后，一個(gè)來(lái)自受信者集中的成員將被授予授權(quán)步，一般稱(chēng)這個(gè)受托人為授權(quán)步的執(zhí)行者，執(zhí)行者執(zhí)行任務(wù)時(shí)所需的權(quán)限稱(chēng)為執(zhí)行者權(quán)限。授權(quán)步根據(jù)當(dāng)前訪問(wèn)控制策略使其中部分權(quán)限生效，這些生效的權(quán)限稱(chēng)為激活權(quán)限集。執(zhí)行者權(quán)限集和激活權(quán)限集一起稱(chēng)為授權(quán)步的保護(hù)態(tài)。

基于任務(wù)的訪問(wèn)控制的優(yōu)點(diǎn)是主動(dòng)控制和可以動(dòng)態(tài)分配權(quán)限，適用于工作流、分布式處理、多點(diǎn)訪問(wèn)控制的數(shù)字圖書(shū)館系統(tǒng)，但對(duì)于系統(tǒng)總體結(jié)構(gòu)相對(duì)穩(wěn)定的應(yīng)用場(chǎng)合，一般不單獨(dú)使用該控制策略，而是與其他控制策略結(jié)合使用。

6結(jié)論

網(wǎng)格安全是網(wǎng)格環(huán)境下數(shù)字圖書(shū)館系統(tǒng)設(shè)計(jì)中必不可少的模塊。由于網(wǎng)格計(jì)算系統(tǒng)的特點(diǎn)，網(wǎng)格安全問(wèn)題比網(wǎng)絡(luò)上的安全問(wèn)題要復(fù)雜很多。隨著數(shù)字圖書(shū)館系統(tǒng)的廣泛應(yīng)用，需要管理和控制的信息資源和用戶(hù)群體越來(lái)越龐大和復(fù)雜，解決如何將網(wǎng)格資源安全地分配給網(wǎng)格用戶(hù)，以及如何保證網(wǎng)格用戶(hù)安全地使用分配的網(wǎng)格資源，是網(wǎng)格安全領(lǐng)域的研究方向。

筆者建議，對(duì)于一個(gè)網(wǎng)格環(huán)境下的數(shù)字圖書(shū)館系統(tǒng)來(lái)說(shuō)，在保證資源擁有者自主控制的前提下，采用基于角色的訪問(wèn)控制策略是一種較為理想的選擇。通過(guò)角色的繼承關(guān)系以及職責(zé)分離等約束條件可以表達(dá)出多種安全策略，通過(guò)不同的配置方法，既可以具有自主訪問(wèn)控制的性質(zhì)，又可以具有強(qiáng)制訪問(wèn)控制的性質(zhì)。在這種策略模型中，首先定義角色與用戶(hù)以及角色與權(quán)限之間的映射關(guān)系，并在此基礎(chǔ)上建立角色與角色間的關(guān)系模型。一般地，角色可分為管理角色和常規(guī)角色。管理權(quán)限只可賦予管理角色，例如添加行用戶(hù)和新角色，修改用戶(hù)屬性以及權(quán)限指派等，而一般角色則只可被賦予一般權(quán)限。

通常來(lái)講，各種訪問(wèn)控制策略沒(méi)有優(yōu)劣的區(qū)別，只能說(shuō)某些訪問(wèn)控制策略比其他訪問(wèn)控制策略提供了更多的保護(hù)。然而，不同的數(shù)字圖書(shū)館系統(tǒng)對(duì)安全控制有不同的需求，對(duì)一個(gè)特定系統(tǒng)適應(yīng)的策略不一定適應(yīng)于其他系統(tǒng)。到底采用何種訪問(wèn)控制策略，完全取決于被保護(hù)的數(shù)字圖書(shū)館系統(tǒng)的具體需求和特性。同時(shí)還要認(rèn)識(shí)到過(guò)于復(fù)雜的訪問(wèn)控制機(jī)制會(huì)對(duì)網(wǎng)格的運(yùn)行效果產(chǎn)生不好的影響，尤其是對(duì)于一些相對(duì)簡(jiǎn)單的應(yīng)用來(lái)說(shuō)，很可能演變?yōu)橐环N負(fù)擔(dān)。