基于網(wǎng)格的數(shù)字圖書館安全模型構(gòu)建研究

楊 丹

(湖南圖書館，湖南 長沙 410011)

1 數(shù)字圖書館網(wǎng)格安全體系的缺陷

網(wǎng)格作為一種能夠有效提高計算能力、 存儲能力和數(shù)據(jù)處理能力的新型網(wǎng)絡(luò)， 能夠?qū)⑻幱诓煌乩砦恢玫挠嬎銠C終端相互連接， 從而形成一種強大的計算機系統(tǒng)， 并且將網(wǎng)絡(luò)中的計算機處理器能力聯(lián)合在一起， 為數(shù)據(jù)處理提供有力的支持， 可以使得眾多普通計算機也能夠具有強大的數(shù)據(jù)計算、處理能力。

網(wǎng)格技術(shù)應(yīng)用于現(xiàn)代數(shù)字圖書館的建設(shè)對圖書館信息化建設(shè)提出了新要求： 一是要有效降低圖書館網(wǎng)絡(luò)服務(wù)的成本， 統(tǒng)一管理和使用信息資源；二是基于現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)之上，為用戶提供智能化信息共享平臺； 三是網(wǎng)絡(luò)技術(shù)能夠自動查找相關(guān)數(shù)據(jù)，完成綜合分析之后形成新的認識。 但是，網(wǎng)格安全問題是數(shù)字圖書館網(wǎng)格計算中心的關(guān)鍵問題。 眾所周知，安全構(gòu)建與簡單便利是相互矛盾的，在保證數(shù)字圖書館網(wǎng)格計算絕對安全的同時，還需要兼顧到數(shù)字圖書館用戶的使用方面快捷。因此，在對數(shù)字圖書館網(wǎng)格安全機制設(shè)計時，不但要保證不同計算機主體之間的通信要具有較強的保密性和完整性， 還要考慮到網(wǎng)格環(huán)境中的動態(tài)主體存在一定的冗余特性。 因此，網(wǎng)格環(huán)境中的數(shù)據(jù)信息安全管理機制與其他網(wǎng)絡(luò)安全問題相比顯得更為重要。 在數(shù)字圖書館網(wǎng)格計算環(huán)境中，每臺計算機終端都存在于不同的地理空間位置， 為了能夠保證它們之間的通信安全， 需要在安全機制方面加以完善，防止數(shù)據(jù)篡改、惡意竊取信息的情況出現(xiàn)。

由于數(shù)字圖書館之間的網(wǎng)格節(jié)點處于不同地理位置， 如何能夠保證節(jié)點之間的數(shù)字圖書館共享信息具有較強的保密性和完整性， 是目前亟待解決的重要問題，網(wǎng)格安全包括網(wǎng)格系統(tǒng)安全、數(shù)據(jù)傳輸共享安全和數(shù)據(jù)信息存儲安全等等。

可能對數(shù)字圖書館發(fā)動攻擊威脅的包括數(shù)字圖書館內(nèi)部工作人員、外部用戶、非法盜版機構(gòu)、網(wǎng)絡(luò)黑客等等。 攻擊威脅的發(fā)起主要包括兩個方面：一是有具體行為的盜取數(shù)字圖書館光盤、磁帶等有價值的實物， 或者對數(shù)字圖書館計算機終端系統(tǒng)發(fā)起惡意入侵， 造成系統(tǒng)程序運行的故障等等；二是有針對性地竊取數(shù)據(jù)信息，例如通過網(wǎng)絡(luò)病毒、木馬等非法竊取用戶的個人信息，或者惡意修改數(shù)字圖書館網(wǎng)頁頁面內(nèi)容等， 甚至通過網(wǎng)絡(luò)入侵有目的性的非法下載具有重要價值的數(shù)據(jù)信息，并通過復(fù)制偽造等手段獲得非法利益。 因此，需要一個安全性較高的授權(quán)控制模型， 對數(shù)字圖書館網(wǎng)格數(shù)據(jù)資源進行授權(quán)管理和訪問。

2 網(wǎng)格安全管理需要滿足的技術(shù)要求

2.1 PKI 技術(shù)架構(gòu)

PKI（公鑰基礎(chǔ)設(shè)施）是通過第三方信任認證機構(gòu)，將用戶的公鑰和用戶其他信息進行捆綁，在互聯(lián)網(wǎng)上驗證通過用戶的合法身份之后， 最終實現(xiàn)密鑰的自動管理功能， 從而有效保障網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)陌踩煽俊?/p>

PKI 系統(tǒng)指的是能夠提供數(shù)字簽名服務(wù)和公鑰加密服務(wù)的系統(tǒng)，PKI 系統(tǒng)的主要功能是通過對密鑰和認證證書的自動管理， 在一個安全、穩(wěn)定、可靠的網(wǎng)絡(luò)運行環(huán)境中， 用戶可以輕松便捷地使用數(shù)字簽名服務(wù)和加密技術(shù)服務(wù)， 從而保證數(shù)據(jù)信息在網(wǎng)絡(luò)中傳輸?shù)谋Ｃ苄院屯暾浴?數(shù)據(jù)信息的保密性指的是數(shù)據(jù)信息在網(wǎng)絡(luò)傳輸?shù)倪^程中，不會被外界非法竊取獲得， 數(shù)據(jù)信息的完整性指的是數(shù)據(jù)信息在網(wǎng)絡(luò)傳輸?shù)倪^程中不會被外界非法篡改內(nèi)容。 一個安全穩(wěn)定的PKI 系統(tǒng)在用戶使用數(shù)字簽名和加密技術(shù)服務(wù)時， 必須保證時安全透明的， 用戶也不需要去了解具體管理密鑰和證書的流程。

2.2 PMI 多級授權(quán)服務(wù)控制技術(shù)

PMI 即安全認證體系架構(gòu)， 是授權(quán)管理基礎(chǔ)設(shè)施的統(tǒng)稱，PMI 依賴于PKI 系統(tǒng)的支持，其功能目的是提供訪問控制和權(quán)限管理， 并且具有用戶身份認證到授權(quán)管理機構(gòu)的映射功能，PMI 能夠?qū)崿F(xiàn)安全訪問控制機制， 而這個訪問控制機制是與實際應(yīng)用系統(tǒng)和處理模式相互對應(yīng)的， 而且能夠在一定程度上降低訪問控制和權(quán)限管理的開發(fā)設(shè)計、應(yīng)用操作和系統(tǒng)維護。

圖1 PMI 認證體系架構(gòu)

如圖1 所示，PMI 安全認證體系架構(gòu)總共由三個部分組成，首先，用戶部分的功能是支持直接訪問的匿名用戶，以及通過已經(jīng)授權(quán)的認證用戶；用戶部分再經(jīng)過工作流部分實現(xiàn)與其權(quán)限相對應(yīng)的業(yè)務(wù)功能， 最后經(jīng)過工作流部分實現(xiàn)對數(shù)字圖書館系統(tǒng)、閱讀等部分的訪問，PMI 是基于用戶角色的認證體系， 能夠?qū)λ杏脩舻臋?quán)限信息統(tǒng)一管理， 并按照不同的權(quán)限分配給用戶不同的業(yè)務(wù)功能。

2.3 單點登錄技術(shù)架構(gòu)

單點登錄是目前互聯(lián)網(wǎng)業(yè)務(wù)中數(shù)據(jù)整合效果較好的技術(shù)方案， 數(shù)字圖書館在基于網(wǎng)格的環(huán)境下， 完成一個業(yè)務(wù)功能經(jīng)常需要多個網(wǎng)格資源共同配合， 但是這些數(shù)據(jù)資源又處于不同地理位置的數(shù)字圖書館節(jié)點中， 如果授權(quán)用戶每登錄一個網(wǎng)格節(jié)點數(shù)字圖書館， 都要重新輸入用戶名和密碼進行認證的話，大大加重了用戶的工作負擔。 而且不同節(jié)點需要用戶提供的身份認證信息各不相同。 在網(wǎng)格環(huán)境下，不同系統(tǒng)之間都有自己獨立設(shè)置的安全管理策略， 這就使得不同的系統(tǒng)都要向用戶進行授權(quán)，才能夠訪問系統(tǒng)資源，然而，利用單點登錄技術(shù)能夠很好地解決這個問題。 單點登錄機制使得用戶只需要進行一次身份驗證， 就可以在特定相同的邏輯安全域中訪問已經(jīng)授權(quán)的系統(tǒng)資源。

3 網(wǎng)格狀態(tài)下CA 密鑰安全認證

CA 網(wǎng)絡(luò)認證密鑰是對用戶身份進行安全識別的手段，用以提高網(wǎng)格狀態(tài)下服務(wù)的安全性。CA作為第三方可信任證書管理機構(gòu)，CA 的密鑰管理模式主要包括兩種類型：一是用戶自管理模式，用戶自管理模式是將密鑰存儲在用戶一方， 由用戶負責使用、備份、存儲密鑰，這也是目前互聯(lián)網(wǎng)中CA 證書管理機構(gòu)中普遍采用的用戶密鑰管理方法，密鑰的存儲方式包括光盤存儲、硬盤存儲、USB Key 存儲；二是密鑰托管模式，密鑰托管模式是由CA 證書管理機構(gòu)對用戶的密鑰進行備份、存儲和集中管理。 用戶同時在本地計算機終端上或硬件介質(zhì)中存有屬于自己的密鑰， 從而保證通過正常的安全應(yīng)用。

密鑰托管的功能是當出現(xiàn)緊急情況時， 可以通過密鑰托管獲得數(shù)據(jù)信息的解密途徑。 密鑰托管通常是對用戶的密鑰備份進行保存和管理，當需要時可以幫助刑偵等有關(guān)部門獲取數(shù)據(jù)信息的原始密文， 也可以在原始用戶密鑰遭到破壞后對密文進行恢復(fù)。 但是，密鑰托管也有其需要注意的問題，就是如何防止用戶進行身份欺騙，從而逃脫CA 證書管理機構(gòu)的跟蹤，因此，密鑰管理技術(shù)也需要政府采取強制性政策支持， 用戶首選需要向代管機構(gòu)申請密鑰托管， 得到托管認證證書之后才能夠向CA 證書管理機構(gòu)申請證書加密， 而CA證書管理機構(gòu)需要獲得加密公鑰所對應(yīng)的私鑰托管證書之后，才能夠向用戶頒發(fā)公鑰證書。

4 網(wǎng)格環(huán)境下數(shù)字圖書館多級授權(quán)訪問控制安全模型構(gòu)建

4.1 多級授權(quán)訪問控制安全模型構(gòu)建

安全訪問控制的構(gòu)建應(yīng)該與應(yīng)用系統(tǒng)獨立開來，以減少與系統(tǒng)之間發(fā)生耦合現(xiàn)象。 數(shù)字圖書館的數(shù)據(jù)資源主要包括兩種類型，分別是信息資源和服務(wù)資源。數(shù)字圖書館信息資源指的是存儲在系統(tǒng)數(shù)據(jù)庫中的圖片文件、聲音文件、文本文件、視頻文件等等；數(shù)字圖書館服務(wù)資源包括對數(shù)據(jù)信息的查詢、檢索、下載等等。數(shù)字圖書館需要對這些資源進行集中管理，一般指定一個服務(wù)器對應(yīng)一個系統(tǒng)進行管理，與其他授權(quán)管理的系統(tǒng)獨立開來，這是目前眾多的數(shù)字圖書館普遍采用的安全管理機制。數(shù)字圖書館的應(yīng)用程序服務(wù)的授權(quán)管理通過授權(quán)控制框架實現(xiàn)，例如網(wǎng)絡(luò)傳輸協(xié)議應(yīng)用、數(shù)據(jù)庫系統(tǒng)操作、萬維網(wǎng)服務(wù)、傳送文件協(xié)議服務(wù)等。數(shù)字圖書館的授權(quán)管理系統(tǒng)能夠支持用戶角色授權(quán)管理、用戶授權(quán)策略管理等，當數(shù)字圖書館應(yīng)用服務(wù)系統(tǒng)接收到授權(quán)信息時，就實現(xiàn)了對用戶的多級授權(quán)訪問控制。 本文在查閱了大量文獻資料基礎(chǔ)之上，設(shè)計了一種數(shù)字圖書館多級授權(quán)訪問控制安全模型，具體結(jié)構(gòu)如圖2 所示。

圖2 數(shù)字圖書館多級授權(quán)訪問控制安全模型

數(shù)字圖書館多級授權(quán)訪問控制體系主要是由兩個主體和一個中間層組成。 兩個主體分別是資源主體和用戶主體， 由于考慮到數(shù)字圖書館網(wǎng)格環(huán)境具有不確定性， 所以應(yīng)該同時支持固定用戶和移動用戶同時訪問， 網(wǎng)格安全中要求用戶訪問時必須具備靜態(tài)的IP 地址，移動用戶需要接入數(shù)字圖書館時必須經(jīng)過一系列改進改造， 常用的方法是將移動用戶使用的虛擬專用網(wǎng)絡(luò)與網(wǎng)格進行連接。

數(shù)字圖書館多級授權(quán)訪問控制安全模型中的資源主體是若干個數(shù)據(jù)服務(wù)器， 本文在設(shè)計的過程中列舉的是高校數(shù)字圖書館中常見的資源服務(wù)器，對于一些比較邊緣化的數(shù)據(jù)服務(wù)器來說，可以根據(jù)數(shù)據(jù)服務(wù)器不同的安全級別設(shè)置， 對其進行不同級別的安全管理。 多級授權(quán)訪問控制安全模型主要是針對數(shù)字圖書館中的數(shù)據(jù)資源進行保護，由于數(shù)據(jù)資源是數(shù)字圖書館的基本信息資源，因此，加強數(shù)據(jù)資源的保護，防止外界非法竊取和傳播， 是數(shù)字圖書館多級授權(quán)訪問控制安全模型應(yīng)用的根本目標。

數(shù)字圖書館多級授權(quán)訪問控制安全模型的兩個中間層分別是OGCE 安全門戶層和My Proxy 安全用戶代理層， 安全用戶代理層直接與數(shù)據(jù)資源主體相互橋接，OGCE 安全門戶層的架設(shè)需要在數(shù)字圖書館網(wǎng)格邊緣附近， 就是說以內(nèi)外網(wǎng)的形式進行訪問控制。 由于訪問用戶需要向客戶端發(fā)送代理證書認證信息，因此，在雙方進行交互時，用戶可以通過資源界面選擇需要訪問的資源。

4.2 模型安全性討論

網(wǎng)格環(huán)境下數(shù)字圖書館安全模型的構(gòu)建是基于數(shù)字圖書館分布式存儲需求的基礎(chǔ)之上， 網(wǎng)格環(huán)境的應(yīng)用雖然能夠為數(shù)字圖書館的數(shù)據(jù)信息存儲帶來方便， 但是也增加了網(wǎng)格安全管理的復(fù)雜程度， 本文設(shè)計的數(shù)字圖書館多級授權(quán)訪問控制安全模型主要能夠解決以下幾個問題：

（1）對不同用戶權(quán)限區(qū)域進行隔離。數(shù)字圖書館多級授權(quán)訪問控制安全模型通過PMI 系統(tǒng)將用戶的權(quán)限進行統(tǒng)一劃分， 對于處于不同組織的用戶分配不同的權(quán)限， 通過權(quán)限映射可以將用戶的權(quán)限進行控制， 保證用戶的權(quán)限處于可以信任的區(qū)域范圍內(nèi)。

（2）嚴格控制用戶的訪問授權(quán)接口。對于數(shù)字圖書館用戶來說， 他們希望可以通過多種途徑獲得需要的數(shù)據(jù)資源， 數(shù)字圖書館多級授權(quán)訪問控制安全模型將用戶獲取數(shù)據(jù)資源的途徑以單點登錄的技術(shù)進行管理， 從而有效減少了數(shù)字圖書館數(shù)據(jù)資源的泄露， 也防止了過多的網(wǎng)頁地址入口漏洞出現(xiàn)。

（3）對用戶客戶端安全性進行控制。數(shù)字圖書館系統(tǒng)的安全情況與用戶的安全意識直接相關(guān)，數(shù)字圖書館多級授權(quán)訪問控制安全模型運用的是密鑰托管的技術(shù)， 通過將用戶密鑰的保存使具有安全威脅的用戶客戶端轉(zhuǎn)移到可以信任的第四方機構(gòu)中， 降低由于用戶安全意識不強為系統(tǒng)帶來的破壞性影響， 還能夠為密鑰集中回收和發(fā)放提供支持。

5 總結(jié)

目前，網(wǎng)格安全作為一個關(guān)鍵技術(shù)，已經(jīng)得到了信息安全領(lǐng)域的廣泛關(guān)注。 本文在查閱了大量相關(guān)文獻資料基礎(chǔ)之上， 提出的數(shù)字圖書館多級授權(quán)訪問控制安全模型， 目的是將數(shù)字圖書館在網(wǎng)格環(huán)境中的授權(quán)進行統(tǒng)一管理， 并且能夠?qū)崿F(xiàn)固定用戶和移動用戶的單點登錄， 具有一定的理論價值和現(xiàn)實指導(dǎo)意義。

[1] 王延斌.數(shù)字圖書館網(wǎng)絡(luò)安全及防范策略[J].江西圖書館學(xué)刊,2010(2):97-99.

[2] 肖茜.網(wǎng)絡(luò)信息安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2009(4):27-28.

[3] 何俊杰. 數(shù)字圖書館網(wǎng)絡(luò)與數(shù)據(jù)安全的研究與實現(xiàn)[J].電腦知識與技術(shù),2009(4):804-806.

[4] 陳臣,馬曉亭.數(shù)字圖書館云存儲系統(tǒng)安全架構(gòu)與安全策略研究[J].現(xiàn)代情報,2011(9):160-164.

[5] 黃燕.云存儲影響下的數(shù)字圖書館[J].圖書館界,2011(5):3-4.

[6] 唐開,王紀坤.基于新木桶理論的數(shù)字圖書館網(wǎng)絡(luò)安全策略研究[J].現(xiàn)代情報,2009(7):89-91.

[7] 關(guān)云楠. 數(shù)字圖書館個性化定制服務(wù)內(nèi)容與策略研究[J].內(nèi)蒙古科技與經(jīng)濟,2010(18):150-151.

[8] 劉文云,鮑凌云.“云”下的數(shù)字圖書館資源存儲研究[J].情報資料工作,2011(2):51-54.

[9] 董玉玲.論信息資源數(shù)字化建設(shè)[J].科技信息,2010(36):239.

[10] 馬曉亭,陳臣.數(shù)字圖書館網(wǎng)絡(luò)與信息系統(tǒng)安全評估指標體系研究[J].情報科學(xué),2011(10):1529-1533.