吳春霞,李健強(qiáng),呂 霞

(1.中國(guó)地質(zhì)大學(xué) (北京)地球科學(xué)與資源學(xué)院,北京100083;2.中國(guó)地質(zhì)調(diào)查局發(fā)展研究中心,北京100037)

我國(guó)地質(zhì)行業(yè)在長(zhǎng)期的地質(zhì)工作中,積累了大量的數(shù)據(jù)資源,這些數(shù)據(jù)資源是海量的,以TB、PB為計(jì)量單位。隨著國(guó)土資源信息化的全面展開(kāi)和現(xiàn)代信息社會(huì)的發(fā)展,需要將越來(lái)越多的數(shù)據(jù)信息單位進(jìn)行聯(lián)合協(xié)同操作。為了提供地質(zhì)圖的共享和應(yīng)用,提供地質(zhì)成果的公益性信息服務(wù),中國(guó)地質(zhì)調(diào)查局構(gòu)建了中國(guó)地質(zhì)調(diào)查信息網(wǎng)格平臺(tái),成為企業(yè),國(guó)家、公眾和科研人員快速獲取地質(zhì)圖空間信息的平臺(tái)。但是,地質(zhì)調(diào)查數(shù)據(jù)量龐大,結(jié)構(gòu)復(fù)雜,數(shù)據(jù)來(lái)源于多方面,同時(shí)對(duì)數(shù)據(jù)安全和保密性要求甚高,特別是涉及國(guó)家機(jī)密的成果數(shù)據(jù)、成果圖件及相關(guān)地質(zhì)圖件,既要滿(mǎn)足科研人員的查詢(xún)?yōu)g覽要求,又要確保圖件不被惡意盜取。因而,在針對(duì)傳統(tǒng)密碼保護(hù)措施的不足與其他潛在的系統(tǒng)運(yùn)行過(guò)程中的風(fēng)險(xiǎn),通過(guò)對(duì)地質(zhì)調(diào)查數(shù)據(jù)庫(kù)結(jié)構(gòu)、地質(zhì)空間信息圖件的發(fā)現(xiàn)機(jī)制、各種算法,以及.NET FRAMEWORK底層API函數(shù)的研究,提出適合網(wǎng)格地質(zhì)信息平臺(tái)的數(shù)據(jù)訪(fǎng)問(wèn)授權(quán)機(jī)制。

1 網(wǎng)格資源訪(fǎng)問(wèn)授權(quán)的研究現(xiàn)狀

網(wǎng)格計(jì)算的最大優(yōu)點(diǎn)之一是有利于地理上分布的各種計(jì)算資源和數(shù)據(jù)資源的共享,但這些共享必須建立在安全訪(fǎng)問(wèn)的基礎(chǔ)上。網(wǎng)格計(jì)算安全技術(shù)是在網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上發(fā)展起來(lái)的,與網(wǎng)絡(luò)安全密切相關(guān),網(wǎng)格計(jì)算安全技術(shù)在集成了網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上,提出適合網(wǎng)格計(jì)算體系架構(gòu)的安全基礎(chǔ)設(shè)施,許多國(guó)家建立了相應(yīng)的網(wǎng)格安全應(yīng)用系統(tǒng)。其中發(fā)展得最好的是美國(guó)國(guó)家實(shí)驗(yàn)室研發(fā)的Globus項(xiàng)目中的網(wǎng)格安全基礎(chǔ)設(shè)施(GSI)。

GSI：Globus是目前國(guó)際上最具有影響的網(wǎng)格計(jì)算項(xiàng)目之一,是美國(guó)A rgonne國(guó)家實(shí)驗(yàn)室的研發(fā)項(xiàng)目,全美有12所大學(xué)和研究機(jī)構(gòu)參與了該項(xiàng)目。Globus對(duì)資源管理、安全、信息服務(wù)及數(shù)據(jù)管理等網(wǎng)格計(jì)算的關(guān)鍵理論進(jìn)行研究,對(duì)各種網(wǎng)格應(yīng)用提供網(wǎng)格環(huán)境支持,方便的實(shí)現(xiàn)資源的共享和跨域之間的互操作。而 GSI(Grid Security Infrastructure)是Globus的網(wǎng)格安全基礎(chǔ)設(shè)施,是保證網(wǎng)格計(jì)算安全性的核心。GSI支持用戶(hù)代理、資源代理、認(rèn)證機(jī)構(gòu)和協(xié)議的實(shí)現(xiàn)[1]。

GSI認(rèn)證：GSI基于用戶(hù)的私鑰創(chuàng)建時(shí)間戳代理,從而為用戶(hù)提供了一種安全認(rèn)證的方法。另外一種認(rèn)證方法是使用具有 GSI功能的 OpenSSH,其中也使用了相同的認(rèn)證機(jī)制。

GSI授權(quán)：GSI處理用戶(hù)授權(quán)的方法是將用戶(hù)映射為所訪(fǎng)問(wèn)系統(tǒng)的本地用戶(hù)。

GSI安全通信：GSI用數(shù)字證書(shū)進(jìn)行相互認(rèn)證,并通過(guò)SSL/TLS實(shí)現(xiàn)對(duì)數(shù)據(jù)的加密,以保證通信的安全。OpenSSH(Secure Shell,SSH)可以實(shí)現(xiàn)在用戶(hù)的客戶(hù)機(jī)和網(wǎng)格服務(wù)器之間建立加密的會(huì)話(huà)[2]。

GSI授權(quán)時(shí)通過(guò)對(duì)一個(gè)文件的操作實(shí)現(xiàn)的,使用證書(shū)認(rèn)證,該證書(shū)文件將用戶(hù)映射為訪(fǎng)問(wèn)本結(jié)點(diǎn)的本地用戶(hù),這便要求網(wǎng)格上的每一個(gè)應(yīng)用系統(tǒng)都要管理一張全局用戶(hù)和本地用戶(hù)的映射表,這種映射關(guān)系是非常復(fù)雜的,需要制定不同的映射策略。當(dāng)然GSI也存在一些不足之處,如各實(shí)體之間的認(rèn)證頻繁且復(fù)雜,系統(tǒng)執(zhí)行開(kāi)銷(xiāo)較大,需要付出性能延遲的代價(jià),適應(yīng)性和擴(kuò)展性比較差,尤其是那種應(yīng)用系統(tǒng)功能改變較頻繁和系統(tǒng)規(guī)模不斷擴(kuò)大的狀態(tài)中更是如此。

2 地質(zhì)信息網(wǎng)格平臺(tái)

中國(guó)地質(zhì)調(diào)查信息網(wǎng)格平臺(tái)是以網(wǎng)格地理信息系統(tǒng)基礎(chǔ)軟件平臺(tái)為基礎(chǔ),采用面向服務(wù)的設(shè)計(jì)思想和多層體系結(jié)構(gòu),支持局域和廣域網(wǎng)下空間數(shù)據(jù)的分布式計(jì)算、分布式空間信息分發(fā)與共享,提供網(wǎng)絡(luò)化空間信息服務(wù)。平臺(tái)基于網(wǎng)格與網(wǎng)格GIS技術(shù),構(gòu)建了跨平臺(tái)地質(zhì)資料信息共享與服務(wù)平臺(tái)建設(shè)架構(gòu)一站式服務(wù)的架構(gòu)。平臺(tái)的組成見(jiàn)圖1。

圖1 中國(guó)地質(zhì)調(diào)查信息網(wǎng)格平臺(tái)組成圖

平臺(tái)組成中,網(wǎng)格GIS安全是一個(gè)重要的組成模塊,可以說(shuō),沒(méi)有網(wǎng)格安全就談不上網(wǎng)格系統(tǒng)的應(yīng)用,資源使用的不安全會(huì)帶給網(wǎng)格上各結(jié)點(diǎn)的互不信任從而導(dǎo)致網(wǎng)格計(jì)算應(yīng)用會(huì)寸步難行。經(jīng)過(guò)分析,中國(guó)地質(zhì)調(diào)查信息網(wǎng)格平臺(tái)具有網(wǎng)格計(jì)算的如下特點(diǎn)：

①具有同時(shí)使用大量的數(shù)據(jù)資源的要求;②資源請(qǐng)求是動(dòng)態(tài)的;③對(duì)多個(gè)管理域中資源的使用;④通信結(jié)構(gòu)非常復(fù)雜;⑤嚴(yán)格的性能要求。

中國(guó)地質(zhì)調(diào)查信息網(wǎng)格平臺(tái)的功能需求的實(shí)現(xiàn)和特點(diǎn)決定了該網(wǎng)格平臺(tái)具有開(kāi)放性和共享性以及資源計(jì)算的協(xié)作性。這種開(kāi)放和共享中的大部分資源雖然是對(duì)具有相應(yīng)權(quán)限的用戶(hù)的開(kāi)放和共享,但信息網(wǎng)格平臺(tái)是部署在互聯(lián)網(wǎng)上的,這就對(duì)地質(zhì)信息的傳輸、應(yīng)用系統(tǒng)的操作以及對(duì)地質(zhì)數(shù)據(jù)資源的訪(fǎng)問(wèn)和使用帶來(lái)了一定的風(fēng)險(xiǎn),網(wǎng)絡(luò)黑客的非法訪(fǎng)問(wèn)、惡意攻擊以及病毒軟件的侵入,都有可能造成嚴(yán)重的損失,使國(guó)家地質(zhì)地理信息安全受到威脅,經(jīng)濟(jì)遭受損失。

3 地質(zhì)空間信息網(wǎng)格訪(fǎng)問(wèn)控制機(jī)制

3.1 網(wǎng)格安全問(wèn)題

一般來(lái)說(shuō),網(wǎng)格涉及的安全問(wèn)題為以下幾個(gè)方面：

1)遠(yuǎn)程訪(fǎng)問(wèn)安全管理。主要是保證用戶(hù)與系統(tǒng)之間的數(shù)據(jù)安全,包括防止偽裝用戶(hù)、防止偽裝服務(wù)器、防止對(duì)用戶(hù)數(shù)據(jù)的竊聽(tīng)和篡改、防止用戶(hù)否認(rèn)、防止遠(yuǎn)程攻擊和入侵。

2)用戶(hù)權(quán)利安全管理。主要是保證合法用戶(hù)使用授權(quán)的資源,包括防止非法用戶(hù)使用資源、防止合法用戶(hù)越權(quán)使用資源。

3)作業(yè)和任務(wù)安全管理。主要是保證作業(yè)和任務(wù)的安全運(yùn)行,包括保證進(jìn)程間的通信安全、防止惡意程序的運(yùn)行、保證系統(tǒng)的完整性[3]。網(wǎng)格計(jì)算的特點(diǎn)導(dǎo)致了在分布式系統(tǒng)中已有的安全技術(shù)尚不能解決的問(wèn)題。

4)由多個(gè)可計(jì)算資源組成的并行計(jì)算要求建立的安全關(guān)系涉及多個(gè)管理域。

5)網(wǎng)格計(jì)算的動(dòng)態(tài)特征使得應(yīng)用在執(zhí)行前不可能在站點(diǎn)之間建立信任關(guān)系。

6)網(wǎng)格所使用的域間安全解決方案必須能與不同的域內(nèi)訪(fǎng)問(wèn)控制技術(shù)協(xié)同工作,甚至代替其工作[4]。

3.2 網(wǎng)格技術(shù)安全術(shù)語(yǔ)

主體 (sub ject)。是安全操作的參與者,網(wǎng)格系統(tǒng)的主體通常是用戶(hù)和資源以及代表用戶(hù)操作或代表資源的一個(gè)線(xiàn)程。

憑證 (credential)。是證明主體身份的消息。鑒別 (authentication)。是主體向請(qǐng)求者證明自己身份的過(guò)程。

對(duì)象 (object)。是被安全策略保護(hù)的一個(gè)資源。

授權(quán) (authorization)。是一個(gè)過(guò)程,決定是否允許一個(gè)主體訪(fǎng)問(wèn)或使用一個(gè)對(duì)象。

信任域 (trust dom ain)。是被單一管理和單一安全策略支配的主體和客體的集合[5]。

3.3 多層次資源圖

中國(guó)地質(zhì)調(diào)查信息網(wǎng)格上有若干的結(jié)點(diǎn),各結(jié)點(diǎn)在地理上是分離的,各網(wǎng)格結(jié)點(diǎn)上的共享地質(zhì)數(shù)據(jù)資源可以被具有不同權(quán)限的用戶(hù)訪(fǎng)問(wèn),該系統(tǒng)是在Internet體系框架上構(gòu)建起來(lái)的,因此,中國(guó)地質(zhì)調(diào)查信息網(wǎng)格運(yùn)營(yíng)面臨網(wǎng)絡(luò)的安全威脅,數(shù)據(jù)的非授權(quán)訪(fǎng)問(wèn),數(shù)據(jù)的保密性等等各方面的安全挑戰(zhàn)。因此需要對(duì)中國(guó)地質(zhì)信息網(wǎng)格應(yīng)用層進(jìn)行安全方面的規(guī)劃。本文主要考慮從對(duì)數(shù)據(jù)資源的授權(quán)機(jī)制進(jìn)行研究。首先要分析安全技術(shù)中的對(duì)象,也就是資源。圖2為網(wǎng)格結(jié)點(diǎn)上的資源分類(lèi)分層機(jī)構(gòu)。

圖2 網(wǎng)格結(jié)點(diǎn)上的多層次資源圖

由圖2可知,網(wǎng)格上各結(jié)點(diǎn)資源分為硬件資源,軟件資源以及數(shù)據(jù)資源三大類(lèi)。其中數(shù)據(jù)資源繼續(xù)往下分層次,分別為地理數(shù)據(jù)庫(kù)資源,圖幅資源,圖層資源以及屬性資源,這些資源信息分別存儲(chǔ)在不同的數(shù)據(jù)信息庫(kù)中,這些資源數(shù)據(jù)信息庫(kù)組成了平臺(tái)的結(jié)點(diǎn)資源聚合器。而地質(zhì)網(wǎng)格平臺(tái)用戶(hù)對(duì)地質(zhì)數(shù)據(jù)的發(fā)現(xiàn)是通過(guò)結(jié)點(diǎn)計(jì)算池、全局任務(wù)調(diào)度器等功能組件協(xié)同工作完成的。地質(zhì)調(diào)查網(wǎng)格結(jié)點(diǎn)數(shù)據(jù)資源的特點(diǎn)是多級(jí)、多源、異構(gòu)、海量,有些數(shù)據(jù)資源的涉密性高,大至整個(gè)圖,小至圖上的屬性,圖例等都有可能進(jìn)行密級(jí)限制。并不是一般的權(quán)限用戶(hù)都能進(jìn)行瀏覽,使用的。因此需要對(duì)數(shù)據(jù)資源進(jìn)行嚴(yán)格的使用權(quán)限分層分級(jí)別,從地理地質(zhì)數(shù)據(jù)庫(kù)資源信息開(kāi)始,到地理地質(zhì)數(shù)據(jù)表中的屬性的瀏覽、修改、上載等使用權(quán)限進(jìn)行劃分。

3.4 U-R、R-P、P-RS的三維塔式授權(quán)機(jī)制的實(shí)現(xiàn)

U-R、R-P、P-RS的三維塔式授權(quán)機(jī)制的實(shí)現(xiàn)如圖3所示。

圖3 網(wǎng)格結(jié)點(diǎn)邏輯域用戶(hù)授權(quán)實(shí)現(xiàn)機(jī)制

U-R：為用戶(hù)配置角色。User_Role(用戶(hù)角色綁定信息庫(kù))存儲(chǔ)用戶(hù)和角色的綁定信息,用戶(hù)擁有不同的角色是正常的,這樣可以實(shí)現(xiàn)同一用戶(hù)擁有多個(gè)角色,同時(shí)可以對(duì)用戶(hù)在不同的邏輯域中具有的權(quán)限進(jìn)行控制。

R-P：為角色配置權(quán)限。Role_Perm ission(角色權(quán)限綁定信息庫(kù))存儲(chǔ)角色和權(quán)限綁定的信息,標(biāo)識(shí)角色擁有的權(quán)限。

P-RS：為權(quán)限配置資源。權(quán)限配置了資源才有控制資源訪(fǎng)問(wèn)的意義。Permission_RGdb、Permission_RLayer、 Perm ission_RMetadata、Permission_RSvc、Perm ission_RSvr、 Permission_RG rid、Perm ission_RA ttr這些權(quán)限資源綁定信息表,分別存儲(chǔ)權(quán)限和不同類(lèi)型的資源綁定的信息。使用若干張資源綁定表,一方面資源層次劃分清晰,避免和權(quán)限綁定的混亂,管理方便。另一方面避免由于地質(zhì)數(shù)據(jù)資源的大量信息,容易導(dǎo)致系統(tǒng)管理性能的下降。

權(quán)限配置：權(quán)限在未進(jìn)行資源配置的情況下是毫無(wú)意義的,只有對(duì)權(quán)限配置了相應(yīng)的資源,權(quán)限才能實(shí)現(xiàn)對(duì)資源的訪(fǎng)問(wèn)控制。對(duì)某權(quán)限配置資源,先進(jìn)入權(quán)限列表中對(duì)需要進(jìn)行資源配置的權(quán)限進(jìn)行選擇進(jìn)入,進(jìn)入相應(yīng)的資源配置功能。

權(quán)限繼承：權(quán)限的資源配置粒度越粗,擁有資源訪(fǎng)問(wèn)權(quán)限越多,也就是高權(quán)限層繼承低權(quán)限層。以數(shù)據(jù)資源為例,如果權(quán)限配置了數(shù)據(jù)資源層的資源,則權(quán)限擁有的是所有數(shù)據(jù)庫(kù)的所有數(shù)據(jù)集的所有字段的操作權(quán)限,同理可依次下推。總之,授權(quán)粒度越粗,角色擁有的權(quán)限越多,授權(quán)粒度越細(xì),角色擁有的權(quán)限越少。

效率問(wèn)題：以數(shù)據(jù)資源作為對(duì)空間數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限的控制,由于空間數(shù)據(jù)的數(shù)據(jù)量非常龐大,對(duì)空間數(shù)據(jù)的訪(fǎng)問(wèn)控制權(quán)限設(shè)計(jì)得越細(xì),涉及的數(shù)據(jù)也越龐大。所以需要考慮系統(tǒng)運(yùn)行的效率問(wèn)題。

從技術(shù)上暫時(shí)提出以下兩種策略：

①對(duì)涉及數(shù)據(jù)量大的表采取分多張表存放數(shù)據(jù)的形式,如把資源權(quán)限綁定記錄分多張表存放。②把使用頻率高,增加、刪除、修改等數(shù)據(jù)操作少的數(shù)據(jù)表,在系統(tǒng)啟動(dòng)時(shí)可直接載入緩存,提高訪(fǎng)問(wèn)速度。

網(wǎng)格用戶(hù)在登錄后,請(qǐng)求資源的使用,實(shí)質(zhì)是申請(qǐng)使用結(jié)點(diǎn)Portal提供的服務(wù),由于系統(tǒng)在網(wǎng)站和服務(wù)層進(jìn)行了訪(fǎng)問(wèn)控制的配置,系統(tǒng)通過(guò)多重判斷后才決定接受或拒絕用戶(hù)的訪(fǎng)問(wèn)。從網(wǎng)站訪(fǎng)問(wèn)、功能服務(wù)的操作以及服務(wù)所涉及的資源的操作三個(gè)層次保障資源和底層業(yè)務(wù)數(shù)據(jù)的安全。

4 結(jié)束語(yǔ)

多級(jí)、多源、異構(gòu)、海量地質(zhì)調(diào)查空間數(shù)據(jù)在網(wǎng)格上的安全是地質(zhì)調(diào)查網(wǎng)格平臺(tái)的基礎(chǔ),只有解決了網(wǎng)格安全問(wèn)題,網(wǎng)格應(yīng)用才能得到繼續(xù)發(fā)展,本文通過(guò)分析分析構(gòu)建于網(wǎng)格基礎(chǔ)上的中國(guó)地質(zhì)調(diào)查信息網(wǎng)格平臺(tái)的資源構(gòu)成特點(diǎn),以及對(duì)地質(zhì)數(shù)據(jù)資源訪(fǎng)問(wèn)的安全問(wèn)題的分析,提出適用于該網(wǎng)格平臺(tái)數(shù)據(jù)資源訪(fǎng)問(wèn)的U-R、R-P、P-RS塔式授權(quán)機(jī)制,確保合法用戶(hù)對(duì)地質(zhì)空間信息的合法使用。

[1] 劉乃文,劉方愛(ài).網(wǎng)格安全技術(shù)GSI研究[J].網(wǎng)絡(luò)安全與技術(shù),2006(9)：36-37.

[2] 楊發(fā)榮.基于Globus的網(wǎng)格安全與管理模型分析 [EB/OL].[2008-04-18].h ttp：//net.it168.com/app/2008-04-14/200804141006104.sh tm l.

[3] 徐德發(fā).網(wǎng)格計(jì)算面臨的安全問(wèn)題和解決方案[EB/OL].[2004-09-14].http：//www.newmaker.com/art_1495.htm l.

[4] N.Nagaratnam,P.Janson,J.Day ka,A.Nadalin,F.Siebenlist,V.W elch,I.Foster,S.Tuecke：The Security A rchitecture for Open Grid Services,2002.

[5] 胡博,徐新華.網(wǎng)格環(huán)境下的安全問(wèn)題研究 [J].計(jì)算機(jī)安全,2009(6)：20-23.