楊 丹

(湖南圖書館，湖南 長沙 410011)

1 數(shù)字圖書館網(wǎng)格安全體系的缺陷

網(wǎng)格作為一種能夠有效提高計(jì)算能力、 存儲(chǔ)能力和數(shù)據(jù)處理能力的新型網(wǎng)絡(luò)， 能夠?qū)⑻幱诓煌乩砦恢玫挠?jì)算機(jī)終端相互連接， 從而形成一種強(qiáng)大的計(jì)算機(jī)系統(tǒng)， 并且將網(wǎng)絡(luò)中的計(jì)算機(jī)處理器能力聯(lián)合在一起， 為數(shù)據(jù)處理提供有力的支持， 可以使得眾多普通計(jì)算機(jī)也能夠具有強(qiáng)大的數(shù)據(jù)計(jì)算、處理能力。

網(wǎng)格技術(shù)應(yīng)用于現(xiàn)代數(shù)字圖書館的建設(shè)對(duì)圖書館信息化建設(shè)提出了新要求： 一是要有效降低圖書館網(wǎng)絡(luò)服務(wù)的成本， 統(tǒng)一管理和使用信息資源；二是基于現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)之上，為用戶提供智能化信息共享平臺(tái)； 三是網(wǎng)絡(luò)技術(shù)能夠自動(dòng)查找相關(guān)數(shù)據(jù)，完成綜合分析之后形成新的認(rèn)識(shí)。 但是，網(wǎng)格安全問題是數(shù)字圖書館網(wǎng)格計(jì)算中心的關(guān)鍵問題。 眾所周知，安全構(gòu)建與簡單便利是相互矛盾的，在保證數(shù)字圖書館網(wǎng)格計(jì)算絕對(duì)安全的同時(shí)，還需要兼顧到數(shù)字圖書館用戶的使用方面快捷。因此，在對(duì)數(shù)字圖書館網(wǎng)格安全機(jī)制設(shè)計(jì)時(shí)，不但要保證不同計(jì)算機(jī)主體之間的通信要具有較強(qiáng)的保密性和完整性， 還要考慮到網(wǎng)格環(huán)境中的動(dòng)態(tài)主體存在一定的冗余特性。 因此，網(wǎng)格環(huán)境中的數(shù)據(jù)信息安全管理機(jī)制與其他網(wǎng)絡(luò)安全問題相比顯得更為重要。 在數(shù)字圖書館網(wǎng)格計(jì)算環(huán)境中，每臺(tái)計(jì)算機(jī)終端都存在于不同的地理空間位置， 為了能夠保證它們之間的通信安全， 需要在安全機(jī)制方面加以完善，防止數(shù)據(jù)篡改、惡意竊取信息的情況出現(xiàn)。

由于數(shù)字圖書館之間的網(wǎng)格節(jié)點(diǎn)處于不同地理位置， 如何能夠保證節(jié)點(diǎn)之間的數(shù)字圖書館共享信息具有較強(qiáng)的保密性和完整性， 是目前亟待解決的重要問題，網(wǎng)格安全包括網(wǎng)格系統(tǒng)安全、數(shù)據(jù)傳輸共享安全和數(shù)據(jù)信息存儲(chǔ)安全等等。

可能對(duì)數(shù)字圖書館發(fā)動(dòng)攻擊威脅的包括數(shù)字圖書館內(nèi)部工作人員、外部用戶、非法盜版機(jī)構(gòu)、網(wǎng)絡(luò)黑客等等。 攻擊威脅的發(fā)起主要包括兩個(gè)方面：一是有具體行為的盜取數(shù)字圖書館光盤、磁帶等有價(jià)值的實(shí)物， 或者對(duì)數(shù)字圖書館計(jì)算機(jī)終端系統(tǒng)發(fā)起惡意入侵， 造成系統(tǒng)程序運(yùn)行的故障等等；二是有針對(duì)性地竊取數(shù)據(jù)信息，例如通過網(wǎng)絡(luò)病毒、木馬等非法竊取用戶的個(gè)人信息，或者惡意修改數(shù)字圖書館網(wǎng)頁頁面內(nèi)容等， 甚至通過網(wǎng)絡(luò)入侵有目的性的非法下載具有重要價(jià)值的數(shù)據(jù)信息，并通過復(fù)制偽造等手段獲得非法利益。 因此，需要一個(gè)安全性較高的授權(quán)控制模型， 對(duì)數(shù)字圖書館網(wǎng)格數(shù)據(jù)資源進(jìn)行授權(quán)管理和訪問。

2 網(wǎng)格安全管理需要滿足的技術(shù)要求

2.1 PKI 技術(shù)架構(gòu)

PKI（公鑰基礎(chǔ)設(shè)施）是通過第三方信任認(rèn)證機(jī)構(gòu)，將用戶的公鑰和用戶其他信息進(jìn)行捆綁，在互聯(lián)網(wǎng)上驗(yàn)證通過用戶的合法身份之后， 最終實(shí)現(xiàn)密鑰的自動(dòng)管理功能， 從而有效保障網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)陌踩煽俊?/p>

PKI 系統(tǒng)指的是能夠提供數(shù)字簽名服務(wù)和公鑰加密服務(wù)的系統(tǒng)，PKI 系統(tǒng)的主要功能是通過對(duì)密鑰和認(rèn)證證書的自動(dòng)管理， 在一個(gè)安全、穩(wěn)定、可靠的網(wǎng)絡(luò)運(yùn)行環(huán)境中， 用戶可以輕松便捷地使用數(shù)字簽名服務(wù)和加密技術(shù)服務(wù)， 從而保證數(shù)據(jù)信息在網(wǎng)絡(luò)中傳輸?shù)谋Ｃ苄院屯暾浴?數(shù)據(jù)信息的保密性指的是數(shù)據(jù)信息在網(wǎng)絡(luò)傳輸?shù)倪^程中，不會(huì)被外界非法竊取獲得， 數(shù)據(jù)信息的完整性指的是數(shù)據(jù)信息在網(wǎng)絡(luò)傳輸?shù)倪^程中不會(huì)被外界非法篡改內(nèi)容。 一個(gè)安全穩(wěn)定的PKI 系統(tǒng)在用戶使用數(shù)字簽名和加密技術(shù)服務(wù)時(shí)， 必須保證時(shí)安全透明的， 用戶也不需要去了解具體管理密鑰和證書的流程。

2.2 PMI 多級(jí)授權(quán)服務(wù)控制技術(shù)

PMI 即安全認(rèn)證體系架構(gòu)， 是授權(quán)管理基礎(chǔ)設(shè)施的統(tǒng)稱，PMI 依賴于PKI 系統(tǒng)的支持，其功能目的是提供訪問控制和權(quán)限管理， 并且具有用戶身份認(rèn)證到授權(quán)管理機(jī)構(gòu)的映射功能，PMI 能夠?qū)崿F(xiàn)安全訪問控制機(jī)制， 而這個(gè)訪問控制機(jī)制是與實(shí)際應(yīng)用系統(tǒng)和處理模式相互對(duì)應(yīng)的， 而且能夠在一定程度上降低訪問控制和權(quán)限管理的開發(fā)設(shè)計(jì)、應(yīng)用操作和系統(tǒng)維護(hù)。

圖1 PMI 認(rèn)證體系架構(gòu)

如圖1 所示，PMI 安全認(rèn)證體系架構(gòu)總共由三個(gè)部分組成，首先，用戶部分的功能是支持直接訪問的匿名用戶，以及通過已經(jīng)授權(quán)的認(rèn)證用戶；用戶部分再經(jīng)過工作流部分實(shí)現(xiàn)與其權(quán)限相對(duì)應(yīng)的業(yè)務(wù)功能， 最后經(jīng)過工作流部分實(shí)現(xiàn)對(duì)數(shù)字圖書館系統(tǒng)、閱讀等部分的訪問，PMI 是基于用戶角色的認(rèn)證體系， 能夠?qū)λ杏脩舻臋?quán)限信息統(tǒng)一管理， 并按照不同的權(quán)限分配給用戶不同的業(yè)務(wù)功能。

2.3 單點(diǎn)登錄技術(shù)架構(gòu)

單點(diǎn)登錄是目前互聯(lián)網(wǎng)業(yè)務(wù)中數(shù)據(jù)整合效果較好的技術(shù)方案， 數(shù)字圖書館在基于網(wǎng)格的環(huán)境下， 完成一個(gè)業(yè)務(wù)功能經(jīng)常需要多個(gè)網(wǎng)格資源共同配合， 但是這些數(shù)據(jù)資源又處于不同地理位置的數(shù)字圖書館節(jié)點(diǎn)中， 如果授權(quán)用戶每登錄一個(gè)網(wǎng)格節(jié)點(diǎn)數(shù)字圖書館， 都要重新輸入用戶名和密碼進(jìn)行認(rèn)證的話，大大加重了用戶的工作負(fù)擔(dān)。 而且不同節(jié)點(diǎn)需要用戶提供的身份認(rèn)證信息各不相同。 在網(wǎng)格環(huán)境下，不同系統(tǒng)之間都有自己獨(dú)立設(shè)置的安全管理策略， 這就使得不同的系統(tǒng)都要向用戶進(jìn)行授權(quán)，才能夠訪問系統(tǒng)資源，然而，利用單點(diǎn)登錄技術(shù)能夠很好地解決這個(gè)問題。 單點(diǎn)登錄機(jī)制使得用戶只需要進(jìn)行一次身份驗(yàn)證， 就可以在特定相同的邏輯安全域中訪問已經(jīng)授權(quán)的系統(tǒng)資源。

3 網(wǎng)格狀態(tài)下CA 密鑰安全認(rèn)證

CA 網(wǎng)絡(luò)認(rèn)證密鑰是對(duì)用戶身份進(jìn)行安全識(shí)別的手段，用以提高網(wǎng)格狀態(tài)下服務(wù)的安全性。CA作為第三方可信任證書管理機(jī)構(gòu)，CA 的密鑰管理模式主要包括兩種類型：一是用戶自管理模式，用戶自管理模式是將密鑰存儲(chǔ)在用戶一方， 由用戶負(fù)責(zé)使用、備份、存儲(chǔ)密鑰，這也是目前互聯(lián)網(wǎng)中CA 證書管理機(jī)構(gòu)中普遍采用的用戶密鑰管理方法，密鑰的存儲(chǔ)方式包括光盤存儲(chǔ)、硬盤存儲(chǔ)、USB Key 存儲(chǔ)；二是密鑰托管模式，密鑰托管模式是由CA 證書管理機(jī)構(gòu)對(duì)用戶的密鑰進(jìn)行備份、存儲(chǔ)和集中管理。 用戶同時(shí)在本地計(jì)算機(jī)終端上或硬件介質(zhì)中存有屬于自己的密鑰， 從而保證通過正常的安全應(yīng)用。

密鑰托管的功能是當(dāng)出現(xiàn)緊急情況時(shí)， 可以通過密鑰托管獲得數(shù)據(jù)信息的解密途徑。 密鑰托管通常是對(duì)用戶的密鑰備份進(jìn)行保存和管理，當(dāng)需要時(shí)可以幫助刑偵等有關(guān)部門獲取數(shù)據(jù)信息的原始密文， 也可以在原始用戶密鑰遭到破壞后對(duì)密文進(jìn)行恢復(fù)。 但是，密鑰托管也有其需要注意的問題，就是如何防止用戶進(jìn)行身份欺騙，從而逃脫CA 證書管理機(jī)構(gòu)的跟蹤，因此，密鑰管理技術(shù)也需要政府采取強(qiáng)制性政策支持， 用戶首選需要向代管機(jī)構(gòu)申請(qǐng)密鑰托管， 得到托管認(rèn)證證書之后才能夠向CA 證書管理機(jī)構(gòu)申請(qǐng)證書加密， 而CA證書管理機(jī)構(gòu)需要獲得加密公鑰所對(duì)應(yīng)的私鑰托管證書之后，才能夠向用戶頒發(fā)公鑰證書。

4 網(wǎng)格環(huán)境下數(shù)字圖書館多級(jí)授權(quán)訪問控制安全模型構(gòu)建

4.1 多級(jí)授權(quán)訪問控制安全模型構(gòu)建

安全訪問控制的構(gòu)建應(yīng)該與應(yīng)用系統(tǒng)獨(dú)立開來，以減少與系統(tǒng)之間發(fā)生耦合現(xiàn)象。 數(shù)字圖書館的數(shù)據(jù)資源主要包括兩種類型，分別是信息資源和服務(wù)資源。數(shù)字圖書館信息資源指的是存儲(chǔ)在系統(tǒng)數(shù)據(jù)庫中的圖片文件、聲音文件、文本文件、視頻文件等等；數(shù)字圖書館服務(wù)資源包括對(duì)數(shù)據(jù)信息的查詢、檢索、下載等等。數(shù)字圖書館需要對(duì)這些資源進(jìn)行集中管理，一般指定一個(gè)服務(wù)器對(duì)應(yīng)一個(gè)系統(tǒng)進(jìn)行管理，與其他授權(quán)管理的系統(tǒng)獨(dú)立開來，這是目前眾多的數(shù)字圖書館普遍采用的安全管理機(jī)制。數(shù)字圖書館的應(yīng)用程序服務(wù)的授權(quán)管理通過授權(quán)控制框架實(shí)現(xiàn)，例如網(wǎng)絡(luò)傳輸協(xié)議應(yīng)用、數(shù)據(jù)庫系統(tǒng)操作、萬維網(wǎng)服務(wù)、傳送文件協(xié)議服務(wù)等。數(shù)字圖書館的授權(quán)管理系統(tǒng)能夠支持用戶角色授權(quán)管理、用戶授權(quán)策略管理等，當(dāng)數(shù)字圖書館應(yīng)用服務(wù)系統(tǒng)接收到授權(quán)信息時(shí)，就實(shí)現(xiàn)了對(duì)用戶的多級(jí)授權(quán)訪問控制。 本文在查閱了大量文獻(xiàn)資料基礎(chǔ)之上，設(shè)計(jì)了一種數(shù)字圖書館多級(jí)授權(quán)訪問控制安全模型，具體結(jié)構(gòu)如圖2 所示。

圖2 數(shù)字圖書館多級(jí)授權(quán)訪問控制安全模型

數(shù)字圖書館多級(jí)授權(quán)訪問控制體系主要是由兩個(gè)主體和一個(gè)中間層組成。 兩個(gè)主體分別是資源主體和用戶主體， 由于考慮到數(shù)字圖書館網(wǎng)格環(huán)境具有不確定性， 所以應(yīng)該同時(shí)支持固定用戶和移動(dòng)用戶同時(shí)訪問， 網(wǎng)格安全中要求用戶訪問時(shí)必須具備靜態(tài)的IP 地址，移動(dòng)用戶需要接入數(shù)字圖書館時(shí)必須經(jīng)過一系列改進(jìn)改造， 常用的方法是將移動(dòng)用戶使用的虛擬專用網(wǎng)絡(luò)與網(wǎng)格進(jìn)行連接。

數(shù)字圖書館多級(jí)授權(quán)訪問控制安全模型中的資源主體是若干個(gè)數(shù)據(jù)服務(wù)器， 本文在設(shè)計(jì)的過程中列舉的是高校數(shù)字圖書館中常見的資源服務(wù)器，對(duì)于一些比較邊緣化的數(shù)據(jù)服務(wù)器來說，可以根據(jù)數(shù)據(jù)服務(wù)器不同的安全級(jí)別設(shè)置， 對(duì)其進(jìn)行不同級(jí)別的安全管理。 多級(jí)授權(quán)訪問控制安全模型主要是針對(duì)數(shù)字圖書館中的數(shù)據(jù)資源進(jìn)行保護(hù)，由于數(shù)據(jù)資源是數(shù)字圖書館的基本信息資源，因此，加強(qiáng)數(shù)據(jù)資源的保護(hù)，防止外界非法竊取和傳播， 是數(shù)字圖書館多級(jí)授權(quán)訪問控制安全模型應(yīng)用的根本目標(biāo)。

數(shù)字圖書館多級(jí)授權(quán)訪問控制安全模型的兩個(gè)中間層分別是OGCE 安全門戶層和My Proxy 安全用戶代理層， 安全用戶代理層直接與數(shù)據(jù)資源主體相互橋接，OGCE 安全門戶層的架設(shè)需要在數(shù)字圖書館網(wǎng)格邊緣附近， 就是說以內(nèi)外網(wǎng)的形式進(jìn)行訪問控制。 由于訪問用戶需要向客戶端發(fā)送代理證書認(rèn)證信息，因此，在雙方進(jìn)行交互時(shí)，用戶可以通過資源界面選擇需要訪問的資源。

4.2 模型安全性討論

網(wǎng)格環(huán)境下數(shù)字圖書館安全模型的構(gòu)建是基于數(shù)字圖書館分布式存儲(chǔ)需求的基礎(chǔ)之上， 網(wǎng)格環(huán)境的應(yīng)用雖然能夠?yàn)閿?shù)字圖書館的數(shù)據(jù)信息存儲(chǔ)帶來方便， 但是也增加了網(wǎng)格安全管理的復(fù)雜程度， 本文設(shè)計(jì)的數(shù)字圖書館多級(jí)授權(quán)訪問控制安全模型主要能夠解決以下幾個(gè)問題：

（1）對(duì)不同用戶權(quán)限區(qū)域進(jìn)行隔離。數(shù)字圖書館多級(jí)授權(quán)訪問控制安全模型通過PMI 系統(tǒng)將用戶的權(quán)限進(jìn)行統(tǒng)一劃分， 對(duì)于處于不同組織的用戶分配不同的權(quán)限， 通過權(quán)限映射可以將用戶的權(quán)限進(jìn)行控制， 保證用戶的權(quán)限處于可以信任的區(qū)域范圍內(nèi)。

（2）嚴(yán)格控制用戶的訪問授權(quán)接口。對(duì)于數(shù)字圖書館用戶來說， 他們希望可以通過多種途徑獲得需要的數(shù)據(jù)資源， 數(shù)字圖書館多級(jí)授權(quán)訪問控制安全模型將用戶獲取數(shù)據(jù)資源的途徑以單點(diǎn)登錄的技術(shù)進(jìn)行管理， 從而有效減少了數(shù)字圖書館數(shù)據(jù)資源的泄露， 也防止了過多的網(wǎng)頁地址入口漏洞出現(xiàn)。

（3）對(duì)用戶客戶端安全性進(jìn)行控制。數(shù)字圖書館系統(tǒng)的安全情況與用戶的安全意識(shí)直接相關(guān)，數(shù)字圖書館多級(jí)授權(quán)訪問控制安全模型運(yùn)用的是密鑰托管的技術(shù)， 通過將用戶密鑰的保存使具有安全威脅的用戶客戶端轉(zhuǎn)移到可以信任的第四方機(jī)構(gòu)中， 降低由于用戶安全意識(shí)不強(qiáng)為系統(tǒng)帶來的破壞性影響， 還能夠?yàn)槊荑€集中回收和發(fā)放提供支持。

5 總結(jié)

目前，網(wǎng)格安全作為一個(gè)關(guān)鍵技術(shù)，已經(jīng)得到了信息安全領(lǐng)域的廣泛關(guān)注。 本文在查閱了大量相關(guān)文獻(xiàn)資料基礎(chǔ)之上， 提出的數(shù)字圖書館多級(jí)授權(quán)訪問控制安全模型， 目的是將數(shù)字圖書館在網(wǎng)格環(huán)境中的授權(quán)進(jìn)行統(tǒng)一管理， 并且能夠?qū)崿F(xiàn)固定用戶和移動(dòng)用戶的單點(diǎn)登錄， 具有一定的理論價(jià)值和現(xiàn)實(shí)指導(dǎo)意義。

[1] 王延斌.數(shù)字圖書館網(wǎng)絡(luò)安全及防范策略[J].江西圖書館學(xué)刊,2010(2):97-99.

[2] 肖茜.網(wǎng)絡(luò)信息安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2009(4):27-28.

[3] 何俊杰. 數(shù)字圖書館網(wǎng)絡(luò)與數(shù)據(jù)安全的研究與實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù),2009(4):804-806.

[4] 陳臣,馬曉亭.數(shù)字圖書館云存儲(chǔ)系統(tǒng)安全架構(gòu)與安全策略研究[J].現(xiàn)代情報(bào),2011(9):160-164.

[5] 黃燕.云存儲(chǔ)影響下的數(shù)字圖書館[J].圖書館界,2011(5):3-4.

[6] 唐開,王紀(jì)坤.基于新木桶理論的數(shù)字圖書館網(wǎng)絡(luò)安全策略研究[J].現(xiàn)代情報(bào),2009(7):89-91.

[7] 關(guān)云楠. 數(shù)字圖書館個(gè)性化定制服務(wù)內(nèi)容與策略研究[J].內(nèi)蒙古科技與經(jīng)濟(jì),2010(18):150-151.

[8] 劉文云,鮑凌云.“云”下的數(shù)字圖書館資源存儲(chǔ)研究[J].情報(bào)資料工作,2011(2):51-54.

[9] 董玉玲.論信息資源數(shù)字化建設(shè)[J].科技信息,2010(36):239.

[10] 馬曉亭,陳臣.數(shù)字圖書館網(wǎng)絡(luò)與信息系統(tǒng)安全評(píng)估指標(biāo)體系研究[J].情報(bào)科學(xué),2011(10):1529-1533.