馬林山　昌超　肖新國

〔摘要〕文章簡述了區(qū)域云圖書館系統(tǒng)的應(yīng)用模式，概述了它在運(yùn)行過程中存在的安全隱患。指出要實(shí)現(xiàn)區(qū)域云圖書館的安全運(yùn)行，既要加強(qiáng)制度建設(shè)，更要注重安全技術(shù)的選擇。作者提出了基于PKI和PMI技術(shù)的區(qū)域云圖書館用戶認(rèn)證和訪控解決方案。該方案能安全高效地滿足區(qū)域云圖書館在用戶身份認(rèn)證、訪問控制、信息保密、數(shù)據(jù)保護(hù)和安全審計(jì)等方面的需求，是較理想的區(qū)域云圖書館安全解決思路。文章就提出的方案，詳細(xì)闡述了它的設(shè)計(jì)實(shí)現(xiàn)思路。

〔關(guān)鍵詞〕區(qū)域；公共圖書館；云圖書館；訪控；PKI/PMI；云計(jì)算；平臺(tái)構(gòu)建

DOI：10.3969/j.issn.1008-0821.2013.09.017

〔中圖分類號(hào)〕G2507〔文獻(xiàn)標(biāo)識(shí)碼〕A〔文章編號(hào)〕1008-0821（2013）09-0085-05

在現(xiàn)代信息技術(shù)的推動(dòng)下，互聯(lián)網(wǎng)已發(fā)展到云計(jì)算階段。云計(jì)算既是技術(shù)，又是信息服務(wù)的新理念，在技術(shù)的保證下，可以充分發(fā)揮互聯(lián)網(wǎng)的計(jì)算、存儲(chǔ)、共享等優(yōu)勢(shì)，為用戶提供更加優(yōu)質(zhì)便捷的信息服務(wù)。云計(jì)算這一概念一經(jīng)提出，引起社會(huì)各界的廣泛關(guān)注，從理論到實(shí)踐，進(jìn)展十分迅速。在圖書館行業(yè)，云計(jì)算對(duì)其來講，也是難得的機(jī)遇期，可以充分發(fā)揮其優(yōu)勢(shì)，解決長期以來圖書館行業(yè)（特別是我國基層公共圖書館）面臨的經(jīng)費(fèi)緊張、文獻(xiàn)資源少、設(shè)備落后等一系列難題。在實(shí)踐上，云計(jì)算更有助于構(gòu)建區(qū)域云圖書館聯(lián)盟，實(shí)現(xiàn)一定區(qū)域內(nèi)文獻(xiàn)資源的共享，彼此之間合作服務(wù)[1]。云計(jì)算雖然在區(qū)域云圖書館建設(shè)方面有很大優(yōu)勢(shì)，但是，由于其極大開放性的特點(diǎn)，也帶來了它的不安全性弊端。在區(qū)域云圖書館建設(shè)過程中，我們既要采用云計(jì)算為用戶實(shí)現(xiàn)便捷的優(yōu)質(zhì)服務(wù)，同時(shí)也要保證各個(gè)圖書館、文獻(xiàn)提供商、用戶的權(quán)益。我們要善于發(fā)現(xiàn)和利用相關(guān)技術(shù)來解決數(shù)字圖書館面臨的版權(quán)、存儲(chǔ)、隱私等一系列安全問題。為了從技術(shù)上更好的解決云圖書館系統(tǒng)在運(yùn)行過程中存在的安全問題，文章在前人研究的基礎(chǔ)上，提出一種基于PKI/PMI技術(shù)的云圖書館安全訪控平臺(tái)設(shè)計(jì)方案，來完善區(qū)域云圖書館的體系的建設(shè)。

1區(qū)域公共云圖書館應(yīng)用模式

區(qū)域公共云圖書館主要由一定區(qū)域內(nèi)的公共圖書館協(xié)議加盟，本著共建、共知、共享的原則，依托網(wǎng)絡(luò)，利用先進(jìn)的云計(jì)算技術(shù)和理念構(gòu)建的能為區(qū)域內(nèi)各館用戶提供信息服務(wù)的虛擬數(shù)字圖書館服務(wù)體系。主要包括基礎(chǔ)設(shè)施和服務(wù)，其呈現(xiàn)高度開放、共享、用戶分散、對(duì)公眾互聯(lián)網(wǎng)基礎(chǔ)設(shè)施依賴程度高等特征[2]。

區(qū)域云圖書館的網(wǎng)絡(luò)應(yīng)用模式一般分為門戶訪問層、虛擬云DL接口層和區(qū)域云中心的管理維護(hù)層3個(gè)層次，如圖1所示[3-4]?；具\(yùn)行流程為：第一，加盟到區(qū)域云內(nèi)的所有用戶，包括中小圖書館機(jī)構(gòu)以及這些單位的讀者，遵守安全協(xié)定，通過相關(guān)安全控制方式，訪問區(qū)域云圖書館門戶。區(qū)域云圖書館服務(wù)門戶將其整合的各類資源按照訪問許可協(xié)議，授權(quán)區(qū)域內(nèi)各成員圖書館使用，各單位的用戶只是方便的獲取所需資源和服務(wù)，不用關(guān)心這些資源和服務(wù)是由哪個(gè)館提供的。第二，虛擬云DL接口層采用面向?qū)ο蟮腟OA架構(gòu)，通過向門戶訪問層提供Web Service接口，來實(shí)現(xiàn)各館資源和服務(wù)的接入。第三，區(qū)域云圖書館管理中心發(fā)揮監(jiān)管功能，制定規(guī)章制度，合理有效的發(fā)揮云計(jì)算技術(shù)的優(yōu)勢(shì)，保障運(yùn)行，使區(qū)域用戶受益。

2區(qū)域云圖書館運(yùn)行存在的安全隱患

區(qū)域云圖書館整個(gè)系統(tǒng)由數(shù)據(jù)中心、虛擬化平臺(tái)、云服務(wù)、云接口和云終端組成。由于其自身的虛擬化、無邊界、流動(dòng)性等特性，也決定了從物理層到虛擬化、基礎(chǔ)服務(wù)和應(yīng)用層都存在相應(yīng)新的安全隱患[5]。概括起來主要包括：云計(jì)算不正當(dāng)使用、不安全的接口和API、權(quán)限管理、人為不信任、數(shù)據(jù)泄漏、知識(shí)產(chǎn)權(quán)隱患、賬號(hào)和服務(wù)劫持、未知的風(fēng)險(xiǎn)場(chǎng)景等[6]。規(guī)避這些風(fēng)險(xiǎn)，概括起來可從建立安全保障制度和構(gòu)建區(qū)域云圖書館安全平臺(tái)從技術(shù)上來解決。

區(qū)域云系統(tǒng)的運(yùn)行安全風(fēng)險(xiǎn)，出現(xiàn)在認(rèn)證管理、訪問控制和數(shù)據(jù)安全方面的表現(xiàn)尤為突出。例如：2011年3月，谷歌郵箱爆發(fā)大規(guī)模的用戶數(shù)據(jù)泄露事件，約15萬Gmail用戶發(fā)現(xiàn)自己的所有郵件和聊天記錄被刪除，部分用戶發(fā)現(xiàn)自己的賬戶被重置。2011年4月19日，索尼的PlayStation網(wǎng)絡(luò)和Qriocity音樂服務(wù)網(wǎng)站遭到黑客攻擊。服務(wù)中斷超過1周，PlayStation網(wǎng)絡(luò)7 700萬個(gè)注冊(cè)賬戶持有人的個(gè)人信息失竊[7]。這類安全風(fēng)險(xiǎn)的防控，是區(qū)域云圖書館安全平臺(tái)建設(shè)的重要內(nèi)容，具體實(shí)現(xiàn)上，技術(shù)也較多，通過比較分析，特提出基于PKI和PMI聯(lián)合安全認(rèn)證體系，在身份認(rèn)證的基礎(chǔ)上，增加基于角色的安全訪問控制，來高效安全的解決區(qū)域云圖書館在認(rèn)證管理、訪問控制上的問題。

3PKI/PMI聯(lián)合安全認(rèn)證體系基礎(chǔ)

保證數(shù)據(jù)的機(jī)密性、完整性，可認(rèn)證性和防抵賴性，傳統(tǒng)采用“先簽名后加密”方法。這種方法計(jì)算量較大，效率低，通信成本也較高。數(shù)字簽密技術(shù)可以有效克服它的弊端，不僅有更高的效率，更高的安全性，并且也降低了通信成本等，應(yīng)用前景好。簽密體制分為基于PKI的簽密體制、基于身份的簽密體制和無證書的簽密體制。其中基于PKI的簽密體制在很好地提供機(jī)密性、完整性、認(rèn)證和不可否認(rèn)性的同時(shí)，能較好地提高效率和成本，同時(shí)易于實(shí)現(xiàn)。在區(qū)域云圖書館安全平臺(tái)中使用該技術(shù)比較合理。

3.1PKI技術(shù)簡介

PKI（Public Key Infrastructure，簡稱PKI）又稱公鑰基礎(chǔ)設(shè)施，其核心的技術(shù)基礎(chǔ)是基于公鑰密碼學(xué)的“加密”和“簽名”技術(shù)。通過“解密”和“簽名”技術(shù)的結(jié)合可實(shí)現(xiàn)網(wǎng)絡(luò)中身份認(rèn)證；信息傳輸、存儲(chǔ)的完整性，信息傳輸、存儲(chǔ)的機(jī)密性；操作的不可否認(rèn)性。其加密解密和簽名驗(yàn)證過程如圖2和圖3所示[8]。

1圖2PKI加密、解密過程1

發(fā)送方利用公鑰對(duì)消息原文進(jìn)行加密，形成消息密文。除了發(fā)送方和接收方之外，沒人知道加密算法，也無解密私鑰，即使得到密文信息，也無法閱讀，只有擁有私鑰的接收方才能正確“翻譯”出原始信息，進(jìn)行閱讀，從而保證了信息的安全性和機(jī)密性。

簽名驗(yàn)證過程與加密解密過程正好相反，簽名方利用摘要運(yùn)算從消息原文中提取摘要，用私鑰對(duì)摘要進(jìn)行加密形成簽名，然后將消息原文與簽名一起發(fā)送給接收方，接收方利用相同的摘要運(yùn)算從消息原文中生成摘要，同時(shí)利用公鑰對(duì)簽名進(jìn)行解密，若解密出來的摘要與運(yùn)算生成的