数字图书馆中多级授权访问控制模型部署探讨

容海萍　莫　岚　蒋坤燕

〔摘 要〕以数字图书馆在网格环境下的发展为背景，对当前流行的GSI安全认证体系，以及PMI多级权限访问控制模型进行了详细的分析，并在此基础上提出了一套完整的数字图书馆权限访问控制策略。

〔关键词〕部署;数字图书馆;多极授权访问控制模型

〔中图分类号〕G250.76 〔文献标识码〕A 〔文章编号〕1008-0821(2009)03-0090-03

数字图书馆权限访问控制策略提供了在网格中需要被关注的安全性解决方案。在此基础上，本文实现了数字图书馆的安全模型部署，将整个部署分成用户接口，安全中间件，安全资源服务器3个层面。实现了终端用户和移动用户的单点登录过程。同时，也对安全模型进一步优化，将密钥托管机制引入网格安全中，将用户密钥的安全问题，从简单的用户操作系统安全保障或人为保管，转化为更为安全的服务器统一授权管理。

1 数字图书馆部署框架

安全访问控制的基本框架，应该独立于应用系统，减少与数据系统的藕合程度。数字图书馆的资源包括数字信息资源和服务资源。信息资源是存储在存储体上的各类文本文件、图像文件、声音文件等数字化资源;服务资源包括对文件和数据的查询、检索等服务。对这些资源需要实施统一管理，一般采用一个数据服务器对应一个应用系统，独立于各种安全子系统的授权管理系统，这是数字图书馆资源管理也是网络资源管理的最主要的安全机制。授权控制框架可以对数字图书馆的各种应用服务进行授权管理，如WWW服务、client/sever:服务、FTP服务、TCP/IP应用、数据库操作等。授权管理系统能够提供授权管理、管理和维护授权策略、对象映射、用户角色等。应用服务系统通过授权应用程序接口获取授权信息，实施对用户的访问控制。在以逻辑模型的基础上，实现的数字图书馆多级授权机制的物理模型如图1所示。

数字图书馆授权体系分为2个主体，2个中间层。2个主体，一个是资源主体，一个是用户主体。用户主体，考虑到网格的不确定性，应该支持固定用户和移动办公用户，在GSI模型底下，需要对移动用户的访问进行进一步的讨论:

GSI模型规定，用户必须拥有静态的物理IP，也就是说，一般意义上的移动办公要接入数字图书馆模型需要经过一些改造，最普遍的方法，是移动用户经过VPN隧道化方式访问接入网格。

图中的资源主体，具体化为若干资源服务器，本文只是列举了数字图书馆一些常见资源服务器，对于一些边缘应用和非感知应用，可以根据不同的安全级别，纳入不同的安全级别的管理中，本文所保护的是数字图书馆的数据资源，我们知道，数据资源是数字图书馆最终和最重要的信息资源，数字图书馆的安全问题，最终会归纳到不同信息的公开化程度问题，也就是如何保证信息不被非法传播的问题。

两个中间层分别是OGCE portal门户和用户代理中间件，桥接着用户和资源主体，OGLE必须架设在可见的网格边缘，网格边缘的概念是，对外的访问不需要经过第三方桥接，类似于我们常说的内外网的概念，MyProxy用户代理，虽然用户不需要感知地访问，但由于需要向客户端下发代理证书信息，也同样需要被暴露。进入交互后，模型进入资源界面，如图2，用户可以自行选择需访问的资源进行访问，并且，系统屏蔽了用户无法访问的数字资源。

2 数字图书馆部署

本模型的物理部署如下:

2.1 客户端

支持Linux和Window:操作系统，为了支持Window操作系统，必须对Globus进行一些特定的数据迁移工作:由于Globus的安全问题，需要使用证书才能访问服务。这里，有3种证书，分别是CA证书、用户证书和代理证书。我们可以从已经安装好Globus的Linux主机上将用户证书(连同用户的私钥)和CA证书一同拷贝到Windows上使用。

2.2 OGCE安全门户

门户采用Java+Tomcat的传统的〣/S模式构建，〣/S结构与客户端无关性能够良好的屏蔽各种因为客户端或者用户问题所造成的系统使用和维护的困难，并且易于部署和集中化管理，本模块运行在Linux服务器中，OGCE服务器必须部署在网格边缘，能够满足不同链路的用户的访问需求。

2.3 MyProxy中间件

本文为了节约服务器成本，将MyProxy中间件于某些服务器重复使用(如OGCE服务器)，因为下发代理证书的过程对资源的占用情况很小，基本上不需要太多的额外开支。

2.4 后台数据库服务器

存放数字图书馆数字资源的主要载体，根据需求由不同的服务器承担，大型的数字图书馆一般采用SAN存储阵列，对数据进行物理保存，并有专门的访问服务器进行访问控制，后台数字资源的访问控制模块OGSA就是部署在专门的访问服务器中。

2.5 网络环境

本文能在具备有独立的公网的IP地址的网络环境中正常部署，且服务器和中间件前后端必须满足数据交换的端口需要，如Web服务80端口，SSL的443端口都需要开放。

3 本模型安全性讨论

数字图书馆的分布式存储需求，是网格应用在数字图书馆中的主要原因。网格在给分布式存储带来方便的同时，也增加了网格安全的复杂度。本模型采用的认证体系，主要从以下几个方面解决该问题:

3.1 如何将用户隔离在不同的权限区域中

本模型采用PMI模型思想将用户权限，通过虚拟组织进行划分，不同的虚拟组织对应不同的资源权限组，这样的多对多的权限映射，能将用户权限最大程度地控制在可信任区域的范围内。模型中OGCE提供了用户权限组的划分，后台OGSA提供了资源权限组的划分。

3.2 如何控制用户的访问接口

对于用户而言，资源的获取可以有若干种途径，本安全体系将用户获取资源的途径，统一使用OGCE单点登录模型管理，避免出现多URL入口的访问漏洞，减少数字资源泄露的途径。

3.3 如何控制用户客户端的安全性影响

系统的安全很大程度上取决于使用者的安全意识，本安全模型提出了密钥全托管的思想，旨在将用户密钥的保存点，从不安全的使用者客户端，转移到安全的可信任第四方。降低用户安全性的对系统安全性的影响，并能为密钥集中管理回收发放提供便利条件。

目前网格安全还存在一些问题没有解决，比如:

3.3.1 没有入侵检测技术

目前的网格安全技术主要集中在开发制定各种安全协议，以防止未经授权的非法用户的访问。但如果想要网格真正应用好还必须研究网格环境下的入侵检测技术，并努力减轻这种入侵所产生的破坏作用。网格安全要到达的最终效果，是要使得网格即使是在遭到攻击的情况下，仍然能够持续不断地提供一定的服务质量。

3.3.2 没有持续监控技术

对网格安全体系结构的一个至关紧要的要求就是对虚拟组织的安全状态持续监控。通常，虚拟组织中某一成员的安全策略的改变，会影响到组织中的其他成员，但是这种影响只有当它产生的后果发生时才会被检测出来。因此对于虚拟组织中的安全策略的改变的持续监控就显得非常重要。开发网格时必须同时建立软件质量保障机制。只有这样，才能避免由于缺乏良好安全机制而导致整个网格框架的崩溃。

3.3.3 动态控制技术

过于复杂的安全机制会对网格的运行效果产生不好的影响。虽然一些高度敏感的应用也许会需要复杂的安全机制，但对于其他的应用来说却有可能变成一种负担。因此，这就要求能根据实际运行时所掌握的状况来动态控制网格安全的级别。但实际确实难以做到。

网格就是要通过开放的网络环境向用户提供服务，这就不可避免地要涉及到网络安全问题，并且网格的目标就是要实现更大范围和更深层次的资源共享，所以它存在更重要的安全问题，并提出了更高的安全需求。随着网格安全技术不断解决上述问题以及相关的经济和法律上的配套的完善，一定能够确保数据资源等的安全性，从而使得网格的大规模开展成为可能。

4 本模型的容量测试

性能测试的目标是验证在各种负载情况下数字图书馆网格服务的性能。进行性能测试的最佳方式是使得多个测试客户运行完整的网格服务测试，包括请求提交和应答验证。性能测试不仅通过指定的并发请求数目来监视服务器的响应速率，还要测试各类负载是否导致网格服务功能性故障。因此，要求网格软件性能测试工具能够设置或者定制性能测试场景(主要是指定负载等级、负载分布等)来执行网格性能测试套件。根据高性能计算系统常见的应用场景，网格软件性能测试工具可设置的场景主要包括bell曲线、缓冲区测试、线性增加和稳定负载。这样，通过使用不同的测试场景来使用不同的测试用例，同时还应支持跨越远端的网格服务器分布虚拟用户，从而模拟极限测试与压力测试。

本文采用的测试模型是:①将用户直接连接到单点CA服务器上访问数字资源;②将用户放入网格环境中连接OGCE portal门户访问数字资源;③压力测试，模拟I00用户分别通过CA和OGCE访问数字资源。

模拟用户，可以编写OGCE登录脚本从几台实验客户端并发向OGCE发送请求。

具体做法如下:

①统一所有服务器的NTP(网络时间协议)将网络时间的误差控制在最小范围，列举需要记录时间的几个模块，由于模块间并不是串联通信，所以必须进行一定的数学计算，时间的精确程度直接影响测算的准确度。

②在用户环境下记录Session发起时间，以点击鼠标的时间为准，此处没有专门的程序记录Log日志，为纯人工操作。

③将单用户访问时，Session建立的起止时间记录在log文件中。建立Session时，在前台JSP页面传输CurrentTime到后台Java环境中，并记录在OGCE服务器中。

④将MyProxy向用户下发代理证书时间记录在MyProxy服务器的Log文件中。

⑤将Session建立时间和Session发起时间取差值。计算OGCE响应时间。类似可计算MyProxy证书下发响应时间与资源服务器响应时间。

得出的数据如表1:

从数据上我们不难看出，该模型的主要瓶颈，并不在于门户和中间层用户代理，相反，资源服务器的负荷是制约容量的最大瓶颈，这也与一般的网络资源访问架构一致，证明，网格安全在应用上不存在着先天性的硬伤，网络的发展以及服务器的发展，是增大数据容量的最重要的因素。

5 模型的改进过程

可信任的第四方的密钥托管机制，这也是作者在本次模型中尚未实现的模块，但作者认为，密钥托管在这个模型中有很重要的意义，(1)从安全性角度上讲，密钥托管，将保管密钥的工作从客户端转化到可信任的服务器端，这使密钥的管理更加集中，也避免了不安全的客户端导致的网络和服务器安全问题，避免将密钥安全转嫁到客户端系统安全中。

(2)密钥托管，为移动用户提供了新的密钥迁移思路，如果密钥非主机绑定(这也是GSI的一个特点，也是本模块实现的难点)，则密钥迁移可以减少新证书颁发的频率，减轻CA服务器的负担，对于密钥的可重复使用有着很重要的现实意义。

(3)密钥托管机制，可以进一步加强权限控制管理，CA的职能是控制密钥的颁发，而密钥托管机构则是控制密钥的可用性，在分布式CA的状态下，统一的密钥管理，可以对密钥的作废和更新进行集中的规划，对密钥的权限进行进一步的划分，这样，MyProxy的部分职能也就转嫁到密钥托管中心。

参考文献

[1]田华，鄢喜爱.图书馆数据库安全技术研究[J].重庆图情研究，2007，(2):11-13，17.

[2]王伟，李小鹏，张明果.图书馆INTRANET网络及信息系统的安全技术[J].情报杂志，2001，(3):41-43.

[3]Keahey K，Welch V.Fine-grain authorization for resource management in the G rid environment.Proc.of Grid2002 Workshop，2002.2.

[4]Tuecke S，Czajkowski K，Foster I.Open Grid Services Infrastructure(OGSI)Version 1.0.[R].Global Grid Forum，2003.4.