基于网格的数字图书馆安全模型构建研究

杨 丹

(湖南图书馆，湖南 长沙 410011)

1 数字图书馆网格安全体系的缺陷

网格作为一种能够有效提高计算能力、 存储能力和数据处理能力的新型网络， 能够将处于不同地理位置的计算机终端相互连接， 从而形成一种强大的计算机系统， 并且将网络中的计算机处理器能力联合在一起， 为数据处理提供有力的支持， 可以使得众多普通计算机也能够具有强大的数据计算、处理能力。

网格技术应用于现代数字图书馆的建设对图书馆信息化建设提出了新要求： 一是要有效降低图书馆网络服务的成本， 统一管理和使用信息资源；二是基于现有网络基础之上，为用户提供智能化信息共享平台； 三是网络技术能够自动查找相关数据，完成综合分析之后形成新的认识。 但是，网格安全问题是数字图书馆网格计算中心的关键问题。 众所周知，安全构建与简单便利是相互矛盾的，在保证数字图书馆网格计算绝对安全的同时，还需要兼顾到数字图书馆用户的使用方面快捷。因此，在对数字图书馆网格安全机制设计时，不但要保证不同计算机主体之间的通信要具有较强的保密性和完整性， 还要考虑到网格环境中的动态主体存在一定的冗余特性。 因此，网格环境中的数据信息安全管理机制与其他网络安全问题相比显得更为重要。 在数字图书馆网格计算环境中，每台计算机终端都存在于不同的地理空间位置， 为了能够保证它们之间的通信安全， 需要在安全机制方面加以完善，防止数据篡改、恶意窃取信息的情况出现。

由于数字图书馆之间的网格节点处于不同地理位置， 如何能够保证节点之间的数字图书馆共享信息具有较强的保密性和完整性， 是目前亟待解决的重要问题，网格安全包括网格系统安全、数据传输共享安全和数据信息存储安全等等。

可能对数字图书馆发动攻击威胁的包括数字图书馆内部工作人员、外部用户、非法盗版机构、网络黑客等等。 攻击威胁的发起主要包括两个方面：一是有具体行为的盗取数字图书馆光盘、磁带等有价值的实物， 或者对数字图书馆计算机终端系统发起恶意入侵， 造成系统程序运行的故障等等；二是有针对性地窃取数据信息，例如通过网络病毒、木马等非法窃取用户的个人信息，或者恶意修改数字图书馆网页页面内容等， 甚至通过网络入侵有目的性的非法下载具有重要价值的数据信息，并通过复制伪造等手段获得非法利益。 因此，需要一个安全性较高的授权控制模型， 对数字图书馆网格数据资源进行授权管理和访问。

2 网格安全管理需要满足的技术要求

2.1 PKI 技术架构

PKI（公钥基础设施）是通过第三方信任认证机构，将用户的公钥和用户其他信息进行捆绑，在互联网上验证通过用户的合法身份之后， 最终实现密钥的自动管理功能， 从而有效保障网络中数据传输的安全可靠。

PKI 系统指的是能够提供数字签名服务和公钥加密服务的系统，PKI 系统的主要功能是通过对密钥和认证证书的自动管理， 在一个安全、稳定、可靠的网络运行环境中， 用户可以轻松便捷地使用数字签名服务和加密技术服务， 从而保证数据信息在网络中传输的保密性和完整性。 数据信息的保密性指的是数据信息在网络传输的过程中，不会被外界非法窃取获得， 数据信息的完整性指的是数据信息在网络传输的过程中不会被外界非法篡改内容。 一个安全稳定的PKI 系统在用户使用数字签名和加密技术服务时， 必须保证时安全透明的， 用户也不需要去了解具体管理密钥和证书的流程。

2.2 PMI 多级授权服务控制技术

PMI 即安全认证体系架构， 是授权管理基础设施的统称，PMI 依赖于PKI 系统的支持，其功能目的是提供访问控制和权限管理， 并且具有用户身份认证到授权管理机构的映射功能，PMI 能够实现安全访问控制机制， 而这个访问控制机制是与实际应用系统和处理模式相互对应的， 而且能够在一定程度上降低访问控制和权限管理的开发设计、应用操作和系统维护。

图1 PMI 认证体系架构

如图1 所示，PMI 安全认证体系架构总共由三个部分组成，首先，用户部分的功能是支持直接访问的匿名用户，以及通过已经授权的认证用户；用户部分再经过工作流部分实现与其权限相对应的业务功能， 最后经过工作流部分实现对数字图书馆系统、阅读等部分的访问，PMI 是基于用户角色的认证体系， 能够对所有用户的权限信息统一管理， 并按照不同的权限分配给用户不同的业务功能。

2.3 单点登录技术架构

单点登录是目前互联网业务中数据整合效果较好的技术方案， 数字图书馆在基于网格的环境下， 完成一个业务功能经常需要多个网格资源共同配合， 但是这些数据资源又处于不同地理位置的数字图书馆节点中， 如果授权用户每登录一个网格节点数字图书馆， 都要重新输入用户名和密码进行认证的话，大大加重了用户的工作负担。 而且不同节点需要用户提供的身份认证信息各不相同。 在网格环境下，不同系统之间都有自己独立设置的安全管理策略， 这就使得不同的系统都要向用户进行授权，才能够访问系统资源，然而，利用单点登录技术能够很好地解决这个问题。 单点登录机制使得用户只需要进行一次身份验证， 就可以在特定相同的逻辑安全域中访问已经授权的系统资源。

3 网格状态下CA 密钥安全认证

CA 网络认证密钥是对用户身份进行安全识别的手段，用以提高网格状态下服务的安全性。CA作为第三方可信任证书管理机构，CA 的密钥管理模式主要包括两种类型：一是用户自管理模式，用户自管理模式是将密钥存储在用户一方， 由用户负责使用、备份、存储密钥，这也是目前互联网中CA 证书管理机构中普遍采用的用户密钥管理方法，密钥的存储方式包括光盘存储、硬盘存储、USB Key 存储；二是密钥托管模式，密钥托管模式是由CA 证书管理机构对用户的密钥进行备份、存储和集中管理。 用户同时在本地计算机终端上或硬件介质中存有属于自己的密钥， 从而保证通过正常的安全应用。

密钥托管的功能是当出现紧急情况时， 可以通过密钥托管获得数据信息的解密途径。 密钥托管通常是对用户的密钥备份进行保存和管理，当需要时可以帮助刑侦等有关部门获取数据信息的原始密文， 也可以在原始用户密钥遭到破坏后对密文进行恢复。 但是，密钥托管也有其需要注意的问题，就是如何防止用户进行身份欺骗，从而逃脱CA 证书管理机构的跟踪，因此，密钥管理技术也需要政府采取强制性政策支持， 用户首选需要向代管机构申请密钥托管， 得到托管认证证书之后才能够向CA 证书管理机构申请证书加密， 而CA证书管理机构需要获得加密公钥所对应的私钥托管证书之后，才能够向用户颁发公钥证书。

4 网格环境下数字图书馆多级授权访问控制安全模型构建

4.1 多级授权访问控制安全模型构建

安全访问控制的构建应该与应用系统独立开来，以减少与系统之间发生耦合现象。 数字图书馆的数据资源主要包括两种类型，分别是信息资源和服务资源。数字图书馆信息资源指的是存储在系统数据库中的图片文件、声音文件、文本文件、视频文件等等；数字图书馆服务资源包括对数据信息的查询、检索、下载等等。数字图书馆需要对这些资源进行集中管理，一般指定一个服务器对应一个系统进行管理，与其他授权管理的系统独立开来，这是目前众多的数字图书馆普遍采用的安全管理机制。数字图书馆的应用程序服务的授权管理通过授权控制框架实现，例如网络传输协议应用、数据库系统操作、万维网服务、传送文件协议服务等。数字图书馆的授权管理系统能够支持用户角色授权管理、用户授权策略管理等，当数字图书馆应用服务系统接收到授权信息时，就实现了对用户的多级授权访问控制。 本文在查阅了大量文献资料基础之上，设计了一种数字图书馆多级授权访问控制安全模型，具体结构如图2 所示。

图2 数字图书馆多级授权访问控制安全模型

数字图书馆多级授权访问控制体系主要是由两个主体和一个中间层组成。 两个主体分别是资源主体和用户主体， 由于考虑到数字图书馆网格环境具有不确定性， 所以应该同时支持固定用户和移动用户同时访问， 网格安全中要求用户访问时必须具备静态的IP 地址，移动用户需要接入数字图书馆时必须经过一系列改进改造， 常用的方法是将移动用户使用的虚拟专用网络与网格进行连接。

数字图书馆多级授权访问控制安全模型中的资源主体是若干个数据服务器， 本文在设计的过程中列举的是高校数字图书馆中常见的资源服务器，对于一些比较边缘化的数据服务器来说，可以根据数据服务器不同的安全级别设置， 对其进行不同级别的安全管理。 多级授权访问控制安全模型主要是针对数字图书馆中的数据资源进行保护，由于数据资源是数字图书馆的基本信息资源，因此，加强数据资源的保护，防止外界非法窃取和传播， 是数字图书馆多级授权访问控制安全模型应用的根本目标。

数字图书馆多级授权访问控制安全模型的两个中间层分别是OGCE 安全门户层和My Proxy 安全用户代理层， 安全用户代理层直接与数据资源主体相互桥接，OGCE 安全门户层的架设需要在数字图书馆网格边缘附近， 就是说以内外网的形式进行访问控制。 由于访问用户需要向客户端发送代理证书认证信息，因此，在双方进行交互时，用户可以通过资源界面选择需要访问的资源。

4.2 模型安全性讨论

网格环境下数字图书馆安全模型的构建是基于数字图书馆分布式存储需求的基础之上， 网格环境的应用虽然能够为数字图书馆的数据信息存储带来方便， 但是也增加了网格安全管理的复杂程度， 本文设计的数字图书馆多级授权访问控制安全模型主要能够解决以下几个问题：

（1）对不同用户权限区域进行隔离。数字图书馆多级授权访问控制安全模型通过PMI 系统将用户的权限进行统一划分， 对于处于不同组织的用户分配不同的权限， 通过权限映射可以将用户的权限进行控制， 保证用户的权限处于可以信任的区域范围内。

（2）严格控制用户的访问授权接口。对于数字图书馆用户来说， 他们希望可以通过多种途径获得需要的数据资源， 数字图书馆多级授权访问控制安全模型将用户获取数据资源的途径以单点登录的技术进行管理， 从而有效减少了数字图书馆数据资源的泄露， 也防止了过多的网页地址入口漏洞出现。

（3）对用户客户端安全性进行控制。数字图书馆系统的安全情况与用户的安全意识直接相关，数字图书馆多级授权访问控制安全模型运用的是密钥托管的技术， 通过将用户密钥的保存使具有安全威胁的用户客户端转移到可以信任的第四方机构中， 降低由于用户安全意识不强为系统带来的破坏性影响， 还能够为密钥集中回收和发放提供支持。

5 总结

目前，网格安全作为一个关键技术，已经得到了信息安全领域的广泛关注。 本文在查阅了大量相关文献资料基础之上， 提出的数字图书馆多级授权访问控制安全模型， 目的是将数字图书馆在网格环境中的授权进行统一管理， 并且能够实现固定用户和移动用户的单点登录， 具有一定的理论价值和现实指导意义。

[1] 王延斌.数字图书馆网络安全及防范策略[J].江西图书馆学刊,2010(2):97-99.

[2] 肖茜.网络信息安全研究[J].网络安全技术与应用,2009(4):27-28.

[3] 何俊杰. 数字图书馆网络与数据安全的研究与实现[J].电脑知识与技术,2009(4):804-806.

[4] 陈臣,马晓亭.数字图书馆云存储系统安全架构与安全策略研究[J].现代情报,2011(9):160-164.

[5] 黄燕.云存储影响下的数字图书馆[J].图书馆界,2011(5):3-4.

[6] 唐开,王纪坤.基于新木桶理论的数字图书馆网络安全策略研究[J].现代情报,2009(7):89-91.

[7] 关云楠. 数字图书馆个性化定制服务内容与策略研究[J].内蒙古科技与经济,2010(18):150-151.

[8] 刘文云,鲍凌云.“云”下的数字图书馆资源存储研究[J].情报资料工作,2011(2):51-54.

[9] 董玉玲.论信息资源数字化建设[J].科技信息,2010(36):239.

[10] 马晓亭,陈臣.数字图书馆网络与信息系统安全评估指标体系研究[J].情报科学,2011(10):1529-1533.