吳春霞,李健強,呂 霞

(1.中國地質(zhì)大學 (北京)地球科學與資源學院,北京100083;2.中國地質(zhì)調(diào)查局發(fā)展研究中心,北京100037)

我國地質(zhì)行業(yè)在長期的地質(zhì)工作中,積累了大量的數(shù)據(jù)資源,這些數(shù)據(jù)資源是海量的,以TB、PB為計量單位。隨著國土資源信息化的全面展開和現(xiàn)代信息社會的發(fā)展,需要將越來越多的數(shù)據(jù)信息單位進行聯(lián)合協(xié)同操作。為了提供地質(zhì)圖的共享和應用,提供地質(zhì)成果的公益性信息服務,中國地質(zhì)調(diào)查局構建了中國地質(zhì)調(diào)查信息網(wǎng)格平臺,成為企業(yè),國家、公眾和科研人員快速獲取地質(zhì)圖空間信息的平臺。但是,地質(zhì)調(diào)查數(shù)據(jù)量龐大,結構復雜,數(shù)據(jù)來源于多方面,同時對數(shù)據(jù)安全和保密性要求甚高,特別是涉及國家機密的成果數(shù)據(jù)、成果圖件及相關地質(zhì)圖件,既要滿足科研人員的查詢?yōu)g覽要求,又要確保圖件不被惡意盜取。因而,在針對傳統(tǒng)密碼保護措施的不足與其他潛在的系統(tǒng)運行過程中的風險,通過對地質(zhì)調(diào)查數(shù)據(jù)庫結構、地質(zhì)空間信息圖件的發(fā)現(xiàn)機制、各種算法,以及.NET FRAMEWORK底層API函數(shù)的研究,提出適合網(wǎng)格地質(zhì)信息平臺的數(shù)據(jù)訪問授權機制。

1 網(wǎng)格資源訪問授權的研究現(xiàn)狀

網(wǎng)格計算的最大優(yōu)點之一是有利于地理上分布的各種計算資源和數(shù)據(jù)資源的共享,但這些共享必須建立在安全訪問的基礎上。網(wǎng)格計算安全技術是在網(wǎng)絡安全技術的基礎上發(fā)展起來的,與網(wǎng)絡安全密切相關,網(wǎng)格計算安全技術在集成了網(wǎng)絡安全技術的基礎上,提出適合網(wǎng)格計算體系架構的安全基礎設施,許多國家建立了相應的網(wǎng)格安全應用系統(tǒng)。其中發(fā)展得最好的是美國國家實驗室研發(fā)的Globus項目中的網(wǎng)格安全基礎設施(GSI)。

GSI：Globus是目前國際上最具有影響的網(wǎng)格計算項目之一,是美國A rgonne國家實驗室的研發(fā)項目,全美有12所大學和研究機構參與了該項目。Globus對資源管理、安全、信息服務及數(shù)據(jù)管理等網(wǎng)格計算的關鍵理論進行研究,對各種網(wǎng)格應用提供網(wǎng)格環(huán)境支持,方便的實現(xiàn)資源的共享和跨域之間的互操作。而 GSI(Grid Security Infrastructure)是Globus的網(wǎng)格安全基礎設施,是保證網(wǎng)格計算安全性的核心。GSI支持用戶代理、資源代理、認證機構和協(xié)議的實現(xiàn)[1]。

GSI認證：GSI基于用戶的私鑰創(chuàng)建時間戳代理,從而為用戶提供了一種安全認證的方法。另外一種認證方法是使用具有 GSI功能的 OpenSSH,其中也使用了相同的認證機制。

GSI授權：GSI處理用戶授權的方法是將用戶映射為所訪問系統(tǒng)的本地用戶。

GSI安全通信：GSI用數(shù)字證書進行相互認證,并通過SSL/TLS實現(xiàn)對數(shù)據(jù)的加密,以保證通信的安全。OpenSSH(Secure Shell,SSH)可以實現(xiàn)在用戶的客戶機和網(wǎng)格服務器之間建立加密的會話[2]。

GSI授權時通過對一個文件的操作實現(xiàn)的,使用證書認證,該證書文件將用戶映射為訪問本結點的本地用戶,這便要求網(wǎng)格上的每一個應用系統(tǒng)都要管理一張全局用戶和本地用戶的映射表,這種映射關系是非常復雜的,需要制定不同的映射策略。當然GSI也存在一些不足之處,如各實體之間的認證頻繁且復雜,系統(tǒng)執(zhí)行開銷較大,需要付出性能延遲的代價,適應性和擴展性比較差,尤其是那種應用系統(tǒng)功能改變較頻繁和系統(tǒng)規(guī)模不斷擴大的狀態(tài)中更是如此。

2 地質(zhì)信息網(wǎng)格平臺

中國地質(zhì)調(diào)查信息網(wǎng)格平臺是以網(wǎng)格地理信息系統(tǒng)基礎軟件平臺為基礎,采用面向服務的設計思想和多層體系結構,支持局域和廣域網(wǎng)下空間數(shù)據(jù)的分布式計算、分布式空間信息分發(fā)與共享,提供網(wǎng)絡化空間信息服務。平臺基于網(wǎng)格與網(wǎng)格GIS技術,構建了跨平臺地質(zhì)資料信息共享與服務平臺建設架構一站式服務的架構。平臺的組成見圖1。

圖1 中國地質(zhì)調(diào)查信息網(wǎng)格平臺組成圖

平臺組成中,網(wǎng)格GIS安全是一個重要的組成模塊,可以說,沒有網(wǎng)格安全就談不上網(wǎng)格系統(tǒng)的應用,資源使用的不安全會帶給網(wǎng)格上各結點的互不信任從而導致網(wǎng)格計算應用會寸步難行。經(jīng)過分析,中國地質(zhì)調(diào)查信息網(wǎng)格平臺具有網(wǎng)格計算的如下特點：

①具有同時使用大量的數(shù)據(jù)資源的要求;②資源請求是動態(tài)的;③對多個管理域中資源的使用;④通信結構非常復雜;⑤嚴格的性能要求。

中國地質(zhì)調(diào)查信息網(wǎng)格平臺的功能需求的實現(xiàn)和特點決定了該網(wǎng)格平臺具有開放性和共享性以及資源計算的協(xié)作性。這種開放和共享中的大部分資源雖然是對具有相應權限的用戶的開放和共享,但信息網(wǎng)格平臺是部署在互聯(lián)網(wǎng)上的,這就對地質(zhì)信息的傳輸、應用系統(tǒng)的操作以及對地質(zhì)數(shù)據(jù)資源的訪問和使用帶來了一定的風險,網(wǎng)絡黑客的非法訪問、惡意攻擊以及病毒軟件的侵入,都有可能造成嚴重的損失,使國家地質(zhì)地理信息安全受到威脅,經(jīng)濟遭受損失。

3 地質(zhì)空間信息網(wǎng)格訪問控制機制

3.1 網(wǎng)格安全問題

一般來說,網(wǎng)格涉及的安全問題為以下幾個方面：

1)遠程訪問安全管理。主要是保證用戶與系統(tǒng)之間的數(shù)據(jù)安全,包括防止偽裝用戶、防止偽裝服務器、防止對用戶數(shù)據(jù)的竊聽和篡改、防止用戶否認、防止遠程攻擊和入侵。

2)用戶權利安全管理。主要是保證合法用戶使用授權的資源,包括防止非法用戶使用資源、防止合法用戶越權使用資源。

3)作業(yè)和任務安全管理。主要是保證作業(yè)和任務的安全運行,包括保證進程間的通信安全、防止惡意程序的運行、保證系統(tǒng)的完整性[3]。網(wǎng)格計算的特點導致了在分布式系統(tǒng)中已有的安全技術尚不能解決的問題。

4)由多個可計算資源組成的并行計算要求建立的安全關系涉及多個管理域。

5)網(wǎng)格計算的動態(tài)特征使得應用在執(zhí)行前不可能在站點之間建立信任關系。

6)網(wǎng)格所使用的域間安全解決方案必須能與不同的域內(nèi)訪問控制技術協(xié)同工作,甚至代替其工作[4]。

3.2 網(wǎng)格技術安全術語

主體 (sub ject)。是安全操作的參與者,網(wǎng)格系統(tǒng)的主體通常是用戶和資源以及代表用戶操作或代表資源的一個線程。

憑證 (credential)。是證明主體身份的消息。鑒別 (authentication)。是主體向請求者證明自己身份的過程。

對象 (object)。是被安全策略保護的一個資源。

授權 (authorization)。是一個過程,決定是否允許一個主體訪問或使用一個對象。

信任域 (trust dom ain)。是被單一管理和單一安全策略支配的主體和客體的集合[5]。

3.3 多層次資源圖

中國地質(zhì)調(diào)查信息網(wǎng)格上有若干的結點,各結點在地理上是分離的,各網(wǎng)格結點上的共享地質(zhì)數(shù)據(jù)資源可以被具有不同權限的用戶訪問,該系統(tǒng)是在Internet體系框架上構建起來的,因此,中國地質(zhì)調(diào)查信息網(wǎng)格運營面臨網(wǎng)絡的安全威脅,數(shù)據(jù)的非授權訪問,數(shù)據(jù)的保密性等等各方面的安全挑戰(zhàn)。因此需要對中國地質(zhì)信息網(wǎng)格應用層進行安全方面的規(guī)劃。本文主要考慮從對數(shù)據(jù)資源的授權機制進行研究。首先要分析安全技術中的對象,也就是資源。圖2為網(wǎng)格結點上的資源分類分層機構。

圖2 網(wǎng)格結點上的多層次資源圖

由圖2可知,網(wǎng)格上各結點資源分為硬件資源,軟件資源以及數(shù)據(jù)資源三大類。其中數(shù)據(jù)資源繼續(xù)往下分層次,分別為地理數(shù)據(jù)庫資源,圖幅資源,圖層資源以及屬性資源,這些資源信息分別存儲在不同的數(shù)據(jù)信息庫中,這些資源數(shù)據(jù)信息庫組成了平臺的結點資源聚合器。而地質(zhì)網(wǎng)格平臺用戶對地質(zhì)數(shù)據(jù)的發(fā)現(xiàn)是通過結點計算池、全局任務調(diào)度器等功能組件協(xié)同工作完成的。地質(zhì)調(diào)查網(wǎng)格結點數(shù)據(jù)資源的特點是多級、多源、異構、海量,有些數(shù)據(jù)資源的涉密性高,大至整個圖,小至圖上的屬性,圖例等都有可能進行密級限制。并不是一般的權限用戶都能進行瀏覽,使用的。因此需要對數(shù)據(jù)資源進行嚴格的使用權限分層分級別,從地理地質(zhì)數(shù)據(jù)庫資源信息開始,到地理地質(zhì)數(shù)據(jù)表中的屬性的瀏覽、修改、上載等使用權限進行劃分。

3.4 U-R、R-P、P-RS的三維塔式授權機制的實現(xiàn)

U-R、R-P、P-RS的三維塔式授權機制的實現(xiàn)如圖3所示。

圖3 網(wǎng)格結點邏輯域用戶授權實現(xiàn)機制

U-R：為用戶配置角色。User_Role(用戶角色綁定信息庫)存儲用戶和角色的綁定信息,用戶擁有不同的角色是正常的,這樣可以實現(xiàn)同一用戶擁有多個角色,同時可以對用戶在不同的邏輯域中具有的權限進行控制。

R-P：為角色配置權限。Role_Perm ission(角色權限綁定信息庫)存儲角色和權限綁定的信息,標識角色擁有的權限。

P-RS：為權限配置資源。權限配置了資源才有控制資源訪問的意義。Permission_RGdb、Permission_RLayer、 Perm ission_RMetadata、Permission_RSvc、Perm ission_RSvr、 Permission_RG rid、Perm ission_RA ttr這些權限資源綁定信息表,分別存儲權限和不同類型的資源綁定的信息。使用若干張資源綁定表,一方面資源層次劃分清晰,避免和權限綁定的混亂,管理方便。另一方面避免由于地質(zhì)數(shù)據(jù)資源的大量信息,容易導致系統(tǒng)管理性能的下降。

權限配置：權限在未進行資源配置的情況下是毫無意義的,只有對權限配置了相應的資源,權限才能實現(xiàn)對資源的訪問控制。對某權限配置資源,先進入權限列表中對需要進行資源配置的權限進行選擇進入,進入相應的資源配置功能。

權限繼承：權限的資源配置粒度越粗,擁有資源訪問權限越多,也就是高權限層繼承低權限層。以數(shù)據(jù)資源為例,如果權限配置了數(shù)據(jù)資源層的資源,則權限擁有的是所有數(shù)據(jù)庫的所有數(shù)據(jù)集的所有字段的操作權限,同理可依次下推。總之,授權粒度越粗,角色擁有的權限越多,授權粒度越細,角色擁有的權限越少。

效率問題：以數(shù)據(jù)資源作為對空間數(shù)據(jù)訪問權限的控制,由于空間數(shù)據(jù)的數(shù)據(jù)量非常龐大,對空間數(shù)據(jù)的訪問控制權限設計得越細,涉及的數(shù)據(jù)也越龐大。所以需要考慮系統(tǒng)運行的效率問題。

從技術上暫時提出以下兩種策略：

①對涉及數(shù)據(jù)量大的表采取分多張表存放數(shù)據(jù)的形式,如把資源權限綁定記錄分多張表存放。②把使用頻率高,增加、刪除、修改等數(shù)據(jù)操作少的數(shù)據(jù)表,在系統(tǒng)啟動時可直接載入緩存,提高訪問速度。

網(wǎng)格用戶在登錄后,請求資源的使用,實質(zhì)是申請使用結點Portal提供的服務,由于系統(tǒng)在網(wǎng)站和服務層進行了訪問控制的配置,系統(tǒng)通過多重判斷后才決定接受或拒絕用戶的訪問。從網(wǎng)站訪問、功能服務的操作以及服務所涉及的資源的操作三個層次保障資源和底層業(yè)務數(shù)據(jù)的安全。

4 結束語

多級、多源、異構、海量地質(zhì)調(diào)查空間數(shù)據(jù)在網(wǎng)格上的安全是地質(zhì)調(diào)查網(wǎng)格平臺的基礎,只有解決了網(wǎng)格安全問題,網(wǎng)格應用才能得到繼續(xù)發(fā)展,本文通過分析分析構建于網(wǎng)格基礎上的中國地質(zhì)調(diào)查信息網(wǎng)格平臺的資源構成特點,以及對地質(zhì)數(shù)據(jù)資源訪問的安全問題的分析,提出適用于該網(wǎng)格平臺數(shù)據(jù)資源訪問的U-R、R-P、P-RS塔式授權機制,確保合法用戶對地質(zhì)空間信息的合法使用。

[1] 劉乃文,劉方愛.網(wǎng)格安全技術GSI研究[J].網(wǎng)絡安全與技術,2006(9)：36-37.

[2] 楊發(fā)榮.基于Globus的網(wǎng)格安全與管理模型分析 [EB/OL].[2008-04-18].h ttp：//net.it168.com/app/2008-04-14/200804141006104.sh tm l.

[3] 徐德發(fā).網(wǎng)格計算面臨的安全問題和解決方案[EB/OL].[2004-09-14].http：//www.newmaker.com/art_1495.htm l.

[4] N.Nagaratnam,P.Janson,J.Day ka,A.Nadalin,F.Siebenlist,V.W elch,I.Foster,S.Tuecke：The Security A rchitecture for Open Grid Services,2002.

[5] 胡博,徐新華.網(wǎng)格環(huán)境下的安全問題研究 [J].計算機安全,2009(6)：20-23.