網(wǎng)格環(huán)境下數(shù)字圖書館的訪問控制研究

王知津 于曉燕

摘要根據(jù)網(wǎng)格環(huán)境下數(shù)字圖書館的安全特征及其在訪問控制中面臨的主要問題，指出了網(wǎng)格環(huán)境下數(shù)字圖書館訪問控制的關(guān)鍵技術(shù)，并進(jìn)一步對(duì)四種訪問控制策略進(jìn)行了分析，它們分別是：自主訪問控制策略、強(qiáng)制訪問控制策略、基于角色的訪問控制策略和基于任務(wù)的訪問控制策略。

關(guān)鍵詞網(wǎng)格數(shù)字圖書館網(wǎng)格訪問訪問控制

1引言

網(wǎng)格環(huán)境下的數(shù)字圖書館的資源是分布型的，這些信息可能屬于組織或個(gè)人，并且存在于多種異構(gòu)平臺(tái)下，同時(shí)這些信息本身也是異構(gòu)的，如關(guān)系型數(shù)據(jù)庫(kù)、文件等。大量的用戶需要對(duì)這些資源提出服務(wù)請(qǐng)求，與傳統(tǒng)的客戶機(jī)／服務(wù)器模式的信息系統(tǒng)相比，網(wǎng)格環(huán)境下的數(shù)字圖書館的安全機(jī)制要復(fù)雜很多。網(wǎng)格必須為這些數(shù)字圖書館的管理者提供安全管理機(jī)制，每個(gè)數(shù)字圖書館的管理者可以自由地決定共享哪些信息、共享給誰或不共享哪些信息、不共享給誰。信息的共享需嚴(yán)格控制，作為信息提供者的數(shù)字圖書館有權(quán)決定信息共享的所有策略，且這種權(quán)限控制必須是易維護(hù)并獨(dú)立于數(shù)據(jù)源本身，同時(shí)應(yīng)該在邏輯上提供不同的安全管理層次和控制程度。本文討論了網(wǎng)格環(huán)境下數(shù)字圖書館的安全特征及其在訪問控制中面臨的主要問題，指出了網(wǎng)格環(huán)境下數(shù)字圖書館訪問控制的關(guān)鍵技術(shù)，并對(duì)四種訪問控制策略進(jìn)行了重點(diǎn)分析。

2網(wǎng)格環(huán)境下數(shù)字圖書館的安全特征

網(wǎng)格上各個(gè)數(shù)字圖書館具有相互獨(dú)立性，用戶對(duì)信息的使用不依賴網(wǎng)格的結(jié)構(gòu)。對(duì)于用戶而言，信息網(wǎng)格呈現(xiàn)單一系統(tǒng)映像。網(wǎng)格中的信息共享關(guān)系是動(dòng)態(tài)的，這種共享關(guān)系具有很強(qiáng)的擴(kuò)展性，各個(gè)用戶之間可以方便地建立、撤銷共享及信任與授權(quán)關(guān)系；網(wǎng)格中的信息不僅可以被用戶訪問，還可以被其他數(shù)字圖書館服務(wù)訪問，為其信息服務(wù)提供基本的支持。網(wǎng)格中各個(gè)數(shù)字圖書館系統(tǒng)作為整個(gè)網(wǎng)格中有機(jī)的一部分，既為用戶提供統(tǒng)一的映像，又可以實(shí)現(xiàn)獨(dú)立控制和使用的目的。

由于網(wǎng)格中各個(gè)數(shù)字圖書館安全策略的差異，使得網(wǎng)格成為一個(gè)由多個(gè)不同安全策略構(gòu)成的異構(gòu)環(huán)境。因此，該環(huán)境必須支持多管理域間的策略協(xié)調(diào)與互操作。

下面，就網(wǎng)格環(huán)境下數(shù)字圖書館的主要安全特征分四個(gè)層面進(jìn)行分析，他們分別是：用戶層面、資源層面、應(yīng)用層面和網(wǎng)絡(luò)層面。

(1)用戶層面

網(wǎng)格環(huán)境中的用戶數(shù)量很大并在不斷變化之中，網(wǎng)格用戶是一個(gè)動(dòng)態(tài)的群體，他們可能來自不同的組織且頻繁改變。在網(wǎng)格數(shù)字圖書館系統(tǒng)中，合法的用戶主要關(guān)心的是能否有足夠的資源來完成其信息服務(wù)的請(qǐng)求以及其合法性是否會(huì)受到侵犯。雖然網(wǎng)格中的用戶可以屬于不同的組織，但出于計(jì)賬和訪問控制的考慮，用戶在不同的資源上需要映射到對(duì)應(yīng)不同的本地名字空間的驗(yàn)證或本地賬號(hào)。

(2)資源層面

網(wǎng)格環(huán)境中的信息資源數(shù)量很多且在不斷變化，網(wǎng)格中的資源是跨管理域的、異構(gòu)的，來自不同的所有者。網(wǎng)格信息資源的所有者有權(quán)決定是否以及何時(shí)共享信息資源，并且訪問控制策略可根據(jù)空間信息資源的數(shù)量和位置以及用戶的要求迅速改變。對(duì)于資源所有者來說，所關(guān)心的是其資源的安全是否可以得到保障。資源擴(kuò)張帶來的資源安全隱患是網(wǎng)格中的一個(gè)重要問題。

(3)應(yīng)用層面

應(yīng)用是與用戶和資源相關(guān)聯(lián)的網(wǎng)格實(shí)體。應(yīng)用由用戶提交，使用網(wǎng)格資源完成預(yù)先設(shè)定的功能，并獲得運(yùn)行結(jié)果。當(dāng)用戶將應(yīng)用提交給網(wǎng)格資源后，用戶希望該應(yīng)用不被其他用戶所破壞，同時(shí)也希望運(yùn)行結(jié)果是保密的，其代碼和運(yùn)行結(jié)果不被其他用戶隨意獲得。網(wǎng)格環(huán)境中的服務(wù)應(yīng)用程序可在其執(zhí)行過程中通過加密等方法動(dòng)態(tài)地請(qǐng)求、啟動(dòng)相應(yīng)的進(jìn)程并完成申請(qǐng)、釋放信息資源。

(4)網(wǎng)絡(luò)層面

網(wǎng)絡(luò)是網(wǎng)格系統(tǒng)實(shí)現(xiàn)計(jì)算與信息服務(wù)的通信基礎(chǔ)。網(wǎng)格環(huán)境必須與現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)充分融合，網(wǎng)格空間信息資源能支持不同的本地認(rèn)證、授權(quán)機(jī)制與策略，且這些機(jī)制與策略具有互操作性。

3網(wǎng)格環(huán)境下的數(shù)字圖書館訪問控制的關(guān)鍵問題

網(wǎng)格環(huán)境下數(shù)字圖書館信息訪問控制的目的就是實(shí)現(xiàn)通用服務(wù)、輔助智能、全局一體以及自主控制。在信息訪問控制研究中遇到的幾個(gè)關(guān)鍵問題是通用性問題、自主控制問題、互操作問題和管理問題。

3.1通用性

網(wǎng)格訪問控制的通用性是指其訪問控制機(jī)制可以實(shí)現(xiàn)多種用戶根據(jù)其自身的不同需求自定義多種訪問控制策略。在網(wǎng)格數(shù)字圖書館中，每個(gè)管理員都要根據(jù)自身的需求制定訪問控制策略，從而使得網(wǎng)格的訪問控制策略具有多樣性，因此網(wǎng)格的訪問控制機(jī)制需要支持這些訪問控制策略。

由訪問控制策略確定的具體的授權(quán)規(guī)則需要通過訪問控制模型實(shí)現(xiàn)，訪問控制模型實(shí)現(xiàn)多種授權(quán)規(guī)則的能力就體現(xiàn)了其通用性。信息網(wǎng)格訪問控制通用性的研究主要是信息網(wǎng)格訪問控制模型的研究。一個(gè)策略中立的、形式化的、具有通用性的、可以靈活的表達(dá)各種訪問控制策略的訪問控制模型是信息網(wǎng)格訪問控制研究的首要問題，是解決其他問題的前提條件。其中策略中立使得訪問控制模型不必局限于自主訪問控制或強(qiáng)制訪問控制等策略；形式化的模型可以有效地實(shí)現(xiàn)管理域問的訪問控制映射，并驗(yàn)證訪問控制的正確性。

3.2自主控制

網(wǎng)格訪問控制的自主控制是指在信息網(wǎng)格的各個(gè)管理域中，都可以由該域中的管理員獨(dú)立地制定本管理域的訪問控制策略。例如，網(wǎng)格中的一個(gè)數(shù)字圖書館訪問控制策略的制定不受其他數(shù)字圖書館訪問控制策略的干涉以及整個(gè)網(wǎng)格結(jié)構(gòu)的影響。當(dāng)一個(gè)數(shù)字圖書館或其他組織加入或退出信息網(wǎng)格時(shí)，不對(duì)信息網(wǎng)格其他組織的訪問控制策略產(chǎn)生影響，而其自身的訪問控制策略也不因加入或退出信息網(wǎng)格而改變。

在一個(gè)數(shù)字圖書館組織的內(nèi)部，同樣存在著訪問控制的自主控制問題，這通常體現(xiàn)為一個(gè)組織的各個(gè)部門對(duì)屬于本部門的信息資源授權(quán)的獨(dú)立性。

數(shù)字圖書館自主控制的實(shí)質(zhì)是讓圖書館自身?yè)碛袑?duì)屬于自己的信息資源的最終控制權(quán)。這是信息網(wǎng)格的一個(gè)重要特征，也是信息網(wǎng)格訪問控制必須遵守的原則。跨管理域的授權(quán)不能超越本地的訪問控制策略所制定的授權(quán)規(guī)則。

網(wǎng)格數(shù)字圖書館訪問控制的自主控制問題與通用性問題的區(qū)別在于：通用性問題解決的是支持和最終實(shí)現(xiàn)多種訪問控制策略的問題，而自主控制問題主要解決的是在管理域中訪問控制的獨(dú)立性問題。

3.3互操作

網(wǎng)格訪問控制的互操作問題，實(shí)際上是解決網(wǎng)格中各個(gè)管理域之間跨域的授權(quán)問題。網(wǎng)格中的某個(gè)數(shù)字圖書館系統(tǒng)需要提供單一登陸、單一控制點(diǎn)的授權(quán)機(jī)制，以實(shí)現(xiàn)全局一體的訪問控制。

在跨管理域的授權(quán)中，由于信息訪問的主體和客體可能屬于訪問策略不同的管理域，訪問控制可能會(huì)發(fā)生沖突，這就需要一定的協(xié)調(diào)機(jī)制。訪問控制的互操作要滿足以下2條原則。

(1)自主原則：即在某一管理域中允許的信息訪問，通過互操作也允許。

(2)安全原則：即在某一管理域中禁止的信息訪問，通過互操作也禁止。

在網(wǎng)格數(shù)字圖書館的信息共享和信息服務(wù)中，有大量的跨管理域的訪問控制的互操作需求。一個(gè)數(shù)字圖書館為用戶提供了一個(gè)單一入口點(diǎn)，但用戶得到的信息可能來源于多個(gè)信息服務(wù)系統(tǒng)，這時(shí)就需要網(wǎng)格中的多個(gè)組織進(jìn)行資源共享和協(xié)調(diào)。例如：用戶通過圖書館自動(dòng)化管理系統(tǒng)可以查詢到自己帳戶的借書狀態(tài)、通過上網(wǎng)帳戶管理查看自己的上網(wǎng)清單、通過統(tǒng)一檢索平臺(tái)檢索期刊數(shù)據(jù)庫(kù)并下載全文、通過原文傳遞服務(wù)申請(qǐng)不具有訪問權(quán)限的全文信息、通過教參系統(tǒng)查看自己關(guān)心的課程的教學(xué)參考情況、通過VPN系統(tǒng)登陸到虛擬組織……

以上實(shí)例說明網(wǎng)格信息就是這樣一個(gè)存在大量的各種信息系統(tǒng)間信息交互的系統(tǒng)，各個(gè)系統(tǒng)之間的信息需要互操作。而這些組織可能存在著自己的訪問控制策略，由于網(wǎng)格中信息訪問控制策略的多樣性，在管理域訪問控制的互操作中可能會(huì)出現(xiàn)訪問控制規(guī)則的沖突，從而需要一個(gè)協(xié)調(diào)機(jī)制。

3.4管理

網(wǎng)格訪問控制的管理問題就是要解決網(wǎng)格中訪問控制的安全漏洞，提高網(wǎng)格訪問安全性。

網(wǎng)格中存在多個(gè)數(shù)字圖書館系統(tǒng)、多種安全策略、大量的用戶及信息服務(wù)請(qǐng)求，還有各種異構(gòu)的信息資源，訪問控制又存在多種粒度，同時(shí)信息網(wǎng)格是一個(gè)開放、動(dòng)態(tài)的系統(tǒng)，所以必須提供一個(gè)易于管理的訪問控制輔助工具，以降低訪問控制管理的復(fù)雜度。

如果把網(wǎng)格環(huán)境下的每個(gè)獨(dú)立的數(shù)字圖書館系統(tǒng)看作是一個(gè)個(gè)獨(dú)立的管理域，那么，由于管理域間的訪問控制策略的差異，跨管理域的授權(quán)可能會(huì)降低訪問控制的確定性，造成安全漏洞。網(wǎng)格訪問控制的管理，就是要通過一些輔助工具發(fā)現(xiàn)這些安全漏洞，為安全管理員提供輔助智能以便簡(jiǎn)化安全管理的流程。其管理內(nèi)容包括以下三方面內(nèi)容：

(1)遠(yuǎn)程訪問安全管理：主要是保證用戶與系統(tǒng)之間的數(shù)據(jù)安全，防止偽裝用戶、防止偽裝服務(wù)器、防止對(duì)用戶數(shù)據(jù)的竊聽和篡改、防止遠(yuǎn)程攻擊和入侵。

(2)用戶權(quán)利安全管理：主要是保證合法用戶正常使用授權(quán)的資源，防止非法用戶使用資源、防止合法用戶越權(quán)使用資源。

(3)作業(yè)和任務(wù)安全管理：主要是保證作業(yè)和任務(wù)的運(yùn)行安全，保證進(jìn)程間的通信安全、防止惡意程序運(yùn)行、保證系統(tǒng)的完整性。

綜上所述，網(wǎng)格環(huán)境下數(shù)字圖書館訪問控制的關(guān)鍵問題與網(wǎng)格的指導(dǎo)思想是一一對(duì)應(yīng)的。通用性問題和自主控制問題是網(wǎng)格特色的體現(xiàn)；互操作問題是網(wǎng)格多管理域的特點(diǎn)對(duì)訪問控制提出的要求，同時(shí)也體現(xiàn)了全局一體的指導(dǎo)思想；訪問控制的管理問題則是所有信息系統(tǒng)安全控制都面臨的問題，只不過在網(wǎng)格中該問題尤為突出。

4網(wǎng)格環(huán)境下數(shù)字圖書館訪問控制的關(guān)鍵技術(shù)

網(wǎng)格環(huán)境下數(shù)字圖書館創(chuàng)立的目標(biāo)就是利用網(wǎng)格技術(shù)實(shí)現(xiàn)資源共享與協(xié)作，消除信息孤島。用戶將信息需求提交給數(shù)字圖書館系統(tǒng)，系統(tǒng)通過分析、查找、選擇最終將用戶所需的數(shù)據(jù)傳送給用戶，其流程如圖1所示。

首先，數(shù)據(jù)訪問管理接收用戶對(duì)信息需求的描述，并將需求傳遞給資源調(diào)度與遠(yuǎn)程服務(wù)，通過調(diào)度系統(tǒng)在多個(gè)數(shù)據(jù)復(fù)本中選擇出最優(yōu)的存儲(chǔ)位置進(jìn)行數(shù)據(jù)查詢，并通過元數(shù)據(jù)管理確定數(shù)字對(duì)象的存儲(chǔ)路徑和物理文件名，然后將這些信息傳給數(shù)據(jù)傳輸機(jī)制，再逐級(jí)將檢索結(jié)果返回給用戶。

在整個(gè)流程中涉及的關(guān)鍵技術(shù)包括數(shù)據(jù)訪問管理、資源調(diào)度與遠(yuǎn)程服務(wù)、數(shù)據(jù)復(fù)制技術(shù)、數(shù)據(jù)傳輸機(jī)制和元數(shù)據(jù)管理。

4.1數(shù)據(jù)訪問管理

網(wǎng)格環(huán)境下數(shù)字圖書館的數(shù)據(jù)資源多種多樣，其表示、存儲(chǔ)的形式也各不相同。有些數(shù)據(jù)是以文件形式存儲(chǔ)的；有些數(shù)據(jù)則存儲(chǔ)在數(shù)據(jù)庫(kù)或者數(shù)據(jù)倉(cāng)庫(kù)中；還有一些特殊數(shù)據(jù)(如統(tǒng)計(jì)軟件生成的統(tǒng)計(jì)分析數(shù)據(jù)等)則以專門的系統(tǒng)格式存儲(chǔ)在各系統(tǒng)之中；另有一些數(shù)據(jù)是由多個(gè)分布存儲(chǔ)系統(tǒng)中的數(shù)據(jù)組成。

方便而有效地訪問各種異構(gòu)數(shù)據(jù)組成的數(shù)據(jù)集合是網(wǎng)格環(huán)境下數(shù)字圖書館的主要功能，也是數(shù)字圖書館向用戶提供服務(wù)的關(guān)鍵。如果為每一種數(shù)據(jù)存儲(chǔ)方式提供一種訪問方法，那么用戶是不能接受的。因此，作為網(wǎng)格環(huán)境下的數(shù)字圖書館必須將各種形式的數(shù)據(jù)存儲(chǔ)系統(tǒng)進(jìn)行抽象，形成一個(gè)抽象模型，為不同的數(shù)據(jù)存儲(chǔ)系統(tǒng)提供統(tǒng)一的數(shù)據(jù)訪問接口。

數(shù)據(jù)訪問管理的作用就是將數(shù)據(jù)存儲(chǔ)與數(shù)據(jù)檢索等高層用戶的請(qǐng)求映射為異構(gòu)分布式存儲(chǔ)環(huán)境中的底層數(shù)據(jù)進(jìn)行存儲(chǔ)、訪問操作，實(shí)現(xiàn)廣域范圍內(nèi)對(duì)數(shù)據(jù)有效的、統(tǒng)一的訪問及管理。

4.2資源調(diào)度與遠(yuǎn)程服務(wù)

在網(wǎng)格環(huán)境中，數(shù)字圖書館系統(tǒng)需要進(jìn)行資源的調(diào)度優(yōu)化和服務(wù)執(zhí)行，它主要包括請(qǐng)求的調(diào)度優(yōu)化、資源的調(diào)度優(yōu)化和資源的服務(wù)執(zhí)行。

請(qǐng)求的調(diào)度優(yōu)化要對(duì)用戶資源請(qǐng)求與可用資源進(jìn)行匹配，當(dāng)眾多用戶和應(yīng)用請(qǐng)求同時(shí)到達(dá)，就必須統(tǒng)籌優(yōu)化安排多個(gè)請(qǐng)求的資源需求。

遠(yuǎn)程執(zhí)行服務(wù)機(jī)制保證了多個(gè)地點(diǎn)的系統(tǒng)能夠遠(yuǎn)程啟動(dòng)執(zhí)行，能夠監(jiān)控、收集和查詢狀態(tài)信息，控制地理位置上分布的多個(gè)系統(tǒng)的任務(wù)執(zhí)行過程。

4.3數(shù)據(jù)復(fù)制技術(shù)

網(wǎng)格環(huán)境下數(shù)字圖書館的各種數(shù)據(jù)需要經(jīng)常復(fù)制，復(fù)制本質(zhì)上是對(duì)數(shù)據(jù)的緩存。雖然網(wǎng)絡(luò)速度提高很快，但要達(dá)到高性能頻繁訪問和處理大量遠(yuǎn)程數(shù)據(jù)仍然很困難。復(fù)制技術(shù)為用戶應(yīng)用提供一個(gè)能夠快速訪問和處理遠(yuǎn)程數(shù)據(jù)的局部緩沖數(shù)據(jù)拷貝，避免大量數(shù)據(jù)遠(yuǎn)程傳輸?shù)綉?yīng)用端。

復(fù)制目錄的結(jié)構(gòu)必須靈活且可擴(kuò)展，以免影響性能的發(fā)揮。在網(wǎng)格中，由于數(shù)據(jù)的復(fù)制和緩沖導(dǎo)致了網(wǎng)格特有的安全問題，即一個(gè)站點(diǎn)緩沖了位于另一個(gè)地點(diǎn)系統(tǒng)中的數(shù)據(jù)，2個(gè)系統(tǒng)之間的安全保護(hù)機(jī)制、措施和安全級(jí)別不同，因此，數(shù)字圖書館如何能夠滿足每一個(gè)數(shù)據(jù)擁有者的對(duì)所有數(shù)據(jù)安全級(jí)別保護(hù)的要求是一個(gè)非常關(guān)鍵的問題。

4.4數(shù)據(jù)傳輸機(jī)制

網(wǎng)格計(jì)算涉及大量數(shù)據(jù)的移動(dòng)、傳輸和復(fù)制，這就需要一種高效的數(shù)據(jù)傳輸機(jī)制來支持。數(shù)據(jù)傳輸管理就是要保證在廣域網(wǎng)絡(luò)環(huán)境下高速地、可靠地傳輸數(shù)據(jù)。數(shù)據(jù)傳輸機(jī)制應(yīng)支持以下幾種功能：

(1)支持高速數(shù)據(jù)傳輸：要支持廣泛的數(shù)據(jù)傳輸協(xié)議，可以采用并行數(shù)據(jù)傳輸機(jī)制。

(2)支持分塊數(shù)據(jù)傳輸：要支持多個(gè)分塊數(shù)據(jù)的并發(fā)數(shù)據(jù)傳輸，匯總后形成一個(gè)完整的數(shù)據(jù)集。

(3)支持部分?jǐn)?shù)據(jù)傳輸：用戶和應(yīng)用程序經(jīng)常需要數(shù)據(jù)集中的一部分?jǐn)?shù)據(jù)，而不是整個(gè)數(shù)據(jù)集，比如一個(gè)文件中的一段數(shù)據(jù)，因此支持部分?jǐn)?shù)據(jù)傳輸方式。

(4)支持多方數(shù)據(jù)傳輸：許多應(yīng)用程序需要用到多個(gè)資源，必須提供一種機(jī)制，允許1個(gè)地點(diǎn)的用戶和應(yīng)用程序能夠啟動(dòng)、監(jiān)視和控制其他2個(gè)地點(diǎn)存儲(chǔ)系統(tǒng)的數(shù)據(jù)傳輸，為應(yīng)用使用多個(gè)地點(diǎn)的資源提供保障。

(5)支持?jǐn)帱c(diǎn)續(xù)傳的數(shù)據(jù)傳輸：當(dāng)因數(shù)據(jù)傳輸故障導(dǎo)致傳輸中斷時(shí)，應(yīng)有斷點(diǎn)續(xù)傳和傳輸錯(cuò)誤恢復(fù)機(jī)制。

4.5元數(shù)據(jù)管理

良好地表示、存儲(chǔ)、訪問和使用大量信息資源是網(wǎng)格環(huán)境下數(shù)字圖書館運(yùn)行的基本前提。在網(wǎng)格環(huán)境下，數(shù)字圖書館是分布的，資源及其提供者也是分布的。這些資源包括數(shù)據(jù)、計(jì)算機(jī)、設(shè)備、網(wǎng)絡(luò)、外

設(shè)、軟件、服務(wù)、代碼、人員等。元數(shù)據(jù)管理服務(wù)負(fù)責(zé)對(duì)網(wǎng)格中的各類信息資源進(jìn)行命名、描述、收集、組織和管理，通過元數(shù)據(jù)管理，數(shù)字圖書館可以實(shí)現(xiàn)網(wǎng)格環(huán)境下的各類信息服務(wù)。

元數(shù)據(jù)可以分為系統(tǒng)元數(shù)據(jù)、復(fù)本元數(shù)據(jù)和應(yīng)用元數(shù)據(jù)。系統(tǒng)元數(shù)據(jù)記錄網(wǎng)格自身的結(jié)構(gòu)信息，如網(wǎng)絡(luò)互聯(lián)情況、存儲(chǔ)系統(tǒng)的容量、計(jì)算機(jī)空閑情況、使用策略等。復(fù)本元數(shù)據(jù)記錄與數(shù)據(jù)副本有關(guān)的信息，如文件與具體存儲(chǔ)系統(tǒng)之間的映射信息。應(yīng)用元數(shù)據(jù)是指具體應(yīng)用相關(guān)的文件邏輯結(jié)構(gòu)或語義信息，如數(shù)據(jù)的內(nèi)容和結(jié)構(gòu)、獲取數(shù)據(jù)的必要條件等。為了實(shí)現(xiàn)命名、定位和訪問的透明性，網(wǎng)格不僅需要有效地管理數(shù)量繁多的名字和屬性以及它們之間的關(guān)系，需要管理數(shù)據(jù)集的定位信息和數(shù)據(jù)資源存儲(chǔ)形式等相關(guān)信息，還需要管理系統(tǒng)資源的安全、授權(quán)、訪問控制等信息。

5網(wǎng)格環(huán)境下數(shù)字圖書館訪問控制的關(guān)鍵策略

網(wǎng)格環(huán)境下數(shù)字圖書館的訪問控制實(shí)質(zhì)是一種限制合法(即已通過認(rèn)證機(jī)制的)的實(shí)體(即用戶或信息服務(wù)請(qǐng)求)的行為和操作的安全機(jī)制。也就是說，數(shù)字圖書館系統(tǒng)需要對(duì)合法的用戶或服務(wù)請(qǐng)求的信息訪問進(jìn)行授權(quán)。

訪問控制通過驗(yàn)證監(jiān)控程序在數(shù)字圖書館系統(tǒng)中仲裁每一個(gè)用戶或某個(gè)用戶行為的服務(wù)訪問請(qǐng)求。在訪問控制驗(yàn)證中，驗(yàn)證監(jiān)控程序通過參照授權(quán)的數(shù)字圖書館系統(tǒng)來決定該用戶的操作請(qǐng)求是否被授權(quán)，系統(tǒng)的安全管理員或用戶在進(jìn)行授權(quán)的決策中要嚴(yán)格遵守該數(shù)字圖書館系統(tǒng)的訪問控制策略。

訪問控制系統(tǒng)一般包括：

主體：發(fā)出訪問操作、存取要求的主動(dòng)方，通常指數(shù)字圖書館的用戶或某個(gè)應(yīng)用程序進(jìn)程。

客體：被調(diào)用的程序或欲存取的數(shù)據(jù)和資源，通常指數(shù)字圖書館系統(tǒng)本身。

授權(quán)訪問：指主體訪問客體的許可。授權(quán)訪問對(duì)每一對(duì)主體和客體來說，在某一時(shí)間內(nèi)是給定的。例如，授權(quán)訪問有讀寫、執(zhí)行。

訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用，同時(shí)也是維護(hù)網(wǎng)格系統(tǒng)的安全、保護(hù)網(wǎng)格資源的重要手段。常見的訪問控制策略主要有自主訪問控制策略、強(qiáng)制訪問控制策略、基于角色的訪問控制策略和基于任務(wù)的訪問控制策略。

5.1自主訪問控制策略

自主訪問控制是一種最普通的訪問控制手段，它的含義是由客體自主地來確定各個(gè)主體對(duì)它的直接訪問權(quán)限。自主訪問控制基于對(duì)主體或主體所屬的主體組標(biāo)識(shí)來限制對(duì)客體的訪問，并允許主體顯式地指定其他主體對(duì)該主體所擁有的信息資源是否可以訪問及可執(zhí)行的訪問類型，這種控制是自主的。自主策略以用戶的身份為基礎(chǔ)，規(guī)范系統(tǒng)中每個(gè)信息資源訪問模式的授權(quán)方式，實(shí)現(xiàn)接入式控制服務(wù)。在自主訪問控制中，用戶對(duì)數(shù)字圖書館系統(tǒng)進(jìn)行訪問的每一個(gè)請(qǐng)求都由授權(quán)規(guī)范進(jìn)行檢查驗(yàn)證。

自主訪問控制策略的優(yōu)點(diǎn)是具有很強(qiáng)的靈活性，其缺點(diǎn)是信息在系統(tǒng)中傳遞的時(shí)候，并不能提供真正的安全保證。這是因?yàn)椋谧灾髟L問策略中，用戶一旦獲得某信息后，就不再對(duì)用戶使用該信息的行為加以限制，因此信息的分發(fā)是不被控制的。

例如，用戶A是數(shù)字圖書館系統(tǒng)x的一個(gè)授權(quán)訪問用戶，而用戶B不具有該系統(tǒng)的訪問權(quán)限，然而，用戶A可以將其從數(shù)字圖書館系統(tǒng)x訪問到的內(nèi)容傳遞給用戶B，使本不具有訪問該系統(tǒng)的用戶B也訪問到系統(tǒng)x。由于這種信息分發(fā)過程不需要經(jīng)過數(shù)字圖書館系統(tǒng)的認(rèn)證，因此，很容易產(chǎn)生安全漏洞，所以自主訪問控制策略的安全級(jí)別很低。

5.2強(qiáng)制訪問控制策略

強(qiáng)制訪問控制的基礎(chǔ)是將系統(tǒng)中的主體和客體進(jìn)行分級(jí)。系統(tǒng)中的所有信息資源都被標(biāo)以一定的密級(jí)，每一個(gè)用戶也被授予某一個(gè)級(jí)別的許可證，例如絕密級(jí)、機(jī)密級(jí)、秘密級(jí)、無密級(jí)等。對(duì)于任意一個(gè)數(shù)字對(duì)象，只有具有合法許可證的用戶才能存取。也就是說，用戶對(duì)信息資源的訪問只有在用戶和信息資源的安全等級(jí)滿足一定條件的時(shí)候才能進(jìn)行，這種分等級(jí)的強(qiáng)制控制的核心就是實(shí)現(xiàn)信息流的單向流通。

在多層次安全級(jí)別的數(shù)字圖書館系統(tǒng)中，要預(yù)先定義用戶的可信任級(jí)別和信息的敏感程度安全級(jí)別，當(dāng)用戶提出訪問請(qǐng)求時(shí)，系統(tǒng)對(duì)兩者進(jìn)行比較以確定訪問是否合法。

強(qiáng)制訪問控制策略的優(yōu)點(diǎn)是可以確保信息的安全性和完整性，對(duì)信息訪問控制相對(duì)比較嚴(yán)格。其缺點(diǎn)是這種強(qiáng)制訪問控制的實(shí)現(xiàn)工作量太大，并且主體訪問級(jí)別和客體安全級(jí)別的劃分與現(xiàn)實(shí)要求常常無法取得一致，此外，同級(jí)別間缺乏控制機(jī)制。

5.3基于角色的訪問控制策略

基于角色的訪問控制以系統(tǒng)中用戶的行為為基礎(chǔ)對(duì)用戶和信息資源的訪問進(jìn)行控制。角色可以定義為一組與特定的工作或活動(dòng)相關(guān)聯(lián)的行為和職責(zé)。該技術(shù)的基本思想是將授權(quán)賦予角色而不是直接賦予主體，主體通過角色分派來得到客體操作權(quán)限。擁有某角色的用戶可以訪問全部該角色被授權(quán)的信息資源。用戶在不同的情況下可以有多個(gè)角色，1個(gè)角色也可以擁有多個(gè)用戶。

在基于角色的訪問控制中，用戶和權(quán)限通過角色聯(lián)系起來，用戶被賦予某種角色，也就擁有相應(yīng)的權(quán)限。這樣就可以十分簡(jiǎn)單地通過分配和取消角色來完成用戶權(quán)限的授予和取消，改變用戶的角色分配，同時(shí)提供角色分配規(guī)則和操作檢查規(guī)則。在一個(gè)數(shù)字圖書館系統(tǒng)中，針對(duì)各種工作職能定義不同的角色，并根據(jù)用戶的責(zé)任和資格分配其角色。安全管理人員根據(jù)需要定義各種角色，設(shè)置合適的訪問權(quán)限，而用戶根據(jù)其責(zé)任和資歷再被指派為不同的角色。這樣，整個(gè)訪問控制過程就被分為兩個(gè)部分，即訪問權(quán)限與角色相關(guān)聯(lián)，角色再與用戶相關(guān)聯(lián)，從而實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯分離。

由于角色在系統(tǒng)中具有相對(duì)于主體的穩(wěn)定性，并更便于直觀理解，從而大大減少了系統(tǒng)授權(quán)管理的復(fù)雜性，降低了安全管理員的工作復(fù)雜性和工作量。這種方式的優(yōu)點(diǎn)是便于授權(quán)管理，具有很強(qiáng)的靈活性。但是，在實(shí)時(shí)性和協(xié)作性較強(qiáng)的應(yīng)用領(lǐng)域，該方式則顯得力不從心，不能主動(dòng)控制工作流中任務(wù)執(zhí)行的順序是該方式的缺點(diǎn)。

5.4基于任務(wù)的訪問控制策略

基于任務(wù)的訪問控制其核心思想是從應(yīng)用的角度出發(fā)保護(hù)資源。在這種策略中，主體對(duì)客體的訪問，不僅依賴主體和客體的授權(quán)關(guān)系，還依賴于主體當(dāng)前執(zhí)行的任務(wù)以及任務(wù)的狀態(tài)。客體的訪問控制將根據(jù)主體執(zhí)行的任務(wù)情況發(fā)生變化。當(dāng)且僅當(dāng)相關(guān)任務(wù)處于活動(dòng)狀態(tài)時(shí)，主體的訪問權(quán)限才能有效，否則權(quán)限將被凍結(jié)或撤銷。因此，這是一種動(dòng)態(tài)授權(quán)的主動(dòng)安全模型。

此控制的核心是關(guān)于授權(quán)步(Authorization—Step)的定義，授權(quán)步是訪問控制系統(tǒng)最基本的控制單位，由受信者集(trustee-set)和若干個(gè)許可集(permissions set)組成，如圖2所示，受信者集是所有可能被授予執(zhí)行任務(wù)的用戶的集合，許可集則是執(zhí)行任務(wù)時(shí)擁有的訪問權(quán)限。當(dāng)任務(wù)到來，授權(quán)步初始化以后，一個(gè)來自受信者集中的成員將被授予授權(quán)步，一般稱這個(gè)受托人為授權(quán)步的執(zhí)行者，執(zhí)行者執(zhí)行任務(wù)時(shí)所需的權(quán)限稱為執(zhí)行者權(quán)限。授權(quán)步根據(jù)當(dāng)前訪問控制策略使其中部分權(quán)限生效，這些生效的權(quán)限稱為激活權(quán)限集。執(zhí)行者權(quán)限集和激活權(quán)限集一起稱為授權(quán)步的保護(hù)態(tài)。

基于任務(wù)的訪問控制的優(yōu)點(diǎn)是主動(dòng)控制和可以動(dòng)態(tài)分配權(quán)限，適用于工作流、分布式處理、多點(diǎn)訪問控制的數(shù)字圖書館系統(tǒng)，但對(duì)于系統(tǒng)總體結(jié)構(gòu)相對(duì)穩(wěn)定的應(yīng)用場(chǎng)合，一般不單獨(dú)使用該控制策略，而是與其他控制策略結(jié)合使用。

6結(jié)論

網(wǎng)格安全是網(wǎng)格環(huán)境下數(shù)字圖書館系統(tǒng)設(shè)計(jì)中必不可少的模塊。由于網(wǎng)格計(jì)算系統(tǒng)的特點(diǎn)，網(wǎng)格安全問題比網(wǎng)絡(luò)上的安全問題要復(fù)雜很多。隨著數(shù)字圖書館系統(tǒng)的廣泛應(yīng)用，需要管理和控制的信息資源和用戶群體越來越龐大和復(fù)雜，解決如何將網(wǎng)格資源安全地分配給網(wǎng)格用戶，以及如何保證網(wǎng)格用戶安全地使用分配的網(wǎng)格資源，是網(wǎng)格安全領(lǐng)域的研究方向。

筆者建議，對(duì)于一個(gè)網(wǎng)格環(huán)境下的數(shù)字圖書館系統(tǒng)來說，在保證資源擁有者自主控制的前提下，采用基于角色的訪問控制策略是一種較為理想的選擇。通過角色的繼承關(guān)系以及職責(zé)分離等約束條件可以表達(dá)出多種安全策略，通過不同的配置方法，既可以具有自主訪問控制的性質(zhì)，又可以具有強(qiáng)制訪問控制的性質(zhì)。在這種策略模型中，首先定義角色與用戶以及角色與權(quán)限之間的映射關(guān)系，并在此基礎(chǔ)上建立角色與角色間的關(guān)系模型。一般地，角色可分為管理角色和常規(guī)角色。管理權(quán)限只可賦予管理角色，例如添加行用戶和新角色，修改用戶屬性以及權(quán)限指派等，而一般角色則只可被賦予一般權(quán)限。

通常來講，各種訪問控制策略沒有優(yōu)劣的區(qū)別，只能說某些訪問控制策略比其他訪問控制策略提供了更多的保護(hù)。然而，不同的數(shù)字圖書館系統(tǒng)對(duì)安全控制有不同的需求，對(duì)一個(gè)特定系統(tǒng)適應(yīng)的策略不一定適應(yīng)于其他系統(tǒng)。到底采用何種訪問控制策略，完全取決于被保護(hù)的數(shù)字圖書館系統(tǒng)的具體需求和特性。同時(shí)還要認(rèn)識(shí)到過于復(fù)雜的訪問控制機(jī)制會(huì)對(duì)網(wǎng)格的運(yùn)行效果產(chǎn)生不好的影響，尤其是對(duì)于一些相對(duì)簡(jiǎn)單的應(yīng)用來說，很可能演變?yōu)橐环N負(fù)擔(dān)。