網格地質資源訪問的三維塔式授權機制

吳春霞,李健強,呂 霞

(1.中國地質大學 (北京)地球科學與資源學院,北京100083;2.中國地質調查局發展研究中心,北京100037)

我國地質行業在長期的地質工作中,積累了大量的數據資源,這些數據資源是海量的,以TB、PB為計量單位。隨著國土資源信息化的全面展開和現代信息社會的發展,需要將越來越多的數據信息單位進行聯合協同操作。為了提供地質圖的共享和應用,提供地質成果的公益性信息服務,中國地質調查局構建了中國地質調查信息網格平臺,成為企業,國家、公眾和科研人員快速獲取地質圖空間信息的平臺。但是,地質調查數據量龐大,結構復雜,數據來源于多方面,同時對數據安全和保密性要求甚高,特別是涉及國家機密的成果數據、成果圖件及相關地質圖件,既要滿足科研人員的查詢瀏覽要求,又要確保圖件不被惡意盜取。因而,在針對傳統密碼保護措施的不足與其他潛在的系統運行過程中的風險,通過對地質調查數據庫結構、地質空間信息圖件的發現機制、各種算法,以及.NET FRAMEWORK底層API函數的研究,提出適合網格地質信息平臺的數據訪問授權機制。

1 網格資源訪問授權的研究現狀

網格計算的最大優點之一是有利于地理上分布的各種計算資源和數據資源的共享,但這些共享必須建立在安全訪問的基礎上。網格計算安全技術是在網絡安全技術的基礎上發展起來的,與網絡安全密切相關,網格計算安全技術在集成了網絡安全技術的基礎上,提出適合網格計算體系架構的安全基礎設施,許多國家建立了相應的網格安全應用系統。其中發展得最好的是美國國家實驗室研發的Globus項目中的網格安全基礎設施(GSI)。

GSI：Globus是目前國際上最具有影響的網格計算項目之一,是美國A rgonne國家實驗室的研發項目,全美有12所大學和研究機構參與了該項目。Globus對資源管理、安全、信息服務及數據管理等網格計算的關鍵理論進行研究,對各種網格應用提供網格環境支持,方便的實現資源的共享和跨域之間的互操作。而 GSI(Grid Security Infrastructure)是Globus的網格安全基礎設施,是保證網格計算安全性的核心。GSI支持用戶代理、資源代理、認證機構和協議的實現[1]。

GSI認證：GSI基于用戶的私鑰創建時間戳代理,從而為用戶提供了一種安全認證的方法。另外一種認證方法是使用具有 GSI功能的 OpenSSH,其中也使用了相同的認證機制。

GSI授權：GSI處理用戶授權的方法是將用戶映射為所訪問系統的本地用戶。

GSI安全通信：GSI用數字證書進行相互認證,并通過SSL/TLS實現對數據的加密,以保證通信的安全。OpenSSH(Secure Shell,SSH)可以實現在用戶的客戶機和網格服務器之間建立加密的會話[2]。

GSI授權時通過對一個文件的操作實現的,使用證書認證,該證書文件將用戶映射為訪問本結點的本地用戶,這便要求網格上的每一個應用系統都要管理一張全局用戶和本地用戶的映射表,這種映射關系是非常復雜的,需要制定不同的映射策略。當然GSI也存在一些不足之處,如各實體之間的認證頻繁且復雜,系統執行開銷較大,需要付出性能延遲的代價,適應性和擴展性比較差,尤其是那種應用系統功能改變較頻繁和系統規模不斷擴大的狀態中更是如此。

2 地質信息網格平臺

中國地質調查信息網格平臺是以網格地理信息系統基礎軟件平臺為基礎,采用面向服務的設計思想和多層體系結構,支持局域和廣域網下空間數據的分布式計算、分布式空間信息分發與共享,提供網絡化空間信息服務。平臺基于網格與網格GIS技術,構建了跨平臺地質資料信息共享與服務平臺建設架構一站式服務的架構。平臺的組成見圖1。

圖1 中國地質調查信息網格平臺組成圖

平臺組成中,網格GIS安全是一個重要的組成模塊,可以說,沒有網格安全就談不上網格系統的應用,資源使用的不安全會帶給網格上各結點的互不信任從而導致網格計算應用會寸步難行。經過分析,中國地質調查信息網格平臺具有網格計算的如下特點：

①具有同時使用大量的數據資源的要求;②資源請求是動態的;③對多個管理域中資源的使用;④通信結構非常復雜;⑤嚴格的性能要求。

中國地質調查信息網格平臺的功能需求的實現和特點決定了該網格平臺具有開放性和共享性以及資源計算的協作性。這種開放和共享中的大部分資源雖然是對具有相應權限的用戶的開放和共享,但信息網格平臺是部署在互聯網上的,這就對地質信息的傳輸、應用系統的操作以及對地質數據資源的訪問和使用帶來了一定的風險,網絡黑客的非法訪問、惡意攻擊以及病毒軟件的侵入,都有可能造成嚴重的損失,使國家地質地理信息安全受到威脅,經濟遭受損失。

3 地質空間信息網格訪問控制機制

3.1 網格安全問題

一般來說,網格涉及的安全問題為以下幾個方面：

1)遠程訪問安全管理。主要是保證用戶與系統之間的數據安全,包括防止偽裝用戶、防止偽裝服務器、防止對用戶數據的竊聽和篡改、防止用戶否認、防止遠程攻擊和入侵。

2)用戶權利安全管理。主要是保證合法用戶使用授權的資源,包括防止非法用戶使用資源、防止合法用戶越權使用資源。

3)作業和任務安全管理。主要是保證作業和任務的安全運行,包括保證進程間的通信安全、防止惡意程序的運行、保證系統的完整性[3]。網格計算的特點導致了在分布式系統中已有的安全技術尚不能解決的問題。

4)由多個可計算資源組成的并行計算要求建立的安全關系涉及多個管理域。

5)網格計算的動態特征使得應用在執行前不可能在站點之間建立信任關系。

6)網格所使用的域間安全解決方案必須能與不同的域內訪問控制技術協同工作,甚至代替其工作[4]。

3.2 網格技術安全術語

主體 (sub ject)。是安全操作的參與者,網格系統的主體通常是用戶和資源以及代表用戶操作或代表資源的一個線程。

憑證 (credential)。是證明主體身份的消息。鑒別 (authentication)。是主體向請求者證明自己身份的過程。

對象 (object)。是被安全策略保護的一個資源。

授權 (authorization)。是一個過程,決定是否允許一個主體訪問或使用一個對象。

信任域 (trust dom ain)。是被單一管理和單一安全策略支配的主體和客體的集合[5]。

3.3 多層次資源圖

中國地質調查信息網格上有若干的結點,各結點在地理上是分離的,各網格結點上的共享地質數據資源可以被具有不同權限的用戶訪問,該系統是在Internet體系框架上構建起來的,因此,中國地質調查信息網格運營面臨網絡的安全威脅,數據的非授權訪問,數據的保密性等等各方面的安全挑戰。因此需要對中國地質信息網格應用層進行安全方面的規劃。本文主要考慮從對數據資源的授權機制進行研究。首先要分析安全技術中的對象,也就是資源。圖2為網格結點上的資源分類分層機構。

圖2 網格結點上的多層次資源圖

由圖2可知,網格上各結點資源分為硬件資源,軟件資源以及數據資源三大類。其中數據資源繼續往下分層次,分別為地理數據庫資源,圖幅資源,圖層資源以及屬性資源,這些資源信息分別存儲在不同的數據信息庫中,這些資源數據信息庫組成了平臺的結點資源聚合器。而地質網格平臺用戶對地質數據的發現是通過結點計算池、全局任務調度器等功能組件協同工作完成的。地質調查網格結點數據資源的特點是多級、多源、異構、海量,有些數據資源的涉密性高,大至整個圖,小至圖上的屬性,圖例等都有可能進行密級限制。并不是一般的權限用戶都能進行瀏覽,使用的。因此需要對數據資源進行嚴格的使用權限分層分級別,從地理地質數據庫資源信息開始,到地理地質數據表中的屬性的瀏覽、修改、上載等使用權限進行劃分。

3.4 U-R、R-P、P-RS的三維塔式授權機制的實現

U-R、R-P、P-RS的三維塔式授權機制的實現如圖3所示。

圖3 網格結點邏輯域用戶授權實現機制

U-R：為用戶配置角色。User_Role(用戶角色綁定信息庫)存儲用戶和角色的綁定信息,用戶擁有不同的角色是正常的,這樣可以實現同一用戶擁有多個角色,同時可以對用戶在不同的邏輯域中具有的權限進行控制。

R-P：為角色配置權限。Role_Perm ission(角色權限綁定信息庫)存儲角色和權限綁定的信息,標識角色擁有的權限。

P-RS：為權限配置資源。權限配置了資源才有控制資源訪問的意義。Permission_RGdb、Permission_RLayer、 Perm ission_RMetadata、Permission_RSvc、Perm ission_RSvr、 Permission_RG rid、Perm ission_RA ttr這些權限資源綁定信息表,分別存儲權限和不同類型的資源綁定的信息。使用若干張資源綁定表,一方面資源層次劃分清晰,避免和權限綁定的混亂,管理方便。另一方面避免由于地質數據資源的大量信息,容易導致系統管理性能的下降。

權限配置：權限在未進行資源配置的情況下是毫無意義的,只有對權限配置了相應的資源,權限才能實現對資源的訪問控制。對某權限配置資源,先進入權限列表中對需要進行資源配置的權限進行選擇進入,進入相應的資源配置功能。

權限繼承：權限的資源配置粒度越粗,擁有資源訪問權限越多,也就是高權限層繼承低權限層。以數據資源為例,如果權限配置了數據資源層的資源,則權限擁有的是所有數據庫的所有數據集的所有字段的操作權限,同理可依次下推。總之,授權粒度越粗,角色擁有的權限越多,授權粒度越細,角色擁有的權限越少。

效率問題：以數據資源作為對空間數據訪問權限的控制,由于空間數據的數據量非常龐大,對空間數據的訪問控制權限設計得越細,涉及的數據也越龐大。所以需要考慮系統運行的效率問題。

從技術上暫時提出以下兩種策略：

①對涉及數據量大的表采取分多張表存放數據的形式,如把資源權限綁定記錄分多張表存放。②把使用頻率高,增加、刪除、修改等數據操作少的數據表,在系統啟動時可直接載入緩存,提高訪問速度。

網格用戶在登錄后,請求資源的使用,實質是申請使用結點Portal提供的服務,由于系統在網站和服務層進行了訪問控制的配置,系統通過多重判斷后才決定接受或拒絕用戶的訪問。從網站訪問、功能服務的操作以及服務所涉及的資源的操作三個層次保障資源和底層業務數據的安全。

4 結束語

多級、多源、異構、海量地質調查空間數據在網格上的安全是地質調查網格平臺的基礎,只有解決了網格安全問題,網格應用才能得到繼續發展,本文通過分析分析構建于網格基礎上的中國地質調查信息網格平臺的資源構成特點,以及對地質數據資源訪問的安全問題的分析,提出適用于該網格平臺數據資源訪問的U-R、R-P、P-RS塔式授權機制,確保合法用戶對地質空間信息的合法使用。

[1] 劉乃文,劉方愛.網格安全技術GSI研究[J].網絡安全與技術,2006(9)：36-37.

[2] 楊發榮.基于Globus的網格安全與管理模型分析 [EB/OL].[2008-04-18].h ttp：//net.it168.com/app/2008-04-14/200804141006104.sh tm l.

[3] 徐德發.網格計算面臨的安全問題和解決方案[EB/OL].[2004-09-14].http：//www.newmaker.com/art_1495.htm l.

[4] N.Nagaratnam,P.Janson,J.Day ka,A.Nadalin,F.Siebenlist,V.W elch,I.Foster,S.Tuecke：The Security A rchitecture for Open Grid Services,2002.

[5] 胡博,徐新華.網格環境下的安全問題研究 [J].計算機安全,2009(6)：20-23.