网格地质资源访问的三维塔式授权机制
2011-05-30吴春霞李健强
吴春霞,李健强,吕 霞
(1.中国地质大学 (北京)地球科学与资源学院,北京100083;2.中国地质调查局发展研究中心,北京100037)
我国地质行业在长期的地质工作中,积累了大量的数据资源,这些数据资源是海量的,以TB、PB为计量单位。随着国土资源信息化的全面展开和现代信息社会的发展,需要将越来越多的数据信息单位进行联合协同操作。为了提供地质图的共享和应用,提供地质成果的公益性信息服务,中国地质调查局构建了中国地质调查信息网格平台,成为企业,国家、公众和科研人员快速获取地质图空间信息的平台。但是,地质调查数据量庞大,结构复杂,数据来源于多方面,同时对数据安全和保密性要求甚高,特别是涉及国家机密的成果数据、成果图件及相关地质图件,既要满足科研人员的查询浏览要求,又要确保图件不被恶意盗取。因而,在针对传统密码保护措施的不足与其他潜在的系统运行过程中的风险,通过对地质调查数据库结构、地质空间信息图件的发现机制、各种算法,以及.NET FRAMEWORK底层API函数的研究,提出适合网格地质信息平台的数据访问授权机制。
1 网格资源访问授权的研究现状
网格计算的最大优点之一是有利于地理上分布的各种计算资源和数据资源的共享,但这些共享必须建立在安全访问的基础上。网格计算安全技术是在网络安全技术的基础上发展起来的,与网络安全密切相关,网格计算安全技术在集成了网络安全技术的基础上,提出适合网格计算体系架构的安全基础设施,许多国家建立了相应的网格安全应用系统。其中发展得最好的是美国国家实验室研发的Globus项目中的网格安全基础设施(GSI)。
GSI:Globus是目前国际上最具有影响的网格计算项目之一,是美国A rgonne国家实验室的研发项目,全美有12所大学和研究机构参与了该项目。Globus对资源管理、安全、信息服务及数据管理等网格计算的关键理论进行研究,对各种网格应用提供网格环境支持,方便的实现资源的共享和跨域之间的互操作。而 GSI(Grid Security Infrastructure)是Globus的网格安全基础设施,是保证网格计算安全性的核心。GSI支持用户代理、资源代理、认证机构和协议的实现[1]。
GSI认证:GSI基于用户的私钥创建时间戳代理,从而为用户提供了一种安全认证的方法。另外一种认证方法是使用具有 GSI功能的 OpenSSH,其中也使用了相同的认证机制。
GSI授权:GSI处理用户授权的方法是将用户映射为所访问系统的本地用户。
GSI安全通信:GSI用数字证书进行相互认证,并通过SSL/TLS实现对数据的加密,以保证通信的安全。OpenSSH(Secure Shell,SSH)可以实现在用户的客户机和网格服务器之间建立加密的会话[2]。
GSI授权时通过对一个文件的操作实现的,使用证书认证,该证书文件将用户映射为访问本结点的本地用户,这便要求网格上的每一个应用系统都要管理一张全局用户和本地用户的映射表,这种映射关系是非常复杂的,需要制定不同的映射策略。当然GSI也存在一些不足之处,如各实体之间的认证频繁且复杂,系统执行开销较大,需要付出性能延迟的代价,适应性和扩展性比较差,尤其是那种应用系统功能改变较频繁和系统规模不断扩大的状态中更是如此。
2 地质信息网格平台
中国地质调查信息网格平台是以网格地理信息系统基础软件平台为基础,采用面向服务的设计思想和多层体系结构,支持局域和广域网下空间数据的分布式计算、分布式空间信息分发与共享,提供网络化空间信息服务。平台基于网格与网格GIS技术,构建了跨平台地质资料信息共享与服务平台建设架构一站式服务的架构。平台的组成见图1。
图1 中国地质调查信息网格平台组成图
平台组成中,网格GIS安全是一个重要的组成模块,可以说,没有网格安全就谈不上网格系统的应用,资源使用的不安全会带给网格上各结点的互不信任从而导致网格计算应用会寸步难行。经过分析,中国地质调查信息网格平台具有网格计算的如下特点:
①具有同时使用大量的数据资源的要求;②资源请求是动态的;③对多个管理域中资源的使用;④通信结构非常复杂;⑤严格的性能要求。
中国地质调查信息网格平台的功能需求的实现和特点决定了该网格平台具有开放性和共享性以及资源计算的协作性。这种开放和共享中的大部分资源虽然是对具有相应权限的用户的开放和共享,但信息网格平台是部署在互联网上的,这就对地质信息的传输、应用系统的操作以及对地质数据资源的访问和使用带来了一定的风险,网络黑客的非法访问、恶意攻击以及病毒软件的侵入,都有可能造成严重的损失,使国家地质地理信息安全受到威胁,经济遭受损失。
3 地质空间信息网格访问控制机制
3.1 网格安全问题
一般来说,网格涉及的安全问题为以下几个方面:
1)远程访问安全管理。主要是保证用户与系统之间的数据安全,包括防止伪装用户、防止伪装服务器、防止对用户数据的窃听和篡改、防止用户否认、防止远程攻击和入侵。
2)用户权利安全管理。主要是保证合法用户使用授权的资源,包括防止非法用户使用资源、防止合法用户越权使用资源。
3)作业和任务安全管理。主要是保证作业和任务的安全运行,包括保证进程间的通信安全、防止恶意程序的运行、保证系统的完整性[3]。网格计算的特点导致了在分布式系统中已有的安全技术尚不能解决的问题。
4)由多个可计算资源组成的并行计算要求建立的安全关系涉及多个管理域。
5)网格计算的动态特征使得应用在执行前不可能在站点之间建立信任关系。
6)网格所使用的域间安全解决方案必须能与不同的域内访问控制技术协同工作,甚至代替其工作[4]。
3.2 网格技术安全术语
主体 (sub ject)。是安全操作的参与者,网格系统的主体通常是用户和资源以及代表用户操作或代表资源的一个线程。
凭证 (credential)。是证明主体身份的消息。鉴别 (authentication)。是主体向请求者证明自己身份的过程。
对象 (object)。是被安全策略保护的一个资源。
授权 (authorization)。是一个过程,决定是否允许一个主体访问或使用一个对象。
信任域 (trust dom ain)。是被单一管理和单一安全策略支配的主体和客体的集合[5]。
3.3 多层次资源图
中国地质调查信息网格上有若干的结点,各结点在地理上是分离的,各网格结点上的共享地质数据资源可以被具有不同权限的用户访问,该系统是在Internet体系框架上构建起来的,因此,中国地质调查信息网格运营面临网络的安全威胁,数据的非授权访问,数据的保密性等等各方面的安全挑战。因此需要对中国地质信息网格应用层进行安全方面的规划。本文主要考虑从对数据资源的授权机制进行研究。首先要分析安全技术中的对象,也就是资源。图2为网格结点上的资源分类分层机构。
图2 网格结点上的多层次资源图
由图2可知,网格上各结点资源分为硬件资源,软件资源以及数据资源三大类。其中数据资源继续往下分层次,分别为地理数据库资源,图幅资源,图层资源以及属性资源,这些资源信息分别存储在不同的数据信息库中,这些资源数据信息库组成了平台的结点资源聚合器。而地质网格平台用户对地质数据的发现是通过结点计算池、全局任务调度器等功能组件协同工作完成的。地质调查网格结点数据资源的特点是多级、多源、异构、海量,有些数据资源的涉密性高,大至整个图,小至图上的属性,图例等都有可能进行密级限制。并不是一般的权限用户都能进行浏览,使用的。因此需要对数据资源进行严格的使用权限分层分级别,从地理地质数据库资源信息开始,到地理地质数据表中的属性的浏览、修改、上载等使用权限进行划分。
3.4 U-R、R-P、P-RS的三维塔式授权机制的实现
U-R、R-P、P-RS的三维塔式授权机制的实现如图3所示。
图3 网格结点逻辑域用户授权实现机制
U-R:为用户配置角色。User_Role(用户角色绑定信息库)存储用户和角色的绑定信息,用户拥有不同的角色是正常的,这样可以实现同一用户拥有多个角色,同时可以对用户在不同的逻辑域中具有的权限进行控制。
R-P:为角色配置权限。Role_Perm ission(角色权限绑定信息库)存储角色和权限绑定的信息,标识角色拥有的权限。
P-RS:为权限配置资源。权限配置了资源才有控制资源访问的意义。Permission_RGdb、Permission_RLayer、 Perm ission_RMetadata、Permission_RSvc、Perm ission_RSvr、 Permission_RG rid、Perm ission_RA ttr这些权限资源绑定信息表,分别存储权限和不同类型的资源绑定的信息。使用若干张资源绑定表,一方面资源层次划分清晰,避免和权限绑定的混乱,管理方便。另一方面避免由于地质数据资源的大量信息,容易导致系统管理性能的下降。
权限配置:权限在未进行资源配置的情况下是毫无意义的,只有对权限配置了相应的资源,权限才能实现对资源的访问控制。对某权限配置资源,先进入权限列表中对需要进行资源配置的权限进行选择进入,进入相应的资源配置功能。
权限继承:权限的资源配置粒度越粗,拥有资源访问权限越多,也就是高权限层继承低权限层。以数据资源为例,如果权限配置了数据资源层的资源,则权限拥有的是所有数据库的所有数据集的所有字段的操作权限,同理可依次下推。总之,授权粒度越粗,角色拥有的权限越多,授权粒度越细,角色拥有的权限越少。
效率问题:以数据资源作为对空间数据访问权限的控制,由于空间数据的数据量非常庞大,对空间数据的访问控制权限设计得越细,涉及的数据也越庞大。所以需要考虑系统运行的效率问题。
从技术上暂时提出以下两种策略:
①对涉及数据量大的表采取分多张表存放数据的形式,如把资源权限绑定记录分多张表存放。②把使用频率高,增加、删除、修改等数据操作少的数据表,在系统启动时可直接载入缓存,提高访问速度。
网格用户在登录后,请求资源的使用,实质是申请使用结点Portal提供的服务,由于系统在网站和服务层进行了访问控制的配置,系统通过多重判断后才决定接受或拒绝用户的访问。从网站访问、功能服务的操作以及服务所涉及的资源的操作三个层次保障资源和底层业务数据的安全。
4 结束语
多级、多源、异构、海量地质调查空间数据在网格上的安全是地质调查网格平台的基础,只有解决了网格安全问题,网格应用才能得到继续发展,本文通过分析分析构建于网格基础上的中国地质调查信息网格平台的资源构成特点,以及对地质数据资源访问的安全问题的分析,提出适用于该网格平台数据资源访问的U-R、R-P、P-RS塔式授权机制,确保合法用户对地质空间信息的合法使用。
[1] 刘乃文,刘方爱.网格安全技术GSI研究[J].网络安全与技术,2006(9):36-37.
[2] 杨发荣.基于Globus的网格安全与管理模型分析 [EB/OL].[2008-04-18].h ttp://net.it168.com/app/2008-04-14/200804141006104.sh tm l.
[3] 徐德发.网格计算面临的安全问题和解决方案[EB/OL].[2004-09-14].http://www.newmaker.com/art_1495.htm l.
[4] N.Nagaratnam,P.Janson,J.Day ka,A.Nadalin,F.Siebenlist,V.W elch,I.Foster,S.Tuecke:The Security A rchitecture for Open Grid Services,2002.
[5] 胡博,徐新华.网格环境下的安全问题研究 [J].计算机安全,2009(6):20-23.