远程档案访问


远程档案访问

文章插图
远程档案访问【远程档案访问】目前在Windows、Unix和Linux作业系统上常见的网路档案系统使用的是基于访问进程的网路节点IP位址和进程UID/GID的远程档案访问控制方法 。这种访问控制方法在本质上是面向网路节点的 。
基本介绍中文名:远程档案访问
外文名:Wnet API
别称:Remote file access
远程访问:Emial、远程节点、远程控制访问
访问技术:Condor 、Legion
安全问题:访问控制、数据保护、劣种代码
相关概念网路档案系统网路档案系统(NFS)是一种重要的档案系统共享协定,得到了包括Windows、Unix和Linux在内的众多作业系统的支持 。成为企业、科研院所等机构进行资源共享、信息传递以及协同工作的重要工具 。因此确保网路档案系统的信息安全在当前有着非常重要的意义 。远程访问远程访问主要有三种方式:E—mial访问、远程节点访问和远程控制访问 。E—mial访问是指可以收发E一mial,这是最简单的远程访问方式 。如不需要运行程式、不需要访问内部网路档案或管理网路上的数据,可选用这种方法 。远程节点访问是指可以从一个远程位置登录内部网路 。这种连线与本地网路连线相同,可脱离档案伺服器运行套用软体并在本地工作站上访问数据 。远程控制访问可控制内部网路上的一台计算机并在该机上运行套用软体,但这种访问方式只可传输萤幕图象和键盘信息 。任何一种类型的网路若提供远程访问功能,则面临着一种安全威胁:合法的用户能人网,非法的使用者(即人侵者)也能侵人网路 。因此必须採取适当的保护措施,使远程访问系统变得更安全 。远程档案访问目前在Windows、Unix和Linux作业系统上常见的网路档案系统使用的是基于访问进程的网路节点IP位址和进程UID/GID的远程访问控制方法 。这种访问控制方法在本质上是面向网路节点的 。而且相应的IP位址和进程UID/GID信息在网路传输过程中,只经过了XDR编码,没有从密码学的高度对上述信息的传输提供完整性或私密性保障 。而在格线领域以及传统的分散式领域,有许多数据远程访问技术 。例如Condor 和Legion 的远程档案访问技术,远程I/O 系统以及Globus 採用的全局二级存储服务GASS 和远程数据传输服务GridFTP 等 。安全问题及解决在拨号网路中主要考虑三类安全问题:访问控制、数据保护和警戒劣种代码(病毒、特洛伊木马、蠕虫等) 。所有来自这三类问题的攻击,不管发生在数据级还是系统级,都削弱了入侵保护;甚至劣种代码也可看成一种特殊类型的攻击 。所以在制订远程访问策略保护网路资源时,其主要目的是防止人侵 。每一种拨入方式都携带着风险,但并不都共享同样的风险 。此时重新检查网路配置和远程连线的目的将防止不必要地暴露自己的网路 。随着远程拨号线路的建立,在网上隔离信息的要求无疑会日益增大 。当这些需被访问档案遍布磁碟卷时,单独建立档案访问许可权就不能提供足够的安全性 。以下两种方法可提供更高一级的安全 。1、通过对关键数据和秘密数据创立一个单独的磁碟卷而隔离信息 。2、单独设定一个限制使用的档案伺服器 。伺服器可设定为对无许可权用户“不可见” 。可配里拨人网关以忽略伺服器的存在,除非呼叫者有特定许可权 。以上两种方法都迫使系统管理员把被关注的档案放在合适的位置 。如果安全卷或伺服器被设计成对这些档案来说是被证明的最佳位置.那这就是这些档案该放的位置 。如果对网路风险的评价结论是不希望外部对特定档案的任何访问,那幺将阻止其他用户甚至合法的用户在家里或路上访问它们 。决定哪些档案需外部访问,由谁访问它们,如何对网路分区以实现这些需求,这些都是建立安全远程访问的进一步的工作 。格线环境下档案远程访问格线格线是近年来逐渐兴起的一种Internet 计算模式,是一种在广域範围内深度共享多种资源的技术,其目的是为了在分布、异构、自治的网路资源环境上构造动态的虚拟组织,并在其内部实现跨自治域的资源共享与资源协作 。而目前格线中的数据资源呈现出如下几个特点:档案数量巨大,类别多;访问量大,但档案大小差别大;不同用户对档案管理的要求各异 。格线实验环境拓扑图在我们构造的资源格线中,格线中存在不同的管理域,如图所示 。