張福浩，張明波，張志然，張用川

(1. 中國測繪科學(xué)研究院，北京 100039； 2. 中國科學(xué)院地理科學(xué)與資源研究所資源與環(huán)境信息系統(tǒng)

國家重點(diǎn)實(shí)驗(yàn)室，北京 100101； 3. 武漢大學(xué)資源與環(huán)境科學(xué)學(xué)院，湖北 武漢 430079)

Study of Distributed Spatial Database Security

ZHANG Fuhao，ZHANG Mingbo， ZHANG Zhiran，ZHANG Yongchuan

?

分布式空間數(shù)據(jù)庫安全機(jī)制探討

張福浩1，張明波2，張志然1，張用川3

(1. 中國測繪科學(xué)研究院，北京 100039； 2. 中國科學(xué)院地理科學(xué)與資源研究所資源與環(huán)境信息系統(tǒng)

國家重點(diǎn)實(shí)驗(yàn)室，北京 100101； 3. 武漢大學(xué)資源與環(huán)境科學(xué)學(xué)院，湖北 武漢 430079)

Study of Distributed Spatial Database Security

ZHANG Fuhao，ZHANG Mingbo， ZHANG Zhiran，ZHANG Yongchuan

摘要：伴隨著空間數(shù)據(jù)量與應(yīng)用需求的急劇增長，傳統(tǒng)基于單節(jié)點(diǎn)的空間數(shù)據(jù)庫服務(wù)模式向分布式集群服務(wù)模式擴(kuò)展，面臨新的安全問題。本文梳理了空間數(shù)據(jù)庫安全的概念及其發(fā)展現(xiàn)狀，分析了分布式空間數(shù)據(jù)庫的安全特性及空間信息服務(wù)過程中分布式空間數(shù)據(jù)庫集群面臨的安全挑戰(zhàn)，提出了統(tǒng)一安全管理模式下“通信加密—身份認(rèn)證—權(quán)限管理—數(shù)據(jù)加密—安全審計(jì)”全流程分布式地理空間信息服務(wù)安全框架，對(duì)分布式空間數(shù)據(jù)庫安全的發(fā)展有一定的借鑒意義。

關(guān)鍵詞：空間數(shù)據(jù)庫；空間大數(shù)據(jù)；數(shù)據(jù)安全；應(yīng)對(duì)策略

空間數(shù)據(jù)庫擔(dān)負(fù)著空間數(shù)據(jù)存儲(chǔ)和信息處理的任務(wù)，在災(zāi)害預(yù)警和救援、環(huán)境監(jiān)測、城市規(guī)劃和軍事行動(dòng)等諸多領(lǐng)域都得到了廣泛應(yīng)用?？臻g中存儲(chǔ)的海量信息涉及自然資源、城市、交通、電力、電信、人口、軍事設(shè)施等對(duì)象的空間位置信息，若被任意使用，可能會(huì)造成巨大的損失，甚至威脅國家安全[1-2]。因此，空間數(shù)據(jù)庫安全一直是地理信息領(lǐng)域的一個(gè)研究重點(diǎn)。

目前，對(duì)空間數(shù)據(jù)庫安全沒有公認(rèn)、一致的專門定義，但其內(nèi)涵和外延與通用數(shù)據(jù)庫安全是基本一致的。C P Pfleeger從邏輯數(shù)據(jù)庫的完整性、物理數(shù)據(jù)庫的完整性、元素安全性、可審計(jì)性、訪問控制、身份驗(yàn)證及可用性等方面對(duì)數(shù)據(jù)庫安全進(jìn)行了定義[3]，受到了多數(shù)西方學(xué)者的認(rèn)同；而我國大部分學(xué)者從保密性、完整性、可用性和一致性4個(gè)方面對(duì)數(shù)據(jù)庫進(jìn)行了定義[4-5]。當(dāng)前關(guān)于空間數(shù)據(jù)庫安全方面的研究主要集中在對(duì)數(shù)據(jù)庫自身安全的研究上[6]，常用的技術(shù)主要包括存取管理技術(shù)、安全管理技術(shù)和數(shù)據(jù)庫加密技術(shù)。存取管理技術(shù)通過程序控制數(shù)據(jù)庫中數(shù)據(jù)的存取，防止未經(jīng)授權(quán)的用戶訪問數(shù)據(jù)庫。安全管理技術(shù)實(shí)現(xiàn)數(shù)據(jù)庫的管理權(quán)限分配，分為集中控制和分散控制兩種方式。數(shù)據(jù)庫加密防止數(shù)據(jù)庫中信息泄露，主要包括庫外加密、庫內(nèi)加密、硬件加密等[7-8]。

伴隨著空間數(shù)據(jù)量與應(yīng)用需求的劇烈增長，傳統(tǒng)基于單節(jié)點(diǎn)的空間數(shù)據(jù)庫服務(wù)模式已經(jīng)不能滿足海量數(shù)據(jù)存儲(chǔ)和高并發(fā)的數(shù)據(jù)訪問需求，需要向分布式集群服務(wù)模式擴(kuò)展[9]。分布式空間數(shù)據(jù)庫將物理上分散的空間數(shù)據(jù)庫組織成一個(gè)邏輯上單一的空間數(shù)據(jù)庫系統(tǒng)，能實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)容量的水平擴(kuò)展和高并訪問的負(fù)載均衡[10-11]。在分布式模式下，空間數(shù)據(jù)庫安全需求發(fā)生了極大的變化，其內(nèi)涵也更加豐富。傳統(tǒng)的數(shù)據(jù)安全保護(hù)技術(shù)已經(jīng)不能完全滿足網(wǎng)絡(luò)條件下空間數(shù)據(jù)共享與不同應(yīng)用的需要[12]，因此，急需發(fā)展針對(duì)分布式空間數(shù)據(jù)庫集群的新數(shù)據(jù)安全機(jī)制。

本文梳理空間數(shù)據(jù)庫安全的概念及其發(fā)展現(xiàn)狀，分析分布式空間數(shù)據(jù)庫的安全特性及空間信息服務(wù)過程中分布式空間數(shù)據(jù)庫集群面臨的安全挑戰(zhàn)，并在此基礎(chǔ)上提出統(tǒng)一安全管理模式下“通信加密—身份認(rèn)證—權(quán)限管理—數(shù)據(jù)加密—安全審計(jì)”全流程分布式的地理空間信息服務(wù)安全框架。

一、分布式空間信息服務(wù)安全問題分析

本文中分布式空間數(shù)據(jù)庫是指類似于Master-Slave結(jié)構(gòu)或Share Nothing彈性集群結(jié)構(gòu)的分布式數(shù)據(jù)庫。相比傳統(tǒng)數(shù)據(jù)庫，分布式空間數(shù)據(jù)體系架構(gòu)有很大不同，本節(jié)對(duì)其安全特性和數(shù)據(jù)服務(wù)過程中面臨的安全挑戰(zhàn)進(jìn)行充分的分析。

1. 分布式空間數(shù)據(jù)庫安全特性分析

與傳統(tǒng)數(shù)據(jù)庫相比，分布式空間數(shù)據(jù)庫具有物理分布性、邏輯整體性、節(jié)點(diǎn)自治性、節(jié)點(diǎn)間協(xié)調(diào)性和冗余容錯(cuò)性5個(gè)特點(diǎn)，這些特點(diǎn)對(duì)空間數(shù)據(jù)安全提出了新的要求，表現(xiàn)出以下安全特性。

(1) 分布性

存入分布式空間數(shù)據(jù)庫中的數(shù)據(jù)往往被切分成細(xì)小的數(shù)據(jù)塊分散地存儲(chǔ)在不同的數(shù)據(jù)庫節(jié)點(diǎn)上，數(shù)據(jù)庫節(jié)點(diǎn)之間通過網(wǎng)絡(luò)進(jìn)行通信和數(shù)據(jù)交換。分布式空間數(shù)據(jù)庫的安全應(yīng)該是構(gòu)成數(shù)據(jù)庫集群的各節(jié)點(diǎn)安全之和，任何一個(gè)節(jié)點(diǎn)的安全漏洞都可能影響全局的安全。因此，應(yīng)該充分考慮分布式空間數(shù)據(jù)庫每個(gè)節(jié)點(diǎn)的安全。

(2) 網(wǎng)絡(luò)相關(guān)性

空間分布式數(shù)據(jù)庫各節(jié)點(diǎn)通過通信網(wǎng)絡(luò)傳輸數(shù)據(jù)和交換信息，集群內(nèi)部的通信網(wǎng)絡(luò)亦即成為了數(shù)據(jù)庫安全的考慮對(duì)象。數(shù)據(jù)庫集群內(nèi)部的通信應(yīng)該采用加密網(wǎng)絡(luò)，支持加密協(xié)議對(duì)通信內(nèi)容進(jìn)行加密，同時(shí)，大量空間數(shù)據(jù)在集群間交換給通信網(wǎng)絡(luò)造成了壓力，要求對(duì)空間數(shù)據(jù)加密不能以犧牲過多的時(shí)間為前提。

(3) 全局性

分布式空間數(shù)據(jù)庫中的數(shù)據(jù)物理上分散在各個(gè)節(jié)點(diǎn)上， 但這些分散的數(shù)據(jù)邏輯上卻是一個(gè)整體，能夠被所有用戶透明訪問。一般的，分布式數(shù)據(jù)庫提供了多個(gè)數(shù)據(jù)訪問入口，以便實(shí)現(xiàn)負(fù)載均衡并避免單節(jié)點(diǎn)故障。每個(gè)入口都可以訪問到全體數(shù)據(jù)，而眾多訪問入口可能成為安全防護(hù)的弱點(diǎn)，這就要求分布式空間數(shù)據(jù)需對(duì)外隱藏其內(nèi)部體系結(jié)構(gòu)。

(4) 容錯(cuò)性

各節(jié)點(diǎn)上的數(shù)據(jù)由本節(jié)點(diǎn)的空間數(shù)據(jù)庫管理系統(tǒng)管理，具有自治處理能力，完成本節(jié)點(diǎn)的應(yīng)用。同時(shí)，節(jié)點(diǎn)之間相互無障礙通信，檢測心跳，數(shù)據(jù)庫節(jié)點(diǎn)往往通過相互冗余備份方式保證數(shù)據(jù)庫的可靠性、可用性和改善系統(tǒng)的性能。這也體現(xiàn)了分布式空間數(shù)據(jù)庫安全也應(yīng)該具有容錯(cuò)性，對(duì)安全管理提出了更多挑戰(zhàn)。

2. 分布式空間信息服務(wù)安全問題分析

結(jié)合空間信息服務(wù)過程，分析了分布式空間數(shù)據(jù)庫存在的安全問題。與傳統(tǒng)空間信息服務(wù)類似，分布式空間信息服務(wù)可以簡單分為客戶端、應(yīng)用端和數(shù)據(jù)庫端，但數(shù)據(jù)庫采用分布式集群技術(shù)存儲(chǔ)數(shù)據(jù)。通常，空間信息服務(wù)系統(tǒng)按層次可以分為客戶端、應(yīng)用層和數(shù)據(jù)存儲(chǔ)層，空間數(shù)據(jù)服務(wù)模式如下：客戶發(fā)送信息請(qǐng)求給應(yīng)用服務(wù)器，應(yīng)用服務(wù)器根據(jù)請(qǐng)求內(nèi)容向分布式數(shù)據(jù)庫發(fā)出數(shù)據(jù)請(qǐng)求，分布式數(shù)據(jù)庫管理系統(tǒng)根據(jù)數(shù)據(jù)請(qǐng)求內(nèi)容操作數(shù)據(jù)庫返回?cái)?shù)據(jù)給應(yīng)用服務(wù)器，應(yīng)用服務(wù)器進(jìn)行處理后再返回結(jié)果給用戶，而這一切都通過網(wǎng)絡(luò)進(jìn)行。這個(gè)過程涉及客戶端安全問題、應(yīng)用安全問題和數(shù)據(jù)庫本身安全問題，如圖1所示。

圖1　分布式空間數(shù)據(jù)服務(wù)面臨的安全威脅分析

(1) 客戶端安全問題分析

客戶端是用戶獲取地理空間信息和服務(wù)的入口，主要功能包括用戶登錄認(rèn)證，數(shù)據(jù)、服務(wù)獲取交互操作，數(shù)據(jù)展示等。面臨的安全威脅包括非認(rèn)證的用戶登錄、服務(wù)操作接口入侵和網(wǎng)絡(luò)偵聽。

(2) 應(yīng)用層安全問題分析

應(yīng)用層為用戶提供各種地理空間數(shù)據(jù)處理及數(shù)據(jù)服務(wù)，主要由Web服務(wù)器和應(yīng)用服務(wù)器構(gòu)成。應(yīng)用層服務(wù)器要實(shí)現(xiàn)其功能，需從分布式空間數(shù)據(jù)庫系統(tǒng)讀取數(shù)據(jù)進(jìn)行處理，因此保存了訪問分布式空間數(shù)據(jù)庫的配置文件等信息。面臨的安全威脅包括配置文件暴露、系統(tǒng)架構(gòu)和連接細(xì)節(jié)信息泄露、網(wǎng)絡(luò)偵聽。

(3) 數(shù)據(jù)庫層安全問題分析

數(shù)據(jù)庫層即分布式空間數(shù)據(jù)庫系統(tǒng)本身，由多個(gè)數(shù)據(jù)庫節(jié)點(diǎn)組成。數(shù)據(jù)通常被劃分為數(shù)據(jù)片段存儲(chǔ)在各數(shù)據(jù)庫，節(jié)點(diǎn)之間通過網(wǎng)絡(luò)連接。存在的安全威脅包括非身份認(rèn)證登錄、敏感信息泄露、非授權(quán)的數(shù)據(jù)操作和網(wǎng)絡(luò)偵聽。

二、分布式空間數(shù)據(jù)服務(wù)安全框架

為應(yīng)對(duì)上述挑戰(zhàn)和問題，本文提出了統(tǒng)一安全管理模式下“通信加密—身份認(rèn)證—權(quán)限管理—數(shù)據(jù)加密—安全審計(jì)”全流程分布式地理空間信息服務(wù)安全框架。該框架分為兩層架構(gòu)，其中安全統(tǒng)一管理模塊對(duì)其他5個(gè)部分實(shí)現(xiàn)整體管理，以降低安全管理的復(fù)雜性；其他部分包括通信加密、身份認(rèn)證、權(quán)限管理、安全審計(jì)和數(shù)據(jù)加密4個(gè)部分，在分布式空間數(shù)據(jù)庫安全體系中，根據(jù)安全需求，可以選擇單獨(dú)或疊加使用實(shí)施層中任意模塊，提供更為復(fù)雜的層次安全體系?？蚣芸傮w結(jié)構(gòu)如圖2所示。

圖2　分布式空間數(shù)據(jù)庫安全策略

1. 統(tǒng)一安全管理

為提供一致性的安全管理，分布式空間數(shù)據(jù)庫集群需要一個(gè)集中的用戶接口。這個(gè)接口可以用來統(tǒng)一定義、管理分布式空間數(shù)據(jù)庫的安全規(guī)則。

2. 通信加密

通信加密即對(duì)通過網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理，可以防止網(wǎng)絡(luò)監(jiān)聽。圍繞分布式空間數(shù)據(jù)庫的網(wǎng)絡(luò)可以分為外部服務(wù)網(wǎng)絡(luò)和內(nèi)部數(shù)據(jù)庫集群網(wǎng)絡(luò)，外部服務(wù)通信和數(shù)據(jù)服務(wù)一般通過HTTP、DTP和JDBC等協(xié)議和接口進(jìn)行，內(nèi)部通信一般通過RPC、HTTP等協(xié)議進(jìn)行。通常要求支持MD5、SHA-1等散列算法和SSL通信協(xié)議。

3. 身份認(rèn)證

建立用戶認(rèn)證體系是分布式空間數(shù)據(jù)庫集群的基本安全訪問措施。用戶的身份信息需要得到可靠的確認(rèn)，然后才能用這個(gè)身份在集群間訪問數(shù)據(jù)庫、數(shù)據(jù)表等資源，以及對(duì)數(shù)據(jù)進(jìn)行操作。認(rèn)證方式包括操作系統(tǒng)認(rèn)證、數(shù)據(jù)庫認(rèn)證、中間層認(rèn)證和第三方認(rèn)證 4 種。

4. 權(quán)限管理

數(shù)據(jù)庫中的數(shù)據(jù)安全主要依靠的是在身份認(rèn)證的基礎(chǔ)上，根據(jù)訪問者的身份對(duì)其提出的資源訪問請(qǐng)求加以控制。常用的權(quán)限管理方法包括主動(dòng)性權(quán)限控制、強(qiáng)制性權(quán)限控制和基于角色的權(quán)限控制。

5. 安全審計(jì)

安全審計(jì)是一種基本的安全機(jī)制，主要用于記錄用戶對(duì)數(shù)據(jù)庫所進(jìn)行的訪問請(qǐng)求及對(duì)數(shù)據(jù)所執(zhí)行的操作，并幫助檢測是否存在非法入侵行為或授權(quán)用戶對(duì)權(quán)限是否存在誤用。安全審計(jì)也需要通過身份認(rèn)證方式獲得訪問數(shù)據(jù)庫系統(tǒng)的用戶的真實(shí)身份，從而記錄下真實(shí)身份用戶對(duì)數(shù)據(jù)庫所進(jìn)行的各項(xiàng)操作。一般包括SQL 語句審計(jì)、特權(quán)審計(jì)、Schema Object審計(jì)、細(xì)粒度審計(jì)。

6. 數(shù)據(jù)保護(hù)

在數(shù)據(jù)庫中，可能存在一些相對(duì)更為敏感的數(shù)據(jù)，這些數(shù)據(jù)不應(yīng)當(dāng)以明文的形式進(jìn)行保存，而應(yīng)該以加密的形式保存在數(shù)據(jù)庫中。一般而言，可以通過哈希算法對(duì)敏感數(shù)據(jù)進(jìn)行加密。加密方法包括對(duì)稱加密(3DES、AES)，非對(duì)稱加密(RSA)和其他加密方法(IDEA)。不同加密方法有不同特性。

分布式空間數(shù)據(jù)庫安全框架體現(xiàn)預(yù)防與管控的原則，涵蓋了分布式空間數(shù)據(jù)庫日常安全管理的內(nèi)容，在分布式空間數(shù)據(jù)庫安全管理中，合理選擇安全技術(shù)與控制方法來保護(hù)數(shù)據(jù)庫中的信息安全，使安全風(fēng)險(xiǎn)降到最低，確保數(shù)據(jù)庫內(nèi)信息的保密性、完整性、可用性和一致性。

三、結(jié)束語

地理空間信息作為國家戰(zhàn)略性基礎(chǔ)資源在經(jīng)濟(jì)社會(huì)軍事等領(lǐng)域得到廣泛應(yīng)用，其安全也越來越受到重視。在空間大數(shù)據(jù)背景下，空間數(shù)據(jù)的存儲(chǔ)模式從傳統(tǒng)單機(jī)空間數(shù)據(jù)庫模式向適合在云端部署的分布式空間數(shù)據(jù)庫模式轉(zhuǎn)變，其自身的分布式特點(diǎn)和服務(wù)環(huán)境對(duì)空間分布式數(shù)據(jù)庫安全提出了新的要求。正確認(rèn)識(shí)新環(huán)境下地理信息數(shù)據(jù)的安全問題，研究和制定相應(yīng)的應(yīng)對(duì)策略，是保障地理信息安全、實(shí)現(xiàn)測繪地理信息產(chǎn)業(yè)健康有序發(fā)展的重要保證。本文重點(diǎn)對(duì)分布式空間數(shù)據(jù)庫安全進(jìn)行了探討，提出了統(tǒng)一安全管理模式下“通信加密—身份認(rèn)證—權(quán)限管理—數(shù)據(jù)加密—安全審計(jì)”全流程分布式地理空間信息服務(wù)安全框架。該框架涵蓋了地理信息服務(wù)的整個(gè)流程，對(duì)分布式空間數(shù)據(jù)庫安全的研究發(fā)展有一定的指導(dǎo)意義。在具有特定環(huán)境和特殊技術(shù)需求的分布式空間數(shù)據(jù)庫系統(tǒng)中，可以在該框架的基礎(chǔ)上結(jié)合用戶自身實(shí)際情況進(jìn)行必要的擴(kuò)充與修整。

參考文獻(xiàn)：

[1]李東風(fēng), 謝昕. 數(shù)據(jù)庫安全技術(shù)研究與應(yīng)用[J]. 計(jì)算機(jī)安全，2008(1):42-44.

[2]蔡先華. GIS-T空間數(shù)據(jù)庫管理與應(yīng)用關(guān)鍵技術(shù)研究[J]. 測繪學(xué)報(bào)，2007,36(4):476.

[3]PFLEEGER C, PFLEEGER S L. Security in Computing[M]. 4th Ed.[S.l.]：Prentice Hall，2006.

[4]中華人民共和國公安部.計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求：GAT 389—2002[S].北京：中國標(biāo)準(zhǔn)出版社，2002. 行業(yè)標(biāo)準(zhǔn)-公共安全標(biāo)準(zhǔn), 2002.

[5]吳溥峰, 張玉清. 數(shù)據(jù)庫安全綜述[J]. 計(jì)算機(jī)工程，2006,32(12):85-88.

[6]張敏. 數(shù)據(jù)庫安全研究現(xiàn)狀與展望[J]. 中國科學(xué)院院刊，2011(3):303-309.

[7]張建軍. 淺析數(shù)據(jù)庫系統(tǒng)管理加密技術(shù)及其應(yīng)用[J]. 甘肅高師學(xué)報(bào)，2006,11(5):79-80.

[8]GRACHEV V M, ESIN V I, POLUKHINA N G, et al. Data Security Mechanisms Implemented in the Database with Universal Model[J]. Bulletin of the Lebedev Physics Institute，2014,41(5):123-126.

[9]GUPTA G K, SHARMA A K, SWAROOP V. A Permutation Gigantic Issues in Mobile Real Time Distributed Database: Consistency & Security[J]. International Journal on Computer Science and Engineering，2011,3(2):884.

[10]OZSU M M, VALDURIEZ P. Principles of Distributed Database Systems [M]. [S.l.]：Prentice Hall，1999.

[11]DEVOGELE T. On Spatial Database Integration [J]. Geographical Information Science， 1998,12(4)：335-352.

[12]朱良根, 雷振甲, 張玉清. 數(shù)據(jù)庫安全技術(shù)研究[J]. 計(jì)算機(jī)應(yīng)用研究，2004(9):127-129.

引文格式： 張福浩，張明波，張志然，等. 分布式空間數(shù)據(jù)庫安全機(jī)制探討[J].測繪通報(bào)，2016(1)：41-44.DOI:10.13474/j.cnki.11-2246.2016.0010.

通信作者：張志然

作者簡介：張福浩(1973—)，男，博士，研究員，主要從事政府地理信息服務(wù)相關(guān)研究。E-mail: zhangfh@casm.ac.cn

基金項(xiàng)目：測繪地理信息公益性行業(yè)科研專項(xiàng)經(jīng)費(fèi)(201512032)；中國測繪科學(xué)研究院基本科研業(yè)務(wù)費(fèi)(7771414)

收稿日期：2015-12-14

中圖分類號(hào)：P208

文獻(xiàn)標(biāo)識(shí)碼：B

文章編號(hào)：0494-0911(2016)01-0041-04