謝娟文，焦愛勝（.蘭州理工大學(xué)技術(shù)工程學(xué)院，甘肅蘭州730050；.蘭州工業(yè)學(xué)院機(jī)電工程學(xué)院，甘肅蘭州730050）

?

分布式數(shù)據(jù)庫(kù)的安全性及其防護(hù)策略*

謝娟文1，焦愛勝2
（1.蘭州理工大學(xué)技術(shù)工程學(xué)院，甘肅蘭州730050；2.蘭州工業(yè)學(xué)院機(jī)電工程學(xué)院，甘肅蘭州730050）

摘要：根據(jù)分布式數(shù)據(jù)庫(kù)體系結(jié)構(gòu)的特點(diǎn)必然會(huì)引發(fā)分布式數(shù)據(jù)庫(kù)中數(shù)據(jù)的安全性問題。本文分析了該系統(tǒng)的體系結(jié)構(gòu)和各類不安全因素,對(duì)經(jīng)常采用的安全策略進(jìn)行了比較,分析了它們各自存在的優(yōu)劣特性。

關(guān)鍵詞：分布式數(shù)據(jù)庫(kù)；安全策略；身份認(rèn)證；訪問權(quán)限控制；數(shù)據(jù)加密

1　概述

分布式數(shù)據(jù)庫(kù)系統(tǒng)（DDBS）是由分布式數(shù)據(jù)庫(kù)管理系統(tǒng)(DDBMS)與分布式數(shù)據(jù)庫(kù)(DDB)兩部分組成,是數(shù)據(jù)庫(kù)技術(shù)與計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)相結(jié)合的產(chǎn)物[1]。分布式數(shù)據(jù)庫(kù)系統(tǒng)的提出，是由于各類用戶對(duì)數(shù)據(jù)共享的不同需求交叉地分散于企業(yè)或不同部門當(dāng)中，而它應(yīng)需而生,來管理這些分布式的數(shù)據(jù)。使用分布式數(shù)據(jù)庫(kù)不僅可利用自身的資源和條件，還可最大范圍地利用網(wǎng)絡(luò)當(dāng)中的站點(diǎn)資源，這樣就突顯出一個(gè)很具體的問題——數(shù)據(jù)庫(kù)的安全性，處理不好這個(gè)問題將直接影響到分布式數(shù)據(jù)庫(kù)系統(tǒng)的穩(wěn)定性和完整性。

2　分布式數(shù)據(jù)庫(kù)體系結(jié)構(gòu)及數(shù)據(jù)安全性

2.1分布式數(shù)據(jù)庫(kù)體系結(jié)構(gòu)

分布式數(shù)據(jù)庫(kù)系統(tǒng)可看成是一些數(shù)據(jù)集合，邏輯上屬于統(tǒng)一的一個(gè)整體，物理上則是各自分散存儲(chǔ)在每個(gè)站點(diǎn)，要求它們必須連接于計(jì)算機(jī)網(wǎng)絡(luò)當(dāng)中，并且具有場(chǎng)地自治的能力，同時(shí)統(tǒng)一地被DDBS管理。這與集中式數(shù)據(jù)庫(kù)有著顯著的區(qū)別。LDBMS(本地?cái)?shù)據(jù)庫(kù)管理系統(tǒng))服務(wù)本地?cái)?shù)據(jù)庫(kù)和全局查詢的子查詢等任務(wù)。GDBMS(全局?jǐn)?shù)據(jù)庫(kù)管理系統(tǒng))主要來協(xié)調(diào)全局事務(wù)的執(zhí)行。CM(通信管理器)負(fù)責(zé)各場(chǎng)地之間信息的傳遞，提供支持分布式事務(wù)的相應(yīng)通信機(jī)制，其體系結(jié)構(gòu)如圖1所示。

圖1　分布式數(shù)據(jù)庫(kù)系統(tǒng)體系結(jié)構(gòu)

2.2分布式數(shù)據(jù)庫(kù)數(shù)據(jù)安全性

與傳統(tǒng)集中式數(shù)據(jù)庫(kù)比較，DDBS安全性目標(biāo)包括以下幾個(gè)方面：

1)數(shù)據(jù)的完整性。包括數(shù)據(jù)庫(kù)數(shù)據(jù)中物理完整性、邏輯完整性和元素完整性。

2)數(shù)據(jù)的保密性。包括數(shù)據(jù)庫(kù)中用戶身份鑒別、訪問控制、對(duì)推理攻擊的防范、可審計(jì)性、防止隱蔽信道攻擊和語(yǔ)義保密性等。

3)數(shù)據(jù)的可用性。包括系統(tǒng)錯(cuò)誤導(dǎo)致的數(shù)據(jù)庫(kù)破壞、修復(fù)系統(tǒng)時(shí)數(shù)據(jù)庫(kù)破壞以及清除數(shù)據(jù)庫(kù)垃圾等。

分布式數(shù)據(jù)庫(kù)不安全因素包括：數(shù)據(jù)在各站點(diǎn)上的不安全、訪問數(shù)據(jù)時(shí)不安全和數(shù)據(jù)傳輸過程中的不安全。一般的，有未授權(quán)的信息泄露、非授權(quán)的數(shù)據(jù)修改、拒絕服務(wù)等安全威脅。具體的安全隱患有竊聽、越權(quán)攻擊、假冒攻擊、破譯密文，迂回攻擊以及重發(fā)攻擊等形式。對(duì)于DDBS而言明確網(wǎng)絡(luò)中的合法身份的程序變得復(fù)雜了，在網(wǎng)絡(luò)中傳輸信息的風(fēng)險(xiǎn)也隨之俱增，采取聯(lián)合訪問控制手段顯得很有必要。

3　分布式數(shù)據(jù)庫(kù)數(shù)據(jù)安全策略

根據(jù)分布式數(shù)據(jù)庫(kù)數(shù)據(jù)安全性,要消除安全隱患，滿足數(shù)據(jù)安全需求，通常采取身份認(rèn)證、提高保密性、訪問控制、數(shù)據(jù)加密、安全審計(jì)以及故障恢復(fù)等安全策略。

3.1各工作站點(diǎn)的身份認(rèn)證和訪問控制

在對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行操作之前，為了防止非法用戶進(jìn)行各種可能的非正常操作,必須在工作客戶端和數(shù)據(jù)庫(kù)服務(wù)器上進(jìn)行不同的身份驗(yàn)證。身份認(rèn)證技術(shù)從單一、簡(jiǎn)單、靜態(tài)認(rèn)證發(fā)展到復(fù)雜、動(dòng)態(tài)認(rèn)證，各有其優(yōu)劣。通?？刹捎靡韵聨追N：靜態(tài)口令鑒別，一般由用戶自行設(shè)定，安全性比較低。動(dòng)態(tài)口令鑒別是目前較為安全的一種方式，此方式的口令是動(dòng)態(tài)變化的，每次登錄動(dòng)態(tài)生成新口令主，采用一次一密的方法，安全性相對(duì)較高。若保密級(jí)別高可采用生物特征認(rèn)證技術(shù)，如指紋、虹膜和掌紋等，安全性較高。還可采用智能卡與個(gè)人身分識(shí)別相結(jié)合的方式。

合法的用戶訪問控制有兩種形式：自主存取控制和強(qiáng)制存取控制。前一種是可由系統(tǒng)管理員來進(jìn)行訪問控制表設(shè)定,明確用戶對(duì)何種數(shù)據(jù)對(duì)象才能進(jìn)行什么樣的操作權(quán)限。后一種則是按照TDI/ TCSEC標(biāo)準(zhǔn)中安全策略的要求采取強(qiáng)制存取檢查手段，分別給系統(tǒng)內(nèi)的主體即管理的實(shí)際用戶和客體分別指定一個(gè)敏感度級(jí)別,然后根據(jù)主體的安全級(jí)別和客體的保密度級(jí)別對(duì)應(yīng)關(guān)系,以及它們之間遵循的規(guī)則來對(duì)數(shù)據(jù)庫(kù)內(nèi)容進(jìn)行存取。如為了使數(shù)據(jù)庫(kù)的安全操作得以保障,引入對(duì)用戶權(quán)限的控制技術(shù)，可在DDBMS中把數(shù)據(jù)庫(kù)的用戶分為客戶、使用者和管理者3級(jí)，對(duì)其讀寫權(quán)限分別進(jìn)行相應(yīng)的設(shè)置。

3.2提高保密性

用戶通過不同方式的身份認(rèn)證后,才能進(jìn)一步地進(jìn)行數(shù)據(jù)傳輸。實(shí)際應(yīng)用中傳輸?shù)臄?shù)據(jù)量比較大，為了防止在傳輸過程中因非法攻擊所造成的泄密問題，必須對(duì)所要傳輸?shù)臄?shù)據(jù)進(jìn)行加密。也可實(shí)行實(shí)時(shí)入侵檢測(cè)的方法,在通信雙方之間有必要建立安全的私用通信通道。

3.3數(shù)據(jù)庫(kù)數(shù)據(jù)加密

對(duì)于一些保密機(jī)構(gòu)，數(shù)據(jù)庫(kù)系統(tǒng)中存儲(chǔ)著高敏感性數(shù)據(jù),在管理過程中,為了防止數(shù)據(jù)庫(kù)中數(shù)據(jù)在存儲(chǔ)過程及傳輸中失密，對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)進(jìn)行存儲(chǔ)加密以及傳輸加密，從而使非法用戶無法來獲知數(shù)據(jù)的內(nèi)容。

3.3.1非對(duì)稱密碼

為了防止非法入侵者的主動(dòng)攻擊和被動(dòng)攻擊，可以采用CIA三元組的概念達(dá)到相應(yīng)的安全目標(biāo)。實(shí)際應(yīng)用最廣泛的是非對(duì)稱密碼體制（公鑰密碼），它的原理是加密和解密使用不同的密鑰，一公一私兩個(gè)密鑰。公鑰算法的基礎(chǔ)是數(shù)學(xué)函數(shù)，不同于代替和置換。RSA加密算法最具代表性，它的算法實(shí)現(xiàn)有3個(gè)過程：密鑰產(chǎn)生（生成公鑰和密鑰），加密過程以及解密過程。攻擊RSA的困難性在于尋找大合數(shù)的素因子。

3.3.2加密粒度

加密粒度指以表、記錄、域或數(shù)據(jù)元素為單位的加密和解密方式。數(shù)據(jù)加密和解密可以保證重要數(shù)據(jù)對(duì)象的安全性，但以耗費(fèi)大量的系統(tǒng)資為代價(jià)。為了提高對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)的訪問速度，在DDBS中可以調(diào)整加密的粒度。實(shí)踐得出結(jié)論，加密粒度分別與加密密鑰的數(shù)量、密鑰管理的復(fù)雜性度、系統(tǒng)開銷都成反比關(guān)系。

3.3.3加密方式

1）數(shù)據(jù)庫(kù)外部加密。具體實(shí)現(xiàn)方法為在分布式數(shù)據(jù)庫(kù)外增加一個(gè)加密層專門負(fù)責(zé)對(duì)數(shù)據(jù)加解密。這類方式，對(duì)DDBS的依賴性比較小，實(shí)現(xiàn)起來比較簡(jiǎn)單，缺點(diǎn)是付出的時(shí)空代價(jià)大，并且速度慢。

2）數(shù)據(jù)庫(kù)內(nèi)部加密。具體實(shí)現(xiàn)方法是在數(shù)據(jù)庫(kù)的內(nèi)模式，物理模式之間增加一個(gè)加密層讓它來負(fù)責(zé)對(duì)數(shù)據(jù)加解密。這類方式，對(duì)DDBS的依賴性強(qiáng)，實(shí)現(xiàn)比較復(fù)雜且成本大，優(yōu)點(diǎn)是安全性能更高。

3.3.4傳輸加密與密鑰管理

在分布式數(shù)據(jù)庫(kù)系統(tǒng)運(yùn)作過程當(dāng)中,常見的有基于安全套接層協(xié)議的端到端的可信傳輸方案。通信雙方需要協(xié)商建立可信連接，一次會(huì)話采用一個(gè)密鑰，數(shù)據(jù)在發(fā)送方加密，而在接收方進(jìn)行解密，能夠有效地降低重放攻擊和惡意篡改的風(fēng)險(xiǎn)，假如有第三方對(duì)密文時(shí)進(jìn)行任何篡改，都會(huì)被真實(shí)地接收方通過摘要算法加以識(shí)別，并且解決了密鑰存儲(chǔ)的問題。加密后安全性得到了進(jìn)一步的提升，但增加了相應(yīng)的查詢處理復(fù)雜性，查詢效率會(huì)大打折扣，因此,我們就根據(jù)安全可信度級(jí)別分別采用各自適應(yīng)的的密碼體制。

如一電子商務(wù)系統(tǒng)在服務(wù)器端解密可用如下程序?qū)崿F(xiàn)：

itit main()

{

while((Rum=recv(connectfd,revbuf, MAXDATASIZE,0))>0)

{

revbuf[num]=’＼0’:

wordkey[8]={’x’，’y’，’z’，’i’，’m’，’f’，’k’，’t’}：

wordi，x1[8]，x2[8]：

for(i=0：revbuf[i]! =’＼0’：i+T)N=i：

if((N+I)<8){

for(i=0：i((N+I)：i++)

for(i=(N+I)：i<8：i++)

DES(x1，key，x2，1)：

for(i=0：i

}

else{

M=N／8：

flag0=0：

flagl：l：

for(i=0：i

for(j=0：j<8：j++)C[j]=reVbuf[fla90+j]

DES(x1，key，x2，1)：

for(i=0：i<8：i++)unencryptbuf[flagl十i]=x1[i]

flagl+：8：

flag0+=8：

}

for(i=0；i

for(i：N%8：i<8：i¨)c[i]：0x00：

DES(x1,key，x2，1)：

for(i=0：i

}

}

3.4數(shù)據(jù)安全審計(jì)

前面所提到的各站點(diǎn)工作身份認(rèn)證、訪問控制等是安全保護(hù)方面的重要技術(shù)，但是為了達(dá)到一定的安全級(jí)別，還需考慮安全審計(jì)功能。任何一種系統(tǒng)的安全保護(hù)措施都不是完美的，一些蓄意進(jìn)行破壞及盜竊的人總會(huì)想盡一切辦法來打破安全控制。審計(jì)功能會(huì)將全部用戶對(duì)數(shù)據(jù)庫(kù)數(shù)據(jù)的訪問自動(dòng)記錄放入到審計(jì)日志中去，審計(jì)人員通過監(jiān)控審計(jì)日志中的對(duì)數(shù)據(jù)庫(kù)的各種操作來確定出現(xiàn)在分布式數(shù)據(jù)庫(kù)系統(tǒng)的可能非法入侵行為,并對(duì)潛在的威脅提前加以防范措施，以免造成不必要的損失。審計(jì)主要起到對(duì)特定用戶或者是選定的對(duì)象相關(guān)的操作記錄進(jìn)行后續(xù)的查詢分析以及后期追蹤對(duì)象的依據(jù)。審計(jì)比較浪費(fèi)時(shí)間和空間，一般將其設(shè)置為可選特征，它比較適合安全性要求較高的機(jī)構(gòu)。

3.5故障恢復(fù)

通過上述數(shù)據(jù)庫(kù)安全策略的實(shí)施,感覺已經(jīng)解決了不少問題,但在分布式數(shù)據(jù)庫(kù)系統(tǒng)管理過程中,還有其他因素引發(fā)的問題：比如，介質(zhì)故障或是系統(tǒng)故障,這都會(huì)導(dǎo)致各類問題的發(fā)生,情況比較嚴(yán)重者將會(huì)破壞數(shù)據(jù)庫(kù)中部分或是全部數(shù)據(jù)，造成很嚴(yán)重的后果。那么數(shù)據(jù)庫(kù)恢復(fù)可以解決這些問題。DDBS中常采用分布式事務(wù)的兩段提交協(xié)議來應(yīng)對(duì)，大多數(shù)故障它都可以解決,唯一前提條件是DDBS中的運(yùn)行日志必須存在。

3.5.1兩階段提交協(xié)議

兩階段提交協(xié)議中，發(fā)出事務(wù)執(zhí)行的為協(xié)調(diào)者，而網(wǎng)絡(luò)內(nèi)其他協(xié)作站點(diǎn)稱為參與者。只有協(xié)調(diào)者能夠提交或撤銷事務(wù)，而所有參與者只能各自負(fù)責(zé)本地?cái)?shù)據(jù)庫(kù)中的事務(wù)操作，并向協(xié)調(diào)者進(jìn)行應(yīng)答，或提出提交或撤銷事務(wù)的意向。兩者關(guān)系如圖2所示。兩階段提交協(xié)議工作過程如下：

假如協(xié)調(diào)者決定提交事務(wù)，它通過網(wǎng)絡(luò)向所有參與者發(fā)送Prepare消息進(jìn)入第一階段也稱為表決階段。

所有參與者各自發(fā)送Ready或者Not Ready消息進(jìn)行應(yīng)答是否仍要提交事務(wù)。協(xié)調(diào)者或在事務(wù)進(jìn)行過程中一旦接收到第一個(gè)Not Ready,它將給所有參與者發(fā)送一個(gè)Global Abort消息并取消正在執(zhí)行的進(jìn)程。

圖2　DDBS協(xié)調(diào)者和參與者關(guān)系示意圖

此時(shí)進(jìn)入第二階段也稱執(zhí)行階段。參與者接收到Global Abort消息并執(zhí)行。若還有協(xié)調(diào)者從所有參與者接收到Abort ACK消息，它也將取消正在執(zhí)行的進(jìn)程。假如，所有參與者都想提交事務(wù)，它們都發(fā)送一個(gè)Ready消息，協(xié)調(diào)者則發(fā)送Global Commit消息，所有參與者確認(rèn)此動(dòng)作，之后協(xié)調(diào)者收到所有參與者的Commit ACK消息后，事務(wù)將進(jìn)行全局提交。

3.5.2各站點(diǎn)故障處理

1）如果是參與者將準(zhǔn)備好記錄寫入本地日志之前，發(fā)生故障。那么協(xié)調(diào)者發(fā)出撤銷命令，所有參與者將會(huì)全部撤銷它們的子事務(wù)。解決該故障時(shí)，發(fā)生故障的參與者只須撤銷自己的子事務(wù)，其他參與者不會(huì)受到影響。

2）如果是參與者將準(zhǔn)備好記錄寫入本地日志后，發(fā)生故障。那么其他參與者站點(diǎn)不受其影響繼續(xù)處理該事務(wù)(提交或撤銷)。解決該故障時(shí)，該參與者站點(diǎn)必須了解其他相關(guān)站點(diǎn)的情況，之后再做出相應(yīng)的執(zhí)行決定。

3）如果是協(xié)調(diào)者將準(zhǔn)備好記錄寫入日志后，在寫入正常提交或中止事務(wù)之前，發(fā)生故障。那么所有回答ready T消息的參與者必須等待協(xié)調(diào)者自行恢復(fù)后，再次把準(zhǔn)備消息發(fā)送給參與者，每個(gè)就緒的參與者必須具有識(shí)別出，這個(gè)prepare T消息是新消息還是舊消息的能力。

4）如果是協(xié)調(diào)者在日志中寫入正常提交或中止事務(wù)之后，而在日志中寫入事務(wù)完成以前，發(fā)生故障。那么協(xié)調(diào)者在恢復(fù)后，必須再次發(fā)送他的決定，沒有收到此消息的所有參與者，必須等待協(xié)調(diào)者自行恢復(fù)完畢。

5）如果是協(xié)調(diào)者在日志中寫入事務(wù)完成以后，發(fā)生故障。意味著此事務(wù)已經(jīng)全面結(jié)束，協(xié)調(diào)者在故障恢復(fù)后不做任何反應(yīng)。

4　結(jié)語(yǔ)

在實(shí)際應(yīng)用中，分布式數(shù)據(jù)庫(kù)系統(tǒng)中安全性和利用效率無法兼得，只能在互相制衡中尋求兩者的平衡點(diǎn)，單獨(dú)地采用任何一種安全策略都不能解決實(shí)際問題，應(yīng)該針對(duì)具體問題，結(jié)合多種安全機(jī)制來保障其安全性。另外,由于分布式數(shù)據(jù)庫(kù)系統(tǒng)不安全因素的不可預(yù)見性,所以，這是一項(xiàng)任重而道遠(yuǎn)，堅(jiān)持不懈的工作。

參考文獻(xiàn)：

[1]王珊，薩師煊.數(shù)據(jù)庫(kù)系統(tǒng)概論（第5版）[M].北京：高等教育出版社，2014.

[2]陳永強(qiáng).分布式數(shù)據(jù)庫(kù)系統(tǒng)安全策略分析[J].武漢：武漢工業(yè)學(xué)院學(xué)報(bào)，2003（6）.35-37.

[3]M.Tamer Ozsu,Patrick Valduriez，周立柱譯.分布式數(shù)據(jù)庫(kù)系統(tǒng)原理(第3版)[M].北京:清華大學(xué)出版社,2014.

[4]Saeed K.Rahimi,Frank S.Haug,分布式數(shù)據(jù)庫(kù)管理系統(tǒng)實(shí)踐[M].北京；清華大學(xué)出版社，2004.

[5]邵佩英.分布式數(shù)據(jù)庫(kù)系統(tǒng)及其應(yīng)用[M].北京：科學(xué)出版社，2000.

[6]江文斌，張仁津，張方霞.分布式數(shù)據(jù)庫(kù)系統(tǒng)安全策略分析[J].電腦知識(shí)與技術(shù)，2009.

[7]張樂樂.淺析分布式數(shù)據(jù)庫(kù)系統(tǒng)的安全策略[J].科技資訊，2012（19）：25-27.

*基金項(xiàng)目：2013年度甘肅省高等學(xué)?？蒲许?xiàng)目（項(xiàng)目編號(hào)：2013A-125）。

中圖分類號(hào)：P209