分布式空間數據庫安全機制探討

張福浩，張明波，張志然，張用川

(1. 中國測繪科學研究院，北京 100039； 2. 中國科學院地理科學與資源研究所資源與環境信息系統

國家重點實驗室，北京 100101； 3. 武漢大學資源與環境科學學院，湖北 武漢 430079)

Study of Distributed Spatial Database Security

ZHANG Fuhao，ZHANG Mingbo， ZHANG Zhiran，ZHANG Yongchuan

?

分布式空間數據庫安全機制探討

張福浩1，張明波2，張志然1，張用川3

(1. 中國測繪科學研究院，北京 100039； 2. 中國科學院地理科學與資源研究所資源與環境信息系統

國家重點實驗室，北京 100101； 3. 武漢大學資源與環境科學學院，湖北 武漢 430079)

Study of Distributed Spatial Database Security

ZHANG Fuhao，ZHANG Mingbo， ZHANG Zhiran，ZHANG Yongchuan

摘要：伴隨著空間數據量與應用需求的急劇增長，傳統基于單節點的空間數據庫服務模式向分布式集群服務模式擴展，面臨新的安全問題。本文梳理了空間數據庫安全的概念及其發展現狀，分析了分布式空間數據庫的安全特性及空間信息服務過程中分布式空間數據庫集群面臨的安全挑戰，提出了統一安全管理模式下“通信加密—身份認證—權限管理—數據加密—安全審計”全流程分布式地理空間信息服務安全框架，對分布式空間數據庫安全的發展有一定的借鑒意義。

關鍵詞：空間數據庫；空間大數據；數據安全；應對策略

空間數據庫擔負著空間數據存儲和信息處理的任務，在災害預警和救援、環境監測、城市規劃和軍事行動等諸多領域都得到了廣泛應用。空間中存儲的海量信息涉及自然資源、城市、交通、電力、電信、人口、軍事設施等對象的空間位置信息，若被任意使用，可能會造成巨大的損失，甚至威脅國家安全[1-2]。因此，空間數據庫安全一直是地理信息領域的一個研究重點。

目前，對空間數據庫安全沒有公認、一致的專門定義，但其內涵和外延與通用數據庫安全是基本一致的。C P Pfleeger從邏輯數據庫的完整性、物理數據庫的完整性、元素安全性、可審計性、訪問控制、身份驗證及可用性等方面對數據庫安全進行了定義[3]，受到了多數西方學者的認同；而我國大部分學者從保密性、完整性、可用性和一致性4個方面對數據庫進行了定義[4-5]。當前關于空間數據庫安全方面的研究主要集中在對數據庫自身安全的研究上[6]，常用的技術主要包括存取管理技術、安全管理技術和數據庫加密技術。存取管理技術通過程序控制數據庫中數據的存取，防止未經授權的用戶訪問數據庫。安全管理技術實現數據庫的管理權限分配，分為集中控制和分散控制兩種方式。數據庫加密防止數據庫中信息泄露，主要包括庫外加密、庫內加密、硬件加密等[7-8]。

伴隨著空間數據量與應用需求的劇烈增長，傳統基于單節點的空間數據庫服務模式已經不能滿足海量數據存儲和高并發的數據訪問需求，需要向分布式集群服務模式擴展[9]。分布式空間數據庫將物理上分散的空間數據庫組織成一個邏輯上單一的空間數據庫系統，能實現數據存儲容量的水平擴展和高并訪問的負載均衡[10-11]。在分布式模式下，空間數據庫安全需求發生了極大的變化，其內涵也更加豐富。傳統的數據安全保護技術已經不能完全滿足網絡條件下空間數據共享與不同應用的需要[12]，因此，急需發展針對分布式空間數據庫集群的新數據安全機制。

本文梳理空間數據庫安全的概念及其發展現狀，分析分布式空間數據庫的安全特性及空間信息服務過程中分布式空間數據庫集群面臨的安全挑戰，并在此基礎上提出統一安全管理模式下“通信加密—身份認證—權限管理—數據加密—安全審計”全流程分布式的地理空間信息服務安全框架。

一、分布式空間信息服務安全問題分析

本文中分布式空間數據庫是指類似于Master-Slave結構或Share Nothing彈性集群結構的分布式數據庫。相比傳統數據庫，分布式空間數據體系架構有很大不同，本節對其安全特性和數據服務過程中面臨的安全挑戰進行充分的分析。

1. 分布式空間數據庫安全特性分析

與傳統數據庫相比，分布式空間數據庫具有物理分布性、邏輯整體性、節點自治性、節點間協調性和冗余容錯性5個特點，這些特點對空間數據安全提出了新的要求，表現出以下安全特性。

(1) 分布性

存入分布式空間數據庫中的數據往往被切分成細小的數據塊分散地存儲在不同的數據庫節點上，數據庫節點之間通過網絡進行通信和數據交換。分布式空間數據庫的安全應該是構成數據庫集群的各節點安全之和，任何一個節點的安全漏洞都可能影響全局的安全。因此，應該充分考慮分布式空間數據庫每個節點的安全。

(2) 網絡相關性

空間分布式數據庫各節點通過通信網絡傳輸數據和交換信息，集群內部的通信網絡亦即成為了數據庫安全的考慮對象。數據庫集群內部的通信應該采用加密網絡，支持加密協議對通信內容進行加密，同時，大量空間數據在集群間交換給通信網絡造成了壓力，要求對空間數據加密不能以犧牲過多的時間為前提。

(3) 全局性

分布式空間數據庫中的數據物理上分散在各個節點上， 但這些分散的數據邏輯上卻是一個整體，能夠被所有用戶透明訪問。一般的，分布式數據庫提供了多個數據訪問入口，以便實現負載均衡并避免單節點故障。每個入口都可以訪問到全體數據，而眾多訪問入口可能成為安全防護的弱點，這就要求分布式空間數據需對外隱藏其內部體系結構。

(4) 容錯性

各節點上的數據由本節點的空間數據庫管理系統管理，具有自治處理能力，完成本節點的應用。同時，節點之間相互無障礙通信，檢測心跳，數據庫節點往往通過相互冗余備份方式保證數據庫的可靠性、可用性和改善系統的性能。這也體現了分布式空間數據庫安全也應該具有容錯性，對安全管理提出了更多挑戰。

2. 分布式空間信息服務安全問題分析

結合空間信息服務過程，分析了分布式空間數據庫存在的安全問題。與傳統空間信息服務類似，分布式空間信息服務可以簡單分為客戶端、應用端和數據庫端，但數據庫采用分布式集群技術存儲數據。通常，空間信息服務系統按層次可以分為客戶端、應用層和數據存儲層，空間數據服務模式如下：客戶發送信息請求給應用服務器，應用服務器根據請求內容向分布式數據庫發出數據請求，分布式數據庫管理系統根據數據請求內容操作數據庫返回數據給應用服務器，應用服務器進行處理后再返回結果給用戶，而這一切都通過網絡進行。這個過程涉及客戶端安全問題、應用安全問題和數據庫本身安全問題，如圖1所示。

圖1　分布式空間數據服務面臨的安全威脅分析

(1) 客戶端安全問題分析

客戶端是用戶獲取地理空間信息和服務的入口，主要功能包括用戶登錄認證，數據、服務獲取交互操作，數據展示等。面臨的安全威脅包括非認證的用戶登錄、服務操作接口入侵和網絡偵聽。

(2) 應用層安全問題分析

應用層為用戶提供各種地理空間數據處理及數據服務，主要由Web服務器和應用服務器構成。應用層服務器要實現其功能，需從分布式空間數據庫系統讀取數據進行處理，因此保存了訪問分布式空間數據庫的配置文件等信息。面臨的安全威脅包括配置文件暴露、系統架構和連接細節信息泄露、網絡偵聽。

(3) 數據庫層安全問題分析

數據庫層即分布式空間數據庫系統本身，由多個數據庫節點組成。數據通常被劃分為數據片段存儲在各數據庫，節點之間通過網絡連接。存在的安全威脅包括非身份認證登錄、敏感信息泄露、非授權的數據操作和網絡偵聽。

二、分布式空間數據服務安全框架

為應對上述挑戰和問題，本文提出了統一安全管理模式下“通信加密—身份認證—權限管理—數據加密—安全審計”全流程分布式地理空間信息服務安全框架。該框架分為兩層架構，其中安全統一管理模塊對其他5個部分實現整體管理，以降低安全管理的復雜性；其他部分包括通信加密、身份認證、權限管理、安全審計和數據加密4個部分，在分布式空間數據庫安全體系中，根據安全需求，可以選擇單獨或疊加使用實施層中任意模塊，提供更為復雜的層次安全體系?？蚣芸傮w結構如圖2所示。

圖2　分布式空間數據庫安全策略

1. 統一安全管理

為提供一致性的安全管理，分布式空間數據庫集群需要一個集中的用戶接口。這個接口可以用來統一定義、管理分布式空間數據庫的安全規則。

2. 通信加密

通信加密即對通過網絡傳輸的數據進行加密處理，可以防止網絡監聽。圍繞分布式空間數據庫的網絡可以分為外部服務網絡和內部數據庫集群網絡，外部服務通信和數據服務一般通過HTTP、DTP和JDBC等協議和接口進行，內部通信一般通過RPC、HTTP等協議進行。通常要求支持MD5、SHA-1等散列算法和SSL通信協議。

3. 身份認證

建立用戶認證體系是分布式空間數據庫集群的基本安全訪問措施。用戶的身份信息需要得到可靠的確認，然后才能用這個身份在集群間訪問數據庫、數據表等資源，以及對數據進行操作。認證方式包括操作系統認證、數據庫認證、中間層認證和第三方認證 4 種。

4. 權限管理

數據庫中的數據安全主要依靠的是在身份認證的基礎上，根據訪問者的身份對其提出的資源訪問請求加以控制。常用的權限管理方法包括主動性權限控制、強制性權限控制和基于角色的權限控制。

5. 安全審計

安全審計是一種基本的安全機制，主要用于記錄用戶對數據庫所進行的訪問請求及對數據所執行的操作，并幫助檢測是否存在非法入侵行為或授權用戶對權限是否存在誤用。安全審計也需要通過身份認證方式獲得訪問數據庫系統的用戶的真實身份，從而記錄下真實身份用戶對數據庫所進行的各項操作。一般包括SQL 語句審計、特權審計、Schema Object審計、細粒度審計。

6. 數據保護

在數據庫中，可能存在一些相對更為敏感的數據，這些數據不應當以明文的形式進行保存，而應該以加密的形式保存在數據庫中。一般而言，可以通過哈希算法對敏感數據進行加密。加密方法包括對稱加密(3DES、AES)，非對稱加密(RSA)和其他加密方法(IDEA)。不同加密方法有不同特性。

分布式空間數據庫安全框架體現預防與管控的原則，涵蓋了分布式空間數據庫日常安全管理的內容，在分布式空間數據庫安全管理中，合理選擇安全技術與控制方法來保護數據庫中的信息安全，使安全風險降到最低，確保數據庫內信息的保密性、完整性、可用性和一致性。

三、結束語

地理空間信息作為國家戰略性基礎資源在經濟社會軍事等領域得到廣泛應用，其安全也越來越受到重視。在空間大數據背景下，空間數據的存儲模式從傳統單機空間數據庫模式向適合在云端部署的分布式空間數據庫模式轉變，其自身的分布式特點和服務環境對空間分布式數據庫安全提出了新的要求。正確認識新環境下地理信息數據的安全問題，研究和制定相應的應對策略，是保障地理信息安全、實現測繪地理信息產業健康有序發展的重要保證。本文重點對分布式空間數據庫安全進行了探討，提出了統一安全管理模式下“通信加密—身份認證—權限管理—數據加密—安全審計”全流程分布式地理空間信息服務安全框架。該框架涵蓋了地理信息服務的整個流程，對分布式空間數據庫安全的研究發展有一定的指導意義。在具有特定環境和特殊技術需求的分布式空間數據庫系統中，可以在該框架的基礎上結合用戶自身實際情況進行必要的擴充與修整。

參考文獻：

[1]李東風, 謝昕. 數據庫安全技術研究與應用[J]. 計算機安全，2008(1):42-44.

[2]蔡先華. GIS-T空間數據庫管理與應用關鍵技術研究[J]. 測繪學報，2007,36(4):476.

[3]PFLEEGER C, PFLEEGER S L. Security in Computing[M]. 4th Ed.[S.l.]：Prentice Hall，2006.

[4]中華人民共和國公安部.計算機信息系統安全等級保護數據庫管理系統技術要求：GAT 389—2002[S].北京：中國標準出版社，2002. 行業標準-公共安全標準, 2002.

[5]吳溥峰, 張玉清. 數據庫安全綜述[J]. 計算機工程，2006,32(12):85-88.

[6]張敏. 數據庫安全研究現狀與展望[J]. 中國科學院院刊，2011(3):303-309.

[7]張建軍. 淺析數據庫系統管理加密技術及其應用[J]. 甘肅高師學報，2006,11(5):79-80.

[8]GRACHEV V M, ESIN V I, POLUKHINA N G, et al. Data Security Mechanisms Implemented in the Database with Universal Model[J]. Bulletin of the Lebedev Physics Institute，2014,41(5):123-126.

[9]GUPTA G K, SHARMA A K, SWAROOP V. A Permutation Gigantic Issues in Mobile Real Time Distributed Database: Consistency & Security[J]. International Journal on Computer Science and Engineering，2011,3(2):884.

[10]OZSU M M, VALDURIEZ P. Principles of Distributed Database Systems [M]. [S.l.]：Prentice Hall，1999.

[11]DEVOGELE T. On Spatial Database Integration [J]. Geographical Information Science， 1998,12(4)：335-352.

[12]朱良根, 雷振甲, 張玉清. 數據庫安全技術研究[J]. 計算機應用研究，2004(9):127-129.

引文格式： 張福浩，張明波，張志然，等. 分布式空間數據庫安全機制探討[J].測繪通報，2016(1)：41-44.DOI:10.13474/j.cnki.11-2246.2016.0010.

通信作者：張志然

作者簡介：張福浩(1973—)，男，博士，研究員，主要從事政府地理信息服務相關研究。E-mail: zhangfh@casm.ac.cn

基金項目：測繪地理信息公益性行業科研專項經費(201512032)；中國測繪科學研究院基本科研業務費(7771414)

收稿日期：2015-12-14

中圖分類號：P208

文獻標識碼：B

文章編號：0494-0911(2016)01-0041-04