謝娟文，焦愛勝（.蘭州理工大學(xué)技術(shù)工程學(xué)院，甘肅蘭州730050；.蘭州工業(yè)學(xué)院機電工程學(xué)院，甘肅蘭州730050）

?

分布式數(shù)據(jù)庫的安全性及其防護策略*

謝娟文1，焦愛勝2
（1.蘭州理工大學(xué)技術(shù)工程學(xué)院，甘肅蘭州730050；2.蘭州工業(yè)學(xué)院機電工程學(xué)院，甘肅蘭州730050）

摘要：根據(jù)分布式數(shù)據(jù)庫體系結(jié)構(gòu)的特點必然會引發(fā)分布式數(shù)據(jù)庫中數(shù)據(jù)的安全性問題。本文分析了該系統(tǒng)的體系結(jié)構(gòu)和各類不安全因素,對經(jīng)常采用的安全策略進行了比較,分析了它們各自存在的優(yōu)劣特性。

關(guān)鍵詞：分布式數(shù)據(jù)庫；安全策略；身份認證；訪問權(quán)限控制；數(shù)據(jù)加密

1　概述

分布式數(shù)據(jù)庫系統(tǒng)（DDBS）是由分布式數(shù)據(jù)庫管理系統(tǒng)(DDBMS)與分布式數(shù)據(jù)庫(DDB)兩部分組成,是數(shù)據(jù)庫技術(shù)與計算機網(wǎng)絡(luò)技術(shù)相結(jié)合的產(chǎn)物[1]。分布式數(shù)據(jù)庫系統(tǒng)的提出，是由于各類用戶對數(shù)據(jù)共享的不同需求交叉地分散于企業(yè)或不同部門當中，而它應(yīng)需而生,來管理這些分布式的數(shù)據(jù)。使用分布式數(shù)據(jù)庫不僅可利用自身的資源和條件，還可最大范圍地利用網(wǎng)絡(luò)當中的站點資源，這樣就突顯出一個很具體的問題——數(shù)據(jù)庫的安全性，處理不好這個問題將直接影響到分布式數(shù)據(jù)庫系統(tǒng)的穩(wěn)定性和完整性。

2　分布式數(shù)據(jù)庫體系結(jié)構(gòu)及數(shù)據(jù)安全性

2.1分布式數(shù)據(jù)庫體系結(jié)構(gòu)

分布式數(shù)據(jù)庫系統(tǒng)可看成是一些數(shù)據(jù)集合，邏輯上屬于統(tǒng)一的一個整體，物理上則是各自分散存儲在每個站點，要求它們必須連接于計算機網(wǎng)絡(luò)當中，并且具有場地自治的能力，同時統(tǒng)一地被DDBS管理。這與集中式數(shù)據(jù)庫有著顯著的區(qū)別。LDBMS(本地數(shù)據(jù)庫管理系統(tǒng))服務(wù)本地數(shù)據(jù)庫和全局查詢的子查詢等任務(wù)。GDBMS(全局數(shù)據(jù)庫管理系統(tǒng))主要來協(xié)調(diào)全局事務(wù)的執(zhí)行。CM(通信管理器)負責各場地之間信息的傳遞，提供支持分布式事務(wù)的相應(yīng)通信機制，其體系結(jié)構(gòu)如圖1所示。

圖1　分布式數(shù)據(jù)庫系統(tǒng)體系結(jié)構(gòu)

2.2分布式數(shù)據(jù)庫數(shù)據(jù)安全性

與傳統(tǒng)集中式數(shù)據(jù)庫比較，DDBS安全性目標包括以下幾個方面：

1)數(shù)據(jù)的完整性。包括數(shù)據(jù)庫數(shù)據(jù)中物理完整性、邏輯完整性和元素完整性。

2)數(shù)據(jù)的保密性。包括數(shù)據(jù)庫中用戶身份鑒別、訪問控制、對推理攻擊的防范、可審計性、防止隱蔽信道攻擊和語義保密性等。

3)數(shù)據(jù)的可用性。包括系統(tǒng)錯誤導(dǎo)致的數(shù)據(jù)庫破壞、修復(fù)系統(tǒng)時數(shù)據(jù)庫破壞以及清除數(shù)據(jù)庫垃圾等。

分布式數(shù)據(jù)庫不安全因素包括：數(shù)據(jù)在各站點上的不安全、訪問數(shù)據(jù)時不安全和數(shù)據(jù)傳輸過程中的不安全。一般的，有未授權(quán)的信息泄露、非授權(quán)的數(shù)據(jù)修改、拒絕服務(wù)等安全威脅。具體的安全隱患有竊聽、越權(quán)攻擊、假冒攻擊、破譯密文，迂回攻擊以及重發(fā)攻擊等形式。對于DDBS而言明確網(wǎng)絡(luò)中的合法身份的程序變得復(fù)雜了，在網(wǎng)絡(luò)中傳輸信息的風險也隨之俱增，采取聯(lián)合訪問控制手段顯得很有必要。

3　分布式數(shù)據(jù)庫數(shù)據(jù)安全策略

根據(jù)分布式數(shù)據(jù)庫數(shù)據(jù)安全性,要消除安全隱患，滿足數(shù)據(jù)安全需求，通常采取身份認證、提高保密性、訪問控制、數(shù)據(jù)加密、安全審計以及故障恢復(fù)等安全策略。

3.1各工作站點的身份認證和訪問控制

在對數(shù)據(jù)庫中的數(shù)據(jù)進行操作之前，為了防止非法用戶進行各種可能的非正常操作,必須在工作客戶端和數(shù)據(jù)庫服務(wù)器上進行不同的身份驗證。身份認證技術(shù)從單一、簡單、靜態(tài)認證發(fā)展到復(fù)雜、動態(tài)認證，各有其優(yōu)劣。通常可采用以下幾種：靜態(tài)口令鑒別，一般由用戶自行設(shè)定，安全性比較低。動態(tài)口令鑒別是目前較為安全的一種方式，此方式的口令是動態(tài)變化的，每次登錄動態(tài)生成新口令主，采用一次一密的方法，安全性相對較高。若保密級別高可采用生物特征認證技術(shù)，如指紋、虹膜和掌紋等，安全性較高。還可采用智能卡與個人身分識別相結(jié)合的方式。

合法的用戶訪問控制有兩種形式：自主存取控制和強制存取控制。前一種是可由系統(tǒng)管理員來進行訪問控制表設(shè)定,明確用戶對何種數(shù)據(jù)對象才能進行什么樣的操作權(quán)限。后一種則是按照TDI/ TCSEC標準中安全策略的要求采取強制存取檢查手段，分別給系統(tǒng)內(nèi)的主體即管理的實際用戶和客體分別指定一個敏感度級別,然后根據(jù)主體的安全級別和客體的保密度級別對應(yīng)關(guān)系,以及它們之間遵循的規(guī)則來對數(shù)據(jù)庫內(nèi)容進行存取。如為了使數(shù)據(jù)庫的安全操作得以保障,引入對用戶權(quán)限的控制技術(shù)，可在DDBMS中把數(shù)據(jù)庫的用戶分為客戶、使用者和管理者3級，對其讀寫權(quán)限分別進行相應(yīng)的設(shè)置。

3.2提高保密性

用戶通過不同方式的身份認證后,才能進一步地進行數(shù)據(jù)傳輸。實際應(yīng)用中傳輸?shù)臄?shù)據(jù)量比較大，為了防止在傳輸過程中因非法攻擊所造成的泄密問題，必須對所要傳輸?shù)臄?shù)據(jù)進行加密。也可實行實時入侵檢測的方法,在通信雙方之間有必要建立安全的私用通信通道。

3.3數(shù)據(jù)庫數(shù)據(jù)加密

對于一些保密機構(gòu)，數(shù)據(jù)庫系統(tǒng)中存儲著高敏感性數(shù)據(jù),在管理過程中,為了防止數(shù)據(jù)庫中數(shù)據(jù)在存儲過程及傳輸中失密，對數(shù)據(jù)庫數(shù)據(jù)進行存儲加密以及傳輸加密，從而使非法用戶無法來獲知數(shù)據(jù)的內(nèi)容。

3.3.1非對稱密碼

為了防止非法入侵者的主動攻擊和被動攻擊，可以采用CIA三元組的概念達到相應(yīng)的安全目標。實際應(yīng)用最廣泛的是非對稱密碼體制（公鑰密碼），它的原理是加密和解密使用不同的密鑰，一公一私兩個密鑰。公鑰算法的基礎(chǔ)是數(shù)學(xué)函數(shù)，不同于代替和置換。RSA加密算法最具代表性，它的算法實現(xiàn)有3個過程：密鑰產(chǎn)生（生成公鑰和密鑰），加密過程以及解密過程。攻擊RSA的困難性在于尋找大合數(shù)的素因子。

3.3.2加密粒度

加密粒度指以表、記錄、域或數(shù)據(jù)元素為單位的加密和解密方式。數(shù)據(jù)加密和解密可以保證重要數(shù)據(jù)對象的安全性，但以耗費大量的系統(tǒng)資為代價。為了提高對數(shù)據(jù)庫數(shù)據(jù)的訪問速度，在DDBS中可以調(diào)整加密的粒度。實踐得出結(jié)論，加密粒度分別與加密密鑰的數(shù)量、密鑰管理的復(fù)雜性度、系統(tǒng)開銷都成反比關(guān)系。

3.3.3加密方式

1）數(shù)據(jù)庫外部加密。具體實現(xiàn)方法為在分布式數(shù)據(jù)庫外增加一個加密層專門負責對數(shù)據(jù)加解密。這類方式，對DDBS的依賴性比較小，實現(xiàn)起來比較簡單，缺點是付出的時空代價大，并且速度慢。

2）數(shù)據(jù)庫內(nèi)部加密。具體實現(xiàn)方法是在數(shù)據(jù)庫的內(nèi)模式，物理模式之間增加一個加密層讓它來負責對數(shù)據(jù)加解密。這類方式，對DDBS的依賴性強，實現(xiàn)比較復(fù)雜且成本大，優(yōu)點是安全性能更高。

3.3.4傳輸加密與密鑰管理

在分布式數(shù)據(jù)庫系統(tǒng)運作過程當中,常見的有基于安全套接層協(xié)議的端到端的可信傳輸方案。通信雙方需要協(xié)商建立可信連接，一次會話采用一個密鑰，數(shù)據(jù)在發(fā)送方加密，而在接收方進行解密，能夠有效地降低重放攻擊和惡意篡改的風險，假如有第三方對密文時進行任何篡改，都會被真實地接收方通過摘要算法加以識別，并且解決了密鑰存儲的問題。加密后安全性得到了進一步的提升，但增加了相應(yīng)的查詢處理復(fù)雜性，查詢效率會大打折扣，因此,我們就根據(jù)安全可信度級別分別采用各自適應(yīng)的的密碼體制。

如一電子商務(wù)系統(tǒng)在服務(wù)器端解密可用如下程序?qū)崿F(xiàn)：

itit main()

{

while((Rum=recv(connectfd,revbuf, MAXDATASIZE,0))>0)

{

revbuf[num]=’＼0’:

wordkey[8]={’x’，’y’，’z’，’i’，’m’，’f’，’k’，’t’}：

wordi，x1[8]，x2[8]：

for(i=0：revbuf[i]! =’＼0’：i+T)N=i：

if((N+I)<8){

for(i=0：i((N+I)：i++)

for(i=(N+I)：i<8：i++)

DES(x1，key，x2，1)：

for(i=0：i

}

else{

M=N／8：

flag0=0：

flagl：l：

for(i=0：i

for(j=0：j<8：j++)C[j]=reVbuf[fla90+j]

DES(x1，key，x2，1)：

for(i=0：i<8：i++)unencryptbuf[flagl十i]=x1[i]

flagl+：8：

flag0+=8：

}

for(i=0；i

for(i：N%8：i<8：i¨)c[i]：0x00：

DES(x1,key，x2，1)：

for(i=0：i

}

}

3.4數(shù)據(jù)安全審計

前面所提到的各站點工作身份認證、訪問控制等是安全保護方面的重要技術(shù)，但是為了達到一定的安全級別，還需考慮安全審計功能。任何一種系統(tǒng)的安全保護措施都不是完美的，一些蓄意進行破壞及盜竊的人總會想盡一切辦法來打破安全控制。審計功能會將全部用戶對數(shù)據(jù)庫數(shù)據(jù)的訪問自動記錄放入到審計日志中去，審計人員通過監(jiān)控審計日志中的對數(shù)據(jù)庫的各種操作來確定出現(xiàn)在分布式數(shù)據(jù)庫系統(tǒng)的可能非法入侵行為,并對潛在的威脅提前加以防范措施，以免造成不必要的損失。審計主要起到對特定用戶或者是選定的對象相關(guān)的操作記錄進行后續(xù)的查詢分析以及后期追蹤對象的依據(jù)。審計比較浪費時間和空間，一般將其設(shè)置為可選特征，它比較適合安全性要求較高的機構(gòu)。

3.5故障恢復(fù)

通過上述數(shù)據(jù)庫安全策略的實施,感覺已經(jīng)解決了不少問題,但在分布式數(shù)據(jù)庫系統(tǒng)管理過程中,還有其他因素引發(fā)的問題：比如，介質(zhì)故障或是系統(tǒng)故障,這都會導(dǎo)致各類問題的發(fā)生,情況比較嚴重者將會破壞數(shù)據(jù)庫中部分或是全部數(shù)據(jù)，造成很嚴重的后果。那么數(shù)據(jù)庫恢復(fù)可以解決這些問題。DDBS中常采用分布式事務(wù)的兩段提交協(xié)議來應(yīng)對，大多數(shù)故障它都可以解決,唯一前提條件是DDBS中的運行日志必須存在。

3.5.1兩階段提交協(xié)議

兩階段提交協(xié)議中，發(fā)出事務(wù)執(zhí)行的為協(xié)調(diào)者，而網(wǎng)絡(luò)內(nèi)其他協(xié)作站點稱為參與者。只有協(xié)調(diào)者能夠提交或撤銷事務(wù)，而所有參與者只能各自負責本地數(shù)據(jù)庫中的事務(wù)操作，并向協(xié)調(diào)者進行應(yīng)答，或提出提交或撤銷事務(wù)的意向。兩者關(guān)系如圖2所示。兩階段提交協(xié)議工作過程如下：

假如協(xié)調(diào)者決定提交事務(wù)，它通過網(wǎng)絡(luò)向所有參與者發(fā)送Prepare消息進入第一階段也稱為表決階段。

所有參與者各自發(fā)送Ready或者Not Ready消息進行應(yīng)答是否仍要提交事務(wù)。協(xié)調(diào)者或在事務(wù)進行過程中一旦接收到第一個Not Ready,它將給所有參與者發(fā)送一個Global Abort消息并取消正在執(zhí)行的進程。

圖2　DDBS協(xié)調(diào)者和參與者關(guān)系示意圖

此時進入第二階段也稱執(zhí)行階段。參與者接收到Global Abort消息并執(zhí)行。若還有協(xié)調(diào)者從所有參與者接收到Abort ACK消息，它也將取消正在執(zhí)行的進程。假如，所有參與者都想提交事務(wù)，它們都發(fā)送一個Ready消息，協(xié)調(diào)者則發(fā)送Global Commit消息，所有參與者確認此動作，之后協(xié)調(diào)者收到所有參與者的Commit ACK消息后，事務(wù)將進行全局提交。

3.5.2各站點故障處理

1）如果是參與者將準備好記錄寫入本地日志之前，發(fā)生故障。那么協(xié)調(diào)者發(fā)出撤銷命令，所有參與者將會全部撤銷它們的子事務(wù)。解決該故障時，發(fā)生故障的參與者只須撤銷自己的子事務(wù)，其他參與者不會受到影響。

2）如果是參與者將準備好記錄寫入本地日志后，發(fā)生故障。那么其他參與者站點不受其影響繼續(xù)處理該事務(wù)(提交或撤銷)。解決該故障時，該參與者站點必須了解其他相關(guān)站點的情況，之后再做出相應(yīng)的執(zhí)行決定。

3）如果是協(xié)調(diào)者將準備好記錄寫入日志后，在寫入正常提交或中止事務(wù)之前，發(fā)生故障。那么所有回答ready T消息的參與者必須等待協(xié)調(diào)者自行恢復(fù)后，再次把準備消息發(fā)送給參與者，每個就緒的參與者必須具有識別出，這個prepare T消息是新消息還是舊消息的能力。

4）如果是協(xié)調(diào)者在日志中寫入正常提交或中止事務(wù)之后，而在日志中寫入事務(wù)完成以前，發(fā)生故障。那么協(xié)調(diào)者在恢復(fù)后，必須再次發(fā)送他的決定，沒有收到此消息的所有參與者，必須等待協(xié)調(diào)者自行恢復(fù)完畢。

5）如果是協(xié)調(diào)者在日志中寫入事務(wù)完成以后，發(fā)生故障。意味著此事務(wù)已經(jīng)全面結(jié)束，協(xié)調(diào)者在故障恢復(fù)后不做任何反應(yīng)。

4　結(jié)語

在實際應(yīng)用中，分布式數(shù)據(jù)庫系統(tǒng)中安全性和利用效率無法兼得，只能在互相制衡中尋求兩者的平衡點，單獨地采用任何一種安全策略都不能解決實際問題，應(yīng)該針對具體問題，結(jié)合多種安全機制來保障其安全性。另外,由于分布式數(shù)據(jù)庫系統(tǒng)不安全因素的不可預(yù)見性,所以，這是一項任重而道遠，堅持不懈的工作。

參考文獻：

[1]王珊，薩師煊.數(shù)據(jù)庫系統(tǒng)概論（第5版）[M].北京：高等教育出版社，2014.

[2]陳永強.分布式數(shù)據(jù)庫系統(tǒng)安全策略分析[J].武漢：武漢工業(yè)學(xué)院學(xué)報，2003（6）.35-37.

[3]M.Tamer Ozsu,Patrick Valduriez，周立柱譯.分布式數(shù)據(jù)庫系統(tǒng)原理(第3版)[M].北京:清華大學(xué)出版社,2014.

[4]Saeed K.Rahimi,Frank S.Haug,分布式數(shù)據(jù)庫管理系統(tǒng)實踐[M].北京；清華大學(xué)出版社，2004.

[5]邵佩英.分布式數(shù)據(jù)庫系統(tǒng)及其應(yīng)用[M].北京：科學(xué)出版社，2000.

[6]江文斌，張仁津，張方霞.分布式數(shù)據(jù)庫系統(tǒng)安全策略分析[J].電腦知識與技術(shù)，2009.

[7]張樂樂.淺析分布式數(shù)據(jù)庫系統(tǒng)的安全策略[J].科技資訊，2012（19）：25-27.

*基金項目：2013年度甘肅省高等學(xué)?？蒲许椖浚椖烤幪枺?013A-125）。

中圖分類號：P209