分布式空间数据库安全机制探讨

张福浩，张明波，张志然，张用川

(1. 中国测绘科学研究院，北京 100039； 2. 中国科学院地理科学与资源研究所资源与环境信息系统

国家重点实验室，北京 100101； 3. 武汉大学资源与环境科学学院，湖北 武汉 430079)

Study of Distributed Spatial Database Security

ZHANG Fuhao，ZHANG Mingbo， ZHANG Zhiran，ZHANG Yongchuan



分布式空间数据库安全机制探讨

张福浩1，张明波2，张志然1，张用川3

(1. 中国测绘科学研究院，北京 100039； 2. 中国科学院地理科学与资源研究所资源与环境信息系统

国家重点实验室，北京 100101； 3. 武汉大学资源与环境科学学院，湖北 武汉 430079)

Study of Distributed Spatial Database Security

ZHANG Fuhao，ZHANG Mingbo， ZHANG Zhiran，ZHANG Yongchuan

摘要：伴随着空间数据量与应用需求的急剧增长，传统基于单节点的空间数据库服务模式向分布式集群服务模式扩展，面临新的安全问题。本文梳理了空间数据库安全的概念及其发展现状，分析了分布式空间数据库的安全特性及空间信息服务过程中分布式空间数据库集群面临的安全挑战，提出了统一安全管理模式下“通信加密—身份认证—权限管理—数据加密—安全审计”全流程分布式地理空间信息服务安全框架，对分布式空间数据库安全的发展有一定的借鉴意义。

关键词：空间数据库；空间大数据；数据安全；应对策略

空间数据库担负着空间数据存储和信息处理的任务，在灾害预警和救援、环境监测、城市规划和军事行动等诸多领域都得到了广泛应用。空间中存储的海量信息涉及自然资源、城市、交通、电力、电信、人口、军事设施等对象的空间位置信息，若被任意使用，可能会造成巨大的损失，甚至威胁国家安全[1-2]。因此，空间数据库安全一直是地理信息领域的一个研究重点。

目前，对空间数据库安全没有公认、一致的专门定义，但其内涵和外延与通用数据库安全是基本一致的。C P Pfleeger从逻辑数据库的完整性、物理数据库的完整性、元素安全性、可审计性、访问控制、身份验证及可用性等方面对数据库安全进行了定义[3]，受到了多数西方学者的认同；而我国大部分学者从保密性、完整性、可用性和一致性4个方面对数据库进行了定义[4-5]。当前关于空间数据库安全方面的研究主要集中在对数据库自身安全的研究上[6]，常用的技术主要包括存取管理技术、安全管理技术和数据库加密技术。存取管理技术通过程序控制数据库中数据的存取，防止未经授权的用户访问数据库。安全管理技术实现数据库的管理权限分配，分为集中控制和分散控制两种方式。数据库加密防止数据库中信息泄露，主要包括库外加密、库内加密、硬件加密等[7-8]。

伴随着空间数据量与应用需求的剧烈增长，传统基于单节点的空间数据库服务模式已经不能满足海量数据存储和高并发的数据访问需求，需要向分布式集群服务模式扩展[9]。分布式空间数据库将物理上分散的空间数据库组织成一个逻辑上单一的空间数据库系统，能实现数据存储容量的水平扩展和高并访问的负载均衡[10-11]。在分布式模式下，空间数据库安全需求发生了极大的变化，其内涵也更加丰富。传统的数据安全保护技术已经不能完全满足网络条件下空间数据共享与不同应用的需要[12]，因此，急需发展针对分布式空间数据库集群的新数据安全机制。

本文梳理空间数据库安全的概念及其发展现状，分析分布式空间数据库的安全特性及空间信息服务过程中分布式空间数据库集群面临的安全挑战，并在此基础上提出统一安全管理模式下“通信加密—身份认证—权限管理—数据加密—安全审计”全流程分布式的地理空间信息服务安全框架。

一、分布式空间信息服务安全问题分析

本文中分布式空间数据库是指类似于Master-Slave结构或Share Nothing弹性集群结构的分布式数据库。相比传统数据库，分布式空间数据体系架构有很大不同，本节对其安全特性和数据服务过程中面临的安全挑战进行充分的分析。

1. 分布式空间数据库安全特性分析

与传统数据库相比，分布式空间数据库具有物理分布性、逻辑整体性、节点自治性、节点间协调性和冗余容错性5个特点，这些特点对空间数据安全提出了新的要求，表现出以下安全特性。

(1) 分布性

存入分布式空间数据库中的数据往往被切分成细小的数据块分散地存储在不同的数据库节点上，数据库节点之间通过网络进行通信和数据交换。分布式空间数据库的安全应该是构成数据库集群的各节点安全之和，任何一个节点的安全漏洞都可能影响全局的安全。因此，应该充分考虑分布式空间数据库每个节点的安全。

(2) 网络相关性

空间分布式数据库各节点通过通信网络传输数据和交换信息，集群内部的通信网络亦即成为了数据库安全的考虑对象。数据库集群内部的通信应该采用加密网络，支持加密协议对通信内容进行加密，同时，大量空间数据在集群间交换给通信网络造成了压力，要求对空间数据加密不能以牺牲过多的时间为前提。

(3) 全局性

分布式空间数据库中的数据物理上分散在各个节点上， 但这些分散的数据逻辑上却是一个整体，能够被所有用户透明访问。一般的，分布式数据库提供了多个数据访问入口，以便实现负载均衡并避免单节点故障。每个入口都可以访问到全体数据，而众多访问入口可能成为安全防护的弱点，这就要求分布式空间数据需对外隐藏其内部体系结构。

(4) 容错性

各节点上的数据由本节点的空间数据库管理系统管理，具有自治处理能力，完成本节点的应用。同时，节点之间相互无障碍通信，检测心跳，数据库节点往往通过相互冗余备份方式保证数据库的可靠性、可用性和改善系统的性能。这也体现了分布式空间数据库安全也应该具有容错性，对安全管理提出了更多挑战。

2. 分布式空间信息服务安全问题分析

结合空间信息服务过程，分析了分布式空间数据库存在的安全问题。与传统空间信息服务类似，分布式空间信息服务可以简单分为客户端、应用端和数据库端，但数据库采用分布式集群技术存储数据。通常，空间信息服务系统按层次可以分为客户端、应用层和数据存储层，空间数据服务模式如下：客户发送信息请求给应用服务器，应用服务器根据请求内容向分布式数据库发出数据请求，分布式数据库管理系统根据数据请求内容操作数据库返回数据给应用服务器，应用服务器进行处理后再返回结果给用户，而这一切都通过网络进行。这个过程涉及客户端安全问题、应用安全问题和数据库本身安全问题，如图1所示。

图1　分布式空间数据服务面临的安全威胁分析

(1) 客户端安全问题分析

客户端是用户获取地理空间信息和服务的入口，主要功能包括用户登录认证，数据、服务获取交互操作，数据展示等。面临的安全威胁包括非认证的用户登录、服务操作接口入侵和网络侦听。

(2) 应用层安全问题分析

应用层为用户提供各种地理空间数据处理及数据服务，主要由Web服务器和应用服务器构成。应用层服务器要实现其功能，需从分布式空间数据库系统读取数据进行处理，因此保存了访问分布式空间数据库的配置文件等信息。面临的安全威胁包括配置文件暴露、系统架构和连接细节信息泄露、网络侦听。

(3) 数据库层安全问题分析

数据库层即分布式空间数据库系统本身，由多个数据库节点组成。数据通常被划分为数据片段存储在各数据库，节点之间通过网络连接。存在的安全威胁包括非身份认证登录、敏感信息泄露、非授权的数据操作和网络侦听。

二、分布式空间数据服务安全框架

为应对上述挑战和问题，本文提出了统一安全管理模式下“通信加密—身份认证—权限管理—数据加密—安全审计”全流程分布式地理空间信息服务安全框架。该框架分为两层架构，其中安全统一管理模块对其他5个部分实现整体管理，以降低安全管理的复杂性；其他部分包括通信加密、身份认证、权限管理、安全审计和数据加密4个部分，在分布式空间数据库安全体系中，根据安全需求，可以选择单独或叠加使用实施层中任意模块，提供更为复杂的层次安全体系。框架总体结构如图2所示。

图2　分布式空间数据库安全策略

1. 统一安全管理

为提供一致性的安全管理，分布式空间数据库集群需要一个集中的用户接口。这个接口可以用来统一定义、管理分布式空间数据库的安全规则。

2. 通信加密

通信加密即对通过网络传输的数据进行加密处理，可以防止网络监听。围绕分布式空间数据库的网络可以分为外部服务网络和内部数据库集群网络，外部服务通信和数据服务一般通过HTTP、DTP和JDBC等协议和接口进行，内部通信一般通过RPC、HTTP等协议进行。通常要求支持MD5、SHA-1等散列算法和SSL通信协议。

3. 身份认证

建立用户认证体系是分布式空间数据库集群的基本安全访问措施。用户的身份信息需要得到可靠的确认，然后才能用这个身份在集群间访问数据库、数据表等资源，以及对数据进行操作。认证方式包括操作系统认证、数据库认证、中间层认证和第三方认证 4 种。

4. 权限管理

数据库中的数据安全主要依靠的是在身份认证的基础上，根据访问者的身份对其提出的资源访问请求加以控制。常用的权限管理方法包括主动性权限控制、强制性权限控制和基于角色的权限控制。

5. 安全审计

安全审计是一种基本的安全机制，主要用于记录用户对数据库所进行的访问请求及对数据所执行的操作，并帮助检测是否存在非法入侵行为或授权用户对权限是否存在误用。安全审计也需要通过身份认证方式获得访问数据库系统的用户的真实身份，从而记录下真实身份用户对数据库所进行的各项操作。一般包括SQL 语句审计、特权审计、Schema Object审计、细粒度审计。

6. 数据保护

在数据库中，可能存在一些相对更为敏感的数据，这些数据不应当以明文的形式进行保存，而应该以加密的形式保存在数据库中。一般而言，可以通过哈希算法对敏感数据进行加密。加密方法包括对称加密(3DES、AES)，非对称加密(RSA)和其他加密方法(IDEA)。不同加密方法有不同特性。

分布式空间数据库安全框架体现预防与管控的原则，涵盖了分布式空间数据库日常安全管理的内容，在分布式空间数据库安全管理中，合理选择安全技术与控制方法来保护数据库中的信息安全，使安全风险降到最低，确保数据库内信息的保密性、完整性、可用性和一致性。

三、结束语

地理空间信息作为国家战略性基础资源在经济社会军事等领域得到广泛应用，其安全也越来越受到重视。在空间大数据背景下，空间数据的存储模式从传统单机空间数据库模式向适合在云端部署的分布式空间数据库模式转变，其自身的分布式特点和服务环境对空间分布式数据库安全提出了新的要求。正确认识新环境下地理信息数据的安全问题，研究和制定相应的应对策略，是保障地理信息安全、实现测绘地理信息产业健康有序发展的重要保证。本文重点对分布式空间数据库安全进行了探讨，提出了统一安全管理模式下“通信加密—身份认证—权限管理—数据加密—安全审计”全流程分布式地理空间信息服务安全框架。该框架涵盖了地理信息服务的整个流程，对分布式空间数据库安全的研究发展有一定的指导意义。在具有特定环境和特殊技术需求的分布式空间数据库系统中，可以在该框架的基础上结合用户自身实际情况进行必要的扩充与修整。

参考文献：

[1]李东风, 谢昕. 数据库安全技术研究与应用[J]. 计算机安全，2008(1):42-44.

[2]蔡先华. GIS-T空间数据库管理与应用关键技术研究[J]. 测绘学报，2007,36(4):476.

[3]PFLEEGER C, PFLEEGER S L. Security in Computing[M]. 4th Ed.[S.l.]：Prentice Hall，2006.

[4]中华人民共和国公安部.计算机信息系统安全等级保护数据库管理系统技术要求：GAT 389—2002[S].北京：中国标准出版社，2002. 行业标准-公共安全标准, 2002.

[5]吴溥峰, 张玉清. 数据库安全综述[J]. 计算机工程，2006,32(12):85-88.

[6]张敏. 数据库安全研究现状与展望[J]. 中国科学院院刊，2011(3):303-309.

[7]张建军. 浅析数据库系统管理加密技术及其应用[J]. 甘肃高师学报，2006,11(5):79-80.

[8]GRACHEV V M, ESIN V I, POLUKHINA N G, et al. Data Security Mechanisms Implemented in the Database with Universal Model[J]. Bulletin of the Lebedev Physics Institute，2014,41(5):123-126.

[9]GUPTA G K, SHARMA A K, SWAROOP V. A Permutation Gigantic Issues in Mobile Real Time Distributed Database: Consistency & Security[J]. International Journal on Computer Science and Engineering，2011,3(2):884.

[10]OZSU M M, VALDURIEZ P. Principles of Distributed Database Systems [M]. [S.l.]：Prentice Hall，1999.

[11]DEVOGELE T. On Spatial Database Integration [J]. Geographical Information Science， 1998,12(4)：335-352.

[12]朱良根, 雷振甲, 张玉清. 数据库安全技术研究[J]. 计算机应用研究，2004(9):127-129.

引文格式： 张福浩，张明波，张志然，等. 分布式空间数据库安全机制探讨[J].测绘通报，2016(1)：41-44.DOI:10.13474/j.cnki.11-2246.2016.0010.

通信作者：张志然

作者简介：张福浩(1973—)，男，博士，研究员，主要从事政府地理信息服务相关研究。E-mail: zhangfh@casm.ac.cn

基金项目：测绘地理信息公益性行业科研专项经费(201512032)；中国测绘科学研究院基本科研业务费(7771414)

收稿日期：2015-12-14

中图分类号：P208

文献标识码：B

文章编号：0494-0911(2016)01-0041-04