2012年第4期 工业仪表与自动化装置 ・15・ 分布式数据库安全的关键技术 董毅南 (吉林省榆树市医院,吉林榆树130400) 摘要:分布式数据库作为数据库系统与计算机网络的有机结合,成为目前互联网环境下信息资 源的共享和应用核心,其安全问题举足轻重。该文针对分布式数据库系统的安全性要求,在分析了 系统的体系结构和不安全因素的基础上,对安全策略和安全机制中身份验证、保密通信、访问控制、 库文加密、密码及密钥管理、分布事务管理、审计跟踪、故障恢复等方面进行了综合分析。 关键词:分布式数据库;数据库安全;身份识别;安全控制 中图分类号:TP311.133.1 文献标志码:A 文章编号:1000—0682(2012)一04—0015—03 The key technology of distributed database security D0NG Yinan (Jilin Pr ̄ince Yushushi Hospital,Jilin Yushu 130400,China) Abstract:A distributed database as database system and computer network organically,become the Internet under the environment of information resources sharing and application core,its important safety problems.According to the safety of distributed database system requirement,in the analysis of system structure and safety factor of the foundation,on the security policy and security mechanism of the identity authentication,communication security,access control,library,encryption,password system and key management,distribution affairs management,audit tracking,fault recovery,etc were analyses. Key words:distributed database;database security;identification;security control 0 引言 些站(节点)在通信网络中互联在一起,每个站都拥 有各自的数据库、处理机以及各自的局部数据 Internet的高速发展推动着分布式数据库的发 库管理系统,因此分布式数据库系统可看作是一系 展,另一方面它也增加了分布式数据库安全问题的 列集中式数据库系统的联合。它们在逻辑上属于同 复杂性。如何保证开放网络环境中分布式数据库系 一系统,但在物理结构上是分散的。分布式数据库 统的安全是一个非常复杂的问题,需要进行认真分 系统使用计算机网络,将地理位置分散,而管理又需 析研究。分布式数据库面临着两大类安全问题:一 要不同程度集中的多个逻辑单位(通常是集中式数 类安全问题研究抗击单站点故障、网络故障等自然 据库系统)联接起来,共同组成一个统一的数据库 因素故障,即研究在发生了自然故障时如何使系统 系统,因此分布式数据库系统可以看成是计算机网 仍能可靠运行或从故障中恢复。另一类安全问题研 络与数据库系统的有机结合,它应该具有以下特点: 究抗击来自于本机或网络上的人为攻击,即研究在 1)物理分布性。分布式数据库系统中的数据 有黑客攻击时如何保证库存数据和通信报文的保密 不是存储在一个站点上,而是分散存储在由计算机 性和可靠性。 网络联结起来的多个站点上。所以分布式数据库系 1分布式数据库构建 统的数据具有物理分布性,这是与集中式数据库系 统的最大差别之一。 1.1分布式数据库的定义和特点 2)逻辑整体性。分布式数据库系统中的数据 分布式数据库系统是由若干个站集合而成,这 物理上是分散在各个站点中,但这些分散的数据逻 收稿日期:2012—05—29 辑上却是一个整体,它们被分布式数据库系统的所 作者简介:董毅南(1977),女,吉林省榆树市人,大学本科学历, 有用户(全局用户)共享,并由一个分布式数据库管 榆树市医院网络中心助理工程师。 理系统统一管理。这是分布式数据库的“逻辑整体 ・16- 工业仪表与自动化装置 2012年第4期 性”特点,也是与分散式数据库的最大区别。区别 一作系统是不可能从根本上解决安全问题的,但是,操 作系统支持程序的动态连接和数据动态交换是现代系 统集成和系统扩展的需要,显然这与安全是相矛盾的。 2.2数据库管理系统安全的脆弱性 个数据库系统是分散式还是分布式,只要判断该 数据库系统是否支持全局应用(数据在逻辑上统一 管理,在物理上分散存储)。因此,分布式数据库系 统中就有了全局数据库(GDB,Global Database)和 目前流行的商用数据库管理系统的安全级别, 一局部数据库(LDB,Local Database)的概念。全局数 据库由全局数据库管理系统进行管理,所谓全局是 从整个系统角度出发研究问题。局部数据库由局部 数据库管理系统进行管理,所谓局部是从各个站点 的角度出发研究问题。 般达到美国国防部颁发的可信计算机系统评估标 准(TCSEC)中的CZ级要求。即使有更高安全级别 的DBMS,也大都直接应用于军方。而且数据库管 理系统的安全与操作系统的安全应该配套(此观点 有争议),即如果DBMS的安全级别是BZ级,那么 3)站点自治性。站点自治性也称场地自治性, 各站点上的数据由本地的DBMS管理,具有自治处 理能力,完成本站点的应用(局部应用),这是分布 式数据库系统与多处理机系统的区别。 1.2分布式数据库运行过程 用户欲访问分布式数据库系统,首先要由任意 一个站点登录,进行身份验证。系统确认用户的合 法身份后接受用户提出的事务处理请求,并把用户 事务经用户接口转换后由编译层进行语法、语义分 析、授权检查、事务分解等操作,而后交事务管理层 监督执行。分解得到的访问本地数据的子事务,由 本地数据库管理系统具体执行,访问远程数据的子 事务,则通过通讯系统交给远程的事务管理层,由远 程事务管理层监督远程数据库管理系统具体执行。 子事务的分解和异步执行过程对用户是透明的。这 样通过分布式数据库系统把物理上分布的数在逻辑 匕统一起来了。 2分布式数据库的不安全因素 虽然现有的数据库软件在数据安全方面已经提 供了不同程度的服务。但正如微软的Windows系统 也会死机一样,即使再优秀的软件也难以对渗透到 整个计算机环境中的不安全因素明察秋毫,都或多 或少的存在缺陷。它所提供的安全服务只是避免了 大多数的常见问题,而在各类信息系统实际运行时 出现的各种不容易被发现、却非常致命的问题往往 被疏忽掉,缺乏灵活性。所以,正确地识别不安全因 素所带来的威胁对于抗击和防止数据侵害是至关重 要的,因此在讨论安全策略之前,先来分析一下各种 分布式数据库的不安全因素。 2.1操作系统安全的脆弱性 这是由操作系统的结构即操作系统的程序 是可以动态连接,可以创建进程,提供远过程调用 (RPC)等所造成的。一个可以打补丁和可渗透的操 OS的安全级别也应该是BZ级,因为数据库的安全 管理也是建立在分级管理概念上的,也要依靠可信 计算基(TCB)方式,所以数据库管理系统也是脆弱 的。 2.3 网络协议的脆弱性 网络协议的脆弱性反映在网络协议安全保障的 低水平。例如:TCP/IP在该协议设计之初,就没有 将安全因素考虑进去。TCP/IP服务的内在问题、主 机配制的复杂性、软件开发过程中引入的脆弱性以 及多变性的实际因素等,都会使有关的站点无法抵 御“闯入者”的连接或相关问题。 2.4网络口令的破译 通过信道窃取口令。例如当用户使用TELNET 或FrP连接在远程主机上的账号时,Internet上传输 的口令是没有加密的,通过监视用户携带的IP包就 可获取它们;然后再通过这些用户名和口令合法方 式登录到系统,成千上万的系统就是被这种方式入 侵的。 3解决分布式数据库安全问题的关键技术 如何保证开放网络环境中分布式数据库系统的 安全是一个非常复杂的问题,需要进行认真分析研 究。针对上述开放式网络环境下分布式数据库系统 的安全隐患,总结解决这些问题的身份验证、保密通 信、访问控制和审计、库文加密、密码与密钥管 理、分布事务管理和故障恢复等关键技术。 3.1身份验证 为了防止各种假冒攻击,在执行真正的数据访 问操作前,要在客户和数据库服务器之间进行双向 身份验证:用户登录进人分布式数据库系统,进行数 据访问操作前要进行身份验证,以便确认该用户的 真实身份,从而进一步决定该用户的访问权限;此 外,由于分布式数据库系统服务器与服务器之间要 完成传输数据,协调分布式事务处理等功能,因此它 2012年第4期 工业仪表与自动化装置 ・17・ 们之间也要相互验证身份。 3.2在通信双方之间建立保密信道 保密通信客户一服务器、服务器一服务器之间 身份验证成功后,就可以进行数据传输了,为了对抗 报文窃听和报文重发攻击,需要在通信双方之间建 立保密信道,对数据进行加密传输。在分布式数据 库系统中,由于传输的数据量往往很大,加解密算法 的速度对系统性能影响也就大,而非对称密码 运算复杂、速度慢,对称密码速度快,所以一般 采用对称密码算法来进行加解密。因此,建立保密 信道的过程就是约定会话密钥,用会话密钥来加解 密数据的过程。通常这一过程也可以和身份验证结 合在一起。 3.3访问控制和审计 在通常的数据库管理系统中,为了抗击越权攻 击,任何用户不能直接操作库存数据。用户的数据 访问请求先要送访问控制模块审查,然后系统的访 问控制模块代理有访问权限的用户去完成相应的数 据操作。访问控制主要有两种形式:自主访问授权 控制和强制访问授权控制。其中自主访问授权控制 由管理员设置访问控制表,此表规定用户对数据对 象能够进行的操作或不能进行的操作;而强制访问 授权控制先给系统内的用户和数据对象分别授予安 全级别,根据用户、数据对象之间的安全级别关系限 定用户的操作权限。 3.4库文加密 在分布式数据库系统中,为了对抗黑客利用网 络协议、操作系统安全漏洞绕过数据库的安全机制 而直接访问数据库文件,有必要对库文进行加密。 只要保管好密钥,并且加密算法具有一定的强度,即 使黑客得到了数据库文件,他们也难以知道明文,这 样使得重要数据受系统安全漏洞冈素的威胁减小。 3.4.1 DH/解密算法选择 系统应同时提供几种不同安全强度、速度的Drt/ 解密算法,这样用户可以根据数据对象的重要性程 度和访问速度要求来设置适当的算法。 3.4.2加密的粒度 系统应能调整被加密数据对象的粒度,这样能 够在保证重要数据对象安全性的同时提高访问速 度。例如一个关系中有某个字段或记录的数据重 要,那么就可以针对陔字段、记录进行加密,而没有 必要加密整个关系。 3.4.3密文索引 数据库的加密不应过分降低对数据库的访问速 度,加快访问速度的关键是加快检索的速度。对加 密的数据对象巧妙地建立加密的数据索引,就可以 利用索引进行密文的快速检索。 3.4.4加密方式 攻击者可能已知原始库文的部分信息,并据此 利用密码分析方法破译密文。为对抗此类攻击,可 使用基本加密算法的反馈连接方式,或使用其他方 法给每个待加密的对象分配以不同的加密密钥。 3.5密码与密钥管理 在分布式数据库系统中,身份验证、保密信道、 库文加密等都用到加解密算法,但是它们的应用背 景是有区别的:身份验证仅需传输少量控制信息;保 密通信除了传递少量控制信息,通常还传递大量的 数据信息;库文加密涉及不同粒度的数据对象,而且 还要考虑数据库的插人、删除、更改数据密钥等操 作。 3.6全局视图机制 和集中式数据库一样,分布式数据库环境中同 样可定义视图,实现数据的和安全性,这时,视 图的作用更加显著,冈为分布式数据库非常大而且 复杂,用户数目也非常大。利用视图,可以将用户分 组,只向用户提供有关数据。 3.7安全审核 检测是否有人的最佳方式是建立恰当的警报系 统。如SQL SERVER2000建立的警报系统方法是 通过启用“FAILED LOGIN(失败的登录)”选项(“选 SERVER PROPERTIES[服务器属性“SECURITY(安 全)”选项卡),就可以看到何时有不受欢迎的访问 者正在访问你的系统。当有一个仅使用几个账户的 封装CM应用程序时,这特别有用。 3.8分布事务管理 在分布式数据库系统中,分布事务管理的目的 在于保证事务的正确执行及执行结果有效,主要解 决系统可靠性、事务并发控制及系统资源的有效利 用等问题。分布事务首先要分解为多个子事务到各 个站点上去执行,各个服务器之间还必须采取合理 的算法进行分布式并发控制和提交,以保证事务的 完整性。 3.9故障恢复 在数据库系统中尽管采取了很多措施和手段保 证数据库系统的正常运行,然而计算机系统中的软、 硬件的故障及操作的失误和人为的破坏仍是不可避 免的,这经常造成数据库不能正常执行,出现错误, (下转第50页) ・50・ 工业仪表与自动化装置 2012年第4期 5实验结果 % % 加 ‰ % % 6结语 % O 图7~图l0是某变频器在有源电力滤波器投 该设计从瞬时无功功率理论出发,在MATLAB 中搭建APF的仿真模型,得出合理的仿真波形,接 着设计了基于DSP的有源电力滤波器系统的软件 和硬件,最后将APF样机用于某一变频器得出治理 入试用前后的电流波形和频谱,从图中可以看出,电 流波形明显有了改善,谐波的含量大大降低。 后的电流波形,电流波形得到明显的改善,证明了电 力有源滤波器是治理谐波的有效工具。电力有源滤 图7 APF投入使用之前变频器电流波形图 波器技术在电力行业有很大的推广价值,尤其是 DSP芯片在处理数据方面完全可以满足实时眭的要 求。在现有的基础上还可以根据市场需求进行功能 扩展,比如可以扩展带液晶显示的监测和控制台,便 于工作人员实地查看装置运行情况;在通讯网络畅 通的情况下,还可以应用GPRS无线通讯技术,扩展 为远程监测甚至远程控制,为电力系统工作人员带 I .I I.1..一I..I.…I.I...一.一..一一一..一 来很大的便利。所以基于DSP的有源电力滤波器 在以后的电力谐波治理中有很广阔的应用前景。 参考文献: [1] 陈恺,王如政.电力系统谐波治理与有源滤波器[J]. 华东电力,2008,36(8):55—57. 2 5 8 ll 14 17 20 23 26 29 32 35 38 41 44 47 5O 图8 APF投入使用之前变频器电流频谱图 [2]王庆详.电网谐波的产生及其检测方法分析[J].电子 技术应用,2009(9):181—184. 图9 APF投入使用之后变频器电流波形图 5% [3]许克明,徐云,刘付平.电力系统高次谐波[M].重庆: 重庆大学出版社,1990. [4] 田立军,荆锴.电力系统谐波检测与治理[D].济南:山 东大学,2009. [5]George J Wakileh.电力系统谐波[M].徐政,译.北京: 2 5 8 ll 14 I7 2O 23 26 29 32 35 38 4I 44 47 5O 机械工、I 出版社,2003. 图10 APF投入使用之后变频器电流频谱图 (上接第17页) 数据的全部或部分遭到破坏。因此数据库系统必须 具有把数据库系统从故障状态恢复到一个已知的正 确状态。分布式事务的两段提交协议(2PC协议) 是一种用于故障恢复的方法,在系统运行日志无丢 失的情况下,对任何故障均有一定的恢复能力。 问题的实现;三是着重分析分布式数据库的安全风 险而缺乏对具体实施的关注。这些研究思路同分布 式数据库安全需求的满足还存在一定的距离,这方 面的工作还有待进一步的研究。 参考文献: [1]邵佩英.分布式数据库系统及其应用[M].北京:科学 4结束语 Internet的发展也推动着分布式数据库系统的 发展,但在安全性方面也带来了更为复杂的问题。 该文针对分布式数据库系统的主要安全隐患介绍了 一出版社,2000. [2]贾焰,王志英.分布式数据库技术[M].北京:国防工 业出版社,2000. [3]李平安.分布式数据库系统概论[M].北京:科学出版 社,1992. 些解决这些问题的关键技术。从分布式数据库安 [4]郑振媚,于戈,郭敏.分布式数据库[M].北京:科学出 版社,1998. 全的研究来看,目前存在几种方向:一是从一般数据 库安全理论出发,将其理论放在分布式数据库的具 体环境下进行考察,然后进行修正;二是从数据库安 全的焦点问题人手,主要研究分布式数据库中这些 [5] 吴江,李太勇,吴晓知.分布式数据库系统中的安全策 略研究[J].网络安全技术与运用,2006(04):23—25. [6] Brink Knight.SQL Server 2000 for Experienced DBAS [M].北京:清华大学出版社,2003.
