分布式數據庫系統的安全策略研究

摘 要 介紹了分布式數據庫系統的體系結構，針對開放式網絡環境下分布式數據庫系統的安全問題從站點安全、網絡安全和故障恢復三個方面進行討論，并闡述了相應的安全策略。

關鍵詞 分布式數據庫系統；網絡；安全策略

中圖分類號：TP311 文獻標識碼：A 文章編號：1671-7597（2014）07-0164-01

分布式數據庫系統（英文名為Distributed Database System，簡稱DDBS）利用計算機網絡將各個地址分散但是又需要統一管理的多個邏輯單位聯系在一起，形成的數據庫。隨著互聯網的高速發展，分布式數據庫也逐漸占據著不可忽視的地位，同時，它也出現了各種復雜的安全問題。

1 DDBS體系結構

在DDBS中，被計算機網絡連接起來的每個計算機，稱為站點，每個站點都是一個邏輯單位，能實現獨立的工作。本地用戶是指那些只能訪問他所在站點數據的用戶；而全局用戶不僅僅能訪問自己站點的數據，還能訪問其他站點的數據。用戶需要訪問DDBS時，首先需要從一個計算機上登陸，驗證身份，經由系統確認后方可訪問數據庫數據，系統接受用戶的訪問請求后，會將此請求經用戶接口轉換和檢查權限，提交本地或遠程失誤管理層監督執行，圖1是DDBS的體系結構圖。

圖1 DDBS體系結構

2 DDBS中站點安全策略

DDBS存在的安全隱患因素是復雜多變的，除了可能遭受集中式DDBS的問題外，還可能存在站點安全、網絡安全及故障恢復等問題。

2.1 DDBS中站點安全策略

在分布式數據庫中單一站點是最容易受到攻擊的單位，所以，對分布式數據庫系統的安全防護，單一站點中的安全問題不容忽視。

1）身份驗證：通過這種方式可以防止有些用戶非法入侵數據庫或者假冒攻擊，還有利于保護用戶的隱私信息。當用戶要訪問數據庫系統時，系統會進行身份驗證，確定用戶的訪問權限。當某個服務器對其他服務器進行數據傳輸、處理分布式事物等時，服務器之間就需要驗證身份。在分布式數據庫系統中，可以將用戶的賬號和密碼用加密表的形式保存起來，這個加密表是由數據庫管理系統來負責維護。

2）權限控制：用戶只能按照已有的授權來訪問DDBS授權的數據，這種模式可以防止沒有權限的用戶非法訪問，出現泄漏和破壞信息的安全隱患。用戶訪問數據權限有靜態分配和動態分配兩種形式，前者是由數據庫管理員靜態的分配，后者是指用戶對某種數據擁有所有權，假如用戶想向他人共享，就可以向他人授予和收回訪問權限。

3）數據庫審計：每個系統都會存在這樣或那樣的安全隱患，一些非法用戶總會想盡各種辦法對數據庫進行惡意訪問甚至破壞，并會逃避責任。所以，系統有必要通過系統日志來記錄下每個用戶的操作，當分布式數據庫系統出現安全問題時，就可以使用數據庫審計：掃面出現安全問題那段時間的系統日志，檢查每個用戶對系統進行的操作，如果發現了非法操作或未經允許的操作時，數據庫管理員就可以確定非法入侵的用戶。

2.2 分布式數據庫系統中的網絡安全

現在的網絡都是開放式的，一些攻擊者通常在網絡傳輸途中進行竊取、更改和假冒等惡意操作。這種安全隱患最有效的防護方式就是將信息進行加密，然后對加密后的數據進行傳輸，從而使攻擊者難以獲得原文，而接受者可以使用解密密匙迅速地得到原文。

1）加密算法：主要是通過一點強度的加密算法使得一些非法入侵者不容易破解數據，從而達到保護數據的目的。根據用戶的實際需求，設計者應當提供多種速度和強度的算法以便用戶選擇。對于數據的加密，我們通常采用公開的算法，而最典型的就是RSA算法，它的主要原理是：①任取兩個不相同的質數a和b，計算的結果；②任取一個較大的整數d，并且使得d與（a-1）*（b-1）互質，則d作為加密密鑰；③計算解密密鑰g，；④向外界公開數字c和d，卻不要公開g；⑤密文，明文。

2）加密粒度：數據經過加密和解密需要消耗大量的系統資源，所以合理分配數據的加密粒度不僅能有效的保護系統安全，還能提高系統性能和訪問效率。

3）加密方式：加密方式可以分為兩種，一種是庫外加密，另一種是庫內加密，前者主要是在數據庫外增加一個加密層，這種加密方式比較簡單，但是速度很慢，效率較低；后者是在數據庫的內模式和存儲模式間增加加密層，這種加密方式雖然較復雜，但是更可靠，更安全。

2.3 分布式數據庫系統的故障恢復

雖然設計者和維護者會采取各種措施來保護分布式數據庫系統，但是系統中仍會經常出現各種各樣的錯誤或破壞。所以，能將系統恢復到一個已知正確的狀態是十分必要的。

下面主要論述站點故障處理：①用戶把記錄寫入本地日志前出現故障時，協調者超時機制期滿，將會發送取消命令，此時參與者對系統進行恢復時，參與者將撤銷自己的子事務，而可以不更改其他站點數據；②用戶把記錄寫入本地日志后出現故障時，其他用戶站點仍然可以繼續操作，出現故障的用戶對系統進行恢復時，可以訪問其他用戶的執行結果；③協調者在日志中寫入事務完成后發生故障時，該事務已經結束了，并不影響后續操作，所以協調者在故障恢復后不做任何操作。

3 結束語

分布式數據庫系統的安全性研究主要是探討怎樣保護系統中數據的安全，防止有人惡意入侵、故意泄漏和破壞信息等，使系統能夠安全有序地運行。我們可以從站點、網絡和故障恢復等角度來研究如何保護DDBS，從文中提出的一些安全策略來看，只要我們能正確認識DDBS的安全問題，我們就可以很好的維護系統正常運轉。

參考文獻

[1]邵佩英.分布式數據庫系統及其應用[M].科學出版社，2005.

[2]陳永強.分布式數據庫安全策略分析[J].武漢工業學院學報，2003.

[3]宋志敏.南相浩，唐禮勇，等.數據庫安全的研究與進展[J].計算機工程與應用，2001.

作者簡介

韓春陽（1978-），女，碩士學位，長春中醫藥大學附屬醫院信息中心工程師，研究方向：數據庫、數據挖掘。