（大地测量学与测量工程专业论文）基于ssl和gis技术的市政工程信息安全体系研究.pdf

西南交通大学硕士研究生学位论文第1 页 摘要 近年来，随着企业信息化建设的兴起，尤其是市政工程设计部门大规模应 用c a d 技术，使产品设计周期大大缩短，工作效率显著提高。与此同时，随着 企业电子化图文信息数量的日益庞大，设计部门的重要资料也都以c a d 电子图 纸、w o r d 文档和e x c e l 表单等电子图文形式保存在系统存储设备中，对于电 子图文资料的统一管理和向设计人员分发以供其参考时的信息安全问题，已经 成为图文管理信息系统建设的重点研究内容，特别是对蕴涵于电子图文资料中 知识产权的保护，更是现代企业信息化建设的工作中亟待解决的问题。 本文利用c o m g i s 和w e b g i s 技术，研究了基于s s l 协议和g i s 的信息安全体 系在市政工程领域的应用问题，探讨了市政工程信息安全体系建设过程中的关 键技术。并且，针对市政工程信息管理系统空间数据库网络通信的特定安全要 求，以实现海量数据信息安全性管理为目标，通过实地调研进行需求分析及系 统开发的可行性分析，对系统进行了总体设计和数据库设计以及安全性设计。 论文的主要研究工作及成果如下： 1 通过分析和研究g i s 空间数据库信息管理安全性问题，提出一种将s s l 协议应用于g i s 的解决方案，深入分析了基于p k i 体制的s s l 协议，结合市政工 程信息安全体系空间数据库的研究，采用将s s l 协议与g i s 应用集成的方法，开 发了基于s s l 和g i s 技术的市政工程信息安全系统，并对系统的身份认证、数据 管理、空间分析和网络数据传输加密等方面的关键技术进行了较深入地探讨。 2 研究了系统用户管理方式，采用数字证书进行身份认证，利用密钥发放 技术进行规范化的管理，避免非授权用户的非法访问；系统的权限管理紧密结 合用户的需求，采用基于角色的访问控制模型，使系统的安全性得到了很大的 提高。 3 分析了系统处理数据的流程，采用批量自动导入功能快速规范地录入数 据，能够利用数据维护功能使动态变化的数据在系统中实时更新，采用便捷的 可视化查询功能在电子地图上定位所需信息，并结合g i s 空间分析功能进行成果 数据分析与统计；同时，在客户端与服务器数据交换中嵌入s s l 协议保障系统和 信息的安全性及保密性。 系统已通过验收并正式运行，实际应用表明能够满足数据管理及数据安全 的需求，利用s s l 协议的g i s 信息安全体系提高了管理和业务部门的工作效率及 西南交通大学硕士研究生学位论文第1 | 页 系统安全性。 关键词：数据加密技术；无缝集成；数字证书；网络传输加密；安全体系 西南交通大学硕士研究生学位论文第| fl 页 a bs t r a c t r e c e n t l y ，w i t ht h ee m e r g i n ge n t e r p r i s e i n f o r m a t i o nc o n s t r u c t i o n ， e s p e c i a l l yt h em a j o rd e p l o y me n to ft h ec a dt e c h n o l o g yi nt h ed e s i g n d e p a r t m e n to fm u n i c i p a le n g i n e e r i n g ，t h ec y c l eo fp r o d u c td e s i g nh a s b e e n g r e a t l ys h o r t e n e d ，r e s u l t i n g i n e n o r m o u s l yg r e a t l y i n c r e a s e d w o r k i n ge f f i c i e n c y m e a n w h i l e ，a st h en u m b e ro fe l e c t r o n i cp i c t u r ea n d t e x ti n f o r m a t i o ni n c r e a s e s ，t h ei m p o r t a n ti n f o r m a t i o no ft h ed e s i g n d e p a r t m e n ti sp r e s e r v e di nt h es t o r a g es y s t e ma se l e c t r o n i cp i c t u r ea n d t e x t 。s u c ha sc a de l e c t r o n i cd r a w i n g ，w o r do re x c e l ，e t c s o t h e u n i f i e dm a n a g e m e n to fe l e c t r o n i cp i c t u r ea n dt e x td a t a ，a n dt h es e c u r i t y o fi t sd i s t r i b u t i o na m o n gt h ed e s i g n e r sf o rr e f e r e n c eh a sa l r e a d y b e c o m et h ek e yr e s e a r c hc o n t e n ti nt h ec o n s t r u c t i o no ft h ed r a w i n ga n d d o c u m e n tm a n a g e m e n ti n f o r m a t i o ns y s t e m e s p e c i a l l yt h ep r o t e c t i o no f p r o p e r t yi nt h ee l e c t r o n i cp i c t u r ea n dt e x ti n f o r m a t i o na r ep r o b l e m st o b es o l v e di nt h em o d e r ne n t e r p r i s ei n f o r m a t i o nc o n s t r u c t i o n t h i st h e s i s ，b yu s i n gt h et e c h n o l o g yo fc o m g i sa n dw e b g i s ， h a sr e s e a r c h e di nt ot h es e c u r i t ys y s t e mb a s e do nss lp r o t o c o la n dg i s ， t h e k e yt e c h n o l o g y i nt h ec o n s t r u c t i o np r o c e s so ft h em u n i c i p a l e n g i n e e r i n g i n f o r m a t i o n m a n a g e m e n t a n d s e c u r i t ys y s t e m w a s d i s c u s s e d a c c o r d i n gt ot h es p e c i f i cs a f e t yr e q u i r e m e n t so ft h es p a t i a l d a t a b a s en e t w o r kc o m m u n i c a t i o ni nm u n i c i p a le n g i n e e r i n gi n f o r m a t i o n m a n a g e m e n ts y s t e m ，b yp r a c t i c a li n v e s t i g a t i o n ，t h er e q u i r e m e n t s a n d d e m a n d sa n dt h ep o s s i b i l i t yo fs y s t e md e v e l o p m e n th a v eb e e na n a l y z e d w i t ht h et a r g e to ft h es a f e t ym a n a g e m e n to fm a s s i v ei n f o r m a t i o n ， g e n e r a ld e s i g n ，d a t a b a s ed e s i g na n ds e c u r i t yd e s i g na r ec a r r i e do u ti n t h es y s t e m t h em a i nr e s e a r c hw o r ki nt h et h e s i si sa sf o l l o w s ： 1 t h r o u g ht h ea n a l y z i n ga n dr e s e a r c h i n go fs e c u r i t yp r o b l e mo f i n f o r m a t i o nm a n a g e m e n ti nt h eg i ss p a t i a ld a t a b a s e ，as o l v i n gs o l u t i o n ， w h i c hu s i n gt h es s lp r o t o c o li nt h eg i s ，h a sb e e np u tf o r w a r d w i t h d e e pa n a l y s i so fs s lp r o t o c o lw h i c hb a s e d o np k is y s t e m ，a n dt h e 西南交通大学硕士研究生学位论文第1v 页 s t u d yo nm u n i c i p a le n g i n e e r i n gi n f o r m a t i o nm a n a g e m e n ta n ds e c u r i t y s y s t e ms p a t i a ld a t a b a s e ，am e t h o do fa p p l i c a t i o ni n t e g r a t i o no fss l p r o t o c o la n dg i s i sp r o p o s e d am u n i c i p a le n g i n e e r i n gi n f o r m a t i o n s e c u r i t ys y s t e mb a s e do ns s la n dg i st e c h n o l o g yi sd e v e l o p e d ，w i t h f u r t h e rd i s c u s s i o no ft h e k e yt e c h n o l o g y i n s y s t e mi d e n t i t y a u t h e n t i c a t i o n ，d a t am a n a g e m e n t ，s p a t i a la n a l y s i s ，n e t w o r kd a t a t r a n s m i s s i o ne n c r y p t i o n ，e t c 2 t h es y s t e mu s e rm a n a g e m e n tm o d ew a ss t u d i e d 。ad i g i t a l c e r t i f i c a t ei sn e e d e df o rt h ei d e n t i t ya u t h e n t i c a t i o n i s s u i n ge n c r y p t i o n l o c km a k e st h em a n a g e m e n ts t a n d a r d t h ei l l e g a lv i s i t i n go f u n a u t h o r i z e du s e ri sa v o i d e d t h es y s t e mp r i v i l e g em a n a g e m e n t c o m b i n e st h eu s e rd e m a n dc l o s e b yu s i n gt h ev i s i t i n gc o n t r o lm o d e l b a s e do nr o l e ，t h es e c u r i t yo fs y s t e mi sg r e a t l yi m p r o v e d 3 t h ep r o c e s so fs y s t e md a t ai sa n a l y z e d ，t h eb a t c ha u t o m a t i c i n t r o d u c t i o nf u n c t i o ni su s e dt oi n p u tr a p i dn o r m a t i v ed a t a b yu s i n g t h ed a t am a i n t e n a n c ef u n c t i o nm a k e st h ed y n a m i cc h a n g i n gd a t ai nt h e s y s t e mu p d a t er e a l - t i m e u s i n gt h ec o n v e n i e n tv i s u a lq u e r yf u n c t i o n ， t h en e e d e dd a t ai sl o c a t e di nt h ee l e c t r o n i cm a p t h ea n a l y s i sa n d s t a t i s t i co ft h er e s u l t e dd a t ai sc o m b i n e dw i t ht h eg i ss p a t i a la n a l y s i s f u n c t i o n m e a n w h i l e ，ss lp r o t o c o li se m b e d d e db e t w e e nt h eu s e ra n d t h es e r v e rd a t ae x c h a n g et og u a r a n t e et h es a f e t ya n ds e c u r i t yo fs y s t e m s a n di n f o r m a t i o n t h i ss y s t e mh a sa l r e a d yp a s s e da c c e p t a n c ea n dw o r k i n go f f i c i a l t h ep r a c t i c a la p p l i c a t i o ns h o w st h a t ：t h es y s t e mm e e t st h ed e m a n d so f d a t am a n a g e m e n ta n dd a t as e c u r i t y t h eg i sd a t as e c u r i t ys y s t e mb a s e d o nss lp r o t o c o li m p r o v e ss y s t e ms e c u r i t ya n dt h ew o r ke f f i c i e n c yi n t h em a n a g e m e n ta n db u s i n e s sd e p a r t m e n t k e yw o r d s ：d a t ae n c r y p t i o nt e c h n o l o g y ，s e a m l e s si n t e g r a t i o n ，d i g i t a l c e r t i f i c a t e ，n e t w o r kt r a n s m i s s i o ne n c r y p t i o n ，s e c u r i t ys y s t e m 西南交通大学 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校 保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和 借阅。本人授权西南交通大学可以将本论文的全部或部分内容编入有关数据库 进行检索，可以采用影印、缩印或扫描等复印手段保存和汇编本学位论文。 本学位论文属于 1 保密口，在年解密后适用本授权书； 2 不保密留，使用本授权书。 ( 请在以上方框内打“4 ) 学位论文仨者签名：- g 日期：厶夕f 厶 、 指导老师签名：锄 黾强： p 舀j j b 西南交通大学学位论文创新性声明 本人郑重声明：所呈交的学位论文，是在导师指导下独立进行研究工作 所得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人或 集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体， 均已在文中作了明确的说明。本人完全意识到本声明的法律结果由本人承担。 本学位论文的主要创新点如下： 1 ) 在理论方面，通过对s s l 协议与g i s 集成的研究，设计了市政工程信 息安全体系的基本框架和开发思路。采用基于p k i 体制的s s l 协议与g i s 形 成了无缝集成。分析了系统的安全控制方式，引入基于角色的访问控制模型 的方式，利用数字证书进行用户的身份认证，从而提高系统安全性及数据保 密性。 2 ) 在实践方面，确定了系统目标，并在系统实际开发过程中，将市政工 程具体项目的生产任务书、设计任务报表、设计成果等数据与相应的空间信 息关联起来，实现市政工程o a 数据与g i s 数据的融合。同时，在对网络传 输数据自动化管理的基础上，通过s s l 协议的密钥加密，保障传输中数据的 完整与安全。软件设计采用构建基于数据层、逻辑层、应用层的三层结构， 利用s s l 协议与g i s 的集成方法，开发了基于s s l 和g i s 技术的市政工程安 全信息系统，并已通过验收正式运行。 厂钟 瑁 西南交通大学硕士研究生学位论文第1 页 1 1 课题开发背景 第一章绪论 市政设计单位主要从事市政工程的勘测和设计，包括对道路、综合管线、 桥梁、涵洞等的设计及河流整治等项目，为市政基础设施建设事业做出了重大 贡献。然而，由于一般的市政工程信息管理缺少安全体系的支持，例如，现存 的电子图档分发方式仍是设计人员与管理员局域网内相互传递，这样给资料的 合理利用和保密造成很大威胁。 原有工作方式存在以下问题： 1 ) 设计电子文档在局域网内传递，不能有效控制电子文档的安全性；磁盘 未加密，如果发生数据丢失将造成严重后果； 2 ) 设计人员之间自主、自由地传递，没有监管约束，保密职责不明确； 3 ) 对于海量的工程图纸以及相关设计成果资料，缺乏安全系统的管理。 上述问题的存在，不符合企业质量控制标准，也导致设计成果的管理分散、 保密性差、易流失，为日常管理工作带来极大的不便。如何基于g i s ( 地理信息 系统) 技术有效整合现有电子图档参考资源，对海量的工程图纸以及相关设计 成果资料进行安全地存储，建设以密码技术为支撑，以数据安全为核心的内网 安全平台，结合s s l ( 安全套接字) 协议在p 层对网络传输的数据进行加密， 规范赋权管理和建立完善的数据存储体系是目前亟待解决的问题【1 】【2 1 。 本论文选题是结合“市政工程信息安全体系研发 项目而确定的。系统采 用c s 网络框架结构，旨在满足市政设计单位的信息安全管理要求。它涵盖了 市政设计单位的日常办公流程，涉及到各种工程图纸、文档、影像、声音、图 片、表格、图形、照片及动画等方面的资料信息，可以根据需要再进行二次开 发。作者在该项目中承担的主要任务是： 1 ) 系统的需求分析和设计； 2 ) 数据库安全访问的研究和设计； 3 ) 编程、开发； 4 ) 实地调试。 西南交通大学硕士研究生学位论文第2 页 1 2gis 空间数据库安全性研究发展阶段 g i s 中空间数据库的安全性大致经历了三个阶段【3 】【4 】 5 1 【6 】： 在g i s 技术发展的初期阶段，空间数据多以系统文件格式存储，处理简单、 快捷，但由于操作系统文件的限制，只能实现单机管理，属性数据则采用关系 数据库管理，二者缺乏统一的用户界面，使用起来很不方便，数据的安全性得 不到有效保障。 随着g i s 技术和数据库技术的发展，许多g i s 软件开发商开始将关系数据 库的管理模式引入g i s 中，用来管理g i s 的属性数据，采用开放性数据库连接 协议( o d b c ) 使g i s 软件与其他软件的数据交换变得简单方便。这一时期图 形和属性数据的管理具有统一的用户界面，但这种模式的局限在于只能以数据 库来管理属性数据，空间数据仍然以系统文件格式存储。在这种混合的数据管 理模式中，属性数据与空间数据仍然相分离，还是不能实现联机并发操作，数 据安全性、一致性、完整性等方面的问题仍然没有得到最终的解决。 当g i s 的应用越来越广泛，空间数据日益丰富，系统中海量数据越来越多 时，要能够高效地处理海量数据，要能够并发处理，要保证数据的安全，传统 的基于系统文件格式的管理模式已无法满足这些要求，而大型数据库管理系统 ( d a t a b a s em a n a g e m e n ts y s t e m ，简称d b m s ) 在这些方面能够提供很好的支持， d b m s 为g i s 空间数据的一体化管理提供了契机。但大多数数据库系统采用用 户名d 令认证，这种认证方式安全性较弱，有可能遭遇被动的试探攻击、主动 的中间人攻击和口令猜测攻击。另一方面，当用户登录数据库系统之后，客户 端与服务器之间便会进行频繁的数据交换，数据传输过程中存在来自于网络上 的人为攻击，即黑客攻击或非法用户入侵等相关安全隐患。 1 3 国内外研究现状 目前，对空间数据库的安全性研究主要集中在它所依赖的空间数据库自身 的安全特性上。柔性数据库安全系统【7 】使用多访问控制策略，能单独控制每个用 户访问不同范围的数据组，适合于对用户的访问权限作频繁修改的情形。它在 第一阶段将修改过的强制访问控制模型和基于角色的访问控制模型相结合，使 得用户能访问低安全级别和同级别的数据；第二阶段使用修改过的自主存取控 西南交通大学硕士研究生学位论文第3 页 制模型，过滤掉第一阶段中不能访问的数据，以达到灵活的访问权限的修改。 但身份认证服务、数据保密服务、数据完整性验证服务并不能通过数据库自身 安全特性获取，关于g i s 空间数据的安全传输研究还相当欠缺。 s s l ( s e c u r es o c k e t l a y e r ) 安全套接字层，最早是由网景公司( n e t s c a p e ) 开发的基于w e b 的应用的安全协议，它所提供的服务包括身份的合法性认证、 网路上的数据完整性和保密性等。s s l 协议己经得到业界的广泛认可，被广泛应 用到网络安全产品中，成为事实上的工业标准。s s l 的主要目标是为两个通信主 体提供保密、可靠的安全通道。它建立在可靠的传输层之上，与应用层的具体 协议无关，加密算法、通信密钥的协商以及服务器的认证都是由s s l 自动完成的 【7 】os s l 协议在w e b 上已获得了广泛的应用，国内的网上数据访问安全研究还主 要集中在电子商务以及网上银行等领域，但是由于种种原因，s s l 协议在我国受 到了一些局限，主要存在的问题如下：我国目前所使用的s s l 产品多数受到美国 出口管理法的限制，无法应用于机要部门、军事部门、政府机关等。国外主流 的安全协议在核心密码算法上都有出口限制，如只允许4 0 位或5 6 位的r c 4 和5 1 2 位的r s a 算法出口等，而且协议代码不公开j 。 p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) 公钥密码体制，是一种遵循标准的利用公钥 加密技术为网上通信的开展提供一整套安全的基础平台。它能为各种不同安全 需求的用户提供各种不同的安全服务，如身份识别与鉴别、数据保密性、数据 完整性及不可否认性等。用户利用p k i 所提供的这些安全服务，进行安全的、不 可否认的通信。网络上通信双方的身份识别依赖于特有的身份标识，同时该身 份标识是否值得信任，可通过一个权威的第三方来颁发这个身份标识，这个权 威的第三方就是p 中所称的c a ( c e r t i f i c a t ea u t h o r i t y ) 认证机构。通信实体的 身份标识就是数字证书，其中包含证书所有者的公开密钥、身份信息以及其它 属性，证书管理中心将这些信息用自己的私有密钥进行签名，使其不可伪造。 任何人只要拥有证书管理中心的公开密钥就可以对证书进行验证，从而相信用 户的公开密钥。但p k i 不提供如何使用密钥进行安全通信的服务，s s l 协议中即 包含以p 为基础进行安全的会话密钥交换的机制1 9 】0 0 。 因此，在吸收国际先进技术的基础上，尽量掌握其思想和原理的先进性， 将s s l 协议与g i s 数据传输安全性的需求结合起来是十分有意义的工作。 西南交通大学硕士研究生学位论文第4 页 1 4 论文的研究内容 本文利用c o m g i s 和w e b g i s 技术，探讨了市政工程信息安全体系建设和 开发过程中的关键技术，旨在为市政工程信息的安全管理提供完善地保护策略。 针对市政工程信息安全体系空间数据库网络通信的特定安全要求，以地理空间 信息科学为核心，以满足市政工程设计研究院信息化建设与海量资料管理实际 需求为目的，综合应用空间信息管理技术、数据库安全相关技术、s s l 协议等 现代信息安全技术，建设市政工程信息安全管理平台；重点研究了s s l 安全传 输协议在市政工程信息安全体系中网络通信的应用，结合市政工程信息安全体 系空间数据库，分析当前相关技术领域中的基本理论和关键技术，设计并实现 了一个基于s s l 和g i s 技术的市政工程信息安全系统，通过安全数据传输模块 保障数据在客户端与服务器端之间安全传输，来满足市政设计单位对涉密信息 管理及网络数据通信的安全需求【1 1 j 【1 2 】。 1 5 论文的组织结构 论文各章节的内容如下： 第一章，绪论。主要介绍了课题的开发背景，g i s 空间数据库安全性发展以 及研究现状，概述了s s l 协议在p k i 基础上的应用，并对本文的研究内容和章节 安排进行了阐述。 第二章，空间数据库安全与s s l 协议。首先介绍了空间数据库的安全机制， 在此基础上提出一种与策略无关的基于角色的数据库访问控制模型；然后重点 研究了基于公钥基础设施( p ) 的信息安全技术；并对s s l 协议的结构与内容 进行分析；最后提出一种将s s l 协议与g i s 集成的方法。 第三章，市政工程信息安全体系方案设计。首先根据系统的需求分析，进 行系统的整体设计：包括系统框架设计、功能设计、数据库设计等；然后重点 研究了如何设计s s l 协议安全模块，并与g i s 无缝集成；最后介绍了系统的开发 和运行环境。 第四章，市政工程信息安全体系实现。首先介绍系统运行流程框架；随后 具体演示系统身份认证、数据管理、空间分析、传输加密等过程；最后简介了 系统的特点及应用。 西南交通大学硕士研究生学位论文 第5 页 结论部分是对本文研究的总结。 1 6 本章小结 本章介绍了课题开发背景，g i s 空间数据库国内外研究现状，阐述了论文涉 及的s s l 技术相关概念，总结了论文的研究内容和组织结构。 西南交通大学硕士研究生学位论文第6 页 第二章空间数据库安全与s s l 协议 目前，我国g i s 对空间数据信息管理的研究大部分集中在考虑如何提供强 大的空间数据库操作能力，如快速的存储检索空间数据、对多源空间数据进行 无缝集成、利用空间数据进行各类空间分析等，很少考虑如何保障空间数据库 安全性。然而，随着网络的普及发展，黑客或病毒利用应用系统客户端与服务 器端安全漏洞，伪造身份、窃取机密、篡改数据等攻击行为屡见不鲜，为了尽 量避免这类损失，解决空间数据信息管理的安全问题，加强g i s 应用系统中的 数据网络访问安全，保障数据传输过程的安全性是十分必要的。 2 1 空间数据库安全相关技术 2 1 1 空间数据库安全概述 空间数据库安全【1 3 】是指数据库的任何部分都不允许受到恶意侵害或未经授 权的存取或修改。其主要内涵包括三个方面： 1 ) 保密性，不允许未经授权的用户存取信息； 2 ) 完整性，只允许被授权的用户修改数据； 3 ) 可用性，不应拒绝已授权的用户对数据进行存取。 当前对数据库安全的威胁主要分为物理上的威胁和逻辑上的威胁。物理上 的威胁是如水灾、火灾等造成的硬件故障，从而导致数据的损坏和丢失等，为 了消除物理上的威胁通常采用备份和恢复的策略。逻辑上的威胁主要是指对信 息的未被授权的存取，可以分为三类： 1 ) 信息泄漏，包括直接和非直接( 通过推理) 地对保护数据不允许未经授 权的用户信息的存取； 2 ) 非法的数据修改，由操作人员的失误或非法用户的故意修改引起； 3 ) 拒绝服务，通过独占系统资源导致其他用户不能访问数据库。 2 1 2 空间数据库安全机制 空间数据库中存储两类数据：一类是体现空间实体属性的属性数据，另一 西南交通大学硕士研究生学位论文第7 页 类是表现该实体位置的坐标数据( 即空间数据) ，因此对于空间实体的访问也 包括实体的属性访问和实体定位、位置分析等空间信息访问。而对于属性信息 的访问与一般数据库一致，但对于空间信息的访问则要通过空间数据库引擎 s d e 来完成。在空间数据库中与一般数据库最大的区别是包含一类属性与坐标 信息对应关系表和图层坐标表，这两类表将空间实体的属性信息和空间信息联 系起来。但由于空间数据库引擎属于中间件技术，本身并不存储空间数据，因 此空间数据库的存储安全完全依赖于后台所使用的关系数据库的安全。目前关 于空间数据库安全的研究主要集中在对数据库自身安全的研究上，数据库安全 机制包括用户标识和鉴别、用户存取权限控制、视图机制、数据加密、安全审 计以及事务管理和故障恢复等： 1 ) 用户标识和鉴别是由系统提供一定的方式让用户标识自己的身份，系统 记录着所有合法用户的标识，每次用户要求进入系统时，由系统进行核实，通 过鉴定后才提供其使用权； 2 ) 用户存取权限控制是指不同的用户对于不同的数据对象有不同的操作 权限。存取权限由两个要素组成：数据对象和操作类型。定义一个用户的存取 权限就是要定义这个用户可以在哪些数据对象上进行哪些类型的操作； 3 1 视图机制是指为不同的用户定义不同的视图，可以限制用户的访问范 围。通过视图机制把需要保密的数据对无权存取这些数据的用户隐藏起来，可 以对数据库提供一定程度的安全保护。实际应用中常将视图机制与授权机制结 合起来使用，首先用视图机制屏蔽一部分保密数据，然后在视图上进一步进行 授权； 4 ) 数据加密是保护数据在存储和传递过程中不被窃取或修改的有效手段。 目前对于加密算法的研究主要包括加密粒度、加密算法和密钥管理等； 5 ) 安全审计是一种监视措施，对于某些高度敏感的保密数据，系统跟踪记 录有关这些数据的访问活动，并将跟踪的结果记录在审计日志( a u d i tl o g ) 中， 根据审计日志记录可对潜在的窃密企图进行事后分析和调查； 6 ) 事务管理和故障恢复主要是对付系统内发生的自然因素故障，保证数据 和事务的一致性和完整性。故障恢复的主要措施是进行日志记录和数据复制。 在网络数据库系统中，分布事务首先要分解为多个子事务到各个站点上去执行， 各个服务器之间还必须采取合理的算法进行分布式并发控制和提交，以保证事 务的完整性。事务运行的每一步结果都记录在系统日志文件中，并且对重要数 西南交通大学硕士研究生学位论文第8 页 据进行复制，发生故障时根据日志文件利用数据副本准确地完成事务的恢复。 空间数据库的各安全机制相互作用、共同协调，比如视图机制中可能包含 权限控制与数据加密；用户通过身份鉴别登录的同时数据库系统进行安全审计 等，将上述各模块有效利用、无缝整合，才能建立完善的数据库安全系统。空 间数据库安全机制体系如图2 1 所示。 图2 1 空间数据库安全机制体系 2 1 3 空间数据库访问控制模型 空间数据库安全模型主要反映数据库系统的安全策略。随着对计算机数据 库系统安全性研究的深入，大量卓有成效的研究成果相继出现，在丰富了数据 库系统安全模型的同时，将各种安全模型应用于系统的安全性设计也取得了很 大进展。下面介绍一种基于角色的访问控制策略的模型，与传统访问控制模型 相比，它使用了角色继承、约束、角色管理、授权管理等机制，在应用上具有 很强的有效性和灵活性，使得空间数据库安全访问控制实现和管理更易实现。 西南交通大学硕士研究生学位论文第9 页 基于角色的访问控制【1 8 1 r b a c ( r o l e b a s e d a c c e s s c o n t r 0 1 ) 是由美国g e o r g e m a s o n 大学的r a v i s a n d h u 教授提出，它提供了解决具有大量客户端和访问权限 系统中的授权管理问题。在r b a c 中，权限是和角色相联系的，而用户则被指定 到相应的角色作为其成员，这样就使权限的管理大大简化了。r b a c 涉及用户 ( u s e r ) 、角色( r o l e ) 、访问权( p e r m i s s i o n ) 、会话( s e s s i o n ) 这几个主要 概念。角色是访问权的集合，当用户被赋予一个角色时，用户具有这个角色所 包含的所有访问权。用户和角色是多对多的关系，角色与访问权也是多对多的 关系。在r b a c 模型系统中，每个用户进入系统时得到一个会话，一个用户会话 可能激活的角色是该用户的全部角色的子集。对此用户而言，在一个会话内可 获得全部被激活的角色所包含的访问权。角色和会话的设置带来的好处是容易 实施最小特权原则( l e a s t - p r i v i l e g ep r i n c i p l e ) 。r b a c 非常适用于数据库应用层 的安全模型，因为在应用层内角色的逻辑意义更为明显和直接。r b a c 在不同的 配置下可显示不同的控制功能，它可以构造出强制访问控制( m a c j 系统，也 可以构造出自主访问控制( d a c ) 系统，甚至可构造兼各m a c 和d a c 的系统。 r b a c 流行起来的原因在于它与策略无关，可灵活适用于各种不同的安全策略， r b a c 模型如图2 2 所示。 、 ，a 、 图2 - 2 基于角色的数据库访问控制模型 西南交通大学硕士研究生学位论文第10 页 从上图可以看出，整个访问控制过程可以分为两个部分，即访问权限与角 色相关联，角色与用户相关联，实现了用户与访问权限的逻辑分离。例如，假 设一个用户的职位发生变化，只要将用户当前的角色去掉，加入代表新职务或 新任务的角色即可，而不用改变权限。由于角色权限之间的变化比角色用户关 系之间的变化慢得多，所以这种访问控制方式极大地方便了权限的管理。 2 2 信息安全技术 2 2 1 数据加密技术 空间数据库的核心是空间数据与属性数据，而数据加密是保障信息安全的 最基本、最重要的技术措施和理论基础。s s l 协议的核心是一系列的加密、解密 和认证等过程，要研究s s l 协议在g i s 空间数据库系统中的应用，必须了解现代 数据加密的一些技术。 数据加密的基本思想是：通过对信息进行置换和转换将所传输的内容变成 一些不规则的数据，来伪装需要保护的信息，使非授权者不能了解被保护信息 的内容。那些需要隐藏的信息称为明文，进行置换和转换的算法称为加密算法， 明文被置换后的结果称为密文，由明文产生密文的过程叫做加密。解密是和加 密相反的过程，它将密文数据转换为明文。加密和解密算法的操作通常是在一 组密钥控制下进行的，分别称为加密密钥和解密密钥。一个加密系统采用的基 本工作方式称为密码体制，密码体制的基本要素是密码算法和密钥。 根据加密密钥和解密密钥是否相同或本质上等同，即是否可以从一个容易 的推出另一个，可将现有的密码体制分为两种：一种是私钥( 或对称) 密码体制， 另一种是公钥( 或非对称) 密码体制2 0 】【2 l 】。这两种加密技术的基本原理如图2 3 所示。 西南交通大学硕士研究生学位论文第1 1 页 对称密钥加密技术 2 2 1 1 对称密钥加密技术 图2 - 3 加密技术基本原理 对称密钥体制也称私钥密码体制，在这种体制下，加密和解密使用同一个 密钥，因此，信息的发送方和接收方必须共享同一个密钥。 按照加密方式的不同，对称密码体制分为流密码( s t r e a mc i p h e r s ) 和分组密 码( b l o c kc i p h e r s ) 两种。在流密码中，将明文消息按字符逐位加密，常用的流 密码算法有r c 4 。在分组密码中，将明文信息分组( 每组包含多个字符) ，逐组 进行加密，常用的分组密码算法有d e s 、3 d e s 、a e s 等。这里主要介绍一下d e s ( 数据加密标准) 算法与a e s ( 高级加密标准) 算法【2 2 】【2 3 】【2 4 】： d e s 算法。全称是d a t ae n c r y p t i o ns t a n d a r d ( 数据加密标准) ，是由n a t i o n a l i n s t i t u t eo f s t a n d a r d sa n dt e c h n o l o g y ，n i s t ( 美国国家标准协会) 以及m 公司 于7 0 年代发布的。d e s 算法对6 4 位的明文分组进行操作，密钥长度为8 个字节， 通过一个初始口置换，将明文分为左半部分和右半部分，各3 2 位长。然后进行1 6 轮完全相同的运算，将该运算称为函数f ，在运算过程中数据与密钥结合。经过 1 6 轮后，左、右半部分合在一起经过一个末置换，即完成该算法。在每一轮变 换中，密钥位移然后再从密钥的5 6 位中选出4 8 位。通过一个扩展置换将数据的 右半部分扩展成4 8 位，并通过一个异或操作与4 8 位密钥结合，通过8 个s 盒将这 4 8 位替代成3 2 位数据，再将其置换一次。以上四步运算构成了函数f 。然后，通 过另一个异或运算，函数珀勺输出与左半部分异或，其结果即成为新的右半部分， 原来的右半部分成为新的左半部分。将该操作重复1 6 次，便实现了d e s 的1 6 轮 运算。d e s 的密钥存在弱密钥、半弱密钥和互补密钥，它受到的最大攻击来自 西南交通大学硕士研究生学位论文第12 页 于它的密钥长度仅5 6 b i t ，密钥较短，美国已在1 9 9 8 年停止使用d e s 算法。 a e s 算法。全称是_ a d v a n c e de n c r y p t i o ns t a n d a r d ( 高级加密标准) ，是 由比利时的密码学家j o a nd a e m e n 和v i n c e n tr i j m e n 提出的一种名为r i j n d e a l 的密 码算法，美国政府于2 0 0 0 年1 0 月2 日正式宣布以此算法作为a e s 。r i j n d a e l 算法 是一个数据块长度和密钥长度可变的分组迭代加密算法。数据块的长度和密钥 长度可以分别制定为1 2 8 位、1 9 2 位或2 5 6 位，相应的轮数为1 0 、1 2 和1 4 。分组的 长度和密钥长度设计灵活，在整体结构上采用的是代替置换网络构成圈函数， 多圈迭代。每圈由3 层组成：( 1 ) 非线性层：进行s 盒变换b y t e s u b ，由1 6 个s 盒 并置而成，起到混淆作用；( 2 ) 线性混合层：进行行移位变换s h i r r o w 和列混 淆变换m i x c o l u m n ，以确保多圈之上的高度扩散；( 3 ) 密钥加层：行圈密钥加 变换a d d r o u n d k e y ，将圈密钥简单异或到中间状态。由此可见，r i j n d a e l 算法汇 聚了安全性、可实现性和灵活性等优点。 从d e s 和a e s 的安全性角度考虑，a e s 支持可变的分组长度，密钥长度也比 d e s 大，这给破解增加了难度，假设取密钥长度为1 2 8 比特，要算出一台p c 机用 穷举法破解a e s 密钥几乎不可行。而且a e s 算法的加密效率明显优于d e s 算法的 加密效率，当二者在运行环境相同，a e s 密钥长度是d e s 密钥长度2 倍的情况下 的加解密时间和效率作了测试和比较，从比较可以看出，用软件实现a e s 算法 效率明显优于d e s ，并且该算法简洁，对内存的需求非常低，实现容易，适合 用于受限制的环境。 2 2 1 2 非对称密钥加密技术 非对称加密技术体制【2 2 】也称公钥体制，公开密钥加密使用两个不同的密钥： 一个用来加密信息，称为加密密钥，另一个用来解密信息，称为解密密钥。用 户把加密密钥公开，因此加密密钥也称为公开密钥，简称为公钥。解密密钥要 保密，因此解密密钥也称为私有密钥。公钥密码技术包括两种情况：一种是采 用收方公钥加密数据，使用收方的私钥解密；另一种是采用发方的私钥加密， 使用发方的公钥解密。二者原理相同，用途不同。第一种情况以收方公钥加密 数据、收方私钥解密的方式可以实现多个用户加密信息，只能由一个用户解读， 这就实现了数据加密，保证数据的机密性：第二种情况以发方