国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

分布式數(shù)據(jù)庫系統(tǒng)是物理上分散而邏輯上集中的數(shù)據(jù)庫系統(tǒng)。分布式數(shù)據(jù)庫系統(tǒng)使用計(jì)算機(jī)網(wǎng)絡(luò)將地理位置分散而管理和控制需要不同程度集中的多個(gè)邏輯單位（通常是集中式數(shù)據(jù)庫）連接起來，共同組成一個(gè)統(tǒng)一的數(shù)據(jù)庫系統(tǒng)。因此，分布式數(shù)據(jù)庫系統(tǒng)可以看成是計(jì)算機(jī)網(wǎng)絡(luò)與數(shù)據(jù)庫系統(tǒng)的有機(jī)組合。
　　Internet的高速發(fā)展推動著分布式數(shù)據(jù)庫的發(fā)展，但同時(shí)也增加了分布式數(shù)據(jù)庫安全問題的復(fù)雜性。如何才能保證開放網(wǎng)絡(luò)環(huán)境中分布式數(shù)據(jù)庫系統(tǒng)的安全？
　　一般情況下，分布式數(shù)據(jù)庫面臨著兩大類安全問題：一類由單站點(diǎn)故障、網(wǎng)絡(luò)故障等自然因素引起，這類故障通?？衫镁W(wǎng)絡(luò)提供的安全性來實(shí)現(xiàn)安全防護(hù)，所以說網(wǎng)絡(luò)安全是分布式數(shù)據(jù)庫安全的基礎(chǔ)；另一類來自本機(jī)或網(wǎng)絡(luò)上的人為攻擊，即黑客攻擊，目前黑客攻擊網(wǎng)絡(luò)的方式主要有竊聽、重發(fā)攻擊、假冒攻擊、越權(quán)攻擊、破譯密文等，針對這類安全隱患，我們分別介紹下列分布式數(shù)據(jù)庫安全關(guān)鍵技術(shù)。
　　身份驗(yàn)證
　　
　　為了防止各種假冒攻擊，在執(zhí)行真正的數(shù)據(jù)訪問操作之前，要在客戶和數(shù)據(jù)庫服務(wù)器之間進(jìn)行雙向身份驗(yàn)證，比如用戶在登錄分布式數(shù)據(jù)庫時(shí)，或分布式數(shù)據(jù)庫系統(tǒng)服務(wù)器與服務(wù)器之間進(jìn)行數(shù)據(jù)傳輸時(shí)，都需要驗(yàn)證身份。
　　著名的Kerberos協(xié)議是一種基于對層碼體制的身份驗(yàn)證協(xié)議。在該協(xié)議中各站點(diǎn)從一個(gè)密鑰管理中心站點(diǎn)獲得與目標(biāo)站點(diǎn)通信用的密鑰，從而進(jìn)行安全通信。由于密鑰管理中心負(fù)責(zé)管理和安全分發(fā)大量密鑰，容易造成系統(tǒng)性能瓶頸，而且系統(tǒng)內(nèi)必須有一個(gè)被所有站點(diǎn)信任的密鑰管理中心，因此該協(xié)議應(yīng)用場合存在著一定的局限性。
　　為了簡化站點(diǎn)間通信密鑰的分發(fā)，開放式網(wǎng)絡(luò)應(yīng)用系統(tǒng)一般采用基于公鑰密碼體制的雙向身份驗(yàn)證技術(shù)。在這種技術(shù)中，每個(gè)站點(diǎn)都生成一個(gè)非對稱密碼算法（如RSA）的公鑰對，其中的私鑰由站點(diǎn)自己保存，并可通過可信渠道將自己的公鑰分發(fā)給分布式系統(tǒng)中的其他站點(diǎn)。這樣任意兩個(gè)站點(diǎn)均可利用所獲得的公鑰信息相互驗(yàn)證身份。
　　保密通信
　　
　　客戶與服務(wù)器、服務(wù)器與服務(wù)器之間身份驗(yàn)證成功后，就可以進(jìn)行數(shù)據(jù)傳輸了，為了對抗報(bào)文竊聽和報(bào)文重發(fā)攻擊，需要在通信雙方之間建立保密信道，對數(shù)據(jù)進(jìn)行加密傳輸。在分布式數(shù)據(jù)庫系統(tǒng)中，由于傳輸?shù)臄?shù)據(jù)量往往很大，所以加解密算法的速度對系統(tǒng)性能的影響很大。非對稱密碼體制運(yùn)算復(fù)雜、速度慢，所以一般采用對稱密碼算法來進(jìn)行加解密。其實(shí)建立保密信道的過程也就是約定會話密鑰，用會話密鑰來加解密數(shù)據(jù)的過程。通常這一過程也可以和身份驗(yàn)證結(jié)合在一起。保密通信可以由分布式數(shù)據(jù)庫系統(tǒng)實(shí)現(xiàn)，也可以采用底層網(wǎng)絡(luò)協(xié)議提供的安全體制，如SSL(Secure Socket Layer)。
　　訪問控制
　　
　　在通常的數(shù)據(jù)庫管理系統(tǒng)中，為了防止越權(quán)攻擊，任何用戶不能直接操作庫存數(shù)據(jù)。用戶的數(shù)據(jù)訪問請求先要送到訪問控制模塊審查，然后系統(tǒng)的訪問控制模塊代理有訪問權(quán)限的用戶去完成相應(yīng)的數(shù)據(jù)操作。用戶的訪問控制有兩種形式：自主訪問授權(quán)控制和強(qiáng)制訪問授權(quán)控制。其中自主訪問授權(quán)控制由管理員設(shè)置訪問控制表，此表規(guī)定用戶能夠進(jìn)行的操作和不能進(jìn)行的操作。而強(qiáng)制訪問授權(quán)控制先給系統(tǒng)內(nèi)的用戶和數(shù)據(jù)對象分別授予安全級別，根據(jù)用戶、數(shù)據(jù)對象之間的安全級別關(guān)系限定用戶的操作權(quán)限。在這兩種方式中，數(shù)據(jù)對象的粒度越小，訪問權(quán)限就規(guī)定得越細(xì)，從而系統(tǒng)管理的開銷就越大，尤其是在分布式數(shù)據(jù)庫系統(tǒng)中，一方面用戶、數(shù)據(jù)對象多，另一方面要進(jìn)行分布式訪問控制，更加劇了系統(tǒng)訪問控制的負(fù)擔(dān)。事實(shí)上系統(tǒng)中許多用戶具有相似的訪問權(quán)限，因此可以根據(jù)用戶權(quán)限確定角色，一個(gè)角色可以授予多個(gè)用戶，同時(shí)一個(gè)用戶可以擁有多個(gè)角色，這樣可以在一定程度上降低系統(tǒng)訪問控制管理的開銷。
　　庫文加密
　　
　　為對抗黑客利用網(wǎng)絡(luò)協(xié)議、操作系統(tǒng)安全漏洞繞過數(shù)據(jù)庫的安全機(jī)制而直接訪問數(shù)據(jù)庫文件，有必要對庫文進(jìn)行加密。庫文加密方法主要有兩種，一種為ANSI（美國國家標(biāo)準(zhǔn)協(xié)會）頒布的數(shù)據(jù)加密標(biāo)準(zhǔn)DES。DES使用64位密碼，算法實(shí)現(xiàn)在一小塊集成電路芯片上，以1Mb/s的運(yùn)算速度處理密文。另一種方法稱為公鑰制密系統(tǒng)，其思路是給每個(gè)用戶兩個(gè)碼，一個(gè)加密碼，一個(gè)解密碼。用戶的加密碼是公開的，就像電話號碼一樣，但只有相應(yīng)的解密碼才能對報(bào)文解密，且不可能從加密碼中推導(dǎo)出解密碼，因?yàn)樵撝泼芟到y(tǒng)為不對稱加密，即加密過程不可逆。（但該算法不可逆并未得到求證，也沒有辦法證明其可逆。）
　　對庫文的加密，系統(tǒng)應(yīng)該同時(shí)提供幾種不同安全強(qiáng)度、速度的加解密算法，這樣用戶可以根據(jù)數(shù)據(jù)對象的重要程度和訪問速度要求來設(shè)置適當(dāng)?shù)乃惴?。同時(shí)，系統(tǒng)還應(yīng)該能調(diào)整被加密數(shù)據(jù)對象的粒度，這樣能夠在保證重要數(shù)據(jù)對象安全性的同時(shí)提高訪問速度。此外，對加密的數(shù)據(jù)對象巧妙地建立加密數(shù)據(jù)索引，也可以進(jìn)行密文的快速檢索。如果攻擊者已知原始庫文的部分信息，并試圖據(jù)此利用密碼分析方法破譯密文，那可以使用基本加密算法反饋連接方式或其他方式給每個(gè)待加密的對象分配不同的加密密鑰。
　　密碼體制與密碼管理
　　
　　在分布式數(shù)據(jù)庫系統(tǒng)中，身份驗(yàn)證、保密通信、庫文加密等都利用到了加解密算法，但是它們的利用背景不同:身份驗(yàn)證僅需傳輸少量控制信息；保密通信除了傳輸少量控制信息外，通常還傳遞大量數(shù)據(jù)信息；庫文加密則需要設(shè)計(jì)不同粒度的數(shù)據(jù)對象，而且還要考慮數(shù)據(jù)庫的插入、刪除、更改數(shù)據(jù)密碼等操作。因此應(yīng)針對分布式數(shù)據(jù)庫系統(tǒng)不同操作步驟的特點(diǎn)來選擇合適的加解密算法。
　　此外，由于密碼體制的保密強(qiáng)度強(qiáng)烈依賴于密鑰的保密性，因此對分布式數(shù)據(jù)庫中所涉及的大量公鑰、密鑰需制定嚴(yán)格的管理方案，以保證公鑰不被假冒、密鑰不被泄漏。否則保密機(jī)制再好，密碼體制安全強(qiáng)度再高，系統(tǒng)也無安全可言。密鑰管理包括密鑰產(chǎn)生、密鑰分發(fā)、密鑰存儲、密鑰更新、密鑰作廢刪除等，其核心問題是密鑰分發(fā)。

本站僅提供存儲服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點(diǎn)擊舉報(bào)。