7.4.2針對不同類型用戶實現(xiàn)身份驗證及安全訪問控制

基于分布式數(shù)據(jù)庫構(gòu)建，如何實現(xiàn)安全地訪問控制對數(shù)據(jù)安全極其重要。本書從訪問控制機制、接入認證協(xié)議以及密鑰管理等方面對分布式數(shù)據(jù)庫操作進行研究，實現(xiàn)用戶對數(shù)據(jù)庫的安全訪問控制。具體內(nèi)容如圖7-21所示。

圖7-21 身份驗證機制

基于分布式數(shù)據(jù)庫構(gòu)建方案，從訪問控制機制、接入認證協(xié)議以及密鑰管理等方面又對分布式數(shù)據(jù)庫操作進行研究，具體技術(shù)方案如圖7-22所示。

圖7-22訪問控制技術(shù)路線圖

(1)分布式數(shù)據(jù)庫用戶訪問控制機制。融合集中式系統(tǒng)統(tǒng)一管理和分布式系統(tǒng)資源利用率高的優(yōu)點，設(shè)計自適應(yīng)異構(gòu)網(wǎng)絡(luò)形態(tài)的混合型訪問控制機制，通過角色管理、處理請求、權(quán)限判斷分析該機制的安全性和可靠性，為異構(gòu)網(wǎng)絡(luò)訪問控制提供高效安全的保護。研究分布式訪問控制環(huán)境下的互操作安全沖突問題，分析全局檢測法與最小化檢測法的優(yōu)缺點，根據(jù)沖突的類型在不同情況下調(diào)用對應(yīng)的沖突檢測方法，優(yōu)化沖突檢測算法的靈活性，確保分布式應(yīng)用之間不出現(xiàn)違反安全的互操作，提高用戶訪問控制的穩(wěn)健性。

(2)分布式數(shù)據(jù)庫身份接入認證協(xié)議研究。針對網(wǎng)絡(luò)傳輸多樣化終端復(fù)雜化等特征，在深入分析現(xiàn)有的計算機網(wǎng)絡(luò)認證協(xié)議的基礎(chǔ)上，以接入認證的可行性、認證強度、認證粒度、數(shù)據(jù)正確為目標，結(jié)合數(shù)字簽名和哈希函數(shù)方法，研究適用于異構(gòu)網(wǎng)絡(luò)分布式數(shù)據(jù)庫的統(tǒng)一認證協(xié)議。借鑒現(xiàn)有的3G-WLAN融合系統(tǒng)的經(jīng)驗，充分利用3G/4G網(wǎng)絡(luò)較為完善的安全體系，分別對該協(xié)議的匿名性、雙向認證性、抵抗拒絕服務(wù)工具、抗竊聽、抗篡改等方面進行評估，給出節(jié)點身份認證的詳細過程，提高分布式數(shù)據(jù)庫的抵御能力，從而在異構(gòu)網(wǎng)絡(luò)端到端之間建立起一條安全的數(shù)據(jù)通路。

(3)分布式數(shù)據(jù)庫密鑰管理與協(xié)商機制。在分析大規(guī)模異構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)特殊性的基礎(chǔ)上，針對網(wǎng)絡(luò)形態(tài)各異性，將非對稱加密方案與公鑰加密方案結(jié)合起來，既能體現(xiàn)信息保密性、完整性和認證性，又可以按需分配給無線網(wǎng)絡(luò)，降低系統(tǒng)的復(fù)雜度和計算開銷。在此基礎(chǔ)上，通過分析消息、節(jié)點和密鑰的安全性，建立分簇統(tǒng)一的密鑰協(xié)商機制，并從破解難度、密鑰長度和驗證時間等方面評估該機制的優(yōu)勢，從而保證密鑰協(xié)商過程的安全。