7.4.2針對不同類型用戶實現身份驗證及安全訪問控制

基于分布式數據庫構建，如何實現安全地訪問控制對數據安全極其重要。本書從訪問控制機制、接入認證協議以及密鑰管理等方面對分布式數據庫操作進行研究，實現用戶對數據庫的安全訪問控制。具體內容如圖7-21所示。

圖7-21 身份驗證機制

基于分布式數據庫構建方案，從訪問控制機制、接入認證協議以及密鑰管理等方面又對分布式數據庫操作進行研究，具體技術方案如圖7-22所示。

圖7-22訪問控制技術路線圖

(1)分布式數據庫用戶訪問控制機制。融合集中式系統統一管理和分布式系統資源利用率高的優點，設計自適應異構網絡形態的混合型訪問控制機制，通過角色管理、處理請求、權限判斷分析該機制的安全性和可靠性，為異構網絡訪問控制提供高效安全的保護。研究分布式訪問控制環境下的互操作安全沖突問題，分析全局檢測法與最小化檢測法的優缺點，根據沖突的類型在不同情況下調用對應的沖突檢測方法，優化沖突檢測算法的靈活性，確保分布式應用之間不出現違反安全的互操作，提高用戶訪問控制的穩健性。

(2)分布式數據庫身份接入認證協議研究。針對網絡傳輸多樣化終端復雜化等特征，在深入分析現有的計算機網絡認證協議的基礎上，以接入認證的可行性、認證強度、認證粒度、數據正確為目標，結合數字簽名和哈希函數方法，研究適用于異構網絡分布式數據庫的統一認證協議。借鑒現有的3G-WLAN融合系統的經驗，充分利用3G/4G網絡較為完善的安全體系，分別對該協議的匿名性、雙向認證性、抵抗拒絕服務工具、抗竊聽、抗篡改等方面進行評估，給出節點身份認證的詳細過程，提高分布式數據庫的抵御能力，從而在異構網絡端到端之間建立起一條安全的數據通路。

(3)分布式數據庫密鑰管理與協商機制。在分析大規模異構網絡結構特殊性的基礎上，針對網絡形態各異性，將非對稱加密方案與公鑰加密方案結合起來，既能體現信息保密性、完整性和認證性，又可以按需分配給無線網絡，降低系統的復雜度和計算開銷。在此基礎上，通過分析消息、節點和密鑰的安全性，建立分簇統一的密鑰協商機制，并從破解難度、密鑰長度和驗證時間等方面評估該機制的優勢，從而保證密鑰協商過程的安全。