網(wǎng)絡環(huán)境下地理信息數(shù)據(jù)傳輸安全的探討

1、網(wǎng)絡環(huán)境下地理信息數(shù)據(jù)傳輸安全的探討鄭 江周成虎中國科學院地理科學與資源研究所資源與環(huán)境信息系統(tǒng)國家重點實驗室摘要：在網(wǎng)絡化地理信息系統(tǒng)應用日益廣泛的今天，如何保證地理信息數(shù)據(jù)在網(wǎng)絡中的傳輸安全是一個十分重要的問題。本文分析了網(wǎng)絡地理信息系統(tǒng)在數(shù)據(jù)傳輸方面可能存在的安全隱患。在次基礎上，提出了一種基于安全代理中間件的網(wǎng)絡地理信息系統(tǒng)傳輸安全平臺的實現(xiàn)框架。關 鍵 詞：網(wǎng)絡地理信息系統(tǒng)，數(shù)據(jù)傳輸，代理中間件，數(shù)據(jù)傳輸安全平臺一. 引言地理信息作為一種重要的社會信息資源，它的共享與開放是一個十分重要的問題。近年來，隨著計算機技術的不斷發(fā)展以及互聯(lián)網(wǎng)絡的廣泛應用，地理信息的處理正在從傳統(tǒng)的集中式處理

2、方式轉向新的網(wǎng)絡化分布式處理方式。這主要體現(xiàn)在兩個方面，首先，傳統(tǒng)GIS的空間分析處理、模型分析等功能的實現(xiàn)向網(wǎng)絡方面轉變，其次則是地理信息數(shù)據(jù)基于網(wǎng)絡的開放與共享。目前，國內(nèi)外有很多的地理信息系統(tǒng)研究機構和廠商都在積極開展網(wǎng)絡地理信息系統(tǒng)的應用研究，并推出了相關的軟件產(chǎn)品。比如象美國ESRI的Internet Map Server和ArcExploer、MapInfo公司的MapInfo Professional等等。這些網(wǎng)絡地理信息系統(tǒng)軟件系統(tǒng)的出現(xiàn)極大地推動了地理信息技術的發(fā)展。網(wǎng)絡環(huán)境下信息的安全近來已成為一個越來越受關注的問題。對于地理信息的共享與開放，如何保證地理信息在網(wǎng)絡中傳輸?shù)?/p>

3、安全是實現(xiàn)網(wǎng)絡地理信息的共享與開放的一個重要問題，特別是當其中某些信息可能會關系到個人隱私、集體利益乃至國家的安全的時候。而在這方面，目前已有的網(wǎng)絡地理信息系統(tǒng)軟件大都沒有給予特別的考慮。因此，如何保證地理數(shù)據(jù)信息在網(wǎng)絡中傳輸?shù)陌踩且粋€值得研究的問題。本文通過分析現(xiàn)有網(wǎng)絡地理信息系統(tǒng)在數(shù)據(jù)傳輸方面存在的問題，提出了一種通過安全中間件實現(xiàn)網(wǎng)絡地理信息系統(tǒng)數(shù)據(jù)傳輸安全平臺的構想，并對安全中間件實現(xiàn)中的一些關鍵問題進行了討論。二. 網(wǎng)絡GIS在數(shù)據(jù)傳輸上的特點以及存在的安全問題目前，OPEN GIS等國際標準化組織正在加緊研究和制訂地理信息共享方面的相關技術標準，但是，一套完整的系統(tǒng)結構規(guī)范還沒有

4、被普遍采用。不同的GIS廠商都根據(jù)各自的需求推出了不同的設計方案，總體來說主要包括：CGI方式、Server API方式、Plug-in方式以及Java語言方式等等1?；谝陨蠋追N方案構造的網(wǎng)絡地理信息系統(tǒng)，它們在數(shù)據(jù)傳輸上具有以下特點：（1） 客戶端與服務器端之間采用基于HTTP協(xié)議的瀏覽器與WEB服務器方式來進行數(shù)據(jù)傳輸。（2） 客戶端與服務器端之間的數(shù)據(jù)傳輸基本上是以明文方式進行。雖然通用的瀏覽器和Web服務器目前都可以提供一些安全功能，但由于國外對安全產(chǎn)品出口的限制以及國內(nèi)對安全產(chǎn)品使用方面的一些規(guī)定，這些功能還不能普遍適應國內(nèi)的應用需求。（3） 在通信過程中，客戶端與服務器端之間一般

5、不進行身份鑒別或僅通過口令字方式相互進行身份鑒別?；谏鲜鎏攸c，網(wǎng)絡地理信息系統(tǒng)在數(shù)據(jù)傳輸方面主要存在以下幾個安全隱患5：（1）對用戶身份的仿冒攻擊者盜用合法用戶的身份信息（比如用戶的口令），以仿冒的身份與服務器端通信，騙取信息。（2）對網(wǎng)絡上信息的竊取攻擊者在網(wǎng)絡的傳輸鏈路上，通過物理或邏輯的手段，對合法用戶與服務器端之間傳送的數(shù)據(jù)進行非法截獲與監(jiān)聽，從而得到其中的敏感信息。（3）對網(wǎng)絡上信息的篡改攻擊者可能對網(wǎng)絡上合法用戶與服務器端之間傳送的數(shù)據(jù)信息進行截獲并且篡改其內(nèi)容（增加、截去或改寫），使數(shù)據(jù)信息的接收方無法得到真實的數(shù)據(jù)信息。三基于代理中間件的網(wǎng)絡地理信息系統(tǒng)數(shù)據(jù)傳輸安全平臺3.1

6、代理中間件在計算機系統(tǒng)中，代理中間件有著廣泛的應用。不同用途的中間件都有各自專門的標準程序接口和協(xié)議規(guī)范，可以根據(jù)應用需要被裝入系統(tǒng)的任何一個層次，提供相應的服務。比如，構造安全的操作系統(tǒng)內(nèi)核、對通信系統(tǒng)間不同數(shù)據(jù)格式進行轉換等應用。采用代理中間件的主要好處是它可以簡化系統(tǒng)的研制與開發(fā)。尤其是對于一些需要采用異構系統(tǒng)分布式處理的應用場合，利用代理中間件技術可以大大簡化系統(tǒng)構建的復雜度。3.2系統(tǒng)提供的安全服務功能基于代理中間件構造的網(wǎng)絡地理信息系統(tǒng)數(shù)據(jù)傳輸安全平臺可以提供如下安全服務功能：（1）數(shù)據(jù)保密對需要傳送的數(shù)據(jù)進行加密，以保證在被非法截取的情況下，未授權的用戶無法得知其中包含的真實信息

7、。（2）數(shù)據(jù)完整性對要傳送的數(shù)據(jù)制作消息文摘，以確認數(shù)據(jù)在傳輸過程中是否被篡改。（3）身份鑒別利用客戶端和服務器端的公鑰證書或利用生成的主秘密，實現(xiàn)雙方之間的雙向身份鑒別。3.3網(wǎng)絡地理信息系統(tǒng)數(shù)據(jù)傳輸安全平臺的系統(tǒng)結構網(wǎng)絡地理信息系統(tǒng)數(shù)據(jù)傳輸安全平臺可以被分為四個部分：（1）客戶端瀏覽器（2）客戶端安全代理（3）服務器端安全代理（4）服務器端WEB服務器系統(tǒng)的邏輯結構框圖如下所示：安全代理中間件主要由兩部分組成：即客戶端安全代理和服務器端安全代理?？蛻舳税踩碛蒆TTP協(xié)議代理和安全通信兩部分組成。它主要的作用包括：（1） 接收來自瀏覽器的訪問請求，對于普通HTTP連接請求和有安全需求的H

8、TTP 連接請求分別進行處理。（2） 與服務器端安全代理進行安全通信。（3） 與服務器端安全代理實現(xiàn)客戶端與服務器端的相互身份鑒別。服務器端安全代理由安全通信部分構成。它主要的作用包括：（1） 同時與多個服務器端安全代理進行安全通信。（2） 與客戶端安全代理實現(xiàn)服務器端與客戶端的相互身份鑒別。3.4網(wǎng)絡地理信息系統(tǒng)數(shù)據(jù)傳輸安全平臺的工作過程描述系統(tǒng)平臺的工作過程可以分為如下四個階段：（1） 客戶端與服務器端建立連接。（2） 客戶端與服務器端進行相互間的身份鑒別。（3） 客戶端與服務器端協(xié)商安全參數(shù)，建立安全的連接。（4） 雙方利用協(xié)商好的參數(shù)進行安全通信?？蛻舳伺cWEBGIS服務器端進行安全數(shù)

9、據(jù)傳輸?shù)木唧w過程描述如下：步驟客戶端服務器端1客戶端安全代理接收瀏覽器的連接申請，解析申請，確定將要連接的服務器端安全代理的IP地址和端口號。2客戶端安全代理向服務器端安全代理發(fā)送一個建立連接請求。3服務器端安全代理處理這個連接請求，并繼續(xù)監(jiān)聽其它連接請求。4客戶端驗證服務器端身份服務器端驗證客戶端身份5客戶端與服務器端協(xié)商安全參數(shù)，建立安全的連接。服務器端與客戶端協(xié)商安全參數(shù)，建立安全的連接。6客戶端安全代理對收到的瀏覽器發(fā)送的信息進行加密處理，將密文發(fā)送給服務器端安全代理 。7客戶端安全代理對接收到的密文進行解密，將結果轉發(fā)給后臺的Web 服務器。8WEB服務器將處理結果返回給服務器端安全

10、代理，它對結果進行加密處理，并將加密數(shù)據(jù)傳送回客戶端安全代理。9客戶端安全代理對接收到的數(shù)據(jù)進行解密，將結果轉發(fā)給瀏覽器。3.5系統(tǒng)構建中的一些技術問題3.5.1安全中間件的層無關性4層無關性是簡化系統(tǒng)設計復雜性的技術，即系統(tǒng)的實現(xiàn)與變化對它的上層和下層不會造成影響。為了達到層無關性，需要考慮兩個方面的問題。首先是用來構建安全中間件的協(xié)議的實現(xiàn)，在這方面可以選用已有的安全協(xié)議也可以自己構造專門的應用協(xié)議，可以選用的協(xié)議有：安全超文本傳輸協(xié)議（S-HTTP）、安全超文本標記語言（S-HTML）、安全套接層（SSL）以及安全傳輸層（TLS）；在這里，選用SSL安全協(xié)議實現(xiàn)安全中間件。SSL協(xié)議是由

11、網(wǎng)景公司提出的安全協(xié)議，它位于應用層之下，傳輸層之上；它的實現(xiàn)可以不依賴于高低層協(xié)議，并且可以透明地為高層協(xié)議數(shù)據(jù)提供多種安全保護。其次是安全中間件與原有系統(tǒng)的結合方式，比如是嵌入操作系統(tǒng)內(nèi)部還是作為一個獨立的程序在外部運行；在這里，將采用后一種方式，主要是為了簡化系統(tǒng)實現(xiàn)的復雜程度，提高系統(tǒng)的靈活性?；ヂ?lián)網(wǎng)采用的HTTP協(xié)議是一個無連接、無狀態(tài)的協(xié)議。它每次連接僅處理一個請求，而且在服務器端與客戶端均不保存前一次連接的狀態(tài)，即客戶端每訪問一次服務器端都需要重新與服務器端建立相應的連接，因此連接的建立和關閉很頻繁。如果每一此連接雙方都必須進行相互身份鑒別和參數(shù)協(xié)商，勢必將明顯降低客戶端與服務器

12、端的通信速度。所以，可以采取某種機制，比如虛連接的處理方式，使得在一定時期內(nèi)只有當客戶端第一次向服務器端發(fā)出連接請求時才需要進行身份鑒別和參數(shù)協(xié)商，此次連接所產(chǎn)生的安全參數(shù)可以為該服務器端與客戶端隨后進行的連接所使用，即一次認證可對應多個連接。這樣可以有效的提高系統(tǒng)通信的效率。對并發(fā)訪問的支持當同時有大量用戶訪問系統(tǒng)時，如何保證安全代理系統(tǒng)可靠、高效地提供服務，也是一個十分關鍵的問題。一般來說，采用線程具有速度快、系統(tǒng)開銷小、易于同步等特點，但是，由于線程的運行是基于進程的，對于大量用戶的并發(fā)訪問，它也具有一定的風險；如果低層的進程運行出現(xiàn)問題（比如進程崩潰），以它為基礎的線程都會受到影響；而

13、且由于同一進程的多個用戶線程的數(shù)據(jù)在內(nèi)存中是共享同一存儲區(qū)域的，因而有可能出現(xiàn)不同用戶的線程之間數(shù)據(jù)發(fā)生相互干擾或者惡意的用戶非法獲取或破壞其它用戶線程數(shù)據(jù)的情況。采用多進程機制，各子進程并發(fā)地處理客戶端的請求，相互間減少了可能造成的影響，同時提高了系統(tǒng)的處理效率。四 結論與討論基于安全代理中間件的網(wǎng)絡地理信息系統(tǒng)安全傳輸平臺有如下優(yōu)點：（1） 安全代理中間件集成了成熟的安全技術，可以為網(wǎng)絡地理信息系統(tǒng)中的數(shù)據(jù)傳輸提供可靠的安全保障。（2） 安全中間件與原有應用系統(tǒng)和底層網(wǎng)絡通信協(xié)議的耦合度較低，它可以在對原由系統(tǒng)性能幾乎沒有影響的情況下方便地集成到原有的系統(tǒng)中去，使系統(tǒng)具有良好的可擴展性和易

14、維護性。（3） 安全中間件的適用范圍廣泛，它不僅可以與目前采用瀏覽器/服務器結構的系統(tǒng)相結合，而且經(jīng)過適當修改，對于采用其它體系結構的網(wǎng)絡地理信息系統(tǒng)的數(shù)據(jù)傳輸也可以提供安全保護。本文討論了網(wǎng)絡地理信息系統(tǒng)在數(shù)據(jù)傳輸中存在的安全隱患，并基于已有的網(wǎng)絡地理信息系統(tǒng)技術和信息安全技術，嘗試性地提出了一種網(wǎng)絡地理信息系統(tǒng)數(shù)據(jù)安全傳輸?shù)南到y(tǒng)框架。在后續(xù)的工作主要包括兩個方面：（1） 是對SSL協(xié)議進行深入的理解與分析，并根據(jù)網(wǎng)絡地理信息系統(tǒng)的數(shù)據(jù)傳輸特點實現(xiàn)安全中間件。（2） 分析并設計實現(xiàn)基于PKI的多級認證中心，將它與安全代理中間件相結合，實現(xiàn)系統(tǒng)的完整功能。隨著網(wǎng)絡技術的不斷發(fā)展，人們將會越來越

15、多地通過網(wǎng)絡獲取、共享地理信息。然而，地理信息的開放與共享通常會帶來地理信息的安全問題。因此，為了更好地利用地理信息資源，對地理信息在網(wǎng)絡環(huán)境下的安全保護問題進行研究是十分必要的。Data Transfers ecurity in WEBGISZheng Jang Zhou Chenghu(State Key Laboratory of Resources and Environment Information SystemInstitute of Geographical Sciences and Natural Resources Research, CASBeijing 100101)Abstract: With the increasingly wide application of WEBGIS, it is very important to assure the Geo-spatial data transfers security in the network. This paper was designed to focus on hidden security troubles. On