额尔德木吐

【摘 要】对网络地理信息系统在数据传输方面可能存在的安全隐患，以及为了克服这些隐患所须满足的安全需求。在此基础上，本文介绍了代理中间件技术的基本原理，并基于代理中间件技术提出了一种网络地理信息系统数据传输安全平台的实现框架。

【关键词】网络地理信息系统；数据传输；数据传输安全平台

网络地理信息系统（WebGIS）近年来随着因特网（Internet）的发展日益引起研究人员的关注，成为GIS探讨的热点之一。

一、WebGIS概述

网络地理信息系统（WebGIS）是在网络环境下的一种存储、处理和分析地理信息的计算机系统，是Intemet技术应用于GIS开发的产物，通过Intemet和WWw、GIS的功能得以扩展和完善。与传统的GIS相比，webGIS具有以下特点闭。（1）開放性、互操作性和分布性。在异构环境下，使用户能够屏蔽软硬件平台的差异，实现不同用户间的访问、不同应用与数据源之间的直接通讯和对分布的源数据、应用程序进行协同处理。（2）广泛的客户访问范围。WebGIS可以使全球范围内任意一个wWW节点的用户同时访问WebGIS。（3）良好的可扩展性和平台独立性。WebGIS很容易与web中的其他信息服务进行无缝集成，使用户可以透明地访问WebGIS数据。正是webGIs的这些优势和特征，使得它很好地克服了传统GIS的缺陷，成为GIS未来的发展方向。

二、网络GIS在数据传输上的特点以及存在的安全问题

目前，OPEN GIS等国际标准化组织正在加紧研究和制定地理信息共享方面的相关技术标准，但是，一套完整的系统结构规范还没有被普遍采用。不同的GIS厂商都根据各自的需求推出了不同的设计方案，总体来说主要包括：CGI方式，Server API方式，Plug—in方式以及Java语言方式等。

1.基于以上几种方案构造的网络地理信息系统，它们在数据传输上具有以下特点：①客户端与服务器端之间采用基于HTTP协议的浏览器与WEB服务器方式来进行数据传输。②客户端与服务器端之间的数据传输基本上是以明文方式进行。虽然通用的浏览器和Web服务器目前都可以提供一些安全功能但由于国外对安全产品出口的限制以及国内对安全产品使用方面的一些规定，这些功能还不能普遍适应国内的应用需求。③在通信过程中，客户端与服务器端之间一般不进行身份鉴别或仅通过口令字方式相互进行身份鉴别。

2.基于上述特点，网络地理信息系统在数据传输方面主要存在以下几个安全隐患：①对用户身份的仿冒。攻击者盗用合法用户的身份信息（比如用户的口令），以仿冒的身份与服务器端通信，骗取信息。②对网络上信息的窃取。攻击者在网络的传输链路上，通过物理或逻辑的手段，对合法用户与服务器端之间传送的数据进行非法截获与监听，从而得到其中的敏感信息。③对网络上信息的篡改。攻击者可能对网络上合法用户与服务器端之间传送的数据信息进行截获并且篡改其内容（增加、截去或改写），使数据信息的接收方无法得到真实的数据信息。

三、网络地理信息系统数据传输的安全平台

1.网络地理信息系统数据传输的安全需求。根据网络地理信息系统在数据传输方面存在的安全隐患，采用代理中间件技术构造的网络地理信息系统数据传输安全平台应该满足如下安全需求：（1）数据保密。通过某种方法对需要传送的数

据进行加密，以保证在被非法截取的情况下，未授权的用户无法得知其中包含的真实信息。（2）数据完整性。需要通过某种方法来确认接收到的数据在传输过程中没有被篡改。（3）身份认证。需要使客户端与服务器端能够互相进行身份验证，以确认对方的真实身份。

2.网络地理信息系统数据传输安全平台的总体结构。网络地理信息系统数据传输安全平台可以被分为4个层次：第一个层次：客户端Browser第二个层次：客户端安全代理第三个层次：服务器端安全代理第四个层次：服务器端WebServer根据上述的系统安全需求，可以设计出系统的逻辑结构。

3.系统工作原理描述。（一）安全代理中间件的组成和作用。安全代理中间件主要由两部分组成：客户端安全代理和服务器端安全代理。对于客户端安全代理，它可以分为两个部分，即HTTP协议代理部分和安全通信部分。它主要的作用有：（1）接收来自浏览器的访问请求，对访问普通页面的请求和有安全需求的请求分别进行处理后再进行发送。（2）与服务器端安全代理进行安全通信。（3）使客户端与服务器端实现相互间的身份认证。对于服务器端安全代理，它一般只由安全通信部分构成。它主要的作用有：①同时与多个服务器端安全代理进行安全通信。②使客户端与服务器端实现相互间的身份认证。（二）网络地理信息系统数据传输安全平台的工作过程。基于安全代理中间件建立的数据传输安全平台的工作过程可以分为如下4个阶段：（1）客户端与服务器端建立安全的连接。（2）客户端与服务器端协商安全通信参数，相互认证对方身份。（3）如果双方认证成功，则双方利用协商好的参数进行安全通信；否则，如果双方认证失败，则断开第一步建立的安全连接。（4）在安全通信结束后，双方断开连接。在这里有两个需要具体注意的问题：①互联网采用的HT TP协议是一个无连接、无状态的协议。它每次连接仅处理一个请求，而且在服务器端与客户端均不保存前一次连接的状态，因此连接的建立和关闭很频繁。如果每一次连接通信，双方都必须执行一次相互身份认证，势必将明显降低客户端与服务器端的通信速度。所以，应当采取某种机制，比如象虚连接的处理方式，使得在一定时期内只有当客户端第一次向服务器端发出连接请求时才需要进行身份的认证，此次认证所产生的安全参数可以为该服务器端与客户端随后进行的连接所使用，即一次认证可对应多个连接。②当同时有大量用户访问网络地理信息系统时，如何保证安全代理系统可靠、高效地提供服务，也是一个十分关键的问题。在这里，服务器端安全代理与客户端安全代理都应该是作为一种守护进程在各自的系统上后台运行，监听相应的连接请求。一般来说，采用线程虽然具有速度快、系统开销小、易于同步等特点，但是由于线程的运行是基于进程的，如果低层的进程运行出现问题（比如进程崩溃），以它为基础的线程势必全部都会受到影响；而且由于同一进程的多个用户线程的数据在内存中是共享同一存储区域的，因而有可能出现不同用户的线程之间数据发生相互干扰或者恶意的用户非法获取或破坏其它用户线程数据的情况。因此，在系统的实现中应该尽量采用多进程的设计方式。客户端与WEBGIS服务器端进行安全数据传输的具体过程设计如下：客户端安全代理启动，在某一指定端口（通常为8080）监听客户端浏览器的连接请求。服务器端安全代理启动，在某一指定端口监听客户端安全代理的连接请求。客户端安全代理接收客户端浏览器的连接申请，解析申请，确定将要连接的服务器端安全代理的IP地址和端口号。

随着网络技术的不断发展，人们将会越来越多地通过网络获取、共享地理信息。然而，地理信息的开放与共享通常会带来地理信息的安全问题。因此，为了更好地利用地理信息资源，对地理信息在网络环境下的安全保护问题进行研究是十分必要的。

参考文献：

[1]龚丽.当代GIS的若干理论与技术.武汉：武汉测绘科技大学出版社，2014.

[2]周建.地理信息系统概要.北京：中国科学技术出版社，2014.

（作者单位：国家能源集团准能集团信息中心）