基于Web的数据库安全技术研究
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
T e R s ac fD tb s e ui e h o g a e n W e h e e rh o aa a e S c ry T c n l y b s d o b t o
WuH i a gJ - a u #F n i j n - au
(h n z o eh i l oe e H n n Z e g h u 4 0 2 , Z e g h u Tc nc C lg e a h n z o 5 1 1 a l )
Hale Waihona Puke 8 ・ 2 .8 ・ 0110 www . os i or i nf t ng. g
技 术 探 讨 ・T c n l g n t d ehoo yadSuy
2C1 : 进行 一些 初 级 的 自主保 护 , 实现 用 户 及数 据 ) 级 可 可
的分 离 , 于 用户 权限 的 传播 有一 定 的限 制 和保 护作 用 。 对
2 完整性 : ) 数据库中的数据不能够被非法的修改或删除 。
3一 致 性 : ) 保证 数 据库 中 数 据满 足参 照 完 整性 、 实体 完 整
性 和用 户定义 完整 性 的要求 。
1W e . b数 据 库 安 全
目前 , 于 B S 构的 网络 模 式成 为 主 流 , 基 /结 网络 中到 处都 充 斥着 W e 息 , e 数 据 库 也 成 为众 多 黑 客 攻 击 的重 点 , b信 W b 对 于 各个 组织来 说 , 何维 护该 部 门数 据 库的 安全成 为最 为重 如
进行 追查 。
3 用户 识 别 )
对 于进 入 数据 库 系统 , 户识 别是 外 围 的保 护措 施 。 即让 用 系 统 能够 识别 用 户的 合法 性和 权 限 。 目前 , 户识 别 主要 有 三 用
种方式:
图 1数 据 库 内 核 层 加 密 关 系 示 意 图
事 实上 , 数 据库 的 加密 系 统做成 外 层工 具更 加 实际 。即 将
・
制定 的《 信计 算机 系 统安全评 估 标准 》将 整个 系统 的安 全性 可 , 分为 七个 级别 , 这些 级 别采 用 向 下兼 容 的关 系 , 高级 别 安全 即
等 级 包含低 级 别等 级的所 有 要求 。这 7个级 别分 别是 :
1D 级 : 级 别是 最 小 保护 级 , 表 着数 据库 是 不 可信 任 ) 该 代 的 , 于不 能提 供身份 验证 的 网络 服务 划入 该级 别 中。 对
将 加 密和 解 密工 作都 放在 客 户端 来进 行 , 这样 就不 会加 重 服务 器 的 负载 , 可 利 用其 加密 和解 密 实现在 网络传 输 过程 中数 并且
据 的 加密 工作 。其缺 点是 将 限制 一些 加 密的 功能 。图 2 数据 是
库 外层 工 具 的加 密关 系示 意 图。
算 由 US e 来 完成 , BK y 其数据 证 书无 法被 得制 , 的密钥不 会 算出
出现在 计算机 的内存或 网络之 中 , 保证 了密钥 的安 全性 。只有硬
4B 级 : 记安 全 保护 级 , )1 标 管理 及 强制 访 问控 制机 制 。
5B 级 : 构化 保 护 级 , )2 结 该级 别 中 没有 数 据库 方 面 符合 的
作 。 We 其 b数 据库信 息 的存储 量越 来越 大 , b数 据库 的安全 也 受到 了严峻 的挑 战 。本 文介 绍 了数据 库安 全 的基本 原理 和数据 We 库 安全 的实现 技术 , 详细描 述 了数据 库 的子密 钥加 密算法 。
【关键 词 】 b 数据 库 ; We ; 安全技 术
T c n l g n t d e h o o y a d S u y・技 术 探 讨
基于 We b的数据库安全技术研究
吴 慧 丽 方 加 娟
( 州职 业技 术 学 院 河 南 郑 州 4 0 2 ) 郑 5 1 1
【摘 要 】 着网络 的迅 速普 及 , b技术 随 之得 到广 泛应 用 , 随 We 无论 是政 府 、 学校 、 事业 单位 等都 应 用到 We 技 术进 行宣 传或 工 企 b
caeg . h r e ir ue eb s rc l f a b s eut ad dt aesc r cnl y dt l ecpo f a bs e hlne T i a i t dcst ai p nie o d t aes cr n a b s e ut t o g , e idd srtno dt aeky l s t no l c h c i ps a i y a i e y h o ae ii a s
【 bt c Wi t p p a to , bt ho g i la, ht r oe m n ,col etpss n suoshv pl A sat】 t h r isr d fe r We cnl y d y sw e e vr et sho ,n ri dnt tn, ae p do r h ea d e o n w k e o w e h G n s s e re a i i i t a it e
2 数 据 库 安 全 的 实现 技 术 .
基 于 WE B数 据库 安全 的方 法和 实 现 技 术 ,主 要 有 四种 , 分 别是 : 问控 制 、 据 库审 计 、 户识 别和 数 据库 加密 。 访 数 用
1 访 问控 制 】
通 常所 说 的访 问控 制 ,主要 是 指数 据库 资 源 的使 用情 况 ,
行 , 保证 不 降低 系 统性 能的 前提 下进 行 加密 和解 密操 作 是十 在 分 必 要的 。 对 于 数 据库 来 说 , 加 密 的单 位 主 要有 : 、 其 表 属性 、 录和 记 数 据元 素 。 目前 的数据 库 系统 采 用的都 是三 层 结构 , 三层 分 这 别 是操 作 系 统层 、 数据 库 内核层 和 外层 。 操 作系 统层 , 于大 在 对 型 的数 据库 , 目前还 无 法对 其进 行 加密 。 对 于 数 据库 的 内核层 , 果要 对 其 进行 加 密 , 须要 获 得 如 必
要和迫 切 的任务 。
4可 用性 : 数据 库 中的数 据对 于授 权用 户来 说是 可 使 ) 保证
用 的。
综 上所 述 , 数 据 库系 统 安全 主 要 包括 以下要 求 : 问 整个 访 控 制 、 份 识别 、 体重 用 、 全 审计 、 据 完 整性 、 理控 制 、 身 客 安 数 推
决 定 由哪些 用 户可 以对 具 体的 数据 进行 操 作处 理 。 只有 在 授权 范 围 以内 的用 户 ,才 能在 自己 的权 限 以 内 ,对 其 特定 的 WE B 数据 库 中 的数 据进 行 访问处 理 。 即将 成 员关 系 、 限和 主 体有 权 机地 结合 起来 , 通过 引入 角 色这 一 概 念 , 扩展 了传 统 意 义 上 的 数 据库 数 据 的存 取 控 制范 围 , 授 权 、 责和 条 件 进 行 了 详细 将 职
6B 级 : 全域 级 。 )3 安
7 A1 : 证保 护 级 。 ) 级 验
就 目前 来 说 , 2 别 以前 的 系统 基本 上 还 处 于理 论 阶段 , B 级 对 于我 们 的数 据库 安全 来 说 , 本 上都 是处 于 c级 。 基
经常 反复 使 用 , 密和 解 密也 会随 着数 据 的每 次调 用 而反 复执 加
w r ep bcyo btcn l i , bd t aeiom tn i rai ea o n o oa e We aaaescr a l e nasr u okit u li r h o g sWe a b s f ai ,n es gt m ut f trg , bd tbs eut h sa obe i s nh it We e oe a nr o c n h s i y s e o
a 户 加密 码 的形 式 , 是 目前 应 用最 多 的 识 别方 式 。同 ) 用 这 时 也是 最不 安全 的一种 方 式 , 侵 者可 以通 过 线路 窃 听或 重 复 入 攻 击 的方 式获 取 用户 和密 码 , 而 以合 法 的身 份进 入 到数 据库 从 系 统 当中 。 b生物 特 征 识别 形 式 , ) 这是 利 用人 体 唯一 特 殊 的 生理 特征 ( 指纹 ) 为进 入 系 统 的标 识 , 安 全 性相 对 较 高 , 技 术相 如 作 其 但 对复 杂 , 别应 用于 WE 特 B数 据库来 说 , 其成本 较 高 , 易维 护 。 不
的定 义 。
该 数据 库 开发 商 的支持 。内核层 的加密 是在 数 据存 取之 前 , 就 完 成数 据 的加 密和解 密的 工作 。 内核层 的加 密及 解 密工 作 , 不 会 影 响数 据库 系 统 的功 能 , 有 可 能加 重 WE 但是 B服 务器 的负
载 。其 具体 的加 密方 式 如 图 1 示 : 所
1保 密性 : 库 中的数 据及 信息 只有 被授 权 的用 户才 能 ) 数据
够 使用 或浏 览 , 护其数 据不 发 生泄露 。 保
WT . B的数据库安全成为重中之重。 从早期的简单备份恢复 、 认
证、 数据加 密和 通信 环节 的监 控等一 系列 进程 无不 与安全 息 息 相关 , 文从数 据库 安全 的技 术手段 上来 分析 研究 。 本
产品。
件的拥有者才能对其数字证书进行认证 , 保证了数据库的安全。 4) 据 库 加 密 技 术 数
保存 在 数据 库 中的数 据 , 中一个 最 显著 的特 点是 存 储 的 其 时 间长 , 这样 对 于 其 安 全性 提 出 了更 高 的 要 求 , 其进 行 加密 对 是 目前解 决 的最 好办 法 。但 与此 同时 , 由于 数 据库 中 的数 据要
21 据 库 审 计 数
该功 能 是 把所 有 用户 对数 据 库 所 有 的操 作 都 记 录在 审计 日志 中 。 如数 据库 出现 被 恶意 修 改 、 坏 或删 除等 非 法操 作 , 假 破
可通 过 审 计 日志 中所 记 录 的 信 息 , 分析 其 操 作事 件 , 对其 人 员
e cy t nag rh . n rpi lo tms o i
【Ky od W bDt aeScr cnl y ew rs】 e,a bs,eutt ho g a ie o y
网 络的不 断发 展 , 人们 得到 便利 的同时 , 让 也带 来 了隐 患 , 信 息 的 安 全 性越 来 越 受 到 国 家 和企 事 业 的 重 视 ,其 中 基 于
和 可恢复 性等 。
11数 据 库 安 全 的 定 义 .
无 论 是国 内还 是 国外 , 于 数据 库 的定 义 有很 多 种 , 对 把这
12W e . b数 据库 安 全 等 级
目前 , 球 所用 的 数据 库 安 全等 级 , 是参 照 美 国国 防部 全 都
些 定义 总结起 来 , 主要 有两方 面含 义 : ) 1系统 运行 的安 全 , 非法 用 户通过 网络对 所 入 侵的 电脑 进 行控 制 ;)系统 信息 的 安全 , 2 即对 数据 库进 行入 侵 , 而获 取或 破坏 合法 用户 的信 息 。本论 从 文所 涉及 到数 据库 安全 主要针 对 第二种 含义 。 要保 证数 据库 安全 , 主要 从 以下几个 方面 来考 虑 :
份识 别。它 的认证 方式 有两种 , 一种是 P I K 体系 的认证 方式 , 另
一
种是 冲击 / 响应 的认 证模 式 。无论是 哪一 种模 式 , 密钥 的运 其
3C 级 : 于现 实使 用 的产 品来 说 , )2 对 该级 别是 必 须 要满 足
的 。可对 安全 事件 进 行跟 踪和 审 计处 理 。