淺析數(shù)據(jù)庫系統(tǒng)中安全代理訪問技術

1、<p>　　淺析數(shù)據(jù)庫系統(tǒng)中安全代理訪問技術</p><p>　　摘要：基于網(wǎng)絡的數(shù)據(jù)庫訪問安全問題，即數(shù)據(jù)庫遠程訪問安全問題成為研究熱點問題，本文針對信息系統(tǒng)中基于廣域網(wǎng)的數(shù)據(jù)庫訪問帶來的非法訪問、黑客攻擊、數(shù)據(jù)的截取、篡改等安全問題提供了建立一個安全代理系統(tǒng)代理對數(shù)據(jù)庫的訪問的思路，并對其中整個系統(tǒng)結(jié)構(gòu)進行分析。</p><p>　　關鍵詞：數(shù)據(jù)庫 安全代理 系統(tǒng)結(jié)構(gòu)分析&

2、lt;/p><p><b>　　0 引言</b></p><p>　　隨著信息時代的到來，各種信息爆炸式發(fā)展并積累著，這涉及到人們?nèi)粘Ｉ?、企事業(yè)單位的管理、各種科研活動以至國家的宏觀經(jīng)濟調(diào)控等等各個方面。采用計算機對各種信息作為數(shù)據(jù)進行管理成為高效科學的手段，這也促進了計算機數(shù)據(jù)庫的發(fā)展。目前，基于計算機網(wǎng)絡的系統(tǒng)正得到越來越廣泛的應用，計算機網(wǎng)絡的開放性和信息的安全性

3、之間的矛盾日益突出?；诰W(wǎng)絡的數(shù)據(jù)庫訪問安全問題，即數(shù)據(jù)庫遠程訪問安全問題成為研究熱點問題[1，2]，本文針對信息系統(tǒng)中基于廣域網(wǎng)的數(shù)據(jù)庫訪問帶來的非法訪問、黑客攻擊、數(shù)據(jù)的截取、篡改等安全問題提供了建立一個安全代理系統(tǒng)代理對數(shù)據(jù)庫的訪問的思路，并對其中整個系統(tǒng)結(jié)構(gòu)進行分析。</p><p>　　1 數(shù)據(jù)庫安全代理訪問系統(tǒng)結(jié)構(gòu)</p><p>　　為了達到安全訪問數(shù)據(jù)庫的目的，在傳統(tǒng)的數(shù)據(jù)

4、庫訪問方式中加入加密和認證安全技術以及防火墻技術，形成新的數(shù)據(jù)庫訪問結(jié)構(gòu)，而新加入的模塊以代理的形式在起作用。</p><p>　　1.1 總體系統(tǒng)結(jié)構(gòu) 數(shù)據(jù)庫安全訪問代理用來提供用戶身份認證和數(shù)據(jù)庫訪問服務并提供了網(wǎng)絡傳輸加密服務。所有的客戶方的數(shù)據(jù)庫訪問請求都通過數(shù)據(jù)庫安全訪問代理進行轉(zhuǎn)發(fā)。客戶方數(shù)據(jù)訪問代理用于接收所有的客戶應用數(shù)據(jù)庫訪問請求(包括數(shù)據(jù)庫客戶的連接建立和連接斷開請求)，并負責向數(shù)據(jù)庫客戶傳送

5、數(shù)據(jù)庫訪問的結(jié)果。數(shù)據(jù)庫訪問請求是按照協(xié)議格式化為數(shù)據(jù)報提供給數(shù)據(jù)加密/認證客戶端，而數(shù)據(jù)庫訪問結(jié)果是按照協(xié)議格式由數(shù)據(jù)加密/認證客戶端提供。數(shù)據(jù)加密認證客戶端完成客戶端的數(shù)據(jù)加密和認證工作，同服務器端的數(shù)據(jù)加密/認證服務器一起完成強大的數(shù)據(jù)加密功能保障數(shù)據(jù)安全。數(shù)據(jù)加密/認證服務器接收通過廣域網(wǎng)(或者是局域網(wǎng))傳輸?shù)目蛻舳税l(fā)出的數(shù)據(jù)庫訪問請求數(shù)據(jù)報，這個請求是經(jīng)過數(shù)據(jù)加密/認證客戶端加密的。解密后的數(shù)據(jù)傳遞給數(shù)據(jù)庫訪問代理服務器。然后

6、將數(shù)據(jù)庫訪問代理服務器返回的結(jié)果加密通過網(wǎng)絡回送客戶端。</p><p>　　可以看到代理系統(tǒng)將廣域網(wǎng)包含在內(nèi)部。廣域網(wǎng)是數(shù)據(jù)庫訪問中的最薄弱環(huán)節(jié)，容易引起各種安全問題。采用代理后廣域網(wǎng)中傳輸?shù)氖羌用芎蟮臄?shù)據(jù)，配合認證簽名技術可以保證數(shù)據(jù)不被竊取篡改，極大的提高了系統(tǒng)的數(shù)據(jù)安全性。數(shù)據(jù)庫訪問代理服務器主要用于向數(shù)據(jù)庫服務器提出所代理客戶的數(shù)據(jù)庫訪問請求，并負責接受應答，執(zhí)行真正的數(shù)據(jù)庫操作。</p>

7、<p>　　1.2 安全訪問代理的中間件特點 數(shù)據(jù)庫安全訪問代理處在應用和數(shù)據(jù)庫之間，起一個數(shù)據(jù)庫中間件的作用和結(jié)構(gòu)?？梢栽诖硐到y(tǒng)中，對數(shù)據(jù)庫的訪問請求進行控制管理，配合數(shù)據(jù)庫的特點，達到發(fā)揮最大數(shù)據(jù)庫性能的目的，例如建立數(shù)據(jù)庫連接池。這種模型完全克服了傳統(tǒng)的客戶/服務器模型的缺點，具有可重用性、靈活性、可管理性、易維護性等一系列優(yōu)良的特性。遠程過程調(diào)用中間件(RPC，Remote Proeedure Call)在客戶/服

8、務器計算方面，比數(shù)據(jù)庫中間件又邁進了一步。即C的靈活特性使得它有比數(shù)據(jù)庫中間件更廣泛的應用，它可以應用在更復雜的客戶/服務器計算環(huán)境中。</p><p>　　1.3 安全訪問代理的代理作用 之所以稱為代理是因為系統(tǒng)接收數(shù)據(jù)庫應用的數(shù)據(jù)庫訪問請求，把請求映射到代理系統(tǒng)對于數(shù)據(jù)庫的訪問，而系統(tǒng)不對這些請求進行過于復雜的處理。同其它代理系統(tǒng)一樣，這種代理具有能夠加入安全控制的特點，同時代理系統(tǒng)對外接收數(shù)據(jù)庫訪問請求，而

9、數(shù)據(jù)庫系統(tǒng)可以只接受代理的訪問請求，起到隔離和安全保護作用。另一個重要特點是，可以加入到己經(jīng)開發(fā)應用的信息系統(tǒng)中，極大提高原有系統(tǒng)的安全性能而不需要重新開發(fā)。</p><p>　　1.4 安全訪問代理的防火墻作用 現(xiàn)在網(wǎng)絡的一個現(xiàn)狀是黑客的攻擊廣泛存在。攻擊后果可以是竊取信息、使系統(tǒng)癱瘓或者造成網(wǎng)絡堵塞。數(shù)據(jù)庫安全訪問代理可以起應用級網(wǎng)關類別的防火墻作用，代理服務器而不是數(shù)據(jù)庫暴露在廣域網(wǎng)中，對數(shù)據(jù)庫的訪問都是通

10、過代理服務器來完成。代理服務器采用防火墻技術對抗黑客的各種攻擊，以及配合數(shù)據(jù)加密和身份認證技術，使系統(tǒng)達到極大的安全要求。數(shù)據(jù)庫和代理服務器處于一個局域網(wǎng)之中，不會受到廣域網(wǎng)用戶的訪問或者攻擊，同時數(shù)據(jù)庫的原有安全措施在起作用。</p><p>　　1.5 安全代理訪問系統(tǒng)采用SSL加密認證技術 代理系統(tǒng)中的數(shù)據(jù)加密和身份認證及簽名采用SSL技術來完成。代理系統(tǒng)中的數(shù)據(jù)加密和身份認證及簽名采用SSL技術來完成。應

11、用程序通常使用IPC (Interporcess Communications Facility)與不同層次的安全協(xié)議打交道，在不同傳輸層協(xié)議中工作。最流行的工PC界面是Badsockets和TLI。在Unix系統(tǒng)V命令里可以找到。在Internet中提供安全服務的首先一個想法便是強化它的IPC界面，如BSD Sockets等，具體做法包括雙端實體的認證，數(shù)據(jù)加密密鑰的交換等。</p><p>　　1.6 安全代

12、理訪問系統(tǒng)形成多層結(jié)構(gòu) 為了克服由于傳統(tǒng)客戶/服務器模型的這些缺陷給系統(tǒng)應用帶來的影響，一種新的結(jié)構(gòu)出現(xiàn)了，這就是三層(N層)客戶/服務器模型。三層客戶/服務器結(jié)構(gòu)構(gòu)建了一種分割式的應用程序。系統(tǒng)對應用程序進行分割后，劃分成不同的邏輯組件，主要分為三層:用戶服務層，業(yè)務處理層，數(shù)據(jù)服務層。系統(tǒng)中由于安全訪問代理的加入而形成多層結(jié)構(gòu)，安全代理形成獨立的一層，與其它層通過標準的數(shù)據(jù)庫訪問接口，這就提供了極大的靈活性，每一層的改變可以不影響其

13、它層。這也很大程度上降低了數(shù)據(jù)安全訪問代理的設計復雜性。</p><p>　　1.7 安全代理訪問系統(tǒng)采用ODBC技術 ODBC之所以能夠操作眾多的數(shù)據(jù)庫，是由于當前絕大部分數(shù)據(jù)庫全部或部分地遵從關系數(shù)據(jù)庫概念，ODBC看待這些數(shù)據(jù)庫時正是著眼了這些共同點。ODBC基本思想是提供獨立程序來提取數(shù)據(jù)信息，并具有向應用程序輸入數(shù)據(jù)的方法。ODBC接口的優(yōu)勢之一為互操作性，程序設計員可以在不指定特定數(shù)據(jù)源情況下創(chuàng)建OD

14、BC應用程序。從應用程序角度方面，為了使每個驅(qū)動程序和數(shù)據(jù)源都支持相同的ODBC函數(shù)調(diào)用和SQL語句集，ODBC接口定義了一致性級別，即ODBC API一致性和ODBC SRL語法一致性。</p><p>　　1.8 安全代理訪問系統(tǒng)對于應用的透明性 對于應用的透明性是指對應數(shù)據(jù)庫應用來說，采用或者不采用數(shù)據(jù)庫安全訪問代理，對于數(shù)據(jù)庫的訪問方法沒有區(qū)別。技術的透明性可以達到一個向上繼承的作用，這也是很大的優(yōu)點。對

15、應用的透明性是通過采用標準的數(shù)據(jù)庫訪問技術來達到的，數(shù)據(jù)庫應用的每一個數(shù)據(jù)庫訪問操作經(jīng)過訪問代理系統(tǒng)映射為同樣的數(shù)據(jù)庫訪問實施于數(shù)據(jù)庫，對AP工調(diào)用進行一對一的映射，所以原來開發(fā)系統(tǒng)不需要改動。也為系統(tǒng)的方案設計提供了靈活性。</p><p>　　1.9 安全代理訪問系統(tǒng)中數(shù)據(jù)的壓縮傳輸 數(shù)據(jù)庫安全訪問代理中，數(shù)據(jù)的傳輸要通過工nternet來完成。帶寬相對于局域網(wǎng)來說要窄的多，造成數(shù)據(jù)庫訪問的瓶頸，影響速度。對

16、于使用很廣泛的撥號上網(wǎng)方式來說，速度問題更為重要。所以考慮采用數(shù)據(jù)壓縮傳輸。數(shù)據(jù)的壓縮是作為SSL的一部分存在的，采用的主要壓縮技術是Zlib。通常的壓縮比可以達到2:1~5:1。</p><p><b>　　2 結(jié)語</b></p><p>　　通過廣域網(wǎng)的數(shù)據(jù)庫訪問，存在用戶的身份認證、黑客的攻擊、數(shù)據(jù)的被竊取、篡改等安全問題，以及廣域網(wǎng)帶寬窄造成的速度慢問題。為

17、信息系統(tǒng)的開發(fā)應用造成了困難。上述問題可以通過數(shù)據(jù)庫安全訪問代理解決。訪問代理具有中間件的特點介于數(shù)據(jù)應用和數(shù)據(jù)庫之間，形成了一個數(shù)據(jù)庫訪問的多層結(jié)構(gòu)。這些結(jié)構(gòu)特點使代理相對獨立，降低系統(tǒng)的復雜度。</p><p><b>　　參考文獻：</b></p><p>　　[1]宋紅君，秦利波.數(shù)據(jù)庫安全技術策略與多級安全代理模型[J].華北科技學院學報.2005.02.&