淺析數(shù)據(jù)庫系統(tǒng)中安全代理訪問技術(shù)

1、<p>　　淺析數(shù)據(jù)庫系統(tǒng)中安全代理訪問技術(shù)</p><p>　　摘要：基于網(wǎng)絡(luò)的數(shù)據(jù)庫訪問安全問題，即數(shù)據(jù)庫遠程訪問安全問題成為研究熱點問題，本文針對信息系統(tǒng)中基于廣域網(wǎng)的數(shù)據(jù)庫訪問帶來的非法訪問、黑客攻擊、數(shù)據(jù)的截取、篡改等安全問題提供了建立一個安全代理系統(tǒng)代理對數(shù)據(jù)庫的訪問的思路，并對其中整個系統(tǒng)結(jié)構(gòu)進行分析。</p><p>　　關(guān)鍵詞：數(shù)據(jù)庫 安全代理 系統(tǒng)結(jié)構(gòu)分析&

2、lt;/p><p><b>　　0 引言</b></p><p>　　隨著信息時代的到來，各種信息爆炸式發(fā)展并積累著，這涉及到人們?nèi)粘Ｉ?、企事業(yè)單位的管理、各種科研活動以至國家的宏觀經(jīng)濟調(diào)控等等各個方面。采用計算機對各種信息作為數(shù)據(jù)進行管理成為高效科學(xué)的手段，這也促進了計算機數(shù)據(jù)庫的發(fā)展。目前，基于計算機網(wǎng)絡(luò)的系統(tǒng)正得到越來越廣泛的應(yīng)用，計算機網(wǎng)絡(luò)的開放性和信息的安全性

3、之間的矛盾日益突出?；诰W(wǎng)絡(luò)的數(shù)據(jù)庫訪問安全問題，即數(shù)據(jù)庫遠程訪問安全問題成為研究熱點問題[1，2]，本文針對信息系統(tǒng)中基于廣域網(wǎng)的數(shù)據(jù)庫訪問帶來的非法訪問、黑客攻擊、數(shù)據(jù)的截取、篡改等安全問題提供了建立一個安全代理系統(tǒng)代理對數(shù)據(jù)庫的訪問的思路，并對其中整個系統(tǒng)結(jié)構(gòu)進行分析。</p><p>　　1 數(shù)據(jù)庫安全代理訪問系統(tǒng)結(jié)構(gòu)</p><p>　　為了達到安全訪問數(shù)據(jù)庫的目的，在傳統(tǒng)的數(shù)據(jù)

4、庫訪問方式中加入加密和認證安全技術(shù)以及防火墻技術(shù)，形成新的數(shù)據(jù)庫訪問結(jié)構(gòu)，而新加入的模塊以代理的形式在起作用。</p><p>　　1.1 總體系統(tǒng)結(jié)構(gòu) 數(shù)據(jù)庫安全訪問代理用來提供用戶身份認證和數(shù)據(jù)庫訪問服務(wù)并提供了網(wǎng)絡(luò)傳輸加密服務(wù)。所有的客戶方的數(shù)據(jù)庫訪問請求都通過數(shù)據(jù)庫安全訪問代理進行轉(zhuǎn)發(fā)。客戶方數(shù)據(jù)訪問代理用于接收所有的客戶應(yīng)用數(shù)據(jù)庫訪問請求(包括數(shù)據(jù)庫客戶的連接建立和連接斷開請求)，并負責向數(shù)據(jù)庫客戶傳送

5、數(shù)據(jù)庫訪問的結(jié)果。數(shù)據(jù)庫訪問請求是按照協(xié)議格式化為數(shù)據(jù)報提供給數(shù)據(jù)加密/認證客戶端，而數(shù)據(jù)庫訪問結(jié)果是按照協(xié)議格式由數(shù)據(jù)加密/認證客戶端提供。數(shù)據(jù)加密認證客戶端完成客戶端的數(shù)據(jù)加密和認證工作，同服務(wù)器端的數(shù)據(jù)加密/認證服務(wù)器一起完成強大的數(shù)據(jù)加密功能保障數(shù)據(jù)安全。數(shù)據(jù)加密/認證服務(wù)器接收通過廣域網(wǎng)(或者是局域網(wǎng))傳輸?shù)目蛻舳税l(fā)出的數(shù)據(jù)庫訪問請求數(shù)據(jù)報，這個請求是經(jīng)過數(shù)據(jù)加密/認證客戶端加密的。解密后的數(shù)據(jù)傳遞給數(shù)據(jù)庫訪問代理服務(wù)器。然后

6、將數(shù)據(jù)庫訪問代理服務(wù)器返回的結(jié)果加密通過網(wǎng)絡(luò)回送客戶端。</p><p>　　可以看到代理系統(tǒng)將廣域網(wǎng)包含在內(nèi)部。廣域網(wǎng)是數(shù)據(jù)庫訪問中的最薄弱環(huán)節(jié)，容易引起各種安全問題。采用代理后廣域網(wǎng)中傳輸?shù)氖羌用芎蟮臄?shù)據(jù)，配合認證簽名技術(shù)可以保證數(shù)據(jù)不被竊取篡改，極大的提高了系統(tǒng)的數(shù)據(jù)安全性。數(shù)據(jù)庫訪問代理服務(wù)器主要用于向數(shù)據(jù)庫服務(wù)器提出所代理客戶的數(shù)據(jù)庫訪問請求，并負責接受應(yīng)答，執(zhí)行真正的數(shù)據(jù)庫操作。</p>

7、<p>　　1.2 安全訪問代理的中間件特點 數(shù)據(jù)庫安全訪問代理處在應(yīng)用和數(shù)據(jù)庫之間，起一個數(shù)據(jù)庫中間件的作用和結(jié)構(gòu)?？梢栽诖硐到y(tǒng)中，對數(shù)據(jù)庫的訪問請求進行控制管理，配合數(shù)據(jù)庫的特點，達到發(fā)揮最大數(shù)據(jù)庫性能的目的，例如建立數(shù)據(jù)庫連接池。這種模型完全克服了傳統(tǒng)的客戶/服務(wù)器模型的缺點，具有可重用性、靈活性、可管理性、易維護性等一系列優(yōu)良的特性。遠程過程調(diào)用中間件(RPC，Remote Proeedure Call)在客戶/服

8、務(wù)器計算方面，比數(shù)據(jù)庫中間件又邁進了一步。即C的靈活特性使得它有比數(shù)據(jù)庫中間件更廣泛的應(yīng)用，它可以應(yīng)用在更復(fù)雜的客戶/服務(wù)器計算環(huán)境中。</p><p>　　1.3 安全訪問代理的代理作用 之所以稱為代理是因為系統(tǒng)接收數(shù)據(jù)庫應(yīng)用的數(shù)據(jù)庫訪問請求，把請求映射到代理系統(tǒng)對于數(shù)據(jù)庫的訪問，而系統(tǒng)不對這些請求進行過于復(fù)雜的處理。同其它代理系統(tǒng)一樣，這種代理具有能夠加入安全控制的特點，同時代理系統(tǒng)對外接收數(shù)據(jù)庫訪問請求，而

9、數(shù)據(jù)庫系統(tǒng)可以只接受代理的訪問請求，起到隔離和安全保護作用。另一個重要特點是，可以加入到己經(jīng)開發(fā)應(yīng)用的信息系統(tǒng)中，極大提高原有系統(tǒng)的安全性能而不需要重新開發(fā)。</p><p>　　1.4 安全訪問代理的防火墻作用 現(xiàn)在網(wǎng)絡(luò)的一個現(xiàn)狀是黑客的攻擊廣泛存在。攻擊后果可以是竊取信息、使系統(tǒng)癱瘓或者造成網(wǎng)絡(luò)堵塞。數(shù)據(jù)庫安全訪問代理可以起應(yīng)用級網(wǎng)關(guān)類別的防火墻作用，代理服務(wù)器而不是數(shù)據(jù)庫暴露在廣域網(wǎng)中，對數(shù)據(jù)庫的訪問都是通

10、過代理服務(wù)器來完成。代理服務(wù)器采用防火墻技術(shù)對抗黑客的各種攻擊，以及配合數(shù)據(jù)加密和身份認證技術(shù)，使系統(tǒng)達到極大的安全要求。數(shù)據(jù)庫和代理服務(wù)器處于一個局域網(wǎng)之中，不會受到廣域網(wǎng)用戶的訪問或者攻擊，同時數(shù)據(jù)庫的原有安全措施在起作用。</p><p>　　1.5 安全代理訪問系統(tǒng)采用SSL加密認證技術(shù) 代理系統(tǒng)中的數(shù)據(jù)加密和身份認證及簽名采用SSL技術(shù)來完成。代理系統(tǒng)中的數(shù)據(jù)加密和身份認證及簽名采用SSL技術(shù)來完成。應(yīng)

11、用程序通常使用IPC (Interporcess Communications Facility)與不同層次的安全協(xié)議打交道，在不同傳輸層協(xié)議中工作。最流行的工PC界面是Badsockets和TLI。在Unix系統(tǒng)V命令里可以找到。在Internet中提供安全服務(wù)的首先一個想法便是強化它的IPC界面，如BSD Sockets等，具體做法包括雙端實體的認證，數(shù)據(jù)加密密鑰的交換等。</p><p>　　1.6 安全代

12、理訪問系統(tǒng)形成多層結(jié)構(gòu) 為了克服由于傳統(tǒng)客戶/服務(wù)器模型的這些缺陷給系統(tǒng)應(yīng)用帶來的影響，一種新的結(jié)構(gòu)出現(xiàn)了，這就是三層(N層)客戶/服務(wù)器模型。三層客戶/服務(wù)器結(jié)構(gòu)構(gòu)建了一種分割式的應(yīng)用程序。系統(tǒng)對應(yīng)用程序進行分割后，劃分成不同的邏輯組件，主要分為三層:用戶服務(wù)層，業(yè)務(wù)處理層，數(shù)據(jù)服務(wù)層。系統(tǒng)中由于安全訪問代理的加入而形成多層結(jié)構(gòu)，安全代理形成獨立的一層，與其它層通過標準的數(shù)據(jù)庫訪問接口，這就提供了極大的靈活性，每一層的改變可以不影響其

13、它層。這也很大程度上降低了數(shù)據(jù)安全訪問代理的設(shè)計復(fù)雜性。</p><p>　　1.7 安全代理訪問系統(tǒng)采用ODBC技術(shù) ODBC之所以能夠操作眾多的數(shù)據(jù)庫，是由于當前絕大部分數(shù)據(jù)庫全部或部分地遵從關(guān)系數(shù)據(jù)庫概念，ODBC看待這些數(shù)據(jù)庫時正是著眼了這些共同點。ODBC基本思想是提供獨立程序來提取數(shù)據(jù)信息，并具有向應(yīng)用程序輸入數(shù)據(jù)的方法。ODBC接口的優(yōu)勢之一為互操作性，程序設(shè)計員可以在不指定特定數(shù)據(jù)源情況下創(chuàng)建OD

14、BC應(yīng)用程序。從應(yīng)用程序角度方面，為了使每個驅(qū)動程序和數(shù)據(jù)源都支持相同的ODBC函數(shù)調(diào)用和SQL語句集，ODBC接口定義了一致性級別，即ODBC API一致性和ODBC SRL語法一致性。</p><p>　　1.8 安全代理訪問系統(tǒng)對于應(yīng)用的透明性 對于應(yīng)用的透明性是指對應(yīng)數(shù)據(jù)庫應(yīng)用來說，采用或者不采用數(shù)據(jù)庫安全訪問代理，對于數(shù)據(jù)庫的訪問方法沒有區(qū)別。技術(shù)的透明性可以達到一個向上繼承的作用，這也是很大的優(yōu)點。對

15、應(yīng)用的透明性是通過采用標準的數(shù)據(jù)庫訪問技術(shù)來達到的，數(shù)據(jù)庫應(yīng)用的每一個數(shù)據(jù)庫訪問操作經(jīng)過訪問代理系統(tǒng)映射為同樣的數(shù)據(jù)庫訪問實施于數(shù)據(jù)庫，對AP工調(diào)用進行一對一的映射，所以原來開發(fā)系統(tǒng)不需要改動。也為系統(tǒng)的方案設(shè)計提供了靈活性。</p><p>　　1.9 安全代理訪問系統(tǒng)中數(shù)據(jù)的壓縮傳輸 數(shù)據(jù)庫安全訪問代理中，數(shù)據(jù)的傳輸要通過工nternet來完成。帶寬相對于局域網(wǎng)來說要窄的多，造成數(shù)據(jù)庫訪問的瓶頸，影響速度。對

16、于使用很廣泛的撥號上網(wǎng)方式來說，速度問題更為重要。所以考慮采用數(shù)據(jù)壓縮傳輸。數(shù)據(jù)的壓縮是作為SSL的一部分存在的，采用的主要壓縮技術(shù)是Zlib。通常的壓縮比可以達到2:1~5:1。</p><p><b>　　2 結(jié)語</b></p><p>　　通過廣域網(wǎng)的數(shù)據(jù)庫訪問，存在用戶的身份認證、黑客的攻擊、數(shù)據(jù)的被竊取、篡改等安全問題，以及廣域網(wǎng)帶寬窄造成的速度慢問題。為

17、信息系統(tǒng)的開發(fā)應(yīng)用造成了困難。上述問題可以通過數(shù)據(jù)庫安全訪問代理解決。訪問代理具有中間件的特點介于數(shù)據(jù)應(yīng)用和數(shù)據(jù)庫之間，形成了一個數(shù)據(jù)庫訪問的多層結(jié)構(gòu)。這些結(jié)構(gòu)特點使代理相對獨立，降低系統(tǒng)的復(fù)雜度。</p><p><b>　　參考文獻：</b></p><p>　　[1]宋紅君，秦利波.數(shù)據(jù)庫安全技術(shù)策略與多級安全代理模型[J].華北科技學(xué)院學(xué)報.2005.02.&