数据库安全性控制的研究

数据库安全性控制的研究 126 No. 5 Vo l第 26 卷第 5期计算机应用与软件 Comp u te r App lica tion s and Softwa re M ay 2009 2009 年 5月 数据库安全性控制的研究 徐龙琴 刘双印沈玉利 () 广东海洋大学信息学院 广东 湛江 524088 摘 要针对目前数据库面临的安全威胁 ,从数据库安全的内涵出发 ,分析影响数据库安全的因素 ,提出数据库系统的安全体系 三个层次框架 。重点论述这三个层次的数据库安全控制采取的技术手段和措施 ,并在此基础上设计了一种安全数据库体系结构 ,实 现数据库多层安全控制技术协作与管理 ,更可靠地保证数据库的安全 。最后展望数据库安全研究的方向 。 关键词 数据库安全 存取控制 数据库加密 推理控制 RESEA RC H O F D A TA BA SE SEC UR ITY CO NTROL Xu Longq in L iu Shuangyin Shen Yu li ( )Institu te of Inform a tion, Guangdong O cean U n iversity, Z han jiang 524088, Guangdong, Ch ina A b stra c t In view of the cu rren t da taba se secu rity th rea t, sta rting from conno ta tion of the da taba se secu rity, in th is a rtic le it ana lyzed the e l2 em en ts wh ich affec t the da taba se secu rity, p ropo sed th ree2leve l secu rity system fram ewo rk of da taba se system , and emp ha sized on the techn ica l m ea su re s adop ted fo r da taba se secu rity con tro l on th ree laye rs. B e side s, ba sed on th is, a secu re da taba se system struc tu re wa s de signed to rea l2 ize the coop e ra tion and m anagem en t of m u lti2leve l secu rity con tro l techno logy, and to en su re the da taba se secu rity. F ina lly, the re sea rch d irec2 tion of the da taba se secu rity wa s fo reca sted. Keyword s D a taba se secu rity A cce ss con tro l D a taba se enc ryp tion R ea son ing con tro l 上的威胁是指由计算机软硬件故障 /错误导致的数据丢失等 ,为 了消除物理上威胁 ,常用备份和恢复的策略 ;逻辑上的威胁主要 0 引 言 ( ) 指对信息未被授权的存取 ,可以分为三类 : 1 信息泄漏 ,包括 (()( ) 直接和非直接 通过推理 地对保护数据的存取 ; 2 非法数据 随着数据库的广泛应用 , 越来越多的企业都将数据 如个 )人资料 、专利和工程数据等 保存在数据库中 ,若存储这些至关 ( )修改 ,由操作人员的失误或非法用户的故意修改引起 ; 3 拒绝 重要数据的数据库安全性无法保证 , 造成的后果将不堪设想 。 服务 ,通过独占系统资源导致其他用户不能访问数据库 。为了然而数据库没有像操作系统和网络在安全性上受到重视 ,并且 消除逻辑上的威胁 ,必须提供可靠的安全策略 ,以确保数据库的 数据库安全性正受到非法用户侵入 、病毒、推理和聚集攻击等多 安全性。 方面的威胁 ,这就使数据库的安全问更加严峻 。因此 ,有效地 保证数据库的安全已成为数据库研究领域重要课题之一 。本文 针对目前数据库面临的安全威胁 ,重点介绍了保证数据库安全 2 保证数据库安全技术所采用的措施 ,并设计出了一种安全数据库体系结构 ,展望了未 来的研究方向 。 数据库安全不仅依赖自身内部安全机制 ,还与外部网络环 境 、应用环境等因素有关 。从广义上讲 ,要保证数据库安全 ,必 须从三个层面做好安全措施 : ?网络系统层 ; ?宿主操作系统 层 ; ?数据库管理系统层 。它们构成了数据库三层安全体系 , 1 数据库安全概述从外到内保证数据的安全 。下面就如何通过保证这三个层次安 全来保证数据库的安全展开论述 。 1. 1 数据库安全的定义 2. 1 网络系统层安全技术关于数据库的安全 , 国内外有不同的定义 , 本文采用我国 网络系统是数据库应用的外部环境和基础 ,是外部入侵数 GB1785921999《计算机信息系统安全保护等级划分准则 》中的 据库安全的第一道屏障 。网络系统层的安全防范技术有多种 , “计算机信息系统安全等级保护数据库管理系统技术要求 ”对 大致可以分为防火墙、入侵 、协作式入侵检测 、数字签名与 数据库安全的定义 :数据库安全就是保证数据库信息的保密性 、 完整性、一致性和可用性 ,以防止非法用户使用所造成数据的泄 漏 、更改或破坏 。( ) 收稿日期 : 2007 - 11 - 01。广东省自然科学基金项目 7010116 ; 广1. 2 影响数据库安全的因素 ( ) 东省粤港关键领域重点突破项目 2006A25007002 ; 广东省科技计划项 ( ) 目 2006B23004006 。徐龙琴 ,讲师 ,主研领域 : 数据库安全 , 智能系统 , 当前数据库安全的威胁主要分为物理上和逻辑上的 。物理 数据挖掘 ,软件工程等。 认证技术等 。 ,所以一般适用于大型 、安全要求级别高的企业 。销 ( ) 身份识别是以数据库授权为基础 ,只有经过数据库授权和 1 防火墙 是系统的第一道防护屏障 ,监控可信任网络 和不可信任网络之间的访问通道 ,拦截来自外部的非法访问并 验证的用户才是合法的用户 。数据库授权技术包括授权用户 表 、用户授权表 、系统的读出 /写入规则和自动查询修改技术 。 阻止内部信息的外泄 。防火墙技术主要有三种 :数据包过滤器 、 授权用户表包含授权用户的各项信息 ,只有与用户表内各项信 代理和状态分析 。现代防火墙产品通常混合使用这几种技术 。 ( ) ( ) 息完全相符的用户才是授权用户 ; 每个用户有各自事先规定的 2 入侵检测 ID S综合采用了统计技术 、规则方法、网 权限 ,当授权用户进入时 ,通过用户权限表赋予用户相应权利 ; 络通信技术 、人工智能、密码学 、推理等技术和方法 ,通过监控网 系统的读出 /写入规则可以调用数据库的安全规则 ;自动查询修络和计算机系统是否出现被入侵或滥用的征兆 ,它已经成为监 改技术具有自动查询修改控制功能来防止用户访问数据库中未 控和识别攻击的解决 ,是安全防御系统的重要组成部 授权的部分 。 分 。 ID S的种类包括基于网络和基于主机的入侵检测系统、基 2. 3. 2 存取控制 身份认证是定义和控制用户对数据库于特征的和基于非正常的入侵检测系统 、实时和非实时的入侵 数据的存取访问权 检测系统等 。 限 ,以确保只授权给有资格的用户访问数据库 ,防止和杜绝对数 ( ) 3 协作式入侵检测技术 独立的入侵检测系统不能够对 据库中数据的非授权访问 ,是对已经进入数据库系统内部的用 广泛发生的各种入侵活动都作出有效的检测和反应 ,为弥补独 户的访问控制 ,是安全数据保护的前沿屏障 。为了实现数据安 立运作的缺陷 ,提出了协作式入侵检测系统 。在协作式入侵检 全 ,当主体访问客体时 ,就要进行存取控制合法性检查 ,检查该测系统中 , ID S基于一种统一的规范 ,入侵检测组件之间自动地 () () 用户 主体 是否有资格访问这些数据对象 客体 ,具有哪些 交换信息 ,并且通过信息的交换得到了对入侵的有效监测 ,可以 () 访问权限 如建、读 、增删改等 。若用户的操作请求超出了数 应用于不同的网络环境 。 据字典中定义的权限 ,系统将拒绝此操作。 2. 2 宿主操作系统的安全技术 存取控制的模型主要有以下三种 :宿主操作系统是数据库的运行平台 ,能够为数据库提供第 ( ) () 1 自主访问控制 DAC 是把存取决定权留给产生信 二道安全保护 。宿主操作系统的安全控制方法主要采用隔离控 制 、访问控制、信息加密和审计跟踪 。主要安全技术有以下三 息的信息主 ,是基于存取者身份或所属工作组来进行存取控制 种 : 的一种手段 ,具有某种存取特权的存取者可以向其他存取者传 ( ) 1 操作系统安全策略 用于配置本地计算机的安全设 递该种存取 , DAC允许使用者在没有系统管理员干涉的情置 ,包括密码策略 、账户锁定策略 、审核策略 、IP安全策略 、用户 况下对它们所控制的对象进行权限修改 ,这就使得 DAC容易受 权利指派 、加密数据的恢复代理以及其它安全选项 。 () 到特洛伊木马的攻击。利用强制存取控制 MAC 可以解决这 ( ) 2 安全管理策略 是指网络管理员对系统实施安全管理 个问题。 所采取的方法及策略 ,其核心是保证服务器的安全和分配好各 ( ) () 2 强制访问控制 MAC 是系统强制主体服从访问控 类用户的权限 。制政策的一种多级访问控制策略 ,其基本思想是 :每个主体和客 ( ) 3 数据安全 主要表现为 : 数据加密技术 、数据备份、数 体都有既定的安全属性 ,它要求所有客体遵守由主体建立的规 据存储的安全性 、数据传输的安全性等 。可采用的主要有 SSL、 则 ,主体对客体是否能执行特定操作取决于二者安全属性之间 ( )TL S、IP Sec、Ke rbe ro s认证 、V PN PPTP、L 2TP等技术。 的关系。MAC的所有权限由系统管理员分配 ,用户或用户进程2. 3 数据库管理系统层安全技术 不能改变自身或其主 /客体的安全属性 。数据 库 安 全 性 很 大 程 度 上 取 决 于 数 据 库 管 理 系 统 ( ) ( ) 3 基于角色存取控制 RBAC它的核心思想是安全授 () DBM S。DBM S层次安全技术主要是用来解决前面两道防御 权和角色相联系 ,用户首先要成为相应角色的成员 ,才能获得该 已被突破的情况下仍能保障数据库数据的安全 , 这 就要 求 DBM S必须有一套强有力的安全机制 。当前 DBM S所采用的数 角色对应的权限 。角色可以根据组织中不同的工作创建 ,再根 据库安全技术主要有以下五种 ,其中目前应用最广最为有效的 据用户的责任和资格来分配 , 用户可以轻松地进行角色转换 。 是访问控制技术 。 而随着新应用和新系统的增加 ,角色可以分配更多的权限 ,也可 2. 3. 1 身份认证 以根据需要撤销相应的权限 。应用表明把管理员权限局限在改 身份认证是 DBM S提供的最外层安全保护措施 ,目的是防 变用户角色 ,比赋予管理员更改角色权限更安全 。现在普遍认 止非法用户访问系统 ,包括身份验证和身份识别 。通过身份验 为 RBAC比 DAC和 MAC更具发展前景 。证来核实访问者的身份 ,阻止未授权用户的访问 ;而通过身份识 在某种程度上可以说 RBAC 是 DAC 和 MAC 在应用范围 、 别 ,可以防止用户的越权访问 。 有效性和灵活性上的扩展 ,利用 RBAC96 模型就可以实现多种 身份验证是由系统提供一定的方式让用户标识自己的身DAC和 MAC。由于使用了角色继承 、约束 、角色管理 、授权管理 份 ,并将其保存在系统内部 。每次用户请求进入系统时 ,须向系 等机制 ,使得存取控制实现和管理更加灵活 。目前对 RBAC 的 统提供自己身份信息 ,由系统对用户身份的合法性进行鉴别 ,通 支持主要在应用层 ,而对 RBAC 的研究已扩展到面向对象数据 过鉴定后才能登录系统 。目前 ,身份验证采用最常用 、最方便的 方法是设置口令法 ,但近年来 ,一些更加有效的身份验证技术迅 库 、动态数据库和 XML 知识库领域。 () 速发展起来 , 如智能卡技术 、物理特征 指纹 、虹膜等 认证技 2. 3. 3 数据加密术 、数字签名技术等具有高强度的身份验证技术日益成熟 ,并取 对于一些高度敏感数据 ,除采用以上安全性措施之外 ,还需 得了不少应用成果 ,但此类方式增加安全性的同时也增加了开 采用数据加密技术 ,以强化数据存储的安全保护 。数据加密是 防止数据库中数据泄露的有效手段 ,是数据库安全的最后一道 重要安全防线 。数据库加密的基本思想就是根据加密算法将原 ()始 明文 转换为一种难以直接辨认的密文存储在数据库中 ,查 140 计算机应用与软件2009年 ) 询时将密文取出解密后得到明文 ,从而达到信息隐藏的目的 ,即、数据库安全管理员 SA数据库的建立 、维护及自主存取控制 () (使黑客窃取了关键数据 ,他仍然难以得到所需的信息 。另外 ,数 主要负责强制存取控制 、数据库审计员三类 主要负责数据 ) 据库加密后 ,不需要了解数据内容的系统管理员不能见到明文 , 库系统的审计活动 , 使其各司其职 、相互制约 , 从而更为可靠 也大大提高了关键数据的安全性 。数据加密主要有对称密钥加 地保证数据库的安全。根据 TD IPTCSEC 标准中安全策略的要 () 密技术 常采用 D ES或 ID EA 加密算法 和公开密钥加密技术 求 ,该安全数据库体系结构至少可以达到 B1安全级 。 () 常采用 R SA 加密算法 。根据数据库的实际情况 ,数据库加密 宜采用以记录的字段数据为单位进行加 /脱密 、以公开密钥“一 次一密 ”的加密方法 。 数据库可以在三个不同层次实现对数据库数据的加密 ,这 三个层次分别是 O S、DBM S内核层和 DBM S外层 。在 O S层对 数据库文件进行加密 ,对于大型数据库来说 ,目前还难以实现 。 在 DBM S内核层实现加密 ,是指数据在物理存取之前完成加 /脱 () 密工作 。这种方式势必造成 DBM S和加密器 硬件或软件 之 间的接口需要 DBM S开发商的支持 。这种加密方式的优点是加 图 1 一种安全的数据库体系结构密功能强 ,也几乎不会影响 DBM S的功能 。其缺点是在服务器 端进行加 /脱密运算 ,加重了数据库服务器的负载 。比较实际的 做法是将数据库加密系统做成 DBM S的一个外层工具 。采用这 4 数据库安全未来研究方向种加密方式时 ,加 /脱密运算可以放在客户端进行 ,其优点是不 会加重数据库服务器的负载并可实现网上传输加密 ,缺点是加 随着数据库技术与分布式技术 、面向对象技术、并行处理技密功能会受限制 。 术 、多媒体处理 、人工智能和模糊技术等技术的结合 ,在未来一 2. 3. 4 推理控制 段时间内数据库安全技术的主要研究方向表现在以下几个方 推理可以使用户从合法查询中 ,推导出不该获得的保密数 ()据 。例如 :设数据 A 与数据 B 之间存在 B = f A 函数关系 ,而 A 面 : ()是该用户有权存取数据的集合 ,则该用户就可以通过调用 f A ( ) (1 数据库系统安全与系统其它安全产品 入侵检测系 而取得本无访问权限数据集合 B。推理控制的目标就是防止用 )统 、防火墙等 配套使用的研究 ; 户通过间接的方式获取本不该获取的数据或信息 。对付统计推 ( ) 2 安全模型的研究 ,包括旧的安全模型在实际中的具体 理的技术主要有两种 : ?数据扰动 。事先对需要进行统计的敏 应用和新的安全模型的研究 ; 感数据进行加工 。? 查询控制。对统计查询的控制是比较成 ( ) ( ) 3 访问控制的研究 , 包括自主访问控制 DAC 、强制访 功的技术 ,目前在统计数据库中应用已有较多成功经验 ,该技术 () ( )问控制 MAC,特别是基于角色存取控制 RBAC的研究 ; 大部分是控制可以查询的记录数 。 ( ) 4 隐蔽信道问题 ,即如何通过信息流控制和推理控制等 2. 3. 5 审计跟踪与攻击检测 审计是在数据库系统运行期其他安全控制机制来彻底检测与消除 ; 间 ,系统自动跟踪用户的全部 ( ) 5 数据库的审计跟踪 。目前粒度较细的审计很耗时间和 操作并记录在日志文件中 ,记录的内容包括 :用户名 、密码 、用户 空间 ,如何改进审计机制或者是否有可以借助的高效率的自动 () 的 IP地址 、操作类型 输入 、删除 、修改 、操作日期 、所涉及到的 化审计工具与 DBM S集成 ; 数据等 。若发现系统的数据遭到破坏 ,可根据日志记录分析调 ( ) 6 多级安全数据库语义的研究和 DBM S的多级安全保护 查 、追究责任 ,或者从日志中判断密码是否被盗 ,以便修改密码 , 体制的进一步完善 ; 重新分配权限 ,确保系统的安全 。攻击检测则是根据审计数据 ( ) 7 数字水印在数据库安全中的研究 ;分析检测内部和外部攻击者的攻击企图 ,再现导致系统现状事 ( ) 8 当前数据库安全所采取的措施多是处于被动预防的地 件 ,追查有关责任者 ,以分析发现系统安全漏洞 ,改进增强系统 位 ,在安全问题中采取主动也是数据库安全研究的问题 。 的安全强度 。 总之 ,这些安全技术不是相互独立的 ,而是彼此依赖 ,相互 5 结 论支持的 。访问控制的正确性依赖于安全的识别和鉴别机制 ,安 全的识别和鉴别机制也是审计的基础 ,而为了具有安全的识别 数据库系统作为信息的聚集体 ,是计算机信息系统的核心 部件 ,其安全性至关重要 。本文从数据库安全的内涵出发 ,分析 和鉴别机制 ,有必要采用加密技术等 。 了影响数据库安全的因素 ,重点论述了数据库安全控制采取的 技术手段和措施 ,在此基础上设计出了一种安全数据库体系结 构 ,并展望了数据库安全研究的方向 。 3 一种安全数据库体系结构的设计 参 考 文 献 [ 1 ] O sbo rn S. M anda to ry acce ss con tro l and ro le2ba sed acce ss con tro l revis2 根据前面所讨论的数据库安全技术 ,设计了一种安全的数ited [ J ]. P roc. the Second ACM W o rk shop on Ro le B a sed A cce ss Con2 据库体系结构如图 1所示 ,其中引用监视器的主要作用是根据 ( ) tro l. V irgin ia: ACM P re ss, 1997 6 : 31 - 40. 访问控制 ,在用户对数据发出存取访请求和一般性安全服务时 [ 2 ] Ja jod ia S. D a taba se Secu rity and P rivacy [ J ]. ACM Comp u ting Su r2 做出是否允许的仲裁 ,进一步启动数据库服务引擎 ,通过各种控 ( ) veys, 1996 , 28 1 : 57 - 64. 制方式 ,并将该请求记录到审计数据库中 。为了实现数据库三 [ 3 ] L i2Yan Yuan. The Docum en ta tion of Logic SQL [M ]. A lbe rta U n ive rsi2 (权分立管理 ,我们把管理员分为 :数据库管理员 DBA 主要负责 ty, Canada, 2005. () 下转第 156页 ( ) P roM d lR e trieve ; / /将零件调入内存/ /获取当前模型 ID ( ) P roM d l IdGe t ; / /初始化模型 ( ) P roMode l Item In it ; / /初始化模型参数 ( ) P roPa ram ete r In it ; / /设置模型参数 ( ) P roPa ram ete rV alueSe t ; / /再生模型 ( ) P roSo lidR egene ra te ; 至此 ,编译链接程序完成组件的创建工作。最后通过 regs2 vr32 d: HLL GEER. d ll命令在服务器端注册组件 。组件注册成 功后 ,在 A SP中 ,可通过以下代码完成 COM 组件的调用 : < % 4 斜齿圆柱齿轮实体图图 ( Se t HLL GRO b jec t = Serve r. C rea teO b jec t HLL GEER. IStdC )alcu la te 4 结束语‘将斜齿圆柱齿轮组件的类实例化 HLL GRO b ject. Typ e = ”01020 ” ‘设置组件的齿轮类型属性 基于 P ro / E的机械零部件远程参数化设计系统与以往基于HLL GRO b ject. M n = 4. 5 特定需求的单机版参数化设计系统相比具有如下优势 :‘设置组件的模数属性 ) 1本系统采用 B / S的网络开发模式 , 只需在主机上安装 HLL GRO b ject. Z = 83 P ro / E软件 ,客户机上无需安装。这样方便用户使用 ,也降低了 ‘设置组件的齿数属性 客户机的配置要求 。 ) 2机械零件三维实体模型文件都是在服务器端生成 ,客户 HLL GRO b ject. R egen 机与服务器之间只是文本格式的参数传递 ,降低了系统的吞吐 ‘调用组件的再生方法生成模型 量 。HLL GRO b ject. C lo se ) 3本系统采用 COM 技术 ,由于 COM 组件具有可重用性 , ‘调用组件的关闭方法关闭组件 因此本系统可以方便地维护和升级 。Se t HLL GRO b jec t = No th ing ) 4采用本系统可以很好地满足实时性要求。 本系统通过‘释放组件资源 网络技术与 P ro / E 软件相结合 ,将复杂的设计 % > 与绘图工作通过网络 CAD 技术加以开发 ,必将促进信息交流与 传递 ,实现资源共享 ,提高设计效率 ,最终缩短生产周期提高生 3 系统可行性验证 产效率。 以斜齿圆柱齿轮为例简要说明系统的设计过程 。首先使用 参 考 文 献P ro / E创建齿轮模型文件 ,将齿轮的模数 、齿数 、齿顶高系数、顶 系系数、压力角 、螺旋角 、齿宽分别设为参数 ,并添加关系式 。其 [ 1 ] 陈长胜 ,纪爱敏 ,周军 ,等. 基于 A SP 的机械零部件远程设计系统( ) 次 , 使用 D reamweave r8. 0采用 H TML 结合 A SP技术开发系统界 [ J ]. 河海大学常州分校学报 , 2007 , 21 1 : 29 - 32. [ 2 ] 田荣华. 基于 B / S的工装网络化设计技术研究 [ D ]. 西北工业大学 面 ,并在后台建立参数库和模型库两个数据库文件 ,并实现 A SP 出版社 , 2004. 与数据库的连接 。最后 ,通过 V isua l C + +创建一个 AL T进程内 [ 3 ] 陈峰 ,杨岳 ,郭飒飒. 远程三维标准件参数化设计系统 [ J ]. 机械与 DLL 组件模板 ,添加 AL T对象 ,选择 Fu ll O b jec t,给出接口名称 , ( ) 电子 , 2005 30 : 23 - 25. 开发环境将自动生成接口和 COM 对象的声明和接口定义 ,并在 [ 4 ] 张晓云. 数据库原理与 A ccess应用 [M ]. 北京 :科学出版社 , 2004. 接口中添加一个模型文件生成方法和模数 、齿数 、齿顶高系数 、 [ 5 ] 高成. A SP动态网站建设 [M ]. 北京 :国防工业出版社 , 2002. 顶系系数 、压力角 、螺旋角 、齿宽等属性 。组件建好后 ,通过在服 [ 6 ] 吴立军 ,陈波. P ro / EN G IN EER 二次开发技术基础 [ M ]. 北京 : 电子 务器端键入 regsvr32 d: HLL GEER. d ll命令注册组件 , A SP 就可 工业出版社 , 2006. 以通过调用 COM 组件完成用户需要的设计任务 。假设已经通 [ 7 ] 潘爱民. COM 原理与应用 [M ]. 北京 :清华大学出版社 , 1999.过数据库获得斜齿圆柱齿轮的参数驱动尺寸 ,在 IE浏览器下的 远程客户端访问界面如图 3所示 。通过点击模型文件下载按钮 得到的三维实体模型文件如图 4所示 。 () 上接第 140页 [ 4 ] Ch ris Straho rn. Secu rity in N ext2Gene ration D a tabases [ C ]. U n ive rsity of Ca lifo rn ia, 1998. [ 5 ] 韩卫 ,张艳苏. M IS中数据库安全性研究 [ J ]. 计算机工程 , 2002 , 28 ( ) 6 : 34 - 37. [ 6 ] Jeong M A , Kim J , W on Y A. F lexib le D a taba se Secu rity System U sing M u ltip le A cce ss Con tro l Po lic ie s[M ]. B erlin H e ide lbe rg: Sp ringe r2V e r2 lag, 2002. [ 7 ] 邵纯 ,黄上腾. IIS下 A cce ss数据库的安全性分析与策略 [ J ]. 计算 ( ) 机应用与软件 , 2006 , 23 3 : 118 - 120. [ 8 ] 罗琼 ,张立臣. 多级实时数据库的安全性策略 [ J ]. 计算机应用与 ( ) 软件 , 2005 , 22 7 : 133 - 135. 图 3 客户端界面图