关于即时通信软件数据库安全技术探究.doc

关于即时通信软件数据库安全技术探究摘要：基于此迫切需要就即时通信软件的数据库的安全问题做进一步的研究工作。本文主要探讨了即时通信软件数据库系统方面所面临的安全问题，并据此提出了建议 关键词：即时通信；数据库安全；数据库加密 中图分类号：TP393.08 文献标识码：A 文章编号：1007-9599(2011)23-0000-01 Study on Instant-messaging Software Database Security Technology Yu Hongyu,Chen Tiezhu,Xu Yanbing (Jinzhou Teacher’s Training College,Jinzhou 121000,China) Abstract:This urgent need for instant-messaging software based on database security issues for further research work.This article mainly discusses IM facing security problems with database systems,and makes recommendations accordingly. Keywords:Instant Messaging;Database security;Database encryption 一、即时通信软件数据库安全现状 随着即时通信软件迅猛发展，其功能呈现出多样化、复杂化的趋势。与此同时对数据库系统也提出了更多、更高的要求。要求数据库在提供数据共享的同时，可以集中统一管理数据；简化应用程序对数据的访问；解决数据有效性问题，保证数据的逻辑一致性；保证数据独立性问题，降低程序对数据及数据结构的依赖；保证数据的安全性，在共享环境下保证数据所有者的利益等。以上要求中最重要的问题就是数据的安全问题，目前大多数即时通信软件在设计的时候都考虑了可扩展性，但却没有充分地考虑安全问题。对数据都缺乏加密功能，存在绕过防火墙访问数据等现象。所以说在为用户提供充分的服务同时，保证信息不被泄漏，保护用户的合法利益，是即时通信软件数据库安全要考虑的首要任务，因此整个系统的安全构架及数据库自身的安全在这里显得尤为重要 二、即时通信软件数据库系统面临的威胁 （一）欺骗 蠕虫病毒是一种常见的计算机病毒，传染途径是通过网络和电子邮件。此病毒通常采用VB语言编写，运行后可以把自己复制到多个系统文件夹的任意一个中，病毒文件名随机产生，文件类型不定。向外可以大量发送带毒邮件，标题可能为“系统消息”、“中奖消息”、“发送失败”等，邮件附件就是病毒。当用户从即时通信软件看到这些带有欺骗性质的标题时，情不自禁打开邮件，就会不知不觉的中毒 （二）特洛伊木马 可以秘密潜伏在对方计算机，帮助控制者能够通过远程网络进行控制的恶意程序。控制者可以控制被秘密植入木马的计算机上的一切资源。特洛伊木马没有复制能力，它的特点是伪装成一个实用工具或者一个可爱的游戏，诱使用户将其安装在计算机上。在即时通信软件使用中，往往由被控制的计算机用户发送给好友用户，达到恶意控制目的 （三）窃听威胁 大部分即时通信软件对通信的消息不加密，第三方窃听者可借助报文嗅探器窃听用户的会话 （四）拒绝服务 通过向服务器发送大量垃圾信息或干扰信息的方式，导致服务器无法向正常用户提供服务 （五）账号假冒和口令破解 攻击者可以假冒一个用户的账号和另一个用户即时通信，现在有许多网站有这种假冒工具。在许多即时通信系统中，口令的保护也很有限 三、即时通信软件数据库安全对策 安全对策是指导信息安全的高级准则。实现数据库安全可以从以下几个方面进行分析 （一）数据库加密 数据加密就是将称为明文的敏感信息，通过算法和密钥，转换为一种难于直接辨认的密文。解密是加密的逆向过程，即将密文转换成可识别的明文。数据库密码系统要求把明文数据加密成密文，数据库存储密文，查询时将密文取出解密后得到明文。数据库加密系统能够有效地保证数据的安全，即使黑客窃取了关键数据，他仍然难以得到所需的信息 （二）身份认证 身份的标志和鉴别是DBMS对访问者授权的前提，通过审计机制使DBMS保留追究用户行为责任的能力。在一个开放的多用户系统的网络环境中，识别授权用户是构筑DBMS安全防线的第一个重要环节。近年来身份认证技术发展迅速，主要有口令验证、智能验证、指纹识别、手型几何验证、声音识别验证、虹膜识别验证等技术。但在即时通信软件的数据库身份认证中多采用口令验证，数字签名认证正在验证推广中 （