一种数据库安全访问控制系统设计与实现.docVIP

一种数据库安全访问控制系统的设计与实现 　　[摘要]为了防止应用系统和数据库操作员非法访问数据库，破坏数据库系统的安全，设计并实现数据库安全访问控制系统。该系统能够认证访问数据库的应用系统，防止应用非授权访问；它从技术和管理策略两方面着手监督控制DBA的操作，大大降低越权访问的可能性，从而提高数据库系统的安全性。 　　[关键词]应用系统 数据库管理员 数据访问 　　中图分类号：TP2 文献标识码：A 文章编号：1671－7597(2008)0820068－01 　　 　　一、引言 　　 　　当前应用系统绝大部分是基于数据库的，数据库安全是应用系统安全的最后屏障，数据库一旦遭到破坏，整个应用系统的安全也就不复存在，所以对数据库的保护至关重要。数据访问有两种方式：利用应用系统访问数据库、利用DBMS工具手工操作。为了消除这两种数据访问方式给数据库带来的安全隐患，在本文中我们需要解决以下两个问题：非授权人员或应用访问数据库；已授权人员越权访问数据库数据。 　　 　　二、控制系统总体设计 　　 　　我们的目标就是在应用系统、DBA和数据库之间建立安全访问控制系统，确保只有合法的人员和应用才能够访问数据库；根据最小权限原则授权的工作人员在受监控的情况下进行数据库操作。 　　（一）此控制系统的核心任务 　　1.在确保各个应用系统正常工作的前提下适时更改数据库用户密码，并且数据库用户密码对外保密，应用系统和DBA只有通过访问控制系统才有可能访问数据库。 　　2.能够认证应用系统的合法性，只有认证合法的应用系统才能够通过控制系统的数据库连接池获得数据库连接。 　　3.对DBA授权与监管，DBA要操作数据库，必须通过控制系统申请，申请通过后，根据最小权限原则为其建立临时用户操作数据库，并且对其操作进行日志记录和审计。 　　（二）本文的控制系统结构由4大部分组成 　　数据库用户密码维护子系统；安全数据网关：它包括应用系统认证客户端，应用系统认证服务器端和多用户数据库连接池；对DBA授权与监管子系统；其它辅助功能。 　　 　　三、控制系统实现 　　 　　我们采用J2EE、XML、DES3对称加密、RSA数字签名、Oracle9i数据库来实现这一控制系统。 　　（一）数据库用户密码维护 　　 　　为了维护数据库的存取安全，应该适时更改数据库用户密码。更改后的密码加密保存在数据库中，当需要建立数据库连接时，首先从数据库中读出相应用户加密后的密码，解密后与用户一同建立数据库连接以供应用，这就是二次访问的思想。由于密码维护系统自身来完成对密码的加解密，我们采用对称加密算法DES3对密码进行加解密。根据以上分析，我们设计了定时器类TimerCtr、加解密类DES3。密码更改类PSDAO，他们与数据库连接池DBPools的关系如图1。 　　密码更改系统的关键表DB_CONNECTION_INFO见表1。 　　（二）安全数据网关 　　应用系统访问数据库首先通过应用认证客户端将认证信息发给应用认证服务器端，我们设计其认证信息由应用的URL和随机字符串构成。采用RSA数字签名算法确认认证信息。为了安全起见，应用服务器端能够随时或定时触发客户端来更改密钥和随机字符串，并将更改后的公钥和随机字符串传送给服务器端。我们采用EJB技术来解决分布式系统的同步和安全可靠问题。 　　（三）对DBA授权与监管系统 　　对DBA授权与监管系统的设计原理是：不断更新数据库用户密码，并对DBA保密，DBA对数据库的操作需要申请，并且依据最小权限原则，为DBA创建临时用户供其操作，并记录这一用户的操作日志，以供审查。监管系统主要涉及到操作申请、审核、用户创建策略和注销策略四部分内容。 　　操作申请：在DBA申请操作前，系统首先利用JDBC元数据DataBaseMet 　　AData接口的getTables()、getTablePrivileges()等方法解析出数据库操作对象和相应的对象权限。DBA申请创建临时用户后，选择临时用户的操作对象、相应的对象权限、系统权限和角色。DBA提交申请后，控制系统查出与申请的数据库对象、系统权限、角色对应的“相关人员集合”，取并集展示给DBA，并以邮件形式通知相关人员。申请日志以XML文件的形式保存在CONTROL_SERVER（控制系统服务器）端。XML文件的命名为方式为“申请状态_DBA代码_申请时间”，其中申请状态分为WAIT(等待审核)、SUCC（申请成功）、FAIL（申请失败）、DONE（已创建临时用户）、DROP(删除用户)五种状态，初始化为WAIT状态。申请时间以精确到毫秒级的13位阿拉伯数字表示（如1115819902515）。 　　审核：相关人员可以选择处于WAIT、FA