数据库体系防黑客入侵技能综述
发布时间:2018-08-21 11:11:10 所属栏目:电商 来源:站长网
导读:1. 媒介 跟着计较机技能的飞速成长,数据库的应用异常普及,深入到各个规模,但随之而来发生了数据的安详题目。各类应用体系的数据库中大量数据的安详题目、敏感数据的防窃取和防改动题目,越来越引起人们的高度重视。数据库体系作为信息的聚积体,是计较
|
1. 媒介 跟着计较机技能的飞速成长,数据库的应用异常普及,深入到各个规模,但随之而来发生了数据的安详题目。各类应用体系的数据库中大量数据的安详题目、敏感数据的防窃取和防改动题目,越来越引起人们的高度重视。数据库体系作为信息的聚积体,是计较机信息体系的焦点部件,其安详性至关重要,相关到企业兴衰、国度安详。因此,怎样有用地担保数据库体系的安详,实现数据的保密性、完备性和有用性,已经成为业界人士试探研究的重要课题之一,本文就安详防入侵技能做扼要的接头。 数据库体系的安详除依靠自身内部的安详机制外,还与外部收集情形、应用情形、从业职员素质等身分痛痒相干,因此,从广义上讲,数据库体系的安详框架可以分别为三个条理: ⑴ 收集体系条理; ⑵ 宿主操纵体系条理; ⑶ 数据库打点体系条理。 这三个条理修建成数据库体系的安详系统,与数据安详的相关是慢慢细密的,防御的重要性也逐层增强,从外到内、由表及里担保数据的安详。下面就安详框架的三个条理睁开阐述。 2. 收集体系条理安详技能 从广义上讲,数据库的安详起首倚赖于收集体系。跟着Internet的成长遍及,越来越多的公司将其焦点营业向互联网转移,各类基于收集的数据库应用体系如雨后春笋般涌现出来,面向收集用户提供各类信息处事。可以说收集体系是数据库应用的外部情形和基本,数据库体系要施展其强盛浸染离不开收集体系的支持,数据库体系的用户(如异地用户、漫衍式用户)也要通过收集才气会见数据库的数据。收集体系的安详是数据库安详的第一道屏蔽,外部入侵起首就是从入侵收集体系开始的。收集入侵试图粉碎信息体系的完备性、机要性或可信赖的任何收集勾当的荟萃,具有以下特点[1]: a)没有区域和时刻的限定,超过疆土的进攻就犹如在现场一样利便; b)通过收集的进攻每每稠浊在大量正常的收集勾当之中,潜伏性强; c)入侵本领越发潜伏和伟大。 计较机收集体系开放式情形面对的威胁首要有以下几种范例[2]:a)诱骗(Masquerade);b)重发(Replay);c)报文修改(Modification of message);d)拒绝处事(Deny of service);e)陷阱门(Trapdoor);f)特洛伊木马(Trojan horse);g)进攻如透纳进攻(Tunneling Attack)、应用软件进攻等。这些安详威胁是无时、无处不在的,因此必需采纳有用的法子来保障体系的安详。 从技能角度讲,收集体系条理的安详防御技能有许多种,大抵可以分为防火墙、入侵检测、协作式入侵检测技能等。 ⑴防火墙。防火墙是应用最广的一种防御技能。作为体系的第一道防地,其首要浸染是监控可信赖收集和不行信赖收集之间的会见通道,可在内部与外部收集之间形成一道防护屏蔽,拦截来自外部的犯科会见并阻止内部信息的外泄,但它无法阻拦来自收集内部的犯科操纵。它按照事先设定的法则来确定是否拦截信息流的收支,但无法动态辨认或自顺应地调解法则,因而其智能化水平很有限。防火墙技能首要有三种:数据包过滤器(packet filter)、署理(proxy)和状态说明(stateful inspection)。当代防火墙产物凡是殽杂行使这几种技能。 ⑵入侵检测。入侵检测(IDS-- Instrusion Detection System)是连年来成长起来的一种防御技能,综合回收了统计技能、法则要领、收集通讯技能、人工智能、暗码学、推理等技能和要领,其浸染是监控收集和计较机体系是否呈现被入侵或滥用的征兆。1987年,Derothy Denning初次提出了一种检测入侵的头脑,颠末不绝成长和完美,作为监控和辨认进攻的尺度办理方案,IDS体系已经成为安详防止体系的重要构成部门。 入侵检测回收的说明技能可分为三大类:署名、统计和数据完备性说明法。 ①署名说明法。首要用来监测对体系的已知瑕玷举办进攻的举动。人们从进攻模式中归纳出它的署名,编写到IDS体系的代码里。署名说明现实上是一种模板匹配操纵。 ②统计说明法。以统计学为理论基本,以体系正常行使环境下调查到的举措模式为依据来鉴别某个举措是否偏离了正常轨道。 ③数据完备性说明法。以暗码学为理论基本,可以查证文件可能工具是否被别人修悔改。 IDS的种类包罗基于收集和基于主机的入侵监测体系、基于特性的和基于非正常的入侵监测体系、及时和非及时的入侵监测体系等[1]。 ⑶协作式入侵监测技能 独立的入侵监测体系不可以或许对普及产生的各类入侵勾当都做出有用的监测和回响,为了补充独立运作的不敷,人们提出了协作式入侵监测体系的设法。在协作式入侵监测体系中,IDS基于一种同一的类型,入侵监测组件之间自动地互换信息,而且通过信息的互换获得了对入侵的有用监测,可以应用于差异的收集情形[3]。 3. 宿主操纵体系条理安详技能 操纵体系是大型数据库体系的运行平台,为数据库体系提供必然水平的安详掩护。今朝操纵体系平台大大都齐集在Windows NT 和Unix,安详级别凡是为C1、C2级。首要安详技能有操纵体系安详计策、安详打点计策、数据安详等方面。 操纵体系安详计策用于设置当地计较机的安详配置,包罗暗码计策、账户锁定计策、考核计策、IP安详计策、用户权力指派、加密数据的规复署理以及其余安详选项[7]。详细可以表此刻用户账户、口令、会见权限、审计等方面。 用户账户:用户会见体系的"身份证",只有正当用户才有账户。 口令:用户的口令为用户会见体系提供一道验证。 会见权限:划定用户的权限。 审计:对用户的举动举办跟踪和记录,便于体系打点员说明体系的会见环境以及过后的追查行使。 安详打点计策是指收集打点员对体系实验安详打点所采纳的要领及计策。针对差异的操纵体系、收集情形必要采纳的安详打点计策一样平常也不尽沟通,其焦点是担保处事器的安详和分派好种种用户的权限。 数据安详首要表此刻以下几个方面:数据加密技能、数据备份、数据存储的安详性、数据传输的安详性等。可以回收的技能许多,首要有Kerberos认证、IPSec、SSL、TLS、VPN(PPTP、L2TP)等技能。 4. 数据库打点体系条理安详技能 数据库体系的安详性很洪流平上依靠于数据库打点体系。假如数据库打点体系安详机制很是强盛,则数据库体系的安详机能就较好。今朝市场优势行的是相关式数据库打点体系,其安详性成果很弱,这就导致数据库体系的安详性存在必然的威胁。 因为数据库体系在操纵体系下都是以文件情势举办打点的,因此入侵者可以直接操作操纵体系的裂痕窃取数据库文件,可能直接操作OS器材来犯科伪造、改动数据库文件内容。这种隐患一样平常数据库用户难以察觉,说明和堵塞这种裂痕被以为是B2级的安详技能法子[4]。 数据库打点体系条理安详技能首要是用来办理这一题目,即当前面两个条理已经被打破的环境下仍能保障数据库数据的安详,这就要求数据库打点体系必需有一套强有力的安详机制。办理这一题目的有用要领之一是数据库打点体系对数据库文件举办加密处理赏罚,使得纵然数据不幸泄漏可能丢失,也难以被人破译和阅读。 我们可以思量在三个差异条理实现对数据库数据的加密,这三个条理别离是OS层、DBMS内核层和DBMS外层。 ⑴在OS层加密。在OS层无法识别数据库文件中的数据相关,从而无法发生公道的密钥,对密钥公道的打点和行使也很难。以是,对大型数据库来说,在OS层对数据库文件举办加密很难实现。 ⑵在DBMS内核层实现加密。这种加密是指数据在物理存取之前完成加/脱密事变。这种加密方法的利益是加密成果强,而且加密成果险些不会影响DBMS的成果,可以实现加密成果与数据库打点体系之间的无缝耦合。其弱点是加密运算在处事器端举办,加重了处事器的负载,并且DBMS和加密器之间的接口必要DBMS开拓商的支持。 界说加密要求器材 DBMS 数据库应用体系 加密器 (软件或硬件) ⑶在DBMS外层实现加密。较量现实的做法是将数据库加密体系做成DBMS的一个外层器材,按照加密要求自动完成对数据库数据的加/脱密处理赏罚: 界说加密要求器材加密器 (软件或硬件) DBMS 数据库应用体系 回收这种加密方法举办加密,加/脱密运算可在客户端举办,它的利益是不会加重数据库处事器的负载而且可以实现网上传输的加密,弱点是加密成果会受到一些限定,与数据库打点体系之间的耦合性稍差。 下面我们进一步表明在DBMS外层实现加密成果的道理: 数据库加密体系分成两个成果独立的首要部件:一个是加密字典打点措施,另一个是数据库加/脱密引擎。数据库加密体系将用户对数据库信息详细的加密要求以及基本信息生涯在加密字典中,通过挪用数据加/脱密引擎实现对数据库表的加密、脱密及数据转换等成果。数据库信息的加/脱密处理赏罚是在靠山完成的,对数据库处事器是透明的。 加密字典打点措施 加密体系 应用措施 数据库加脱密引擎 数据库处事器 加密字典 用户数据 按以上方法实现的数据库加密体系具有许多利益:起首,体系对数据库的最终用户是完全透明的,打点员可以按照必要举办明文和密文的转换事变;其次,加密体系完全独立于数据库应用体系,无须窜改数据库应用体系就能实现数据加密成果;第三,加解密处理赏罚在客户端举办,不会影响数据库处事器的服从。 数据库加/脱密引擎是数据库加密体系的焦点部件,它位于应用措施与数据库处事器之间,认真在靠山完成数据库信息的加/脱密处理赏罚,对应用开拓职员和操纵职员来说是透明的。数据加/脱密引擎没有操纵界面,在必要时由操纵体系自动加载并驻留在内存中,通过内部接口与加密字典打点措施和用户应用措施通信。数据库加/脱密引擎由三大模块构成:加/脱密处理赏罚模块、用户接口模块和数据库接口模块,如图4所示。个中,"数据库接口模块"的首要事变是接管用户的操纵哀求,并转达给"加/脱密处理赏罚模块",另外还要取代"加/脱密处理赏罚模块"去会见数据库处事器,并完成外部接口参数与加/脱密引擎内部数据布局之间的转换。"加/脱密处理赏罚模块"完成数据库加/脱密引擎的初始化、内部专用呼吁的处理赏罚、加密字典信息的检索、加密字典缓冲区的打点、SQL呼吁的加密调动、查询功效的脱密处理赏罚以及加脱密算法实现等成果,其它还包罗一些公用的帮助函数。 数据加/脱密处理赏罚的首要流程如下: 1) 对SQL呼吁举办语法说明,假如语法正确,转下一步;如不正确,则转6),直接将SQL呼吁交数据库处事器处理赏罚。 2) 是否为数据库加/脱密引擎的内部节制呼吁?假如是,则处理赏罚内部节制呼吁,然后转7);假如不是则转下一步。 3) 搜查数据库加/脱密引擎是否处于封锁状态或SQL呼吁是否只必要编译?假如是则转6),不然转下一步。 4) 检索加密字典,按照加密界说对SQL呼吁举办加脱私语义说明。 5) SQL呼吁是否必要加密处理赏罚?假如是,则将SQL呼吁举办加密调动,替代原SQL呼吁,然后转下一步;不然直接转下一步。 6) 将SQL呼吁转送数据库处事器处理赏罚。 7) SQL呼吁执行完毕,破除SQL呼吁缓冲区。 以上以一个例子声名白在DBMS外层实现加密成果的道理。 5. 竣事语 本文对数据库体系安详防入侵技能举办综述,提出了数据库体系的安详系统三个条理框架,并对三个条理的技妙本领睁开描写。文中还以在DBMS外层实现加密成果的道理为例,具体声名白怎样应用数据库打点体系条理的安详技能。 数据库体系安详框架的三个条理是相辅相承的,各条理的防御重点和所采纳的技妙本领也不尽沟通,一个好的安详体系必需综合思量核运用这些技能,以担保数据的安详。 加密字典打点措施 加密体系 应用措施 数据库加脱密引擎 数据库处事器 加密字典 用户数据 按以上方法实现的数据库加密体系具有许多利益:起首,体系对数据库的最终用户是完全透明的,打点员可以按照必要举办明文和密文的转换事变;其次,加密体系完全独立于数据库应用体系,无须窜改数据库应用体系就能实现数据加密成果;第三,加解密处理赏罚在客户端举办,不会影响数据库处事器的服从。 数据库加/脱密引擎是数据库加密体系的焦点部件,它位于应用措施与数据库处事器之间,认真在靠山完成数据库信息的加/脱密处理赏罚,对应用开拓职员和操纵职员来说是透明的。数据加/脱密引擎没有操纵界面,在必要时由操纵体系自动加载并驻留在内存中,通过内部接口与加密字典打点措施和用户应用措施通信。数据库加/脱密引擎由三大模块构成:加/脱密处理赏罚模块、用户接口模块和数据库接口模块,如图4所示。个中,"数据库接口模块"的首要事变是接管用户的操纵哀求,并转达给"加/脱密处理赏罚模块",另外还要取代"加/脱密处理赏罚模块"去会见数据库处事器,并完成外部接口参数与加/脱密引擎内部数据布局之间的转换。"加/脱密处理赏罚模块"完成数据库加/脱密引擎的初始化、内部专用呼吁的处理赏罚、加密字典信息的检索、加密字典缓冲区的打点、SQL呼吁的加密调动、查询功效的脱密处理赏罚以及加脱密算法实现等成果,其它还包罗一些公用的帮助函数。 数据加/脱密处理赏罚的首要流程如下: 1) 对SQL呼吁举办语法说明,假如语法正确,转下一步;如不正确,则转6),直接将SQL呼吁交数据库处事器处理赏罚。 2) 是否为数据库加/脱密引擎的内部节制呼吁?假如是,则处理赏罚内部节制呼吁,然后转7);假如不是则转下一步。 3) 搜查数据库加/脱密引擎是否处于封锁状态或SQL呼吁是否只必要编译?假如是则转6),不然转下一步。 4) 检索加密字典,按照加密界说对SQL呼吁举办加脱私语义说明。 5) SQL呼吁是否必要加密处理赏罚?假如是,则将SQL呼吁举办加密调动,替代原SQL呼吁,然后转下一步;不然直接转下一步。 6) 将SQL呼吁转送数据库处事器处理赏罚。 7) SQL呼吁执行完毕,破除SQL呼吁缓冲区。 以上以一个例子声名白在DBMS外层实现加密成果的道理。 5. 竣事语 本文对数据库体系安详防入侵技能举办综述,提出了数据库体系的安详系统三个条理框架,并对三个条理的技妙本领睁开描写。文中还以在DBMS外层实现加密成果的道理为例,具体声名白怎样应用数据库打点体系条理的安详技能。 数据库体系安详框架的三个条理是相辅相承的,各条理的防御重点和所采纳的技妙本领也不尽沟通,一个好的安详体系必需综合思量核运用这些技能,以担保数据的安详。 ⑶协作式入侵监测技能 独立的入侵监测体系不可以或许对普及产生的各类入侵勾当都做出有用的监测和回响,为了补充独立运作的不敷,人们提出了协作式入侵监测体系的设法。在协作式入侵监测体系中,IDS基于一种同一的类型,入侵监测组件之间自动地互换信息,而且通过信息的互换获得了对入侵的有用监测,可以应用于差异的收集情形[3]。 3. 宿主操纵体系条理安详技能 操纵体系是大型数据库体系的运行平台,为数据库体系提供必然水平的安详掩护。今朝操纵体系平台大大都齐集在Windows NT 和Unix,安详级别凡是为C1、C2级。首要安详技能有操纵体系安详计策、安详打点计策、数据安详等方面。 操纵体系安详计策用于设置当地计较机的安详配置,包罗暗码计策、账户锁定计策、考核计策、IP安详计策、用户权力指派、加密数据的规复署理以及其余安详选项[7]。详细可以表此刻用户账户、口令、会见权限、审计等方面。 用户账户:用户会见体系的"身份证",只有正当用户才有账户。 口令:用户的口令为用户会见体系提供一道验证。 会见权限:划定用户的权限。 审计:对用户的举动举办跟踪和记录,便于体系打点员说明体系的会见环境以及过后的追查行使。 安详打点计策是指收集打点员对体系实验安详打点所采纳的要领及计策。针对差异的操纵体系、收集情形必要采纳的安详打点计策一样平常也不尽沟通,其焦点是担保处事器的安详和分派好种种用户的权限。 数据安详首要表此刻以下几个方面:数据加密技能、数据备份、数据存储的安详性、数据传输的安详性等。可以回收的技能许多,首要有Kerberos认证、IPSec、SSL、TLS、VPN(PPTP、L2TP)等技能。 4. 数据库打点体系条理安详技能 数据库体系的安详性很洪流平上依靠于数据库打点体系。假如数据库打点体系安详机制很是强盛,则数据库体系的安详机能就较好。今朝市场优势行的是相关式数据库打点体系,其安详性成果很弱,这就导致数据库体系的安详性存在必然的威胁。 因为数据库体系在操纵体系下都是以文件情势举办打点的,因此入侵者可以直接操作操纵体系的裂痕窃取数据库文件,可能直接操作OS器材来犯科伪造、改动数据库文件内容。这种隐患一样平常数据库用户难以察觉,说明和堵塞这种裂痕被以为是B2级的安详技能法子[4]。 数据库打点体系条理安详技能首要是用来办理这一题目,即当前面两个条理已经被打破的环境下仍能保障数据库数据的安详,这就要求数据库打点体系必需有一套强有力的安详机制。办理这一题目的有用要领之一是数据库打点体系对数据库文件举办加密处理赏罚,使得纵然数据不幸泄漏可能丢失,也难以被人破译和阅读。 我们可以思量在三个差异条理实现对数据库数据的加密,这三个条理别离是OS层、DBMS内核层和DBMS外层。 ⑴在OS层加密。在OS层无法识别数据库文件中的数据相关,从而无法发生公道的密钥,对密钥公道的打点和行使也很难。以是,对大型数据库来说,在OS层对数据库文件举办加密很难实现。 ⑵在DBMS内核层实现加密。这种加密是指数据在物理存取之前完成加/脱密事变。这种加密方法的利益是加密成果强,而且加密成果险些不会影响DBMS的成果,可以实现加密成果与数据库打点体系之间的无缝耦合。其弱点是加密运算在处事器端举办,加重了处事器的负载,并且DBMS和加密器之间的接口必要DBMS开拓商的支持。 界说加密要求器材 DBMS 数据库应用体系 加密器 (软件或硬件) ⑶在DBMS外层实现加密。较量现实的做法是将数据库加密体系做成DBMS的一个外层器材,按照加密要求自动完成对数据库数据的加/脱密处理赏罚: 界说加密要求器材加密器 (软件或硬件) DBMS 数据库应用体系 回收这种加密方法举办加密,加/脱密运算可在客户端举办,它的利益是不会加重数据库处事器的负载而且可以实现网上传输的加密,弱点是加密成果会受到一些限定,与数据库打点体系之间的耦合性稍差。 下面我们进一步表明在DBMS外层实现加密成果的道理: 数据库加密体系分成两个成果独立的首要部件:一个是加密字典打点措施,另一个是数据库加/脱密引擎。数据库加密体系将用户对数据库信息详细的加密要求以及基本信息生涯在加密字典中,通过挪用数据加/脱密引擎实现对数据库表的加密、脱密及数据转换等成果。数据库信息的加/脱密处理赏罚是在靠山完成的,对数据库处事器是透明的。 加密字典打点措施 加密体系 应用措施 数据库加脱密引擎 数据库处事器 加密字典 用户数据 按以上方法实现的数据库加密体系具有许多利益:起首,体系对数据库的最终用户是完全透明的,打点员可以按照必要举办明文和密文的转换事变;其次,加密体系完全独立于数据库应用体系,无须窜改数据库应用体系就能实现数据加密成果;第三,加解密处理赏罚在客户端举办,不会影响数据库处事器的服从。 数据库加/脱密引擎是数据库加密体系的焦点部件,它位于应用措施与数据库处事器之间,认真在靠山完成数据库信息的加/脱密处理赏罚,对应用开拓职员和操纵职员来说是透明的。数据加/脱密引擎没有操纵界面,在必要时由操纵体系自动加载并驻留在内存中,通过内部接口与加密字典打点措施和用户应用措施通信。数据库加/脱密引擎由三大模块构成:加/脱密处理赏罚模块、用户接口模块和数据库接口模块,如图4所示。个中,"数据库接口模块"的首要事变是接管用户的操纵哀求,并转达给"加/脱密处理赏罚模块",另外还要取代"加/脱密处理赏罚模块"去会见数据库处事器,并完成外部接口参数与加/脱密引擎内部数据布局之间的转换。"加/脱密处理赏罚模块"完成数据库加/脱密引擎的初始化、内部专用呼吁的处理赏罚、加密字典信息的检索、加密字典缓冲区的打点、SQL呼吁的加密调动、查询功效的脱密处理赏罚以及加脱密算法实现等成果,其它还包罗一些公用的帮助函数。 数据加/脱密处理赏罚的首要流程如下: 1) 对SQL呼吁举办语法说明,假如语法正确,转下一步;如不正确,则转6),直接将SQL呼吁交数据库处事器处理赏罚。 2) 是否为数据库加/脱密引擎的内部节制呼吁?假如是,则处理赏罚内部节制呼吁,然后转7);假如不是则转下一步。 3) 搜查数据库加/脱密引擎是否处于封锁状态或SQL呼吁是否只必要编译?假如是则转6),不然转下一步。 4) 检索加密字典,按照加密界说对SQL呼吁举办加脱私语义说明。 5) SQL呼吁是否必要加密处理赏罚?假如是,则将SQL呼吁举办加密调动,替代原SQL呼吁,然后转下一步;不然直接转下一步。 6) 将SQL呼吁转送数据库处事器处理赏罚。 7) SQL呼吁执行完毕,破除SQL呼吁缓冲区。 以上以一个例子声名白在DBMS外层实现加密成果的道理。 5. 竣事语 本文对数据库体系安详防入侵技能举办综述,提出了数据库体系的安详系统三个条理框架,并对三个条理的技妙本领睁开描写。文中还以在DBMS外层实现加密成果的道理为例,具体声名白怎样应用数据库打点体系条理的安详技能。 数据库体系安详框架的三个条理是相辅相承的,各条理的防御重点和所采纳的技妙本领也不尽沟通,一个好的安详体系必需综合思量核运用这些技能,以担保数据的安详。 加密字典打点措施 加密体系 应用措施 数据库加脱密引擎 数据库处事器 加密字典 用户数据 按以上方法实现的数据库加密体系具有许多利益:起首,体系对数据库的最终用户是完全透明的,打点员可以按照必要举办明文和密文的转换事变;其次,加密体系完全独立于数据库应用体系,无须窜改数据库应用体系就能实现数据加密成果;第三,加解密处理赏罚在客户端举办,不会影响数据库处事器的服从。 数据库加/脱密引擎是数据库加密体系的焦点部件,它位于应用措施与数据库处事器之间,认真在靠山完成数据库信息的加/脱密处理赏罚,对应用开拓职员和操纵职员来说是透明的。数据加/脱密引擎没有操纵界面,在必要时由操纵体系自动加载并驻留在内存中,通过内部接口与加密字典打点措施和用户应用措施通信。数据库加/脱密引擎由三大模块构成:加/脱密处理赏罚模块、用户接口模块和数据库接口模块,如图4所示。个中,"数据库接口模块"的首要事变是接管用户的操纵哀求,并转达给"加/脱密处理赏罚模块",另外还要取代"加/脱密处理赏罚模块"去会见数据库处事器,并完成外部接口参数与加/脱密引擎内部数据布局之间的转换。"加/脱密处理赏罚模块"完成数据库加/脱密引擎的初始化、内部专用呼吁的处理赏罚、加密字典信息的检索、加密字典缓冲区的打点、SQL呼吁的加密调动、查询功效的脱密处理赏罚以及加脱密算法实现等成果,其它还包罗一些公用的帮助函数。 数据加/脱密处理赏罚的首要流程如下: 1) 对SQL呼吁举办语法说明,假如语法正确,转下一步;如不正确,则转6),直接将SQL呼吁交数据库处事器处理赏罚。 2) 是否为数据库加/脱密引擎的内部节制呼吁?假如是,则处理赏罚内部节制呼吁,然后转7);假如不是则转下一步。 3) 搜查数据库加/脱密引擎是否处于封锁状态或SQL呼吁是否只必要编译?假如是则转6),不然转下一步。 4) 检索加密字典,按照加密界说对SQL呼吁举办加脱私语义说明。 5) SQL呼吁是否必要加密处理赏罚?假如是,则将SQL呼吁举办加密调动,替代原SQL呼吁,然后转下一步;不然直接转下一步。 6) 将SQL呼吁转送数据库处事器处理赏罚。 7) SQL呼吁执行完毕,破除SQL呼吁缓冲区。 以上以一个例子声名白在DBMS外层实现加密成果的道理。 5. 竣事语 本文对数据库体系安详防入侵技能举办综述,提出了数据库体系的安详系统三个条理框架,并对三个条理的技妙本领睁开描写。文中还以在DBMS外层实现加密成果的道理为例,具体声名白怎样应用数据库打点体系条理的安详技能。 数据库体系安详框架的三个条理是相辅相承的,各条理的防御重点和所采纳的技妙本领也不尽沟通,一个好的安详体系必需综合思量核运用这些技能,以担保数据的安详。 1. 媒介 跟着计较机技能的飞速成长,数据库的应用异常普及,深入到各个规模,但随之而来发生了数据的安详题目。各类应用体系的数据库中大量数据的安详题目、敏感数据的防窃取和防改动题目,越来越引起人们的高度重视。数据库体系作为信息的聚积体,是计较机信息体系的焦点部件,其安详性至关重要,相关到企业兴衰、国度安详。因此,怎样有用地担保数据库体系的安详,实现数据的保密性、完备性和有用性,已经成为业界人士试探研究的重要课题之一,本文就安详防入侵技能做扼要的接头。 数据库体系的安详除依靠自身内部的安详机制外,还与外部收集情形、应用情形、从业职员素质等身分痛痒相干,因此,从广义上讲,数据库体系的安详框架可以分别为三个条理: ⑴ 收集体系条理; ⑵ 宿主操纵体系条理; ⑶ 数据库打点体系条理。 这三个条理修建成数据库体系的安详系统,与数据安详的相关是慢慢细密的,防御的重要性也逐层增强,从外到内、由表及里担保数据的安详。下面就安详框架的三个条理睁开阐述。 2. 收集体系条理安详技能 从广义上讲,数据库的安详起首倚赖于收集体系。跟着Internet的成长遍及,越来越多的公司将其焦点营业向互联网转移,各类基于收集的数据库应用体系如雨后春笋般涌现出来,面向收集用户提供各类信息处事。可以说收集体系是数据库应用的外部情形和基本,数据库体系要施展其强盛浸染离不开收集体系的支持,数据库体系的用户(如异地用户、漫衍式用户)也要通过收集才气会见数据库的数据。收集体系的安详是数据库安详的第一道屏蔽,外部入侵起首就是从入侵收集体系开始的。收集入侵试图粉碎信息体系的完备性、机要性或可信赖的任何收集勾当的荟萃,具有以下特点[1]: a)没有区域和时刻的限定,超过疆土的进攻就犹如在现场一样利便; b)通过收集的进攻每每稠浊在大量正常的收集勾当之中,潜伏性强; c)入侵本领越发潜伏和伟大。 计较机收集体系开放式情形面对的威胁首要有以下几种范例[2]:a)诱骗(Masquerade);b)重发(Replay);c)报文修改(Modification of message);d)拒绝处事(Deny of service);e)陷阱门(Trapdoor);f)特洛伊木马(Trojan horse);g)进攻如透纳进攻(Tunneling Attack)、应用软件进攻等。这些安详威胁是无时、无处不在的,因此必需采纳有用的法子来保障体系的安详。 从技能角度讲,收集体系条理的安详防御技能有许多种,大抵可以分为防火墙、入侵检测、协作式入侵检测技能等。 ⑴防火墙。防火墙是应用最广的一种防御技能。作为体系的第一道防地,其首要浸染是监控可信赖收集和不行信赖收集之间的会见通道,可在内部与外部收集之间形成一道防护屏蔽,拦截来自外部的犯科会见并阻止内部信息的外泄,但它无法阻拦来自收集内部的犯科操纵。它按照事先设定的法则来确定是否拦截信息流的收支,但无法动态辨认或自顺应地调解法则,因而其智能化水平很有限。防火墙技能首要有三种:数据包过滤器(packet filter)、署理(proxy)和状态说明(stateful inspection)。当代防火墙产物凡是殽杂行使这几种技能。 ⑵入侵检测。入侵检测(IDS-- Instrusion Detection System)是连年来成长起来的一种防御技能,综合回收了统计技能、法则要领、收集通讯技能、人工智能、暗码学、推理等技能和要领,其浸染是监控收集和计较机体系是否呈现被入侵或滥用的征兆。1987年,Derothy Denning初次提出了一种检测入侵的头脑,颠末不绝成长和完美,作为监控和辨认进攻的尺度办理方案,IDS体系已经成为安详防止体系的重要构成部门。 入侵检测回收的说明技能可分为三大类:署名、统计和数据完备性说明法。 ①署名说明法。首要用来监测对体系的已知瑕玷举办进攻的举动。人们从进攻模式中归纳出它的署名,编写到IDS体系的代码里。署名说明现实上是一种模板匹配操纵。 ②统计说明法。以统计学为理论基本,以体系正常行使环境下调查到的举措模式为依据来鉴别某个举措是否偏离了正常轨道。 ③数据完备性说明法。以暗码学为理论基本,可以查证文件可能工具是否被别人修悔改。 IDS的种类包罗基于收集和基于主机的入侵监测体系、基于特性的和基于非正常的入侵监测体系、及时和非及时的入侵监测体系等[1]。 ⑶协作式入侵监测技能 独立的入侵监测体系不可以或许对普及产生的各类入侵勾当都做出有用的监测和回响,为了补充独立运作的不敷,人们提出了协作式入侵监测体系的设法。在协作式入侵监测体系中,IDS基于一种同一的类型,入侵监测组件之间自动地互换信息,而且通过信息的互换获得了对入侵的有用监测,可以应用于差异的收集情形[3]。 3. 宿主操纵体系条理安详技能 操纵体系是大型数据库体系的运行平台,为数据库体系提供必然水平的安详掩护。今朝操纵体系平台大大都齐集在Windows NT 和Unix,安详级别凡是为C1、C2级。首要安详技能有操纵体系安详计策、安详打点计策、数据安详等方面。 操纵体系安详计策用于设置当地计较机的安详配置,包罗暗码计策、账户锁定计策、考核计策、IP安详计策、用户权力指派、加密数据的规复署理以及其余安详选项[7]。详细可以表此刻用户账户、口令、会见权限、审计等方面。 用户账户:用户会见体系的"身份证",只有正当用户才有账户。 口令:用户的口令为用户会见体系提供一道验证。 会见权限:划定用户的权限。 审计:对用户的举动举办跟踪和记录,便于体系打点员说明体系的会见环境以及过后的追查行使。 安详打点计策是指收集打点员对体系实验安详打点所采纳的要领及计策。针对差异的操纵体系、收集情形必要采纳的安详打点计策一样平常也不尽沟通,其焦点是担保处事器的安详和分派好种种用户的权限。 数据安详首要表此刻以下几个方面:数据加密技能、数据备份、数据存储的安详性、数据传输的安详性等。可以回收的技能许多,首要有Kerberos认证、IPSec、SSL、TLS、VPN(PPTP、L2TP)等技能。 4. 数据库打点体系条理安详技能 数据库体系的安详性很洪流平上依靠于数据库打点体系。假如数据库打点体系安详机制很是强盛,则数据库体系的安详机能就较好。今朝市场优势行的是相关式数据库打点体系,其安详性成果很弱,这就导致数据库体系的安详性存在必然的威胁。 因为数据库体系在操纵体系下都是以文件情势举办打点的,因此入侵者可以直接操作操纵体系的裂痕窃取数据库文件,可能直接操作OS器材来犯科伪造、改动数据库文件内容。这种隐患一样平常数据库用户难以察觉,说明和堵塞这种裂痕被以为是B2级的安详技能法子[4]。 数据库打点体系条理安详技能首要是用来办理这一题目,即当前面两个条理已经被打破的环境下仍能保障数据库数据的安详,这就要求数据库打点体系必需有一套强有力的安详机制。办理这一题目的有用要领之一是数据库打点体系对数据库文件举办加密处理赏罚,使得纵然数据不幸泄漏可能丢失,也难以被人破译和阅读。 我们可以思量在三个差异条理实现对数据库数据的加密,这三个条理别离是OS层、DBMS内核层和DBMS外层。 ⑴在OS层加密。在OS层无法识别数据库文件中的数据相关,从而无法发生公道的密钥,对密钥公道的打点和行使也很难。以是,对大型数据库来说,在OS层对数据库文件举办加密很难实现。 ⑵在DBMS内核层实现加密。这种加密是指数据在物理存取之前完成加/脱密事变。这种加密方法的利益是加密成果强,而且加密成果险些不会影响DBMS的成果,可以实现加密成果与数据库打点体系之间的无缝耦合。其弱点是加密运算在处事器端举办,加重了处事器的负载,并且DBMS和加密器之间的接口必要DBMS开拓商的支持。 界说加密要求器材 DBMS 数据库应用体系 加密器 (软件或硬件) ⑶在DBMS外层实现加密。较量现实的做法是将数据库加密体系做成DBMS的一个外层器材,按照加密要求自动完成对数据库数据的加/脱密处理赏罚: 界说加密要求器材加密器 (软件或硬件) DBMS 数据库应用体系 回收这种加密方法举办加密,加/脱密运算可在客户端举办,它的利益是不会加重数据库处事器的负载而且可以实现网上传输的加密,弱点是加密成果会受到一些限定,与数据库打点体系之间的耦合性稍差。 下面我们进一步表明在DBMS外层实现加密成果的道理: 数据库加密体系分成两个成果独立的首要部件:一个是加密字典打点措施,另一个是数据库加/脱密引擎。数据库加密体系将用户对数据库信息详细的加密要求以及基本信息生涯在加密字典中,通过挪用数据加/脱密引擎实现对数据库表的加密、脱密及数据转换等成果。数据库信息的加/脱密处理赏罚是在靠山完成的,对数据库处事器是透明的。 加密字典打点措施 加密体系 应用措施 数据库加脱密引擎 数据库处事器 加密字典 用户数据 按以上方法实现的数据库加密体系具有许多利益:起首,体系对数据库的最终用户是完全透明的,打点员可以按照必要举办明文和密文的转换事变;其次,加密体系完全独立于数据库应用体系,无须窜改数据库应用体系就能实现数据加密成果;第三,加解密处理赏罚在客户端举办,不会影响数据库处事器的服从。 数据库加/脱密引擎是数据库加密体系的焦点部件,它位于应用措施与数据库处事器之间,认真在靠山完成数据库信息的加/脱密处理赏罚,对应用开拓职员和操纵职员来说是透明的。数据加/脱密引擎没有操纵界面,在必要时由操纵体系自动加载并驻留在内存中,通过内部接口与加密字典打点措施和用户应用措施通信。数据库加/脱密引擎由三大模块构成:加/脱密处理赏罚模块、用户接口模块和数据库接口模块,如图4所示。个中,"数据库接口模块"的首要事变是接管用户的操纵哀求,并转达给"加/脱密处理赏罚模块",另外还要取代"加/脱密处理赏罚模块"去会见数据库处事器,并完成外部接口参数与加/脱密引擎内部数据布局之间的转换。"加/脱密处理赏罚模块"完成数据库加/脱密引擎的初始化、内部专用呼吁的处理赏罚、加密字典信息的检索、加密字典缓冲区的打点、SQL呼吁的加密调动、查询功效的脱密处理赏罚以及加脱密算法实现等成果,其它还包罗一些公用的帮助函数。 数据加/脱密处理赏罚的首要流程如下: 1) 对SQL呼吁举办语法说明,假如语法正确,转下一步;如不正确,则转6),直接将SQL呼吁交数据库处事器处理赏罚。 2) 是否为数据库加/脱密引擎的内部节制呼吁?假如是,则处理赏罚内部节制呼吁,然后转7);假如不是则转下一步。 3) 搜查数据库加/脱密引擎是否处于封锁状态或SQL呼吁是否只必要编译?假如是则转6),不然转下一步。 4) 检索加密字典,按照加密界说对SQL呼吁举办加脱私语义说明。 5) SQL呼吁是否必要加密处理赏罚?假如是,则将SQL呼吁举办加密调动,替代原SQL呼吁,然后转下一步;不然直接转下一步。 6) 将SQL呼吁转送数据库处事器处理赏罚。 7) SQL呼吁执行完毕,破除SQL呼吁缓冲区。 以上以一个例子声名白在DBMS外层实现加密成果的道理。 5. 竣事语 本文对数据库体系安详防入侵技能举办综述,提出了数据库体系的安详系统三个条理框架,并对三个条理的技妙本领睁开描写。文中还以在DBMS外层实现加密成果的道理为例,具体声名白怎样应用数据库打点体系条理的安详技能。 数据库体系安详框架的三个条理是相辅相承的,各条理的防御重点和所采纳的技妙本领也不尽沟通,一个好的安详体系必需综合思量核运用这些技能,以担保数据的安详。 加密字典打点措施 加密体系 应用措施 数据库加脱密引擎 数据库处事器 加密字典 用户数据 按以上方法实现的数据库加密体系具有许多利益:起首,体系对数据库的最终用户是完全透明的,打点员可以按照必要举办明文和密文的转换事变;其次,加密体系完全独立于数据库应用体系,无须窜改数据库应用体系就能实现数据加密成果;第三,加解密处理赏罚在客户端举办,不会影响数据库处事器的服从。 数据库加/脱密引擎是数据库加密体系的焦点部件,它位于应用措施与数据库处事器之间,认真在靠山完成数据库信息的加/脱密处理赏罚,对应用开拓职员和操纵职员来说是透明的。数据加/脱密引擎没有操纵界面,在必要时由操纵体系自动加载并驻留在内存中,通过内部接口与加密字典打点措施和用户应用措施通信。数据库加/脱密引擎由三大模块构成:加/脱密处理赏罚模块、用户接口模块和数据库接口模块,如图4所示。个中,"数据库接口模块"的首要事变是接管用户的操纵哀求,并转达给"加/脱密处理赏罚模块",另外还要取代"加/脱密处理赏罚模块"去会见数据库处事器,并完成外部接口参数与加/脱密引擎内部数据布局之间的转换。"加/脱密处理赏罚模块"完成数据库加/脱密引擎的初始化、内部专用呼吁的处理赏罚、加密字典信息的检索、加密字典缓冲区的打点、SQL呼吁的加密调动、查询功效的脱密处理赏罚以及加脱密算法实现等成果,其它还包罗一些公用的帮助函数。 数据加/脱密处理赏罚的首要流程如下: 1) 对SQL呼吁举办语法说明,假如语法正确,转下一步;如不正确,则转6),直接将SQL呼吁交数据库处事器处理赏罚。 2) 是否为数据库加/脱密引擎的内部节制呼吁?假如是,则处理赏罚内部节制呼吁,然后转7);假如不是则转下一步。 3) 搜查数据库加/脱密引擎是否处于封锁状态或SQL呼吁是否只必要编译?假如是则转6),不然转下一步。 4) 检索加密字典,按照加密界说对SQL呼吁举办加脱私语义说明。 5) SQL呼吁是否必要加密处理赏罚?假如是,则将SQL呼吁举办加密调动,替代原SQL呼吁,然后转下一步;不然直接转下一步。 6) 将SQL呼吁转送数据库处事器处理赏罚。 7) SQL呼吁执行完毕,破除SQL呼吁缓冲区。 以上以一个例子声名白在DBMS外层实现加密成果的道理。 5. 竣事语 本文对数据库体系安详防入侵技能举办综述,提出了数据库体系的安详系统三个条理框架,并对三个条理的技妙本领睁开描写。文中还以在DBMS外层实现加密成果的道理为例,具体声名白怎样应用数据库打点体系条理的安详技能。 数据库体系安详框架的三个条理是相辅相承的,各条理的防御重点和所采纳的技妙本领也不尽沟通,一个好的安详体系必需综合思量核运用这些技能,以担保数据的安详。 ⑶协作式入侵监测技能 独立的入侵监测体系不可以或许对普及产生的各类入侵勾当都做出有用的监测和回响,为了补充独立运作的不敷,人们提出了协作式入侵监测体系的设法。在协作式入侵监测体系中,IDS基于一种同一的类型,入侵监测组件之间自动地互换信息,而且通过信息的互换获得了对入侵的有用监测,可以应用于差异的收集情形[3]。 3. 宿主操纵体系条理安详技能 操纵体系是大型数据库体系的运行平台,为数据库体系提供必然水平的安详掩护。今朝操纵体系平台大大都齐集在Windows NT 和Unix,安详级别凡是为C1、C2级。首要安详技能有操纵体系安详计策、安详打点计策、数据安详等方面。 操纵体系安详计策用于设置当地计较机的安详配置,包罗暗码计策、账户锁定计策、考核计策、IP安详计策、用户权力指派、加密数据的规复署理以及其余安详选项[7]。详细可以表此刻用户账户、口令、会见权限、审计等方面。 用户账户:用户会见体系的"身份证",只有正当用户才有账户。 口令:用户的口令为用户会见体系提供一道验证。 会见权限:划定用户的权限。 审计:对用户的举动举办跟踪和记录,便于体系打点员说明体系的会见环境以及过后的追查行使。 安详打点计策是指收集打点员对体系实验安详打点所采纳的要领及计策。针对差异的操纵体系、收集情形必要采纳的安详打点计策一样平常也不尽沟通,其焦点是担保处事器的安详和分派好种种用户的权限。 数据安详首要表此刻以下几个方面:数据加密技能、数据备份、数据存储的安详性、数据传输的安详性等。可以回收的技能许多,首要有Kerberos认证、IPSec、SSL、TLS、VPN(PPTP、L2TP)等技能。 4. 数据库打点体系条理安详技能 数据库体系的安详性很洪流平上依靠于数据库打点体系。假如数据库打点体系安详机制很是强盛,则数据库体系的安详机能就较好。今朝市场优势行的是相关式数据库打点体系,其安详性成果很弱,这就导致数据库体系的安详性存在必然的威胁。 因为数据库体系在操纵体系下都是以文件情势举办打点的,因此入侵者可以直接操作操纵体系的裂痕窃取数据库文件,可能直接操作OS器材来犯科伪造、改动数据库文件内容。这种隐患一样平常数据库用户难以察觉,说明和堵塞这种裂痕被以为是B2级的安详技能法子[4]。 数据库打点体系条理安详技能首要是用来办理这一题目,即当前面两个条理已经被打破的环境下仍能保障数据库数据的安详,这就要求数据库打点体系必需有一套强有力的安详机制。办理这一题目的有用要领之一是数据库打点体系对数据库文件举办加密处理赏罚,使得纵然数据不幸泄漏可能丢失,也难以被人破译和阅读。 我们可以思量在三个差异条理实现对数据库数据的加密,这三个条理别离是OS层、DBMS内核层和DBMS外层。 ⑴在OS层加密。在OS层无法识别数据库文件中的数据相关,从而无法发生公道的密钥,对密钥公道的打点和行使也很难。以是,对大型数据库来说,在OS层对数据库文件举办加密很难实现。 ⑵在DBMS内核层实现加密。这种加密是指数据在物理存取之前完成加/脱密事变。这种加密方法的利益是加密成果强,而且加密成果险些不会影响DBMS的成果,可以实现加密成果与数据库打点体系之间的无缝耦合。其弱点是加密运算在处事器端举办,加重了处事器的负载,并且DBMS和加密器之间的接口必要DBMS开拓商的支持。 界说加密要求器材 DBMS 数据库应用体系 加密器 (软件或硬件) ⑶在DBMS外层实现加密。较量现实的做法是将数据库加密体系做成DBMS的一个外层器材,按照加密要求自动完成对数据库数据的加/脱密处理赏罚: 界说加密要求器材加密器 (软件或硬件) DBMS 数据库应用体系 回收这种加密方法举办加密,加/脱密运算可在客户端举办,它的利益是不会加重数据库处事器的负载而且可以实现网上传输的加密,弱点是加密成果会受到一些限定,与数据库打点体系之间的耦合性稍差。 下面我们进一步表明在DBMS外层实现加密成果的道理: 数据库加密体系分成两个成果独立的首要部件:一个是加密字典打点措施,另一个是数据库加/脱密引擎。数据库加密体系将用户对数据库信息详细的加密要求以及基本信息生涯在加密字典中,通过挪用数据加/脱密引擎实现对数据库表的加密、脱密及数据转换等成果。数据库信息的加/脱密处理赏罚是在靠山完成的,对数据库处事器是透明的。 加密字典打点措施 加密体系 应用措施 数据库加脱密引擎 数据库处事器 加密字典 用户数据 按以上方法实现的数据库加密体系具有许多利益:起首,体系对数据库的最终用户是完全透明的,打点员可以按照必要举办明文和密文的转换事变;其次,加密体系完全独立于数据库应用体系,无须窜改数据库应用体系就能实现数据加密成果;第三,加解密处理赏罚在客户端举办,不会影响数据库处事器的服从。 数据库加/脱密引擎是数据库加密体系的焦点部件,它位于应用措施与数据库处事器之间,认真在靠山完成数据库信息的加/脱密处理赏罚,对应用开拓职员和操纵职员来说是透明的。数据加/脱密引擎没有操纵界面,在必要时由操纵体系自动加载并驻留在内存中,通过内部接口与加密字典打点措施和用户应用措施通信。数据库加/脱密引擎由三大模块构成:加/脱密处理赏罚模块、用户接口模块和数据库接口模块,如图4所示。个中,"数据库接口模块"的首要事变是接管用户的操纵哀求,并转达给"加/脱密处理赏罚模块",另外还要取代"加/脱密处理赏罚模块"去会见数据库处事器,并完成外部接口参数与加/脱密引擎内部数据布局之间的转换。"加/脱密处理赏罚模块"完成数据库加/脱密引擎的初始化、内部专用呼吁的处理赏罚、加密字典信息的检索、加密字典缓冲区的打点、SQL呼吁的加密调动、查询功效的脱密处理赏罚以及加脱密算法实现等成果,其它还包罗一些公用的帮助函数。 数据加/脱密处理赏罚的首要流程如下: 1) 对SQL呼吁举办语法说明,假如语法正确,转下一步;如不正确,则转6),直接将SQL呼吁交数据库处事器处理赏罚。 2) 是否为数据库加/脱密引擎的内部节制呼吁?假如是,则处理赏罚内部节制呼吁,然后转7);假如不是则转下一步。 3) 搜查数据库加/脱密引擎是否处于封锁状态或SQL呼吁是否只必要编译?假如是则转6),不然转下一步。 4) 检索加密字典,按照加密界说对SQL呼吁举办加脱私语义说明。 5) SQL呼吁是否必要加密处理赏罚?假如是,则将SQL呼吁举办加密调动,替代原SQL呼吁,然后转下一步;不然直接转下一步。 6) 将SQL呼吁转送数据库处事器处理赏罚。 7) SQL呼吁执行完毕,破除SQL呼吁缓冲区。 以上以一个例子声名白在DBMS外层实现加密成果的道理。 5. 竣事语 本文对数据库体系安详防入侵技能举办综述,提出了数据库体系的安详系统三个条理框架,并对三个条理的技妙本领睁开描写。文中还以在DBMS外层实现加密成果的道理为例,具体声名白怎样应用数据库打点体系条理的安详技能。 数据库体系安详框架的三个条理是相辅相承的,各条理的防御重点和所采纳的技妙本领也不尽沟通,一个好的安详体系必需综合思量核运用这些技能,以担保数据的安详。 加密字典打点措施 加密体系 应用措施 数据库加脱密引擎 数据库处事器 加密字典 用户数据 按以上方法实现的数据库加密体系具有许多利益:起首,体系对数据库的最终用户是完全透明的,打点员可以按照必要举办明文和密文的转换事变;其次,加密体系完全独立于数据库应用体系,无须窜改数据库应用体系就能实现数据加密成果;第三,加解密处理赏罚在客户端举办,不会影响数据库处事器的服从。 数据库加/脱密引擎是数据库加密体系的焦点部件,它位于应用措施与数据库处事器之间,认真在靠山完成数据库信息的加/脱密处理赏罚,对应用开拓职员和操纵职员来说是透明的。数据加/脱密引擎没有操纵界面,在必要时由操纵体系自动加载并驻留在内存中,通过内部接口与加密字典打点措施和用户应用措施通信。数据库加/脱密引擎由三大模块构成:加/脱密处理赏罚模块、用户接口模块和数据库接口模块,如图4所示。个中,"数据库接口模块"的首要事变是接管用户的操纵哀求,并转达给"加/脱密处理赏罚模块",另外还要取代"加/脱密处理赏罚模块"去会见数据库处事器,并完成外部接口参数与加/脱密引擎内部数据布局之间的转换。"加/脱密处理赏罚模块"完成数据库加/脱密引擎的初始化、内部专用呼吁的处理赏罚、加密字典信息的检索、加密字典缓冲区的打点、SQL呼吁的加密调动、查询功效的脱密处理赏罚以及加脱密算法实现等成果,其它还包罗一些公用的帮助函数。 数据加/脱密处理赏罚的首要流程如下: 1) 对SQL呼吁举办语法说明,假如语法正确,转下一步;如不正确,则转6),直接将SQL呼吁交数据库处事器处理赏罚。 2) 是否为数据库加/脱密引擎的内部节制呼吁?假如是,则处理赏罚内部节制呼吁,然后转7);假如不是则转下一步。 3) 搜查数据库加/脱密引擎是否处于封锁状态或SQL呼吁是否只必要编译?假如是则转6),不然转下一步。 4) 检索加密字典,按照加密界说对SQL呼吁举办加脱私语义说明。 5) SQL呼吁是否必要加密处理赏罚?假如是,则将SQL呼吁举办加密调动,替代原SQL呼吁,然后转下一步;不然直接转下一步。 6) 将SQL呼吁转送数据库处事器处理赏罚。 7) SQL呼吁执行完毕,破除SQL呼吁缓冲区。 以上以一个例子声名白在DBMS外层实现加密成果的道理。 5. 竣事语 本文对数据库体系安详防入侵技能举办综述,提出了数据库体系的安详系统三个条理框架,并对三个条理的技妙本领睁开描写。文中还以在DBMS外层实现加密成果的道理为例,具体声名白怎样应用数据库打点体系条理的安详技能。 数据库体系安详框架的三个条理是相辅相承的,各条理的防御重点和所采纳的技妙本领也不尽沟通,一个好的安详体系必需综合思量核运用这些技能,以担保数据的安详。 (编辑:湖南网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
