基于SSL的数据库安全代理研究与实现
|
摘要
随着计算机与网络技术的飞速发展,信息系统的应用日益广泛,数据的交换日趋频繁。因此,如何保障信息系统的安全性,是一个非常重要的问题。而数据库作为信息的载体,它的安全性对整个信息系统的安全起着决定作用。
数据库系统的安全性主要包括两个方面:访问控制策略和传输通道安全。
访问控制策略即保证数据库的访问者其身份的合法性。目前大多数数据库系统采用的都是用户名/口令认证方式,这种方式的安全保障十分有限,有可能遭遇被动的试探攻击、主动的中间人攻击和口令猜测攻击。
传输通道安全指的是数据库系统中数据的传输安全。通常的数据库系统其传输通道都是明文信道,在传输通道上的数据没有经过任何加密,很容易遭到来自网络的人为攻击。
不难看出通常的数据库系统中访问控制策略存在的弱点以及数据传输通道潜在的隐患。因此,如何保证数据库用户身份的合法性以及传输通道的安全性,是至关重要的。
SSL协议正是一个提供身份鉴别和数据加密的协议。本文通过对SSL及其关键技术的研究,提出了在网络数据库系统的用户访问控制中使用基于SSL和证书的双向身份认证。另外,SSL在提供保密性的同时还以它特有的数据整合方式提供完整性保护。因而可以在客户端与服务器之间构建一条透明的安全通道,从而保证网络传输过程中数据的保密性和完整性。
本文研究如何将SSL与数据库安全有机地结合起来,提出了基于SSL的数据库安全代理模型,并在此基础上设计实现了一个简单的数据库安全代理。经测试表明,利用SSL构建数据库用户与服务器之间的安全连接这一设想是可行的,能够实行有效的双向身份认证,满足在访问控制和保密通信两方面的安全需求。由此可见,数据库代理方式能够达到安全访问数据库并进行安全通信的目的,从而解决数据库访问安全及数据传输安全问题。
Along with the rapid development of computer and network technology, information systems cover much wider range of areas, and data exchange is increasingly multifarious. So, it's such an important problem that how to protect information system security. Because database is a set of information, database system security plays a crucial role on the information system security.
There are two aspects included in database system security, which is access control security strategy and communication channel security.
Access control security strategy is to preserve the legality of the database users. Nowadays, most database systems are using client/password authentication method as their access control security strategy, which has poor security preservation and has been suffering varieties attacks, such as passive sniffing attack, active man-in-the-middle attack and password guess attack.
Communication channel security means data transmission security in the database system. In most database systems, plaintext travels on the communication channel, and human attack from the network occur easily.
From the above, it's not difficult to see the weakness of access control security strategy and the insecurity of communication pipe in most database systems. Therefore, it's a very important problem that how to preserve the legality of database users and communication channel security.
SSL is a protocol that supports authentication and data encryption. Through study on SSL and its key technology, it is recommended that the SSL-based certificate authentication can be used as client access control method in database systems. Further more, not only does SSL provide us data confidentiality, it also preserves the integrity of data by its special way of data package. Therefore, we can use this to build up a cipher text communication pipe for data transferring between clients and servers of database systems to preserve data confidentiality and integrity.
Thesis researches how to put together SSL and database security, and put forward a database security proxy model. Based on all the work, we developed and realized a simple database security proxy. It proves that the tentative idea of using SSL in database systems is desirable. It not only can provide us reliable authentication, but also can satisfy our demands in both access controlling and secret communication. From this we can see that database security proxy can attain the purpose of accessing and communicating safely, and the problem in accessing database and transferring data will be solved.
数据库系统的安全性主要包括两个方面:访问控制策略和传输通道安全。
访问控制策略即保证数据库的访问者其身份的合法性。目前大多数数据库系统采用的都是用户名/口令认证方式,这种方式的安全保障十分有限,有可能遭遇被动的试探攻击、主动的中间人攻击和口令猜测攻击。
传输通道安全指的是数据库系统中数据的传输安全。通常的数据库系统其传输通道都是明文信道,在传输通道上的数据没有经过任何加密,很容易遭到来自网络的人为攻击。
不难看出通常的数据库系统中访问控制策略存在的弱点以及数据传输通道潜在的隐患。因此,如何保证数据库用户身份的合法性以及传输通道的安全性,是至关重要的。
SSL协议正是一个提供身份鉴别和数据加密的协议。本文通过对SSL及其关键技术的研究,提出了在网络数据库系统的用户访问控制中使用基于SSL和证书的双向身份认证。另外,SSL在提供保密性的同时还以它特有的数据整合方式提供完整性保护。因而可以在客户端与服务器之间构建一条透明的安全通道,从而保证网络传输过程中数据的保密性和完整性。
本文研究如何将SSL与数据库安全有机地结合起来,提出了基于SSL的数据库安全代理模型,并在此基础上设计实现了一个简单的数据库安全代理。经测试表明,利用SSL构建数据库用户与服务器之间的安全连接这一设想是可行的,能够实行有效的双向身份认证,满足在访问控制和保密通信两方面的安全需求。由此可见,数据库代理方式能够达到安全访问数据库并进行安全通信的目的,从而解决数据库访问安全及数据传输安全问题。
Along with the rapid development of computer and network technology, information systems cover much wider range of areas, and data exchange is increasingly multifarious. So, it's such an important problem that how to protect information system security. Because database is a set of information, database system security plays a crucial role on the information system security.
There are two aspects included in database system security, which is access control security strategy and communication channel security.
Access control security strategy is to preserve the legality of the database users. Nowadays, most database systems are using client/password authentication method as their access control security strategy, which has poor security preservation and has been suffering varieties attacks, such as passive sniffing attack, active man-in-the-middle attack and password guess attack.
Communication channel security means data transmission security in the database system. In most database systems, plaintext travels on the communication channel, and human attack from the network occur easily.
From the above, it's not difficult to see the weakness of access control security strategy and the insecurity of communication pipe in most database systems. Therefore, it's a very important problem that how to preserve the legality of database users and communication channel security.
SSL is a protocol that supports authentication and data encryption. Through study on SSL and its key technology, it is recommended that the SSL-based certificate authentication can be used as client access control method in database systems. Further more, not only does SSL provide us data confidentiality, it also preserves the integrity of data by its special way of data package. Therefore, we can use this to build up a cipher text communication pipe for data transferring between clients and servers of database systems to preserve data confidentiality and integrity.
Thesis researches how to put together SSL and database security, and put forward a database security proxy model. Based on all the work, we developed and realized a simple database security proxy. It proves that the tentative idea of using SSL in database systems is desirable. It not only can provide us reliable authentication, but also can satisfy our demands in both access controlling and secret communication. From this we can see that database security proxy can attain the purpose of accessing and communicating safely, and the problem in accessing database and transferring data will be solved.
引文
[1] 卿斯汉,冯登国.信息系统的安全[M].科学出版社.2002
[2] 赵宝献.数据库访问控制理论方法研究与实现.南京航空航天大学硕士学位论文.2005年1月:1-11
[3] 朱良根,雷振甲,张玉清.数据库安全技术研究.计算机应用研究.2004年第9期:127-129
[4] Eric Rescorla.崔凯译.SSL与TLS,中国电力出版,2002
[5] Bellovin, S.M., Probable plaintext cryptanalysis of the SSL protocols, Network and Distributed System Security, 1997.
[6] 蔡皖东等.网络与信息安全.西安:西北工业大学出版社.2004年4月
[7] Marc Farley,Tom Steam,Jeffrey Hsu著.网络安全与数据完整性指南.机械工业出版社.1998
[8] 乔敬.数据库安全访问中间件技术研究与开发.中国原子能科学研究院硕士学位论文.2004年6月:7-12
[9] 郑明雄.网络数据库系统的安全性研究.西南交通大学硕士学位论文.2005年3月:1-8
[10] 裴继奎,李大兴.X.509中身份认证协议的安全性描述.计算机应用.Vol.21,No.10,2001.10:64-66
[11] 张建国.数据库安全代理访问技术.北京工业大学硕士学位论文.2002年5月:18-31
[12] 姚顾波,刘焕金(Herry Liu)等.网络安全完全解决方案.北京:电子工业出版社.2003年:261-277
[13] 王同洋,李敏,吴俊军.基于多因素的网络身份认证.计算机应用与软件.2005年6月 VOL.22,No.6,2005.6:101-103
[14] 刘玉珍,李莉等译.密码学与网络安全.机械出版社.2000
[15] Williams Stallings. Cryptography and Network Security Principles and Practice[M], Second Edition. 清华大学出版社,2002年6月
[16] 潘爱民著.COM原理与应用.北京:清华大学出版社.2001.3:36-74
[17] W.Richard Stevens著.范建华等译.TCP/IP协议详解卷一:协议.北京大学出版社.1999年7月
[18] K.Hickman. The SSL Protocol. 1995.http://www.netscape.com/eng/security/SSL_2.html
[19] Alan O.Freier, Philip Karlton, Paul C.Kocher Internet-Draft draft-freier-ssl-version3-02 "The SSL Protocol Version 3.0". November 1996
[20] 田峰.高强度SSL技术研究及其安全代理的设计与实现.电子科技大学硕士学位论文.2003年3月:19-26
[21] 谢冬青,冷键.PKI原理与技术.北京:清华大学出版社,2004年1月
[22] Carlise Adams,Steve Lloyd.公开密钥基础设施——概念、标准和实施(冯登国等译).人民邮电出版社.2001
[23] Kent, S., Evaluating certification authority security, Aerospace Conference,1998 IEEE,1998, vlo.4:319-327
[24] Andre Ames. Public Key Certificate Revocation Schemes. Master's thesie. Norewgian University of Science and Technology. February 2000
[25] 翟雪峰.SSL的安全分析及被劫持的研究实现.四川大学硕士学位论文.2004年4月:21-28
[26] 冯登国.网路安全原理与技术.北京:科学技术出版社.2003年9月
[27] William Stallings,杨明等译.密码编码学与网络安全.北京:电子工业出版社,2001
[28] 赖溪松,韩亮,张真诚.计算机密码学及其应用.北京:国防工业出版社,2001
[29] Bruce Schneier著,吴世忠,祝世雄,张文政等译.应用密码学—协议、算法和C源程序(第二版).北京:机械工业出版社,2000年1月
[30] 卢开澄.计算机密码学——计算机网络中的数据保密和安全(第二版).北京:清华大学出版社,1998年
[31] Thomas H.Hinke.Harry S. Protecting databases from inference attacks, Computer & Security, Vol. 16(8): 687-708
[32] Teresa F.Lunt. Research Directions in Database Security. New York, Springer-Verlag, 1992
[33] 李哲.SSL协议在数据库系统安全中的应用研究.四川大学硕士学位论文.2004年4月:13-16
[34] 孙闵.数据库访问代理在ERP开发中的研究及应用.南京航空航天大学硕士学位论文.2002年:13-17
[35] 施炜,李铮,秦颖著.Windows Sockets规范及应用—Windows网络编程接口.北京:电子工业出版社.1997年8月
[36] 姜文平,谭辉等.基于TCP/IP的socket接口实现网络通信.湖北邮电技术.1998年04期:32-39
[37] 王志海.OpenSSL与网络信息安全—基础、结构和指令.中国OpenSSL专业论坛.http://www.openssl.cn
[38] Trizen Systems, Inc. 120 International Parkway, OpenSSL for Windows Developer's Guide, 2001
[39] OpenSSL Project. http://www.openssl.org
[40] 李玉强.基于COM技术与JNI技术的通用数据交换技术的研究.武汉理工大学硕士毕业论文.2005年6月:14-21
[41] H.Feistel, W.A. Notz. "Some Cryptographic Techniques for Machine to Machine Data Communications", IEEE, Nov 1975
[2] 赵宝献.数据库访问控制理论方法研究与实现.南京航空航天大学硕士学位论文.2005年1月:1-11
[3] 朱良根,雷振甲,张玉清.数据库安全技术研究.计算机应用研究.2004年第9期:127-129
[4] Eric Rescorla.崔凯译.SSL与TLS,中国电力出版,2002
[5] Bellovin, S.M., Probable plaintext cryptanalysis of the SSL protocols, Network and Distributed System Security, 1997.
[6] 蔡皖东等.网络与信息安全.西安:西北工业大学出版社.2004年4月
[7] Marc Farley,Tom Steam,Jeffrey Hsu著.网络安全与数据完整性指南.机械工业出版社.1998
[8] 乔敬.数据库安全访问中间件技术研究与开发.中国原子能科学研究院硕士学位论文.2004年6月:7-12
[9] 郑明雄.网络数据库系统的安全性研究.西南交通大学硕士学位论文.2005年3月:1-8
[10] 裴继奎,李大兴.X.509中身份认证协议的安全性描述.计算机应用.Vol.21,No.10,2001.10:64-66
[11] 张建国.数据库安全代理访问技术.北京工业大学硕士学位论文.2002年5月:18-31
[12] 姚顾波,刘焕金(Herry Liu)等.网络安全完全解决方案.北京:电子工业出版社.2003年:261-277
[13] 王同洋,李敏,吴俊军.基于多因素的网络身份认证.计算机应用与软件.2005年6月 VOL.22,No.6,2005.6:101-103
[14] 刘玉珍,李莉等译.密码学与网络安全.机械出版社.2000
[15] Williams Stallings. Cryptography and Network Security Principles and Practice[M], Second Edition. 清华大学出版社,2002年6月
[16] 潘爱民著.COM原理与应用.北京:清华大学出版社.2001.3:36-74
[17] W.Richard Stevens著.范建华等译.TCP/IP协议详解卷一:协议.北京大学出版社.1999年7月
[18] K.Hickman. The SSL Protocol. 1995.http://www.netscape.com/eng/security/SSL_2.html
[19] Alan O.Freier, Philip Karlton, Paul C.Kocher Internet-Draft draft-freier-ssl-version3-02 "The SSL Protocol Version 3.0". November 1996
[20] 田峰.高强度SSL技术研究及其安全代理的设计与实现.电子科技大学硕士学位论文.2003年3月:19-26
[21] 谢冬青,冷键.PKI原理与技术.北京:清华大学出版社,2004年1月
[22] Carlise Adams,Steve Lloyd.公开密钥基础设施——概念、标准和实施(冯登国等译).人民邮电出版社.2001
[23] Kent, S., Evaluating certification authority security, Aerospace Conference,1998 IEEE,1998, vlo.4:319-327
[24] Andre Ames. Public Key Certificate Revocation Schemes. Master's thesie. Norewgian University of Science and Technology. February 2000
[25] 翟雪峰.SSL的安全分析及被劫持的研究实现.四川大学硕士学位论文.2004年4月:21-28
[26] 冯登国.网路安全原理与技术.北京:科学技术出版社.2003年9月
[27] William Stallings,杨明等译.密码编码学与网络安全.北京:电子工业出版社,2001
[28] 赖溪松,韩亮,张真诚.计算机密码学及其应用.北京:国防工业出版社,2001
[29] Bruce Schneier著,吴世忠,祝世雄,张文政等译.应用密码学—协议、算法和C源程序(第二版).北京:机械工业出版社,2000年1月
[30] 卢开澄.计算机密码学——计算机网络中的数据保密和安全(第二版).北京:清华大学出版社,1998年
[31] Thomas H.Hinke.Harry S. Protecting databases from inference attacks, Computer & Security, Vol. 16(8): 687-708
[32] Teresa F.Lunt. Research Directions in Database Security. New York, Springer-Verlag, 1992
[33] 李哲.SSL协议在数据库系统安全中的应用研究.四川大学硕士学位论文.2004年4月:13-16
[34] 孙闵.数据库访问代理在ERP开发中的研究及应用.南京航空航天大学硕士学位论文.2002年:13-17
[35] 施炜,李铮,秦颖著.Windows Sockets规范及应用—Windows网络编程接口.北京:电子工业出版社.1997年8月
[36] 姜文平,谭辉等.基于TCP/IP的socket接口实现网络通信.湖北邮电技术.1998年04期:32-39
[37] 王志海.OpenSSL与网络信息安全—基础、结构和指令.中国OpenSSL专业论坛.http://www.openssl.cn
[38] Trizen Systems, Inc. 120 International Parkway, OpenSSL for Windows Developer's Guide, 2001
[39] OpenSSL Project. http://www.openssl.org
[40] 李玉强.基于COM技术与JNI技术的通用数据交换技术的研究.武汉理工大学硕士毕业论文.2005年6月:14-21
[41] H.Feistel, W.A. Notz. "Some Cryptographic Techniques for Machine to Machine Data Communications", IEEE, Nov 1975