淺析數據庫系統中安全代理訪問技術

摘要：基于網絡的數據庫訪問安全問題，即數據庫遠程訪問安全問題成為研究熱點問題。本文針對信息系統中基于廣域網的數據庫訪問帶來的非法訪問、黑客攻擊、數據的截取、篡改等安全問題提供了建立一個安全代理系統代理對數據庫的訪問的思路，并對其中整個系統結構進行分析。

關鍵詞：數據庫安全代理系統結構分析

0引言

隨著信息時代的到來，各種信息爆炸式發展并積累著，這涉及到人們日常生活、企事業單位的管理、各種科研活動以至國家的宏觀經濟調控等等各個方面。采用計算機對各種信息作為數據進行管理成為高效科學的手段，這也促進了計算機數據庫的發展。目前，基于計算機網絡的系統正得到越來越廣泛的應用，計算機網絡的開放性和信息的安全性之間的矛盾日益突出。基于網絡的數據庫訪問安全問題，即數據庫遠程訪問安全問題成為研究熱點問題，本文針對信息系統中基于廣域網的數據庫訪問帶來的非法訪問、黑客攻擊、數據的截取、篡改等安全問題提供了建立一個安全代理系統代理對數據庫的訪問的思路，并對其中整個系統結構進行分析。

1數據庫安全代理訪問系統結構

為了達到安全訪問數據庫的目的，在傳統的數據庫訪問方式中加入加密和認證安全技術以及防火墻技術。形成新的數據庫訪問結構。而新加入的模塊以代理的形式在起作用。

1.1總體系統結構數據庫安全訪問代理用來提供用戶身份認證和數據庫訪問服務并提供了網絡傳輸加密服務。所有的客戶方的數據庫訪問請求都通過數據庫安全訪問代理進行轉發。客戶方數據訪問代理用于接收所有的客戶應用數據庫訪問請求(包括數據庫客戶的連接建立和連接斷開請求)，并負責向數據庫客戶傳送數據庫訪問的結果。數據庫訪問請求是按照協議格式化為數據報提供給數據加密，認證客戶端，而數據庫訪問結果是按照協議格式由數據加密／認證客戶端提供。數據加密認證客戶端完成客戶端的數據加密和認證工作，同服務器端的數據加密，認證服務器一起完成強大的數據加密功能保障數據安全。數據加密，認證服務器接收通過廣域網f或者是局域網)傳輸的客戶端發出的數據庫訪問請求數據報，這個請求是經過數據加密，認證客戶端加密的。解密后的數據傳遞給數據庫訪問代理服務器。然后將數據庫訪問代理服務器返回的結果加密通過網絡回送客戶端。

可以看到代理系統將廣域網包含在內部。廣域網是數據庫訪問中的最薄弱環節，容易引起各種安全問題。采用代理后廣域網中傳輸的是加密后的數據，配合認證簽名技術可以保證數據不被竊取篡改，極大的提高了系統的數據安全性。數據庫訪問代理服務器主要用于向數據庫服務器提出所代理客戶的數據庫訪問請求，并負責接受應答，執行真正的數據庫操作。

1.2安全訪問代理的中間件特點數據庫安全訪問代理處在應用和數據庫之間，起一個數據庫中間件的作用和結構。可以在代理系統中，對數據庫的訪問請求進行控制管理，配合數據庫的特點，達到發揮最大數據庫性能的目的，例如建立數據庫連接池。這種模型完全克服了傳統的客戶，服務器模型的缺點，具有可重用性、靈活性、可管理性、易維護性等一系列優良的特性。遠程過程調用中間件(開PC，Remote Proeedure Call)在客戶，服務器計算方面，比數據庫中間件又邁進了一步。即C的靈活特性使得它有比數據庫中間件更廣泛的應用。它可以應用在更復雜的客戶／服務器計算環境中。

1.3安全訪問代理的代理作用之所以稱為代理是因為系統接收數據庫應用的數據庫訪問請求，把請求映射到代理系統對于數據庫的訪問，而系統不對這些請求進行過于復雜的處理。同其它代理系統一樣，這種代理具有能夠加入安全控制的特點，同時代理系統對外接收數據庫訪問請求，而數據庫系統可以只接受代理的訪問請求，起到隔離和安全保護作用。另一個重要特點是，可以加入到己經開發應用的信息系統中，極大提高原有系統的安全性能而不需要重新開發。

1.4安全訪問代理的防火墻作用現在網絡的一個現狀是黑客的攻擊廣泛存在。攻擊后果可以是竊取信息、使系統癱瘓或者造成網絡堵塞。數據庫安全訪問代理可以起應用級網關類別的防火墻作用，代理服務器而不是數據庫暴露在廣域網中，對數據庫的訪問都是通過代理服務器來完成。代理服務器采用防火墻技術對抗黑客的各種攻擊，以及配合數據加密和身份認證技術，使系統達到極大的安全要求。數據庫和代理服務器處于一個局域網之中，不會受到廣域網用戶的訪問或者攻擊，同時數據庫的原有安全措施在起作用。

1.5安全代理訪問系統采用SSL加密認證技術代理系統中的數據加密和身份認證及簽名采用SSL技術來完成。代理系統中的數據加密和身份認證及簽名采用SSL技術來完成。應用程序通常使用IPC(Interporcess Communications Facilty)與不同層次的安全協議打交道，在不同傳輸層協議中工作。最流行的工PC界面是Bad-sockets和TLI。在Unix系統V命令里可以找到。在Intemet中提供安全服務的首先一個想法便是強化它的IPC界面，如BSD Sockets等，具體做法包括雙端實體的認證，數據加密密鑰的交換等。

1.6安全代理訪問系統形成多層結構為了克服由于傳統客戶／服務器模型的這些缺陷給系統應用帶來的影響，一種新的結構出現了，這就是三層(N層)客戶，服務器模型。三層客戶，服務器結構構建了一種分割式的應用程序。系統對應用程序進行分割后，劃分成不同的邏輯組件，主要分為三層：用戶服務層，業務處理層，數據服務層。系統中由于安全訪問代理的加入而形成多層結構。安全代理形成獨立的一層，與其它層通過標準的數據庫訪問接口，這就提供了極大的靈活性，每一層的改變可以不影響其它層。這也很大程度上降低了數據安全訪問代理的設計復雜性。

1.7安全代理訪問系統采用ODBC技術ODBC之所以能夠操作眾多的數據庫，是由于當前絕大部分數據庫全部或部分地遵從關系數據庫概念，ODBC看待這些數據庫時正是著眼了這些共同點。ODBC基本思想是提供獨立程序來提取數據信息，并具有向應用程序輸入數據的方法。ODBC接口的優勢之一為互操作性，程序設計員可以在不指定特定數據源情況下創建ODBC應用程序。從應用程序角度方面，為了使每個驅動程序和數據源都支持相同的ODBC函數調用和SQL語句集，ODBC接口定義了一致性級別，即ODBCAPI一致性和ODBC SRL語法一致性。

1.8安全代理訪問系統對于應用的透明性對于應用的透明性是指對應數據庫應用來說，采用或者不采用數據庫安全訪問代理，對于數據庫的訪問方法沒有區別。技術的透明性可以達到一個向上繼承的作用，這也是很大的優點。對應用的透明性是通過采用標準的數據庫訪問技術來達到的，數據庫應用的每一個數據庫訪問操作經過訪問代理系統映射為同樣的數據庫訪問實施于數據庫，對AP工調用進行一對一的映射，所以原來開發系統不需要改動。也為系統的方案設計提供了靈活性。

1.9安全代理訪問系統中數據的壓縮傳輸數據庫安全訪問代理中，數據的傳輸要通過工nternet來完成。帶寬相對于局域網來說要窄的多，造成數據庫訪問的瓶頸，影響速度。對于使用很廣泛的撥號上網方式來說，速度問題更為重要。所以考慮采用數據壓縮傳輸。數據的壓縮是作為SSL的一部分存在的，采用的主要壓縮技術是Zlib。通常的壓縮比可以達到2：1—5：1。

2結語

通過廣域網的數據庫訪問，存在用戶的身份認證、黑客的攻擊、數據的被竊取、篡改等安全問題，以及廣域網帶寬窄造成的速度慢問題。為信息系統的開發應用造成了困難。上述問題可以通過數據庫安全訪問代理解決。訪問代理具有中間件的特點介于數據應用和數據庫之間，形成了一個數據庫訪問的多層結構。這些結構特點使代理相對獨立，降低系統的復雜度。