校園一卡通系統數據庫安全技術探究

高春燕

(陜西青年職業學院,西安,710068)

校園一卡通系統數據庫安全技術探究

高春燕

(陜西青年職業學院,西安,710068)

隨著我國高校數字化校園的建設和應用，校園一卡通在校園中的應用也越來越廣泛，而其功能也越來越復雜。本文針對校園中常用的Oracle數據庫基礎上，提出一套數據庫訪問增強技術方案，從而有效確保校園一卡通使用安全。

校園一卡通；Oracle；入侵檢測

隨著數字化校園的建設，校園一卡通系統的使用給校園的管理帶來了越來越多的方便。而上述業務帶來的大量的收費數據、消費數據和銀行交易數據等相關敏感信息的安全引發了越來越多的思考。

1 數據庫安全概述

1.1 校園一卡通系統整體架構

校園一卡通整體系統主要包括各種軟件、硬件、網絡等共同組成的系統，其具體的整體結構布局如圖1所示。

1.2 數據庫安全

數據庫安全，是指為防止對數據庫的非法的使用從而給數據庫帶來破壞、泄漏或者是更改等所采取的安全技術或策略。在網絡中，對所有信息的存儲和管理都是通過數據庫來實現的，因此，信息安全又涉及數據庫安全。而數據庫的安全和應用是兩個不同的方面，在現實中其關系是同一和矛盾的關系，即要保障數據庫的應用，就必須保障數據庫的安全，而要保障其安全，才能保障應用。因此，在現實的運用中，往往為保證數據庫的安全，采用多種不同的安全策略，以防止數據被盜用。

2 現行校園一卡通安全技術

2.1 存取控制技術

該技術為數據安全的核心板塊，通常采用登陸控制、使用權限控制和數據庫操作權等方式來保障該系統的安全性。而登陸控制一般采用賬號和密碼的方式來對用戶身份進行驗證。數據庫使用權限和對象操作則通過數據庫的授權。

2.2 隔離控制技術

隔離技術則利用某種中間的機制，對用戶和存儲的對象進行隔離。通過這種方式，用戶不能進行直接的操作，而只能通過某些中間機制來完成對數據庫的訪問。

2.3 加密技術

數據加密是通過加密算法與加密的密鑰將原本的明文轉換為密文，并通過解密密鑰對數據進行解析，轉換成明文。而針對數據機密，其又可以被分為對稱加密和非對稱加密。其區別的關鍵在于對其進行解密的時候，是否使用相同的密鑰。

2.4 信息流向控制技術

該技術是將數據庫的信息內容按照其信息的敏感進行不同等級的劃分，以防止信息泄漏，如將信息分成一般、秘密、機密、絕密。

3 數據庫安全方案設計

為更好的保護一卡通數據安全，在該研究中我們利用在外圍設置防御機制，和入侵檢測技術，并在數據庫內部采用內部容忍技術對數據安全進行設計。

針對現階段對數據庫的攻擊，對其進行的檢測和處理通常需要花費很長的時間，因此，從實際來看，我們可以認為我們不能完全阻止破壞者對數據庫的攻擊，但是當數據庫被攻擊后，我們可對其被損害的程度定為在某個階段，并通過容忍入侵的策略，使得數據庫最快的恢復，并繼續投入使用。

在上述的系統構造中主要采用了入侵監控器和數據對話、交易實時跟蹤分析等軟件。一旦系統數據庫受到非法入侵，則系統

立即將其送入到恢復管理器當中，并通過事物日志記錄，對其進行定位，同時通過日志事物的回滾來實現對系統的恢復。在整個過程中，數據庫則繼續處理新的事物。

其中的MD軟件則用來實現對相關的客戶進行過濾，并對事物的行為信息進行捕獲，以此與系統隔離和恢復管理器共同來增強容忍入侵的策略。而在這其中，MD軟件捕獲到相關的行為特征，并偵測到出現的一些惡意的或者是異常的交易，那篇該身份信息授權認證通過，該系統也可能被MD軟件檢測到，而給系統安裝了一個雙保險。當其在事務層對相關的事務進行處理的時候，系統則自動根據其行為特征，將攻擊事務通過隔離器將攻擊事務送入到虛擬數據庫中，并對其采取隔離措施。在通過系統的檢測之后，如證明該用戶為非法用戶，則取消對該事務的提交，并通過undo日志對被破壞電腦數據進行修復，如合法，則運用redo日志對被損數據進行修復。而該系統架構中其具體的運行的程序設計如下：

經外層防御檢測后，通過MD軟件，對用戶請求進行過濾和檢查；其次再通過檢測后，MD軟件將有效的請求送入到DBMS中，在對數據庫進行事務的處理；一旦MD發現可以事務，則將其送入到隔離管理器，并通過隔離管理器送入到虛擬的數據庫系統中，在這其中，該用戶只能對數據進行讀取，而不能進行其他操作；恢復管理器通過相關的日志提交事務的回滾，入侵檢測則起到協同的作用，如為懷疑，則將其進行隔離；一定定義為惡意的，則丟棄，而如合法，則重新整合到真實數據庫中；而當被證明為合法的，在對其進行更新的時候，如出現同一個對象，則需退回到之前的狀態，進行重新的整合。

4 方案檢測

我們在數據庫的使用中，通常對數據庫的攻擊包括數字字典攻擊、sniffer軟件攻擊、竊取密碼的方式對數據庫進行攻擊。所謂的數據字典攻擊，即為口令的攻擊，是指通過“黑客字典”將用戶的密碼進行窮舉實驗，而一旦成功，則通過數據庫執行相關的操作；sniffer軟件攻擊是在網絡的環境下常用的一中攻擊模式，其主要通過對網絡傳輸的網段進行探測，從而獲取相關的信息，而在現實中對未經加密的信息，該方法很有效；竊取密碼的方式是通過客戶機，對OBDC數據源中的的賬號和密碼通過一些專用的工具進行竊取，而一旦竊取成功，則進行進一步的行為。

通過測試，攻擊者因無法獲取密鑰盤，而如果攻擊者指導其用戶的ID號碼，但通過窮舉，也無法通過認證。因為，在這過程中，攻擊者必須對對稱密鑰進行窮舉，并且窮舉的次數非常多，如假設密鑰的數字為5位，對稱的密鑰則為128，因此，其必須窮舉105*2128≈3.4e+43 次。

對sniffer軟件所進行的嗅探攻擊，由于在對網絡傳輸中的信息進行了加密，因此，其能夠成功的可能性非常小。

對竊取密碼的方式，由于密碼通常不暴露在客戶機上，因此，其被竊取的機會將大大減少。

5 結束語

本文對常用的校園一卡通系統的架構進行設計分析，并對常用的數據庫安全技術方案進行介紹。在這些基礎上，對現行的數據庫方案進行增強設計，提出了一套數據庫安全性的三層方案，并通過這種三層的系統模型，使得數據庫在收到攻擊后能保障其正常使用，從而使得系統更具彈性，被攻擊后仍然可提供服務。

劉尊全.劉氏高強度公開加密算法設計原理與裝置[M].北京:清華大學出版社,2010,6.

Campus Card System database security technology research

Gao Chunyan
(Shaanxi Youth Vocational College,xi’an,710068)

With China's digital campus construction and application,campus card applications in the campus has become increasingly widespread,and its functions are more complex.In this paper,commonly used in campus based on the Oracle database,database access enhancements proposed a technical solution to effectively ensure the safe use of campus card.

Campus Card;Oracle;Intrusion Detection

圖1 校園一卡通整體網絡布局