本文介绍了数据库安全的关键技术,包括用户身份鉴别、访问控制、审计、数据加密等,并以KaiwuDB为例,详细阐述了其安全功能的具体实现。
一、数据库安全功能
数据库安全性,是指保护数据库以防止不合法操作使用,造成的数据泄露、更改或者破坏。系统保护措施是否有效,是数据库系统的主要技术指标之一。
数据库相关的安全功能,主要包括用户身份鉴别、多层访问控制、审计和数据加密等技术。下面是数据库安全保护的一个访问控制流程图:
1. 用户身份鉴别
用户身份鉴别是数据库管理系统提供的最外层安全保护措施。每个用户在系统中都有一个唯一的用户标识,由用户名和用户标识号(UID)两部分组成,其中UID 在系统的整个生命周期内是唯一的。
数据库内部记录着所有合法用户的标识,系统鉴别则是指由数据库提供一定的方式让用户标识自己的名字或身份。每次用户访问数据库时,都由系统进行核对,通过鉴定后才提供使用数据库管理系统的权限。用户身份鉴别的方法有很多种,而且在一个系统中往往是多种方法相结合,以获得更强的安全性。常用的用户身份鉴别方法有以下几种:
静态口令鉴别:
这种方式是当前常用的鉴别方法。静态口令一般由用户自己设定,鉴别时只要按要求输入正确的口令,系统将允许用户使用数据库管理系统。这些口令是静态不变的,很容易被破解,而一旦被破解,非法用户就可以冒充该用户使用数据库。因此这种方法虽然简单,但容易被攻击,安全性较低。
动态口令鉴别:
它是目前较为安全的鉴别方式。这种方式的口令是动态变化的,每次鉴别时均使用动态产生的新口令登录数据库管理系统,即采用一次一密的方法,常用的方式如短信密码和动态令牌方式。与静态口令鉴别相比,这种认证方式增加了口令被窃取或破解的难度,安全性相对高一些。
生物特征鉴别:
它是一种通过生物特征进行认证的技术,其中,生物特征是指生物体唯一具有的,可测量、识别和验证的稳定生物特征,如指纹、虹膜和掌纹等。这种方式通过采用图像处理和模式识别等技术实现了基于生物特征的认证,与传统的口令鉴别相比,无疑产生了质的飞越,安全性较高。
智能卡鉴别:
智能卡是一种不可复制的硬件,内置集成电路的芯片,具有硬件加密功能。智能卡由用户随身携带,登录数据库管理系统时用户将智能卡插入专用的读卡器进行身份验证。由于每次从智能卡中读取的数据是静态的,通过内存扫描或网络监听等技术还是可能截取到用户的身份验证信息,存在安全隐患。因此实际应用中一般采用个人身份识别码(PIN)和智能卡相结合的方式。
2. 访问控制
数据库安全最重要的一点就是确保只授权给有资格的用户访问数据库的权限,同时令所有未被授权的人员无法接近数据,这主要通过数据库系统的访问控制机制实现。数据库系统一般提供两种访问控制机制,分别是自主访问控制和强制访问控制。
2.1 自主访问控制(Discretionary Access Control——DAC)
自主访问控制也就是常提到的权限控制,用户对于不同的数据库对象有不同的读写权限,不同的用户对同一对象也有不同的权限,且用户可将自身拥有的读写权限转授给其他用户。因此自主访问控制灵活性较高。权限控制通过GRANT语句向用户授权,REVOKE语句撤销权限。
2.2 强制访问控制(Mandatory Access Control——MAC)
自主访问控制 (DAC) 能够通过授权机制有效地控制对敏感数据的读写。但是由于用户对数据的读写限是“自主”的,用户可以自由地决
最低0.47元/天 解锁文章
扫一扫
617
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
