基于WEB数据库安全性研究

1大学生创新训练项目项目申请书项目层次：国家级□校级□√（请在□中划“√”）项目名称：基于WEB数据库安全性研究申请人：濮阳天所在班级：软件1107班指导教师：戴朝辉学科专业：软件工程所在单位：软件学院联系电话：18874123468E-MAIL：619776388@qq.com申请日期：2013年4月20日中南大学附件1：2填写说明1．本申请书所列各项内容均须实事求是，认真填写，表达明确严谨，简明扼要。2．本申请书为大十六开本（A4），左侧装订成册。可网上下载、自行复印或加页，但格式、内容、大小均须与原件一致。3．申请人所在学院认真审核，签署意见后，将申请书（一式三份）报送创新创业教育办公室。3一、简况项目名称基于WEB数据库安全性的研究所属学科计算机科学与技术，软件工程原项目编号无申请经费起止年月2013年4月至2014年6月申请人姓名濮阳天性别男班级软件1107班身份证号34252319940702071x电话18874123468学号3901110724指导教师职务职称电话项目参与人性别班级学院学号电话濮阳天男软件1107软件学院390111072418874123468洪圣男软件1107软件学院390111072415211064047刘达欣男软件1107软件学院390111070913469063415申请人曾参加与本项目相关的科学研究小组组员均参加过数据库及WEB开发的课程学习，自己也都自学过一些相关知识，对数据库开发有一定的了解。本人担任过java实训的组长，有一定的项目开发经验。指导教师承担本项目相关的科研课题国家自然科学基金项目：基于动态分层与自主学习的多智能体自适应学科模型，项目编号：60874042,2009.1-2011.12（主要参加者）；中南大学思政研究项目：交互式大学生综合管理信息系统，2012.9-2013.9（项目资格人）。项目简介（500字左右）本项目目的在于构建一个大学生创新创业训练计划网。本网站运用到WEB数据库技术，并且进行了WEB数据库加密技术，保证了数据的安全性。同时为迎合大学生创新创业项目的需求，为创新创业项目的各个角色提供了便捷平台。就当下大学生可开发的创新创业项目，本网站通过web数据库的存储提供了发布平台，各级公文及历届项目，可通过各级管理员发布，所有用户皆可获得公文项目信息，项目团队选定创业项目后，创新创业项目需上传公示内容，以及通过管理员的审批。游客皆可通过各个项目的留言板进行留言建议等，为项目交流提供了交互。本网站在对网络数据库安全性分析的基础上，确定在操作员安全账户认证、操作员授权管理、数据在网络上的安全传输等方面应采取了安全策略。此外，本网站的专家组为项目团队提供咨询指导，以及文件的管理集中下载，为创业团队提供了便利。在项目开发过程中，本网站为项目团队提供注册基本信息，团队负责人可以对团队的角色成员进行增删改查。项目团队就完成项目的各个阶段，需进行中期检查及评审，结题验收及评审。通过对项目的各个阶段的监督审查，有助于项目团队顺利的完成创新创业项目。4二、课题论证（5000字左右）1研究目的和研究意义随着Web数据库的应用越来越广泛，Web数据库的安全问题日益突出，如何才能保证和加强数据库的安全性已成为目前必须要解决的问题。数据库安全是一个广阔的领域，它作为操作系统之上的应用平台，其安全与网络和主机安全息息相关。如何有效地保证数据库系统的安全，实现数据的保密性、完整性和有效性，已经成为业界人士探索研究的重要课题之一，但是数据库通常没有像操作系统和网络这样在安全性上受到重视。随着计算机技术的飞速发展，数据库的应用十分广泛，但随之而来产生了数据的安全问题。数据库存放着在线资源中最真实和最有价值的那部分信息资产，这些数据一旦遭受安全威胁将带来难以想象的严重后果，各种应用系统数据库中大量数据的安全越来越引起人们的高度重视。因此数据库系统作为信息的聚集体，是计算机信息系统的核心部件，其安全性至关重要。常见的数据库安全问题及原因：（1）账号设置：数据库用户往往缺乏足够的安全设置。比如，缺省的用户账号和密码为空或极简单的几个字符；账号的保密性差，对大家都是公开的或者是极容易得到的；数据库用管理员账号做一般性操作等。（2）缺乏角色分离传统数据库管理并没有“安全管理员（SecurityAdministrator）”色，这就迫使数据库管理员（DBA）既要负责账号的维护管理，又要专门对数据库执行性能和操作行为进行调试跟踪，不仅导致管理效率低下，而且安全责任难以确定。（3）缺乏审计跟踪审计跟踪是运用操作系统、数据库管理系统、网络管理系统提供的审计模块的功能或其他专门程序，对系统的使用情况建立日志记录，以便实时地监控、报警或事后分析、统计、报告，是一种通过事后追查来保证系统安全的技术手段。数据库审计经常被DBA以提高性能或节省磁盘空间为由忽视或关闭，这大大降低了管理分析的可靠性和效力。（4）未利用的数据库安全措施现在成熟的数据库软件都提供了各种措施来保障数据库的安全，但是，许多时候，由于管理员的疏忽或经验不足，许多的安全措施并没有实际应用。本课题将以解决上述问题为出发点和立足点，融入了用户标识和鉴别技术、智能卡技术、主体特征鉴别技术以及数据加密技术。数据加密(DataEncryption)是防止数据库中数据存储和传输中失密的有效手段。加密的基本思想是根据一定的算法将原始数据(明文plaintext)加密成为不可直接识别的格式(密文，ciphertext)，数据以密文的方式存储和传播。Web数据库的安全威胁涉及许多方面，是一个全局性的问题，而且黑客的攻击手段和方法不断翻新，因此要根据企业的实际需求综合考虑各种技术，构建一个有机的结合体。同时也要清醒地认识到一个很好的安全解决方案不仅是纯粹的技术问题，而且还需要法律、管理、社会因素的配合。2国内外研究现状5国内研究现状：与国际同行相比，国内的数据库安全研究工作起步较晚，但也已取得了一定成绩。以安全数据库管理系统来说，目前已经达到国标GB17859-1999第三级（基本相当于TCSECB1级）的国产数据库系统包括：可信COBASE（北京大学、华中科大、人大）、达梦数据库系列（华中科大）、LOIS安全数据库（中科院软件所信息安全国家重点实验室）、Softbase（南京大学）、OpenbaseSecure（东北大学）、神舟OSCAR、以及BeyonDB（中科院地理所、中科院软件所信息安全国家重点实验室）等。此外，在国家“863”计划的支持下，实现了国标第四级与第五级（基本相当于TCSECB2级与A1级）安全数据库管理系统的关键技术研究与原型系统研发。总体来说，我国的科研人员已经掌握了数据库和数据库安全的关键技术，这为将来的研究开发工作奠定了基础。国外研究现状：国外以C.P.Pfleeger对数据库安全的定义最具代表性并被广泛应用。该定义从物理数据库的完整性、逻辑数据库的完整性、元素安全性、可审计性、访问控制、身份验证及可用性等方面对数据库安全进行了描述。随着WEB技术的发展，WEB与数据库的互连技术也日益发展。主要有：CGI，WebAPI，ODBC，JAVA/JDBC技术，ASP技术，PHP技术等。使用Delphi的WebBroker技术可以轻松地建立Web服务器扩展来提供自定义的、动态的HTML(HypertextMarkupLanguage)网页，并能够访问各种数据源[5]。这使得开发Internet/intranet应用程序非常容易。Delphi提供了开发Web应用程序的工具。Delphi生成的Web应用程序都有一个TWebModule类，它实际上起到派发器（Dispatcher）的作用。当Web应用程序接收到来自Web服务器的HTTP请求后，将创建一个TWebRequest对象来封装HTTP请求信息。另外，还要创建一个TWebResponse对象，它封装了响应信息。然后，Web应用程序把这两个对象传递给TWebModule对象。TWebModule对象控制了Web应用程序的内部流程。美国国防部计算机安全中心在1983年发表的可信计算机评估准则（TCSEC）。该准则于1985年被确定为美国国防部标准，是历史上第一个计算机安全评估准则。这一段时期是多级安全数据库系统发展的黄金时期，期间出现了一批达到高安全级别的数据库管理系统。其中比较有代表性的研究项目包括Seaview[1]，ASD和LDV[2]。目前美国空军资助的多级安全数据库管理系统（Multi-LevelSecureSeaview（SecureDataView），SRI和Gemini公司共同参与的研究项目。其研究目标是实现一个达到TCSECDBMS）。众所周知，数据库管理系统是负责数据存储、访问与管理的核心平台软件。因而它也理所当然成为维护数据库系统的安全核心。国外早期的数据库安全研究的核心目标在于，通过设计符合特定安全策略模型的安全数据库管理系统，严格实施访问控制策略、控制数据库内容的操作与访问，从而实现整个数据库系统的安全。A1级的安全数据库，访问控制粒度达到字段级。Seaview采用了核心化的体系结构，由操作系统提供强制访问控制。在上世纪70年代中期至80年代初，美国空军、海军资助的一批研究项目为多级安全数据库的研究奠定了基础。1975年，Hinke和Schaefer的报告给出了Hinke-Schaefer安全数据库研究的内容，实现了基于Multics操作系统的可信数据库管理系统；1983年，WoodsHole研讨班进一步提出了适用于多级安全数据库系统的三种体系结构：核心化（Hinke-Schaefer）结构、完整性锁结构和分布式结构。这个时期数据库安全研究的主流是军用安全数据库，美国军方的大力推动为研究工作涂上了一层浓重的6军方背景。在萌芽与初始时期，研究者对数据库面临的安全威胁、数据库的安全需求以及安全数据库的研究问题有了基本的认识，通过若干项目的研发形成了安全数据库开发的方法论。Oracle7经评估达到B1级；Sybase的SQLServe达到了C2级，SQLSecureServe达到B1级且是最早通过B1级评估的安全数据库系统；Informix的INFORMIX-OnLine/Secure5.0达到了B1级。国外研究目前围绕多级安全数据库管理系统的设计，形成了安全数据库的理论与技术基础，包括如下重要研究内容：①数据库形式化安全数据模型分析及验证；②数据库隐通道检测及其分析；③多级安全数据库事务模型及其分析；④数据库安全体系结构及实现技术；⑤数据库审计与数据库加密等。3研究内容、研究思路和方法以及重点和难点研究内容：数据库系统的安全特性主要是针对数据而言的，包括数据独立性、数据安全性、数据完整性、并发控制、故障恢复等几个方面。数据独立性数据独立性包括物理独立性和逻辑独立性两个方面。物理独立性是指用户的应用程序与存储在磁盘上的数据库中的数据是相互独立的；逻辑独立性是指用户的应用程序与数据库的逻辑结构是相互独立的。数据安全性操作系统中的对象一般情况下是文件，而数据库支持的应用要求更为精细。通常比较完整的数据库对数据安全性采取以下措施：（1）将数据库中需要保护的部分与其他部分相隔。（2）采用授权规则，如账户、口令和权限控制等访问控制方法。（3）对数据进行加密后存储于数据库。数据完整性数据完整性包括数据的正确性、有效性和一致性。正确性是指数据的输入值与数据表对应域的类型一样；有效性是指数据库中的理论数值满足现实应用中对该数值段的约束；一致性是指不同用户使用的同一数据应该是一样的。保证数据的完整性，需要防止合法用户使用数据库时向数据库中加入不合语义的数据并发控制如果数据库应用要实现多用户共享数据，就可能在同一时刻多个用户要存取数据，这种事件叫做并发事件。当一个用户取出数据进行修改，在修改存入数据库之前如有其它用户再取此数据，那么读出的数据就是不正确的。这时就需要对这种并发操作施行控制，排除和避免这种错误的发生，保证数据的正确性。7故障恢复由数据库管理系统提供一套