数据库访问控制安全中间件白皮书

1、数据库安全访问中间件数据库安全访问中间件 技术白皮书技术白皮书 目目 录录 1.产品简介.1 2.产品安全特性.2 3.性能与易用性.6 4.产品体系结构.7 5.部署方案.9 6.支持平台.12 7.性能测试数据.13 1. 产品简介产品简介 随着计算机技术的飞速发展，数据库的应用十分广泛，深 入到各个领域。但随之而来产生了数据的安全问题。数据库系 统作为信息的聚集体，是计算机信息系统的核心部件，其安全 性至关重要。小则关系到企业兴衰、大则关系到国家安全。 在涉密单位或者大型企业中，广泛的实施了安全防护措施， 包括机房安全、物理隔离、防火墙、入侵检测、加密传输身份 认证系统等等。但是数据库的

2、安全问题却一直得不到应有的重 视。同时，之前的市场上也缺乏有效的数据库安全增强产品。 这就致使数据库及其应用系统在安全方面普遍存在一些安全隐 患。其中比较严峻的几个方面表现在： （1）由于国内只能购买到 c2 安全级别的数据库安全系统，该类 系统采用自主访问控制（dac）模式，dba 角色能拥有至高的 权限，权限可以不受限制的传播。这就使得获取 dba 角色的权 限成为攻击者的目标。一旦攻击者获得 dba 角色的权限，数据 库将对其彻底暴露，毫无任何安全性可言。 （2）数据库系统是一个复杂的系统，根据已经公布的资料， 数据库存在许多漏洞，其中不少是致命的缺陷和漏洞。举例来 说，号称拥有全球最安

3、全的数据库产品的 oracle 公司在 2006 年 1 月发布了其季度安全补丁包，该补丁包修补了多个产品中 的 80 多个漏洞。其中不少漏洞可以非常容易地被黑客利用， 一旦遭到攻击将给用户造成严重影响。 （3）数据库及其应用系统每天都可能受到包括 sql 注入攻 击在内的广泛的攻击。攻击者利用应用程序设计中的漏洞，对 数据库系统发起攻击，获得不应该具有的权限，甚至下载整个 数据库文件，给数据库的安全造成严重威胁。 （4）c2 级数据库采用基于口令的认证方式。本身缺乏有效 的登录口令管理机制，口令更换周期长，使用复杂口令很困难， 口令泄露的风险大。 由于 c2 级商业数据库管理系统在上述各个安

4、全方面的不可 信，攻击者可能通过非正常途径来访问数据库，破坏系统的安 全性。 为增强数据库系统的安全，本产品在应用系统和数据库之 间增加一个透明中间件，来屏蔽数据库系统的访问入口。所有 用户，包括 dba，必须通过中间件才能对数据库进行访问或管 理。中间件提供透明代理、多重安全认证、完全独立的授权管 理、动态密码（辅助登录）等功能，达到牢牢控制数据库入口 的目的。 2. 产品安全特性产品安全特性 1、屏蔽用户和应用程序直接访问数据库所有通道和隐通道 部署中间件之前，应用服务器和用户直接连接到数据库服 务器，如下图所示： 数据库服务器 数据库 应用服务器 数据库管理界面 直接访问 用户 由于数据

5、库服务器直接与用户和应用服务器连接并提供服 务，极易受到形形色色的攻击。并且数据库系统存在的未知的 隐通道，也很容易被攻击者利用。 数据库服务器通常采用默认的端口，比如 oracle 的 1521 端 口，sql server 的 1433 端口。攻击者可以轻易的扫描这些 端口，得知数据库的类型，进而进行攻击。 部署中间件之后，中间件介于数据库服务器和应用服务器 之间，如下图所示： 数据库服务器 数据库 应用服务器 数据库管理界面 用户 数据库安 全中间件 直接连接 数据库服务器与应用程序之间通过中间件进行隔离。所有 对数据库的访问都必须经过中间件进行。各种隐通道也相应被 屏蔽，不会被攻击者直

6、接利用。 中间件提供的端口映射功能，隐藏实际的数据库端口，使 得对外提供的服务端口可以是任意空闲的端口，不再是缺省端 口，攻击者难以得知数据库端口的所在。 2、应用软件到数据库的访问经过二次认证和独立权限检查 在部署中间件以前，由于数据库直接与应用程序进行连接， 且只能通过口令进行认证，数据库极易受到假冒用户的连接和 恶意的攻击。 由于 dba 角色具有超级权限，当恶意攻击者将自己的角色 提高到 dba 时，整个数据库将完全被其操纵。应用服务器也极 易在类似 sql 注入攻击的过程中，成为攻击者的跳板。 部署中间件之后，应用程序对数据库的访问，必须经过中 间件和数据库系统两层身份认证和权限检查

7、。 中间件使用 ip 地址、mac 地址、以及硬盘序列号、主板 序列号等多种计算机系统的特征，结合证书的验证方式，确保 访问来源的真实性，杜绝 ip 地址欺骗和假冒用户的连接。 中间件提供与数据库系统完全独立的授权检查，对每个 ip 来源上的每一个用户单独进行权限控制。权限的控制可以精确 到表一级。就算攻击者成功攻陷应用服务器，并将角色提高到 dba 也是徒劳。由于有中间件提供了独立的权限管理，攻击者 仍然只能获得受限的权限，不能获取 dba 的特权。从而有效的 遏制了越权访问、sql 注入攻击、存储过程非法使用等攻击类 型。 3、动态口令 为解决管理员登录口令管理困难的问题，中间件提供动态

8、口令功能。管理员可以将登录口令交给中间件托管，在每次需 要登录的时候，通过动态密码客户端获取当前登录口令。服务 器端在每次响应口令请求之后，自动更换登录口令，使之前的 口令作废。这样，管理员不必担心口令泄露的问题。因为即使 得到的口令不小心被泄露，也不会威胁到数据库，因为真正的 登录口令已经被改变。 口令客户端和服务器端通过 ssl 加密连接，确保网络传输 的安全。动态口令采用硬件随机数发生器生成，具有很高的强 度。 口令客户端同样采用证书的验证方式，结合 ip 地址、mac 地址、以及硬盘序列号、主板序列号等多种计算机系统的特征， 确保访问来源的真实性，杜绝假冒用户的连接。 对于采用 usb

9、 key 进行身份认证的应用环境，中间件能 够与现有身份认证系统结合，将 usb key 与数据库用户进行 绑定。 4、高度的网络安全 中间件服务器端和客户端之间的数据传输采用 ssl 加密传 输方式，包括动态口令在内的敏感数据不以明文的方式进行传 送。 本地配置文件和审计文件进行加密存储，加密算法和密码 由硬件设备提供。 5、完善的系统审计功能 系统能够审计来自每个应用服务器的访问情况。包括请求 的数据库，连接的时间，连接断开的时间，通信量大小等信息。 强制审计每次非法进入数据库系统的企图，以及每次非法 越权访问的企图。 审计信息加密存储，任何人不可修改审计记录。 3. 性能与易用性性能与易

10、用性 1、使用多线程技术和缓存技术，支持来自多个应用系统的 并发连接。 2、透明中间件的加入，对系统的效率不会造成明显的影响。 3、中间件支持 tcp/ip 和 ssl 传输协议，支持多种网络环 境。 4、中间件支持 oci、odbc、jdbc 等多种连接方式。 5、采用标准的 windows 界面，方便用户的学习和使用。 6、现有应用程序与透明中间件之间可以无缝连接，部署和 配置过程非常简单、不需要对现有的应用系统进行更改。 7、可以灵活的对每个客户端的访问权限进行配置。可以选 择全部放行、到数据库级别、模式级别、表级别的权限控制。 还可以对存储过程和函数的调用权限进行控制。 8、可以配置审

11、计的内容。对重要的事件，系统进行强制审 计。用户也可以选择对常规操作进行审计。 9、服务器端和客户端可以分别部署于 windows 或 linux 平台，用户界面完全一致。 4. 产品体系结构产品体系结构 本产品的体系结构如下图所示。 透透明明 代代理理 辅辅助助登登 陆陆 中中 间间 件件 服服 务务 器器 证证书书管管理理 ca 权权限限检检验验 数数字字证证书书 数数字字证证书书 操操作作数数据据流流 数 据 库 数数据据库库操操作作 管管理理员员登登陆陆 中中 间间 件件 客客 户户 端端 透透明明 代代理理 证证书书管管 理理 权权 限限 检检 验验 操操作作数数 据据流流 应应用用

12、程程序序 数数据据库库操操作作 数数字字证证书书 辅辅助助登登陆陆 登登陆陆数数据据库库 管管理理员员 数数字字证证书书 ssl ssl（可可关关闭闭） 审审 计计 审审计计 如上图所示，产品包括中间件服务器端和中间件客户端。 服务器端连接到数据库服务器，客户端直接与用户或者应用程 序连接。服务器端与客户端通过 ssl 加密通道进行连接。 权限检验模块根据定制的安全策略，对提交到数据库的访 问进行权限检验。将 ip 地址和数据库的用户名绑定起来作为一 个被授权的对象。服务器端的权限管理包括 ip 地址、用户名、 数据库名、模式名、表、视图、函数、存储过程等。客户端的 权限管理只包括 ip 地址

13、、用户名和数据库名。权限管理可以被 设置为全部放行，这时候中间件作为一个虚拟数据库，将真实 数据库和应用程序隔离，屏蔽其余的访问通道。 透明代理模块实现一个虚拟的数据库，将真实的数据库服 务器 ip 和端口屏蔽起来，并将应用程序和数据库服务器隔离开， 工作方式很类似于防火墙。该模块允许设置服务器和客户端的 加密传输方式，真实数据库服务器的 ip 和端口，连接超时等选 项。 辅助登录模块实现登录口令的管理。管理员可以将登录的 口令安全的托管起来，实现当前登录口令的自动获取和自动更 改。所有口令进行加密保存，加密算法在 usb key 内由硬件 实现，加密密钥不出 key。可以方便的添加用户，实现

14、多用户 的管理，可以配置自动更改密码的时间。 证书管理模块实现基于证书的客户端认证，以及 ssl 的加 密传输。服务器端具有 ca 证书中心的功能，可以为客户端颁 发证书，建立认证体系。证书中将计算机系统的硬件信息进行 绑定，以保证数据来源的真实性。 审计模块实现审计功能。审计方式包括强制审计和对常规 操作的审计。强制审计只审计诸如数据库连接、越权访问、不 在授权 ip 地址范围内的连接请求等。对常规操作的审计则包括 对所有 sql 语句的审计。审计信息也进行加密保存，任何用户 只能查看，不能修改。 5. 部署方案部署方案 本产品的部署具有很大的灵活性，可以根据实际情况，进 行多种选择。以下为

15、几种典型的部署方案。 1、仅部署中间件服务器，与数据库服务器共用同一服务器 客客户户机机 客客户户机机 客客户户机机 数据库服务器 中间件 服务器 端 如上图所示，中间件作为一个独立的服务，部署于数据库 服务器上，客户端与中间件服务程序进行连接。将服务器的监 听服务设置为只接受来自本机的 ip，屏蔽访问通道。 这种部署方式不具有加密传输的安全特性，适合于已有较 高安全防护等级的内网使用。当交换的数据量很大的情况下， 会对数据库服务器的性能造成影响。 2、仅部署中间件服务器，中间件服务器与数据库服务器独 立 客客户户机机 客客户户机机 客客户户机机 数数据据库库服服务务器器 中中间间件件服服务务

16、器器 如上图所示，中间件被部署在一个独立的服务器上面，客 户端与中间件服务器连接。将服务器的监听服务设置为只接受 来自中间件服务器的 ip，屏蔽访问通道。 这种部署方式不具有加密传输的安全特性，适合于已有较 高安全防护等级的内网使用。当交换的数据量很大的情况下， 不会对数据库服务器的性能造成影响，而且可以扩展到多中间 件到多数据库服务器的多对多映射，实现负载的分摊。 3、同时部署服务器和客户端 中中间间件件客客户户端端应 应用用程程序序 中中间间件件客客户户端端应应用用程程序序 中中间间件件客客户户端端应应用用程程序序 数数据据库库服服务务器器 中中间间件件服服务务器器 如上图所示，中间件被部

17、署在数据库服务器上或者独立的 服务器上，连接到数据库服务器。客户端部署在应用服务器上 或者独立的服务器上，连接到应用程序。将服务器的监听服务 设置为只接受来自中间件服务器的 ip，屏蔽访问通道。 这种部署方式具有加密传输的安全特性，适合于现有安全 防护等级较低的网络环境中使用。尤其适合于应用程序和数据 库服务器分属于不同的机房和楼宇的情况。并可以根据业务数 据量的大小，考虑是否使用独立的中间件服务器，也可以扩展 到多中间件到多数据库服务器的多对多映射，实现负载的分摊。 6. 支持平台支持平台 支持的操作系统 windows 2000, xp, 2003 linux solaris，hp-uni

18、x aix 服务器端和客户端可以选择不同的操作系统平台 支持的数据库 oracle 8.1.7，oracle 9i，oracle 10g microsoft sql server 2000 ibm db2 7. 性能测试数据性能测试数据 测试用例如下： 虚拟用户数 50，分别进行 insert、select、delete 操 作。记录每个操作和每个事务的时间特性。运行环境为 windows xp。 分别对比测试以下四种部署方案： 不配置中间件 只配置服务器：中间件和服务器部署于同一服务器 集成配置关闭 ssl：部署服务器端和客户端，中间件和 服务器处于同一服务器，客户端同应用服务器处于同一 服务器，不启用 ssl 集成配置启用 ssl：启用 ssl，其余同上一配置 对比测试结果 (