校园一卡通系统中的数据库安全技术分析
2014-04-16臧翔宇
臧翔宇
(南通大学,江苏 南通 226001)
1. 一卡通系统的数据库
1.1 一卡通简介
随着计算机网络的发展,人们都在寻求建立高效的信息化管理系统。在高校,校园一卡通系统的发展,可以将学校的各项资源和服务管理数字化。一卡通系统的信息载体是智能卡[1],一卡通系统可应用于食堂、水控、门禁、借阅等各个方面,为学校的师生提供了方便。因此,校园一卡通是数字化校园发展的必然趋势。
1.2 一卡通的数据库功能
数据库是校园一卡通系统的重要组成,它可以对一卡通系统中的各类信息进行存储。数据库中包含了一卡通系统中多个数据组成的表格,如师生个人信息、校园卡消费信息、挂失解挂信息等以供查询。在一卡通系统的数据库中,必须保证一卡通数据与相关系统数据同步,一些敏感数据如果被损坏或者丢失,将带来很大的安全隐患。数据库系统的安全,直接关系到一卡通系统能否正常、可靠地运行,它是一卡通系统中最核心的组成部分。
2. 数据库安全
数据库中通常存有系统运行的核心数据,数据库在计算机领域内起着至关重要的作用。在使用数据库时,应保证其数据的正确性和完整性[2]。数据库的安全问题由来已久,数据库的安全涉及到计算机应用的各个方面,如:商业机密、个人隐私、企事业单位敏感数据的保护。因此,数据库有着迫切的安全防护需求。
传统意义上的数据库安全技术研究主要是密码学技术。然而,在现代全球信息资源共享的大背景下,用户对数据库中数据的共享有着大量需求,仅仅是简单的数据加密是一个很难让人满意的方案。除数据库加密之外,我们还采用存取管理、安全管理等方法来实现。在数据被共享的同时,我们应确保数据库内数据的正确性和完整性以及确保数据库与操作系统、网络等方面的紧密结合。从各个方面,提高数据库的安全性。
3. 一卡通数据库安全设计与实现
3.1 二次登录法
一卡通系统中包含多个子系统,他们各自访问数据库。一般来说,登录需要用户名和密码,而他们在大多数时候不会改变。因此,对它们的保护就显得尤为关键。二次登录法将客户端程序分两次登录数据库,它通过用户名和密码认证,取得相应的对数据库的访问权限[3]。而取得反问授权的用户,再次通过二次登录数据库用户名和口令,获取对数据库的操作权。
在二次登录技术中,用户登录系统时,应用程序验证用户口令和密码正确性的同时,数据库会随机自动生成一个口令密文,按照此口令计算出新的口令密文。新口令密文会将原口令自动覆盖,此用户口令无论对服务器端还是客户端都是透明的。
服务器端,拥有数据库管理员权限的用户将口令密文生成和修改的算法写入其中,在存储过程中对客户端程序调用执行。客户端中,通过一次登录后取得口令密文,计算出新的口令,在服务器端存储过程调用执行时,进行二次登录。(如图1)
图1 二次登录
3.2 基于角色的安全访问控制
传统意义上的访问控制主要有强制型访问控制和自主型访问控制,其基本原理是将角色层添加至用户和访问权之间。由于一卡通系统属于分布式网络体系结构,传统上的访问控制很难满足。由此,我们引入基于角色的安全访问控制。
传统的安全访问是将访问权限授予用户,只有拥有访问权限的用户才允许被访问。这样,一个系统将会有多个用户,多个表,多个连接,多个视图。DBA对于用户权限的管理较为繁琐,一旦数据库发生改动或数据库用户的安全级别调整,DBA必须手动对用户权限进行修改,各用户对系统的访问操作权限会发生变化,难免会出现安全漏洞。
基于角色的访问控制是一种面向安全策略的主动访问方式,其主要特点是安全性高、灵活性强。它主要是将创建的视图根据其职能进行分类,用户被指派到各个角色,通过角色对系统资源进行操作。校园一卡通系统使用oracle数据库,数据库实时地将权限赋予各个角色。DBA创建、修改和删除用户的各个权限,通过限制各用户对oracle数据库的活动,提高数据库安全性能。
基于角色的访问控制包括了一对一和一对多的关系。其管理角色与系统角色分离,管理权限与系统权限分离。下图2表示系统角色与权限的关系。
图2 系统角色与权限的关系
3.3 一卡通数据库的备份与恢复
一卡通是综合业务系统,一卡通数据库内包含很多敏感数据。我们需要保护数据,并在数据丢失后快速找回[4]。因此,数据库的备份和恢复是相当重要的。数据库备份与恢复,是一种存储管理工作[5]。在数据库备份中,主要分为物理备份和逻辑备份。物理备份中,我们使用磁盘阵列,将实时的数据、文件、日志等存到备用磁盘上,当常用磁盘出现损坏或数据丢失时,使用被用磁盘进行数据恢复。在逻辑备份中,我们用Excel表格将数据库内数据导出,在需要时,再导回原数据库。
我们对数据库备份的最终目的是为了将其恢复。如果没有数据备份,一旦发生意外将会带来巨大的损失。当数据库发生硬件或软件故障时,能否完成快速有效的恢复是极为重要的。当硬件遇到断电或自然灾难时,正在运行的事物被迫中断,执行的程序处于中间状态。这需要DBA用相关的软件进行完全恢复和不完全恢复。
在一卡通数据库的备份与恢复中,Oracle streams技术可以将数据库内数据做联机备份,一旦出现灾难或系统损坏,可将原备份文件恢复,以防止重要数据丢失。Oracle streams通过数据库端捕获进程,通过数据库日志,将发生的事件进行分析并记录,通过传播进程将这些记录传至目标队列,从而实现与数据源同步备份。
4. 结论
本文根据校园一卡通系统的特点,对一卡通系统的安全需求和现代数据库技术进行研究,深入分析校园一卡通系统的数据库安全技术。文章讨论了在校园一卡通系统中,围绕使用二次登录、基于角色的访问控制机制、数据的备份和恢复的数据库安全增强方案。
[1]张可可.基于分布式数据库企业一卡通系统研究[D].重庆.重庆大学.2010,4.
[2]吴溥峰,张玉清.数据库安全综述[J].计算机工程.2006,6.
[3]张静.一卡通系统的数据库安全技术分析及安全增强技术研究[D].成都.电子科技大学.2008,5.
[4]成雅.基于Oracle streams的数据库实时备份与恢复技术研究.[D]南京.南京航空航天大学.2012,3.
[5]房铁冰.网络备份与恢复系统的设计与实现[D].长春.吉林大学.2004,5.
