兩種數據庫安全防護技術的比較研究

吳克明+林伊凡

摘要：對數據庫的安全防護進行介紹，著重對基于數字水印和基于觸發(fā)器這兩種數據庫防護技術進行詳細研究，并對兩種方法在應用范圍、實現難度、通用程度和技術差別進行比較，發(fā)現基于觸發(fā)器技術在SQL Server數據庫中性能優(yōu)勢明顯，而基于數字水印的防護技術適用所有關系數據庫，有廣泛的應用范圍。

關鍵詞：數據庫安全；數字水??；觸發(fā)器；SQL Server

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2014）19-4375-03

Research and Comparison of Two Database Security Defense Techniques

WU Ke-ming1，LIN Yi-fan2

（1.College of Electronics Eng. Naval Univ. of Engineening， Wuhan 430033，China；2.Shanghai Military Representative Office of NED ，Shanghai 200000，China）

Abstract： On based of the security of the database are described， researched these two methods，that based on the digital watermarking and based on database triggers in detail， and compared the two methods in four aspects those the application， implementation difficulty， common extent and technology.then found that Trigger-based techniques in the SQL Server database performance advantages are obvious， but protection technique based on digital watermarking is applicable to all relational databases with a wide range of applications.

Key words： database security； fragile watermark； trigger； SQL Server

隨著我國經濟社會不斷發(fā)展，以計算機技術為代表的信息技術在我國各行業(yè)領域應用愈發(fā)廣泛和深入，特別是以數據庫技術為核心的管理信息系統普遍應用于輔助管理。然而，由于數據庫中的設計、管理中存在的問題和漏洞，不法分子容易進行非法侵入并進行數據庫攻擊。因此如何保護數據庫信息安全，特別是研究核心數據安全防護技術，如何及時發(fā)現入侵，避免數據篡改具有重要意義。

文章主要對數據庫的數據安全防護基本方法進行介紹，針對數據庫的數據安全采用數據庫數字水印技術和基于觸發(fā)器的數據保護技術進行研究，并對兩種方法進行比較，發(fā)現針對不同的應用需求，兩種數據庫安全防護技術在不同防護側面各有優(yōu)點。

1 數據庫安全防護技術

數據庫安全防護技術是防護數據庫不受侵入的技術，主要分為動態(tài)入侵行為檢測和靜態(tài)安全特性檢測兩種類型防護技術[1]。其中動態(tài)安全防護技術，即動態(tài)入侵行為檢測是針對客戶端對數據庫的訪問請求的通信信息進行識別分析，發(fā)現其中具有危險侵入可能的通信指令，從而保證數據庫安全。靜態(tài)安全防護也稱數據庫安全特性檢測防護，則是對數據庫設計中存在的可能漏洞進行分析測試，發(fā)現其中的安全策略或設置的問題。該文主要研究的是數據庫的靜態(tài)安全防護，通過檢測數據庫管理系統的安全配置來發(fā)現安全隱患，為數據庫安全策略的實施和改進，以及數據庫用戶的行為檢測提供可靠信息[2]。

數據庫安全特性分析以及其檢測工具的設計是數據庫安全技術的重要研究領域，西方國家自上世紀八十年代開始對數據庫登錄管理進行認證研究，以便保證數據庫管理系統（Database Management System，DBMS）安全有效運行[3]。商業(yè)關系數據庫的安全主要依賴生產廠家提供的最佳安全策略進行保障實施，然而自上世紀末科學家發(fā)現穩(wěn)定性安全性在業(yè)內很高的Oracle數據庫也存在巨大安全漏洞，作為管理信息系統的核心DBMS的未知安全特性風險，特別是數據庫中的高危漏洞的評估和識別，逐步成為人們關注焦點，同時也更加深入認識到DBMS安全級別認證和安全風險評估的差異。因此數據庫安全研究人員從本世紀初開始了數據庫漏洞掃描及利用等數據庫管理系統安全特性的漏洞檢測和風險評估研究。

2 兩種數據庫安全防護技術

數據庫的安全即包括硬件也包括軟件，即包括用戶角色也包括數據安全，其中最重要的就是核心數據安全。這里研究兩種數據庫中保護核心數據安全的防護技術，一種基于數據庫數字水印技術，一種則是基于SQL Server數據庫觸發(fā)器技術。SQL Server系列數據庫是微軟公司推出的一款關系數據庫開發(fā)系統，在大型企業(yè)信息系統中作為DBMS有著廣泛應用[4]。

2.1 基于水印技術的安全防護技術

關系數據庫數字水印是將數字水印技術應用于數據庫安全技術中，在確保數據庫正常運行基礎上，通過對數據庫的冗余空間中嵌入水印信息，從而實現保護關系數據庫版權或確保數據庫安全的目標。

關系數據庫水印嵌入技術和水印提取和檢測技術[5]是關系數據庫水印技術研究的兩個重要方面。水印嵌入的關系數據庫設定為[R=M，A1，A2，…An]，其中M是數據庫中的主鍵，是數據表示對象的不變屬性，其信息領域包含信息和屬性意義最大，也叫最大意義屬性MSA[6]，Ai（0

[W=βP，Ai（Ai為水印構造調用屬性）]

研究的數據庫安全防護技術主要采用數據庫脆弱水印方法，其水印構造算法基本思想是通過決策樹算法對關系數據庫的非主鍵屬性Ai進行分組，對分組的MSA的數學P結合密鑰η，根據需要構建的水印W位數K，進行哈希變換hash（η，K，P）進行重新排序，最后將水印序列W的K位信息嵌入到排序后的各元組數學Ai中。其水印構造嵌入的具體步驟為：

第一步：

對數據庫中非MSA屬性Ai進行決策樹分化，構建Ai：{（a1，a2），（a3，a4），…}子樹劃分形成分組，根據屬性數據類型的不同采用不同劃分方法：

1） 連續(xù)性數值數據利用決策樹方法分劃，設定最大閥值分組為離散組列[7]；

2） 文本數據利用length（）等函數轉變?yōu)檫B續(xù)的數值數據，再按連續(xù)數據分組處理；

3） 離散型數據可以直接按照較多離散點進行劃分。

第二步：

對Ai劃分的n個分組采用hash（η，K，P）函數，構建新的分組排序，并按哈希沖突處理嵌入“0”或“1”，結合水印W的K位序列進行元組排序，并按此重新排序主鍵屬性P。

第三步：

元組數據的水印序列嵌入方法：

針對文本型數據，需要嵌入位為0時，對文本數據不作改變；當需要嵌入位為1時，在該文本數據的結尾加入一個空格符。進行水印檢測或提取時，研究比較文本長度和空格位置，一致時取0，不一致時取1。

針對數值型數據，利用數值型數據的最低有效位（LSB）進行嵌入，根據數值型數據的字段長度和最低有效位數的差值多少來確定嵌入信息量。

第四步：

對關系數據庫R中的其他屬性Ai，按照步驟二、三的方法對各屬性元組進行水印嵌入。

脆弱水印數據庫的數字水印檢測和提取技術是嵌入算法的反過程，主要對各元組數據按照哈希函數進行重新排序，對各元組數據按反過程進行水印提取，對n組序列提取后，按照大數選舉方法同水印W按位比較，發(fā)現不符位從而確定篡改的元組和屬性。

2.2 基于觸發(fā)器的安全防護技術

觸發(fā)器是關系數據庫中響應數據定義語言（DML）事件或數據操作語言（DML）事件而自動執(zhí)行的特殊類型存儲過程[8]，當數據庫發(fā)現操作或定義行為時自動運行。

根據定義，SQL Server據對數據庫進行操作行為的不同將觸發(fā)器DDL觸發(fā)器和DML觸發(fā)器兩大類，其具體定義為：

1） DML觸發(fā)器，DML觸發(fā)器[9]在CREATE、ALTER、DROP以及其他數據表定義語言的進行執(zhí)行管理任務，可以強制影響數據庫的業(yè)務規(guī)則，即可以應用于數據庫或服務器中某一類型操作命令，也可用于審核和控制數據庫操作等管理任務。

2） DDL觸發(fā)器，DDL觸發(fā)器[10]在INSERT、UPDATE和DELETE等數據操作語句上操作，完成表或視圖的數據操作時的強制業(yè)務規(guī)則，并擴展數據完整性。DML觸發(fā)器可定義于表或視圖上，也可查詢其他表。

DML觸發(fā)器可以按照觸發(fā)時機分為INSTEAD OF觸發(fā)器和AFTER觸發(fā)器。其中INSTEAD OF觸發(fā)器在執(zhí)行DML語句操作成功之前執(zhí)行，AFTER觸發(fā)器在執(zhí)行DML語句操作成功之后執(zhí)行。

DML觸發(fā)器按照觸發(fā)操作行為可分為INSERT， UPDATE和DELETE觸發(fā)器，分別針對數據庫的表或視圖的插入、更新和刪除，主要利用到系統提供的inserted和deleted兩個系統表。其中Inserted表用于存儲INSERT和UPDATE操作時，語句所影響到的數據行的復制。當數據庫執(zhí)行插入或更新操作時，添加的新數據行或更新的數據行副本將添加inserted表中。deleted表用于存儲DELETE和UPDATE語句所影響的行的復制。當數據庫表或視圖執(zhí)行刪除或更新操作，涉及行從觸發(fā)器執(zhí)行表中刪除，同時在Deleted表中備份存儲。根據inserted和deleted兩個系統表特點發(fā)現，當數據庫中數據表或視圖執(zhí)行UPDATE操作語句時，更新事務等同于在該數據行先刪除后插入，刪除舊行并復制到deleted表中，然后插入新行到觸發(fā)器表并復制到inserted表中。

根據觸發(fā)器特點，構建基于觸發(fā)器的數據庫安全防護系統，其基本結構如圖1。

如圖1，利用數據庫觸發(fā)器的特性，當用戶登錄數據庫信息系統后，數據庫的監(jiān)控模塊將記錄用戶信息同時登記到用戶認證的登錄審計表中。當用戶操作數據庫時，根據用戶操作行為的不同引發(fā)不同類型的觸發(fā)器，將數據庫表或視圖的操作相關信息寫入到用戶操作信息審計表中，同時設計觸發(fā)器執(zhí)行當操作數據庫定義操作時，則備份數據庫；當操作是數據庫基本操作時，則更新原數據記錄到副表。

當管理員登錄系統可審查用戶操作信息審查表，對于審查發(fā)現的非法用戶或非授權用戶操作的，則還原數據庫到備份點，具體方法為當進行數據表操作，則從基表副表中通過逆操作恢復此數據，視圖操作則恢復到基本表中，其他數據表的定義操作則直接還原數據庫。通過觸發(fā)器最終實現對核心數據的禁止修改和寫入等操作，對其他數據實現修改記錄并提供可恢復技術。

3 兩種防護技術比較

基于數字水印技術和基于觸發(fā)器的兩種SQL Server數據庫安全防護技術，在實現對數據庫核心數據安全保護中都能發(fā)揮防護作用，但兩種防護技術仍存在區(qū)別，具體分析如下：

1） 應用范圍不同?；跀底炙〉姆雷o技術主要通過對關系數據庫中嵌入水印實現核心數據防護；基于觸發(fā)器的防護技術則是主要針對SQL Server數據庫。

2） 算法難度不同?；跀底炙〉姆雷o技術的嵌入和提取水印算法較為復雜；基于觸發(fā)器的防護技術則主要在數據庫中進行修改、添加相應數據表，設置觸發(fā)器即可實現。endprint

3） 通用程度不同。基于數字水印的防護技術對于不同的數據庫數據和水印信息要重新設計算法，通用性不高；基于觸發(fā)器則只需對相應數據表格作簡單調整即可在不同數據庫中通用。

4） 保護技術差別?；跀底炙〉姆雷o技術主要通過發(fā)現數據庫中核心數據的篡改并定位，來保護核心數據；基于觸發(fā)器則通過對核心數據設定禁寫觸發(fā)器來保護，對其他數據的修改則進行記錄，并提供恢復技術來保護數據安全。

兩種數據庫安全防護技術的差別匯總如表1。

表1

[防護技術＼&應用范圍＼&實現難度＼&通用程度＼&技術差別＼&基于數字水?。?關系數據庫＼&較難＼&不高＼&對篡改數據定位＼&基于觸發(fā)器＼&SQL Server系列數據庫＼&較易＼&較好＼&核心數據禁寫，其他記錄修改，并提供恢復技術＼&]

可以發(fā)現，對于SQL server數據庫，基于觸發(fā)器的安全防護技術實現較容易，較好的通用性，既能發(fā)現數據修改還能提供數據恢復技術，基于數字水印的防護技術則對于所有的關系數據庫均能應用，應用范圍廣。

4 結論

本文對數據庫的安全防護進行介紹，著重對基于數字水印和基于觸發(fā)器這兩種數據庫防護技術進行詳細研究，并對兩種方法在應用范圍、實現難度、通用程度和技術差別進行比較，發(fā)現基于觸發(fā)器技術在SQL Server數據庫中性能優(yōu)勢明顯，而基于數字水印的防護技術適用所有關系數據庫，有廣泛的應用范圍。

參考文獻：

[1] José Fonseca，Marco Vieira，Henrique Madeira.Integrated Intrusion Detectionin Databases[M].A.Bondavalli，F.Brasileiro，and S.Rajsbaum（Eds.）：LADC 2007，LNCS 4746.2007：198-211.

[2] 焦巖.關于數據庫系統安全現狀的研究[J].計算機安全，2010（5）：15-25.

[3] 李瑞林.計算機數據庫安全管理研究[J]制造業(yè)自動化，2012（3）：112-116.

[4] 孫明麗，王斌，劉瑩.SQL Server 2005 數據庫系統開發(fā)完全手冊[M].北京：人民郵電出版社，2007：10-15.

[5] 牛夏牧，趙亮，黃文軍，等.利用數字水印技術實現數據庫的版權保護[J].電子學報，2003，31（12A）：2050-2054.

[6] 顧力平，聶元銘.基于決策樹的數據庫脆弱水印算法研究[J].艦船電子工程，2013（04）：57-61.

[7] Quinlan J R.C4.5：Programs for machine learning[M].San Mateo：Morgan Kaufmann Publishers Inc，1993：17-42.

[8] 郭暉，周鋼.基于觸發(fā)器的考核管理信息系統監(jiān)控模塊的設計與實現[J].計算機安全，2011（9）：47-52.

[9] 張丹. SQL Server中存儲過程與觸發(fā)器技術的研究與應用[J].高新技術，2008（23）：24.

[10] 魏錦茂. SQL觸發(fā)器在數據庫設計中的應用[J].數據庫與信息管理，1995（3）：73-74.endprint

3） 通用程度不同?；跀底炙〉姆雷o技術對于不同的數據庫數據和水印信息要重新設計算法，通用性不高；基于觸發(fā)器則只需對相應數據表格作簡單調整即可在不同數據庫中通用。

4） 保護技術差別?；跀底炙〉姆雷o技術主要通過發(fā)現數據庫中核心數據的篡改并定位，來保護核心數據；基于觸發(fā)器則通過對核心數據設定禁寫觸發(fā)器來保護，對其他數據的修改則進行記錄，并提供恢復技術來保護數據安全。

兩種數據庫安全防護技術的差別匯總如表1。

表1

[防護技術＼&應用范圍＼&實現難度＼&通用程度＼&技術差別＼&基于數字水?。?關系數據庫＼&較難＼&不高＼&對篡改數據定位＼&基于觸發(fā)器＼&SQL Server系列數據庫＼&較易＼&較好＼&核心數據禁寫，其他記錄修改，并提供恢復技術＼&]

可以發(fā)現，對于SQL server數據庫，基于觸發(fā)器的安全防護技術實現較容易，較好的通用性，既能發(fā)現數據修改還能提供數據恢復技術，基于數字水印的防護技術則對于所有的關系數據庫均能應用，應用范圍廣。

4 結論

本文對數據庫的安全防護進行介紹，著重對基于數字水印和基于觸發(fā)器這兩種數據庫防護技術進行詳細研究，并對兩種方法在應用范圍、實現難度、通用程度和技術差別進行比較，發(fā)現基于觸發(fā)器技術在SQL Server數據庫中性能優(yōu)勢明顯，而基于數字水印的防護技術適用所有關系數據庫，有廣泛的應用范圍。

參考文獻：

[1] José Fonseca，Marco Vieira，Henrique Madeira.Integrated Intrusion Detectionin Databases[M].A.Bondavalli，F.Brasileiro，and S.Rajsbaum（Eds.）：LADC 2007，LNCS 4746.2007：198-211.

[2] 焦巖.關于數據庫系統安全現狀的研究[J].計算機安全，2010（5）：15-25.

[3] 李瑞林.計算機數據庫安全管理研究[J]制造業(yè)自動化，2012（3）：112-116.

[4] 孫明麗，王斌，劉瑩.SQL Server 2005 數據庫系統開發(fā)完全手冊[M].北京：人民郵電出版社，2007：10-15.

[5] 牛夏牧，趙亮，黃文軍，等.利用數字水印技術實現數據庫的版權保護[J].電子學報，2003，31（12A）：2050-2054.

[6] 顧力平，聶元銘.基于決策樹的數據庫脆弱水印算法研究[J].艦船電子工程，2013（04）：57-61.

[7] Quinlan J R.C4.5：Programs for machine learning[M].San Mateo：Morgan Kaufmann Publishers Inc，1993：17-42.

[8] 郭暉，周鋼.基于觸發(fā)器的考核管理信息系統監(jiān)控模塊的設計與實現[J].計算機安全，2011（9）：47-52.

[9] 張丹. SQL Server中存儲過程與觸發(fā)器技術的研究與應用[J].高新技術，2008（23）：24.

[10] 魏錦茂. SQL觸發(fā)器在數據庫設計中的應用[J].數據庫與信息管理，1995（3）：73-74.endprint

3） 通用程度不同。基于數字水印的防護技術對于不同的數據庫數據和水印信息要重新設計算法，通用性不高；基于觸發(fā)器則只需對相應數據表格作簡單調整即可在不同數據庫中通用。

4） 保護技術差別?；跀底炙〉姆雷o技術主要通過發(fā)現數據庫中核心數據的篡改并定位，來保護核心數據；基于觸發(fā)器則通過對核心數據設定禁寫觸發(fā)器來保護，對其他數據的修改則進行記錄，并提供恢復技術來保護數據安全。

兩種數據庫安全防護技術的差別匯總如表1。

表1

[防護技術＼&應用范圍＼&實現難度＼&通用程度＼&技術差別＼&基于數字水?。?關系數據庫＼&較難＼&不高＼&對篡改數據定位＼&基于觸發(fā)器＼&SQL Server系列數據庫＼&較易＼&較好＼&核心數據禁寫，其他記錄修改，并提供恢復技術＼&]

可以發(fā)現，對于SQL server數據庫，基于觸發(fā)器的安全防護技術實現較容易，較好的通用性，既能發(fā)現數據修改還能提供數據恢復技術，基于數字水印的防護技術則對于所有的關系數據庫均能應用，應用范圍廣。

4 結論

本文對數據庫的安全防護進行介紹，著重對基于數字水印和基于觸發(fā)器這兩種數據庫防護技術進行詳細研究，并對兩種方法在應用范圍、實現難度、通用程度和技術差別進行比較，發(fā)現基于觸發(fā)器技術在SQL Server數據庫中性能優(yōu)勢明顯，而基于數字水印的防護技術適用所有關系數據庫，有廣泛的應用范圍。

參考文獻：

[1] José Fonseca，Marco Vieira，Henrique Madeira.Integrated Intrusion Detectionin Databases[M].A.Bondavalli，F.Brasileiro，and S.Rajsbaum（Eds.）：LADC 2007，LNCS 4746.2007：198-211.

[2] 焦巖.關于數據庫系統安全現狀的研究[J].計算機安全，2010（5）：15-25.

[3] 李瑞林.計算機數據庫安全管理研究[J]制造業(yè)自動化，2012（3）：112-116.

[4] 孫明麗，王斌，劉瑩.SQL Server 2005 數據庫系統開發(fā)完全手冊[M].北京：人民郵電出版社，2007：10-15.

[5] 牛夏牧，趙亮，黃文軍，等.利用數字水印技術實現數據庫的版權保護[J].電子學報，2003，31（12A）：2050-2054.

[6] 顧力平，聶元銘.基于決策樹的數據庫脆弱水印算法研究[J].艦船電子工程，2013（04）：57-61.

[7] Quinlan J R.C4.5：Programs for machine learning[M].San Mateo：Morgan Kaufmann Publishers Inc，1993：17-42.

[8] 郭暉，周鋼.基于觸發(fā)器的考核管理信息系統監(jiān)控模塊的設計與實現[J].計算機安全，2011（9）：47-52.

[9] 張丹. SQL Server中存儲過程與觸發(fā)器技術的研究與應用[J].高新技術，2008（23）：24.

[10] 魏錦茂. SQL觸發(fā)器在數據庫設計中的應用[J].數據庫與信息管理，1995（3）：73-74.endprint