收藏本站
网站导航
联系方式
网站首页 | 杂志简介 | 论文欣赏 | 在线订阅 | 征稿启事 | 投稿须知 | 资讯速递 | 写作指南
本刊信息

主管:广西国有资产监督管理委员会
主办:广西轻工业科学技术研究院
协办:广西轻工协会
      广西酿酒协会
编辑/出版:《广西轻工业》编辑部
编委会主任:罗左青
编委会副主任:程劲芝 梁智
编委:白树雄 宋  苹 蒋敬全
      谢晓航 雷光鸿 贤章胜
主编:贤章胜
地址:广西南宁经济技术开发区
      迎凯路8号
邮编:530031
编辑部:0771-4518435
        4518909转8968
投稿信箱:qgkj@vip.126.com
网址:www.qgkjlw.com
国际标准刊号:ISSN2095—3518
国内统一刊号:CN45—1385/TS
订阅:全国各地邮局
邮发代号: 48—123
定价:人民币15元
刊期:月刊

理事单位

广西粮油科学研究所
广西大学轻工与食品工程学院
广西大学生命科学与技术学院
广西农垦糖业集团金光制糖有限公司
广西农垦糖业集团昌菱制糖有限公司
广西机械工业研究院
重庆啤酒集团柳州啤酒有限责任公司
南宁吉然节能环保技术有限公司
柳州柳连机械制造有限责任公司
南京润维热工设备有限公司
广西柳州市嘉诚汽车饰件系统有限公司
广西柳江县柳兴榨辊有限责任公司
广西南宁丰烁电力设备节能有限公司
广西都安密洛陀野生葡萄酒有限公司
广西巴马神酒业有限责任公司
广西中天领御酒业有限公司
广西北海市合浦东园家酒厂
桂林理工大学管理学院
广西工业职业技术学院   
广西农业职业技术学院
广西二轻工业技工学校
广西德保县酒厂
广西全州湘山酒厂
田阳南华纸业有限公司
广西桂平乳泉液酒业有限公司

 
首页>> 论文欣赏 >> 计算机科学与信息技术>> 正 文
 

移动商务数据库安全策略探讨

2010年第1期(总第134期)
林 佳(武汉大学计算机学院,湖北 武汉 430079)
 
  【摘 要】 移动商务在实施过程中可能产生窃听、篡改和伪造等安全隐患,后台数据库的安全非常重要。本文通过完善身份认证机制、进一步存储访问控制、加强数据加密、重视审计追踪和攻击检测等安全策略保障移动数据库的安全。
  【关键词】 移动商务;移动数据库;安全策略
 
1 引言
  随着3G技术的发展与推广,商务活动与管理发生变化并出现新的形式---移动商务。移动商务就是通过移动通讯网络进行数据传输,并且利用手机、PDA等移动终端开展各种商业经营活动的新商务模式。移动商务的发展促使移动数据库系统的发展。移动数据库是指支持移动计算环境的分布式数据库,通常应用在诸如掌上电脑、PDA、移动电话等移动设备中。移动数据库使得计算机或其它信息设备在移动状态下,能够将有用、准确、及时的信息与中央信息系统相互作用,同时用户可以随时随地使用通信终端查找、选择及购买商品和服务、移动办公、移动支付、掌上娱乐等。
  移动数据库、移动终端、服务器之间是弱连接,即连接带宽低,延迟较长、还不稳定。且是在移动环境中频繁的、可预见的、断开与连接情况下进行移动事务处理。数据库系统数据个人隐私性很高,在遇到碰撞、磁场干扰、遗失、盗窃等情况下,个人数据安全受到很大的威胁,因此移动数据库的安全在移动商务中显得越来越重要。
 
2 移动商务数据库安全问题
  移动数据库是在开放的移动环境下进的,因此在进行商务活动中数据安全受到很大的威胁:
2.1  移动通信终端的安全威胁
  移动通信终端的资源是很有限的,且数据传输速率等相对较差。移动通信终端虽方便随身携带使用,但也容易丢失和被窃。这样攻击者在获取的终端设备上,寻找并获取如数字证书等数据资源,非法访问企业内部网络资源,或直接破坏移动通信终端中的数据。
2.2  无线通信网络本身的威胁
  无线通信网络是通过一个开放的信道进行通信,因此无线网络的用户信息安全、个人安全等都构成了潜在的威胁。且没有有线基础设施的支持,因此其网络拓扑结构动态变化,网络能力受限等,从而使后台数据库容易受到安全威胁。
2.3  数据库系统自身的安全漏洞
  首先数据库技术自身发展也有一定的限制,因此存在很多不足:数据库中的指令系统具有随意性,让入侵者容易得到操作系统的管理权限,直接威胁服务器操作系统的安全。甚至让整个服务器和局域网完全处于瘫痪状态,无法进行工作。还有数据库的安全检查措施级别特别低,审核机制使用不正确,软件的使用与管理有漏洞,未能及时打补丁。服务安全的脆弱,安全选项的提供不正确,采用默认设置给与不正确提示等。
2.4  数据库系统外部因素的威胁
  首先是黑客攻击,黑客经常对移动数据库系统进行窃听,重发、假冒、越权、迂回攻击等从而窃取数据或扰乱系统正常运行;其次病毒的种类越来越多,从而使用移动终端设备和后台数据库受到破坏和攻击;再次无线网络安全环境脆弱,包括操作系统安全、移动数据库管理系统安全和网络协议等;最后移动数据库应用系统的信息加密与保密等未作到位、分布事务管理和故障恢复等不全面。
2.5  用户的实体认证机制缺乏
  移动客户机无法可信地向服务器端数据库证实其用户的身份。首先用户可能访问某个特定移动客户机,并假装另一个用户在操作移动客户机;其次用户可能会更改移动客户机的ID,其发出的请求看似来自伪装的移动客户机;最后用户可能窃听报文交换过程,并使用重放供给来获得进入数据库服务器或打断进行的操作。
 
3 移动数据库安全策略
  要保护移动数据库的安全,必须防止数据泄密、更改或破坏或提供更加可靠的安全认证。对于移动数据库系统来说,安全策略能够很好地管理、保护和分配移动数据库中敏感和重要的信息。
3.1  完善身份认证机制
  在移动数据库系统中,移动客户机和服务器数据库同步时需要进行身份验证,以防止非法终端的欺骗性接入和破坏后台数据的安全。移动客户机在连接或断开时,移动客户操作数据库需要对其本身进行身份验证,既移动客户输入自己的用户名和密码后,在移动客户机上验证通过后,即可对本地的缓存进行查询、修改的操作。但当移动客户机和服务器端数据库进行通信的时,移动客户身份需在服务器端数据库中验证。为很好验证,可采取如下措施:
  (1)WPKI(无线公开密钥体系)有效地解决了移动数据库的身份认证问题。WPKI为用户和服务供应商发放证书,用户在交易过程中利用证书来保证传输过程中数据的保密性、完整性、不可否认性,并完成通信双方的身份认证。
  (2)使用类Kerberos 三重加密验证方法验证身份。首先为了验证数据是否是由验证服务器发出,移动客户机使用验证服务器的公钥来验证服务器发过来的加密数据并进行解密;其次对解密后的数据进行再次解密获得相关数据,然后随机产生一个会话密钥,再使用服务器端数据库的公钥对数据和会话密钥进行加密后并发送给服务器端数据库;再次服务器端数据库收到数据后先使用私钥对数据进行解密,再使用会话密钥和常规加解密方式进行解密证明数据是由验证服务器所发;最后移动数据库发送一个确认消息,为验证确认消息是由服务器端数据库所发,先使用移动客户机会话密钥确认信息进行加密,再使用服务器端数据库的私钥再次加密。当移动客户机收到确认消息后,就可以使用会话密钥加密同服务器端数据库进行通信的所有消息。
  (3)建立用户身份鉴别机制。将操作系统的用户身份鉴别机制和移动数据库系统的身份鉴别机制一起实施形成双重保护,这种双重的用户身份鉴别机制在一定程度上强化了数据库系统的保密性。且识别用户是惟一这样保证数据信息的保密性,特别是保证对机密敏感数据的访问控制,同时还要对访问进行确认,以防止否认。
  (4)对移动用户提供身份保护。防止数据库用户信息泄密或被跟踪可以采用CDMA lx与VPDN相结合的方式解决。首先CDMA采用扩频技术且能抗干扰和保密性好。另外CDMA系统采用快速切换功率控制技术,窃听设备很难破译出CDMA的编码,从而很难获取到移动数据,保证了数据的安全;其次CDMA1x网络侧的服务器对登录用户的域名和识别码进行绑定审核,验证通过后方可接入CDMA网络;再次设置防火墙可以为内部网络和不安全网络之间的建立安全通道。最后用户网络侧的服务器鉴权认证可以实现对相关成员的身份认证,鉴别该成员的用户名和密码的正确性。
3.2  进一步存储访问控制
  所谓访问控制就是对要保护数据的存取访问权限的确定授予和实施。为了灵活控制数据库的安全性,数据库管理系统应该提供动态的安全机制,例如动态授权方式。数据处理是在移动设备下进行,因此数据库系统可以允许数据库管理员和有特定访问权限的用户有选择地、动态地把访问权授予其他用户。但如果用户需要访问移动数数据库资源时必须进行注册,给该用户分配一个口令,并授予其访问相应系统资源的权利。未经授权,任何用户都不能使用该数据库资源。为了增强数据库的安全性,可以随时更改用户的口令。移动商务数据是非常重要的,因此移动数据库对存取权限的控制非常严格。
3.3  加强数据加密
  仅依靠访问控制加强保密性是远远不够的,且移动数据库系统存储的数据是非常很重要,因此需进行加密以防止泄漏。加密首先需进行口令设置,可根据数据库功能模块不同设置不同级别的口令,并且应该将口令进行加密,以保护数据安全。口令安全设置可采用零式方式,这样对真正被授权用户的口令就不能被冒充复制或破坏。
  其次可以使用不同的加密方法。比如用椭圆曲线密码体制(ECC),其依据就是定义在椭圆曲线点群上的离散对数问题的难解性,从而增强数据库数据的安全性,目前还没有有效的攻击破解方法。除此外还可以用类Kerberos方法三重加密验证或其他加密方法等。
3.4  重视审计追踪和攻击检测
  身份验证和存储访问控制是可以保证系统的安全,但系统本身总会存在安全漏洞,因此审计追踪和攻击检测是非常重要的。审计功能在系统运行时可以自动对数据库的操作记录在审计日志中,从而监视各用户对数据库的操作。攻击检测系统则是根据审计数据分析检测内部和外部攻击者的攻击企图,再现导致系统现状的事件,分析发现系统安全的弱点,追查相关责任者,从而保证移动数据库的安全。
3.5  提高移动数据库的备份与恢复能力
  移动商务数据库中的数据非常重要,因此在保护的同时,也要采用磁带备份、双机热备份、手工备份等方法对数据库进行安全备份,以保证该系统因各种原因遭到破坏时,尽快投入使用。
3.6  无线技术的安全措施
  在移动商务中数据库的安全也跟其使用的移动技术有相关,因此相关移动技术在实施中也要采取相关安全措施。比如蓝牙技术,使用认证机制为系统鉴权和加密,保证通信双方的身份认定;运用有效的数据加密技术对数据包加密并对加密过程的中间数据进行加密,防止系统被攻击和数据被窃取;移动IP技术采用了隧道技术、数据加密、身份认证等多项安全措施,以确保可靠通信。
 
4 小结
  随着3G技术的推广与使用,移动商务得到蓬勃发展,其数据的安全特别后台移动数据库安全非常重要。文中移动数据库的安全策略是保证移动数据库在实际应用的安全,但安全策略还需要根据实际问题具体对待,因此应该在实践中不断探索移移动商务中数据库系统的安全性问题。
 
参考文献
[1]马振飞.分布式数据库安全问题研究[J].黑龙江科技信息,2008,(35).
[2]傅霞玲.数据库安全研究与分析[J].电脑知识与技术,2007,(13).
[3]龚春红.移动数据库的事务处理关键技术研究与分析[J].计算机系统应用,2007,,(1).
[4]汪红松.移动电子商务的安全问题研究[J].电子商务,2006,(18).
[5]许芸.在电子商务数据管理中分布式数据库的安全性策略[J].微电子学与计算机,2002,(09).
 
林佳(1981-),男,武汉大学计算机学院在读工程硕士研究生,研究方向:数据库技术应用、电子商务。
   
关于我们 | 版权声明 | 广告服务 | 网站地图 | 联系方式
Copyright© 2005 QGKJLW.COM All Rights Reserved. 版权所有.《轻工科技》编辑部
工作QQ:373180636 投稿信箱:qgkj@vip.126.com 咨询电话:0771-4518435 4518909转8968
通讯地址: 广西南宁经济技术开发区迎凯路8号《轻工科技》编辑部 邮编:530031