数据库安全代理系统的设计与实现

摘要

如今，由于对数据库的入侵行为频繁的发生，关于数据库的安全技术成为信息安全研究的焦点。入侵防御技术作为新的数据库安全技术被众多学者所研究，由于入侵防御技术作为一种主动的防御技术除了能够对入侵行为进行实时、精确检测外，还能在入侵行为造成破坏之前进行迅速有效的拦截。因此，采用入侵防御技术来保护数据库是一种非常有效的安全措施。 数据库入侵防御技术采用的思想是将入侵防御系统插入到客户端和数据库之间，将其分为两个部分，一部分是通过访问控制来进行检测与防御，另一部分是通过入侵检测来进行异常行为的检查，通过两部分的合作来对数据库实施入侵防御。本文的数据库安全代理系统所研究的内容正是第一部分。 本文的主要研究工作和创新点主要归纳为以下几点： 1.在原有C/S架构的基础上，为客户端和后台数据库之间建立一个通信代理，既实现对用户访问请求的拦截，又实现与入侵检测系统的通信。通过向后台数据库转发用户的合法访问请求来实现对数据库的防御。 2.使用LEX和YACC工具来对客户端提交的SQL语句进行词法和语法的分析，分析出SQL语句中的操作行为和操作对象，以供访问控制模型进行访问控制。 3.提出了DBLP_ABC访问控制模型，以保证数据库安全代理系统能够在检测出合法用户权限滥用的同时能够在不同的使用场景作出不同的访问控制。 4.为DBLP_ABC模型设计一个参考监视器，通过该监视器的各个模块的协同合作来实现DBLP_ABC模型。 最后的测试表明，数据库安全系统在具有良好的访问内容过滤能力，能够有效地和入侵检测系统合作，共同构建全面的、有效的数据库入侵防御体系。

目录

文摘

英文文摘

声明

第一章绪论

1.1 课题背景和意义

1.2 课题研究内容

1.3 本文组织结构

第二章相关技术综述

2.1 数据库安全技术概述

2.2 访问控制技术概述

2.2.1 自主访问控制

2.2.2 强制访问控制

2.2.3 访问矩阵模型

2.2.4 基于前提的访问控制

2.2.5 使用控制模型

2.3 数据库入侵防御技术的研究现状

2.4 本章小结

第三章数据库安全代理系统的设计

3.1 数据库入侵防御体系的结构

3.2 数据库安全代理系统的设计思想

3.3 数据库安全代理系统的工作原理

3.4 代理模块的设计

3.5 SQL语句分析模块的设计

3.5.1 SQL语言

3.5.2 编译原理

3.5.3 SQL词法分析器的设计

3.5.4 SQL语法分析器的设计

3.6 系统安全模块的设计

3.6.1 参考监视器的组件描述

3.6.2 安全策略的更新

3.7 本章小结

第四章数据库安全代理系统的访问控制模型

4.1 强制访问控制的BLP模型

4.2 使用控制的ABC模型

4.3 DBLP_ABC模型的设计思想

4.4 DBLP_ABC模型的设计

4.5 DBLP_ABC模型的访问控制策略

4.6 DBLP_ABC模型的访问控制矩阵

4.6.1 属性与属性组

4.6.2 属性的断言

4.6.3 访问控制矩阵

4.6.4 原子操作

4.6.5 命令操作

4.7 本章小结

第五章数据库安全代理系统的实现

5.1 PostgreSQL数据库介绍

5.2 代理模块的实现

5.2.1 守护进程的实现

5.2.2 代理模块中使用的数据结构

5.2.3 代理模块和客户端通信的实现

5.2.4 代理模块和SQL语句分析模块通信的实现

5.2.5 代理模块和系统安全模块通信的实现

5.2.6 代理模块和入侵检测系统通信的实现

5.2.7 代理模块和PostgreSQL数据库通信的实现

5.3 SQL语句分析模块的实现

5.3.1 LEX概述

5.3.2 LEX用的正规式

5.3.3 YACC概述

5.3.4 使用LEX和YACC分析SQL语句

5.4 系统安全模块的实现

5.4.1 安全策略库SPL的实现

5.4.2 用户/数据库对象属性及断言的表示

5.4.3 安全策略的查找算法

5.4.4 访问控制矩阵的实现

5.4.5 安全策略实施SPE的实现

5.4.6 安全策略决策SPD的实现

5.4.7 计时器的实现

5.4.8 用户认证/授权组件的实现

5.5 本章小结

第六章数据库安全代理系统的测试

6.1 测试环境

6.2 测试结果分析

6.3 本章小结

第七章结论

7.1 本文工作总结

7.2 未来研究方向

作者在攻读硕士学位期间公开发表的论文

作者在攻读硕士学位期间所作的项目

致 谢

参考文献