便携数据库管理系统的网络连接与安全
关键词:掌上电脑 无线网络 PocketDBA Web裁剪技术 加密 数据完整性 防火墙
引言
计算技术和无线通信技术的发展与结合使得一种全新的计算模式――移动计算机模式成为现实。Internet为信息传递、数据交互提供了一种无处不在的便捷方法。移动计算(mobile computing)是使人们能够在任何时间和任何地点获得所需信息的技术和设备的总称。未来的网络将是一无线、有线与Internet三者合一的数字化地球,它将超越一切地理的障碍,使得信息无处不在,这必将为移动计算提供更广阔的空间。在移动计算环境下,用户使用便携式计算机通过无线通信接口实现对信息网络的访问,而不受实际物理位置变化的影响。人们不再满足于传统的局限在有限空间里的信息存取方式,而希望将活动的地点延伸到广阔的地理区域,如家庭、野外、海域和岛屿。人们也不再满足于固定的信息存取模式,而希望随时随地查询数据,甚至在移动的过程中处理数据,如在旅途中处理日常办公事务,在购物时随时查询商品行情等。
便携数据库管理系统(即PocketDBA)是第一个可以实现无线连接数据库管理的工具。通过一个无线连接的掌上电脑,可以实现对Oracle数据库的访问和管理。该工具不仅仅提供一个信息状态的快照,而且提供大部分直接对数据库服务器进行操作的功能,让用户进入数据库招待几乎所有的任务;加上集成了友好的用户界面和方便易用的图表,几乎是每一个数据据库管理都需要的一种无线解决方案。
1 PocketDBA应用程序的组成
PocketDBA包括2个主要部分:①PocketDBA客房软件。该软件运行在一个无线连接的掌上电脑上,可以跟PocketDBA服务器进行通信并且将处理的结果显示给用户。②PocketDBA服务器软件(PSS)。该服务器应用程序运行在本地环境,跟本地数据库通信。接收来自PocketDBA客房软件的请求,并进行处理,然后将结果返回。这个软件是用Java语言写的,因此可以在不同操作系统平台上使用。
2 掌上电脑的无线网络连接
掌上电脑的无线网络连接实现PocketDBA客房和服务器之间的通信。大多数掌上操作系统设备都使用一种叫Web裁剪的技术进行数据的传输、接收和格式化显示。Web裁剪程序非常类似台式机上的网络浏览器。
图1概要地说明了如何用Web裁剪实现掌上电脑操作系统与一个装有无线服务程序的服务器进行无线通信。
(1)无线掌上设备
掌上电脑装有类似台式机浏览器的网络剪切客户软件,配有无线广域网(WWAN)硬件。该硬件可以是一个内置或外置调制解调器,也可以是一条连接到数字蜂窝电话的补充电缆。通信过程的第1步是通过掌上电脑上的天线将通信请求传送到运营商的无线基站。
(2)运营商无线基站
基站类似广播发射塔分布在世界各个地方。基站的所有权属于运营商并由运营商操作维护。基站接收无线传输数据流,并将数据传给一个无线代理服务器。由于每个基站覆盖范围有限,因此,基站的数目和位置决定了运营的业务覆盖区域。
(3)无线代理服务器
无线代理服务器是负责将无线请求转变成Internet请求。无线代理服务器一般都放在无线服务供应商的数据处理中心。当手持设备传送数据时,无线代理服务器从基站接收信息,并转换成可在Internet上传输的数据流,连接一个无线应用程序服务器来处理请求。
(4)无线应用程序就服务器
无线应用程序服务器接收无线代理服务器送来的请求并进行处理。在很多方面,无线应用程序服务器都类似一个网络服务器,除了它的格式输出更适合在掌上电脑上显示。PocketDBA服务器软件属于无线程序服务器的一种,常常被安装在公司的内部网络中,能够很容易地跟需要监控的数据库通信。
(5)无线网络连接举例
以下例子中简化了掌上电脑与Internet之间的连接,细节请参阅图1。
①单服务器网络连接,如图2所示。
这种网络配置结构适合用户在运行Oracle数据库的机器上直接安装运行PocketDBA服务器软件。这种配置在主要限制是PSS软件需要的操作系统是WindowsNT、Windows 2000、Solaris或Red Hat Linux。图2中掌上电脑用HTTPS协议通过Internet将通信请求送到防火墙。身份验证通过后,防火墙允许请求并送到PSS。PSS通过JDBC接口与TNS监听器联系,TNS监听器与数据库通信。
②多服务器网络连接,如图3所示。
当用户同时运行多个数据库服务器时,可以采用图3配置。PSS软件安装在装有WindowsNT、Windows 2000、Solaris、Red Hat Linux的机器上。对于图3最右边的数据库服务器,只要支持Oracle数据库,服务器操作系统类型没有限制。图3中掌上电脑用HTTPS协议通过Internet将通信请求送到防火墙。身份验证通过后,防火墙允许请求并送到PSS。PSS通过JDBC接口与适当主机上的TNS监听器联第,TNS监听器与数据库通信。
③使用代理服务器的网络连接,如图4所示。
这种网络配置结构适合已经有了一个代理服务器,并且代理服务器上设置了身份验证了用户使用,此时PSS服务器上不需再设置身份验证。图4中掌上电脑用HTTPS协议通过Internet将通信请求送到防火墙。防火墙将请求送至代理服务器,经代理服务器验证通过后,通信请求将被送到PSS服务器。PSS通过JDBC接口与适当主机上的TNS监听器联第,TNS监听器与数据库通信。
3 PocketDBA安全设置
PocketDBA程序设计的目的是允许管理数据库。由于数据库经常包含敏感的信息,所以安全是最重要的。为了最大限度地减少来自网络上任何系统的安全威胁,需要采取一定的安全策略。
(1)机密性
加密用于PocketDBA应用程序在传输和接收数据时,防止数据被窃听。
在不同设备上采用的加密方法如下:
①无线掌上设备。数据的加密用了数据加密标准扩展规则(DESX)。
②无线基站到代理服务器。从基站到代理服务器的通信时,数据流加密用了1个128位强RSA加密规则,并用SSL协议进行传输。
③代理服务器到PocketDBA服务器。代理服务器经过Internet与PocketDBA服务器进行通信时,有安全和非安全2种模式。
安全模式――传输的数据流用了SSL和公司的身份验证进行加密,并用HTTPS协议发送。
非安全模式――传输的数据流不经过加密,并用HTTP协议传输。这种方法不可取,因为在传输过程中用户名、口令以及所有数据都可能被看到。
(2)数据完整性
数据完整性是防止传输过程中数据发生修改,无线传输数据流用以下方法来防止受到攻击:
①信息完整性检查(MIC);
②密码链;
③时间/日期戳;
④信息序列号;
⑤服务器ID域。
(3)认证与许可
认证与许可保证只有合法用户才能访问应用程序。拥有数据库的登录名和口令的用户可以访问PocketDBA程序。数据库中存在设定访问允许的机制,因此用户被限制在经过授权的范围内进行操作。
另外,用户可以灵活设置的超时时限来定期地消除非激活状态的会话,这样一来就大大降低了被盗的手持设备用来进入系统的可能性。
为了让PocketDBA应用程序接收到来自掌上电脑的通信请求,PocketDBA服务器必须有1个可以通过Internet进行访问的完整有效的域名(一个静态IP地址),并且能够跟所有需要管理的数据库进行通信。
PocketDBA推荐使用防火墙来保护本地网络给免受外来攻击。通常情况下,防火墙可以拒绝与特定主机(计算机或网络)所提供的特定服务(如HTTP、HTTPS、FTP等)的连接请求。用在PocketDBA上,防火墙需要加入允许从一个有着严格限制的区域来的数据流能够进入。一条严格规则有时比喻成防火墙上的一个“针孔”。PocketDBA的针孔定义如下:
①服务――仅仅来自HTTPS协议;
②主机――仅仅来自无线Palm OS设备。
评论