1、PAGE PAGE 14附件1：大學生創新(chungxn)訓練項目項 目 申 請 書項目(xingm)層次：國家級校級 EQ oac(,)（請在中劃“”）項目名稱：基于(jy)WEB數據庫安全性研究 申 請 人：濮陽天 所在班級：軟件1107班 指導教師：戴朝輝 學科專業：軟件工程 所在單位：軟件學院 聯系電話E - MAIL：619776388 申請日期：2013年4月20日 中 南 大 學填 寫 說 明1本申請書所列各項內容均須實事求是，認真填寫(tinxi)，表達明確嚴謹，簡明扼要。2本申請書為大十六開本（A4），左側裝訂成冊。可網上下載、自行復印或加頁，但格

2、式、內容、大小均須與原件(yun jin)一致。3申請人所在學院認真(rn zhn)審核，簽署意見后，將申請書（一式三份）報送創新創業教育辦公室。一、簡況項目名稱基于WEB數據庫安全性的研究所屬學科計算機科學與技術，軟件工程 原項目編號無申請經費起止年月2013年 4 月至2014 年 6 月申請人姓名濮陽天 性別男班級軟件1107班身份證號34252319940702071x電號3901110724指導教師職務職稱電話項目參與人性別班級學院學號電話濮陽天男軟件1107軟件學院390111072418874123468洪圣男軟件1107軟件學院390111072415

3、211064047劉達欣男軟件1107軟件學院390111070913469063415申請人曾參加與本項目相關的科學研究小組組員均參加過數據庫及WEB開發的課程學習，自己也都自學過一些相關知識，對數據庫開發有一定的了解。本人擔任過java實訓的組長，有一定的項目開發經驗。指導教師承擔本項目相關的科研課題國家自然科學基金項目：基于動態分層與自主學習的多智能體自適應學科模型，項目編號：60874042,2009.1-2011.12（主要參加者）；中南大學思政研究項目：交互式大學生綜合管理信息系統，2012.9-2013.9（項目資格人）。項目簡介（500字左右）本項目目的在于構建一個大學生創新創

4、業訓練計劃網。本網站運用到WEB數據庫技術，并且進行了WEB數據庫加密技術，保證了數據的安全性。同時為迎合大學生創新創業項目的需求，為創新創業項目的各個角色提供了便捷平臺。就當下大學生可開發的創新創業項目，本網站通過web數據庫的存儲提供了發布平臺，各級公文及歷屆項目，可通過各級管理員發布，所有用戶皆可獲得公文項目信息，項目團隊選定創業項目后，創新創業項目需上傳公示內容，以及通過管理員的審批。游客皆可通過各個項目的留言板進行留言建議等，為項目交流提供了交互。本網站在對網絡數據庫安全性分析的基礎上，確定在操作員安全賬戶認證、操作員授權管理、數據在網絡上的安全傳輸等方面應采取了安全策略。此外，本網

5、站的專家組為項目團隊提供咨詢指導，以及文件的管理集中下載，為創業團隊提供了便利。在項目開發過程中，本網站為項目團隊提供注冊基本信息，團隊負責人可以對團隊的角色成員進行增刪改查。項目團隊就完成項目的各個階段，需進行中期檢查及評審，結題驗收及評審。通過對項目的各個階段的監督審查，有助于項目團隊順利的完成創新創業項目。二、課題(kt)論證（5000字左右(zuyu)）研究目的和研究意義隨著Web數據庫的應用越來越廣泛，Web數據庫的安全問題日益突出，如何才能保證和加強數據庫的安全性已成為目前必須要解決的問題。數據庫安全是一個廣闊的領域，它作為操作系統之上的應用平臺，其安全與網絡和主機安全息息相關。如

6、何有效地保證數據庫系統的安全，實現數據的保密性、完整性和有效性，已經成為業界人士探索研究的重要課題之一，但是數據庫通常沒有像操作系統和網絡這樣在安全性上受到重視。隨著計算機技術的飛速發展，數據庫的應用十分廣泛，但隨之而來產生了數據的安全問題。數據庫存放著在線資源中最真實和最有價值的那部分信息資產，這些數據一旦遭受安全威脅將帶來難以想象的嚴重后果，各種應用系統數據庫中大量數據的安全越來越引起人們的高度重視。因此數據庫系統作為信息的聚集體，是計算機信息系統的核心部件，其安全性至關重要。常見的數據庫安全問題及原因：賬號設置：數據庫用戶往往缺乏足夠的安全設置。比如，缺省的用戶賬號和密碼為空或極簡單的幾

7、個字符；賬號的保密性差，對大家都是公開的或者是極容易得到的；數據庫用管理員賬號做一般性操作等。 （2）缺乏角色分離傳統數據庫管理并沒有“安全管理員（Security Administrator）” 色，這就迫使數據庫管理員（DBA）既要負責賬號的維護管理，又要專門對數據庫執行性能和操作行為進行調試跟蹤，不僅導致管理效率低下，而且安全責任難以確定。 （3）缺乏審計跟蹤審計跟蹤是運用操作系統、數據庫管理系統、網絡管理系統提供的審計模塊的功能或其他專門程序，對系統的使用情況建立日志記錄，以便實時地監控、報警或事后分析、統計、報告，是一種通過事后追查來保證系統安全的技術手段。數據庫審計經常被DBA以提

8、高性能或節省磁盤空間為由忽視或關閉，這大大降低了管理分析的可靠性和效力。 （4）未利用的數據庫安全措施現在成熟的數據庫軟件都提供了各種措施來保障數據庫的安全，但是，許多時候，由于管理員的疏忽或經驗不足，許多的安全措施并沒有實際應用。本課題將以解決上述問題為出發點和立足點，融入了用戶標識和鑒別技術、智能卡技術、主體特征鑒別技術以及數據加密技術。數據加密(Data Encryption)是防止數據庫中數據存儲和傳輸中失密的有效手段。加密的基本思想是根據一定的算法將原始數據(明文plaintext)加密成為不可直接識別的格式(密文，ciphertext)，數據以密文的方式存儲和傳播。Web數據庫的安

9、全威脅涉及許多方面，是一個全局性的問題，而且黑客的攻擊手段和方法不斷翻新，因此要根據企業的實際需求綜合考慮各種技術，構建一個有機的結合體。同時也要清醒地認識到一個很好的安全解決方案不僅是純粹的技術問題，而且還需要法律、管理、社會因素的配合。2 國內外研究現狀國內研究現狀：與國際同行相比，國內的數據庫安全研究工作起步較晚，但也已取得了一定成績。以安全數據庫管理系統來說，目前已經達到國標 GB17859-1999 第 三 級（基本相當于TCSEC B1 級）的國產數據庫系統包括：可信COBASE（北京大學、華中科大、人大）、達夢數據庫系列（華中科大）、LOIS 安全數據庫（中科院軟件所信息安全國家

10、重點實驗室）、Softbase（南京大學）、Openbase Secure（東北大學）、神舟OSCAR、以及BeyonDB（中科院地理所、中科院軟件所信息安全國家重點實驗室）等。此外，在國家“863”計劃的支持下，實現了國標 第 四級與第五級（基本相當于TCSEC B2 級與A1級）安全數據庫管理系統的關鍵技術研究與原型系統研發。總體來說，我國的科研人員已經掌握了數據庫和數據庫安全的關鍵技術，這為將來的研究開發工作奠定了基礎。國外研究現狀：國外以 C.P.Pfleeger 對數據庫安全的定義最具代表性并被廣泛應用。該定義從物理數據庫的完整性、邏輯數據庫的完整性、元素安全性、可審計性、訪問控制、

11、身份驗證及可用性等方面對數據庫安全進行了描述 。隨著 WEB 技術的發展， WEB 與數據庫的互連技術也日益發展。主要有： CGI ， WebAPI ， ODBC ， JAVA/JDBC 技術， ASP 技術， PHP 技術等。使用 Delphi 的 WebBroker 技術可以輕松地建立 Web 服務器擴展來提供自定義的、動態的 HTML(Hypertext Markup Language) 網頁，并能夠訪問各種數據源 5 。這使得開發 Internet/intranet 應用程序非常容易。 Delphi 提供了開發 Web 應用程序的工具。 Delphi 生成的 Web 應用程序都有一個

12、TWebModule 類，它實際上起到派發器（ Dispatcher ）的作用。當 Web 應用程序接收到來自 Web 服務器的 HTTP 請求后，將創建一個 TWebRequest 對象來封裝 HTTP 請求信息。另外，還要創建一個 TWebResponse 對象，它封裝了響應信息。然后， Web 應用程序把這兩個對象傳遞給 TWebModule 對象。 TWebModule 對象控制了 Web 應用程序的內部流程。美國國防部計算機安全中心在 1983 年發表的可信計算機評估準則（TCSEC）。 該準則于 1985 年被確定為美國國防部標準，是歷史上第一個計算機安全評估準則。 這一段時期是多

13、級安全數據庫系統發展的黃金時期，期間出現了一批達到高安全級別的數據庫管理系統。 其中比較有 代 表 性 的 研 究 項 目 包 括 Seaview 1，ASD和 LDV2。目前美國空軍資 助的多級安全數據庫管理系統（Multi-Level SecureSeaview（Secure Data View） ，SRI 和 Gemini 公司共同參與的研究項目。其研究目標是實現一個達到TCSECDBMS）。眾所周知，數據庫管理系統是負責數據存儲、訪問與管理的核心平臺軟件。因而它也理所當然成為維護數據庫系統的安全核心。國外早期的數據庫安全研究的核心目標在于，通過設計符合特定安全策略模型的安全數據庫管理系

14、統，嚴格實施訪問控制策略、控制數據庫內容的操作與訪問，從而實現整個數據庫系統的安全。A1 級的安全數據庫，訪問控制粒度達到字段級。Seaview 采用了核心化的體系結構，由操作系統提供強制訪問控制。在上世紀 70 年代中期至 80 年代初，美國空軍、海軍資助的一批研究項目為多級安全數據庫的研究奠定了基礎。1975 年，Hinke 和Schaefer的報告給出了Hinke-Schaefer安全數據庫研究的內容，實現了基于 Multics 操作系統的可信數據庫管理系統；1983 年，Woods Hole 研討班進一步提出了適用于多級安全數據庫系統的三種體系結構：核心化（Hinke-Schaefer

15、）結構、完整性鎖結構和分布式結構。這個時期數據庫安全研究的主流是軍用安全數據庫，美國軍方的大力推動為研究工作涂上了一層濃重的軍方背景。在萌芽與初始時期，研究者對數據庫面臨的安全威脅、數據庫的安全需求以及安全數據庫的研究問題有了基本的認識，通過若干項目的研發形成了安全數據庫開發的方法論。Oracle 7 經評估達到 B1 級 ；Sybase 的 SQLServe達到了 C2 級 ，SQL Secure Serve達到 B1 級且是最早通過B1級評估的安全數據庫系統 ；Informix 的 INFORMIX-OnLine/Secure 5.0 達到了 B1 級。國外研究目前圍繞多級安全數據庫管理系

16、統的設計，形成了安全數據庫的理論與技術基礎，包括如下重要研究內容： 數據庫形式化安全數據模型分析及驗證； 數據庫隱通道檢測及其分析；多級安全數據庫事務模型及其分析； 數據庫安全體系結構及實現技術；數據庫審計與數據庫加密等。3研究內容、研究思路和方法以及重點和難點研究內容：數據庫系統的安全特性主要是針對數據而言的，包括數據獨立性、數據安全性、數據完整性、并發控制、故障恢復等幾個方面。數據獨立性數據獨立性包括物理獨立性和邏輯獨立性兩個方面。物理獨立性是指用戶的應用程序與存儲在磁盤上的數據庫中的數據是相互獨立的；邏輯獨立性是指用戶的應用程序與數據庫的 HYPERLINK /view/540423.h

17、tm t _blank 邏輯結構是相互獨立的。數據安全性操作系統中的對象一般情況下是文件，而數據庫支持的應用要求更為精細。通常比較完整的數據庫對數據安全性采取以下措施：（1）將數據庫中需要保護的部分與其他部分相隔。（2）采用授權規則，如賬戶、口令和權限控制等訪問控制方法。（3）對數據進行加密后存儲于數據庫。數據完整性數 據完整性包括數據的正確性、有效性和一致性。正確性是指數據的輸入值與數據表對應域的類型一樣；有效性是指數據庫中的理論數值滿足現實應用中對該數值段的 約束；一致性是指不同用戶使用的同一數據應該是一樣的。保證數據的完整性，需要防止合法用戶使用數據庫時向數據庫中加入不合語義的數據并發控

18、制如 果數據庫應用要實現多用戶共享數據，就可能在同一時刻多個用戶要存取數據，這種事件叫做并發事件。當一個用戶取出數據進行修改，在修改存入數據庫之前如有 其它用戶再取此數據，那么讀出的數據就是不正確的。這時就需要對這種并發操作施行控制，排除和避免這種錯誤的發生，保證數據的正確性。故障恢復由 HYPERLINK /view/68446.htm t _blank 數據庫管理系統提供一套方法，可及時發現故障和修復故障，從而防止數據被破壞。 HYPERLINK /view/7809.htm t _blank 數據庫系統能盡快恢復數據庫系統運行時出現的故障，可能是物理上或是邏輯上的錯誤。比如對系統的誤操作

19、造成的數據錯誤等。研究思路和方法為解決上述問題，項目組將展開如下多方面的研究工作：Web數據庫是基于Internet/Intranet的應用系統，由于互連網開放性和通信協議的安全缺陷，以及在網絡環境中數據存儲和對其訪問與處理的分布性特點，網上傳輸的數據容易受到破壞、竊取、篡改、轉移和丟失。這些危害通常是對網絡的攻擊引起的。到現在，針對Web數據庫的應用級入侵已經變得越來越猖獗，如SQL注入、跨站點腳本攻擊和未經授權的用戶訪問等。所有這些入侵都有可能繞過前臺安全系統并對數據庫系統攻擊。如何保證Web數據庫的安全性已成為新的課題。第一關、對用戶安全管理Web數據庫是個極為復雜的系統，因此很難進行正

20、確的配置和安全維護，當然，必須首先要保證的就是數據庫用戶的權限的安全性。當用戶通過Web方式要對數據庫中的對象(表、視圖、觸發器、存儲過程等)進行操作時，必須通過數據庫訪問的身份認證。多數數據庫系統還有眾所周知的默認賬號和密碼，可支持對數據庫資源的各級訪問。因此，很多重要的數據庫系統很可能受到威協。用戶存取權限是指不同的用戶對于不同的數據對象有不同的操作權限。存取權限由兩個要素組成：數據對象和操作類型。定義一個用戶的存取權限就是要定義這個用戶可以在哪些數據對象上進行哪些類型的操作。權限分系統權限和對象權限兩種。系統權限由DBA授予某些數據庫用戶，只有得到系統權限，才能成為數據庫用戶。對象權限是

21、授予數據庫用戶對某些數據對象進行某些操作的權限，它既可由DBA授權，也可由數據對象的創建者授予。第二關、定義視圖為不同的用戶定義不同的視圖，可以限制用戶的訪問范圍。通過視圖機制把需要保密的數據對無權存取這些數據的用戶隱藏起來，可以對數據庫提供一定程度的安全保護。實際應用中常將視圖機制與授權機制結合起來使用，首先用視圖機制屏蔽一部分保密數據，然后在視圖上進一步進行授權。第三關、數據加密數據安全隱患無處不在。一些機密數據庫、商業數據等必須防止它人非法訪問、修改、拷貝。如何保證數據安全？數據加密是應用最廣、成本最低廉而相對最可靠的方法。數據加密是保護數據在存儲和傳遞過程中不被竊取或修改的有效手段。數

22、據加密系統包括對系統的不同部分要選擇何種加密算法、需要多高的安全級別、各算法之間如何協作等因素。在系統的不同部分要綜合考慮執行效率與安全性之間的平衡。因為一般來講安全性總是以犧牲系統效率為代價的。如果要在Internet上的兩個客戶端傳遞安全數據，這就要求客戶端之間可以彼此判斷對方的身份，傳遞的數據必須加密，當數據在傳輸中被更改時可以被發覺。第四關、事務管理和故障恢復事務管理和故障恢復主要是對付系統內發生的自然因素故障，保證數據和事務的一致性和完整性。故障恢復的主要措施是進行日志記錄和數據復制。在網絡數據庫系統中，分布事務首先要分解為多個子事務到各個站點上去執行，各個服務器之間還必須采取合理的

23、算法進行分布式并發控制和提交，以保證事務的完整性。事務運行的每一步結果都記錄在系統日志文件中，并且對重要數據進行復制，發生故障時根據日志文件利用數據副本準確地完成事務的恢復。研究重點與難點本課題的研究重點和難點在于數據庫加密算法：1、常用密鑰算法密鑰算法用來對敏感數據、摘要、簽名等信息進行加密，常用的密鑰算法包括：DES（Data Encryption Standard）：數據加密標準，速度較快，適用于加密大量數據的場合； 3DES（Triple DES）：是基于DES，對一塊數據用三個不同的密鑰進行三次加密，強度更高； RC2和 RC4：用變長密鑰對大量數據進行加密，比 DES 快； IDE

24、A（International Data Encryption Algorithm）國際數據加密算法，使用 128 位密鑰提供非常強的安全性； RSA：由 RSA 公司發明，是一個支持變長密鑰的公共密鑰算法，需要加密的文件快的長度也是可變的； DSA（Digital Signature Algorithm）：數字簽名算法，是一種標準的 DSS（數字簽名標準）； AES（Advanced Encryption Standard）：高級加密標準，是下一代的加密算法標準，速度快，安全級別高，目前 AES 標準的一個實現是 Rijndael 算法； BLOWFISH，它使用變長的密鑰，長度可達448位

25、，運行速度很快； 其它算法，如ElGamal、Deffie-Hellman、新型橢圓曲線算法ECC等。2、單向散列算法單向散列函數一般用于產生消息摘要，密鑰加密等，常見的有：MD5（Message Digest Algorithm 5）：是RSA數據安全公司開發的一種單向散列算法，MD5被廣泛使用，可以用來把不同長度的數據塊進行暗碼運算成一個128位的數值； SHA（Secure Hash Algorithm）這是一種較新的散列算法，可以對任意長度的數據運算生成一個160位的數值； MAC（Message Authentication Code）：消息認證代碼，是一種使用密鑰的單向函數，可以用

26、它們在系統上或用戶之間認證文件或消息。HMAC（用于消息認證的密鑰散列法）就是這種函數的一個例子。 CRC（Cyclic Redundancy Check）：循環冗余校驗碼，CRC校驗由于實現簡單，檢錯能力強，被廣泛使用在各種數據校驗應用中。占用系統資源少，用軟硬件均能實現，是進行數據傳 輸差錯檢測地一種很好的手段（CRC 并不是嚴格意義上的散列算法，但它的作用與散列算法大致相同，所以歸于此類）。參考文獻：1 李建平.關于提高Web數據庫安全性的幾點實踐J.科技信息，2008(23):79-80.2 劉啟原,劉怡.數據庫與信息系統的安全M.北京:科學出版社,2000.3 羅明.基于WEB數據庫

27、訪問連接技術的安全策略研究J.科技創新導報，2009(32).4 張錦祥，陳敏玲，王琴.Web數據庫的入侵威脅與防護策略J.科技通報，2010，26(5):769-773.5 金建隆,陸慧娟.Web數據庫系統安全研究J.網絡安全技術與應用，2008(1).6 詹天成.Web數據庫現狀與發展J.軟件導刊2008,7(8).7 王佳.Web數據庫系統幾點安全研究J.科技創新導報，2008(11).8 程永奇，葉飛.Web數據庫安全技術與應用J.信息科學，2009,36-37.9 龔雄濤.Web數據庫安全問題的探討J.電腦知識與技術，2009,5(36):10403-10405.10 孫香花.Web

28、數據庫的安全隱患和防范措施J.重慶工學院學報（自然科學版），2007,21(11).4 研究計劃及預期研究成果研究計劃：本項目擬在一年半內完成，總體安排與進度如下：1) 2013.32013.7 系統需求分析階段：進行深入的市場調查，深入研究教育部門與各高校的需求及現階段類似系統存在的漏洞。了解用戶具體需求及軟件的市場前景。2) 2013.72013.10 相關技術的學習及概要設計：學習數據庫安全、HTML5、css3、數據挖掘與分析加工等技術，為進一步的開發打好基礎。并同時完成項目的概要設計。3) 2013.102014.3 系統詳細設計與實現：完成項目各關系模式的設計，相關數據的挖掘加工，

29、完成在基于HTML平臺上的相關實現；系統架構，定義模塊，確定模塊之間的關系以及實現思路，并初步設計界面，分析系統流程，并設計出數據庫模型；進行初步的小規模測試，為日后整體測試做準備,并提交相應的文檔與報告。4) 2014.32014.6 系統整體測試：完成數據庫構建測試，并利用大量數據進行系統穩定性及準確性測試、壓力性測試，完成測試文檔。5) 2014.6：項目上線提交最終成果及文檔，完成項目。預期研究成果：在web網站構架上，使用html5以及相關服務器技術，搭建web框架，對數據的獲取，使用（公布）進行權限方面的設置。做出一個用戶友好的web網站。 數據庫方面，從數據的獨立性，數據的安全性

30、，數據完整性，并發控制，故障恢復等方面出發，構建一個安全，高質量的數據庫。數據加密則采用特定的加密算法，對數據的安全性進一步提高。最后搭建一個國家大學生創新創業訓練計劃網站，給客戶和各部門管理員提供一個安全，高效，實時的信息發布獲取平臺5 研究基礎和保證（已取得的相關研究成果、研究時間保證，資料設備等科研條件） 學生工作基礎：小組成員熟悉C+以及Java等編程開發語言，有扎實的軟件開發基礎； 小組成員自學過PS技術、JavaWeb技術以及3D技術，并有JSP編程經驗，在最近的軟創大賽開展中，認真學習了html5有關知識； 小組成員均有1年以上開發經驗，承擔過過多個實驗項目的開發，比如酒店管理系

31、統、基于圖片共享的社交網站、聊天軟件等，從而對軟件開發過程和整體架構有了深入了解，對文檔書寫和規范有了一定的了解； 小組成員熟悉工程化軟件開發方法，有很強的實際動手能力。已取得的相關研究成果：結合實際情況進行可行性論證，初步獲取了27個可能會用到的數據庫關系模式：project表（項目表），team（團隊）bulletin（公告）businessplan（商業計劃書）discipline（學科）document（公文）excellent_project（優秀項目）exp_pro_relation（專家-項目關系表）favourite_project（最受歡迎的項目）file_download（

32、文件下載）member（成員）menu（菜單）menu_itemmessageboard（留言板）news（新聞）panel（展板）patent（專利）project_type（項目類型）projectcode（項目代碼）provence（省份）role（角色）role_menu（角色菜單關系）teacher（指導教師）teacher_team（導師-團隊）thesis（論文）university（學校）expert（專家）users（用戶）在數據庫設計方面已經取得初步成果。 2）在參加全國軟件創新大賽期間，進行深入的市場調查，了解到當前部分類似網站存在問題。小組已經對用戶具體需求及軟件的市場前景有了深入的了解。2) 研究保證 研究時間保證：我們團隊小組已經開始了項目的一些有關前期開展的準備工作，并堅信通過小組成員的努力協作與堅持以及指導教師的細心指導，一定會在指定的時間期限內完成項目的后續開