便攜數(shù)據(jù)庫管理系統(tǒng)的網絡連接與安全

摘要：介紹掌上電腦無線網絡配置，涉及PocketDBA應用程序的組成、Web裁剪技術、通信協(xié)議、無線網絡連接的相關設備及其功能；PocketDBAw使用時安全設置，包括數(shù)據(jù)的機密性、完整性，對用戶訪問驗證和許可、本地網絡安全與防火墻設置。

    關鍵詞：掌上電腦 無線網絡 PocketDBA Web裁剪技術 加密 數(shù)據(jù)完整性 防火墻

引言

計算技術和無線通信技術的發(fā)展與結合使得一種全新的計算模式——移動計算機模式成為現(xiàn)實。Internet為信息傳遞、數(shù)據(jù)交互提供了一種無處不在的便捷方法。移動計算（mobile computing）是使人們能夠在任何時間和任何地點獲得所需信息的技術和設備的總稱。未來的網絡將是一無線、有線與Internet三者合一的數(shù)字化地球，它將超越一切地理的障礙，使得信息無處不在，這必將為移動計算提供更廣闊的空間。在移動計算環(huán)境下，用戶使用便攜式計算機通過無線通信接口實現(xiàn)對信息網絡的訪問，而不受實際物理位置變化的影響。人們不再滿足于傳統(tǒng)的局限在有限空間里的信息存取方式，而希望將活動的地點延伸到廣闊的地理區(qū)域，如家庭、野外、海域和島嶼。人們也不再滿足于固定的信息存取模式，而希望隨時隨地查詢數(shù)據(jù)，甚至在移動的過程中處理數(shù)據(jù)，如在旅途中處理日常辦公事務，在購物時隨時查詢商品行情等。

便攜數(shù)據(jù)庫管理系統(tǒng)（即PocketDBA）是第一個可以實現(xiàn)無線連接數(shù)據(jù)庫管理的工具。通過一個無線連接的掌上電腦，可以實現(xiàn)對Oracle數(shù)據(jù)庫的訪問和管理。該工具不僅僅提供一個信息狀態(tài)的快照，而且提供大部分直接對數(shù)據(jù)庫服務器進行操作的功能，讓用戶進入數(shù)據(jù)庫招待幾乎所有的任務；加上集成了友好的用戶界面和方便易用的圖表，幾乎是每一個數(shù)據(jù)據(jù)庫管理都需要的一種無線解決方案。

1 PocketDBA應用程序的組成

PocketDBA包括2個主要部分：①PocketDBA客房軟件。該軟件運行在一個無線連接的掌上電腦上，可以跟PocketDBA服務器進行通信并且將處理的結果顯示給用戶。②PocketDBA服務器軟件（PSS）。該服務器應用程序運行在本地環(huán)境，跟本地數(shù)據(jù)庫通信。接收來自PocketDBA客房軟件的請求，并進行處理，然后將結果返回。這個軟件是用Java語言寫的，因此可以在不同操作系統(tǒng)平臺上使用。

2 掌上電腦的無線網絡連接

掌上電腦的無線網絡連接實現(xiàn)PocketDBA客房和服務器之間的通信。大多數(shù)掌上操作系統(tǒng)設備都使用一種叫Web裁剪的技術進行數(shù)據(jù)的傳輸、接收和格式化顯示。Web裁剪程序非常類似臺式機上的網絡瀏覽器。

圖1概要地說明了如何用Web裁剪實現(xiàn)掌上電腦操作系統(tǒng)與一個裝有無線服務程序的服務器進行無線通信。

    （1）無線掌上設備

掌上電腦裝有類似臺式機瀏覽器的網絡剪切客戶軟件，配有無線廣域網（WWAN）硬件。該硬件可以是一個內置或外置調制解調器，也可以是一條連接到數(shù)字蜂窩電話的補充電纜。通信過程的第1步是通過掌上電腦上的天線將通信請求傳送到運營商的無線基站。

（2）運營商無線基站

基站類似廣播發(fā)射塔分布在世界各個地方?；镜乃袡鄬儆谶\營商并由運營商操作維護。基站接收無線傳輸數(shù)據(jù)流，并將數(shù)據(jù)傳給一個無線代理服務器。由于每個基站覆蓋范圍有限，因此，基站的數(shù)目和位置決定了運營的業(yè)務覆蓋區(qū)域。

（3）無線代理服務器

無線代理服務器是負責將無線請求轉變成Internet請求。無線代理服務器一般都放在無線服務供應商的數(shù)據(jù)處理中心。當手持設備傳送數(shù)據(jù)時，無線代理服務器從基站接收信息，并轉換成可在Internet上傳輸?shù)臄?shù)據(jù)流，連接一個無線應用程序服務器來處理請求。

（4）無線應用程序就服務器

無線應用程序服務器接收無線代理服務器送來的請求并進行處理。在很多方面，無線應用程序服務器都類似一個網絡服務器，除了它的格式輸出更適合在掌上電腦上顯示。PocketDBA服務器軟件屬于無線程序服務器的一種，常常被安裝在公司的內部網絡中，能夠很容易地跟需要監(jiān)控的數(shù)據(jù)庫通信。

（5）無線網絡連接舉例

以下例子中簡化了掌上電腦與Internet之間的連接，細節(jié)請參閱圖1。

①單服務器網絡連接，如圖2所示。

這種網絡配置結構適合用戶在運行Oracle數(shù)據(jù)庫的機器上直接安裝運行PocketDBA服務器軟件。這種配置在主要限制是PSS軟件需要的操作系統(tǒng)是WindowsNT、Windows 2000、Solaris或Red Hat Linux。圖2中掌上電腦用HTTPS協(xié)議通過Internet將通信請求送到防火墻。身份驗證通過后，防火墻允許請求并送到PSS。PSS通過JDBC接口與TNS監(jiān)聽器聯(lián)系，TNS監(jiān)聽器與數(shù)據(jù)庫通信。

②多服務器網絡連接，如圖3所示。

當用戶同時運行多個數(shù)據(jù)庫服務器時，可以采用圖3配置。PSS軟件安裝在裝有WindowsNT、Windows 2000、Solaris、Red Hat Linux的機器上。對于圖3最右邊的數(shù)據(jù)庫服務器，只要支持Oracle數(shù)據(jù)庫，服務器操作系統(tǒng)類型沒有限制。圖3中掌上電腦用HTTPS協(xié)議通過Internet將通信請求送到防火墻。身份驗證通過后，防火墻允許請求并送到PSS。PSS通過JDBC接口與適當主機上的TNS監(jiān)聽器聯(lián)第，TNS監(jiān)聽器與數(shù)據(jù)庫通信。

③使用代理服務器的網絡連接，如圖4所示。

這種網絡配置結構適合已經有了一個代理服務器，并且代理服務器上設置了身份驗證了用戶使用，此時PSS服務器上不需再設置身份驗證。圖4中掌上電腦用HTTPS協(xié)議通過Internet將通信請求送到防火墻。防火墻將請求送至代理服務器，經代理服務器驗證通過后，通信請求將被送到PSS服務器。PSS通過JDBC接口與適當主機上的TNS監(jiān)聽器聯(lián)第，TNS監(jiān)聽器與數(shù)據(jù)庫通信。

3 PocketDBA安全設置

PocketDBA程序設計的目的是允許管理數(shù)據(jù)庫。由于數(shù)據(jù)庫經常包含敏感的信息，所以安全是最重要的。為了最大限度地減少來自網絡上任何系統(tǒng)的安全威脅，需要采取一定的安全策略。

（1）機密性

加密用于PocketDBA應用程序在傳輸和接收數(shù)據(jù)時，防止數(shù)據(jù)被竊聽。

在不同設備上采用的加密方法如下：

①無線掌上設備。數(shù)據(jù)的加密用了數(shù)據(jù)加密標準擴展規(guī)則（DESX）。

②無線基站到代理服務器。從基站到代理服務器的通信時，數(shù)據(jù)流加密用了1個128位強RSA加密規(guī)則，并用SSL協(xié)議進行傳輸。

③代理服務器到PocketDBA服務器。代理服務器經過Internet與PocketDBA服務器進行通信時，有安全和非安全2種模式。

安全模式——傳輸?shù)臄?shù)據(jù)流用了SSL和公司的身份驗證進行加密，并用HTTPS協(xié)議發(fā)送。

非安全模式——傳輸?shù)臄?shù)據(jù)流不經過加密，并用HTTP協(xié)議傳輸。這種方法不可取，因為在傳輸過程中用戶名、口令以及所有數(shù)據(jù)都可能被看到。

（2）數(shù)據(jù)完整性

數(shù)據(jù)完整性是防止傳輸過程中數(shù)據(jù)發(fā)生修改，無線傳輸數(shù)據(jù)流用以下方法來防止受到攻擊：

①信息完整性檢查（MIC）；

②密碼鏈；

③時間/日期戳；

④信息序列號；

⑤服務器ID域。

（3）認證與許可

認證與許可保證只有合法用戶才能訪問應用程序。擁有數(shù)據(jù)庫的登錄名和口令的用戶可以訪問PocketDBA程序。數(shù)據(jù)庫中存在設定訪問允許的機制，因此用戶被限制在經過授權的范圍內進行操作。

另外，用戶可以靈活設置的超時時限來定期地消除非激活狀態(tài)的會話，這樣一來就大大降低了被盜的手持設備用來進入系統(tǒng)的可能性。

    （4）本地網絡安全和防火墻配置

為了讓PocketDBA應用程序接收到來自掌上電腦的通信請求，PocketDBA服務器必須有1個可以通過Internet進行訪問的完整有效的域名（一個靜態(tài)IP地址），并且能夠跟所有需要管理的數(shù)據(jù)庫進行通信。

PocketDBA推薦使用防火墻來保護本地網絡給免受外來攻擊。通常情況下，防火墻可以拒絕與特定主機（計算機或網絡）所提供的特定服務（如HTTP、HTTPS、FTP等）的連接請求。用在PocketDBA上，防火墻需要加入允許從一個有著嚴格限制的區(qū)域來的數(shù)據(jù)流能夠進入。一條嚴格規(guī)則有時比喻成防火墻上的一個“針孔”。PocketDBA的針孔定義如下：

①服務——僅僅來自HTTPS協(xié)議；

②主機——僅僅來自無線Palm OS設備。