在三层应用程序模型中,中间层(例如 WebSphere Application Server 或 Domino)负责运行客户机应用程序的用户身份验证和管理与数据库服务器的交互。
在三层应用程序模型中,中间层(例如 WebSphere Application Server 或 Domino)负责运行客户机应用程序的用户身份验证和管理与数据库服务器的交互。中间层的授权 ID 需要拥有与终端用户相关的所有权限,以便执行终端用户所需的任何操作。虽然三层应用程序模型有很多优点,但是,如果将与数据库服务器的所有交互(例如用户请求)都放在中间层,那么会引起下面提到的一些安全问题。
用户身份的丢失: 有些企业想知道访问数据库的所有用户的身份,以便进行访问控制。
用户可说明性(accountability)的减弱: 在数据库安全性中,通过审计说明责任是一项基本原则。对于中间层自身执行的事务与中间层代表某些用户执行的事务,数据库应该能够加以区分。
权限的过度授予: 中间层的授权 ID,应该拥有执行来自所有用户的所有请求所需的一切权限。但是,这会导致安全问题,即让一些不需要访问某些信息的用户得到这些信息的访问权。
安全性的减弱: 除了过度授予权限的问题外,当前的方法还要求,中间层使用的用于连接的授权 ID 必须被授予用户请求可能访问的所有资源上的权限。如果中间层授权 ID 被泄漏,那么所有那些资源都将被暴露。
图 1. 三层应用程序模型
显然,需要用一种机制来确保对于中间层代表用户执行的数据库请求,仅使用实际的用户身份和数据库权限。达到这一目标的最简单的方法是让中间层使用用户 ID 和密码建立一个新连接,然后由这个新连接重定向用户请求。这种方法虽然简单,但是存在一些缺陷。很多中间层服务器并没有建立一个连接所需的用户的身份验证凭证。为数据库服务器上的每个用户创建一个新的物理连接,显然会带来额外的性能开销。
为了确保对于中间层代表每个用户执行的任何数据库请求,都使用那个用户特定的数据库身份和数据库权限,需要一种更好的方法。为了提高性能,这种方法应允许中间层重用相同的物理连接,而不需要重新在数据库服务器上对用户进行身份验证。这就引出了受信任连接的思想。
使用受信任连接
为了建立一个受信任连接,必须在 DB2 上创建一个称作受信任上下文的新对象,以便在 DB2 与外部实体(例如一个中间件服务器)之间建立信任关系。受信任上下文 的定义包括要使用受信任上下文并被视作一个受信任的连接的特定连接所需满足的标准。
当尝试建立一个受信任连接时,需要评估一系列的信任属性,以决定一个特定的上下文是否是受信任的。当第一次创建到服务器的连接时,就建立了该连接与一个受信任上下文之间的关系,并且在该连接尚未断开期间该关系一直存在。当建立一个受信任连接时,通过允许中间层指定一个新的用户 ID,即可将该连接用于不同的授权 ID,而无需对该用户 ID 进行身份验证(见图 2)。
图 2. 包含受信任上下文的三层应用程序模型
定义一个受信任上下文
受信任上下文是根据系统授权 ID 和一组或多组连接信任属性定义的一种新对象。每个受信任上下文都用一个相关的系统授权 ID 和一组或多组连接信任属性标识,其中每组定义至少一个连接信任属性。
系统授权 ID: 首要的信任属性是用于连接的授权 ID。在用于建立一个连接的任何给定系统授权 ID 与一个特定的受信任上下文之间,总是有一个明显的映射。
连接信任属性: 一组连接信任属性定义一组特征,一个连接要凭借受信任上下文成为受信任连接,必须满足这组特征。只有为受信任上下文的一组属性定义的所有条件都得到满足,使用那组属性作为受信任上下文属性的连接才被视作受信任连接。
PROTOCOL: 通信协议信任属性。该属性控制有哪些网络通信协议可以使用受信任上下文。
ADDRESS: 网络地址信任属性。该属性与 PROTOCOL 属性一起用于控制受信任上下文可以与哪些地址一起使用。这是连接用来与数据库管理器进行通信的实际的客户机 IP 地址和域名。
ENCRYPTION: 网络加密信任属性。该属性为连接指定数据流的最小级别的加密(“networkencryption”)。
AUTHENTICATION: 身份验证信任属性。该属性指定在连接建立期间需要对系统授权 ID 进行的身份验证级别。
假设一个管理员希望当系统授权 ID 为 NEWTON,且 TCP/IP 地址属性为 9.26.146.201 时,任何连接都被视作受信任连接。那么,该管理员可以像下面这样定义受信任上下文:
例 1. 受信任上下文定义示例
CREATE TRUSTED CONTEXT ctxName1
BASED UPON CONNECTION USING SYSTEM AUTHID newton
ATTRIBUTES ( PROTOCOL 'TCPIP',
ADDRESS '9.26.146.201',
ENCRYPTION 'NONE' )
ENABLE
ALLOW USER zurbie |
如果从 IP 地址 9.26.146.201 使用 TCP/IP 协议和授权 ID NEWTON 建立一个连接,那么在这个连接的属性和前面定义的受信任上下文 ctxName1 之间存在匹配,而加密则被忽略。
管理员还可以通过使用 ALTER TRUSTED CONTEXT 和 DROP TRUSTED CONTEXT 语句修改和删除受信任上下文对象。
CLI 应用程序中的受信任连接
可以通过以下两种途径为另一个用户建立和切换受信任上下文:
用于 CLI 应用程序的 SQLConnect API
用于 CLI 应用程序的 SQLSetConnectAttr 和 SQLGetConnectAttr API
下面将介绍 CLI 应用程序中用于 SQLSetConnectAttr API 的新的连接属性:
SQL_ATTR_USE_TRUSTED_CONTEXT: 表明客户机是否请求一个受信任连接的值。这个值只能在建立连接之前或断开连接之后指定。
SQL_ATTR_TRUSTED_CONTEXT_USERID: 一个字符串,表明当前受信任连接上使用的用户 ID。
SQL_ATTR_TRUSTED_CONTEXT_PASSWord: 一个字符串,表明应用程序可能为身份验证而设置的密码。除非设置了 SQL_ATTR_TRUSTED_CONTEXT_USERID 属性,否则该属性无效。
下面的例子展示如何在一个 CLI 应用程序中,为用户 ID “newton” 建立到 testdb 数据库的受信任连接。在建立受信任连接之前,应用程序必须使用 SQLSetConnectAttr API 设置 SQL_ATTR_USE_TRUSTED_CONTEXT 属性。在建立受信任连接之后,应用程序将用户切换到受信任上下文中定义的允许的用户。在这个例子中,应用程序通过设置属性 SQL_ATTR_TRUSTED_CONTEXT_USERID,将连接切换到用户 ID “zurbie”。
例 2. 在 CLI 程序中使用受信任连接
int main(int argc, char *argv[])
{
int rc = 0;
SQLHANDLE henv; /* environment handle */
SQLHANDLE hdbc; /* connection handle */
printf("\nTHIS SAMPLE SHOWS");
printf("HOW TO CONNECT TO AND DISCONNECT FROM A DATABASE.\n");
/* allocate an environment handle */
SQLAllocHandle(SQL_HANDLE_ENV, SQL_NULL_HANDLE, &henv);
/* allocate a database connection handle */
SQLAllocHandle(SQL_HANDLE_DBC, henv, &hdbc1);
/* set attribute to enable a trusted connection */
SQLSetConnectAttr(hdbc1,
SQL_ATTR_USE_TRUSTED_CONTEXT,
SQL_TRUE,
SQL_IS_INTEGER);
/* Establish a trusted connect to a testdb with SQLConnect() */
/* as user newtown */
SQLConnect( hdbc1, "testdb", SQL_NTS, "newton", SQL_NTS, "xxxxx", SQL_NTS );
// Perform some work like creating objects, inserting data etc.
// All the work is performed as user newton
/* Switch the user from newton to zurbie on a trusted connection */
SQLSetConnectAttr( hdbc1,
SQL_ATTR_TRUSTED_CONTEXT_USERID,
"zurbie",
SQL_IS_POINTER );
SQLSetConnectAttr( hdbc1,
SQL_ATTR_TRUSTED_CONTEXT_PASSWORD,
"xxxxx",
SQL_NTS );
/* Perform new work using userid zurbie */
/* Disconnect from testdb */
SQLDisconnect( hdbc1 );
SQLFreeHandle( SQL_HANDLE_DBC, hdbc1 );
/* free the environment handle */
SQLFreeHandle( SQL_HANDLE_ENV, henv );
return 0;
} /* main */ |
XA 应用程序中的受信任连接
应用程序可以在分布式事务中使用受信任连接。XA 分布式事务处理为每个进程启动一个应用服务器。在每个应用服务器进程中,可以使用 XA API(xa_open)建立连接。本节描述环境的配置和在含受信任上下文的环境下运行 DB2 CLI 应用程序的一些考虑事项。
通过以下方法,可以为另一个用户建立和切换受信任连接:
将 xa_open 字符串中的 TCTX 参数设置为 true 或 false,以表明客户机是否在受信任上下文模式中运行。
然后,应用程序必须调用 SQLConnect() 将 Transaction Manager(TM)打开的连接与 CLI/Open Database Connectivity(ODBC)连接句柄相关联。应用程序可以在 SQLConnect 字符串中指定用户 ID 和密码。
随后,应用程序可以调用 xa_start 将一个事务 ID(XID)传递给 Resource Manager(RM),将调用者线程与一个事务分支相关联。
为了切换一个受信任连接上的用户,应用程序必须首先调用 xa_end (TM_SUCCESS),并通过调用 SQLSetConnectAttr 指定新的用户 ID 和可选的密码。
这个例子展示如何在 XA 应用程序环境中启用一个受信任上下文和切换用户 ID。为了建立与数据库服务器的受信任连接,应用程序必须以 TCTX=TRUE 设置调用 xa_open。在使用 SQLConnect 字符串建立一个受信任连接之后,应用程序可以调用 SQLSetConnectAttr,并将 SQL_ATTR_TRUSTED_CONTEXT_USERID 设置为 newton 来切换用户 ID。一旦应用程序调用 xa_start 开始事务,接下来的工作就是在受信任用户 ID newton 之下进行的。当执行了 xa_close 之后,底层的受信任连接不复存在。如果 CLI 句柄仍然存在,它也不再被标记为受信任连接,因为当创建连接时,XA 在 xa_open 期间执行受信任上下文设置。xa_close 断开受信任上下文,CLI 建立的任何未使用 XA 的新连接都不受信任。
例 3. 在 XA 应用程序中使用受信任连接
#---------------------------------------------------------------------------
#-- db2cli example
#-- Test XA with Trusted Context on the connection
#---------------------------------------------------------------------------
#-- Allocate the environment handle
sqlallocenv 1
#-- Set the Trusted Context bit, System Authid and PassWord
xaopen 10 "DB=stlec1,sreg=t,SPM=domino,TCTX=TRUE,uid=zurbie,PWD=xxxxxxxx" TMNOFLAGS
#-- Allocate the connection handle
sqlallocconnect 1 1
sqlconnect 1 stlec1 -3 zurbie -3 xxxxxxxx -3
#-- switch the userid to newton & set the password
sqlsetconnectattr 1 SQL_ATTR_TRUSTED_CONTEXT_USERID newton
sqlsetconnectattr 1 SQL_ATTR_TRUSTED_CONTEXT_PASSWORD yyyyy
#-- Start a transaction
#-- This will switch the user to newton
xastart 10 99 gtrid bqual TMNOFLAGS
sqlgetconnectattr 1 SQL_ATTR_USE_TRUSTED_CONTEXT
#-- Allocate the statement handle and do some work
sqlallocstmt 1 1
sqlexecdirect 1 "create table temp (int1 int)" -3
sqlexecdirect 1 "insert into temp values ( -99 )" -3
sqlexecdirect 1 "select * from temp" -3
fetchall 1
sqlclosecursor 1
sqlexecdirect 1 "delete from temp where int1 < 0" -3
sqlfreestmt 1 SQL_DROP
#-- Commit the transaction using 2PC
xaend 10 99 gtrid bqual TMSUCCESS
xaprepare 10 99 gtrid bqual TMNOFLAGS
xacommit 10 99 gtrid bqual TMNOFLAGS
#-- Disconnect and free the connection handle
sqldisconnect 1
sqlfreeconnect 1
xaclose 10 TMNOFLAGS
#-- Free the environment handle
sqlfreeenv 1 |
JDBC 应用程序中的受信任连接
IBM DB2 Driver for JDBC 和 SQLJ 提供了允许在 Java 程序中建立和使用受信任连接的方法。为了避免对安全漏洞的攻击,使用这些受信任方法的应用服务器不应该使用不受信任的连接方法。
DB2ConnectionPoolDataSource 类提供了几种版本的 getDB2TrustedPooledConnection 方法,DB2XADataSource 类提供了几种版本的 getDB2XAConnection 方法,这些方法使应用服务器可以建立初始受信任连接。可以根据传递的连接属性的类型以及是否使用 Kerberos 安全性,选择其中一个方法。当应用服务器调用其中一个方法时,IBM DB2 Driver for JDBC 和 SQLJ 返回一个包含两个元素的 Object[] 数组:
第一个元素包含初始连接的一个连接实例。
第二个元素包含连接实例的一个惟一的 cookie。这个 cookie 是由 JDBC 驱动程序生成的,用于随后的连接重用的身份验证。
DB2PooledConnection 类提供了几种版本的 getDB2Connection 方法,DB2Connection 类提供了几种版本的 reuseDB2Connection 方法,这些方法使应用服务器可以以新用户的身份重用已有的受信任连接。应用服务器使用该方法将以下项目传递给新用户:
来自初始连接的 cookie。
被重用连接的新的连接属性。
JDBC 驱动程序检查提供的 cookie 是否与底层受信任物理连接相匹配,以确保连接请求是由建立受信任的物理连接的应用服务器发起的。如果 cookie 匹配,则这个新用户可以直接用新的连接属性使用该连接。
例 4. 在 JDBC 应用程序中使用受信任连接
#---------------------------------------------------------------------------
#-- JDBC example
#-- Test a Trusted Context on the connection
#---------------------------------------------------------------------------
/* The first item that was obtained from the previous */
getTrustedPooledConnection
/* Call is a connection object. Cast it to a PooledConnection object. */
javax.sql.PooledConnection pooledCon = (javax.sql.PooledConnection)objects[0];
properties = new java.util.Properties();
// Set new properties for the reused object using
// properties.put("property", "value");
// The second item that was obtained from the previous
getTrustedPooledConnection
/* call is the cookie for the connection. Cast it as a byte array. */
byte[] cookie = ((byte[])(objects[1]);
/* Supply the user ID for the new connection. */
String newuser = "newuser";
// Supply the name of a mapping service that maps a workstation user
// ID to a z/OS RACF ID
String userReGIStry = "registry";
/* Do not supply any security token data to be traced. */
byte[] userSecTkn = null;
/* Do not supply a previous user ID. */
String originalUser = null;
// Call getDB2Connection to get the connection object for the new
// user.
java.sql.Connection con = ((com.ibm.db2.jcc.DB2PooledConnection)pooledCon).
getDB2Connection(cookie,newuser,password,userRegistry,userSecTkn,originalUser,properties); |
结束语
在电子商务领域,很多应用程序依赖于 Domino 和 WebSphere Application Server 之类的中间件服务器提供的安全性,而受信任上下文是为那些应用程序提供安全环境,同时又不必过多降低性能的理想方法。可以通过调优受信任上下文的安全属性,确保对数据库服务器的无懈可击的访问。而且,由于可以以很少的连接资源切换用户,而不需要身份验证,受信任上下文是商业应用程序的理想选择。