在三層應(yīng)用程序模型中，中間層（例如 WebSphere Application Server 或 Domino）負(fù)責(zé)運(yùn)行客戶(hù)機(jī)應(yīng)用程序的用戶(hù)身份驗(yàn)證和治理與數(shù)據(jù)庫(kù)服務(wù)器的交互。中間層的授權(quán) ID 需要擁有與終端用戶(hù)相關(guān)的所有權(quán)限，以便執(zhí)行終端用戶(hù)所需的任何操作。雖然三層應(yīng)用程序模型有很多優(yōu)點(diǎn)，但是，假如將與數(shù)據(jù)庫(kù)服務(wù)器的所有交互（例如用戶(hù)請(qǐng)求）都放在中間層，那么會(huì)引起下面提到的一些安全問(wèn)題。用戶(hù)身份的丟失： 有些企業(yè)想知道訪問(wèn)數(shù)據(jù)庫(kù)的所有用戶(hù)的身份，以便進(jìn)行訪問(wèn)控制。用戶(hù)可說(shuō)明性（accountability）的減弱： 在數(shù)據(jù)庫(kù)安全性中，通過(guò)審計(jì)說(shuō)明責(zé)任是一項(xiàng)基本原則。對(duì)于中間層自身執(zhí)行的事務(wù)與中間層代表某些用戶(hù)執(zhí)行的事務(wù)，數(shù)據(jù)庫(kù)應(yīng)該能夠加以區(qū)分。權(quán)限的過(guò)度授予： 中間層的授權(quán) ID，應(yīng)該擁有執(zhí)行來(lái)自所有用戶(hù)的所有請(qǐng)求所需的一切權(quán)限。但是，這會(huì)導(dǎo)致安全問(wèn)題，即讓一些不需要訪問(wèn)某些信息的用戶(hù)得到這些信息的訪問(wèn)權(quán)。安全性的減弱： 除了過(guò)度授予權(quán)限的問(wèn)題外，當(dāng)前的方法還要求，中間層使用的用于連接的授權(quán) ID 必須被授予用戶(hù)請(qǐng)求可能訪問(wèn)的所有資源上的權(quán)限。假如中間層授權(quán) ID 被泄漏，那么所有那些資源都將被暴露。圖 1. 三層應(yīng)用程序模型顯然，需要用一種機(jī)制來(lái)確保對(duì)于中間層代表用戶(hù)執(zhí)行的數(shù)據(jù)庫(kù)請(qǐng)求，僅使用實(shí)際的用戶(hù)身份和數(shù)據(jù)庫(kù)權(quán)限。達(dá)到這一目標(biāo)的最簡(jiǎn)單的方法是讓中間層使用用戶(hù) ID 和密碼建立一個(gè)新連接，然后由這個(gè)新連接重定向用戶(hù)請(qǐng)求。這種方法雖然簡(jiǎn)單，但是存在一些缺陷。很多中間層服務(wù)器并沒(méi)有建立一個(gè)連接所需的用戶(hù)的身份驗(yàn)證憑證。為數(shù)據(jù)庫(kù)服務(wù)器上的每個(gè)用戶(hù)創(chuàng)建一個(gè)新的物理連接，顯然會(huì)帶來(lái)額外的性能開(kāi)銷(xiāo)。 1234567下一頁(yè) 為了確保對(duì)于中間層代表每個(gè)用戶(hù)執(zhí)行的任何數(shù)據(jù)庫(kù)請(qǐng)求，都使用那個(gè)用戶(hù)特定的數(shù)據(jù)庫(kù)身份和數(shù)據(jù)庫(kù)權(quán)限，需要一種更好的方法。為了提高性能，這種方法應(yīng)答應(yīng)中間層重用相同的物理連接，而不需要重新在數(shù)據(jù)庫(kù)服務(wù)器上對(duì)用戶(hù)進(jìn)行身份驗(yàn)證。這就引出了受信任連接的思想。使用受信任連接為了建立一個(gè)受信任連接，必須在 DB2 上創(chuàng)建一個(gè)稱(chēng)作受信任上下文的新對(duì)象，以便在 DB2 與外部實(shí)體（例如一個(gè)中間件服務(wù)器）之間建立信任關(guān)系。受信任上下文 的定義包括要使用受信任上下文并被視作一個(gè)受信任的連接的特定連接所需滿足的標(biāo)準(zhǔn)。當(dāng)嘗試建立一個(gè)受信任連接時(shí)，需要評(píng)估一系列的信任屬性，以決定一個(gè)特定的上下文是否是受信任的。當(dāng)?shù)谝淮蝿?chuàng)建到服務(wù)器的連接時(shí)，就建立了該連接與一個(gè)受信任上下文之間的關(guān)系，并且在該連接尚未斷開(kāi)期間該關(guān)系一直存在。當(dāng)建立一個(gè)受信任連接時(shí)，通過(guò)答應(yīng)中間層指定一個(gè)新的用戶(hù) ID，即可將該連接用于不同的授權(quán) ID，而無(wú)需對(duì)該用戶(hù) ID 進(jìn)行身份驗(yàn)證（見(jiàn)圖 2）。圖 2. 包含受信任上下文的三層應(yīng)用程序模型定義一個(gè)受信任上下文受信任上下文是根據(jù)系統(tǒng)授權(quán) ID 和一組或多組連接信任屬性定義的一種新對(duì)象。每個(gè)受信任上下文都用一個(gè)相關(guān)的系統(tǒng)授權(quán) ID 和一組或多組連接信任屬性標(biāo)識(shí)，其中每組定義至少一個(gè)連接信任屬性。系統(tǒng)授權(quán) ID： 首要的信任屬性是用于連接的授權(quán) ID。在用于建立一個(gè)連接的任何給定系統(tǒng)授權(quán) ID 與一個(gè)特定的受信任上下文之間，總是有一個(gè)明顯的映射。連接信任屬性： 一組連接信任屬性定義一組特征，一個(gè)連接要憑借受信任上下文成為受信任連接，必須滿足這組特征。只有為受信任上下文的一組屬性定義的所有條件都得到滿足，使用那組屬性作為受信任上下文屬性的連接才被視作受信任連接。 上一頁(yè)1234567下一頁(yè) PROTOCOL： 通信協(xié)議信任屬性。該屬性控制有哪些網(wǎng)絡(luò)通信協(xié)議可以使用受信任上下文。ADDRESS： 網(wǎng)絡(luò)地址信任屬性。該屬性與 PROTOCOL 屬性一起用于控制受信任上下文可以與哪些地址一起使用。這是連接用來(lái)與數(shù)據(jù)庫(kù)治理器進(jìn)行通信的實(shí)際的客戶(hù)機(jī) IP 地址和域名。ENCRYPTION： 網(wǎng)絡(luò)加密信任屬性。該屬性為連接指定數(shù)據(jù)流的最小級(jí)別的加密（“networkencryption）。AUTHENTICATION: 身份驗(yàn)證信任屬性。該屬性指定在連接建立期間需要對(duì)系統(tǒng)授權(quán) ID 進(jìn)行的身份驗(yàn)證級(jí)別。假設(shè)一個(gè)治理員希望當(dāng)系統(tǒng)授權(quán) ID 為 NEWTON，且 TCP/IP 地址屬性為 9.26.146.201 時(shí)，任何連接都被視作受信任連接。那么，該治理員可以像下面這樣定義受信任上下文：例 1. 受信任上下文定義示例CREATE TRUSTED CONTEXT ctxName1BASED UPON CONNECTION USING SYSTEM AUTHID newtonATTRIBUTES ( PROTOCOL 'TCPIP', ADDRESS '9.26.146.201', ENCRYPTION 'NONE' )ENABLEALLOW USER zurbie假如從 IP 地址 9.26.146.201 使用 TCP/IP 協(xié)議和授權(quán) ID NEWTON 建立一個(gè)連接，那么在這個(gè)連接的屬性和前面定義的受信任上下文 ctxName1 之間存在匹配，而加密則被忽略。治理員還可以通過(guò)使用 ALTER TRUSTED CONTEXT 和 DROP TRUSTED CONTEXT 語(yǔ)句修改和刪除受信任上下文對(duì)象。CLI 應(yīng)用程序中的受信任連接可以通過(guò)以下兩種途徑為另一個(gè)用戶(hù)建立和切換受信任上下文：用于 CLI 應(yīng)用程序的 SQLConnect API用于 CLI 應(yīng)用程序的 SQLSetConnectAttr 和 SQLGetConnectAttr API 上一頁(yè)1234567下一頁(yè) 下面將介紹 CLI 應(yīng)用程序中用于 SQLSetConnectAttr API 的新的連接屬性：SQL_ATTR_USE_TRUSTED_CONTEXT： 表明客戶(hù)機(jī)是否請(qǐng)求一個(gè)受信任連接的值。這個(gè)值只能在建立連接之前或斷開(kāi)連接之后指定。SQL_ATTR_TRUSTED_CONTEXT_USERID： 一個(gè)字符串，表明當(dāng)前受信任連接上使用的用戶(hù) ID。SQL_ATTR_TRUSTED_CONTEXT_PASSWORD： 一個(gè)字符串，表明應(yīng)用程序可能為身份驗(yàn)證而設(shè)置的密碼。除非設(shè)置了 SQL_ATTR_TRUSTED_CONTEXT_USERID 屬性，否則該屬性無(wú)效。下面的例子展示如何在一個(gè) CLI 應(yīng)用程序中，為用戶(hù) ID “newton 建立到 testdb 數(shù)據(jù)庫(kù)的受信任連接。在建立受信任連接之前，應(yīng)用程序必須使用 SQLSetConnectAttr API 設(shè)置 SQL_ATTR_USE_TRUSTED_CONTEXT 屬性。在建立受信任連接之后，應(yīng)用程序?qū)⒂脩?hù)切換到受信任上下文中定義的答應(yīng)的用戶(hù)。在這個(gè)例子中，應(yīng)用程序通過(guò)設(shè)置屬性 SQL_ATTR_TRUSTED_CONTEXT_USERID，將連接切換到用戶(hù) ID “zurbie。例 2. 在 CLI 程序中使用受信任連接int main(int argc, char *argv[]){　int rc = 0;　SQLHANDLE henv; /* environment handle */　SQLHANDLE hdbc; /* connection handle */　printf("THIS SAMPLE SHOWS");　printf("HOW TO CONNECT TO AND DISCONNECT FROM A DATABASE.");　/* allocate an environment handle */　SQLAllocHandle(SQL_HANDLE_ENV, SQL_NULL_HANDLE, &henv);　/* allocate a database connection handle */　SQLAllocHandle(SQL_HANDLE_DBC, henv, &hdbc1);　/* set attribute to enable a trusted connection */　SQLSetConnectAttr(hdbc1,SQL_ATTR_USE_TRUSTED_CONTEXT,SQL_TRUE,SQL_IS_INTEGER);　　/* Establish a trusted connect to a testdb with SQLConnect() */　/* as user newtown　 */　SQLConnect( hdbc1, "testdb", SQL_NTS, "newton", SQL_NTS, "xxxxx", SQL_NTS );　　// Perform some work like creating objects, inserting data etc.　// All the work is performed as user newton　/* Switch the user from newton to zurbie on a trusted connection */　SQLSetConnectAttr( hdbc1,　 SQL_ATTR_TRUSTED_CONTEXT_USERID,　 "zurbie", SQL_IS_POINTER );　SQLSetConnectAttr( hdbc1,　 SQL_ATTR_TRUSTED_CONTEXT_PASSWORD,　 "xxxxx",　 SQL_NTS );　/* Perform new work using userid zurbie */　/* Disconnect from testdb */　SQLDisconnect( hdbc1 );　SQLFreeHandle( SQL_HANDLE_DBC, hdbc1 );　/* free the environment handle */　SQLFreeHandle( SQL_HANDLE_ENV, henv );　return 0;} /* main */ 上一頁(yè)1234567下一頁(yè) XA 應(yīng)用程序中的受信任連接應(yīng)用程序可以在分布式事務(wù)中使用受信任連接。XA 分布式事務(wù)處理為每個(gè)進(jìn)程啟動(dòng)一個(gè)應(yīng)用服務(wù)器。在每個(gè)應(yīng)用服務(wù)器進(jìn)程中，可以使用 XA API（xa_open）建立連接。本節(jié)描述環(huán)境的配置和在含受信任上下文的環(huán)境下運(yùn)行 DB2 CLI 應(yīng)用程序的一些考慮事項(xiàng)。通過(guò)以下方法，可以為另一個(gè)用戶(hù)建立和切換受信任連接：將 xa_open 字符串中的 TCTX 參數(shù)設(shè)置為 true 或 false，以表明客戶(hù)機(jī)是否在受信任上下文模式中運(yùn)行。然后，應(yīng)用程序必須調(diào)用 SQLConnect() 將 Transaction Manager（TM）打開(kāi)的連接與 CLI/Open Database Connectivity（ODBC）連接句柄相關(guān)聯(lián)。應(yīng)用程序可以在 SQLConnect 字符串中指定用戶(hù) ID 和密碼。隨后，應(yīng)用程序可以調(diào)用 xa_start 將一個(gè)事務(wù) ID（XID）傳遞給 Resource Manager（RM），將調(diào)用者線程與一個(gè)事務(wù)分支相關(guān)聯(lián)。為了切換一個(gè)受信任連接上的用戶(hù)，應(yīng)用程序必須首先調(diào)用 xa_end (TM_SUCCESS)，并通過(guò)調(diào)用 SQLSetConnectAttr 指定新的用戶(hù) ID 和可選的密碼。這個(gè)例子展示如何在 XA 應(yīng)用程序環(huán)境中啟用一個(gè)受信任上下文和切換用戶(hù) ID。為了建立與數(shù)據(jù)庫(kù)服務(wù)器的受信任連接，應(yīng)用程序必須以 TCTX=TRUE 設(shè)置調(diào)用 xa_open。在使用 SQLConnect 字符串建立一個(gè)受信任連接之后，應(yīng)用程序可以調(diào)用 SQLSetConnectAttr，并將 SQL_ATTR_TRUSTED_CONTEXT_USERID 設(shè)置為 newton 來(lái)切換用戶(hù) ID。一旦應(yīng)用程序調(diào)用 xa_start 開(kāi)始事務(wù)，接下來(lái)的工作就是在受信任用戶(hù) ID newton 之下進(jìn)行的。當(dāng)執(zhí)行了 xa_close 之后，底層的受信任連接不復(fù)存在。假如 CLI 句柄仍然存在，它也不再被標(biāo)記為受信任連接，因?yàn)楫?dāng)創(chuàng)建連接時(shí)，XA 在 xa_open 期間執(zhí)行受信任上下文設(shè)置。xa_close 斷開(kāi)受信任上下文，CLI 建立的任何未使用 XA 的新連接都不受信任。 上一頁(yè)1234567下一頁(yè) 例 3. 在 XA 應(yīng)用程序中使用受信任連接#---------------------------------------------------------------------------#-- db2cli example#-- Test XA with Trusted Context on the connection#---------------------------------------------------------------------------#-- Allocate the environment handlesqlallocenv 1#-- Set the Trusted Context bit, System Authid and Passwordxaopen 10 "DB=stlec1,sreg=t,SPM=domino,TCTX=TRUE,uid=zurbie,PWD=xxxxxxxx" TMNOFLAGS#-- Allocate the connection handlesqlallocconnect 1 1sqlconnect 1 stlec1 -3 zurbie -3 xxxxxxxx -3#-- switch the userid to newton & set the passwordsqlsetconnectattr 1 SQL_ATTR_TRUSTED_CONTEXT_USERID newtonsqlsetconnectattr 1 SQL_ATTR_TRUSTED_CONTEXT_PASSWORD yyyyy#-- Start a transaction#-- This will switch the user to newtonxastart 10 99 gtrid bqual TMNOFLAGSsqlgetconnectattr 1 SQL_ATTR_USE_TRUSTED_CONTEXT#-- Allocate the statement handle and do some worksqlallocstmt 1 1sqlexecdirect 1 "create table temp (int1 int)" -3sqlexecdirect 1 "insert into temp values ( -99 )" -3sqlexecdirect 1 "select * from temp" -3fetchall 1sqlclosecursor 1sqlexecdirect 1 "delete from temp where int1 < 0" -3sqlfreestmt 1 SQL_DROP#-- Commit the transaction using 2PCxaend 10 99 gtrid bqual TMSUCCESSxaprepare 10 99 gtrid bqual TMNOFLAGSxacommit 10 99 gtrid bqual TMNOFLAGS#-- Disconnect and free the connection handlesqldisconnect 1sqlfreeconnect 1xaclose 10 TMNOFLAGS#-- Free the environment handlesqlfreeenv 1 上一頁(yè)1234567下一頁(yè) JDBC 應(yīng)用程序中的受信任連接IBM DB2 Driver for JDBC 和 SQLJ 提供了答應(yīng)在 Java 程序中建立和使用受信任連接的方法。為了避免對(duì)安全漏洞的攻擊，使用這些受信任方法的應(yīng)用服務(wù)器不應(yīng)該使用不受信任的連接方法。DB2ConnectionPoolDataSource 類(lèi)提供了幾種版本的 getDB2TrustedPooledConnection 方法，DB2XADataSource 類(lèi)提供了幾種版本的 getDB2XAConnection 方法，這些方法使應(yīng)用服務(wù)器可以建立初始受信任連接。可以根據(jù)傳遞的連接屬性的類(lèi)型以及是否使用 Kerberos 安全性，選擇其中一個(gè)方法。當(dāng)應(yīng)用服務(wù)器調(diào)用其中一個(gè)方法時(shí)，IBM DB2 Driver for JDBC 和 SQLJ 返回一個(gè)包含兩個(gè)元素的 Object[] 數(shù)組：第一個(gè)元素包含初始連接的一個(gè)連接實(shí)例。第二個(gè)元素包含連接實(shí)例的一個(gè)惟一的 cookie。這個(gè) cookie 是由 JDBC 驅(qū)動(dòng)程序生成的，用于隨后的連接重用的身份驗(yàn)證。DB2PooledConnection 類(lèi)提供了幾種版本的 getDB2Connection 方法，DB2Connection 類(lèi)提供了幾種版本的 reuseDB2Connection 方法，這些方法使應(yīng)用服務(wù)器可以以新用戶(hù)的身份重用已有的受信任連接。應(yīng)用服務(wù)器使用該方法將以下項(xiàng)目傳遞給新用戶(hù)：來(lái)自初始連接的 cookie。被重用連接的新的連接屬性。JDBC 驅(qū)動(dòng)程序檢查提供的 cookie 是否與底層受信任物理連接相匹配，以確保連接請(qǐng)求是由建立受信任的物理連接的應(yīng)用服務(wù)器發(fā)起的。假如 cookie 匹配，則這個(gè)新用戶(hù)可以直接用新的連接屬性使用該連接。例 4. 在 JDBC 應(yīng)用程序中使用受信任連接#---------------------------------------------------------------------------#-- JDBC example#-- Test a Trusted Context on the connection#---------------------------------------------------------------------------/* The first item that was obtained from the previous */getTrustedPooledConnection/* Call is a connection object. Cast it to a PooledConnection object. */javax.sql.PooledConnection pooledCon = (javax.sql.PooledConnection)objects[0];properties = new java.util.Properties();// Set new properties for the reused object using// properties.put("property", "value");// The second item that was obtained from the previousgetTrustedPooledConnection/* call is the cookie for the connection. Cast it as a byte array. */byte[] cookie = ((byte[])(objects[1]);/* Supply the user ID for the new connection. */String newuser = "newuser";// Supply the name of a mapping service that maps a workstation user// ID to a z/OS RACF IDString userRegistry = "registry";/* Do not supply any security token data to be traced. */byte[] userSecTkn = null;/* Do not supply a previous user ID. */String originalUser = null;// Call getDB2Connection to get the connection object for the new// user.java.sql.Connection con = ((com.ibm.db2.jcc.DB2PooledConnection)pooledCon).getDB2Connection(cookie,newuser,password,userRegistry,userSecTkn,originalUser,properties);結(jié)束語(yǔ)在電子商務(wù)領(lǐng)域，很多應(yīng)用程序依靠于 Domino 和 WebSphere Application Server 之類(lèi)的中間件服務(wù)器提供的安全性，而受信任上下文是為那些應(yīng)用程序提供安全環(huán)境，同時(shí)又不必過(guò)多降低性能的理想方法。可以通過(guò)調(diào)優(yōu)受信任上下文的安全屬性，確保對(duì)數(shù)據(jù)庫(kù)服務(wù)器的無(wú)懈可擊的訪問(wèn)。而且，由于可以以很少的連接資源切換用戶(hù)，而不需要身份驗(yàn)證，受信任上下文是商業(yè)應(yīng)用程序的理想選擇。 上一頁(yè)1234567