移動(dòng)智能終端安全課件：SQLite數(shù)據(jù)庫(kù)及面臨的安全威脅

SQLite數(shù)據(jù)庫(kù)及面臨的安全威脅4.1SQLite數(shù)據(jù)庫(kù)簡(jiǎn)介4.2SQLite數(shù)據(jù)庫(kù)的安全機(jī)制4.3面臨的安全威脅小結(jié)

4.1SQLite數(shù)據(jù)庫(kù)簡(jiǎn)介

SQLite是一個(gè)開(kāi)源的嵌入式數(shù)據(jù)庫(kù)引擎，沒(méi)有分離的服務(wù)處理過(guò)程，它直接讀寫(xiě)磁盤(pán)文件。在實(shí)際應(yīng)用時(shí)，SQLite常被編譯成動(dòng)態(tài)庫(kù)來(lái)使用。完整的SQLite數(shù)據(jù)庫(kù)包含表、觸發(fā)器和視圖等內(nèi)容，且僅存放在單獨(dú)的磁盤(pán)文件中。數(shù)據(jù)庫(kù)文件格式是基于交叉平臺(tái)的，可以任意復(fù)制數(shù)據(jù)庫(kù)文件從32位系統(tǒng)到64位系統(tǒng)。

SQLite沒(méi)有獨(dú)立進(jìn)程，與所服務(wù)的應(yīng)用程序在應(yīng)用程序進(jìn)程空間內(nèi)共生共存。SQLite代碼嵌入到應(yīng)用程序代碼內(nèi)部，作為托管SQLite的應(yīng)用程序的一部分。SQLite支持Windows/Linux/Unix等主流操作系統(tǒng)，能夠和很多程序語(yǔ)言結(jié)合，具有占用資源較低、存儲(chǔ)效率高、查詢(xún)快以及可用單文件存儲(chǔ)數(shù)據(jù)庫(kù)內(nèi)容等特點(diǎn)。

SQLite具有簡(jiǎn)潔、模塊化的體系結(jié)構(gòu)，并引進(jìn)了獨(dú)特的方法進(jìn)行關(guān)系型數(shù)據(jù)庫(kù)管理。SQLite中的模塊將查詢(xún)過(guò)程分為幾個(gè)獨(dú)立的任務(wù)，就像在流水線(xiàn)上工作一樣。在體系結(jié)構(gòu)棧的頂部編譯查詢(xún)語(yǔ)句，在中部執(zhí)行，在底部處理存儲(chǔ)并與操作系統(tǒng)交互。SQLite體系結(jié)構(gòu)如圖4-1所示。圖4-1SQLite體系結(jié)構(gòu)

1.接口

接口是一個(gè)C語(yǔ)言庫(kù)，用來(lái)接收用戶(hù)指令。接口處于棧的頂端，由SQLite、C、API組成。程序、腳本語(yǔ)言以及與SQLite交互的庫(kù)文件最終都是通過(guò)接口與SQLite進(jìn)行交互。

2.編譯器

編譯器由三個(gè)獨(dú)立的部分組成，分別為分詞器、語(yǔ)法分析器和代碼生成器。當(dāng)執(zhí)行一個(gè)包含SQL語(yǔ)句的字符串時(shí)，接口程序需要將該字符串傳遞給分詞器。分詞器的任務(wù)是把原始的字符串分割成標(biāo)記，然后逐個(gè)傳給語(yǔ)法分析器。

編譯過(guò)程從分詞器和語(yǔ)法分析器開(kāi)始。分詞器和語(yǔ)法分析器協(xié)同處理文本形式的結(jié)構(gòu)化查詢(xún)語(yǔ)句(SQL)，分析其語(yǔ)法有效性，然后轉(zhuǎn)化為底層能更方便處理的層次化數(shù)據(jù)結(jié)構(gòu)。

SQLite開(kāi)發(fā)團(tuán)隊(duì)編碼實(shí)現(xiàn)了SQLite的分詞器，而SQLite的語(yǔ)法分析器是由Lemon語(yǔ)法生成器生成的。Lemon語(yǔ)法生成器采取了一些特殊的預(yù)防措施來(lái)防止內(nèi)存泄露，并且性能較好。語(yǔ)法分析的過(guò)程是：SQL語(yǔ)句先被分解成詞法記號(hào)，經(jīng)過(guò)評(píng)估后以語(yǔ)法樹(shù)的形式重組，然后語(yǔ)法分析器將重組后的語(yǔ)法樹(shù)傳給代碼生成器。

代碼生成器將語(yǔ)法樹(shù)翻譯成SQLite專(zhuān)用的匯編代碼，這些匯編代碼由最終通過(guò)虛擬機(jī)執(zhí)行的指令組成。代碼生成器的工作是將語(yǔ)法樹(shù)轉(zhuǎn)換為完全由該匯編語(yǔ)言編寫(xiě)的微程序并交給虛擬機(jī)處理。

3.虛擬機(jī)

架構(gòu)棧的中心部分是虛擬機(jī)，也叫作虛擬數(shù)據(jù)庫(kù)引擎(VDBE)。VDBE是基于寄存器的虛擬機(jī)，在字節(jié)碼上工作，這種特點(diǎn)使得它可以獨(dú)立于頂層操作系統(tǒng)、CPU和系統(tǒng)體系結(jié)構(gòu)進(jìn)行工作。VDBE的字節(jié)代碼(即虛擬機(jī)語(yǔ)言)由100多個(gè)被稱(chēng)為操作碼的任務(wù)構(gòu)成，這些操作碼圍繞數(shù)據(jù)庫(kù)進(jìn)行。VDBE是專(zhuān)為數(shù)據(jù)處理而設(shè)計(jì)的虛擬機(jī)，它的指令集中所有的指令要么用來(lái)完成具體的數(shù)據(jù)庫(kù)操作(如打開(kāi)表的游標(biāo)、做記錄、提取一列或者開(kāi)始一個(gè)事務(wù)等)，要么是以某種方式控制棧為完成這些操作做準(zhǔn)備。

命令集中在一起并以恰當(dāng)?shù)捻樞蚪M合，就可以滿(mǎn)足復(fù)雜的SQL命令的要求。SQLite中的所有SQL語(yǔ)句——從選擇和更新記錄到創(chuàng)建表、視圖以及索引，都是先編譯成虛擬機(jī)語(yǔ)言，然后形成獨(dú)立的、已經(jīng)定義的、可以完成給定命令的指令集。

VDBE是SQLite的核心，SQLite之前的所有模塊都用于創(chuàng)建VDBE程序，之后的所有模塊都用于執(zhí)行VDBE程序，每次執(zhí)行一條指令。

4.后端

后端由B-tree、頁(yè)面高速緩存(Pagecache)以及操作系統(tǒng)接口(OSInterface)組成。

(1)?B-tree：B-tree用來(lái)維護(hù)磁盤(pán)里的SQLite數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)中的每個(gè)表格和目錄都使用單獨(dú)的B-tree。所有的B-tree被存儲(chǔ)在同一個(gè)磁盤(pán)文件里。B-tree的職責(zé)是排序，維護(hù)多個(gè)頁(yè)之間的關(guān)系，保證快速定位并找到一切有聯(lián)系的數(shù)據(jù)。

(2)頁(yè)面高速緩存：B-tree模塊要求來(lái)自磁盤(pán)的程序塊大小為1024個(gè)字節(jié)，頁(yè)面高速緩存負(fù)責(zé)讀、寫(xiě)程序塊并可高速緩存程序塊。頁(yè)面高速緩存具有重新運(yùn)算和提交抽象命令的功能，負(fù)責(zé)關(guān)閉數(shù)據(jù)庫(kù)文件夾。當(dāng)B-tree驅(qū)動(dòng)器需要修改頁(yè)或重新運(yùn)行時(shí)，會(huì)通報(bào)頁(yè)面高速緩存。為了保證所有的需求都能被快速、安全和有效地處理，頁(yè)面高速緩存會(huì)處理所有的細(xì)節(jié)。

(3)操作系統(tǒng)接口(OSInterface)：為使不同操作系統(tǒng)下的應(yīng)用能夠?qū)崿F(xiàn)移植，SQLite操作系統(tǒng)的接口程序使用一個(gè)提取層。

5.工具和測(cè)試代碼

工具模塊中包含各種實(shí)用的功能，如內(nèi)存分配、字符串比較、Unicode轉(zhuǎn)換等公共服務(wù)。測(cè)試模塊中包含大量回歸測(cè)試用例，用來(lái)檢查數(shù)據(jù)庫(kù)代碼的各個(gè)角落。該模塊執(zhí)行大量回歸測(cè)試，任何人都可以運(yùn)行并改進(jìn)測(cè)試，使得SQLite越來(lái)越可靠。SQLite的特性和設(shè)計(jì)理念如下：

(1)零配置：SQLite不需要DBA(數(shù)據(jù)庫(kù)管理員)，因此配置和管理SQLite非常簡(jiǎn)單，只需很少的內(nèi)存即可運(yùn)行。

(2)移植性：SQlite既可以編譯運(yùn)行在各種操作系統(tǒng)和嵌入式平臺(tái)中，也可以工作在32位和64位體系結(jié)構(gòu)中，并同時(shí)適應(yīng)大字節(jié)序和小字節(jié)序。

(3)緊湊性：SQLite只包含一個(gè)頭文件、一個(gè)庫(kù)以及關(guān)系型的不需要外部數(shù)據(jù)庫(kù)的服務(wù)器。

(4)簡(jiǎn)單性：作為程序庫(kù)，SQLite的API是最簡(jiǎn)單易用的API之一。

(5)靈活性：作為一款嵌入式數(shù)據(jù)庫(kù)，SQLite擁有強(qiáng)大而靈活的關(guān)系型數(shù)據(jù)庫(kù)前端和簡(jiǎn)單緊湊的B-tree后端。

(6)自由授權(quán)：SQLite的全部代碼保存在公共域中，并且不需要許可證。SQLite的所有內(nèi)容沒(méi)有附加版權(quán)要求。

(7)可靠性：SQLite源代碼包含大約70000行標(biāo)準(zhǔn)ANSIC代碼，代碼模塊清晰、注釋完整、易理解、易定制且方便獲取。

(8)易用性：SQLite具有動(dòng)態(tài)類(lèi)型、沖突解決、可將多個(gè)數(shù)據(jù)庫(kù)“附著”到一個(gè)連接上的功能，提高了SQLite的易用性。

SQLite可以將外部數(shù)據(jù)庫(kù)“附著”到當(dāng)前的連接中。假如用戶(hù)當(dāng)前連接到數(shù)據(jù)庫(kù)foo.db，同時(shí)需要另外一個(gè)數(shù)據(jù)庫(kù)bar.db工作，則無(wú)需打開(kāi)單獨(dú)的連接，再在這兩個(gè)數(shù)據(jù)庫(kù)之間切換，而是可以簡(jiǎn)單地將感興趣的數(shù)據(jù)庫(kù)用下面的SQL語(yǔ)句附著到當(dāng)前連接：“ATTACHdatabase

bar.dbasbar;”?，F(xiàn)在bar.db中所有的表都可以訪問(wèn)，就像這些表存在于foo.db中一樣。完成時(shí)也可以剝離，這使得在數(shù)據(jù)庫(kù)之間的各種操作如同復(fù)制表一樣容易。

4.2SQLite數(shù)據(jù)庫(kù)的安全機(jī)制

數(shù)據(jù)庫(kù)通常保存著企業(yè)、組織和政府部門(mén)的重要數(shù)據(jù)，是信息系統(tǒng)安全的關(guān)鍵。不論是在單機(jī)還是在網(wǎng)絡(luò)環(huán)境下，數(shù)據(jù)庫(kù)系統(tǒng)都可能會(huì)受到各種威脅。數(shù)據(jù)存儲(chǔ)的安全、敏感數(shù)據(jù)的竊取和篡改問(wèn)題越來(lái)越引起人們的重視。數(shù)據(jù)庫(kù)安全機(jī)制是指為保護(hù)數(shù)據(jù)庫(kù)和防止非法用戶(hù)越權(quán)使用、竊取、更改、破壞數(shù)據(jù)而采取的技術(shù)手段。

國(guó)內(nèi)外針對(duì)數(shù)據(jù)庫(kù)安全有不同的定義。其中，C.EPfleeger在“SecurityinComputing─DatabaseSecurity.PTR,1997”中對(duì)數(shù)據(jù)庫(kù)安全的定義被廣泛應(yīng)用于國(guó)外的教材、培訓(xùn)當(dāng)中，是國(guó)外關(guān)于數(shù)據(jù)庫(kù)安全定義中最具權(quán)威性的一種。它主要從以下幾個(gè)方面來(lái)對(duì)數(shù)據(jù)庫(kù)的安全進(jìn)行描述。

(1)物理完整性：指數(shù)據(jù)庫(kù)中的數(shù)據(jù)不會(huì)被各種自然界災(zāi)害物理地破壞，如地震、水災(zāi)、火災(zāi)等造成數(shù)據(jù)存儲(chǔ)設(shè)備的破壞。

(2)邏輯完整性：指對(duì)數(shù)據(jù)庫(kù)中數(shù)據(jù)結(jié)構(gòu)的保護(hù)，例如對(duì)數(shù)據(jù)庫(kù)中一個(gè)字段的修改不會(huì)造成對(duì)其他字段的破壞。

(3)元素安全性：指保障存儲(chǔ)在數(shù)據(jù)庫(kù)中每個(gè)元素的正確性。

(4)審計(jì)性：指可跟蹤用戶(hù)對(duì)數(shù)據(jù)庫(kù)的操作步驟，從而重現(xiàn)這些步驟，追其故障根源。

(5)用戶(hù)認(rèn)證：指對(duì)訪問(wèn)數(shù)據(jù)庫(kù)的每個(gè)用戶(hù)都要進(jìn)行嚴(yán)格的身份驗(yàn)證。

(6)權(quán)限控制：指防止用戶(hù)越權(quán)操縱數(shù)據(jù)庫(kù)。

(7)可用性：指保證合法用戶(hù)可隨時(shí)對(duì)數(shù)據(jù)庫(kù)進(jìn)行訪問(wèn)。

我國(guó)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB17859—1999》中的《中華人民共和國(guó)公共安全行業(yè)標(biāo)準(zhǔn)GA/T389—2002》對(duì)數(shù)據(jù)庫(kù)安全的定義是：數(shù)據(jù)庫(kù)安全是指保證數(shù)據(jù)庫(kù)中數(shù)據(jù)的保密性、完整性、一致性和可用性。可以從以下幾個(gè)方面來(lái)理解：

(1)保密性：指保護(hù)數(shù)據(jù)庫(kù)中的數(shù)據(jù)不被未授權(quán)用戶(hù)獲得。

(2)完整性：指保護(hù)數(shù)據(jù)庫(kù)中的數(shù)據(jù)不被破壞或修改。

(3)一致性：指保證數(shù)據(jù)庫(kù)中的數(shù)據(jù)滿(mǎn)足實(shí)體完整性、參照完整性和用戶(hù)定義完整性。

(4)可用性：指保證合法用戶(hù)在一定規(guī)則的控制和約束下可對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行訪問(wèn)。

為滿(mǎn)足嵌入式系統(tǒng)對(duì)數(shù)據(jù)庫(kù)本身的輕便性以及對(duì)數(shù)據(jù)存儲(chǔ)效率、訪問(wèn)速度、內(nèi)存占用率等性能的要求，SQLite采取了不同于其他大型數(shù)據(jù)庫(kù)的實(shí)現(xiàn)機(jī)制，但同時(shí)也帶來(lái)了安全隱患。為了保持SQLite的優(yōu)點(diǎn)和安全性，需要從口令認(rèn)證、數(shù)據(jù)庫(kù)加密、審計(jì)機(jī)制、備份和恢復(fù)機(jī)制等方面提高SQLite的安全性。

1.口令認(rèn)證

SQLite數(shù)據(jù)庫(kù)文件是普通的文本文件，對(duì)SQLite數(shù)據(jù)庫(kù)文件的訪問(wèn)首先依賴(lài)于對(duì)文件的訪問(wèn)控制。

2.數(shù)據(jù)庫(kù)加密

數(shù)據(jù)庫(kù)加密有以下兩種方式：

(1)在數(shù)據(jù)庫(kù)管理系統(tǒng)(DataBaseManagement，DBMS)中實(shí)現(xiàn)加密功能：即從數(shù)據(jù)庫(kù)中讀數(shù)據(jù)和向數(shù)據(jù)庫(kù)中寫(xiě)數(shù)據(jù)時(shí)執(zhí)行加解密操作。

(2)應(yīng)用層加密：即在應(yīng)用程序中對(duì)數(shù)據(jù)庫(kù)中的某些字段的值進(jìn)行加密，DBMS管理的是加密后的密文。

數(shù)據(jù)加密最重要的是加密算法，好的加密算法可以實(shí)現(xiàn)良好的加密效果。根據(jù)加密和解密的密鑰相同與否，加密算法可分為對(duì)稱(chēng)加密算法和非對(duì)稱(chēng)加密算法。

對(duì)稱(chēng)加密算法適用于文件和數(shù)據(jù)庫(kù)的加密，有良好的安全性和較高的速度，適合應(yīng)用于嵌入式系統(tǒng)；非對(duì)稱(chēng)加密算法的安全性更高，但算法復(fù)雜且速度較慢，適合應(yīng)用于小數(shù)據(jù)量的加解密或者數(shù)據(jù)簽名。Android手機(jī)的硬件資源有限，所以應(yīng)選擇復(fù)雜度低、資源消耗少、速度快且安全性好的加密算法。因此，SQLite加密算法選擇對(duì)稱(chēng)加密算法。常用的對(duì)稱(chēng)加密算法有DES、3DES和AES算法，這三種算法的比較如表4-1所示。其中，AES加密算法的加密速度快、安全性高、資源消耗少并且密鑰長(zhǎng)度較長(zhǎng)，不易被破解。

3.審計(jì)機(jī)制

作為可移植的嵌入式數(shù)據(jù)庫(kù)，SQLite不宜調(diào)用系統(tǒng)日志來(lái)執(zhí)行審計(jì)功能。而且，由于SQLite沒(méi)有用戶(hù)管理功能，所以也不需要詳細(xì)的審計(jì)功能。

4.備份和恢復(fù)機(jī)制

按備份方式可以將數(shù)據(jù)的備份分為邏輯備份和物理備份。邏輯備份得到的是原數(shù)據(jù)庫(kù)數(shù)據(jù)內(nèi)容的映像，只能對(duì)數(shù)據(jù)庫(kù)進(jìn)行邏輯恢復(fù)；而物理備份通過(guò)拷貝物理數(shù)據(jù)的方式對(duì)數(shù)據(jù)進(jìn)行備份，可以實(shí)現(xiàn)數(shù)據(jù)庫(kù)的完整恢復(fù)，物理備份又分為冷備份和熱備份。

1)冷備份

冷備份又稱(chēng)為離線(xiàn)備份，是指在關(guān)閉數(shù)據(jù)庫(kù)且數(shù)據(jù)庫(kù)不能更新的狀況下進(jìn)行的數(shù)據(jù)庫(kù)完整備份。冷備份的優(yōu)點(diǎn)是：備份速度快(只需要拷貝文件)、容易歸檔(簡(jiǎn)單拷貝即可)、容易恢復(fù)到某個(gè)時(shí)間點(diǎn)上(只需將文件再拷貝回去)、能與歸檔方法相結(jié)合從而做到數(shù)據(jù)庫(kù)“最佳狀態(tài)”的恢復(fù)。缺點(diǎn)是：?jiǎn)为?dú)使用時(shí)，只能提供到“某一時(shí)間點(diǎn)上”的恢復(fù)。

2)熱備份

熱備份是在數(shù)據(jù)庫(kù)運(yùn)行的情況下，采用archivelogmode方式備份數(shù)據(jù)庫(kù)的方法，是系統(tǒng)處于正常運(yùn)轉(zhuǎn)狀態(tài)下的備份。熱備份要求數(shù)據(jù)庫(kù)在archivelog方式下操作，并需要大量的檔案空間。一旦數(shù)據(jù)庫(kù)運(yùn)行在archivelog狀態(tài)下，就可以開(kāi)始備份了。熱備份的優(yōu)點(diǎn)是：可在表空間或數(shù)據(jù)庫(kù)文件級(jí)備份，備份的時(shí)間短，備份時(shí)數(shù)據(jù)庫(kù)仍可使用，可達(dá)到秒級(jí)恢復(fù)(恢復(fù)到某一時(shí)間點(diǎn)上)，可對(duì)幾乎所有數(shù)據(jù)庫(kù)實(shí)體進(jìn)行快速恢復(fù)，大多數(shù)情況下在數(shù)據(jù)庫(kù)仍工作時(shí)恢復(fù)。

缺點(diǎn)是：不能出錯(cuò)，否則后果嚴(yán)重。若熱備份不成功，所得結(jié)果不可用于時(shí)間點(diǎn)的恢復(fù)，因此難以維護(hù)，所以需要特別仔細(xì)，不允許“以失敗告終”。

4.3面臨的安全威脅

在Android操作系統(tǒng)中，絕大多數(shù)的應(yīng)用程序使用數(shù)據(jù)庫(kù)作為其數(shù)據(jù)持久化的工具。但作為Android操作系統(tǒng)底層依賴(lài)的數(shù)據(jù)庫(kù)管理系統(tǒng)，SQLite數(shù)據(jù)庫(kù)的安全機(jī)制十分薄弱。因此，不法分子會(huì)利用SQLite數(shù)據(jù)庫(kù)的漏洞肆意獲取用戶(hù)的隱私數(shù)據(jù)，特別是由于Android設(shè)備的便捷性，入侵者極容易通過(guò)物理方式接觸設(shè)備并且對(duì)SQLite數(shù)據(jù)庫(kù)直接發(fā)出攻擊。由于Android設(shè)備中的SQLite數(shù)據(jù)庫(kù)文件存放在設(shè)備上，所以在攻擊者物理接觸設(shè)備后該數(shù)據(jù)塊極容易受到攻擊。

雖然部分密鑰管理措施負(fù)責(zé)密鑰的生成和記錄，但是密鑰和數(shù)據(jù)庫(kù)文件存放在同一臺(tái)設(shè)備上，也會(huì)帶來(lái)安全性問(wèn)題。

SQLite的安全隱患可以從以下四方面來(lái)說(shuō)明。

(1)?SQLite不提供網(wǎng)絡(luò)訪問(wèn)服務(wù)，它使用單一文件存儲(chǔ)數(shù)據(jù)庫(kù)的結(jié)構(gòu)和內(nèi)容，這使得數(shù)據(jù)庫(kù)非常輕便且容易移植。數(shù)據(jù)庫(kù)沒(méi)有用戶(hù)管理、訪問(wèn)控制和授權(quán)機(jī)制，它利用操作系統(tǒng)對(duì)文件的訪問(wèn)控制能力實(shí)施文件級(jí)別的訪問(wèn)控制，即只要是操作系統(tǒng)的合法用戶(hù)，并且只要該用戶(hù)對(duì)數(shù)據(jù)庫(kù)文件具有讀/寫(xiě)權(quán)限，就可以直接訪問(wèn)數(shù)據(jù)庫(kù)文件。

(2)開(kāi)源的SQLite數(shù)據(jù)庫(kù)不提供加密機(jī)制，因此不提供數(shù)據(jù)級(jí)的保密性。一旦存有用戶(hù)個(gè)人信息的數(shù)據(jù)庫(kù)文件被人獲取，通過(guò)SQLite數(shù)據(jù)庫(kù)管理工具很容易讀取或修改這些數(shù)據(jù)庫(kù)文件，造成用戶(hù)個(gè)人隱私的泄露。