對于數據庫管理來說�,保護數據不受內部和外部侵害是一項重要的工作�。Microsoft SQL Server 正日益廣泛的使用于各部門內外��,作為SQL Server(SQL Server是指Microsoft SQL Server,下文同)的數據庫系統管理員�,需要深入的理解SQL Server的安全性控制策略,以實現管理安全性的目標。
各層SQL Server安全控制策略是通過各層安全控制系統的身份驗證實現的��。身份驗證是指當用戶訪問系統時�,系統對該用戶的賬號和口令的確認過程�����。身份驗證的內容包括確認用戶的賬號是否有效�����、能否訪問系統��、能訪問系統的哪些數據等。
身份驗證方式是指系統確認用戶的方式。SQL Server系統是基于Windows NT/2000操作系統的���,現在的SQL Server系統可以安裝在Windows 95(需要安裝Winsock升級軟件)�、Windows 98和Windows ME之上(此時���,將沒有第一層和第二層的安全性控制)�����,但舊的SQL Servers系統只能運行在Windows NT/2000操作系統上。Windows NT/2000對用戶有自己的身份驗證方式��,用戶必須提供自己的用戶名和相應的口令才能訪問Windows NT/2000系統��。
這樣SQL Server的安全系統可在任何服務器上通過兩種方式實現:SQL Server和Windows結合使用(SQL Server and Windows)以及只使用Windows(Windows Only)���。訪問Windows NT/2000系統用戶能否訪問SQL Server系統就取決于SQL Server系統身份驗證方式的設置�����。
1. 用戶標識與驗證
用戶標示和驗證是系統提供的最外層安全保護措施。其方法是由系統提供一定的方式讓用戶標示自己的名字或身份�。每次用戶要求進入系統時�,由系統進行核對��,通過鑒定后才提供機器使用權��。
對于獲得上機權的用戶若要使用數據庫時數據庫管理系統還要進行用戶標識和鑒定。
用戶標識和鑒定的方法有很多種�����,而且在一個系統中往往是多種方法并舉,以獲得更強的安全性����。常用的方法有:
用一個用戶名或者用戶標識號來標明用戶身份�。系統內部紀錄著所有合法用戶的標識,系統驗證此戶是否合法用戶����,若是��,則可以進入下一步的核實;若不是,則不能使用系統�。
為了進一步核實用戶�,系統常常要求用戶輸入口令(Password)。為保密起見��,用戶在終端上輸入的口令不顯示在屏幕上����。系統核對口令以驗證用戶身份���。
用戶標識與驗證在SQL Server中對應的是Windows NT/2000登錄賬號和口令以及SQL Server用戶登錄賬號和口令。
2. SQL Server身份驗證方式
用戶必須使用一個登錄賬號��,才能連接到SQL Server中。SQL Server可以識別兩類的身份驗證方式��,即:SQL Server身份驗證(SQL Server Authentication)方式和Windows身份驗證(Windows Authentication)方式�����。這兩種方式的結構如圖2所示���。這兩種方式都有自己的登錄賬號類型����。
注意的是,如果在Microsoft Windows95/98/ME上使用SQL Server的Personal版,作為SQL Server宿主的Microsoft Windows95/98/ME系統只能使用SQL Server登錄。因此�,Windows NT/2000身份驗證���、域用戶的賬號和域組賬號都是不可用的。
當使用SQL Server身份驗證方式時�����, 由SQL Server系統管理員定義SQL Server賬號和口令。當用戶連接SQL Serve時�����,必須提供登錄賬號和口令。當使用Windows身份驗證方式時�,由Windows NT/2000賬號或者組控制用戶對SQL Server系統的訪問���。這時�,用戶不必提供SQL Server的Login賬號和口令就能連接到系統上。但是����,在該用戶連接之前���,SQL Serve系統管理員必須將Windows NT/2000賬號或者Windows NT/2000組定義為SQL Server的有效登錄賬號��。來
3. 身份驗證模式
當SQL Serve在Windows NT/2000上運行時,系統管理員必須指定系統的身份驗證模式類型���。SQL Server的身份驗證模式有兩種:Windows 身份驗證(Windows Authentication)模式和混合模式(Mixed Mode)����。身份驗證模式和身份驗證方式的關系是:
Windows身份驗證模式 (Windows身份驗證方式)
混合模式 (Windows 身份驗證方式 和 SQL Server 身份驗證方式)
Windows 身份驗證模式只允許使用Windows 身份驗證方式,這時用戶無法以SQL Server的登錄賬號登錄服務器。它要求用戶登錄到Windows NT/2000,當用戶訪問SQL Server時�����,不用再次登錄。雖然用戶仍會被提示登錄,但SQL Server的用戶名會自動從用戶網絡登錄ID中提取。而混合身份驗證模式即允許使用Windows NT/2000身份驗證方式�,又允許使用SQL Server身份驗證方式��。它使用戶既可以登錄SQL Server�,也可用Windows NT/2000的集成登錄�����。
集成登錄只能在用命名管道連接客戶機服務器時使用����。當使用混合模式時����,無論是使用Windows NT/2000身份驗證方式的用戶���,還是使用SQL Server身份驗證方式的用戶���,都可以連接到SQL Server系統上�����。也就是說:身份驗證模式是對服務器來說的,而身份驗證方式是對客戶端來說的����。
4. Windows身份驗證模式
Windows 身份驗證模式最適用于只在部門訪問數據庫的情況。與SQL Server身份驗證方式相比�,Windows身份驗證方式具有下列優點:提供了更多的功能�����,例如安全確認和口令加密�、審核���、口令失效、最小口令長度和賬號鎖定;通過增加單個登錄賬號�����,允許在SQL Server系統中增加用戶組;允許用戶迅速訪問SQL Server系統���,而不必使用另一個登錄賬號和口令�����。
