Posts - 150,
Articles - 12,
Comments - 1194
(SQL Server & MySQL) DBA
17:20 by 听风吹雨, ... 阅读,
作为一个DBA，或许你有很多的系统需要管理，而且不同的系统使用了不同的数据库，通常的情况下，我们都是通过sa进行设置密码的，而且在config文件里面明文的写上我们的帐号和密码，这样的设计我们是否太大方了呢？
或许你会说，我们的数据库是安全的，因为我们的数据库是只有内网可以访问的，但是那台机器的安全性呢？因为能进入操作系统就能看到我们的帐号密码了。再加上有些时候我们不希望客户能看到数据库密码的。那么应该如何保证我们的数据库账号密码的安全性呢？
二、架构设计
针对上面的安全性问题，我设计了下面的方案，主要是运用加密算法进行加密，再通过分离一些职责，设置几道关卡，加强数据的安全性。
下面是这个方案的总体架构图：
（架构图）
三、架构解析说明
1.程序1，程序2表示我们的应用程序，在程序的config中再也没有明文的数据库帐号和密码的了，它调用一个公用的webservice，只需要传入一个唯一的key值（有DBA发布这个key值），获取数据库IP、帐号、密码；
2.网页接口调用程序是我们提供的一个webservice，它使用只读帐号视图，查询key值所对应加密后的数据库IP、帐号、密码；如下图所示：
[LinkName] 表示key值；
[En_LinkIP]表示程序需要链接的数据库IP地址；
[En_LinkSa]表示数据库使用的帐号；
[En_LinkPassword]表示数据库帐号所对应的密码；
（只读账号视图）
3.把上图获取到的数据返回给网页接口调用程序，把这些值以|符号进行串联成一个字符串，再进行二次加密（使用不同的加密算法）；再把加密后的字符串返回给程序1、程序2；
4.当程序拿到这些加密后的字符串后，使用我们发布的DLL进行解密，这里的解密包括两个解密算法，把解密后的值返回给程序；
5.那这些记录是怎么录入的呢？你猜对了，那就是DBA，DBA收集这些帐号和密码进行管理，只要开发人员告知数据库的相关信息（或许根本就不需要，因为部署是DBA的事情，或许开发人员根本就不需要知道这个数据库在哪里），我就使用单机机密程序，加密我们的数据库IP、帐号、密码，并生成唯一的key值，把这个key告诉开发人员。
把加密后的数据插入到数据库；超级管理员视图如下图所示：
（超级管理员视图）
四、特别说明
1.就安全性考虑，LinkIP的值尽量能使用端口进行设置，修改默认的1433端口；
2.虽然在程序中可以获取到明文的帐号密码，但是这比明文写在config上要安全很多倍了；
3.对字符串进行二次加密是为了防止数据的拦截的；
4.如果网页接口调用程序给爆掉了，拿到的数据还是加密后的数据；而且这个帐号是只读数据的，是没有insert、update、delete的权限的；
5.有这个超级管理员帐号，这个帐号可以只有为数几个人知道，与网页接口调用程序的数据库帐号是完全分离的；
6.程序中可能需要在使用帐号密码的时候需要捕获一下异常，就是当我们DBA修改了帐号密码后引起的链接异常；
7.这个帐号表中，我们可以通过State字段进行控制这个帐号是否可用（甚至你可以直接删掉这条记录），这样当我们的业务系统泄漏了数据帐号的时候，我们可以很快速的修改帐号密码，不需要通知开发人员去修改config文件；
8.只读账号视图现在只是简单的MD5加密，你完全可以设计自己算法；
9.LinkName是需要唯一的，所以在表设计的时候是使用了这个作为主键的；
10.其实上面的设计我是为了体现出只读帐号视图和超级管理员视图的区别的；可以参考：，其实你完全可以让网页接口调用程序调用数据库的config的帐号密码也进行一次加密，让程序去解密，这样只需要做一次就够了。
五、SQL代码
CREATE TABLE [dbo].[LinkConfigTest](
[Id] [int] IDENTITY(1,1) NOT NULL,
[LinkName] [nvarchar](50) NOT NULL,
[LinkIP] [varchar](50) NULL,
[LinkSa] [varchar](50) NULL,
[LinkPassword] [varchar](50) NULL,
[Description] [nvarchar](100) NULL,
[State] [int] NULL CONSTRAINT [DF_LinkConfigT_State]
DEFAULT ((0)),
[StateDescription] [nvarchar](50) NULL,
[HostName] [nvarchar](50) NULL,
[CreateTime] [datetime] NULL,
[En_LinkIP] [varchar](50) NULL,
[En_LinkSa] [varchar](50) NULL,
[En_LinkPassword] [varchar](50) NULL,
CONSTRAINT [PK_LinkConfigT] PRIMARY KEY NONCLUSTERED
[LinkName] ASC
)WITH (PAD_INDEX
= OFF, STATISTICS_NORECOMPUTE
= OFF, IGNORE_DUP_KEY = OFF, ALLOW_ROW_LOCKS
= ON, ALLOW_PAGE_LOCKS
= ON) ON [PRIMARY]
) ON [PRIMARY]
--插入测试数据
INSERT [LinkConfigTest] ([LinkName],[LinkIP],[LinkSa],[LinkPassword],[Description],[State],[HostName],[CreateTime],[En_LinkIP],[En_LinkSa],[En_LinkPassword]) VALUES ( 'sd9_DB1','192.168.1.147,14339','sd158admin','sd158admin+-987','内网_DB1',1,'SERVR9',' 14:08:52','0xddf4a1c5a5dadced3aa9f6b','0xe319cb7bedd3b0d400c3dae3','0xdcc4d754cfc')
INSERT [LinkConfigTest] ([LinkName],[LinkIP],[LinkSa],[LinkPassword],[Description],[State],[HostName],[CreateTime],[En_LinkIP],[En_LinkSa],[En_LinkPassword]) VALUES ( 'sc13','192.168.1.25,13433','sc13admin','sc13adminasdfg','内网_DB1',1,'BAREOT-4',' 14:08:52','0x0f3ebbbd4a9','0xe969c53b6c4f1c6ad2d97','0xacde76a3da3ea')
INSERT [LinkConfigTest] ([LinkName],[LinkIP],[LinkSa],[LinkPassword],[Description],[State],[StateDescription],[HostName],[CreateTime],[En_LinkIP],[En_LinkSa],[En_LinkPassword]) VALUES ( 'sd9_DB2','192.168.1.147,14339','gd14admin','sc13admin#$','内网_DB2',0,'停用','SERVR9',' 14:08:52','0xddf4a1c5a5dadced3aa9f6b','0x8cfaecfc5de4cef40c8648','0x99f2fb6b0f14d47fa725a79c62ae60c3')
INSERT [LinkConfigTest] ([LinkName],[LinkIP],[LinkSa],[LinkPassword],[Description],[State],[HostName],[CreateTime],[En_LinkIP],[En_LinkSa],[En_LinkPassword]) VALUES ( 'jh16','192.168.1.30,16433','jh16admin','sc13admin$%as','内网_DB1',1,'SERVR16',' 14:08:52','0x012f0e163b9f1de0159452','0x13c540aff4fe6d61f48de0e097fd1c66','0xb59032aaffddc07b72dda97')
INSERT [LinkConfigTest] ([LinkName],[LinkIP],[LinkSa],[LinkPassword],[Description],[State],[HostName],[CreateTime],[En_LinkIP],[En_LinkSa],[En_LinkPassword]) VALUES ( 'hb17','192.168.1.35,17433','hb17admin','sc13admin$%asdf','内网_DB5',1,'BAEF-1',' 14:08:52','0xa33f3cb895','0x4bce38f66dfba3fa6a70d','0x8cab2ef5b6a6c5c48d499c5ef84c3436')这个是qq帐号这个帐号密码是多少_百度知道
这个是qq帐号这个帐号密码是多少
我有更好的答案
你的账号密码我们怎么可能知道，不然早洗劫一空了
小学生，小学生，小学生，小学生，小学生，小学生，小学生，呵呵呵呵呵呵呵呵呵呵呵呵呵呵呵呵呵呵呵呵呵呵呵呵呵呵呵呵呵呵呵呵
亲,你这问题很逗。。 你自己都不知道我们怎么可能知道
我也很想知道的，
你这问了也白问
这....是要作死的节奏么
不知道。谢谢
你是要盗人家的号么
其他类似问题
为您推荐：
qq帐号的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁我的电脑的管理员帐号是Administrator，我用这个号进入电脑后，怎么知道这个帐号的密码？
我的电脑的管理员帐号是Administrator，我用这个号进入电脑后，怎么知道这个帐号的密码？
我的电脑的管理员帐号是Administrator，我用这个号进入电脑后，怎么知道这个帐号的密码？不删除密码，不还原电脑，这么知道密码是多少？
速度回答，感谢
补充：就是要看到管理员帐号的密码
补充：跪求方法啊，知道的说了还有追加
到计算机管理里面的用户管理组里找到administrator
&右键设置密码，不用原来的密码可以直接改，所以没必要知道。
其他回答 (4)
你现在进去需要输入密码吗？不需要的话你点开始菜单---控制面板---账户管理，找到你这个帐号，创建密码就可以了。
需要密码，我妈设的，有什么方法能不修改密码，知道密码是多少
呵呵，你不是高手的话没办法。这个是需要实力的。
…如果你愿意冒着中毒的危险去下个什么软件的话可以…买张碟也可以…你是高手也可以…不怎么懂电脑再折腾也没用…我是抱着这种心态的…还有一种可能性就是你跟你妈心灵感应自己脑袋里蹦出了密码什么的
告诉你了…行不通的，好好学电脑吧…哎
下个软件清除密码，什么都没有改变，只是不要密码。要不问管理员要密码
最好不要改变密码呀
其实这个问题不大，到维修电脑那里说不定免费给你搞定。
不求助别人
相关知识等待您来回答
操作系统领域专家
& &SOGOU - 京ICP证050897号我用QQ浏览器网页登录百度云能看到百度云app中的所有文件，是不是百度云app也是这个帐号和密码？_百度知道
我用QQ浏览器网页登录百度云能看到百度云app中的所有文件，是不是百度云app也是这个帐号和密码？
提问者采纳
是的，我就是这样
为什么我的密码不一样啊
百度和QQ一样
提问者评价
太给力了，你的回答完美地解决了我的问题，非常感谢！
其他类似问题
为您推荐：
qq浏览器的相关知识
其他2条回答
百度账号是可以通用的。
是的，百度账号通用
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁人人网 - 抱歉
哦，抱歉，好像看不到了
现在你可以:
看看其它好友写了什么
北京千橡网景科技发展有限公司：
文网文[号··京公网安备号·甲测资字
文化部监督电子邮箱：wlwh@··
文明办网文明上网举报电话： 举报邮箱：&&&&&&&&&&&&}