歐義發(fā)

摘要：隨著信息水平的不斷提高，數(shù)據(jù)庫系統(tǒng)所應(yīng)用的范圍也越來越廣泛，但是所涉及的安全性問題卻日益突出。因此，對數(shù)據(jù)庫加密技術(shù)進(jìn)行研究擁有極大的實(shí)際意義。該文首先探討數(shù)據(jù)庫加密技術(shù)，然后探討其具體的應(yīng)用，希望能以此來保證信息系統(tǒng)安全運(yùn)行。

關(guān)鍵詞：數(shù)據(jù)庫；加密；應(yīng)用

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2015）05-0015-02

在當(dāng)前的信息管理系統(tǒng)中包含國家政策、經(jīng)濟(jì)等安全級別非常高的信息，也包含一般企業(yè)的加密信息，而數(shù)據(jù)庫中幾乎保存了信息管理系統(tǒng)之中的所有信息，一旦數(shù)據(jù)庫之中的數(shù)據(jù)被竊取或者是篡改，會直接影響信息系統(tǒng)安全性。所以，做好數(shù)據(jù)庫加密，才能確保信息管理系統(tǒng)本身的安全性。

1 數(shù)據(jù)庫加密技術(shù)中的關(guān)鍵問題

1.1 加密執(zhí)行層次

加密數(shù)據(jù)庫數(shù)據(jù)主要是包含了操作系統(tǒng)層、DBMS內(nèi)核層與外層這三種層次。就DBMS而言，其內(nèi)核與外層加密見下圖1、圖2所示。

1）在OS層

在OS層進(jìn)行加密和解密處理，無法正確辨認(rèn)數(shù)據(jù)庫元素以及各個(gè)元素之間的相互關(guān)系，因此也無法產(chǎn)生合理密鑰。在OS層中，數(shù)據(jù)庫文件要么不加密，要么就會整體性加密，無法合理執(zhí)行加密、解密處理。特別是大型數(shù)據(jù)庫，在數(shù)據(jù)庫加密與解密處理上，很難的到保障[1]。

2）DBMS內(nèi)核層的加密與解密

在內(nèi)核層加密與解密中，包含下述特點(diǎn)：

執(zhí)行時(shí)間：需要在存入數(shù)據(jù)庫之前或者是在取出數(shù)據(jù)庫之時(shí)，也就是在物理數(shù)據(jù)進(jìn)行存取之前；執(zhí)行主體：通過DBMS所提供的存儲過程函數(shù)執(zhí)行或者是由用戶定制。

過程：在數(shù)據(jù)存儲中，調(diào)用加密存儲過程，觸發(fā)器就可以實(shí)現(xiàn)數(shù)據(jù)的加密處理，之后，再將密文數(shù)據(jù)存入到相應(yīng)的數(shù)據(jù)庫之中。在數(shù)據(jù)讀取中，利用相應(yīng)的存儲過程，觸發(fā)器就可以調(diào)用解密數(shù)據(jù)，之后將結(jié)果讀出。

算法：一般是由DBMS系統(tǒng)提供。大多數(shù)不提供自己算法的添加接口，所以，相對而言，在選擇算法會受到限制。

在實(shí)現(xiàn)內(nèi)核層加密中，需要數(shù)據(jù)庫管理系統(tǒng)本身操作的支持，這一種加密需要在執(zhí)行物理存取之前就要做好加密與解密處理。其優(yōu)點(diǎn)在于擁有極強(qiáng)的加密功能，并且DBMS不會對其產(chǎn)生影響，能夠?qū)崿F(xiàn)數(shù)據(jù)庫管理系統(tǒng)與加密功能之間的相互銜接?？紤]到同DBMS系統(tǒng)之間的緊密連接，就可以確保粒度加密本身的靈活性，再配合DBMS的授權(quán)與訪問兩方面的控制，就能成為極好的數(shù)據(jù)保護(hù)方案。另外，這一種加密相對透明，但是需要在服務(wù)器端進(jìn)行加密運(yùn)算，會增加服務(wù)器不本身的負(fù)載，另外，加密器和DBMS之間的接口支持也需要DBMS開發(fā)商的參與。

3）DBMS外層的加密與解密

在外層執(zhí)行加密與解密主要包含兩種模式：第一，圖2（a）之中，主要是在應(yīng)用程序當(dāng)中實(shí)現(xiàn)，在加密過程中可以對應(yīng)用程序的加密模塊加以調(diào)用，進(jìn)而完成相應(yīng)的工作，然后在傳送到DBMS中進(jìn)行存儲；在解密過程中，將數(shù)據(jù)取出到應(yīng)用程序之中，通過解密模塊，就可以實(shí)現(xiàn)數(shù)據(jù)的解密，并且將結(jié)果呈現(xiàn)出來。第二，圖2（b）之中，加密可以直接由操作系統(tǒng)提供的功能來實(shí)現(xiàn)，這一種加密技術(shù)主要是在文件級別上，可以對數(shù)據(jù)庫文件直接加密[2]。

外層加密優(yōu)點(diǎn)在于數(shù)據(jù)庫服務(wù)器負(fù)載不會加重，可以在客戶端實(shí)現(xiàn)加密與解密運(yùn)算，并且也可以實(shí)現(xiàn)網(wǎng)上傳輸?shù)募用芴幚?，但是其加密功能會受到一定的限制，與數(shù)據(jù)庫管理系統(tǒng)之間具備的耦合性相對偏低。

1.2 算法選擇

加密算法的強(qiáng)度直接決定的數(shù)據(jù)庫加密技術(shù)的安全程度，所以加密算法會對其安全和性能產(chǎn)生直接的影響。

1）對稱加密

對稱加密也可以稱之為共享密鑰加密。本算法應(yīng)用相對較早，在對稱加密算法中，原始數(shù)據(jù)和加密密鑰會通過數(shù)據(jù)發(fā)信方的特殊加密算法處理后，將其轉(zhuǎn)化成加密密文，然后發(fā)送出去。如果收信方想要解讀，就需要利用密鑰以及相同的逆算法來對密文進(jìn)行解密處理，然后才可以恢復(fù)成為能夠閱讀的明文?？紤]到對稱加密算法的公開性、速度快、計(jì)算量小，所以成為最常見的機(jī)密技術(shù)手段之一，一般包含了IDEA、AES和DES。

2）非對稱加密

非對稱加密也稱之為公鑰加密。其所使用的是完全不同的，但是又能夠匹配一對鑰匙，即公鑰和私鑰?；驹恚寒?dāng)發(fā)信方只希望收信方才可以解讀相應(yīng)的信息，首先發(fā)信方就應(yīng)該了解收信方擁有的公鑰。然后利用其進(jìn)行原文的加密處理；當(dāng)收信方受到之后，就可以使用私鑰進(jìn)行解密處理。明顯，在進(jìn)行雙方通信之前，收信方需要將隨機(jī)生成的公鑰先發(fā)送給收信方。因?yàn)閮蓚€(gè)密鑰的存在，這一類方式很適合分布式系統(tǒng)數(shù)據(jù)加密中使用。一般來說，RSA是最為常見的加密算法，不僅可以實(shí)現(xiàn)數(shù)據(jù)的加密，同時(shí)還可以實(shí)現(xiàn)數(shù)據(jù)完整性的認(rèn)證以及身份的認(rèn)證。

3）混合加密

對稱加密算法因?yàn)橥粋€(gè)密鑰的使用，所以相對非對稱加密，其速度要快很多，因?yàn)檫m合大量的數(shù)據(jù)處理。但是其缺點(diǎn)在于相同的密鑰使用，所有的發(fā)送方和接收方必須知道密鑰，或者是只需要密鑰就可以進(jìn)行文件的訪問，因此，在生成密鑰、分發(fā)密鑰、備份密鑰等方面很容易出現(xiàn)問題。但是公鑰加密就不會存在分發(fā)的問題，所以，在網(wǎng)絡(luò)系統(tǒng)和多用戶中管理密鑰非常簡單，但是因?yàn)殡y解的數(shù)學(xué)問題，因此，安全強(qiáng)度相比對稱加密要低，并且速度偏慢。

為了將對稱加密和非對稱加密的優(yōu)勢展現(xiàn)出來，就提出了混合加密。在混合加密中，首先需要對稱加密算法以及一個(gè)隨機(jī)生成的密鑰來加密數(shù)據(jù)，之后，利用公鑰進(jìn)行隨機(jī)密鑰的加密處理，之后，將密文一起發(fā)送給接收方。通過私鑰，接收方可以先解密隨機(jī)密鑰，然后利用其進(jìn)行密文的解密處理。這一方案兼顧了速度快、安全強(qiáng)度高的特點(diǎn)，在每一次加密之中，都會使用隨機(jī)密鑰，并且密鑰不會出現(xiàn)重復(fù)的現(xiàn)象。但是在加密過程中，產(chǎn)生密鑰和保存密鑰還存在一定的難度，因此在實(shí)際應(yīng)用中還欠缺應(yīng)用廣泛度。

2 學(xué)籍管理系統(tǒng)中數(shù)據(jù)庫加密技術(shù)的應(yīng)用實(shí)證分析

系統(tǒng)由圖3所示的表示層、業(yè)務(wù)邏輯層以及數(shù)據(jù)服務(wù)層共同組成。

加密與解密控制主要是對用戶的訪問要求進(jìn)行分析，完成表示層與數(shù)據(jù)庫加密系統(tǒng)之間的交互處理；在加密系統(tǒng)中包含了加密字典管理、密鑰管理等，當(dāng)用戶與系統(tǒng)進(jìn)行交互時(shí)，先要使用加密與解密引擎進(jìn)行處理，然后在將訪問傳遞給數(shù)據(jù)服務(wù)層[3]。

在數(shù)據(jù)庫的加密中選擇DBMS的外層加密，如果數(shù)據(jù)相對敏感，會選擇字段級加密粒度的方法，選擇速度快、強(qiáng)度高，能夠滿足安全需求的成熟公鑰加密RSA算法來進(jìn)行數(shù)據(jù)的加密處理。其加密系統(tǒng)包含了數(shù)據(jù)庫加密與解密和加密字典管理程序，用戶利用數(shù)據(jù)庫加密系統(tǒng)就可以在加密字典之中保存基礎(chǔ)的信息以及數(shù)據(jù)庫的加密要求，通過數(shù)據(jù)加密與解密引擎的調(diào)用，就可以實(shí)現(xiàn)數(shù)據(jù)的加密、解密以及數(shù)據(jù)轉(zhuǎn)換等功能，進(jìn)行滿足學(xué)籍管理要求，具體的用戶訪問流程如圖4所示。

通過實(shí)驗(yàn)表明，上述方法實(shí)現(xiàn)的特點(diǎn)如下：

第一，對于最終用戶，是完全透明的，按照實(shí)際的需求，管理人員可以進(jìn)行明文和密文的相互轉(zhuǎn)換；第二，加密系統(tǒng)是獨(dú)立于數(shù)據(jù)庫應(yīng)用系統(tǒng)的，實(shí)現(xiàn)數(shù)據(jù)的加密也不需要改動數(shù)據(jù)庫的應(yīng)用系統(tǒng)；第三，在客戶端進(jìn)行加密與解密處理，不會對數(shù)據(jù)庫服務(wù)器效率帶來影響。

3 結(jié)語

目前，為了確保數(shù)據(jù)庫信息安全，就需要數(shù)據(jù)庫加密技術(shù)的支持，目的是為了在確保數(shù)據(jù)庫中數(shù)據(jù)信息安全的基礎(chǔ)上，避免出現(xiàn)非授權(quán)泄露的問題。數(shù)據(jù)庫加密技術(shù)作為一種安全保護(hù)數(shù)據(jù)的有效措施，在今后的發(fā)展之中必定會得到更廣闊的應(yīng)用空間。

參考文獻(xiàn)：

[1]李慶森.淺談VisualFoxPro數(shù)據(jù)庫加密技術(shù)及其應(yīng)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012（20）：106+111.

[2]馬文斌.數(shù)據(jù)庫中常用的加密技術(shù)[J].同煤科技，2008（02）：9-11.

[3]周婕，李斌.數(shù)據(jù)庫加密系統(tǒng)設(shè)計(jì)研究[J].計(jì)算機(jī)與數(shù)字工程，2011（04）：106-110.