| 導購 | 订阅 | 在线投稿
分享
 
 
 

講解數據庫加密技術的功能特性與實現方法

來源:互聯網  2008-06-01 03:25:58  評論

這篇論壇文章(賽迪網技術社區)主要就數據庫加密技術的具體方法和實現進行了簡要的概述,詳細內容請讀者參考下文。

信息安全的核心就是數據庫的安全,也就是說數據庫加密是信息安全的核心問題。數據庫數據的安全問題越來越受到重視,數據庫加密技術的應用極大的解決了數據庫中數據的安全問題,但實現方法各有側重。

隨著電子商務逐漸越來越多的應用,數據的安全問題越來越受到重視。一是企業本身需要對自己的關鍵數據進行有效的保護;二是企業從應用服務提供商(Application Service Provider,ASP)處獲得應用支持和服務,在這種情況下,企業的業務數據存放在ASP處,其安全性無法得到有效的保障。因爲傳統的數據庫保護方式是通過設定口令字和訪問權限等方法實現的,數據庫管理員可以不加限制地訪問和更改數據庫中的所有數據。解決這一問題的關鍵是要對數據本身加密,即使數據不幸泄露或丟失,也難以被人破譯,關于這一點現基本數據庫産品都支持對數據庫中的所有數據加密存儲。

對數據進行加密,主要有三種方式:系統中加密、客戶端(DBMS外層)加密、服務器端(DBMS內核層)加密。客戶端加密的好處是不會加重數據庫服務器的負載,並且可實現網上的傳輸加密,這種加密方式通常利用數據庫外層工具實現。而服務器端的加密需要對數據庫管理系統本身進行操作,屬核心層加密,如果沒有數據庫開發商的配合,其實現難度相對較大。此外,對那些希望通過ASP獲得服務的企業來說,只有在客戶端實現加解密,才能保證其數據的安全可靠。

1. 常用數據庫加密技術

信息安全主要指三個方面。一是數據安全,二是系統安全,三是電子商務的安全。核心是數據庫的安全,將數據庫的數據加密就抓住了信息安全的核心問題。

對數據庫中數據加密是爲增強普通關系數據庫管理系統的安全性,提供一個安全適用的數據庫加密平台,對數據庫存儲的內容實施有效保護。它通過數據庫存儲加密等安全方法實現了數據庫數據存儲保密和完整性要求,使得數據庫以密文方式存儲並在密態方式下工作,確保了數據安全。

1.1 數據庫加密技術的功能和特性

經過近幾年的研究,我國數據庫加密技術已經比較成熟。

一般而言,一個行之有效的數據庫加密技術主要有以下6個方面的功能和特性。

(1)身份認證:

用戶除提供用戶名、口令外,還必須按照系統安全要求提供其它相關安全憑證。如使用終端密鑰。

(2) 通信加密與完整性保護:

有關數據庫的訪問在網絡傳輸中都被加密,通信一次一密的意義在于防重放、防篡改。

(3) 數據庫數據存儲加密與完整性保護:

數據庫系統采用數據項級存儲加密,即數據庫中不同的記錄、每條記錄的不同字段都采用不同的密鑰加密,輔以校驗措施來保證數據庫數據存儲的保密性和完整性,防止數據的非授權訪問和修改。

(4) 數據庫加密設置:

系統中可以選擇需要加密的數據庫列,以便于用戶選擇那些敏感信息進行加密而不是全部數據都加密。只對用戶的敏感數據加密可以提高數據庫訪問速度。這樣有利于用戶在效率與安全性之間進行自主選擇。

(5)多級密鑰管理模式:

主密鑰和主密鑰變量保存在安全區域,二級密鑰受主密鑰變量加密保護,數據加密的密鑰存儲或傳輸時利用二級密鑰加密保護,使用時受主密鑰保護。

(6) 安全備份:

系統提供數據庫明文備份功能和密鑰備份功能。

1.2 對數據庫加密系統基本要求

(1) 字段加密;

(2) 密鑰動態管理;

(3) 合理處理數據;

(4) 不影響合法用戶的操作;

(5) 防止非法拷貝;

1.3 數據加密的算法

加密算法是一些公式和法則,它規定了明文和密文之間的變換方法。密鑰是控制加密算法和解密算法的關鍵信息,它的産生、傳輸、存儲等工作是十分重要的。

數據加密的基本過程包括對明文(即可讀信息)進行翻譯,譯成密文或密碼的代碼形式。該過程的逆過程爲解密,即將該編碼信息轉化爲其原來的形式的過程。

DES算法, DES(Data Encryption Standard)是由IBM公司在1970年以後發展起來的,于1976年11月被美國政府采用,DES隨後被美國國家標准局和美國國家標准協會(American National Standard Institute,ANSI)承認, DES算法把64位的明文輸入塊變爲64位的密文輸出塊,它所使用的密鑰也是64位,DES算法中只用到64位密鑰中的其中56位。

三重DES, DES的密碼學缺點是密鑰長度相對比較短,因此,人們又想出了一個解決其長度的方法,即采用三重DES,三重DES是DES的一種變形。這種方法使用兩個獨立的56位密鑰對交換的信息(如EDI數據)進行3次加密,從而使其有效密鑰長度達到112位或168位, 對安全性有特殊要求時則要采用它。

RSA算法它是第一個既能用于數據加密也能用于數字簽名的算法。它易于理解和操作,也很流行。算法的名字就是發明者的名字:Ron Rivest, AdiShamir 和Leonard Adleman, 但RSA的安全性一直未能得到理論上的證明, RSA的安全性依賴于大數的因子分解,但並沒有從理論上證明破譯RSA的難度與大數分解難度等價。即RSA的重大缺陷是無法從理論上把握它的保密性能如何,而且密碼學界多數人士傾向于因子分解不是NPC問題, RSA算法是第一個能同時用于加密和數字簽名的算法,也易于理解和操作。RSA是被研究得最廣泛的公鑰算法,從提出到現在已近二十年,經曆了各種攻擊的考驗,逐漸爲人們接受,普遍認爲是目前最優秀的公鑰方案之一。

AES是美國高級加密標准算法,將在未來幾十年裏代替DES在各個領域中得到廣泛應用,盡管人們對AES還有不同的看法,但總體來說,AES作爲新一代的數據加密標准彙聚了強安全性、高性能、高效率、易用和靈活等優點。AES設計有三個密鑰長度:128,192,256位,相對而言,AES的128密鑰比DES的56密鑰強1021倍。AES算法主要包括三個方面:輪變化、圈數和密鑰擴展。在理論上,此加密方法需要國家軍事量級的破解設備運算10年以上時間才可能破譯。

1.4 數據庫數據加密的實現

使用數據庫安全保密中間件對數據庫進行加密是最簡便直接的方法。主要是通過系統中加密、DBMS內核層(服務器端)加密和DBMS外層(客戶端)加密。

在系統中加密,在系統中無法辨認數據庫文件中的數據關系,將數據先在內存中進行加密,然後文件系統把每次加密後的內存數據寫入到數據庫文件中去,讀入時再逆方面進行解密就,這種加密方法相對簡單,只要妥善管理密鑰就可以了。缺點對數據庫的讀寫都比較麻煩,每次都要進行加解密的工作,對程序的編寫和讀寫數據庫的速度都會有影響。

在DBMS內核層實現加密需要對數據庫管理系統本身進行操作。這種加密是指數據在物理存取之前完成加解密工作。這種加密方式的優點是加密功能強,並且加密功能幾乎不會影響DBMS的功能,可以實現加密功能與數據庫管理系統之間的無縫耦合。其缺點是加密運算在服務器端進行,加重了服務器的負載,而且DBMS和加密器之間的接口需要DBMS開發商的支持。

在DBMS外層實現加密的好處是不會加重數據庫服務器的負載,並且可實現網上的傳輸,加密比較實際的做法是將數據庫加密系統做成DBMS的一個外層工具,根據加密要求自動完成對數據庫數據的加解密處理。

采用這種加密方式進行加密,加解密運算可在客戶端進行,它的優點是不會加重數據庫服務器的負載並且可以實現網上傳輸的加密,缺點是加密功能會受到一些限制,與數據庫管理系統之間的耦合性稍差。

數據庫加密系統分成兩個功能獨立的主要部件:一個是加密字典管理程序,另一個是數據庫加解密引擎。數據庫加密系統將用戶對數據庫信息具體的加密要求以及基礎信息保存在加密字典中,通過調用數據加解密引擎實現對數據庫表的加密、解密及數據轉換等功能。數據庫信息的加解密處理是在後台完成的,對數據庫服務器是透明的。

按以上方式實現的數據庫加密系統具有很多優點:首先,系統對數據庫的最終用戶是完全透明的,管理員可以根據需要進行明文和密文的轉換工作;其次,加密系統完全獨立于數據庫應用系統,無須改動數據庫應用系統就能實現數據加密功能;第三,加解密處理在客戶端進行,不會影響數據庫服務器的效率。

數據庫加解密引擎是數據庫加密系統的核心部件,它位于應用程序與數據庫服務器之間,負責在後台完成數據庫信息的加解密處理,對應用開發人員和操作人員來說是透明的。數據加解密引擎沒有操作界面,在需要時由操作系統自動加載並駐留在內存中,通過內部接口與加密字典管理程序和用戶應用程序通訊。數據庫加解密引擎由三大模塊組成:加解密處理模塊、用戶接口模塊和數據庫接口模塊。

2. 結束語

上面的論述還遠遠沒達到數據庫安全需要,比如現在的數據庫基本都基于網絡架構,網際的安全傳輸等,也是要重點考慮的方面。一個好的安全系統必須綜合考慮核運用這些技術,以保證數據的安全,通過以上論述希望對大家有所幫助,同時也和大家一起討論一起學習,共同進步。

這篇論壇文章(賽迪網技術社區)主要就數據庫加密技術的具體方法和實現進行了簡要的概述,詳細內容請讀者參考下文。 信息安全的核心就是數據庫的安全,也就是說數據庫加密是信息安全的核心問題。數據庫數據的安全問題越來越受到重視,數據庫加密技術的應用極大的解決了數據庫中數據的安全問題,但實現方法各有側重。 隨著電子商務逐漸越來越多的應用,數據的安全問題越來越受到重視。一是企業本身需要對自己的關鍵數據進行有效的保護;二是企業從應用服務提供商(Application Service Provider,ASP)處獲得應用支持和服務,在這種情況下,企業的業務數據存放在ASP處,其安全性無法得到有效的保障。因爲傳統的數據庫保護方式是通過設定口令字和訪問權限等方法實現的,數據庫管理員可以不加限制地訪問和更改數據庫中的所有數據。解決這一問題的關鍵是要對數據本身加密,即使數據不幸泄露或丟失,也難以被人破譯,關于這一點現基本數據庫産品都支持對數據庫中的所有數據加密存儲。 對數據進行加密,主要有三種方式:系統中加密、客戶端(DBMS外層)加密、服務器端(DBMS內核層)加密。客戶端加密的好處是不會加重數據庫服務器的負載,並且可實現網上的傳輸加密,這種加密方式通常利用數據庫外層工具實現。而服務器端的加密需要對數據庫管理系統本身進行操作,屬核心層加密,如果沒有數據庫開發商的配合,其實現難度相對較大。此外,對那些希望通過ASP獲得服務的企業來說,只有在客戶端實現加解密,才能保證其數據的安全可靠。 1. 常用數據庫加密技術 信息安全主要指三個方面。一是數據安全,二是系統安全,三是電子商務的安全。核心是數據庫的安全,將數據庫的數據加密就抓住了信息安全的核心問題。 對數據庫中數據加密是爲增強普通關系數據庫管理系統的安全性,提供一個安全適用的數據庫加密平台,對數據庫存儲的內容實施有效保護。它通過數據庫存儲加密等安全方法實現了數據庫數據存儲保密和完整性要求,使得數據庫以密文方式存儲並在密態方式下工作,確保了數據安全。 1.1 數據庫加密技術的功能和特性 經過近幾年的研究,我國數據庫加密技術已經比較成熟。 一般而言,一個行之有效的數據庫加密技術主要有以下6個方面的功能和特性。 (1)身份認證: 用戶除提供用戶名、口令外,還必須按照系統安全要求提供其它相關安全憑證。如使用終端密鑰。 (2) 通信加密與完整性保護: 有關數據庫的訪問在網絡傳輸中都被加密,通信一次一密的意義在于防重放、防篡改。 (3) 數據庫數據存儲加密與完整性保護: 數據庫系統采用數據項級存儲加密,即數據庫中不同的記錄、每條記錄的不同字段都采用不同的密鑰加密,輔以校驗措施來保證數據庫數據存儲的保密性和完整性,防止數據的非授權訪問和修改。 (4) 數據庫加密設置: 系統中可以選擇需要加密的數據庫列,以便于用戶選擇那些敏感信息進行加密而不是全部數據都加密。只對用戶的敏感數據加密可以提高數據庫訪問速度。這樣有利于用戶在效率與安全性之間進行自主選擇。 (5)多級密鑰管理模式: 主密鑰和主密鑰變量保存在安全區域,二級密鑰受主密鑰變量加密保護,數據加密的密鑰存儲或傳輸時利用二級密鑰加密保護,使用時受主密鑰保護。 (6) 安全備份: 系統提供數據庫明文備份功能和密鑰備份功能。 1.2 對數據庫加密系統基本要求 (1) 字段加密; (2) 密鑰動態管理; (3) 合理處理數據; (4) 不影響合法用戶的操作; (5) 防止非法拷貝; 1.3 數據加密的算法 加密算法是一些公式和法則,它規定了明文和密文之間的變換方法。密鑰是控制加密算法和解密算法的關鍵信息,它的産生、傳輸、存儲等工作是十分重要的。 數據加密的基本過程包括對明文(即可讀信息)進行翻譯,譯成密文或密碼的代碼形式。該過程的逆過程爲解密,即將該編碼信息轉化爲其原來的形式的過程。 DES算法, DES(Data Encryption Standard)是由IBM公司在1970年以後發展起來的,于1976年11月被美國政府采用,DES隨後被美國國家標准局和美國國家標准協會(American National Standard Institute,ANSI)承認, DES算法把64位的明文輸入塊變爲64位的密文輸出塊,它所使用的密鑰也是64位,DES算法中只用到64位密鑰中的其中56位。 三重DES, DES的密碼學缺點是密鑰長度相對比較短,因此,人們又想出了一個解決其長度的方法,即采用三重DES,三重DES是DES的一種變形。這種方法使用兩個獨立的56位密鑰對交換的信息(如EDI數據)進行3次加密,從而使其有效密鑰長度達到112位或168位, 對安全性有特殊要求時則要采用它。 RSA算法它是第一個既能用于數據加密也能用于數字簽名的算法。它易于理解和操作,也很流行。算法的名字就是發明者的名字:Ron Rivest, AdiShamir 和Leonard Adleman, 但RSA的安全性一直未能得到理論上的證明, RSA的安全性依賴于大數的因子分解,但並沒有從理論上證明破譯RSA的難度與大數分解難度等價。即RSA的重大缺陷是無法從理論上把握它的保密性能如何,而且密碼學界多數人士傾向于因子分解不是NPC問題, RSA算法是第一個能同時用于加密和數字簽名的算法,也易于理解和操作。RSA是被研究得最廣泛的公鑰算法,從提出到現在已近二十年,經曆了各種攻擊的考驗,逐漸爲人們接受,普遍認爲是目前最優秀的公鑰方案之一。 AES是美國高級加密標准算法,將在未來幾十年裏代替DES在各個領域中得到廣泛應用,盡管人們對AES還有不同的看法,但總體來說,AES作爲新一代的數據加密標准彙聚了強安全性、高性能、高效率、易用和靈活等優點。AES設計有三個密鑰長度:128,192,256位,相對而言,AES的128密鑰比DES的56密鑰強1021倍。AES算法主要包括三個方面:輪變化、圈數和密鑰擴展。在理論上,此加密方法需要國家軍事量級的破解設備運算10年以上時間才可能破譯。 1.4 數據庫數據加密的實現 使用數據庫安全保密中間件對數據庫進行加密是最簡便直接的方法。主要是通過系統中加密、DBMS內核層(服務器端)加密和DBMS外層(客戶端)加密。 在系統中加密,在系統中無法辨認數據庫文件中的數據關系,將數據先在內存中進行加密,然後文件系統把每次加密後的內存數據寫入到數據庫文件中去,讀入時再逆方面進行解密就,這種加密方法相對簡單,只要妥善管理密鑰就可以了。缺點對數據庫的讀寫都比較麻煩,每次都要進行加解密的工作,對程序的編寫和讀寫數據庫的速度都會有影響。 在DBMS內核層實現加密需要對數據庫管理系統本身進行操作。這種加密是指數據在物理存取之前完成加解密工作。這種加密方式的優點是加密功能強,並且加密功能幾乎不會影響DBMS的功能,可以實現加密功能與數據庫管理系統之間的無縫耦合。其缺點是加密運算在服務器端進行,加重了服務器的負載,而且DBMS和加密器之間的接口需要DBMS開發商的支持。 在DBMS外層實現加密的好處是不會加重數據庫服務器的負載,並且可實現網上的傳輸,加密比較實際的做法是將數據庫加密系統做成DBMS的一個外層工具,根據加密要求自動完成對數據庫數據的加解密處理。 采用這種加密方式進行加密,加解密運算可在客戶端進行,它的優點是不會加重數據庫服務器的負載並且可以實現網上傳輸的加密,缺點是加密功能會受到一些限制,與數據庫管理系統之間的耦合性稍差。 數據庫加密系統分成兩個功能獨立的主要部件:一個是加密字典管理程序,另一個是數據庫加解密引擎。數據庫加密系統將用戶對數據庫信息具體的加密要求以及基礎信息保存在加密字典中,通過調用數據加解密引擎實現對數據庫表的加密、解密及數據轉換等功能。數據庫信息的加解密處理是在後台完成的,對數據庫服務器是透明的。 按以上方式實現的數據庫加密系統具有很多優點:首先,系統對數據庫的最終用戶是完全透明的,管理員可以根據需要進行明文和密文的轉換工作;其次,加密系統完全獨立于數據庫應用系統,無須改動數據庫應用系統就能實現數據加密功能;第三,加解密處理在客戶端進行,不會影響數據庫服務器的效率。 數據庫加解密引擎是數據庫加密系統的核心部件,它位于應用程序與數據庫服務器之間,負責在後台完成數據庫信息的加解密處理,對應用開發人員和操作人員來說是透明的。數據加解密引擎沒有操作界面,在需要時由操作系統自動加載並駐留在內存中,通過內部接口與加密字典管理程序和用戶應用程序通訊。數據庫加解密引擎由三大模塊組成:加解密處理模塊、用戶接口模塊和數據庫接口模塊。 2. 結束語 上面的論述還遠遠沒達到數據庫安全需要,比如現在的數據庫基本都基于網絡架構,網際的安全傳輸等,也是要重點考慮的方面。一個好的安全系統必須綜合考慮核運用這些技術,以保證數據的安全,通過以上論述希望對大家有所幫助,同時也和大家一起討論一起學習,共同進步。
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有