学文网摘 要:信息安全的核心就是数据库的安全,也就是说数据库加密是信息安全的核心问题。数据库数据的安全问题越来越受到重视,数据库加密技术的应用极大的解决了数据库中数据的安全问题,但实现方法各有侧重。
关键词:数据库加密;加密算法、加密实现;加密的应用
一、加密的概念
数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密,即将该编码信息转化为其原来数据的过程。
二、 数据库加密技术的功能和特性
一般而言,一个行之有效的数据库加密技术主要有以下6个方面的功能和特性。
1、身份认证。用户除提供用户名、口令外,还必须按照系统安全要求提供其它相关安全凭证。如使用终端密钥。
2、通信加密与完整性保护。有关数据库的访问在网络传输中都被加密,通信一次一密的意义在于防泄密、防篡改。
3、数据库数据存储加密与完整性保护。数据库系统采用数据项级存储加密,即数据库中不同的记录、每条记录的不同字段都采用不同的密钥加密,辅以校验措施来保证数据库数据存储的保密性和完整性,防止数据的非授权访问和修改。
4、数据库加密设置。系统中可以选择需要加密的数据库列,以便于用户选择那些敏感信息进行加密而不是全部数据都加密。只对用户的敏感数据加密可以提高数据库访问速度。这样有利于用户在效率与安全性之间进行自主选择。
5、多级密钥管理模式。主密钥和主密钥变量保存在安全区域,二级密钥受主密钥变量加密保护,数据加密的密钥存储或传输时利用二级密钥加密保护,使用时受主密钥保护。
6、安全备份。系统提供数据库明文备份功能和密钥备份功能。
三、 数据加密的算法
加密算法是一些公式和法则,它规定了明文和密文之间的变换方法。密钥是控制加密算法和解密算法的关键信息,它的产生、传输、存储等工作是十分重要的。
数据加密的基本过程包括对明文(即可读信息)进行翻译,译成密文或密码的代码形式。该过程的逆过程为解密,即将该编码信息转化为其原来的形式的过程。
DES算法,对称密钥加密算法DES(Data Encryption Standard)是把64位的明文输入块变为64位的密文输出块,它所使用的密钥也是64位,DES算法中只用到64位密钥中的其中56位。DES的密码学缺点是密钥长度相对比较短,因此,人们又想出了一个解决其长度的方法,即采用三重DES,三重DES是DES的一种变形。这种方法使用两个***的56位密钥对交换的信息如EDI数据进行3次加密,从而使其有效密钥长度达到112位或168位, 对安全性有特殊要求时则要采用它。
RSA(Rivest-Shamir-Adleman)算法它是第一个既能用于数据加密也能用于数字签名的算法。它易于理解和操作,也很流行。但RSA的安全性一直未能得到理论上的证明, RSA的安全性依赖于大数的因子分解,但并没有从理论上证明破译RSA的难度与大数分解难度等价。
AES是美国高级加密标准算法,将在未来几十年里代替DES在各个领域中得到广泛应用,尽管人们对AES还有不同的看法,但总体来说,AES作为新一代的数据加密标准汇聚了强安全性、高性能、高效率、易用和灵活等优点。
四、数据库数据加密的实现
使用数据库安全保密中间件对数据库进行加密是最简便直接的方法。主要是通过系统中加密、DBMS内核层(服务器端)加密和DBMS外层(客户端)加密。
在系统中加密,在系统中无法辨认数据库文件中的数据关系,将数据先在内存中进行加密,然后文件系统把每次加密后的内存数据写入到数据库文件中去,读入时再逆方面进行解密,这种加密方法相对简单,只要妥善管理密钥就可以了。
在DBMS内核层实现加密需要对数据库管理系统本身进行操作。这种加密是指数据在物理存取之前完成加解密工作。这种加密方式的优点是加密功能强,并且加密功能几乎不会影响DBMS的功能,可以实现加密功能与数据库管理系统之间的无缝耦合。
数据库加密系统分成两个功能***的主要部件:一个是加密字典管理程序,另一个是数据库加解密引擎。数据库加密系统将用户对数据库信息具体的加密要求以及基础信息保存在加密字典中,通过调用数据加解密引擎实现对数据库表的加密、解密及数据转换等功能。数据库信息的加解密处理是在后成的,对数据库服务器是透明的。
五、加密技术的应用
1、在电子商务方面的应用
电子商务(E-business)要求顾客可以在网上进行各种商务活动,不必担心自己的信用卡会被人盗用。在过去,用户为了防止信用卡的号码被窃取到,一般是通过电话订货,然后使用用户的信用卡进行付款。现在人们开始用RSA(一种公开/私有密钥)的加密技术,提高信用卡交易的安全性,从而使电子商务走向实用成为可能。
2、加密技术在***中的应用
当今的网络社会人们的要求希望将这些LAN连结在一起组成一个公司的广域网,这个在现在已不是什么难事了。现在具有加密/解密功能的路由器已到处都是,这就使人们通过互联网连接这些局域网成为可能,这就是我们通常所说的虚拟专用网(Virtual Private Network ,***)。当数据离开发送者所在的局域网时,该数据首先被用户湍连接到互联网上的路由器进行硬件加密,数据在互联网上是以加密的形式传送的,当达到目的LAN的路由器时,该路由器就会对数据进行解密,这样目的LAN中的用户就可以看到真正的信息了。
3、密钥交换
假设你需要发送一份受保护报文给某人,而你们相互不认识。这种情形比你想像的要普遍。例如,可能想发送你的所得税申报表给***府。你希望信息受保护,但并不需要知道接收信息的人是谁。同样,可能想用你的web浏览器连接一个购物站点,或交换私人的(加密的)E-mail,或安排两台主机建立受保护的信道。这些情形都需要交换加密密钥,并且没有其他人能截取它。事先不认识的双方交换密码密钥的问题既困难也重要。实际上,这个问题几乎是循环的:为了建立一个加密的会话,就需要一个加密的手段来交换密钥。
4、数字签名
普通人会遇到的另一种典型情形是:从一个人到另一个人的资金转移。换句话说,我们希望能用电子方式发送计算机化的支票。使用支票的交易要依赖规定格式的有形事物,但通过计算机交易就不存在有形事物了,因此,通过计算机同意支付就需要一种不同的方式。数字签名(digital signature)就是产生和真实签名相同效果的协议:它是一个只有发送者才可以生成的标志,而且其他人可以轻易的辨认出它是否属于发送者。就像真实签名一样,数字签名用来证实对报文的批准。公钥加密完全适合于数字签名,但还有其他的一些途径来实现,有人使用对称加密,有人使用非对称的。
六、总结
由于在现实生活中,我们要确保一些敏感的数据只能被有相应权限的人看到,要确保信息在传输的过程中不会被篡改,截取,这就需要很多的安全系统大量的应用于***府、大公司以及个人系统。该论述还远远没达到数据库安全需要,比如现在的数据库基本都给与网络架构,网际的安全传输等,也是要重点考虑的方面等等。 一个好的安全系统必须综合考虑这些技术的综合运用,以保证数据的安全。