数据库加密系统研究作者:杨 枫来源:《沿海企业与科技》2009年第03期 摘要 数据库安全保护是指保护数据库中的数据,防止无关人员或非授权人员对数据库中数据的窃取、篡改和破坏。数据库的突出特点是数据的集中存放和共享。随着计算机技术的发展和应用的深入,数据库的应用已触及社会的各个角落。研究数据库加密系统的相关理论,密文索引、密钥管理等数据加密系统中的关键技术,保护数据库中的数据不被窃取、破坏是非常重要的。
关键词 数据库加密;加密粒度;加密算法
作者简介 杨枫,唐山学院图书馆助理馆员,研究方向:数据库安全,河北 唐山,063000
中图分类号 TP309 文献标识码 A 文章编号 1007-7723(2009)03-0016-0003
一、引言
随着信息技术的发展,数据的安全问题被提到前所未有的高度。传统的数据库保护方式是通过设定口令字和访问权限等方法实现的,数据库管理员可以不加限制地访问数据库中的所有数据。解决这一重大安全隐患的关键是要对数据本身加密,即使数据不幸泄露或丢失,也难以被人破译。 二、数据库加密
数据库加密,大致可以分为两种方式:DBMS外部加密和DBMS内部加密。
DBMS外部加密一般选择在应用程序和操作系统,通过调用加/解密函数来完成加密数据的存储和访问。DBMS外部加密的优点是,不需要修改DBMS,只需要在应用程序或者操作系统中增加相应的加,解密模块即可。但是,这种方法也有一些缺点,首先它不能支持各种加密粒度。在操作系统中加密时,加密的粒度是基于文件,对应到数据库中则是相应的表或者整个数据库,这种加密粒度非常粗糙,最直接的影响是,加/解密的工作相当大,极大地降低系统性能。
在DBMS内部加密,一般选择在数据物理存取之前进行加,解密操作。DBMS在将内存中的数据写到磁盘时,进行加密操作,而从磁盘读取数据到内存中时,进行相应的解密操作。这种方法的优点是,由于DBMS能够区分各种粒度的数据,所以可以支持各种粒度的加密,加密的灵活性较好。另外,在DBMS内部实现加密,可以更有效地和DBMS内部的访问控制机制、授权机制等各种功能结合起来。更重要的是,数据库一个重要特点是被多个应用共享,这种方法的加,解密都是在DBMS内部完成,对应用程序是透明的,不需要在多个应用中进行修改,容易保持数据的一致性。缺点是需要修改DBMS的内核,DBMS是一个非常复杂的软件,对它进行修改是一件非常艰巨的任务。 三、数据库加密系统的基本概念
(1)访问控制:在开放的系统中,对一个主体访问一个客体功能、服务和能力的限制。
(2)自主访问控制:一种基于对主体或客体所属主体组的识别来限制对客体的访问。自主是指对其他主体具有授予某种访问权限的主体能够自主地(直接或间接地)将访问权或访问权的某个子集授予给其他的主体。
(3)强制访问控制:一种基于客体所包含信息的敏感度和主体对该敏感度的客体是否有正式的存取授权来限制对客体访问的机制。
(4)敏感数据:敏感数据就是不应公开的数据。敏感数据取决于具体的数据库和数据的含义。
(5)多级安全:是军事安全模型的一种数学描述,它用计算机可实现的方式定义。多级安全模型有两个重要性质:简单安全特性和一般特性。
(6)多级安全的粒度:是指一个多级安全所控制的最小单位。它的含义与并发控制的粒度相似。多级安全的粒度通常可以分为:表级、列级、元组级、元素级。其中表级最大,元素级最小。
(7)加密粒度:采用同一密钥和加密算法进行加密的数据粒度。
四、加密粒度
按照数据库的结构层次,数据库的加密粒度可以分为数据库级、表级、记录级、字段级和数据项级。根据不同的直用需要,选择合适的加密粒度。
(一)数据库级
加密的对象是整个数据库,这意味着对所有的用户数据表、系统数据表、索引、视图和存储过程等都进行加密处理。这种加密方法简单,只需要对存储在磁盘中的相应数据库文件进行加密处理,密钥的数量少,一个数据库只对应一个密钥,管理方便。但是,数据库的数据共享性高,被多个用户和应用共享使用,需要接受大量的随机访问。一般来说,用户访问数据库时,是为了将符合条件的记录检索出来。如果采用数据库级加密方式,即使只需要查询少量的记录,也需要对整个数据库进行解密,对系统性能会产生极大的影响。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议