快捷搜索:

数据库加密技术综述

今朝,谋略机大年夜批量数据存储的安然问题、敏感数据的防偷取和防窜改问题越来越引起人们的注重。数据库系统作为谋略机信息系统的核心部件,数据库文件作为信息的凑集体,其安然性将是信息财产的重中之重。 数据库加密的需要性

----大年夜型数据库治理系统的运行平台一样平常是Windows NT和 Unix,这些操作系统的安然级别平日为C1、C2级。它们具有用户注册、识别用户、随意率性存取节制(DAC)、审计等安然功能。虽然DBMS在OS的根基上增添了不少安然步伐,例如基于权限的造访节制等,但OS和DBMS对数据库文件本身仍旧短缺有效的保护步伐,有履历的网上黑客会“绕道而行”,直接使用OS对象偷取或窜改数据库文件内容。这种隐患被称为通向DBMS的“隐秘通道”,它所带来的迫害一样平常数据库用户难以觉察。阐发和堵塞“隐秘通道”被觉得是B2级的安然技巧步伐。对数据库中的敏感数据进行加密处置惩罚,是堵塞这一“隐秘通道”的有效手段。

----据有关资料报道,80%的谋略机犯罪来自系统内部。在传统的数据库系统中,数据库治理员的权力登峰造极,他既认真各项系统治理事情,例如资本分配、用户授权、系统审计等,又可以查询数据库中的统统信息。为此,不少系统以各种手段来削弱系统治理员的权力。实现数据库加密今后,各用户(或用户组)的数据由用户用自己的密钥加密,数据库治理员得到的信息无法进行正常脱密,从而包管了用户信息的安然。别的,经由过程加密,数据库的备份内容成为密文,从而能削减因备份介质掉窃或损掉而造成的丧掉。由此可见,数据库加密对付企业内部安然治理,也是弗成或缺的。

----大概有人觉得,对数据库加密今后会严重影响数据库系统的效率,使系统不堪重负。事实并非如斯。假如在数据库客户端进行数据加/脱密运算,对数据库办事器的负载及系统运行险些没有影响。在通俗PC机上,用纯软件实现DES加密算法的速率跨越200K字节/秒,假如对一篇一万汉字的文章进行加密,其加/脱密光阴仅需1/10秒,这种光阴延迟用户险些无感到。今朝,加密卡的加/脱密速率一样平常为1M位/ 秒,对中小型数据库系统来说,这个速率纵然在办事器端进行数据的加/脱密运算也是可行的,由于一样平常的关系数据项都不会太长(多媒体数据另当别论)。例如,在同一光阴里有10个用户并发查询,每个用户匀称查找1000个汉字的数据,最先获得结果的用户延迟光阴小于0.02秒,着末获得结果的用户也仅需等待约0.16秒。

基础要求

----根据我们的钻研,一个优越的数据库加密系统应该满意以下基础要求:

----1.字段加密

----在今朝前提下,加/脱密的粒度是每个记录的字段数据。假如以文件或列为单位进行加密,一定会形成密钥的反复应用,从而低落加密系统的靠得住性或者因加脱密光阴过长而无法应用。只有以记录的字段数据为单位进行加/脱密,才能适应数据库操作,同时进行有效的密钥治理并完成“一次一密”的密码操作。

----2.密钥动态治理

----数据库客体之间隐含着繁杂的逻辑关系,一个逻辑布局可能对应着多个数据库物理客体,以是数据库加密不仅密钥量大年夜,而且组织和存储工作对照繁杂,必要对密钥实现动态治理。

----3.合理处置惩罚数据

----这包括几方面的内容。首先要恰当地处置惩罚数据类型,否则 DBMS将会因加密后的数据不相符定义的数据类型而回绝加载;其次,必要处置惩罚数据的存储问题,实现数据库加密后,应基础上不增添空间开销。在今朝前提下,数据库关系运算中的匹配字段,如表间连接码、索引字段等数据不宜加密。文献字段虽然是检索字段,但也应该容许加密,由于文献字段的检索处置惩罚采纳了有别于关系数据库索引的正文索引技巧。

----4.不影响合法用户的操作

----加密系统影响数据操作相应光阴应只管即便短,在现阶段,匀称延迟光阴不应跨越1/10秒。此外,对数据库的合法用户来说,数据的录入、改动和检索操作应该是透明的,不必要斟酌数据的加/脱密问题。

不合层次实现数据库加密

----我们可以斟酌在三个不合层次实现对数据库数据的加密,这三个层次分手是OS、DBMS内核层和DBMS外层。

----在OS层,无法辨认数据库文件中的数据关系,从而无法孕育发生合理的密钥,也无法进行合理的密钥治理和应用。以是,在OS层对数据库文件进行加密,对付大年夜型数据库来说,今朝还难以实现。

----3. 安然的数据抽取要领

----供给两种卸出和装入数据库中加密数据的要领:其一是密文要领卸出,这种卸出要领不脱密,卸出的数据照样密文,在这种模式下,可直接应用 DBMS供给的卸出/装入对象;其二是明文要领卸出,这种卸出要领必要脱密,卸出的数据是明文,在这种模式下,可使用系统专用对象先辈行数据转换,再应用DBMS供给的卸出/装入对象完成。

系统布局

----数据库加密系统分成两个功能自力的主要部件:一个是加密字典治理法度榜样,另一个是数据库加/脱密引擎,体系布局如图3所示。

----数据库加密系统将用户对数据库信息详细的加密要求纪录在加密字典中,加密字典是数据库加密系统的根基信息。

----加密字典治理法度榜样,是治理加密字典的实用法度榜样,是数据库治理员变化加密要求的对象。

----加密字典治理法度榜样经由过程数据库加/脱密引擎实现对数据库表的加密、脱密及数据转换等功能,此时,它作为一个特殊客户来应用数据库加/脱密引擎。

----数据库加/脱密引擎是数据库加密系统的核心部件,认真在后台完成数据库信息的加/脱密处置惩罚,对利用开拓职员和操作职员是透明的。

----按以上要领实现的数据库加密系统具有很多优点。首先,系统对数据库的终极用户完全透明,数据治理员可以指定必要加密的数据并根据必要进行明文/密文的转换事情;其次,系统完全自力于数据库利用系统,不必要篡改数据库利用系统就能实现加密功能,同时系统采纳了分组加密法和二级密钥治理,实现了“一次一密”;其三,系统在客户端进行数据加/脱密运算,不会影响数据库办事器的系统效率,数据加/脱密运算基础无延迟感到。

----数据库加密系统能够有效地包管数据的安然,纵然黑客偷取了关键数据,他仍旧难以获得所需的信息,由于所有的数据都颠最后加密。别的,数据库加密今后,可以设定不必要懂得数据内容的系统治理员不能见到明文,大年夜大年夜前进了关键数据的安然性。

您可能还会对下面的文章感兴趣: