（计算机应用技术专业论文）基于net的考试系统中的数据安全技术研究.pdf

摘要 本文主要介绍了基于n e t 的考试系统、管理子系统的需求分析、总体设计和详细的 设计过程、并在此基础建立了后台数据库，利用a s p n e t 和s q l ( s t r u c t u r e dq u e r y l a n g u a g e ) 数据库技术开发实现了在线考试系统。它具有用户登录验证、用户在线考试、 动态随机出题、自动判卷、用户管理、试卷管理、成绩管理等功能，管理系统是网站的 重要组成部分，其功能涉及到网站整体的使用与更新等，本子系统主要由四个模块组成： 用户管理模块、试题管理模块、成绩管理模块与管理员管理模块，分别包括了系统各种 相关数据信息的增加、修改、删除等功能。 考试系统是一个数据密集型应用系统，其数据库系统担负着存储和管理考试系统所 有数据的任务，敏感数据一旦泄漏将直接影响考试的公平和权威性。本文重点结合考试 系统的安全保护特点，针对网络数据库所带来的非法访问、黑客攻击、数据篡改等安全 问题进行了分析，在s q ls e r v e r 本身的安全管理机制的基础上，利用身份认证技术、 数字签名技术、访问控制技术和数据库加密技术等形成一套安全增强方案，主要是：针 对非法用户访问数据库的安全漏洞，提出了对管理人员进行“口令+ r s a 数字签名 双重 认证方案；针对数据库中敏感数据的安全需求，提出数据库加密模型，设计一种基于三 重d e s 算法和r s a 算法的混合加密算法，实现系统中的数据保密性。该安全增强方案在 一定程度上弥补了当前大多数考试系统在数据库安全方面的缺陷。 关键字：考试系统，n e t ，数据安全，加密算法 a b s t r a c t 删sp a p e rm a i n l yp r e s e n t e dt h er e q u i r e m e n ta n a l y s i s ，g e n e r a ld e s i g na n dd e t a i l e dd e s i g n p r o c e s s e sb a s e do n n e t t h eb a c k g r o u n d sd a t a b a s ew a sa l s ob u i l tb a s e do nt h e m t h eo n l i n e e x a m i n a t i o ns y s t e mw a sd e v e l o p e dw i t ha s p n e ta n ds q l ( s t r u c t u r e dq u e r yl a n g u a g e ) d a t a b a s et e c h n o l o g y i ti n c l u d e du s e r s l o g i nc e r t i f i c a t i o n ，o n l i n ee x a m ，d y n a m i ct e s t i n g a c t i v i t y ，a u t o m a t i cm a r k i n g , u s e r s m a n a g e m e n t ，p a p e r sm a n a g e m e n t ，s c o r em a n a g e m e n t ，e t c m a n a g e m e n ts y s t e mw a sa ni m p o r t a n tp a r to fw e b s i ma n di t sf u n c t i o n sc o n c e r n e dw i t ht h e a p p l i c a t i o na n du p d a t i n go ft h ew h o l ew e b s i t e t l l i ss u b s y s t e mi n c l u d e d4m o d u l e s ：b s e i s m a n a g e m e n t , t e s t i n gm a n a g e m e n t , s c o r em a n a g e m e n t ，a d m i n i s t r a t o r sm a n a g e m e n ta n d i n c r e a s i n g , m o d i f y i n g ，d e l e t i n gc o u l db er e a l i z e di nt h i ss u b s y s t e m e x a m i n a t i o ns y s t e mi sad a t a - i n t e n s i v ea p p l i c a t i o ns y s t e m ，t h ed a t a b a s es y s t e m s u p p o r t e da l lt h ed a t ao fs t o r i n ga n dm a n a g e m e n to ft h i ss y s t e m t h el e a ko fs e n s i t i v ed a t a w o u l dl e a dt oi n f l u e n c et h ef a i m e s sa n da u t h o r i t yo ft h ee x a m i n a t i o ns y s t e m t h i sp a p e r d e s i g n e das e to fs e c u r i t ye n h a n c e m e n tw h i c hw a s b a s e do ni dc e r t i f i c a t i o n , d i g i t a ls i g n i n g , a c c e s s c o n t r o l l i n g , a n d d a t a b a s e c n c r y p t i o n t h e m a i nt a s k si n c l u d e d ：t h ed o u b l e a u t h e n t i c a t i o n p a s s w o r d 上r s ad i g i t a ls i g n a t u r e ”f o ra d m i n i s t r a t o ra c c o r d i n gt od a t a b a s e s e c u r i t yl o o p h o l e sa g a i n s tu n a u t h o r i z e du s e r s ，a n dp r o p o s i n gad a t a b a s ee n c r y p t i o nm o d u l e ， d e s i g n i n gam i x e de n c r y p t i o na l g o r i t h mb a s e do nt r i - d e sa n dr s a t h ed a t ai nt h i ss y s t e m w a se n c r y p t e dw i t ht h i sm e t h o d 。i nac e r t a i ne x t e n t , t h es e c u r i t ye n h a n c e m e n tm a k e su pt h e d e f e c t so ft h en e t w o r kd a t a b a s es e c u r i t ym o s te x a m i n a t i o ns y s t e m sa tp r e s e n t k e yw o r d s ：e x a m i n a t i o ns y s t e m ，n e t , d a t as e c u r i t y , e n c r y p ta l g o r i t h m 原创性声明 本人郑重声明：所呈交的学位论文，是本人在指导教师的指导下， 独立进行研究所取得的成果。除文中已经注明引用的内容外，本论文 不包含其他个人或集体已经发表或撰写过的科研成果。对本文的研究 作出重要贡献的个人和集体，均已在文中以明确方式标明。本声明的 法律责任由本人承担。 论文作者签名：堑嘻l 日期：兰竺l 二一 关于学位论文使用权的说明 本人完全了解中北大学有关保管、使用学位论文的规定，其中包 括：学校有权保管、并向有关部门送交学位论文的原件与复印件； 学校可以采用影印、缩印或其它复制手段复制并保存学位论文； 学校可允许学位论文被查阅或借阅；学校可以学术交流为目的，复 制赠送和交换学位论文；学校可以公布学位论文的全部或部分内容 ( 保密学位论文在解密后遵守此规定) 。 签名： 导师签名： 中北大学学位论文 1 1 课题背景 1 绪论 计算机技术、网络通信技术和多媒体技术的飞速发展，特别是i n t e r n e t 在全球得 到迅速发展和广泛普及，为人们提供了一个巨大的信息资源共享空间。人们越来越依靠 计算机网络作为彼此合作、交流的主要渠道。信息化社会对教育提出了新的要求，教育 的终身化、全球化和高效化使基于i n t e r n e t 的多媒体远程教学成为现代教育技术的一 个重要研究领域。“信息高速公路 的建立将对学校的教育观念、教学内容、教学方法 乃至整个教育结构产生重大而深刻的影响。 在传统方式下，组织一次考试至少要经过五个步骤：即人工出题、考生考试、人工 阅卷、成绩评估和试卷分析。显然，随着考试类型的不断增加及考试要求的不断提高， 教师的工作量将会越来越大，并且其工作将是一件十分烦琐和非常容易出错的事情，可 以说传统的考试方式已经不能适应现代考试的需要。作为衡量教学效果的考试，其形式 与内容也发生了巨大的变化，于是基于i n t e r n e t 的考试系统应运而生。 基于i n t e r n e t 的考试系统，突破了传统考试的诸多限制，可通过计算机网络实现 考题资源共享，计算机考试系统采用随机抽题组卷的方式，试题抽取范围相对较大，并 可同时生成多套试卷，从而使试卷整体覆盖面变大，可较全面的考察考生的实际水平， 保证了考试的客观准确性：另外，计算机考试系统的客观题可自动评分，无任何人为因 素，不仅能够使教师摆脱繁重的阅卷负担，提高阅卷速度，而且可以避免人为误差及人 情分等问题，保证了考试的公平公正，因而计算机考试系统具有保密程度高、客观性强、 评分迅速、公正，便于组织大规模异地实时考试等优势。使用考试系统，还可以更有效 地实现考试结果的分析。教师只能从有限的几个方面来分析考试，如根据最高分、最低 分、平均分了解班级的整体水平，凭自己的印象寻找错误率较高的题目等，在线考试系 统则可以发挥计算机速度优势，考虑各种因素和关联规则，充分挖掘考试结果，得到内 容更详细和层次更高的分析结果，以便利用这些分析结果来改善教学方法，提高教学质 量。 l 中北大学学位论文 1 2 考试系统的研究现状分析 1 2 1 考试的研究现状 随着w e b 应用开发技术的发展，基于n e t 技术构建的在线考试系统也在不断的发展 着，很多考试系统使用a s p 、j s p + s e r v l e t 、p h p 进行开发，甚至基于企业级平台j 2 e e 、n e t 的系统也出现了。 目前，考试系统所进行的研究开发工作已经发展了一段时间，基于n e t 技术的考试 系统己成为发展的主流。分布式计算技术、组件技术、数据传输过程的安全性、访问控 制技术、身份识别技术、数据库安全、共享等也都逐渐被融入了在线考试系统当中。对 于很多方面的研究也都有了长足的发展。比如在身份识别验证的研究中，葛丽娜等提出 了基于椭圆曲线密码体制的网上考试系统身份认证方案，b r e n ta u e r n h e i m e r 等提出了 基于生物鉴定学( 指纹) 的身份识别方案。 v i k r a mj a m w a l 和s r i d h a ri y e r 使用了分布式计算技术移动a g e n t ( m o b il ea g e n t ) 搭建在线考试系统，其基本工作原理是考试开始时在每个考试中心的分布服务器上创建 q u e s t i o na g e n t ，发送给考生所在的节点；当考试结束，q u e s t i o na g e n t 携带考生所做 的答案返回服务器。 由于移动a g e n t 是能在网络中各个节点迁移的动态自治的实体，因此可以使得在线 考试系统无需持续的网络连接，减少网络负载，可以动态扩展，便于重构等特点。【1 1 但 是由于移动a g e n t 系统还很不成熟，存在着各种各样的缺陷，因此离真正的实用还有很 大距离。 l i a n gz h a n g 等人在在线系统当中使用了d c o m 技术，这个系统的核心部分是一个中 间件服务器组件和客户端组件模块。中间件服务器提供客户端组件与应用服务器或数据 库服务器的通信接口；客户端组件作为浏览器控件，在考试中与中间件服务器进行信息 的交互。系统客户端组件自动下载和升级，并且使得考生可以通过客户端组件使用 m s - o f f i c e 来进行考试。这个系统依照微软d c o m 标准开发，因此具有d c o m 系统的优点。 但是存在的不足就是依然不能在考试期间脱离网络，不能避免考生通过网络进行作弊。 x m l 技术的出现，使得数据表示方式有了更大的空间，也使得w e b 应用的数据访问 2 中北大学学位论文 可以通过x m l 来进行，减少对数据库的操作。 2 1 以x m l 作为试题存储方式的在线考试系 统也应运而生。在m a s a h i r oy a m a m o t o 构建的系统中，教师构建试题，将试题存储在x m l 文件中。考试过程中，当考生通过浏览器请求试题页面时，试题页面通过x s l t 技术解 析x m l 文件加载试题，不用进行数据库访问，可以有效提高系统容量，减少试题页面执 行的时间。而使用x s l t 的服务器端解析无疑会加大w e b 服务器的压力。 另外在s e n a yi c a t k a s 等人实现的系统中，也采用了x m l 作为试题的存储方式， 解析技术使用的是m s x m l 和d o m ，同样可以减少页面执行时间，但是这个技术在解析x m l 文件前需要加载x m l 文件，对于比较大的x m l 文件来说，载入时间可能会比较长，会对 考试产生影响。 1 2 2 考试系统的几种分类 考试系统是在教育测量理论指导下对传统纸笔考试过程的数字化改造。一个完善的 计算机考试系统，应该包括题库管理、组卷、统判卷和成绩统计分析等各项面向教师、 面向试题题库的功能，还包括试题呈现、自动判卷等面向考生的在线考试功能。 目前市场上考试系统的种类较多，比较多的是按以下三种情况来进行分类的。 1 、按照用途来分，主要有三种：专用考试系统、固定科目的考试系统、通用考试 系统，但主要以前两种为主，其功能单一，通用性较差，使用的范围极其狭窄。这就要 求我们在开发网络考试系统应尽可能考虑它的通用性，以使其有更为广阔的应用空间。 2 、按照考试系统的组卷方式来分，主要有三种：一是将试题库当试题集，出卷时 由具有丰富经验的教师逐题抽取；二是将试题库当试卷集，将己出好的试卷存储起来， 出卷时抽取其中的一份；三是具有自动成卷功能的试题库，利用任课教师提供的成卷规 则编制成卷软件，以自动生成合理的试卷。 3 、从结构上来划分，主要有两大类。一类是采用客户机服务器( c s ) 结构的考 试系统，另一类是采用b s 模式的分布式网络考试系统。它们都能够实现无纸化的计算 机考试，考试时学生登录系统参加考试，考试后系统自动生成考试成绩。但由于设计时 的局限，现行的这两类考试系统都有着许多有待改进的地方。 其中，客户机服务器( c s ) 模式主要适用于工作组规模的运行，但要在更大范围 3 中北大学学位论文 去使用则难以实现，并且由于相当部分功能集成在客户机上，使客户机的功能日趋复杂， 被人们戏称“胖客户机 。其开发、发布、移植的工作量非常大，也非常繁琐，维护和 管理的开销也不少，更不利于考试系统的安全。还有的c s 模式的考试系统甚至将功能 全部集成在服务器端，使考试系统的界面、数据访问、数据存储、数据管理等都由服务 器端程序完成，从而使服务器成为网络数据访问的瓶颈。【3 】 当考试期间大量学生访问服务器时，导致服务器响应缓慢，甚至出现服务器塞机现 象。同时c s 结构还存在灵活性差、升级困难和系统安全性差等缺陷，已较难适应当前 信息技术与网络技术发展的需要。 现在比较流行的是b s 模式的分布式网络考试系统，它们虽然克服了c s 模式的许 多不足，但其也存在不少可以改进的地方：一是考试科目单一，通常是为某一门课程而 设计，系统通用性差；二是以试卷为存取单位，有的实质上只是一个试卷库，不能随机 生成试卷，难以满足出题者多方面的要求；三是试题单一，仅限于文本类型和客观题， 很难满足准确、全面考查学生所学知识的需要；四是有的软件用户界面不美观，使用不 够方便；五是忽视了考试后的管理，如考生成绩的查询、试题难度的分析等。 1 3 考试系统中数据安全的现状分析 考试系统是一个数据密集型应用系统，其中的核心数据和资料如管理员信息、题目 信息等一旦泄露，考试的公平和权威性将大打折扣，考试系统也就失去了存在的意义。 考试系统暴露在i n t e r n e t 这样一个开放的网络环境下，直接面临着网络黑客的攻击， 而安装到考点本地的数据库在系统安装完毕到学生考试前这一段时间内，数据库中的试 题也极有可能被泄露。因此，考试系统对数据的安全保密性要求很高，其数据库的安全 问题更是迫在眉睫，进行考试系统的数据库安全的研究具有重要的现实意义。 1 3 1 国外研究现状 数据库系统的安全性属于信息安全的一部分，数据库系统的安全本身不能是孤立 的，其评价和研究都融于计算机信息安全之中。国外对计算机信息安全及数据库安全的 研究起步较早，研究成果和应用都较为丰富。从1 9 8 0 年开始i e e e 计算机安全保密会议 4 中北大学学位论文 每年举行一次，从1 9 8 7 年开始国际信息处理委员会( i f i p ) 成立的专门研究计算机安 全的第1 1 委员会也每年举行一次国际信息安全年会。t 4 j a c m 、d o d 等机构都成立了专门 研究计算机安全的委员会与研究小组，他们研究的范围非常广泛，包括安全模型、安全 策略、安全管理、分布环境安全技术、密码技术、信息流技术、风险分析、审计技术、 计算机病毒和木马等。 在数据库安全的理论研究中，国外的研究主要包括： l 、安全模型的研究及其实用化。提出了以s e a v i e w 模型、l d v 模型、s w o r d 模型为 代表的关系数据库的安全模型和原型实现。 2 、针对数据库技术的发展，对一些非关系模型的数据库系统如面向对象数据库系 统、多媒体数据库系统的安全模型进行了研究。 3 、对安全数据库系统中的推理控制问题进行了研究。 4 、数据仓库的安全保密问题。 5 、对一些专门部门的数据库应用系统进行特殊安全需求分析和实现。 随着数据库安全理论和技术的发展，为了满足对安全数据库系统的需求，国外各大 数据库厂商纷纷推出了各自的安全数据库产品，如o r a c l e 公司的t r u s t e do r a c l e ， i n f o r m i x 公司的i n f o r m i x - o n l i n es e c u r e ，s y b a s e 公司的s e c u r es q ls e r v e r 等产品。 1 3 2 国内研究现状 我国对数据库安全的研究起步较晚，由于研究力量分散、机制不健全、产业化投入 较少等原因，无论是在理论上还是相关实用产品上与技术先进国家都有较大的差距。国 产的c o b a s ev 2 0 作为一个小型而性能完备的安全d b m s 基本达到了实用化的程度，实 现了安全性标示强制存取控制和审计功能，其安全等级达到了t c s e c 标准的b l 级，但 其作为小型数据库系统未能获得广泛的使用。 目前，国外高安全级的安全产品对我国实行封锁禁售，几大数据库厂商的低安全级 别的数据库产品占据了国内的大部分市场，在我国获得最广泛应用的大中型数据库产品 o r a c l e 、m ss o ls e r v e r ，d b 2 ，i n f o r m i x 等的安全等级均未能达到b 1 级，而属于c l 或c 2 级，小型的数据库产品主要是a c c e s s ，m y s q l ，f o x p r o 等，安全性更低。p l 5 中北大学学位论文 国外的商用数据库在较长的一段时间内在我国仍将广泛存在，国人必须研究提高这 些数据库的安全性的方法和途径。 目前，人们已提出了用户认证、权限控制、角色管理、审计、密钥体制、密码管理、 v p n 、安全代理机制等策略。国内外通行的提高数据库系统安全的两条技术途径之一是 在普通版的d b m s 的基础上推出其安全版的产品，如t r u s t e do r a c l e 、i n f o r m i x - o n l i n e s e c u r e 、t r u s t e ds y s b a s e 、s q ls e r v e r 和国内的c o b a s ev 2 0 安全版等，途径之二是 在现有商用数据库产品的基础上针对特定应用环境研制多级安全应用系统，例如利用数 据库原有的安全特性，将多级安全、数据加密等的设计和实现技术引入管理信息系统的 开发中，开发出专用的多级安全加密应用系统。 我国在信息安全的核心技术密码学研究方面知识积累较多，基础较好，经过近几年 的研究，数据库加密技术己经比较成熟。此类数据库安全的中间件技术在保护用户固有 的软硬件投资前提下有效实现了数据库密态存储和查询，并已在我国重要机构得到有效 应用，证明这项技术安全、可靠。 在这方面进行的研究与应用主要以国防科技大学的“y h o a 一与华中理工大学计算机 系开发的基于o r a c l e7 的多级安全加密管理信息系统为代表。他们针对军事部门的安 全要求，综合考虑了系统的实用性、安全性，实现了一个外包式的多级安全加密管理信 息系统，整个系统主要由安全控制子系统、加密子系统、文电处理子系统、审计子系统 组成。【6 】 总而言之，我国现有商用数据库系统的使用状况急需改变，国内对数据库系统的安 全性研究还远远不够，目前的研究和应用都有待进一步深化。 1 3 3 网络数据库安全的现状 近几年，虽然数据库安全的研究在国内得到了进一步的发展，但针对考试系统数据 库安全性方面的研究不多，而且许多研究没有达到实用的水平。目前，国内考试系统的 数据库或多或少地都存在安全隐患，表1 1 是对几个应用比较广泛的考试系统数据库的 调研情况。 6 中北大学学位论文 表1 1 几个应用较广泛的网络考试系统的数据库情况 软件名称采用数据库数据库用户密敏感数 s o l 注备注 类型加密码加密据加密 入 v i p e x a m 网络考试s q ls e r v e r 否 是 否 成功用户密码加 学习系统密后可逆 p o w e r e x a m 网络考 s q ls e r v e r否否否成功 试系统 广东省全国高等 a c c s e e是否否加密算法简 学校计算机水平单易破解 考试系统 s m a r t e x a m 在线考s q ls e r v e r否否否 试系统 欧米在线考试系 s q ls e r v e r否否否成功 统 万维多语言网络 s o ls e r v e r否否否 考试平台 信息技术开放式 a c c s e e否否否 考试评价系统 从表可以看到，一些考试系统对数据保护不够重视，大多仅依靠数据库服务器提供 的安全设置，没有过滤特殊字符容易被黑客通过s q l 注入入侵，而且敏感数据也以可读 的形式存放在数据库中，个别即使加密了但加密强度太小容易被破解，一旦某一用户非 法获取用户名和口令，或者绕过操作系统( 或d b m s ) 的控制入侵到系统中，可以访问和 修改数据库中的信息，导致试题信息在考前被泄露或破坏、考生的答案或成绩被篡改等 等严重后果。面对这种现实情况，为保护存储在数据库中数据( 信息) 的安全，使用数 据库安全保密中间件对这些数据库进行加密，则显得具有特别的现实意义。 7 中北大学学位论文 1 4 本课题的研究方法与主要工作 1 4 1 本课题的研究方法 本课题通过查阅近十年来国内外相关文献资料，在前人研究的基础上，结合考试试 卷的具体情况，应用n e t 平台开发和实现了一套网络考试系统。此外，本文还重点研 究了在有计算机硬件系统、操作系统和防火墙等的安全保障的前提下数据库系统本身的 安全。 本文对目前一些流行的考试系统数据库的安全情况进行了一定范围的调研，对考试 系统进行了系统原型设计和数据库的设计；在数据库安全基本策略的指导下，通过研究 数据库安全的基础理论、密码技术和s q ls e r v e r 自身的安全机制，在身份认证、基于角 色的访问控制策略、数据库加密等方面提出了一套适合考试系统的数据库安全加固的方 案，并进行了方案可行性分析和部分实现。 1 4 2 本课题的主要工作 本课题比较有针对性地做了两部分工作： l 、对基于n e t 的考试系统进行需求分析、程序设计和编码，建立了一个比较完整 的网络考试环境，通过该环境在线考试。 2 、阐述了数据库加密的具体实现要点，并对整套安全方案的可行性和安全性等进 行了理论分析。 8 中北大学学位论文 2 1 数据库安全标准 数据库安全的理论方法研究 2 1 1 国外数据库安全采用标准 上世纪九十年代，由于i n t e r n e t 技术的广泛应用，信息系统安全提出了许多新的 问题，各国也在信息安全领域提出了多种安全评估标准，其中重要的包括欧共体的信息 技术安全标准( i t s e c ) 、美国联邦准则( f c ) 等。1 9 9 9 年7 月，i s o 将己有的安全准则 结合成统一的标准c c ，并通过国际标准化组织认可，确立为国际标准i s o i e c1 5 4 0 8 ， 这是目前评估信息技术产品和系统安全性最全面的评估准则。c c 的主要思想和框架都取 自i t s e c 和f c ，并充分突出了“保护轮廓 概念。c c 将评估过程划分为“安全功能 要求 两部分，评估分为七个等级。每一级均需评估配置管理、分发和操作、开发过 程、指导文献、生命期的技术支持、测试和脆弱性评估7 个功能类，来表述信息技术安 全性的结构。 2 1 2 国内数据库安全采用标准 1 9 9 9 年2 月9 日，为更好地与国际接轨，经国家质量技术监督局批准，正式成立了 “中国国家信息安全测评认证中心( c n i s t e c ) 一，同年9 月，中华人民共和国国家标 准g b1 7 8 9 5 - 1 9 9 9 计算机信息系统安全保护等级划分准则由国家技术监督局作为强 制性的国家标准发布，旨在为安全产品的研制提供技术支持和为安全系统的建设和管理 提供技术指导的标准。 公安部g a t 3 8 9 - 2 0 0 2 作为计算机信息系统安全等级保护技术要求系列标准之一， 详细说明了计算机信息系统为实现g b l 7 8 5 9 所提出的安全等级保护要求对数据库管理系 统的安全技术要求，并将g b l 7 8 5 9 对计算机信息系统五个安全保护等级每一级的要求， 从技术方面进行了详细描述，详见表2 1 。 9 中北大学学位论文 表2 16 a t 3 8 9 - 2 0 0 2 安全等级安全要素 用户自主系统审计安全标记 结构化保访问验证 保护级保护级保护级护级保护级 自主访问控制 + + + + + + + + 强制访问控制 + + + + 标记 + + + 身份鉴别 + + + + + + + + + 客体重用 + + + 审计 + + + + + + + + + 数据完整性 + + + + + + 可信恢复 + 隐藏信道分析 + + 可信路径 + + 推理控制 + 注：+表示有要求 + + 表示有进一步要求 + + + 表示有更进一步要求 + + + + 表示有更高要求 最近，我国又发布了最新的信息安全国家标准g b t 2 0 2 7 3 2 0 0 6 ，即数据库管理系统 安全技术要求。该标准依据g b l 7 8 5 9 - 1 9 9 9 的五个安全保护等级的划分，根据数据库管 理系统在信息系统中的作用，规定数据库管理系统所需要的安全技术的各个安全等级的 要求。【7 】 2 2 安全管理机制在数据库中的应用 2 2 1 数据库的安全级别 在m i c r o s o f ts o ls e r v e r 中工作时，用户要经过两个安全性阶段：身份验证和授 1 0 中北大学学位论文 权( 权限验证) 。授权阶段使用登录帐户标识用户并只验证用户连接s q ls e r v e r 实例的 能力。如果身份验证成功，用户即可连接到s q ls e r v e r 实例。然后用户需要访问服务 器上数据库的权限，为此需授予每个数据库中映射到用户登录的帐户访问权限。权限验 证阶段控制用户在s q ls e r v e r 数据库中所允许进行的活动。 在权限管理方面，s q ls e r v e r 引入了角色的概念，将用户分成组或角色以便同时对 许多用户授予或拒绝权限。对组定义的安全设置适用于该组中的所有成员。当某个组是 更高级别组中的成员时，除为该组自身或用户帐户定义的安全设置外，该组中的所有成 员还将继承更高级别组的安全设置图。 2 2 2 隔离控制技术在数据库中的应用 隔离控制技术在数据库中是一项很重要的安全技术，通过中间机制，将用户与存取 对象隔离；用户不能直接对存取对象进行操作，而是通过中间机构间接进行。m i c r o s o f t s q ls e r v e r 提供视图和存储过程两种中间机构实现隔离控制。 1 、视图机制 视图是s q ls e r v e r 提供给用户以多种角度观察数据的重要机制，同时也对数据提 供一定程度的安全保护。视图是从一个或几个基本表( 或视图) 导出的表，它是一个虚表， 不实际存储数据，其数据依赖于物理数据表。视图一经定义，就可以和基本表一样被查 询，但对视图的更新( 增、删、改) 操作则有一定的限制。s q ls e r v e r 视图的一般实现： ( 1 ) 将用户限定在表中的特定行上。 ( 2 ) 将用户限定在表中的特定列上。 ( 3 ) 将多个表中的相关列联结起来，使之看似一个表。 ( 4 ) 聚合查询。 通过授权的数据视图，s q ls e r v e r 将用户对数据的操纵限定在特定的行和列，在用 户和数据库之间建立信息安全防火墙。 2 、存储过程 存储过程( s t o r e dp r o c e d u r e ) 是由s q l 语句和流控制语句写成的过程程序，经数据 库编译和优化后存储在数据库服务器中，可被其它程序调用执行，允许多个用户访问相 l1 中北大学学位论文 同的代码。存储过程分为三类：系统提供的存储过程、用户定义的存储过程和扩展存储 过程。可以将存储过程理解为定义在数据库中的子程序，它提供了一种集中一致的实现 数据完整性逻辑的方法，可用于实现频繁使用的查询、业务规则和被其他过程使用的公 共例行程序。 使用存储过程可以使用户操纵未授权的表或视图而不直接访问它们，从而将与数据 库的交互限制到存储过程，提供了一定的安全机制。因为在进行用户授权时，可以不 授予用户访问存储过程中涉及的表的权限，而只授予访问存储过程的权限。1 8 这样，既 保证了用户通过存储过程操纵数据库中的数据，又保证了用户不能直接访问与存储过程 相关的表，从而保证表中数据的完整性和安全性。 2 2 3 审计与备份机制在数据库中的应用 1 、审计跟踪 数据库审计是指监视和记录用户对数据库所施加的各种操作的机制。审计功能把用 户对数据库的所有操作自动记录下来，存入审计日志，事后可以利用审计信息，重现导 致数据库现有状况的一系列事件，提供分析攻击者线索的依据。s q ls e r v e r 通过s q l 事件探查器( s q ls e r v e rp r o f i l e r ) 可以捕获有关每个事件的数据并将其保存到s q l s e r v e r 表或文件供以后分析，还可以逐步重播在s q ls e r v e r 上捕获的事件以确切了解 所发生的事，这样使得系统管理员能够监视s q ls e r v e r 实例中的事件，可以复查任何 审核事件，包括登录尝试的成功与失败以及访问语句和对象的权限成功与失败。 2 、备份恢复 备份和恢复是数据库管理员维护数据库安全性和完整性的重要操作。备份可以防止 由于数据库和表遭受破坏、介质失效或用户错误而造成的数据灾难。常用的数据库备份 的方法有三种：冷备份、热备份和逻辑备份。 恢复是在意外发生后，利用备份来恢复 数据库的操作。数据库恢复技术般有三种策略：基于备份的恢复、基于运行时日志的 恢复和基于镜像数据库的恢复。 1 2 中北大学学位论文 2 3 数据加密算法的简介 2 3 1 密码学简介 密码学作为数学的一个分支，包括密码编码学和密码分析学两部分。前者是研究把 信息( 明文) 变换成没有密钥就不能解读的或很难解读的密文的方法；后者是研究破译密 码的方法，现代密码学除了包括密码编码学和密码分析学两个主要的学科外，还包括近 几年才出现的新分支即密码密钥学，是以密码的核心部分密钥作为研究对象的学 科。 9 1 在密码学中，将原始信息即明文信息m ，经过变换成为另一种隐藏的形式即密文信 息c ，完成此变换过程称之为加密，其逆过程称之为解密。加密算法用e 表示，解密算 法用d 来表示，密钥用k 来表示用数学公式表示如下： e i ( m ) = c ( 式2 1 ) d t ( c ) ：m ( 式2 2 ) 先加密后再解密，原始的明文将恢复，故下面的等式成立： d i ( e i ( m ) ) - = m ( 式2 3 ) 2 3 2 对称加密算法 对称密钥密码技术又称为秘密密码技术( p i r v a e tk y ec r y p t o s y s t e m ) 或单密钥密码 技术( o e n - k e yc r y p t o s y s t e m ) ，在对称密码技术中加密密钥和解密密钥是相同的，因而 加密信息的安全性依赖于了密钥的安全性，与算法的安全性无关，在保密通信技术发送 者和接受者之间密钥必须安全传送，而双方通信所用密钥必须妥善保管。 对称密码技术的优点是：加密速度快可以满足大量信息的加密需求；密钥简短。缺 点是：通信双方需要事先交换密钥，密钥容易泄露而不能确保安全性；无法实现传输信 息的不可否认性；密钥的分发和管理非常复杂，代价高昂。 对称加密算法可分为两类：一类是指对明文中的单个位( 有时对字节) 运算的算法称 1 3 中北大学学位论文 为序列算法( s t r e a ma l g o r i t h m ) 或序列密码( s t r e a mc i p h e r ) ；另一类算法是对明文的 一组位进行运算，这些位组称为分组( b l o c k ) ，相应的算法称为分组算法( b l o c k a l g o r i t h m ) 或分组密码( b l o c kc i p h e r ) 。现代计算机密码算法的典型分组长度为6 4 位， 这个长度大到足以防止分析破译，但又小到足以方便实用。 对称密码的典型代表有：古典密码、序列密码、分组密码( 如d e s 、i d e s 、a e s 等) 。 2 3 3 非对称加密算法 非对称密码技术又称为公开密钥密码技术( p u b l i ck e yc r y p t o s y s t e m ) 或双密钥密 码技术( t w o - k e yc r y p t o s y s t e m ) 。在非对称密码技术中，加密密钥和解密密钥不同。在 信息的传输过程中，采用彼此不同的加密密钥和解密密钥，是密码技术摆脱了必须对密 钥进行安全传输的束缚，使密钥在处理和发送上更为方便而且安全。在实际应用中，用 户通常对外公开加密密钥( 称为公钥) ，而秘密持有解密密钥( 称为私钥) 。 非对称密码的优点是加密强度高难于破译，密钥易于管理，缺点是算法复杂，加密 数据的速度和效率较低。 非对称密码的典型代表有：r s a 算法、d i f f e h e l l m a n 密钥交换技术、e i g a m a l 公钥 密码技术、椭圆曲线公钥密码技术。 2 3 4 不可逆加密算法 不可逆加密算法又叫哈希( h a s h ) 算法，其特征是加密过程中不需要使用密钥，输入 明文后由系统直接经过加密算法处理成密文。在实际的应用中，哈希算法有着下述特点： 对于任意长度的消息，哈希算法能够得到固定长度的消息摘要。对于一个消息反复 执行哈希算法，总能得到相同的消息摘要。 哈希算法生成的消息摘要是不可预见的，消息与消息摘要在表面上没有任何联系。 对于一个消息作一点微小的变化都会对生成的消息摘要产生巨大的影响。 具有不可逆性：由生成的消息摘要不能得到原消息。 哈希算法提供了一种安全的进行鉴别和认证方法，由于不存在密钥保管和分发问 题，非常适合在分布式网络系统上使用，但因加密计算复杂，工作量相当繁重，通常只 1 4 中北大学学位论文 在数据量有限的情形下使用，如广泛应用在计算机系统中的口令加密。目前该算法中应 用最广泛的是m d 5 算法和s h s 算法等。 2 4 数据加密算法的研究 2 4 1 数据加密标准( d e s ) 1 、d e s 算法概述 d e s 算法全称为d a t ae n c r y p t i o ns t a n d a r d 即数据加密算法，它是i b m 公司于1 9 7 5 年研究成功并公开发表的，d e s 是一个分组加密算法，以6 4 位为分组对数据加密。通过 一个初始置换，将明文分组成左半部分和右半部分，各3 2 位长。然后进行1 6 轮完全相 同的运算，这些运算被称为函数f ，在运算过程中数据与密钥结合。经过1 6 轮后，左、 右半部分合在一起经过一个末置换( 初始置换的逆置换) ，这样该算法就完成了。 在每一轮中，密钥位移位，然后再从密钥的5 6 位中选出4 8 位。通过一个扩展置换 将数据的右半部分扩展成4 8 位，并通过一个异或操作与4 8 位密钥结合，通过8 个s 盒 将这4 8 位替代成新的犯位数据，再将其置换一次。这四步运算构成了函数f 。然后，通 过另一个异或运算，函数f 的输出与左半部分结合，其结果即成为新的右半部分，原来 的右半部分成为新的左半部分。将该操作重复1 6 次，便实现了d e s 的1 6 轮运算。 假设b i 是第i 次迭代的结果，l i 和r i 是b i 的左半部分和右半部分，k i 是第i 轮 的4 8 位密钥，且f 是实现替代、置换及密钥异或等运算的函数，那么每一轮就是：假 设b i 是第i 次迭代的结果，l i 和r i 是b i 的左半部分和右半部分，k i 是第i 轮的4 8 位密钥，且f 是实现替代、置换及密钥异或等运算的函数，那么每一轮就是： l ，= r ( 式2 4 ) r i = l f 10f ( r h ，k ，) ( 式2 5 ) d e s 加密算法的示意图如图2 1 所示： 1 5 中北大学学位论文 图2 1d e s 加密算法的示意图 1 6 中北大学学位论文 2 、d e s 的安全性分析 ( 1 ) 弱密钥 在d e s 算法中，密钥初始值被分成了两部分，每一部分独立地移动。如果每一部分 的所有位都是0 或1 ，那么算法的任意一轮的子密钥都是相同的。当密钥全是l 、全是0 或一半是1 一半是0 的时候，就会发生这种情况，这种子密钥称为“弱密钥( w e a kk e y ) 。 另外，还有一些密钥会把不同的明文加密成相同的密文。即密钥堆里的一个密钥能解密 另一个密钥加密的信息，这些子密钥称为“半弱密钥( s e m iw e a kk e y ) 。这些都是由d e s 产生子密钥的方式所决定的，是无法避免的，但其个数在子密钥集中是可以忽略的。在 d e s 的实际工作过程中，在产生子密钥时可以通过不断检查，以避免产生弱密钥。 ( 2 ) 密钥长度 密钥长度从穷举搜索法的角度来看，d e s 的5 6 位密钥长度可能不够。所谓穷举搜索 法为：设已知一段密码文c 及与它对应的明文，用一切可能的密钥k 加密m ，直到得到 e ( m - c ，这时所用的密钥k 即为要破译密码的密钥。在1 9 9 3 年，花费1 0 0 万美元建造 的穷举破译机平均3 5 小时就能找到一个密钥，随着计算能力和存储能力的大幅提高， 采取穷尽攻击大约花费不超过5 0 0 万美元。 ( 3 ) 迭代的次数 在d e s 中，迭代的次数控制因换位而产生的扩散量，如果d e s 迭代的次数不够，一 个输出位就会只依赖于少数几个输入位。 a k o n h e i m 指出：经过5 轮迭代后，密文的每一位基本上是所有明文和密钥位的函 数，而经过8 轮迭代后，密文基本上是所有明文和密钥位的随机函数。那么为什么要迭 代1 6 次呢? 这是因为由以色列学者e l ib i h a m 和a d is h a m i r 发明的对分组密码进行分 析的最佳手段之一的差分密码分析方法己经证明：通过己知明文的攻击，任何少于1 6 轮迭代的d e s 算法都可以用比穷举搜索法更有效的方法破译。因此，d e s 算法选取1 6 次迭代是适宜的，既不增加加密的难度，又恰好能抵抗差分分析的攻击。 2 4 2 三重d f s 算法 虽然目前d e s 的应用范围很广且能方便地从公开渠道获得，但是由于d e s 的密钥长 1 7 中北大学学位论文 度只有5 6 位，易于攻击，加密强