（计算机应用技术专业论文）基于bs结构的数据库加密研究.pdf

郑州大学硕士学位论文 基于b s 结构的数据库加密技术研究 摘要 随着计算机网络技术的飞速发展，越来越多的单位和个人通过i n t e r n e t 共 享丰富的数据资源，实现异地数据的交换与通信。然而网络系统的广泛应用，也 给政府、企业及个人的许多重要数据和信息带来了巨大威胁。信息安全己成为网 络信息系统要解决的首要问题。数据库系统作为网络信息系统的核心部件，数据 库文件作为信息的聚集体，其安全性将直接影响信息系统的安全性能。数据加密 是信息安全研究的核心内容，数据库加密则是提高数据库安全的重要手段。 本文首先对信息系统安全及数据库系统安全面临的问题进行了总结和讨论， 而后对如何实现数据库的加密存储作了研究和探索，最后给出了一个基于b s 结构的数据库加密新方案，并利用j a v a 平台设计和实现了一个w e b 环境下的学 籍管理加密系统。 在给出的数据库加密方案中，加密粒度是数据字段，这使得数据库加密解 密可以灵活、方便的实现。加密算法的选择是数据库加密遇到的一个主要问题， 算法的选择不仅要保证定的加密强度，还要考虑到加密的效率和用户的易用 性。本文在加密算法的选择上，充分利用了对称加密和非对称加密算法的特点， 对不同的加密对象选择了不同的加密算法。密钥管理是数据库加密中最难解决的 问题之，管理方案的合理性不仅影响着加密系统处理的效率，还直接影响着数 据库系统的安全性。本文设计了一种多级密钥管理方案，用户数据用数据密钥进 行加密，而数据密钥则由用户的公钥进行加密，并由用户私钥解密，用户私钥也 由用户口令进行加密保护，从而组成了一个良好的数据库密钥管理机制。 关键词：数据库加密，密钥管理，b s 结构，n 解密引擎 郑州大学硕士学位论文基于b s 结构的数据库加密技术研究 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fi n t e m e tt e c h n o l o g y ，m o r ea n dm o l ee n t e r p r i s e a n dp e o p l es h a r et h ea b u n d a n tr e s o u r c e so nt h ei n t e r n e ta n de x c h a n g ed a t at h r o u g h i n t e r n e t t h ew i d e l yu s e do ft h ei n t e m e th a sb r o u g h tm a n yc o n v e n i e n c e s ，b u ta tt h es a m e t i m ei ta l s ob r i n g sm a n yn e wp r o b l e m ss u c ha st h ei n f o r m a t i o ni n s e c u r i t y t h e r e f o r e t h er e s e a r c ho f i n f o r m a t i o ns y s t e m ss e c u r i t yh a sb e c o m et h es i g n i f i c a n tr e s e a r c hf i e l d b e c a u s ed a t a b a s ei st h ec o r eo fa ni n f o r m a t i o ns y s t e m ，t h es e c u r i t yo ft h ed a t a b a s e w i l la f f e c tt h es e c u r i t yo fi n f o r m a t i o ns y s t e m d a t ae n c r y p t i o ni st h em a i np r o j e c to f i m p r o v i n gt h es e c u r i t yo fi n f o r m a t i o ns y s t e m a n dt h ed a t a b a s ee n c r y p t i o nh a s b e c o m et h ei m p o r t a n tw a yt oi m p r o v et h es e c u r i t yo f d a t a b a s e a tf i r s tt h ea r t i c l er e s e a r c ho nt h es e c u r i t yo f t h ed a t a b a s ea n dg i v eas u m m a r y a n dt h e nw o r ko nh o wt oi m p l e m e n td a t ae n c r y p t i o ni nd a t a b a s e i nt h ee n d ，an e w d a t a b a s ee n c r y p t i o ns c h e m ei sd i s c u s s e d ，a n das t u d e n ts c o r em a n a g e m e n ts y s t e m b a s e do nb ss t r u c t u r ei si m p l e m e n t e da n dt h er e s u l ts h o w st h a tt h ei d e ao ft h e e n c r y p t i o ni sf e a s i b l e i no u re n c r y p t i o ns c h e m e ，t h ec o l u m ne n c r y p t i o ni sa d o p t e dw h i c hc a nm a k ei t e a s yt oi m p l e m e n tt h ed a t a b a s ee n c r y p t i o n t h ec h o o s i n go fa ne n c r y p t i o na l g o r i t h m i st h em a i nq u e s t i o ni nd a t a b a s ee n c r y p t i o n b e s i d e st h es e c u r i t y , t h er o b u s ta n dt h e e a s y - t o - u s eh a v et ob ec o n s i d e r e d i nt h ec h o o s i n go ft h ee n c r y p t i o na l g o r i t h m s ，t h e p a p e ra d o p t s d i f f e r e n ts y m m e t r i c a la l g o r i t h ma n da s y m m e t r i c a la l g o r i t h mf o r d i f f e r e n te n c r y p t i o no b j e c t s t h em a n a g e m e n to fe n c r y p t i o n k e yi st h ed i f f i c u l tp o i n t o fd a t a b a s ee n c r y p t i o n ，a n di tw i l la f f e c tt h ee f f i c i e n c ya n dt h es e c u r i t yo ft h e e n c r y p t i o nr e s u l t t h i sp a p e rc o m b i n e st h es y m m e t r i c a la n da s y m m e t r i c a la l g o r i t h m s t od e s i g nam u l t i - l e v e l sk e ym a n a g e m e n ts c h e m e s t h em a i ni d e ai st h a tt h es y s t e m p r o v i d e s ak e y p a i rf o re v e r yl e g a lu s e r , t h e nt h ed a t a - k e yi se n c r y p t e db yt h e p u b l i c k e yo ft h ek e y p a i r , a n dd e c r y p t e db yt h ep r i v a t e k e yo ft h ek e y p a i na tt h e i i 郑州大学硕j ：学位论文 基于b s 结构的数据库加密技术研究 s a m et i m e ，t h ep r i v a t e k e yi sp r o t e c t e db yt h eu s e rp a s s w o r d b yt h i sw a y , as e c u r e s y s t e mi sc o n s t r u c t e d k e yw o r d s ：d a t a b a s ee n c r y p t i o n ，e n c r y p t i o n k e ym a n a g e m e n t ，b s a r c h i t e c t u r e ，e n c r y p t i o ne n g i n e e r 1 1 1 郑卅i 大学硕上学位论文 鼎于b s 结构的数据库加番研究 郑重声明 本人的学位论文是在导师指导下独立撰写并完成的，学位论文没有剽窃、抄 袭等违反学术道德、学术规范的侵权行为，否则，本人愿意承担由此产生的一切 法律责任和法律后果，特此郑重声明。 学位论文作者( 签名) ：苗、j ，象 2 7 。1 年月工s 同 郑州大学硕士学位论文 基于b s 结构的数据库加密技术研究 1 引言 随着计算机网络技术的飞速发展，i n t e r n e t 己发展成为世界上规模最大、信 息量最丰富的资源网络。越来越多的单位和个人通过计算机网络共享丰富的数据 库信息，存储大量的数据文件，完成异地数据交换与通信。网络系统的广泛应用， 加速了信息化进程，提高了企业的管理水平和工作效率，从而也解放了生产力， 创造了经济利益。然而信息系统越是重要，它就越容易受到各种入侵者的攻击， 以求从中获得非法利益，因此信息系统的安全保密成为迫切需要解决的问题。目 前，在信息系统的开发设计过程中，安全性能被放在首要地位，成为信息系统的 关键。 1 1 问题的提出 在信息管理及网络数据管理中，数据库系统是数据处理及存储的核心部件， 数据库文件是信息的聚集体，单位及个人的隐秘信息及业务数据都存放在其中， 因此是各种非法人员攻击的主要目标。保护数据安全，特别是数据库中机密数据 的安全，已被越来越多的人所重视，如何保护及提高这些数据的安全性，已成为 信息产业能否继续快速发展的关键问题。 目前，实现数据库安全方法很多，一般数据库系统信息的安全性依赖于两个 层次：一是系统本身提供的安全性，二是应用程序设置的控制管理。目前一些大 型数据库管理系统已经提供了一些安全手段，例如用户分类、数据分类、审计功 能等，但这只能满足一般的安全要求，对于一些重要或敏感数据，o s 和d b m s 对数 据库文件本身仍然缺乏有效的保护，因为有经验的网上黑客会避开系统认证，直 接利用o s t 具窃取或篡改数据库文件内容；另一方面，企业内部职员也会绕开 d b m s 而直接得到数据库文件，此时防火墙、入侵检测等防护系统起不到安全保卫 作用。在这种形式下，数据库加密技术越来越引起人们的关注。数据库加密就是 对数据库的文件或数据进行加密，数据加密后以密文方式存储，即使被窃取、被 拷贝，机密数据也不会被敌对方获取，因为这时他们获取的，只不过是一堆几乎 无法破解的密码，所以合理的数据库加密技术是保护敏感数据的终极武器。 随着互联网的不断普及，程序开发模式和方法也在不断的发生着变化。在开 郑州大学硕士学位论文基于b s 结构的数据库加密技术研究 发技术方面已从传统的面向过程的程序开发方法向面向对象的开发方法转变。在 开发模式上从最先的服务器终端模式，过渡n c s 模式，以及现在流行的三层b s 模式。在开发语言上，各大计算机厂商纷纷推出基于网络技术，面向对象的开发 语言。其中作为i t 业的两大巨头，m i c r o s o f t 公司和s u n 公司所力推的n e t 平台和 j 2 e e 平台尤其引人注目。而j a v a 语言以其简单性，安全性和功能强大性从已开始 就受到了人们的注意，并以其灵活的网络功能在网络编程流行的今天占据着主宰 地位。 1 2 本文的研究工作及内容组织 本文对如何实现数据库存储加密进行了一些研究和探讨。首先介绍了信息系 统安全的一些概念，然后通过比较数据库存储加密与一般文件存储加密、传输加 密的区别，简述了数据库存储加密需要解决的问题，并提出了相应的解决办法。 最后对基于b s 结构下的数据库加密需要解决问题进行了一些研究和探索， 并在j a v a 的开发环境下设计了一个基于b s 结构的加密系统。 1 3 本文的特色 ( 1 ) 在数据库系统总体设计方面，本文采取了在d b m n # b 层加密的方式，对现 有的数据库管理系统进行了改进，在其中引入数据库加密和密钥管理机制。 ( 2 ) 采用了密码技术中的m d 5 ，a e s ，r s a 加密算法，构建了一个效率高，用 户界面友好的数据库加密系统。 ( 3 ) 在密钥管理方面，采用多级密钥加密思想，简化了数据库加密中的密钥 管理，提高了数据库加密的安全性。 ( 4 ) 在客户端和服务器通信上，采用s s l 技术，保证了网络通信中的安全性。 2 郑州大学硕士学位论文基于b s 结构的数据库加密技术研究 2 信息系统安全 2 1 数据安全技术的含义 数据安全是- 1 7 综合的学科，它涉及信息论、计算机科学和密码学等多方面 的知识，它研究计算机系统和通信网络系统内信息的保护方法，以实现系统内信 息的安全、保密、真实和完整。数据安全技术具体包括以下内容。 2 1 1 保密性( c o n f i d e n t i a l i t y ) 信息或数据经过加密变换后，将明文变成密文形式，表面上无法识别，只有 那些经过授权的合法用户，掌握秘密密钥，才能通过解密算法将密文还原成明文。 而未授权的用户则无法获得明文。 2 1 2 完整性( i n t e g r i t y ) 完整性是将信息或数据附加上特定的信息块，系统可以用这个信息块检验数 据的完整性，特点是信息块的内容通常是原信息或数据的函数。只有那些经过授 权的用户，才允许对数据或信息进行增加、删除和修改，而未经过授权的用户， 只要对数据或信息进行改动，就立刻会被发现。 2 1 3 可用性( a v a i l a b i l i t y ) 可用性指的是安全系统能够对用户授权，提供某些服务，即经过授权的用户 可以得到系统资源，并且享受到系统提供的服务，防止非法用户对系统资源或系 统服务的访问和利用，增强系统的效用。 2 1 4 真实性( a u t h e n t i c i t y ) 真实性指的是防止系统内的信息感染病毒。由于计算机病毒的泛滥，已很 难保证计算机系统内的信息不被病毒侵害，因此信息安全技术必须包括反病毒技 郑州= 学硕士学位论文基于b s 结构的数据库加密技术研究 术，采用人工方法和高效反病毒软件，随时检测计算机系统内部和数据文件是否 感染病毒，一旦发现应及时清除，以确保信息的真实可靠。 随着信息系统的进一步发展，新的安全性要求仍然在不断地提出，这对信 息安全技术起到了促进作用，相信不久的将来会有更新、更实用的安全方法开发 出来。 2 2 安全威胁与安全服务 2 2 1 可能的安全威胁 由于技术的复杂性和实现的局限性，网络和信息系统存在众多的安全危险和 风险，主要的安全威胁如下： 系统渗透非授权用户进入信息系统，并得到修改应用文件、窃取机密信 息、非法使用系统资源等权限。系统渗透常常通过假冒( 入侵者冒充合法用户) 或利用系统的弱点( 如旁越控制) 来实现。 违反授权被授权在指定范围内使用系统的合法用户未按授权规定( 指定 的目的、指定的功能等) 超范围使用信息系统。表面上看，这种威胁主要是内部 用户的误用和滥用，但它也与外部渗透相关，入侵者可通过渗透特权用户帐户后， 再利用系统的弱点来得到特权用户的访问权限，由此可大大提高渗透攻击的效 果。 植入恶意功能通常是系统渗透和违反授权攻击的结果，入侵者常常会在 系统中植入恶意功能来进行进步的渗透或攻击。最典型的就是所谓的特洛伊木 马型软件，表面上该类软件有合法用途，但当软件运行时，它会破坏系统的安全 性。 通信监视攻击者通过监视通信信道来获取机密信息，由此获得的系统机 密信息有助于实施对系统进一步的攻击。 通信篡改攻击者篡改通信数据或通信进程。一个攻击者可能会故意改变 金融交易消息的数据域，或安装假冒的服务系统来骗取用户的敏感信息( 这种攻 击被称作欺诈) 。 拒绝服务故意阻碍合法用户使用系统的信息、服务和资源。 郑州大学硕士学位论文 基于b s 结构的数据库加密技术研究 否认参与事务处理或通信的某一方事后否认其行为。 2 2 2 安全服务 为有效防范风险和威胁，要求系统提供有效的安全服务来应对各方面的威 胁，将风险降到可接受的最小程度。主要的安全服务有： 认证服务认证服务提供身份保证，当某人或某事声称具有某个特殊身份 时，认证服务提供某种机制来证实该声明的f 确性。因此，t ) d e n 务是对抗假冒 的主要机制。认证服务包括两种类型： ( 1 ) 实体认证验证参与方出示的身份，用户名口令便是最常用的实体认证 机制。 ( 2 ) 数据源认证验证一个数据条( 如消息) 的发送者或创建者的身份。 访问控制服务该服务防止对信息系统的任何资源( 包括计算资源、通信 资源和信息资源) 的非授权访问。非授权访问包括：非授权使用、非授权泄漏、非 授权修改、非授权销毁以及命令的非授权发布。 机密性服务该服务防止信息被泄露给未授权的实体。机密性通常意味着 隐藏表示信息的数据条，但机密性服务还应防止气体泄漏信息方式，如防止通过 观察转发到一个特定地点的消息的数量或大小来获取信息。 数据完整性服务该服务防止对数据条表示的值的改变，改变数据条的 值的方式包括：插入其它数据、删除数据、修改数据、重排数据等。 抗否认服务该服务防止事务或通信的参与实体事后否认其行为。目前主 要是提供解决争议的机制。 2 3 密码技术在信息安全中的作用 在保障信息系统有效抵抗各种安全威胁的安全服务中，密码技术发挥着重要 作用。所谓密码技术，就是对信息进行重新编码，从而达到隐藏信息内容，使非 法用户无法获取信息真实内容的一种手段。在密码学中，原始数据信息称为明文， 它是可以可以读懂的文本；明文经过加密变换后的数据称为密文，它是一种不可 懂的隐蔽信息。完成变换的过程称为加密，其逆过程就是由密文恢复出明文的过 程称作解密。对明文进行加密时所采用的映射函数或者交换规则称作加密算法， 郑卅i 大学硕t 学位论文基于b s 结构的数据库加密技术研究 对密文进行解密时所采用的映射函数或变换规则称作解密算法。加密解密操作通 常是在密钥的控制下进行的。完成加密和解密的算法称为密码体制，它包含对称 加密与非对称加密两大类。 密码技术是保护信息安全的主要手段之一，它可以提供以下功能： 机密性保护信息在传输或存储时不被非授权泄漏。采用密码来进行机密 性保护后，加密信息即使落入非授权的人手中也不会被泄漏。 认证服务使用基于密码技术的认证服务来保证某人( 机器或系统) 所声 称的身分是有效的，在此保证下，非受权的用户很难假冒授权用户。 完整性检验使用基于密码技术的完整性检验机制来保证消息或计算机 文件不被破坏或修改。在此保证下，非受权的用户很难篡改数据。 数字签名数字签名技术把信息加密者和传递着的身份与加密信息绑定 在起，提供了身份认证和抗否认能力。 2 4 数据库安全 现在任何一个信息系统中，数据库都是作为信息存储的主要载体，是信息系 统必不缺少的一部份。随着网络的普及应用范围的不断扩大，数据库的安全问题 已成为数据库用户乃至数据库厂商着中注意的问题。在各大数据库系统的新版本 中都新加入了安全方面的措施。下面对数据库系统存在的主要安全问题做一些简 要介绍。 2 4 1 数据库系统中存在的潜在威胁 随着网络技术的广泛应用，在给用户带来方便的同时，在安全性方面也提出 了新的挑战。现在的数据库系统已不仅仅限制在一台单机上和一个局域网内， i n t e r n e t 的普及使世界上任何一个连入互联网的计算机都可以成为这个大家庭 中的一员。在互联互通的网络环境下如何保护自己计算机上或信息系统内的信息 安全，已成为亟待解决的严峻问题。 一般来说，数据库中储存的往往是政府或企业的机密数据，或者是个人隐私 或国家机密，这些信息就不可避免的成为一些怀有商业或政治目地的不法入侵者 的首要攻击目标。如果这些关键数据被恶意修改或删除，或者被泄漏出去，就会 6 郑州大学硕士学位论文基于b s 结构的数据库加密技术研究 给国家或企业造成严重的经济损失或名誉损失。 根据安全威胁的来源及攻击的性质，可将数据库的安全威胁大致分为以下几 类： ( 1 ) 逻辑的威胁 夺非授权访问即用对未获得访问许可的信息的访问。 夺推理访问数据是指由授权读取的数据，通过推论得到不应访问的数据。 夺病毒病毒可以自我复制，永久地或是通常是不可恢复地破坏自我复制的 现场，达到破坏信息系统、取得信息的目的。 夺特洛伊木马一些隐藏在公开的程序内部，收集环境的信息，可能是由授 权用户安装的，利用用户的合法的权限对数据安全进行攻击。 夺天窗或隐蔽通道在合法程序内部的一段程序代码，特定的条件下( 例如 特殊的一段输入数据) 将启动这段程序代码，从而许可此时的攻击可以跳过系统 设置的安全稽核机制进入系统，以实现对数据防范的攻击和达到窃取数据的目 的。 ( 2 ) 硬件的威胁 令磁盘故障在计算机运行过程中最常见的问题就是磁盘故障，它会导致重 要数据的丢失。 夺1 0 控制器故障控制器发生故障，会破坏数据的完整性。 夺电源故障电源故障分为电源输入故障和系统内部电源故障。由于系统 停电是不可预料的，因而不论处在哪种情况下都有可能使数据受到毁损。 夺存储器故障介质、设备和其它备份故障数据存储在可移动介质上以作 备份，恢复工作则是包括数据的拷贝。如果服务器出错、被毁，则存储设备或其 使用的介质的任何错误都会导致数据的丢失。 夺芯片和主板的故障芯片和主板的故障会导致严重的数据毁损。 ( 3 ) 人为错误的威胁 操作人员或系统用户的错误输入，应用程序的不正确使用，都可能导致系统 内部的安全机制的失效，导致非法访问数据的可能，也可能导致系统拒绝提供数 据服务。 ( 4 ) 传输的威胁 7 郑州丈学硕士学位论文基于b s 结构的数据库加密技术研究 目前的数据库应用大多是基于网络环境的。在网络系统中，无论是调用任 何指令，还是任何信息的反馈均是通过网络传输实现的，因此对数据库而言，就 存在着网络信息传输的威胁。 令对网络上信息的监听对于网上传输的信息，攻击者只需要在网络链路上 通过物理或逻辑的手段，就能对数据进行非法的截获与监听，进而得到敏感信息。 夺对用户身份的仿冒对用户身份仿冒这一常见的网络攻击方式，能对数 据库的信息产生严重的威胁。对网络上信息的篡改攻击者可能对网络上的信息进 行截获并且篡改其内容( 增加、删去或改写) ，使用户无法获得准确、有用的信 息或落入攻击者的陷阱。 夺对信息的否认某些用户可能对自己发出或接收到的信息进行恶意的否 认。 夺对信息进行重发“信息重发”的攻击方式，即攻击者截获网络上的密 文信息后并不将其破译，而是再次转发这些数据包，以实现其恶意目的。 ( 5 ) 物理环境的威胁 自然的或意外的事故地震、火灾、水灾等导致硬件的破坏，进而导致数 据的丢失和损坏。 夺偷窃指偷窃信息和服务。 夺蓄意破坏主要是指恐怖组织的活动。 2 4 2 数据库系统保护 在网络环境下，对以上数据库中潜在的威胁的防护可以从以下几个方面来进 行： 1 。 基于物理设施的保护 这主要包括对数据库周边物理环境采取的各种安全措施，如加强机房的安全 保卫工作，重要设备的安全防卫以及数据库信息的备份工作。 2 基于网络层次的数据保护 这主要包括两个方面的内容：数据在网络传输时的安全保护及通过技术手段 保护数据所在内部网络的安全。数据在网络传输时，不管是在公司企业的内部网 络还是外部网络，都有可能被非法窃听和截取。保护网络传输中数据的安全性， 郑卅大学硕上学位论文基于b i s 结构的数据库加密技术研究 已经有许多种方法，例如：通过s s l ( s e c u r es o c k e tl a y e r ) ，s e t ( s e c u r e e l e c t r i c a lt r a d e ) 或p g p 协议，可以使数据不被非法窥探和修改；通过防火墙 入侵检侧等技术手段，可以阻止外部入侵者进入内部网络；通过对内部网络的保 护，可以有效地阻止外部入侵者对内部数据库的访问。然而，由于内部人员已经 处于内部网络之内，所以这类防护，并不能够效地阻止内部人员非法访问数据库 内机密数据。 3 操作系统对数据库的保护 数据库无论如何还是运行在操作系统之上的。在不少情况下，数据最终还是 以文件的形式存在于操作系统中的。因此，操作系统对数据库及数据的保护，是 不可或缺的。大型数据库管理系统的运行平台一般是w i n d o w sn t 和u n i x ，这些操 作系统的安全级别通常为c 1 ，c 2 级。它们具有用户注册、识别用户、任意存取控 制( d a c ) 、审计等安全功能。虽然d b m s 在o s 的基础上增加了不少安全措施，但有 经验的入侵者仍然可以直接利用o s i 具窃取或篡改数据库文件内容。这种隐患被 称为通向o b m s 的“隐秘通道”。 4 数据库管理系统的安全措施 当今的商用关系型数据库，为保护数据的安全，都采取了一系列措施。安全 保护措施是否有效是数据库系统的主要性能指标之一。评价一个数据库系统的安 全性，往往首先抛开网络、甚至操作系统对数据库的保护作用，尽量不把网络层 次、操作系统层次对数据库的保护作用与数据库系统本身的保护措施混为一谈。 本文的研究重点是数据库加密技术，下面着重对数据库管理系统的安全措施 进行分析，找出其存在的问题，并进一步说明本文研究的意义。 2 5 数据库系统现有的安全措旌 2 5 1 用户管理及口令控制 在关系型数据库系统或其它大部分数据库系统中，用户管理都是与安全相关 的第一个机制。任何人想要访问数据库中的数据，必须取得一个用户帐号。这些 账号的管理就被称为用户管理。数据库管理员负责这一工作。用户管理具体包括 用户帐号的创建、维护和身份确认。所谓的身份确认是指当一个用户要想访问某 9 郑州人学硕十学位论文 基于b s 结构的数据库加密技术研究 些数据时，该用户必须提供某种证据来证明自身是合法用户。例如，提供正确的 口令。 2 5 2 存取控制 自从大型数据库产生和运用以来，存取控制一直被当作一种重要的安全机 制。对于获得数据库访问权的用户还要根据预先定义好的用户权限进行存取控 制，保证用户只能按照其权限进行数据存取。权限控制是数据库系统中其它安全 机制的基础。例如，视图和存储过程是数据库中基于外模式的安全机制，但是它 们都是基于权限存取控制的。没有积限控制机制，所谓的视图和存储过程安全机 制就根本发挥不出作用。 2 5 3 视图，存储过程】触发器 1 视图机制 可以将视图作为种安全机制来限制用户可使用的数据。几乎所有的关系数 据库都支持视图机制。通过视图，用户可以访问表中的某些数据。通过定义不同 的视图及有选择地授予视图上的权限，可以将用户、组或角色限制在不同的数据 子集内。从两最终在某种程度上帮助系统达到保护数据安全的目的。 2 存储过程 存储过程通常用作执行复杂活动的接口，并且可按与视图几乎相同的方法自 定义安全权限。通过存储过程，可以限制用户执行某种活动或活动集合。当用户 通过存储过程来执行活动集合时，必须执行所有的活动集合，而不能够执行活动 集合的一部分。存储过程对保护数据库系统中数据的完整性，具有重要意义。 3 触发器机制 与应用程序调用存储过程来实现业务规则的方法不同，触发器可以被定义为 在需要进行插入、删除、和更新的时候，启动数据库服务器自动执行存储过程( 或 s q l 语句) 。 l o 邦州大学硕士学位论文 基于b s 结构的数据库加密技术研究 2 6 数据库仍然存在的安全漏洞 数据库提供了一系列的方法、机制来保证数据的安全性和完整性。然而，关 系数据库仍然存在着一些安全漏洞。 2 6 1 数据库管理员的权力过大 个数据库系统必须存在一个数据库管理员，来扮演个集中控制的角色， 完成些日常任务，例如定时的备份工作、启动关闭数据库系统等。然而，数据 库管理员能够访问所有的数据，给了数据库管理员太大的权利空间。当数据库管 理员能察看到所有机密数据的时候，就可能造成机密信息的泄漏。这些机密信息， 可能包括信用卡号码，银行储户的存款余额，e m a il 账号密码等。在利益、好奇 心或其它因素的驱动下，系统管理员窥探这些机密数据的可能性是存在。如果系 统管理员进一步把这些机密信息泄漏给竞争对手，或者做一些其它的非法操作， 很容易造成严重的后果。 2 6 2 数据库入侵者 有数据统计表明。数据泄密大约有7 0 是来自公司企业内部的。其中，有相 当一部分是由于公司内部怀有不满情绪的员工窃取管理员密码或者通过各种方 法窃取d b a 身份执行非法操作，进而窃取到机密数据。另外，有经济价值的数据， 也驱使一些不法分子想尽各种办法，绕过防火墙进入企业内部网络，接近主机， 利用数据库的安全漏洞，以d b a 身份执行操作，获取机密数据。这类可被利用的 数据库安全漏洞包括：数据库产品中己经公布的漏洞，但未及时打上相应安全补 丁：尚未公布的但已经被入侵者发现的安全漏洞等。无论是哪种方式，一旦数据 库管理员的角色被攻破，那么整个数据库系统就等于完全暴露在入侵者的眼前， 整个系统的数据毫无机密性可言。事实上，由于d b a 的特殊地位，往往为一些伺 机入侵者所关注，从而成为整个数据库系统的一个薄弱环节。 郑州大学硕士学位论文 基于b s 结构的数据库加密技术研究 2 6 3 备份介质丢失造成数据泄密 对存储在数据库中的数据定期备份，被认为是维护数据库系统安全的良好习 惯。机密数据由于其重要性，对备份的要求更高。大量的数据备份文件存储在无 保护的磁性介质和光学介质中，流失的隐患相当大。而当各份介质被人有意获取 并进行“正确”的数据处理之后，就很有可能造成机密数据、机密信息的泄漏。 因此，加强数据库系统的管理也是增强数据库安全的重要措施，其它安全技 术手段只是对此的补充与完善。 1 2 郑州大学硕士学位论文基于b s 结构的数据库加密技术研究 3 数据库安全模型及数据库加密技术 当前，数据库安全模型的研究一直是人们关注的焦点，自由存取控制( d a c d i s c r e t i o n a r ya c c e s sc o n t r 0 1 ) 、强制存取控制 m a cm a n d a t o r ya c c e s s c o n t r 0 1 ) 及基于角色的存取控制( r b a cr o l eb a s e da c c e s sc o n t r o ) 等模型都 是构建数据库安全模型的基础。本文在分析借鉴传统数据库安全模型d a c 及m a c 的基础上，利用在r b a c 模型上增加加密层的方式构建了加密数据库安全模型。 3 1 传统数据库安全模型 传统的数据库安全模型的研究起源于操作系统安全体系研究的基础之上，典 型代表是a c m ( a c c e s sc o n t r o lm o d e l s 存取控制模型) 。这种模型最早由l a m p s o n 于1 9 7 1 年创立，经g r a h a m 和d e n n i n g 发展而成。它的主要思想是：由一个三元组代 表数据的每一种存取状态( s ，0 ，m ) ，其中s 是所有者集合，o 是所有者对应的 操作对象集合，m 是一个行、列分别由所有者、操作对象组成的存取权限矩阵。 每一个存取状态的改变都要通过对矩阵m 的修改来完成。但这种模型的缺陷在于， 在一个给定的存取控制模型中，即使用户对能派生出权限的每一种操作都很熟 悉，也难以预测可能派生出来的存取权限，可实际情况是用户自己对进行的操作 的结果通常是一无所知的。针对这种情况，出现了两种截然不同的存取控制策略， u p d a c 与m a c 模型。d a c 模型，是基于对象所有者的授权机制，其核心是对象的所 有者( 通常是它的创建者) 具有将这个对象的存取控制权自主授予其他主体的权 限，它允许对象所有者规定对对象的共享控制，这种控制可通过对象所有者授权 形式任意改变其它主体对对象的访问权限。 本文基于的数据库安全模型在体系结构上采用了四级安全层的方式实现 d b m s 的安全性，即外层、中间层、内层和分析层。外层的功能是验证用户身份的 合法性，只有拥有合法的登录账号连同口令才能向数据库注册，使用数据库系统 中的一些资源。中间层是基于r b a c 模型策略基础上的授权机制，它首先在系统中 建立两个角色，读角色与写角色，在以d a c 模型授权时，权限首先被授予角色， 用户以角色成员的形式出现，从而拥有角色所具有的权限。在执行m a c 模型的强 郑州太学硕士学位论文 基于b s 结构的数据库加密技术研究 制访问控制时，分别对用户与角色进行安全标记，角色向用户的授权必须满足强 制访问控制的要求。内层是包含了密码系统和密钥管理的数据加密层，这级安全 措施通过将原始数据转换成不可直接读取的加密形式，数据的保密性、防篡改及 可靠性都得到了保证。分析层是包含审计控制的安全分析层，由于构建不受攻击 的数据库是不可能实现的，安全系统必须提供侦测对数据库非法访问的机制。在 这四级安全层中，外层、中间层和内层提供的是数据库主动防护，分析层提供的 是数据库被动的防护。 3 2 数据库加密 与传统的通信加密技术相比，数据库存储加密有自身的特点和要求。数据库 存储加密的主要目的是按照用户的要求将敏感数据加密存储，防止非法用户采用 其它手段获取数据，同时保证合法用户通过数据库加密系统仍然正常访问数据。 因此，数据库存诸加密系统的开发原则是：强调安全，保证效率，保持数据库特 点。 3 2 1 数据库加密的必要性 现在流行的大型数据库系统提供了许多安全技术，它基本能够满足一般的数 据库应用需求，但对些特殊的安全需求，它们提供的安全技术还是不够完备的， 这是因为： ( 1 ) 数据库管理员在数据库系统中有至高无上的权利，可以访问数据库中的 所有数据，掌握着数据库中所有信息。 ( 2 ) 有经验的网上黑客会“绕道而行”，真接利用操作系统工具窃取数据库 的信息内容。阻明文形式存放信息的数据库，其备份信息存在安全隐患，成为被 攻击的目标。据统计，数据库中数据信息的泄密或破坏，7 0 是来自内部。解决 这些问题的关键办法是对数据库中的数据加密，这样即使数据不幸泄露或丢失， 也不会造成损失。 郑州大学硕士学位论文 基于b s 结构的数据库加密技术研究 3 2 2 数据库加密特点 数据库是为某一核心目标服务的数据集合，为了这种目的，通常数据库采用 一定的模型( 网状模型、层次模型、关系模型等) 将应用数据进行抽象，然后以 结构化的方式进行存储。 虽然数据库中的数据最终是以文件的形式存储在物理介质上，却不能将整个 数据库作为文件加密。一般情况下，文件是作为一个整体来使用的。传统的文件 存储加密时从头至尾顺序执行，访问加密文件时再从头至尾进行解密。数据库操 作最小的单位是一个数据元素，对数据库的数据存储时，有可能是逐个数据元素 的存储，或是一段元素；同时数据库文件较为庞大，如果每次访问数据库都进行 一次全文j j n 解密，那么数据的存储速度将非常的缓慢，在实际中是不可用的。 3 2 3 存储加密与传输加密的区别 存储加密与传输加密不同，在传输加密中，如果使用对称密钥加密数据，则 解密密钥和加密密钥相同，同时为了安全起见，通常采用一次一密，即每次加密 使用不同的密钥。在这种情况下，密钥不需要存储，密钥管理的关键问题是密钥 的分发的安全性。目前，利用非对称密钥加密技术可以有效解决密钥的安全传输 问题。而存储加密中，由于数据长期存储，反复加密解密，相应的密钥也需要长 期存储，因此密钥管理的关键是如何安全存储密钥。 3 2 4 数据库加密的要求 由于数据库本身的特点和实际应用需求，对数据库加密一般应实现以下功 能； ( 1 ) 由于数据库数据信息的生命周期一般比较长，无论采取何种加密方法， 都应能做到实际不可破译的程度。 ( 2 ) 数据信息在加密后，其占用的存储空间不宜明显增大。 ( 3 ) 加密和解密速度都应足够快，尤其对解密的速度要求更高，应使用户 尽量感觉不到由于加、解密所产生的延时。 ( 4 ) 加密系统要有尽可能灵活的授权机制。 郑州大学硕士学位论文基于b s 结构的数据库加密技术研究 ( 5 ) 加密系统应同时提供套安全的、灵活的密钥管理机构。 ( 6 ) 对数据库的加密不应影响系统的原有功能，应保持对数据库操作的灵 活性和简便性。 ( 7 ) 加密后的数据库仍能满足用户在不同类别程度上的访问。 3 2 5 数据库加密粒度问题 加密粒度是指加密的最小单位。数据库加密不同于一般文件和数据加密，数 据库在数据层次上分为数据库表、数据记录和数据项，所以数据库数据加密的加 密粒度通常有文件级、字段级、记录级和数据项级。加密单位越小，适用范围越 广，但实现难度就越大。根据应用时具体要求的不同，实现时应采用不同的方法。 基于文件的数据库加密技术把数据库文件作为整体，用加密密钥和加密算法 对整个数据库文件加密，形成密文来保证数据的真实性和完整性。利用这种方法， 数据的共享是通过用户用解密密钥对整个数据库文件进行解密来实现的。但在实 际应用中，这种加密方法有很大难度，首先，数据修改的工作将变得十分困难， 需要进行解密、修改、复制和加密四个操作，极大地增加了系统的时空开销；其 次，即使用户只是需要查看某一条记录，也必须将整个数据库文件解密，这样无 法实现对文件中不需要让用户知道的信息的控制。 基于字段的数据库加密技术，就是以数据表中的不同记录作为基本加密单元 进行加密。由于数据库系统中每条记录所包含的信息具有一定的封闭性，即从某 种程度上说它独立完整地存储了一个实体的数据，因此基于记录的加密技术是最 常用的数据库信息加密手段。这种方法的基本思路是：在各自密钥的作用下，将 数据库的每一个记录加密成密文并存放于数据库文件中；记录的查找是通过将需 查找的值解密成明文后进行的。然而基于记录的数据库保护有一个缺点，就是在 解密一个记录的数据时，无法实现对在这个记录中不需要的字段不解密：在选择 某个字段的某些记录时，如果不对含有这个字段的所有记录进行解密就无法进行 选择。 基于字段的数据库加密技术，就是以不同记录的不同字段为基本加密单元进 行加密。该方法可以对数据库中单个数据元素进行加密。其优点在于具有最小的 加密粒度，具有更好的灵活性和适应性，缺点是加解密效率低。若用数据库密钥 1 6 郑州人学硕士学位论文基于b s 结构的数据库加密技术研究 对单个数据元素重复加密，对于密文搜索攻击是脆弱的，若各字段的数据元素分 别用不同的密钥加密，则密钥个数= 记录个数字段个数，其量是非常惊人的，而 对这么多的密钥进行管理是一件非常困难的事情。所以选择一种合理的密钥管理 方法是字段加密的关键所在。一般比较现实的方法是对一个字段使用一个加密密 钥加密，在密钥的管理上采用多级密钥管理，即再使用一个二级密钥对数据密钥 进行加密，以提高加密的安全强度并便于密钥的管理1 4 2 1 。 3 2 6 数据库加密层次问题 可以考虑在三个不同层次实现对数据库数据的加密，这三个层次分别是操作 系统层( 0 s ) 、数据库管理系统( d b m s ) 内核层和d b m s 外层。 1 操作系统层 在0 s 层，数据库是以文件的形式存在的，可以按文件形式加密数据库。它 的优点是对数据库管理系统的特殊性要求比较少，实际上只要增加一个中间层负 责加、解密数据即可。但是由于在数据库操作时必须全部加或解密数据库，因此 往往需要付出很大的时空代价。所以，在o s 层对数据库文件进行加密，只适合 较小型的数据库，对于大型数据库来说，目前还难以实现【”。 2 数据库管理系统内核层 d b m s 内核层实现加密，是指数据在物理存取之前完成加解密工作。这种方 式势必造成d b m s 和加密器( 硬件或软件) 之间的接口需要d b m s 开发商的支持。这 种加密方式的优点是加密功能强，并且加密功能“几乎”不会影响d b m s 的功能。 但这种加密方式并不适合当前我国实际情况，因为我们现在使用的大型数据库管 理系统绝大部分是国外产品，其内核技术对我们是保密的，实现这种加密方式难 度是很大的。 3 数据库管理系统外核层 数据库加密的主要目的是防止内部人员泄密，而内部人员主要指数据库系统 的管理、维护人员，在纷繁复杂的数据中对他们保密的数据( 敏感数据) 种类并不 多，般不超过1 0 ，其中大部分是属性和结果等数据，数据量更少，；o n 解密 运算量并不很大。从目前的实际情况来看，比较实际的做法是在d b m s 的外层加 一层数据库加密系统。在三层数据库应用模式中数据库加密系统是在应用服务器 郑州大学硕士学位论文基于b s 结构的数据库加密技术研究 端实现的，数据库加密系统应实现加解密、定义加密要求、密钥管理等功能。 采用