對數據進行加密,主要有三種方式:系統中加密、客戶端(DBMS外層)加密、服務器端(DBMS內核層)加密。客戶端加密的好處是不會加重數據庫服務器的負載,並且可實現網上的傳輸加密,這種加密方式通常利用數據庫外層工具實現。而服務器端的加密需要對數據庫管理系統本身進行操作,屬核心層加密,如果沒有數據庫開發商的配合,其實現難度相對較大。此外,對那些希望通過ASP獲得服務的企業來說,只有在客戶端實現加解密,才能保證其數據的安全可靠。
1.常用數據庫加密技術
信息安全主要指三個方面。壹是數據安全,二是系統安全,三是電子商務的安全。核心是數據庫的安全,將數據庫的數據加密就抓住了信息安全的核心問題。
對數據庫中數據加密是為增強普通關系數據庫管理系統的安全性,提供壹個安全適用的數據庫加密平臺,對數據庫存儲的內容實施有效保護。它通過數據庫存儲加密等安全方法實現了數據庫數據存儲保密和完整性要求,使得數據庫以密文方式存儲並在密態方式下工作,確保了數據安全。
1.1數據庫加密技術的功能和特性
經過近幾年的研究,我國數據庫加密技術已經比較成熟。
壹般而言,壹個行之有效的數據庫加密技術主要有以下6個方面的功能和特性。
(1)身份認證:
用戶除提供用戶名、口令外,還必須按照系統安全要求提供其它相關安全憑證。如使用終端密鑰。
(2) 通信加密與完整性保護:
有關數據庫的訪問在網絡傳輸中都被加密,通信壹次壹密的意義在於防重放、防篡改。
(3) 數據庫數據存儲加密與完整性保護:
數據庫系統采用數據項級存儲加密,即數據庫中不同的記錄、每條記錄的不同字段都采用不同的密鑰加密,輔以校驗措施來保證數據庫數據存儲的保密性和完整性,防止數據的非授權訪問和修改。
(4)數據庫加密設置:
系統中可以選擇需要加密的數據庫列,以便於用戶選擇那些敏感信息進行加密而不是全部數據都加密。只對用戶的敏感數據加密可以提高數據庫訪問速度。這樣有利於用戶在效率與安全性之間進行自主選擇。
(5)多級密鑰管理模式:
主密鑰和主密鑰變量保存在安全區域,二級密鑰受主密鑰變量加密保護,數據加密的密鑰存儲或傳輸時利用二級密鑰加密保護,使用時受主密鑰保護。
(6) 安全備份:
系統提供數據庫明文備份功能和密鑰備份功能。
1.2對數據庫加密系統基本要求
(1) 字段加密;
(2) 密鑰動態管理;
(3) 合理處理數據;
(4) 不影響合法用戶的操作;
(5) 防止非法拷貝;
1.3數據庫數據加密的實現
使用數據庫安全保密中間件對數據庫進行加密是最簡便直接的方法。主要是通過系統中加密、DBMS內核層(服務器端)加密和DBMS外層(客戶端)加密。
在系統中加密,在系統中無法辨認數據庫文件中的數據關系,將數據先在內存中進行加密,然後文件系統把每次加密後的內存數據寫入到數據庫文件中去,讀入時再逆方面進行解密就,這種加密方法相對簡單,只要妥善管理密鑰就可以了。缺點對數據庫的讀寫都比較麻煩,每次都要進行加解密的工作,對程序的編寫和讀寫數據庫的速度都會有影響。
在DBMS內核層實現加密需要對數據庫管理系統本身進行操作。這種加密是指數據在物理存取之前完成加解密工作。這種加密方式的優點是加密功能強,並且加密功能幾乎不會影響DBMS的功能,可以實現加密功能與數據庫管理系統之間的無縫耦合。其缺點是加密運算在服務器端進行,加重了服務器的負載,而且DBMS和加密器之間的接口需要DBMS開發商的支持。
在DBMS外層實現加密的好處是不會加重數據庫服務器的負載,並且可實現網上的傳輸,加密比較實際的做法是將數據庫加密系統做成DBMS的壹個外層工具,根據加密要求自動完成對數據庫數據的加解密處理。
采用這種加密方式進行加密,加解密運算可在客戶端進行,它的優點是不會加重數據庫服務器的負載並且可以實現網上傳輸的加密,缺點是加密功能會受到壹些限制,與數據庫管理系統之間的耦合性稍差。
數據庫加密系統分成兩個功能獨立的主要部件:壹個是加密字典管理程序,另壹個是數據庫加解密引擎。數據庫加密系統將用戶對數據庫信息具體的加密要求以及基礎信息保存在加密字典中,通過調用數據加解密引擎實現對數據庫表的加密、解密及數據轉換等功能。數據庫信息的加解密處理是在後臺完成的,對數據庫服務器是透明的。
按以上方式實現的數據庫加密系統具有很多優點:首先,系統對數據庫的最終用戶是完全透明的,管理員可以根據需要進行明文和密文的轉換工作;其次,加密系統完全獨立於數據庫應用系統,無須改動數據庫應用系統就能實現數據加密功能;第三,加解密處理在客戶端進行,不會影響數據庫服務器的效率。
數據庫加解密引擎是數據庫加密系統的核心部件,它位於應用程序與數據庫服務器之間,負責在後臺完成數據庫信息的加解密處理,對應用開發人員和操作人員來說是透明的。數據加解密引擎沒有操作界面,在需要時由操作系統自動加載並駐留在內存中,通過內部接口與加密字典管理程序和用戶應用程序通訊。數據庫加解密引擎由三大模塊組成:加解密處理模塊、用戶接口模塊和數據庫接口模塊。