[摘要] 本文設(shè)計(jì)了一種更安全、有效的數(shù)據(jù)庫加密方法。該方法采用二級(jí)密鑰體制，即用工作密鑰將數(shù)據(jù)用對(duì)稱加密算法進(jìn)行加密，然后使用非對(duì)稱加密算法用主密鑰進(jìn)行加密，最后在數(shù)據(jù)庫中存儲(chǔ)的是工作密鑰的密文數(shù)據(jù)。

[關(guān)鍵詞] 二級(jí)密鑰 密文數(shù)據(jù)庫 密鑰管理

一、引言

目前，以計(jì)算機(jī)和網(wǎng)絡(luò)為基礎(chǔ)的各種管理信息系統(tǒng)(MIS)已成為當(dāng)今社會(huì)運(yùn)行的基礎(chǔ)。數(shù)據(jù)庫是MIS的核心，是一種可共享的資源。在數(shù)據(jù)庫系統(tǒng)中大量集中存放的某些數(shù)據(jù)很可能是國家或單位的機(jī)密數(shù)據(jù)或重要數(shù)據(jù)，這些數(shù)據(jù)一旦被泄密或遭到破壞，將給國家或單位造成巨大損失。據(jù)有關(guān)資料報(bào)道，80%的計(jì)算機(jī)犯罪來自系統(tǒng)內(nèi)部。因此，數(shù)據(jù)庫的安全與保密成為MIS安全的一個(gè)關(guān)鍵。

二、數(shù)據(jù)庫加密的特點(diǎn)

數(shù)據(jù)加密就是將數(shù)據(jù)和信息（稱為明文）經(jīng)過一定的變換（一般為變序和代替）轉(zhuǎn)換為不可辨識(shí)的數(shù)據(jù)形式（稱為密文）的過程，使不應(yīng)了解該數(shù)據(jù)和信息的人不能夠知道和識(shí)別。預(yù)知密文的內(nèi)容，使用加密的逆過程再將其轉(zhuǎn)變?yōu)槊魑?，即將密文?shù)據(jù)轉(zhuǎn)變成可見的明文數(shù)據(jù)，即為解密過程。加密盒解密過程構(gòu)成密碼系統(tǒng)，明文與密文統(tǒng)稱報(bào)文。任何密碼系統(tǒng)無論形式多么復(fù)雜，至少包括明文集合、密文集合、密鑰集合和算法，其中密鑰和算法構(gòu)成了密碼系統(tǒng)的基本單元。算法是一些公式、法則或程序，規(guī)定明文與密文之間的變換方法，密鑰可看作算法中的參數(shù)。數(shù)據(jù)庫密碼系統(tǒng)要求將明文數(shù)據(jù)加密成密文數(shù)據(jù)后存儲(chǔ)，查詢時(shí)將密文數(shù)據(jù)取出解密得到明文信息。

較之傳統(tǒng)的數(shù)據(jù)加密技術(shù)，數(shù)據(jù)庫密碼系統(tǒng)尤其自身的要求和特點(diǎn)。數(shù)據(jù)庫加密分為基于數(shù)據(jù)庫、表、記錄、字段，對(duì)于加密與普通不加密情況下的性能，通過不同的加密級(jí)別的單機(jī)平臺(tái)試驗(yàn)，比較出字段級(jí)數(shù)據(jù)庫加密的效果比記錄級(jí)、數(shù)據(jù)表級(jí)和數(shù)據(jù)庫級(jí)要好，而且對(duì)于數(shù)據(jù)的加密算法最好是對(duì)稱加密算法，因?yàn)閷?duì)稱加密算法加/解密速度快，適合于對(duì)大量的數(shù)據(jù)加密。

另外，在網(wǎng)絡(luò)通訊系統(tǒng)中，每次通訊的會(huì)話密鑰是動(dòng)態(tài)產(chǎn)生的。會(huì)話一旦結(jié)束，本次會(huì)話密鑰也就失去作用，可以被清除掉。而數(shù)據(jù)庫中數(shù)據(jù)是長(zhǎng)期存放的，數(shù)據(jù)的加密密鑰不可能隨用隨清，密鑰的某些信息必須存放在機(jī)器中。如此一來，總有一些特權(quán)用戶有機(jī)會(huì)存取密鑰，這對(duì)加密系統(tǒng)的安全是十分不利的，解決這一問題的方法之一是研制多級(jí)密鑰管理體制。如何產(chǎn)生和保護(hù)這些密鑰，做到在從產(chǎn)生到消亡這段時(shí)間內(nèi)確保不會(huì)被泄漏，這就對(duì)密鑰的管理提出了更嚴(yán)格的要求。

三、二級(jí)密鑰體制

所謂二級(jí)密鑰體制就是一級(jí)密鑰為主密鑰，使用公鑰算法如RSA;二級(jí)密鑰為工作密鑰，使用私鑰算法如DES。工作密鑰用于對(duì)數(shù)據(jù)庫數(shù)據(jù)進(jìn)行加。脫密，主密鑰的作用是對(duì)工作密鑰進(jìn)行加密。這樣就既利用了私鑰算法的快速性又保持了工作密鑰的安全性。二級(jí)密鑰工作的流程圖如圖1所示。

1.數(shù)據(jù)庫加密中的二級(jí)密鑰體制

當(dāng)決定對(duì)表中的某個(gè)字段中的數(shù)據(jù)進(jìn)行加密之后，面臨的一個(gè)問題是如何對(duì)該字段中的數(shù)據(jù)加密？這是一個(gè)非常嚴(yán)重的問題。在本研究中，我們控制系統(tǒng)為該字段隨機(jī)產(chǎn)生一個(gè)對(duì)稱密鑰（我們稱對(duì)稱加密算法忠要用到的密鑰為對(duì)稱密鑰）。數(shù)據(jù)庫表中該字段內(nèi)的所有數(shù)據(jù)，都用這個(gè)對(duì)稱密鑰進(jìn)行加密存儲(chǔ)，這就是工作密鑰。對(duì)于工作密鑰一種最簡(jiǎn)單的處理方式是讓這些用戶直接保存和管理數(shù)據(jù)密鑰，但是用戶自己保存這些密鑰仍然存在著很多問題，如對(duì)某個(gè)用戶來說，可能擁有訪問權(quán)利的不僅僅是一個(gè)加密字段中的數(shù)據(jù)，用戶很可能同時(shí)使多個(gè)加密字段的授權(quán)用戶。而對(duì)于不同的加密字段，所對(duì)應(yīng)的數(shù)據(jù)加密時(shí)不同的。(因?yàn)?，如果?duì)于不同加密字段，都是用相同的一個(gè)數(shù)據(jù)密鑰的話，就很容易造成數(shù)據(jù)泄密。)這樣，用戶就需要同時(shí)管理對(duì)應(yīng)于多個(gè)加密字段的多個(gè)數(shù)據(jù)密鑰，用戶的負(fù)擔(dān)顯然過于沉重，另外對(duì)于數(shù)據(jù)庫的超級(jí)用戶管理員來說如果這些工作密鑰是明文存儲(chǔ)就沒有什么意義了。因此對(duì)于這個(gè)問題，我們考慮用二級(jí)密鑰的加密體制。

2.密文數(shù)據(jù)庫的加密過程

我們用非對(duì)稱密鑰算法對(duì)工作密鑰進(jìn)行加密，將加密后的密文工作密鑰存儲(chǔ)在數(shù)據(jù)庫中。我們用a代表加密字段中的所有數(shù)據(jù)，k代表用來對(duì)該字段加密的數(shù)據(jù)密鑰，k是由系統(tǒng)隨機(jī)產(chǎn)生的，被用在對(duì)稱加密算法中。KU1，KU2，……，KUun是加密字段的授權(quán)用戶User1，User2，……，Usern各自的公鑰。

如圖3，對(duì)a的加密過程和對(duì)數(shù)據(jù)密鑰k的保護(hù)過程，可做描述如下：

(1)k作為對(duì)數(shù)據(jù)加密的對(duì)稱密鑰，使用非對(duì)稱加密算法E1對(duì)a加密，得到a的密文形式E1(a，k)。把E1(a，k)存入數(shù)據(jù)庫中，代替原來的明文數(shù)據(jù)。

(2)k被非對(duì)稱加密算法E2加密，密鑰就是用戶i的公鑰。當(dāng)然這里用數(shù)據(jù)庫用戶i的公鑰對(duì)k進(jìn)行加密有一個(gè)前提，就是，數(shù)據(jù)庫用戶i必須是該加密字段的授權(quán)用戶。令不同的數(shù)據(jù)庫用戶對(duì)應(yīng)有不同的公鑰（當(dāng)然也有不同的私鑰），則這里就有k的n個(gè)加密拷貝，例如對(duì)于數(shù)據(jù)庫用戶User1，有E2(k， KU1)，對(duì)于數(shù)據(jù)庫用戶User2，有E2(k， KU2)。

(3)把這n個(gè)k的加密拷貝也存入數(shù)據(jù)庫。所以在存儲(chǔ)E1(a， k)之外，還需要額外地在數(shù)據(jù)庫系統(tǒng)中占有n個(gè)存儲(chǔ)空間。但這n個(gè)存儲(chǔ)空間實(shí)際上可以理解為在取得方便性的時(shí)候必須付出的代價(jià)——用戶不再自身管理數(shù)據(jù)密鑰，付出這樣的代價(jià)是值得的。

另外，一旦數(shù)據(jù)庫中已經(jīng)存有加密字段授予某用戶的數(shù)據(jù)密鑰的加密拷貝的話，用戶存入數(shù)據(jù)的流程就有了一點(diǎn)改變。KR1，KR2，……，KRn，在前面已經(jīng)提到過，是數(shù)據(jù)庫用戶1，數(shù)據(jù)庫用戶2，……，數(shù)據(jù)庫用戶n的私鑰。這樣，對(duì)a的加密過程和對(duì)數(shù)據(jù)密鑰k的保護(hù)過程改變?yōu)椋?/p>

(1)數(shù)據(jù)庫用戶i從加密數(shù)據(jù)庫中取出自己對(duì)于加密字段的數(shù)據(jù)密鑰E2(k，KUi)，然后用自己的私鑰KRi作為解密密鑰（假設(shè)數(shù)據(jù)庫用戶是加密字段數(shù)據(jù)a的授權(quán)用戶），調(diào)用不對(duì)稱解密算法D2，對(duì)E2(k，KUi)進(jìn)行解密，可以取回該加密字段的數(shù)據(jù)密鑰k，加密算法E2與解密算法D2是配對(duì)的一套算法，例如，利用RSA算法分別執(zhí)行加密和解密。

(2)k作為對(duì)數(shù)據(jù)加密的對(duì)稱密鑰，使用對(duì)稱加密算法E1對(duì)a加密，得到a的密文形式E1(a， k)。把E1(a， k)存入數(shù)據(jù)庫中，代替原來的明文數(shù)據(jù)a。

3.密文數(shù)據(jù)庫的解密過程

如圖4，利用解密算法D1，D2，從E1(a， k)得回a的整個(gè)過程可以描述如下：

(1)數(shù)據(jù)庫用戶i從加密數(shù)據(jù)庫中取出自己針對(duì)加密字段的數(shù)據(jù)密鑰拷貝E2(k， KUi)，用自己的私鑰作為解密密鑰，實(shí)際上，用戶的私鑰如何存儲(chǔ)及取出，在后面的“用數(shù)據(jù)庫用戶口令對(duì)私鑰進(jìn)行加密保護(hù)”中有描述。調(diào)用不對(duì)稱加密算法D2，對(duì)E2(k， KUi)解密，可以取回該加密字段的數(shù)據(jù)密鑰k。

(2)從加密數(shù)據(jù)庫中取出E1(a， k)，然后用k作為解密密鑰，調(diào)用對(duì)稱加密算法對(duì)E1(a， k)解密，就可以得回明文數(shù)據(jù)a。

四、結(jié)論

本文使用的數(shù)據(jù)庫是SQL Server 2000，用到了Java的加密擴(kuò)展包即Java Cryptography Extension，簡(jiǎn)稱JCE，它是Sun的加密服務(wù)軟件，包含了加密和密鑰生成功能，使用到了非對(duì)稱加密算法，解決了工作密鑰的存儲(chǔ)問題。

參考文獻(xiàn):

[1]王洪杰:應(yīng)用數(shù)據(jù)加密技術(shù)對(duì)數(shù)據(jù)庫數(shù)據(jù)加密的探討[J].天津職業(yè)技術(shù)師范學(xué)院學(xué)報(bào)，2003，13(3):34～36

[2]左黎明等:基于JCE的網(wǎng)絡(luò)數(shù)據(jù)庫敏感信息加密技術(shù)與實(shí)現(xiàn)[J].華東交通大學(xué)學(xué)報(bào)，2004，21(4):142～145

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文。