徐毅

摘 要：信息系統(tǒng)在經(jīng)濟(jì)活動(dòng)和社會(huì)活動(dòng)中的地位和作用越來(lái)越重要，信息安全問(wèn)題成為不可忽視的問(wèn)題，數(shù)據(jù)加密能有效防止數(shù)據(jù)庫(kù)中敏感數(shù)據(jù)泄漏。Oracle數(shù)據(jù)庫(kù)透明數(shù)據(jù)加密（TDE）使用主密鑰和表密鑰對(duì)敏感數(shù)據(jù)字段進(jìn)行加解密。本文結(jié)合“煤粉燃燒特性管理信息系統(tǒng)”項(xiàng)目開(kāi)發(fā)，使用透明數(shù)據(jù)加密（TDE）對(duì)敏感數(shù)據(jù)字段進(jìn)行了加密應(yīng)用研究。

關(guān)鍵詞：敏感數(shù)據(jù)；主密鑰；表密鑰；透明數(shù)據(jù)加密

中圖分類(lèi)號(hào)：TP392 文獻(xiàn)標(biāo)識(shí)碼：A

Research on the Application of Sensitive Data Encryption Based on Oracle Database

XU Yi

（Business School of Northwest University of Politics and Law，Xi'an 710122，China）

Abstract：At present，the problem of information security in economic activities and social activities is becoming increasingly prominent，data encryption can effectively prevent sensitive data leakage in the database.Oracle database transparent data encryption（TDE）algorithm using the master key and table key to encrypt the sensitive data fields.Combined with"pulverized coal combustion characteristics management information system"project，paper used TDE to encrypt sensitive data fields.

Keywords：sensitive data；master key；table key；transparent data encryption

1 引言（Introduction）

數(shù)據(jù)庫(kù)安全目標(biāo)是為了維護(hù)存儲(chǔ)于數(shù)據(jù)庫(kù)管理系統(tǒng)（DBMS）中數(shù)據(jù)的三個(gè)安全特性，即機(jī)密性、完整性和可用性[1]。一般地，數(shù)據(jù)庫(kù)的安全性控制措施主要通過(guò)用戶(hù)標(biāo)識(shí)與鑒別、訪問(wèn)控制、視圖機(jī)制、數(shù)據(jù)加密、安全審計(jì)等機(jī)制來(lái)完成，然而這些安全機(jī)制只能滿(mǎn)足一般的數(shù)據(jù)庫(kù)安全應(yīng)用，而對(duì)于高度敏感性數(shù)據(jù)，數(shù)據(jù)庫(kù)系統(tǒng)所提供的安全性措施難以保證其安全。

造成數(shù)據(jù)庫(kù)安全隱患的一個(gè)主要原因是因?yàn)樵紨?shù)據(jù)以可讀（明文）形式存放在數(shù)據(jù)庫(kù)中。只要避開(kāi)系統(tǒng)身份鑒別認(rèn)證，進(jìn)入到數(shù)據(jù)庫(kù)系統(tǒng)中，就可以竊取或篡改數(shù)據(jù)庫(kù)中的任何數(shù)據(jù)。因此，為了保證數(shù)據(jù)庫(kù)中的數(shù)據(jù)安全，限制用戶(hù)非法訪問(wèn)，必須對(duì)數(shù)據(jù)庫(kù)中存儲(chǔ)的重要敏感數(shù)據(jù)進(jìn)行保護(hù)處理。數(shù)據(jù)庫(kù)加密技術(shù)能有效彌補(bǔ)傳統(tǒng)數(shù)據(jù)庫(kù)安全手段的不足。

數(shù)據(jù)加密（Data Encryption）是防止數(shù)據(jù)庫(kù)中數(shù)據(jù)存儲(chǔ)和傳輸過(guò)程中失密的有效手段。加密的基本思想是根據(jù)一定的算法將原始數(shù)據(jù)（明文plaintext）加密成為不可直接識(shí)別的格式（密文，ciphertext），數(shù)據(jù)則以密文的方式存儲(chǔ)和傳播，從而保證敏感數(shù)據(jù)訪問(wèn)和傳輸?shù)陌踩玔2]。

2 數(shù)據(jù)加密技術(shù)（Data encryption technology）

數(shù)據(jù)加密是保證用戶(hù)與數(shù)據(jù)隔離，防止敏感數(shù)據(jù)泄漏的重要手段。數(shù)據(jù)加密后，對(duì)于不知道密鑰的攻擊者，即使利用系統(tǒng)漏洞或其他方法非法訪問(wèn)到數(shù)據(jù)，也無(wú)法獲取真正的數(shù)據(jù)內(nèi)容；而經(jīng)過(guò)系統(tǒng)驗(yàn)證確認(rèn)其合法性和權(quán)限的用戶(hù)擁有正確的密鑰，可以從系統(tǒng)獲得可識(shí)別的數(shù)據(jù)。

2.1 加密層次

一般地，數(shù)據(jù)存儲(chǔ)加密可在三個(gè)層次實(shí)現(xiàn)數(shù)據(jù)庫(kù)加密工作，即操作系統(tǒng)（OS）層、DBMS內(nèi)核層和DBMS外層[3]。

（1）操作系統(tǒng)層加密：應(yīng)用程序通過(guò)操作系統(tǒng)提供的API調(diào)用數(shù)據(jù)庫(kù)文件，直接解密整個(gè)數(shù)據(jù)庫(kù)文件，然后訪問(wèn)這個(gè)完全解密的文件，而在應(yīng)用程序關(guān)閉時(shí)，再將已解密的文件進(jìn)行加密。

（2）DBMS內(nèi)核層加密：數(shù)據(jù)在物理存取之前完成加解密工作。這種加密方式功能強(qiáng)大、完全透明，應(yīng)用程序不需要做任何修改可以直接訪問(wèn)數(shù)據(jù)庫(kù)系統(tǒng)。

（3）DBMS外層加密：數(shù)據(jù)庫(kù)中存儲(chǔ)密文數(shù)據(jù)，應(yīng)用程序和外層工具交互，對(duì)數(shù)據(jù)庫(kù)的每一次操作都由加密系統(tǒng)轉(zhuǎn)化后再交給數(shù)據(jù)庫(kù)處理，然后再將數(shù)據(jù)庫(kù)返回的結(jié)果解密后返回給應(yīng)用程序。

2.2 加密粒度

加密粒度是指加密的最小數(shù)據(jù)單位，可分為數(shù)據(jù)庫(kù)級(jí)、表級(jí)、記錄級(jí)、字段級(jí)和數(shù)據(jù)項(xiàng)級(jí)?？傮w來(lái)說(shuō)，加密的粒度越小，靈活度越高且安全性越好，但實(shí)現(xiàn)技術(shù)難度就越大，越不易實(shí)現(xiàn)。因此，選擇合適的加密粒度是保證數(shù)據(jù)庫(kù)靈活性、安全性和執(zhí)行效率的重要因素。

數(shù)據(jù)庫(kù)級(jí)加密的弊端是每查詢(xún)一條記錄，需要對(duì)整個(gè)數(shù)據(jù)庫(kù)文件解密，極大地增加了系統(tǒng)時(shí)空開(kāi)銷(xiāo)；表級(jí)加密對(duì)包含敏感數(shù)據(jù)的表與表密鑰運(yùn)算，形成密文后存儲(chǔ)，非敏感表則保持明文存儲(chǔ)；記錄級(jí)加密對(duì)記錄統(tǒng)一進(jìn)行加密和解密處理；記錄級(jí)加密加解密鑰數(shù)量非常龐大，密鑰管理變得困難。

2.3 加密算法

密碼算法的優(yōu)劣決定敏感信息保護(hù)的有效性。密碼學(xué)中有三大加密算法類(lèi)型：對(duì)稱(chēng)密鑰加密算法、公開(kāi)密鑰加密算法以及哈希函數(shù)[4]。

（1）對(duì)稱(chēng)加密算法的加解密過(guò)程釆用同一個(gè)密鑰?？梢苑譃榱髅艽a加密和分組密碼加密兩種。

（2）公開(kāi)密鑰加密算法中，每一個(gè)公開(kāi)密鑰都對(duì)應(yīng)一個(gè)私鑰。公鑰和私鑰構(gòu)成密鑰對(duì)，加密和解密過(guò)程使用不同密鑰，所以也成為非對(duì)稱(chēng)加密算法。

（3）哈希函數(shù)的特點(diǎn)是能夠應(yīng)用在任意長(zhǎng)度的數(shù)據(jù)上，并且生成大小固定的輸出，計(jì)算相對(duì)簡(jiǎn)單，易于軟硬件實(shí)現(xiàn)。

3 透明數(shù)據(jù)加密（TDE）

Oracle提供兩種數(shù)據(jù)加密方法：使用程序包DBMS_CRYPTO和透明數(shù)據(jù)加密（TDE）。

（1）DBMS_CRYPTO可以生成私有密鑰，也可以自己指定并存儲(chǔ)密鑰。在Oracle Database 11g中，DBMS_CRYPTO甚至可以加密內(nèi)部大對(duì)象，例如BLOB和CLOB類(lèi)型。

（2）透明數(shù)據(jù)加密（TDE）是基于密鑰的訪問(wèn)控制，依賴(lài)于外部模塊實(shí)施授權(quán)?！巴该鳌钡囊馑际钱?dāng)訪問(wèn)表中或加密表空間中的加密字段時(shí)，授權(quán)用戶(hù)不必指定密碼或密鑰[4]。

透明數(shù)據(jù)加密（TDE）的優(yōu)點(diǎn)在于可以隨時(shí)地對(duì)表中的一個(gè)或多個(gè)字段加密，只需將加密字段指定加密算法即可，不必編寫(xiě)代碼。

4 TDE應(yīng)用實(shí)例（TDE application examples）

“煤粉燃燒特性管理信息系統(tǒng)”基于Oracle 11g R2數(shù)據(jù)庫(kù)，使用透明數(shù)據(jù)加密（TDE）對(duì)敏感數(shù)據(jù)進(jìn)行了加密機(jī)制應(yīng)用研究。現(xiàn)將加解密過(guò)程闡述如下。

數(shù)據(jù)庫(kù)為每個(gè)包含加密列的表創(chuàng)建一個(gè)私密的安全加密密鑰，采用指定的加密算法加密指定的明文數(shù)據(jù)。主密鑰對(duì)表密鑰加密，主密鑰保存在“錢(qián)夾（wallet）”中，加密的表密鑰保存在數(shù)據(jù)字典中。

當(dāng)寫(xiě)入數(shù)據(jù)到加密的列中時(shí)，數(shù)據(jù)庫(kù)首先從wallet中獲取主密鑰，用主密鑰解密數(shù)據(jù)字典中的表密鑰，然后用解密的表密鑰加密輸入的明文數(shù)據(jù)，再將加密后的數(shù)據(jù)保存在數(shù)據(jù)庫(kù)。

當(dāng)用戶(hù)查詢(xún)加密列的時(shí)候，數(shù)據(jù)庫(kù)首先將加密的表密鑰從數(shù)據(jù)字典取出，然后從wallet中取出主密鑰，解密表密鑰，再用解密的表密鑰解密磁盤(pán)上的加密數(shù)據(jù)。

以數(shù)據(jù)庫(kù)中煤粉燃燒特性工業(yè)分析表為例，表中C_No字段為試驗(yàn)編號(hào)字段（Primary Key，Not Null），C_Code字段為樣品編號(hào)字段（Not Null），C_Mt、C_Mad、C_Aar、C_Vdaf和C_Qnetar等五個(gè)字段均為試驗(yàn)數(shù)據(jù)字段。由于涉及商業(yè)機(jī)密和知識(shí)產(chǎn)權(quán)等問(wèn)題，這些試驗(yàn)數(shù)據(jù)均屬于敏感數(shù)據(jù)，因此需要對(duì)五個(gè)試驗(yàn)數(shù)據(jù)字段進(jìn)行加密保護(hù)，試驗(yàn)編號(hào)字段作為主鍵、索引字段，樣品編號(hào)字段作為外鍵，不需要加密。

（1）創(chuàng)建主密鑰的默認(rèn)存放目錄，在sqlnet.ora文件中添加wallet文件夾的絕對(duì)路徑。

NAMES.DIRECTORY_PATH=（TNSNAMES，EZCONNECT）ENCRYPTION_WALLET_LOCATION=（SOURCE=（METHOD=FILE）

（METHOD_DATA=（DIRECTORY=G：＼APP＼ADMINISTRATOR＼

PRODUCT＼11.2.0＼WALLET）））

然后，在SQL*Plus中創(chuàng)建Wallet密鑰，如圖1所示。

（2）創(chuàng)建數(shù)據(jù)庫(kù)表結(jié)構(gòu)，并為需要加密的字段指定加密算法。為了兼顧效率和時(shí)空開(kāi)銷(xiāo)，系統(tǒng)中選用了AES128加密算法。如圖2所示。

（3）打開(kāi)Wallet的情況下，即使用主密鑰解密表密鑰，再用解密的表密鑰解密磁盤(pán)上的加密數(shù)據(jù)，就可以正常瀏覽表數(shù)據(jù)。如圖4所示。

可以看到，通過(guò)透明數(shù)據(jù)加密（TDE）可以最大限度的加密敏感數(shù)據(jù)字段，防止數(shù)據(jù)庫(kù)被非法訪問(wèn)。透明數(shù)據(jù)加密（TDE）將密鑰管理的復(fù)雜性交給數(shù)據(jù)庫(kù)引擎來(lái)處理，同時(shí)允許數(shù)據(jù)庫(kù)管理員（DBA）在不必實(shí)際看到數(shù)據(jù)的情況下管理數(shù)據(jù)庫(kù)。

5 結(jié)論（Conclusion）

透明數(shù)據(jù)加密（TDE）方法基于wallet機(jī)制，當(dāng)數(shù)據(jù)庫(kù)表中的一個(gè)或多個(gè)字段被加密時(shí)，只需要為當(dāng)前表分配一個(gè)表密鑰（即一個(gè)表只需要一個(gè)密鑰）。系統(tǒng)中所有的密鑰再經(jīng)過(guò)服務(wù)器中的一個(gè)主密鑰加密后存儲(chǔ)在數(shù)據(jù)字典中，即密鑰本身也是加密存儲(chǔ)的。而服務(wù)器主密鑰則存儲(chǔ)在數(shù)據(jù)庫(kù)外部，使用外部安全機(jī)制來(lái)保證主密鑰的安全。這種加密方法更加安全高效、易于實(shí)現(xiàn)。

參考文獻(xiàn)（References）

[1] （美）Mark Stamp著.張戈，譯.信息安全原理與實(shí)踐（第2版）[M].北京：清華大學(xué)出版社，2013.5：2-5.

[2] 吳世忠，等.信息安全技術(shù)[M].北京：機(jī)械工業(yè)出版社，2014，4：2-5.

[3] 李光華.基于Oracle對(duì)象的數(shù)據(jù)庫(kù)加密應(yīng)用研究[D].碩士學(xué)位論文，河南：鄭州大學(xué)，2011.

[4] 莊海燕.數(shù)據(jù)庫(kù)加密技術(shù)及其在Oracle中的應(yīng)用[D]碩士學(xué)位論文，河南：鄭州大學(xué)，2006.