吳婧

摘要：隨著計(jì)算機(jī)技計(jì)算機(jī)技術(shù)的發(fā)展，特別是網(wǎng)絡(luò)信息科技的日新月異。數(shù)據(jù)庫(kù)技術(shù)更為廣泛的應(yīng)用于各大企業(yè)、各級(jí)政府部門(mén)及軍事等信息系統(tǒng)的核心領(lǐng)域，隨之?dāng)?shù)據(jù)的共享需求亦日益增多，經(jīng)過(guò)實(shí)際的需求人們認(rèn)識(shí)數(shù)據(jù)庫(kù)的安全及保密問(wèn)題已成為當(dāng)今計(jì)算機(jī)安全的一項(xiàng)重要課題。本文將對(duì)數(shù)據(jù)庫(kù)加密技術(shù)的要求、方法及其影響進(jìn)行闡述分析。

關(guān)鍵詞：數(shù)據(jù)庫(kù) 加密 安全

中圖分類(lèi)號(hào)：TP309.7 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2016）05-0000-00

1 數(shù)據(jù)庫(kù)加密技術(shù)的要求

鑒于數(shù)據(jù)庫(kù)所存儲(chǔ)的數(shù)據(jù)具有一定的復(fù)雜性、執(zhí)行查詢(xún)操作的頻繁性、數(shù)據(jù)存儲(chǔ)的長(zhǎng)期性等特征，對(duì)于數(shù)據(jù)庫(kù)的加解密算法及對(duì)應(yīng)的密鑰管理機(jī)制要具備以下幾點(diǎn)：

（1）數(shù)據(jù)庫(kù)加密系統(tǒng)要充分保證數(shù)據(jù)的安全性，這點(diǎn)體現(xiàn)在加密算法對(duì)于數(shù)據(jù)的保密性及完整性的要求，它有效的防止了對(duì)未授權(quán)數(shù)據(jù)的訪問(wèn)和修改。（2）應(yīng)用數(shù)據(jù)庫(kù)時(shí)頻繁的查詢(xún)操作，需要具備高強(qiáng)度的解密效率，避免造成數(shù)據(jù)庫(kù)系統(tǒng)性能的大幅度下降。（3）明文與密文的長(zhǎng)度要盡可能的做到相等或相當(dāng)，相對(duì)于數(shù)據(jù)庫(kù)管理系統(tǒng)而言數(shù)據(jù)庫(kù)結(jié)構(gòu)的變動(dòng)差異不可過(guò)大。（4）數(shù)據(jù)存儲(chǔ)時(shí)間久且密鑰又較為復(fù)雜，這需要更為堅(jiān)固、靈活且安全的密鑰管理機(jī)制。

2 數(shù)據(jù)庫(kù)加密的方法

（1）靜態(tài)加密技術(shù)。靜態(tài)加密是指實(shí)施加密時(shí)待加密文件已存在但未使用，通過(guò)密碼、密鑰證書(shū)或數(shù)字簽名的方式進(jìn)行加密，實(shí)施加密后使用時(shí)必須先通過(guò)解密取得明文方可使用的加密方法。此種方式一般應(yīng)用于應(yīng)用系統(tǒng)或軟件加密當(dāng)中。（2）動(dòng)態(tài)加密技術(shù)。動(dòng)態(tài)加密是指動(dòng)態(tài)的跟蹤數(shù)據(jù)流，對(duì)相關(guān)的數(shù)據(jù)自動(dòng)進(jìn)行時(shí)時(shí)加解密操作，無(wú)需人工參與亦不會(huì)對(duì)用戶(hù)有任何影響，有權(quán)限的用戶(hù)在使用已加密文件時(shí)，無(wú)需先取得明文解密即可直接使用。所以對(duì)于有權(quán)限的用戶(hù)來(lái)講，動(dòng)態(tài)加密操作是透明的，訪問(wèn)未加密或加密文件基本感覺(jué)不到區(qū)別。反之，對(duì)于沒(méi)有訪問(wèn)權(quán)限的用戶(hù)來(lái)講，即便通過(guò)非法手段取得了加密文件，也無(wú)法識(shí)別，只是得到亂碼而已，更談不到獲取有效信息了。近年來(lái)，動(dòng)態(tài)加密技術(shù)因其便捷的使用方法得到廣泛的應(yīng)用。（3）文件級(jí)動(dòng)態(tài)加解密技術(shù)。在文件系統(tǒng)層當(dāng)中，既能獲取到文件自身的詳細(xì)信息，又能獲取到用戶(hù)信息及訪問(wèn)此種文件的進(jìn)程等各類(lèi)相關(guān)信息，因文件系統(tǒng)層其特有的屬性可以開(kāi)發(fā)出功能極其強(qiáng)大的文檔安全產(chǎn)品。在動(dòng)態(tài)加解密的產(chǎn)品中，其部分文件系統(tǒng)自身就支持文件的動(dòng)態(tài)加解密，而在實(shí)際操作當(dāng)中，加密文件一般以分區(qū)或目錄為單位，對(duì)于用戶(hù)的個(gè)性化需求是難以滿(mǎn)足的，即使存在諸多不足之處，文件級(jí)動(dòng)態(tài)加解密技術(shù)的安全性依然可以與磁盤(pán)級(jí)加密技術(shù)相匹敵。但鑒于文件級(jí)動(dòng)態(tài)加解密技術(shù)對(duì)于用戶(hù)個(gè)性化需求的不足，也為第三方提供了動(dòng)態(tài)加解密安全產(chǎn)品提供了足夠的發(fā)展空間。

在不同的操作系統(tǒng)中要研發(fā)的文件級(jí)動(dòng)態(tài)加解密安全產(chǎn)品也各不相同，有多種方法可供選擇，可利用過(guò)濾驅(qū)動(dòng)或Hook等方法將其轉(zhuǎn)化為文件系統(tǒng)的一個(gè)組成部分，即將嵌入到文件系統(tǒng)中。從某個(gè)角度上講，可以將第三方動(dòng)態(tài)加解密產(chǎn)品近似于文件系統(tǒng)的一種功能擴(kuò)展，這種功能擴(kuò)展是通過(guò)模塊化的形式根據(jù)客戶(hù)需求進(jìn)行掛接或缷載操作來(lái)完成的，而這是作為文件系統(tǒng)內(nèi)嵌的動(dòng)態(tài)加密系統(tǒng)難以實(shí)現(xiàn)的。

3 數(shù)據(jù)庫(kù)加密技術(shù)對(duì)數(shù)據(jù)庫(kù)造成的影響

所謂數(shù)據(jù)加密即是對(duì)明文進(jìn)行一系列較為復(fù)雜的加密操作，使明文和密文、密文和密鑰間的內(nèi)在聯(lián)系不被發(fā)現(xiàn)，從而使加密過(guò)的數(shù)據(jù)經(jīng)得住數(shù)據(jù)庫(kù)管理系統(tǒng)和操作系統(tǒng)的攻擊。數(shù)據(jù)庫(kù)管理系統(tǒng)的功能一般情況下是較為完備的，但針對(duì)數(shù)據(jù)庫(kù)中以密文形式存在的敏感性數(shù)據(jù)是無(wú)法應(yīng)用其部分功能的，且當(dāng)數(shù)據(jù)庫(kù)的數(shù)據(jù)加密后，數(shù)據(jù)庫(kù)管理系統(tǒng)部分功能將無(wú)法直接應(yīng)用。

（1）加密字段不能實(shí)現(xiàn)索引功能。在數(shù)據(jù)庫(kù)當(dāng)中為了查詢(xún)和檢索的快速及便捷，常常要建立一些索引。而索引要發(fā)揮其作用必須使其建立和應(yīng)用在明文的狀態(tài)下，且某些數(shù)據(jù)庫(kù)管理系統(tǒng)中所建立的索引也必須在明文的狀態(tài)下建立、維護(hù)和使用，否則索引將失去作用。（2）加密功能不能用于表間的連接碼字段。數(shù)據(jù)模型構(gòu)建后，數(shù)據(jù)庫(kù)表之間的相關(guān)性是通過(guò)局部編碼進(jìn)行關(guān)聯(lián)的，如若對(duì)這些局部編碼進(jìn)行加密操作，則將無(wú)法進(jìn)行數(shù)據(jù)表之間的連接運(yùn)算。（3）加密后無(wú)法進(jìn)行數(shù)據(jù)約束的定義。數(shù)據(jù)庫(kù)管理系統(tǒng)通常會(huì)定義數(shù)據(jù)約束，如若此類(lèi)數(shù)據(jù)一旦進(jìn)行了加密操作，數(shù)據(jù)庫(kù)管理系統(tǒng)將無(wú)法實(shí)現(xiàn)數(shù)據(jù)約束功能，且值域也無(wú)法進(jìn)行定義。（4）密文數(shù)據(jù)不能應(yīng)用于數(shù)據(jù)庫(kù)的排序、分組和分類(lèi)功能。SQL的Select語(yǔ)句中分組、排序、分類(lèi)等操作分別通過(guò)Group、Orderby、Having子句來(lái)實(shí)現(xiàn)，如若將此類(lèi)子句的操作對(duì)象設(shè)為加密數(shù)據(jù)，將無(wú)滿(mǎn)足用戶(hù)的需求，因?yàn)榧词姑魑臄?shù)據(jù)進(jìn)行了解密操作也失去了原有語(yǔ)句的分組、排序、分類(lèi)等作用。（5）加密數(shù)據(jù)無(wú)法被SQL語(yǔ)言中的內(nèi)部函數(shù)所應(yīng)用。（6）加密數(shù)據(jù)無(wú)法直接應(yīng)用于數(shù)據(jù)庫(kù)管理系統(tǒng)為各類(lèi)數(shù)據(jù)所提供的某些內(nèi)部函數(shù)上。（7）加密數(shù)據(jù)將使數(shù)據(jù)庫(kù)管理系統(tǒng)的某些應(yīng)用開(kāi)發(fā)工具使用受限。數(shù)據(jù)庫(kù)管理系統(tǒng)的某些應(yīng)用開(kāi)發(fā)工具不能對(duì)加密數(shù)據(jù)進(jìn)行直接操作，因此在對(duì)其應(yīng)用時(shí)會(huì)受限。由此可見(jiàn)，對(duì)數(shù)據(jù)庫(kù)進(jìn)行加密操作會(huì)影響到部分?jǐn)?shù)據(jù)庫(kù)管理系統(tǒng)的功能，好比閱讀語(yǔ)句中的函數(shù)、排序、分組等，如想應(yīng)用此類(lèi)功能亦可通過(guò)組件技術(shù)來(lái)實(shí)現(xiàn)，如利用SQL的解釋器。所以當(dāng)數(shù)據(jù)庫(kù)加密后致使數(shù)據(jù)庫(kù)管理系統(tǒng)部分功能無(wú)法直接使用時(shí)，可以通過(guò)在數(shù)據(jù)庫(kù)管理系統(tǒng)的安全管理系統(tǒng)中增加組件來(lái)實(shí)現(xiàn)這部分功能的應(yīng)用。

4 結(jié)語(yǔ)

隨著時(shí)代的發(fā)展，數(shù)據(jù)庫(kù)管理系統(tǒng)以其自身優(yōu)勢(shì)在社會(huì)各界得到廣泛應(yīng)用，其使用率較高對(duì)數(shù)據(jù)的安全性要求就越高。目前，人們?cè)跀?shù)據(jù)庫(kù)安全及加密技術(shù)的研究方面只做了部分的嘗試性工作，還有諸多重要性細(xì)節(jié)問(wèn)題有待于進(jìn)一步深入解決。

參考文獻(xiàn)

[1] 張敏，等.數(shù)據(jù)庫(kù)安全[M].北京：科學(xué)出版社，2005.

[2] 谷利澤.數(shù)據(jù)應(yīng)用中安全技術(shù)的設(shè)計(jì)和實(shí)現(xiàn)[D].北京郵電大學(xué)，2001.