張小林

摘要：隨著信息化社會的發(fā)展，網(wǎng)絡(luò)已經(jīng)成為人們不可或缺的生活必需品。網(wǎng)絡(luò)用戶日常在網(wǎng)絡(luò)上的交流、瀏覽記錄都會被記錄，這些都可能會被非法獲取從而，嚴(yán)重地影響了公民的利益和安全。因此，現(xiàn)代密碼學(xué)迫切需要找到保護(hù)敏感或機(jī)密信息的方法。有效的數(shù)據(jù)加密和解密是網(wǎng)絡(luò)空間安全的關(guān)鍵。我們需要將信息轉(zhuǎn)換為一種不可讀的格式，以便它可以受到保護(hù)，并且只有授權(quán)訪問它的人可以這樣做。校園網(wǎng)作為互聯(lián)網(wǎng)的一部分，由于校園網(wǎng)的獨(dú)特屬性，在享受互聯(lián)網(wǎng)提供的服務(wù)時(shí)更容易受到攻擊。該文從密碼學(xué)技術(shù)為契機(jī)，介紹了密碼技術(shù)在高校安全建設(shè)中的應(yīng)用。

關(guān)鍵詞： 網(wǎng)絡(luò)安全;密碼技術(shù);數(shù)據(jù)庫加密

中圖分類號：TP393? ? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2021）33-0006-03

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

Research on the Application of Cryptography in Network Security in Universities

ZHANG Xiao-lin

（Information Construction and Management Division， Anqing Normal University， Anqing 246133， China）

Abstract： With the development of information society， network has become an indispensable necessity for people's life. The daily communication and browsing records of network users on the network will be recorded， which may be obtained illegally， which seriously affects the interests and safety of citizens. Therefore， modern cryptography urgently needs to find methods to protect sensitive or confidential information. Effective data encryption and decryption is the key to Cyberspace Security. We need to convert the information into an unreadable format so that it can be protected and only those authorized to access it can do so. As a part of the Internet， campus network is more vulnerable to attack when enjoying the services provided by the Internet due to its unique attributes. This paper introduces the application of cryptography in the security construction of universities.

Key words： network security; cryptography; database encryption

1 背景研究

1.1 密碼學(xué)簡介

密碼學(xué)是保護(hù)計(jì)算機(jī)通信信息的重要工具。它是一種將數(shù)據(jù)轉(zhuǎn)換成不可讀格式的藝術(shù)，以便只有預(yù)期的接收方能夠理解和使用它。同時(shí)也是一門將重要的秘密信息隱藏起來以防止未經(jīng)授權(quán)的人侵犯的藝術(shù)和科學(xué)。一般來說，密碼學(xué)是關(guān)于保護(hù)和保護(hù)信息不受網(wǎng)絡(luò)罪犯或除預(yù)期接收者以外的任何人的攻擊。密碼學(xué)使人們能夠在互聯(lián)網(wǎng)上進(jìn)行通信，安全地傳輸關(guān)鍵的機(jī)密信息。因此，密碼學(xué)允許用戶使用公共或私人媒體，如互聯(lián)網(wǎng)進(jìn)行網(wǎng)上購物，避免成為罪犯和密碼嗅探器的受害者。密碼學(xué)是由加密和解密密鑰發(fā)起的。將純文本編碼并轉(zhuǎn)換為不可讀格式的過程稱為加密;而使用特殊的數(shù)字密鑰對不可讀文本進(jìn)行解碼并將其轉(zhuǎn)換為可讀信息的過程稱為解密，加密的唯一目的是保護(hù)通過公共網(wǎng)絡(luò)傳輸?shù)男畔?、電子郵件、信用卡詳細(xì)信息和其他個(gè)人數(shù)據(jù)。加密和解密過程對于高敏感信息的通信是必不可少的。即使密碼學(xué)被用來將信息轉(zhuǎn)換成一種不可讀的格式，我們也不能絕對肯定機(jī)密數(shù)據(jù)不會被越來越聰明的網(wǎng)絡(luò)罪犯訪問[1]。

1.2 密碼技術(shù)概述

對稱加密技術(shù)[2]，它使用相同的數(shù)字密鑰進(jìn)行加密和解密。它也被稱為私鑰、個(gè)人密鑰、私鑰和共享密鑰。盡管命名鍵并不完全相同，但它們彼此是相關(guān)的。然而，對稱密碼學(xué)是一種較弱的信息保護(hù)技術(shù)。因?yàn)樗苋菀妆黄谱g，所以很容易受到犯罪分子的攻擊，也很容易被黑客攻擊。不過，如果計(jì)劃周密并仔細(xì)執(zhí)行，解碼的風(fēng)險(xiǎn)就會降低。密碼學(xué)技術(shù)使用不同的數(shù)字密鑰對信息進(jìn)行加密和解密。在非對稱密碼學(xué)中，最終用戶使用一對數(shù)字密鑰。一個(gè)數(shù)字密鑰用于加密，另一個(gè)密鑰用于解密。這些數(shù)字密鑰稱為公鑰和私鑰。兩個(gè)鍵都是不同的。因此，一般的觀點(diǎn)是，非對稱密碼學(xué)是相當(dāng)安全的。非對稱密碼學(xué)中使用的一種技術(shù)是將密鑰分配給特定類型的數(shù)據(jù)。非對稱密碼學(xué)中另一個(gè)有趣的概念是使用由公開密鑰持有者或發(fā)送方分配的隨機(jī)數(shù)字密鑰。它也被稱為對數(shù)字密鑰，必須用于加密和解密信息。

公鑰密碼學(xué)不同于秘密數(shù)字密鑰密碼學(xué)的概念，公開數(shù)字密鑰使用一對數(shù)字密鑰。雙密鑰系統(tǒng)使雙方通信更加安全。在這種類型的密碼學(xué)中，每個(gè)通信方都有一對密鑰。一個(gè)是秘密的，另一個(gè)是公開的。公鑰在他們之間共享。發(fā)送信息時(shí)，發(fā)送方將使用公鑰加密信息。一旦接收方得到加密的信息，他就使用他的密鑰將信息解密為可讀的形式。這種加密方式不需要任何數(shù)字密鑰，因?yàn)樗褂靡粋€(gè)固定長度的散列值加密成明文。密碼學(xué)發(fā)展到現(xiàn)在，已經(jīng)有了許多分支，不僅僅是數(shù)字密鑰這些內(nèi)容。還有很多別的新科技，本文不再贅述，接下來開始講一講密碼學(xué)原理和密碼技術(shù)應(yīng)用的現(xiàn)狀。

哈希鍵的目的是確保原始信息不被篡改。這是單向加密。它使用算法來促進(jìn)交流。哈希鍵通常提供數(shù)字指紋，以確保文件沒有損壞或感染病毒。哈希鍵還可以幫助計(jì)算機(jī)管理員加密密碼。

1.3 密碼學(xué)原理

機(jī)密性：加密是密碼學(xué)的重要原理之一。這一原則表明，必須對消息或信息進(jìn)行加密，使其變得不可讀，以保護(hù)個(gè)人的隱私。該原理還表明，信息的接收方必須使用特殊的數(shù)字密鑰對接收的信息進(jìn)行解密。

真實(shí)性：密碼學(xué)的一個(gè)重要原則是識別信息的來源。一旦確定了信息源，就很容易安全地進(jìn)行通信。身份驗(yàn)證只能通過提供一個(gè)特殊的密鑰交換，由發(fā)送方據(jù)此來證明他/她的身份。

完整性：發(fā)送給接收者的信息的完整性非常重要。這一原則表明，密碼學(xué)通過提供代碼和數(shù)字密鑰來確保數(shù)據(jù)的完整性，以確保我們從預(yù)期的人那里收到的是真實(shí)的。接收方保證在傳輸過程中接收到的信息沒有被修改或泄露。例如，使用加密散列來確保信息的完整性。

不可否認(rèn)性：這一原則確保信息的發(fā)送者不能否認(rèn)他/她從未發(fā)送過信息這一事實(shí)。該原則使用數(shù)字簽名來防止發(fā)送方否認(rèn)數(shù)據(jù)的來源[2]。

1.4 應(yīng)用現(xiàn)狀

加密算法對明文（加密前的原始消息）進(jìn)行各種替換和轉(zhuǎn)換，并將其轉(zhuǎn)換為密文（加密后的亂碼消息）。許多加密算法在信息安全領(lǐng)域得到了廣泛的應(yīng)用。密碼學(xué)中密鑰的選擇非常重要，它直接關(guān)系到加密算法的安全性。加密算法的強(qiáng)度依賴于密鑰的保密性、密鑰的長度、初始化向量以及它們?nèi)绾我黄鸸ぷ?。非對稱加密技術(shù)的速度大約是對稱加密技術(shù)的1000倍，這使得它在試圖加密大量數(shù)據(jù)時(shí)不切實(shí)際。另外，為了獲得與對稱加密相同的安全強(qiáng)度，非對稱加密必須使用比對稱加密技術(shù)更強(qiáng)的密鑰。近年來，網(wǎng)上購物、股票交易、網(wǎng)上銀行、電子賬單支付等許多基于互聯(lián)網(wǎng)的應(yīng)用出現(xiàn)了。這種通過有線或無線公共網(wǎng)絡(luò)進(jìn)行的交易需要端到端的安全連接，應(yīng)該是保密的，以確保數(shù)據(jù)的身份驗(yàn)證、可靠性和保密性、完整性和可用性。安全是保護(hù)信息和服務(wù)免受意外或未經(jīng)授權(quán)的訪問、更改或破壞的機(jī)制。網(wǎng)絡(luò)安全的基礎(chǔ)是密碼學(xué)，這是一種轉(zhuǎn)換信息的科學(xué)和藝術(shù)，使其安全且不受攻擊[3]。加密是保證敏感信息安全的主要手段之一。

大多數(shù)人在網(wǎng)絡(luò)空間交流或發(fā)送數(shù)據(jù)的風(fēng)險(xiǎn)都是自己承擔(dān)的。當(dāng)我們出于各種目的使用互聯(lián)網(wǎng)時(shí)，我們傳輸?shù)氖撬饺诵畔⒑兔孛堋２还芪覀兿矚g與否，網(wǎng)絡(luò)空間里的信息都可能會被網(wǎng)絡(luò)罪犯竊取。信息安全應(yīng)該是全世界計(jì)算機(jī)用戶最關(guān)心的問題?，F(xiàn)代密碼學(xué)需要提供保護(hù)和數(shù)字密鑰，以確保在網(wǎng)絡(luò)空間傳輸?shù)男畔⒈３滞暾桶踩?。加密和解密技術(shù)必須得到改進(jìn)，以確保對真正的互聯(lián)網(wǎng)用戶提供最高級別的安全。在這個(gè)數(shù)字時(shí)代，我們面臨的挑戰(zhàn)是如何智勝網(wǎng)絡(luò)罪犯，讓發(fā)送者和收件人都能心安理得。我們需要把我們的信息轉(zhuǎn)換成不可讀的形式，這樣我們的數(shù)據(jù)才能得到保護(hù)，才能安全到達(dá)目的地。今天，在信息化的時(shí)代，我們的知識產(chǎn)權(quán)受到損害的風(fēng)險(xiǎn)越來越大，成為欺騙、欺詐和假冒的受害者。因此，我們需要強(qiáng)大的密碼學(xué)來保護(hù)我們免受這些罪犯的傷害。盡管密碼技術(shù)發(fā)展至今，作用有利有弊，但隨著國家對網(wǎng)絡(luò)安全的重視，《數(shù)據(jù)安全法》出臺，更加明確地提出了隨數(shù)據(jù)安全的要求，密碼技術(shù)將在高校的各種應(yīng)用場景中得到應(yīng)用和發(fā)展。

2 加密技術(shù)應(yīng)用于網(wǎng)絡(luò)數(shù)據(jù)庫

2.1 學(xué)校后臺數(shù)據(jù)庫加密的必要性

高校在擁有高密集度的人群，同時(shí)也擁有大量的應(yīng)用系統(tǒng)，存儲著師生的各類信息，因此高校的信息系統(tǒng)后臺的數(shù)據(jù)必須得到保護(hù)，目前僅依賴外圍安全和數(shù)據(jù)庫訪問控制不能提供足夠的安全性。打包數(shù)據(jù)庫加密解決方案已被證明是保護(hù)敏感數(shù)據(jù)的最佳替代方案。這是一個(gè)特殊而復(fù)雜的解決方案領(lǐng)域，如果內(nèi)部資源不具備與IT環(huán)境相關(guān)的加密專業(yè)知識，則應(yīng)該使用外 部專業(yè)知識來確保卓越的性能。數(shù)據(jù)庫安全是一個(gè)廣泛的研究領(lǐng)域，包括諸如統(tǒng)計(jì)數(shù)據(jù)庫安全，入侵檢測，以及最近的隱私保護(hù)數(shù)據(jù)挖掘，設(shè)計(jì)既保護(hù)個(gè)人信息的隱私和所有權(quán)又不妨礙信息流動的信息系統(tǒng)。第一個(gè)是要加密或解密的數(shù)據(jù)粒度。字段、行和頁是備選項(xiàng)。該字段是最好的選擇，因?yàn)樗鼘⒆钚』用艿淖止?jié)數(shù)。然而，正如我們所發(fā)現(xiàn)的，這將需要在關(guān)系數(shù)據(jù)庫或數(shù)據(jù)庫服務(wù)器中嵌入加密的方法。第二個(gè)維度是加密算法的軟件和硬件實(shí)現(xiàn)?；诩用芩惴ㄓ布墝?shí)現(xiàn)的關(guān)系數(shù)據(jù)庫中的加密需要大量的加密操作啟動成本。每個(gè)模型還提供不同的操作性能、調(diào)優(yōu)可能性和加密卸載功能。

2.2 加密技術(shù)及流程

（1）數(shù)據(jù)庫加密

數(shù)據(jù)庫級加密允許信息系統(tǒng)后臺在數(shù)據(jù)寫入和讀取數(shù)據(jù)庫時(shí)保護(hù)數(shù)據(jù)的安全。這種類型的部署通常在數(shù)據(jù)庫表的列級完成，如果結(jié)合數(shù)據(jù)庫安全和訪問控制，可以防止關(guān)鍵數(shù)據(jù)的竊取。數(shù)據(jù)庫級加密保護(hù)DBMS中的數(shù)據(jù)，還可以防止各種威脅，包括存儲介質(zhì)盜竊、眾所周知的存儲攻擊、數(shù)據(jù)庫級攻擊和惡意dba。數(shù)據(jù)庫級加密消除了應(yīng)用程序級模型中需要的所有應(yīng)用程序更改，并解決了通過使用存儲過程和觸發(fā)器在DBMS中嵌入業(yè)務(wù)邏輯的日益增長的趨勢。加密服務(wù)的位置——本地服務(wù)、遠(yuǎn)程過程服務(wù)或網(wǎng)絡(luò)附加服務(wù)。選擇實(shí)現(xiàn)點(diǎn)不僅從集成的角度規(guī)定了需要完成的工作，而且還會顯著影響整個(gè)安全模型。數(shù)據(jù)加密越早，環(huán)境就越安全——然而，由于應(yīng)用程序和數(shù)據(jù)庫環(huán)境中的分布式業(yè)務(wù)邏輯，數(shù)據(jù)一進(jìn)入網(wǎng)絡(luò)就進(jìn)行加密并不總是可行的。存儲級加密使學(xué)校后臺能夠在存儲子系統(tǒng)上對數(shù)據(jù)進(jìn)行加密，可以是在文件級（NAS/DAS）上，也可以是在塊級SAN上。這種類型的加密非常適合加密文件、目錄、存儲塊和磁帶媒體。根據(jù)學(xué)校的經(jīng)驗(yàn)，數(shù)據(jù)庫隱私作為一種基礎(chǔ)設(shè)施服務(wù)是一種可行的模式，已經(jīng)逐漸成為大多數(shù)應(yīng)用程序的成功產(chǎn)品。學(xué)校后臺首先必須采用只加密敏感字段的方法。其次，該級別的加密必須考慮利用硬件來提高安全性級別，并可能減輕加密過程的負(fù)擔(dān)，以最大限度地減少對性能的影響。這種類型的加密的主要弱點(diǎn)是它不能防止應(yīng)用程序級的攻擊，因?yàn)榧用芄δ苁菄?yán)格在DBMS中實(shí)現(xiàn)的[4]。

（2）透明加密技術(shù)

針對數(shù)據(jù)庫系統(tǒng)的安全需求，使用TDE透明加密技術(shù)，利用安全的密鑰管理保證數(shù)據(jù)庫加密密鑰傳輸?shù)陌踩?，在不影響原有?shù)據(jù)庫功能的基礎(chǔ)上實(shí)現(xiàn)對校園中敏感和重要數(shù)據(jù)的加密功能。數(shù)據(jù)在落盤時(shí)加密，在數(shù)據(jù)庫內(nèi)存中是明文，當(dāng)攻擊者“拔盤”竊取數(shù)據(jù)，由于數(shù)據(jù)庫文件無法獲得密鑰而只能獲取密文，從而起到保護(hù)數(shù)據(jù)庫中數(shù)據(jù)的效果[5]。

2.3 應(yīng)用場景

數(shù)據(jù)庫系統(tǒng)屬于基礎(chǔ)和支撐軟件，數(shù)據(jù)庫系統(tǒng)已經(jīng)成為信息基礎(chǔ)設(shè)施重要組成部分，資源使用者和所有者相分離的云服務(wù)提供模式使得數(shù)據(jù)庫系統(tǒng)面臨更加嚴(yán)峻安全挑戰(zhàn)。針對數(shù)據(jù)竊取、篡改、泄露等安全威脅，需要通過密碼技術(shù)來保護(hù)，實(shí)現(xiàn)密文存取、操作和訪問，保證數(shù)據(jù)全生命周期的安全。數(shù)據(jù)庫泄密的數(shù)據(jù)類型一般是結(jié)構(gòu)化數(shù)據(jù)，而結(jié)構(gòu)化數(shù)據(jù)主要通過數(shù)據(jù)庫來保存和接受查詢，因此數(shù)據(jù)庫信息安全問題十分重要。

2.3.1 數(shù)據(jù)庫安全需求

（1）存儲層明文泄露

數(shù)據(jù)的私密性沒有保障。文件采用明文方式存儲在存儲介質(zhì)上，存儲介質(zhì)的運(yùn)輸、返廠維修、廢棄、丟失、失竊、或使用第三方災(zāi)備服務(wù)商代理數(shù)據(jù)備份業(yè)務(wù)等過程，都會有數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

（2）內(nèi)部高權(quán)限人員泄密

運(yùn)維管理員或開發(fā)人員往往具有最高權(quán)限，可不受控制地訪問數(shù)據(jù)庫上的所有數(shù)據(jù)，一旦內(nèi)部高權(quán)限主動泄密，損失將不可估量。

（3）外部黑客攻擊竊取

防不勝防的黑客攻擊手段，普通的黑客從進(jìn)入到退出一次數(shù)據(jù)攻擊只需用不到10秒鐘時(shí)間就可完成。

（4）數(shù)據(jù)庫業(yè)務(wù)的需求

普通數(shù)據(jù)模糊處理，對數(shù)據(jù)庫數(shù)據(jù)檢索、模糊查詢、數(shù)據(jù)恢復(fù)等具有致命影響，同時(shí)掌握一定規(guī)律即可破解。

（5）算法密鑰的需求

用于強(qiáng)身份認(rèn)證、數(shù)據(jù)加解密的密碼算法應(yīng)符合國家密碼管理局等相關(guān)部委制定的政策、法規(guī)，以保證系統(tǒng)服務(wù)的安全性。密鑰應(yīng)存儲在符合國家密碼管理局等相關(guān)部委批準(zhǔn)的硬件密碼設(shè)備中，保證密鑰的安全。

根據(jù)需求，采用數(shù)據(jù)庫透明加密的方式實(shí)現(xiàn)對數(shù)據(jù)的加密保護(hù)。數(shù)據(jù)庫加密是以數(shù)據(jù)庫表為單位，加密后寫入的數(shù)據(jù)被加密存儲。利用安全的密鑰管理系統(tǒng)保證數(shù)據(jù)庫加密密鑰傳輸?shù)陌踩?，在不影響原有?shù)據(jù)庫功能的基礎(chǔ)上實(shí)現(xiàn)對敏感和重要數(shù)據(jù)的加密功能。

主密鑰存儲在數(shù)據(jù)庫外部，如明文文件。表空間密鑰存儲在表空間文件標(biāo)題中，該標(biāo)題受主密鑰保護(hù)。對于加密表，表空間密鑰由主密鑰加密并存儲在表空間頭中。用戶只需要聲明需要加密那個(gè)表。當(dāng)用戶插入數(shù)據(jù)的時(shí)候，數(shù)據(jù)庫透明地加密數(shù)據(jù)然后存儲加密后的數(shù)據(jù)，當(dāng)用戶讀取數(shù)據(jù)時(shí)，數(shù)據(jù)庫自動進(jìn)行解密。加解密操作對應(yīng)用程序來說都是透明的，數(shù)據(jù)庫表加密和解密沒有任何額外的編碼及數(shù)據(jù)類型或模式修改[6]。

部署時(shí)用戶需要在數(shù)據(jù)中心部署具有密鑰管理的密碼設(shè)備來達(dá)到保障數(shù)據(jù)安全的目的，通過密鑰管理設(shè)備管理主密鑰，第三方安全管理員授權(quán)主密鑰訪問權(quán)限，實(shí)現(xiàn)數(shù)據(jù)庫必須使用強(qiáng)身份認(rèn)證獲取主密鑰，保證主密鑰的安全從而保證表空間密鑰及加密數(shù)據(jù)的安全，因此任何用戶都無法繞過數(shù)據(jù)庫查看加密表空間明文數(shù)據(jù)。

由于使用的數(shù)據(jù)庫使用的是透明加密技術(shù)，它是對落盤存儲的數(shù)據(jù)直接進(jìn)行加密操作，數(shù)據(jù)是以明文的形式顯示的，所以需要配合完善的訪問控制技術(shù)來對訪問數(shù)據(jù)庫人員的身份權(quán)限作一定的限制，以此來保證數(shù)據(jù)信息的安全。

3 結(jié)束語

在校園網(wǎng)絡(luò)和應(yīng)用系統(tǒng)中，幾乎沒有采取任何安全措施，主機(jī)操作系統(tǒng)和應(yīng)用系統(tǒng)中的安全漏洞也沒有進(jìn)行任何處理，系統(tǒng)管理中存在很多問題，這些都形成了嚴(yán)重的安全問題，從而嚴(yán)重威脅到校園網(wǎng)的安全。信息安全是保證校園網(wǎng)運(yùn)行順暢、功能最大化的必然因素。提供良好的信息化教育環(huán)境是示范性教育工作的有力后盾，信息技術(shù)教育的普及和校園網(wǎng)是信息化環(huán)境的硬件保障。

參考文獻(xiàn)：

[1] 任偉.現(xiàn)代密碼學(xué)[M].北京：北京郵電大學(xué)出版社，2011.

[2] 陳智敏.RSA公鑰密碼軟件包的實(shí)現(xiàn)[D].廣州：廣州大學(xué)，2002.

[3] 張健，任洪娥，陳宇.密碼學(xué)原理及應(yīng)用技術(shù)[M].北京：清華大學(xué)出版社，2011.

[4] 黃鏑.異構(gòu)數(shù)據(jù)庫的跨庫檢索技術(shù)綜述[J].圖書情報(bào)工作，2003，47（6）：94-97，109.

[5] 牛霞紅.數(shù)據(jù)加密技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用[J].通信電源技術(shù)，2020，37（6）：186-187，191.

[6] 王磊.高校計(jì)算機(jī)網(wǎng)絡(luò)安全中的數(shù)據(jù)加密技術(shù)研究[J].無線互聯(lián)科技，2020，17（21）：85-86.

【通聯(lián)編輯：代影】