電子商務系統中數據庫加密技術的探討

[摘要] 網絡數據庫是電子商務的基礎，其保存著重要的商業信息，因此保證網絡數據庫的安全是電子商務系統中的一個核心問題。數據庫加密是保證網絡數據中數據安全的最有效方法之一，文章從三個方面對數據庫加密技術進行了探討。

[關鍵詞] 電子商務 網絡數據庫 安全 加密

安全問題是電子商務應用中最令人擔心的問題，如何保證電子商務活動的安全，將一直是電子商務的核心研究領域。作為一個安全的電子商務系統，首先必須有一個安全可靠的通訊網絡，以保證交易信息安全、迅速地傳遞；其次必須保證數據庫中的數據絕對安全，防止黑客闖入網絡盜取數據。

網絡數據庫是電子商務的基礎，其保存著重要的商業信息，因此對于電子商務系統來說，保證其網絡數據庫的安全尤為重要。網絡數據庫安全是指數據庫信息的保密性、完整性、一致性和可用性。數據庫不僅儲存數據，還要為使用者提供信息。應該確保合法用戶在一定規則的控制和約束下使用數據庫，同時應該防止入侵者或非授權者非法訪間數據庫。

對于一般的數據庫系統，我們可以采用訪問控制、用戶身份認證、授權控制、監視跟蹤、安全審計、備份與恢復、反病毒等安全管理技術來構筑其安全體系，以保證數據的安全性和可靠性。由于電子商務系統中的網絡數據庫保存著重要的商業信息，但某些用戶尤其是一些內部用戶仍可能非法獲取用戶名、口令字或利用其他方法越權使用數據庫，甚至可以直接打開數據庫文件來竊取或篡改信息，所以僅靠上述的安全措施難以完全保證其數據的安全性，因此有必要對數據庫中存儲的重要數據進行加密處理。

與傳統的數據加密技術相比，數據庫加密技術有其自身的要求和特點。傳統的加密以報文為單位，加密、解密都是從頭至尾順序進行。而數據庫中的數據必須以字段為單位進行加密，否則該數據庫將無法被操作。同時由于數據庫中的數據是共享的，有權限的用戶隨時需要知道密鑰來查詢、修改、刪除和插入數據，這樣就要隨時對數據庫中數據進行加解密處理。

一、數據庫的加密方式

數據庫的加密方式很多，可以是軟件加密，也可以是硬件加密。軟件加密可以采用庫外加密，也可以采用庫內加密。

1.庫外加密。庫外加密方式即采用文件加密的方法，它把數據庫作為一個文件，把每一個數據塊當作文件的一個記錄進行加密，文件系統與數據庫管理系統交換的就是塊號。

庫外加密方法比較簡單，密鑰管理也相對簡單。

2.庫內加密。庫內加密按加密的方式，可以進行記錄加密，也可以進行字段加密，還可以對數據元素進行加密。

記錄加密方式，實質上是把數據庫的每一行作為一個文件來進行加密。此時，每一個記錄必須有一個密鑰與之匹配。因此，產生和管理記錄密鑰比較復雜。

字段加密方式，就是把一個數據庫的每一列作為一個文件來進行加密。此時，每一個字段必須有一個密鑰與之匹配。它的缺點與記錄加密相同，密鑰的產生和管理比較復雜。

數據元素加密方式即將每個元素當作一個文件進行加密。數據元素是數據庫加密的最小粒度。這種加密方式具有更好的靈活性和適應性，完全支持數據庫的各種功能（如記錄、數據項查詢、修改）。它把每個數據元素看作一個文件進行加密，每個被加密的元素有一個與之對應的加密密鑰。由于它的加密粒度小，因此加密效率低，而且元素密鑰的產生和管理比記錄加密方式和字段加密方式還要復雜。

3.硬件加密。硬件加密是在物理存儲器（磁盤）與數據庫系統之間加一硬件裝置，使之與實際的數據庫系統脫離。這種方式首先要求數據庫應保存在專一磁盤上，并且對控制信息不加密，而只對數據加密。

二、數據庫加密的范圍

數據庫管理系統要完成對數據庫文件的管理和使用，必須具有能夠識別部分數據的條件。因此，只能對數據庫中的數據進行部分加密。

1.索引字段不能加密。為了達到迅速查詢的目的，數據庫文件需要建立一些索引，索引的建立和應用必須是明文狀態，否則將失去索引的作用。

2.關系運算的比較字段不能加密。數據庫管理系統要組織和完成關系運算，參加并、差、積、商、選擇和連接等操作的數據項必須是明文，否則數據庫管理系統將無法進行比較篩選。

3.表間的連接碼字段不能加密。數據模型規范化以后，數據庫表之間存在著密切的聯系，這種相關性往往是通過“外碼”聯系的，這些外碼若加密就無法進行表與表之間的連接運算。

三、數據庫的加密層次

對數據庫文件進行加密處理可以考慮在三個不同層次實現，這三個層次分別是操作系統層、數據庫管理系統內核層和數據庫管理系統外層。

由于在操作系統層無法辨認數據庫文件中的數據關系，從而無法產生合理的密鑰，對密鑰合理的管理和使用也很難。所以，對于大型數據庫來說，在操作系統層對數據庫文件進行加密很難實現。

在數據庫管理系統內核層對數據庫文件加密，是指數據在物理存取之前完成加密、解密工作。這種加密方式的加密功能強且加密功能幾乎不影響數據庫管理系統的功能；但其是在服務器端進行加密、解密工作，加重了數據庫服務器的負載。

在數據庫管理系統外層對數據庫文件加密，是將數據庫加密系統做成數據庫管理系統的外層工具，根據加密要求自動完成對數據庫數據的加密、解密處理。這種加密方式中加密、解密運算可以在客戶端完成，可以減輕數據庫服務器的負載并能實現網上傳輸加密，但加密功能會受到一定限制。

數據加密，是將明文數據通過算法和密鑰變成難以直接辨認的密文數據。數據庫密碼系統就是將明文數據加密成密文數據，數據庫中存儲密文數據，查詢時將密文數據取出，解密得到明文信息。數據加密技術是保證網絡數據庫中數據安全最有效的技術之一。數據庫加密的目的是保護網絡數據庫系統內的數據、文件、口令和控制信息，防止數據的非授權泄露，從而大大提高了數據庫中數據的完全性。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。