試論數(shù)據(jù)庫(kù)外層安全技術(shù)問(wèn)題

羅婷婷 余先榮

【摘 要】由于社會(huì)發(fā)展的需要，很多的信息和資源都被存放到數(shù)據(jù)庫(kù)中，方便更多的用戶(hù)使用。而存放于數(shù)據(jù)庫(kù)中的大多信息和資源都具有保密性質(zhì)，因此數(shù)據(jù)庫(kù)信息存放安全問(wèn)題就備受關(guān)注。文中提到的數(shù)據(jù)庫(kù)安全問(wèn)題主要是指怎樣確保數(shù)據(jù)信息的保密性，存放安全性及信息傳輸?shù)耐暾陀行浴Ｎ闹嗅槍?duì)其數(shù)據(jù)庫(kù)存放信息的安全做研究。

【關(guān)鍵詞】數(shù)據(jù)庫(kù)；信息安全；技術(shù)

【中圖分類(lèi)號(hào)】TP309.2 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1672-5158（2013）03-0131-01

1.前言

對(duì)不合理的數(shù)據(jù)使用操作給予杜絕，避免此類(lèi)情況的發(fā)生會(huì)對(duì)數(shù)據(jù)的保密性、完整性和正確性遭到惡意的破壞，便是數(shù)據(jù)庫(kù)的安全性。而目前的數(shù)據(jù)庫(kù)用戶(hù)采用標(biāo)記和身份認(rèn)證的方式限制訪問(wèn)，對(duì)訪問(wèn)流量的監(jiān)控及數(shù)據(jù)庫(kù)存放信息的備份和加密等措施都是較為常見(jiàn)的處理數(shù)據(jù)庫(kù)安全管理的手段。而在應(yīng)對(duì)一些保密性質(zhì)更強(qiáng)的信息數(shù)據(jù)處理時(shí)，在進(jìn)行上文所提到的方法外還應(yīng)該增加一項(xiàng)更嚴(yán)密的信息加密技術(shù)[1]。

在早期的數(shù)據(jù)庫(kù)安全處理上主要是通過(guò)對(duì)訪問(wèn)人數(shù)的控制來(lái)實(shí)現(xiàn)信息存放的安全，而后又有一些學(xué)者提出可以通過(guò)對(duì)存放于數(shù)據(jù)庫(kù)中的信息進(jìn)行加密來(lái)實(shí)現(xiàn)。在相當(dāng)長(zhǎng)的時(shí)間驗(yàn)證后，對(duì)訪問(wèn)進(jìn)行控制的方法應(yīng)用比較廣泛。在研究數(shù)據(jù)庫(kù)信息的存放安全時(shí)，不能用平時(shí)處理其他信息的邏輯去看待，這是由于存放于數(shù)據(jù)庫(kù)中的數(shù)據(jù)具有以下的三個(gè)特性：具備有固定的數(shù)據(jù)信息管理系統(tǒng)；能夠滿(mǎn)足資源高度共享的需求；具有各自的數(shù)據(jù)結(jié)構(gòu)處理方式。

2.數(shù)據(jù)庫(kù)的加密內(nèi)容

由于存放數(shù)據(jù)庫(kù)中的信息資源數(shù)量龐大，而且數(shù)據(jù)之間的相關(guān)性非常強(qiáng)，因此就區(qū)別出此類(lèi)數(shù)據(jù)安全處理的方式和普通信息處理的方式不一樣，所以數(shù)據(jù)安全加密的性質(zhì)也比一般信息的強(qiáng)度要高，難度也更大。日常情況下數(shù)據(jù)庫(kù)加密的方式有兩種：其一是硬件加密；其二是軟件加密。硬件加密的方法是對(duì)數(shù)據(jù)庫(kù)文件和存儲(chǔ)器添加硬件保護(hù)裝置，將其和實(shí)際的數(shù)據(jù)庫(kù)進(jìn)行分離存放，如果需要加密保護(hù)時(shí)只需要對(duì)相應(yīng)存儲(chǔ)器的存放數(shù)據(jù)進(jìn)行加密處理即可。軟件加密方法可以通過(guò)對(duì)數(shù)據(jù)庫(kù)內(nèi)進(jìn)行加密或者對(duì)數(shù)據(jù)庫(kù)外進(jìn)行加密措施來(lái)實(shí)現(xiàn)[2]。

把存放在數(shù)據(jù)庫(kù)中的信息順序打亂，而數(shù)據(jù)庫(kù)的信息訪問(wèn)只接受具有訪問(wèn)權(quán)限的用戶(hù)進(jìn)行數(shù)據(jù)訪問(wèn)和信息的讀取和下載，由此保障存放信息的安全性，是比較方便的數(shù)據(jù)保管手段。數(shù)據(jù)庫(kù)信息加密的操作需要原始數(shù)據(jù)和被通過(guò)密匙處理后的數(shù)據(jù)再在同一個(gè)時(shí)段中被相應(yīng)運(yùn)算公式做信息的處理，隨后才對(duì)結(jié)束運(yùn)算的數(shù)據(jù)信息做加密的保護(hù)工作。此項(xiàng)數(shù)據(jù)加密的應(yīng)用原理是先將原始的信息轉(zhuǎn)換成不能取讀的模式。經(jīng)過(guò)數(shù)據(jù)加密處理后的相應(yīng)數(shù)據(jù)被稱(chēng)之為密文。而經(jīng)過(guò)轉(zhuǎn)換的數(shù)據(jù)還要保證權(quán)限用戶(hù)能夠完整的進(jìn)行數(shù)據(jù)的取讀，因此需要取讀數(shù)據(jù)的用戶(hù)就應(yīng)該運(yùn)用相應(yīng)的反運(yùn)算程序和相應(yīng)的密匙來(lái)做轉(zhuǎn)換數(shù)據(jù)的解密工作。

信息存放處的加密，就是通過(guò)建立起有效的體系來(lái)確保數(shù)據(jù)庫(kù)中存放的明文數(shù)據(jù)以密文的形式執(zhí)行保護(hù)。所建立起的加密系統(tǒng)只允許擁有權(quán)限的用戶(hù)做數(shù)據(jù)的讀取工作，并且能將轉(zhuǎn)換的密文再次解密成準(zhǔn)確的信息反映給用戶(hù)。數(shù)據(jù)庫(kù)保密性的增強(qiáng)可對(duì)數(shù)據(jù)加強(qiáng)保護(hù)工作來(lái)實(shí)現(xiàn)。但進(jìn)行加密的信息必須要能夠滿(mǎn)足數(shù)據(jù)的高效性和安全性。所謂高效性是指，所進(jìn)行的任何一項(xiàng)保密工作都不能對(duì)原數(shù)據(jù)產(chǎn)生任何影響；而安全性就是確保其不能被任意的不合法用戶(hù)獲得或者對(duì)數(shù)據(jù)進(jìn)行篡改[3]。

3.數(shù)據(jù)庫(kù)加密層次的選取

數(shù)據(jù)庫(kù)中存放信息的加密和解密工作的進(jìn)行位置主要在以下的三個(gè)地方完成，其一是在操作系統(tǒng)的內(nèi)部完成；其二是在DBMS內(nèi)完成；其三是在DBMS外完成。

（1）操作系統(tǒng)內(nèi)部的信息加密、解密工作。如果對(duì)操作系統(tǒng)中存放的數(shù)據(jù)不能進(jìn)行數(shù)據(jù)關(guān)系的識(shí)別工作，就不能生成密匙，從而對(duì)密匙的管理和使用也就無(wú)法實(shí)現(xiàn)。因此，相對(duì)于存放量較大的數(shù)據(jù)庫(kù)直接在系統(tǒng)中進(jìn)行加密是比較難以實(shí)現(xiàn)的。

（2）在DBMS內(nèi)進(jìn)行數(shù)據(jù)的加密和解密工作。此處數(shù)據(jù)的加密和解密工作可在信息存入和讀取的過(guò)程中進(jìn)行，也可在信息尚未存取之前完成。而所進(jìn)行加密和解密的對(duì)象可以是數(shù)據(jù)庫(kù)用戶(hù)自己規(guī)定的數(shù)據(jù)也可是DBMS在進(jìn)行存放時(shí)所提供的數(shù)據(jù)。數(shù)據(jù)進(jìn)行加密和解密的程序：在信息進(jìn)行存放的過(guò)程中，信息的加密需要經(jīng)過(guò)觸發(fā)器對(duì)信息加密存儲(chǔ)的過(guò)程進(jìn)行調(diào)用后得以實(shí)現(xiàn)。信息在讀取的過(guò)程中：信息的解密方式需要觸發(fā)器把相關(guān)聯(lián)的存儲(chǔ)程序進(jìn)行調(diào)用后得以實(shí)現(xiàn)。信息進(jìn)行加密和解密的計(jì)算方法：信息加密和計(jì)算的方法由DBMS體統(tǒng)來(lái)執(zhí)行，由于信息的加密和解密計(jì)算方法的采用要受一些條件的影響，因此系統(tǒng)沒(méi)有直接供應(yīng)計(jì)算的通道。但此系統(tǒng)的各個(gè)程序的連接性比較強(qiáng)，因此在進(jìn)行信息的加密和解密時(shí)頗具靈活性。在對(duì)用戶(hù)的訪問(wèn)控制和授權(quán)控制上都能做靈活的協(xié)調(diào)工作，是相對(duì)較好的一種信息數(shù)據(jù)安全管理的手段[4]。

（3）在DBMS外進(jìn)行數(shù)據(jù)的加密和解密工作。如果把存放信息的數(shù)據(jù)庫(kù)加密系統(tǒng)看作是DBMS系統(tǒng)外的運(yùn)作工具可能比較切合實(shí)際。DBMS外所執(zhí)行的信息加密解密工作的運(yùn)算能在客戶(hù)端展開(kāi)，也不會(huì)對(duì)服務(wù)系統(tǒng)增加負(fù)擔(dān)，并且還能夠完成互聯(lián)網(wǎng)的信息傳輸加密，唯一不足的是相應(yīng)的加密功能不能自由運(yùn)作。

能夠?yàn)閿?shù)據(jù)庫(kù)中存放的每個(gè)數(shù)據(jù)文件進(jìn)行加密是數(shù)據(jù)加密系統(tǒng)存在重要意義。在成立相應(yīng)的數(shù)據(jù)庫(kù)表之后，就需要運(yùn)用到信息數(shù)據(jù)加密系統(tǒng)的運(yùn)作功能對(duì)數(shù)據(jù)表做信息加密的定義工作；數(shù)據(jù)庫(kù)中存放信息的定義和加密工作的執(zhí)行及完成是數(shù)據(jù)庫(kù)運(yùn)作系統(tǒng)的重要功能。信息加密的運(yùn)作系統(tǒng)在對(duì)數(shù)據(jù)進(jìn)行加密工作時(shí)需要能夠滿(mǎn)足信息的自動(dòng)加密和解密工作，而不需要通過(guò)借助外力在執(zhí)行。除此之外，還應(yīng)該能夠直接利用到加密系統(tǒng)所供應(yīng)的操作功能，而不需要通過(guò)別的程序轉(zhuǎn)換之后才能完成數(shù)據(jù)的加密和解密，而需要運(yùn)用到這種數(shù)據(jù)的加密和解密功能的只針對(duì)于文件類(lèi)型的數(shù)據(jù)。

4.數(shù)據(jù)庫(kù)結(jié)構(gòu)類(lèi)型的加密手段

數(shù)據(jù)庫(kù)的運(yùn)作方式由數(shù)據(jù)庫(kù)的信息存放結(jié)構(gòu)來(lái)做描繪。各個(gè)數(shù)據(jù)的關(guān)系和結(jié)構(gòu)組成的匯集就形成數(shù)據(jù)庫(kù)運(yùn)行的主要方式，匯集在一起的信息組合方式就形成數(shù)據(jù)庫(kù)的關(guān)系模型。存放信息的數(shù)據(jù)庫(kù)模型所包含的便是信息實(shí)體間的相互關(guān)系，這種關(guān)系模型中各類(lèi)信息之間的屬性聯(lián)系需要應(yīng)用到數(shù)據(jù)的依賴(lài)集來(lái)做描述工作。將數(shù)據(jù)庫(kù)中的存放信息的屬性名、關(guān)系名和實(shí)體間的相互聯(lián)系及個(gè)屬性間的作用聯(lián)系隱藏起來(lái)便是數(shù)據(jù)庫(kù)結(jié)構(gòu)所需要進(jìn)行的加密工作。信息加密的工作目標(biāo)就是要將數(shù)據(jù)的本質(zhì)通過(guò)偽裝的形式隱藏起來(lái)，相對(duì)于傳統(tǒng)的數(shù)據(jù)加密工作更將具有獨(dú)特性。因?yàn)榇娣旁跀?shù)據(jù)庫(kù)中的信息其本身都具有自己的特性，有別于其他的數(shù)據(jù)，擁有較強(qiáng)的結(jié)構(gòu)性、獨(dú)立性和非連續(xù)性。而這些數(shù)據(jù)本身結(jié)構(gòu)上所具有的獨(dú)特性，在經(jīng)過(guò)簡(jiǎn)單的拆分和實(shí)體的混雜后再進(jìn)行一些規(guī)模較小的相應(yīng)運(yùn)算程序便可進(jìn)行偽裝，從而完成數(shù)據(jù)的保護(hù)任務(wù)[5]。

由于密碼學(xué)不能對(duì)數(shù)據(jù)進(jìn)行偽裝，所以還必須強(qiáng)化相應(yīng)的理論。在結(jié)構(gòu)性上，能夠經(jīng)過(guò)信息自身就能被呈現(xiàn)出來(lái)額數(shù)據(jù)是無(wú)結(jié)構(gòu)數(shù)據(jù)含義。需要結(jié)構(gòu)和數(shù)據(jù)值來(lái)共同作用呈現(xiàn)的是半結(jié)構(gòu)數(shù)據(jù)的含義。數(shù)據(jù)值和結(jié)構(gòu)在分離開(kāi)來(lái)決定的是結(jié)構(gòu)化數(shù)據(jù)的含義。

5.結(jié)束語(yǔ)

數(shù)據(jù)的安全性不僅涉及到數(shù)據(jù)自身的保密性，對(duì)信息的取讀和存放用戶(hù)都具有不可磨滅的重要性。深入數(shù)據(jù)庫(kù)中存入數(shù)據(jù)的本身去著手?jǐn)?shù)據(jù)存放的安全，由此更容易達(dá)到目標(biāo)。

參考文獻(xiàn)

[1]陳潔.淺議數(shù)據(jù)庫(kù)外層安全技術(shù)問(wèn)題[J].信息與電腦（理論版），2010，18（5）：145.

[2]楊帆、侯雅莉.數(shù)據(jù)庫(kù)外層安全技術(shù)的關(guān)鍵問(wèn)題探討[J].2010，60（2）：106-107.

[3]白俊.數(shù)據(jù)庫(kù)安全技術(shù)相關(guān)問(wèn)題探析[J].硅谷，2011，42（8）：33-35.

[4]周霞.數(shù)據(jù)庫(kù)安全技術(shù)及趨勢(shì)研究[J].學(xué)周刊，2012，13（7）：11-14.

[5]任利峰.數(shù)據(jù)庫(kù)安全技術(shù)研究及改進(jìn)策略[J].中國(guó)新技術(shù)新產(chǎn)品，2009，14（12）：37-40.