数据库加密系统技术白皮书

数据库加密存取及强权限控制系统

技术白皮书

Oracle版

目录

1.产品背景 (1)

2.解决的问题 (3)

3.系统结构 (6)

4.部署方案 (7)

5.功能与特点 (9)

6.支持特性 (10)

7.性能测试数据 (11)

1.产品背景

随着计算机技术的飞速发展，数据库的应用十分广泛，深入到各个领域。数据库系统作为信息的聚集体，是计算机信息系统的核心部件，其安全性至关重要。小则关系到企业兴衰、大则关系到国家安全。

在重要单位或者大型企业中，涉及大量的敏感信息。比如行政涉密文件，领导批示、公文、视频和图片，或者企业的商业机密、设计图纸等。为了保障这些敏感电子文件的安全，各单位广泛的实施了安全防护措施，包括：机房安全、物理隔离、防火墙、入侵检测、加密传输、身份认证等等。但是数据库的安全问题却一直让管理员束手无策。原因是目前市场上缺乏有效的数据库安全增强产品。

数据库及其应用系统普遍存在一些安全隐患。其中比较严峻的几个方面表现在：

（1）由于国外对高技术出口和安全产品出口的法律限制，国内市场上只能购买到C2安全级别的数据库安全系统。该类系统只有最基本的安全防护能力。并且采用自主访问控制（DAC）模式，DBA角色能拥有至高的权限，权限可以不受限制的传播。这就使得获取DBA角色的权限成为攻击者的目标。而一旦攻击者获得DBA角色的权限，数据库将对其彻底暴露,毫无任何安全性可言。

（2）由于DBA拥有至高无上的权利，其可以在不被人察觉的情况下查看和修改任何数据（包括敏感数据）。因此DBA掌控着数据库中数据安全命脉，DBA的任何操作、行为无法在技术上实施监管。而DBA往往只是数据的技术上的维护者，甚至可能是数据库厂商的服务人员，并没有对敏感数据的查看和控制权。现阶段并没有很好的技术手段来约束DBA 对数据的访问权限，因此存在巨大安全隐患，特别是在DBA权限被非法获取的情况下，更是无法保证数据的安全。

（3）由于C2级的商业数据库对用户的访问权限的限制是在表级别的。一旦用户拥有了一个表的访问权限，那么表中的任何数据都具有访

1

问权限。但是一个表中可能存在敏感和非敏感字段。对于敏感数据，只有特定权限的人才能访问。此时数，据库自身的安全控制就显得力不从心。

（4）数据库系统是一个复杂的系统，根据已经公布的资料，数据库存在许多风险，其中不少是致命的缺陷和漏洞。举例来说，全球公认安全性出众的数据库产品在2006 年1 月发布了其季度安全补丁包中就修补了多个产品中的80 多个漏洞。其中不少漏洞可以非常容易地被黑客利用。一旦遭到攻击，攻击者可能以DBA的身份进入数据库系统，也可能进入操作系统，下载整个数据库文件。

从上面分析可以看出，仅靠边界安全防护(防火墙、防病毒、入侵检测、漏洞扫描)是不可能解决数据库相关的所有的安全问题。尤其不能解决数据库内部敏感数据的安全问题。

公安部、国家保密局、国家密码管理局和国务院信息化工作办公室等部委于2006年出台了相关规定，要求信息系统，尤其是重要部门的信息系统要充分运用密码技术对信息系统进行保护。对于采用密码对涉及国家秘密的信息和信息系统进行保护的，密码的设计、实施、使用、运行维护和日常管理等，应该按照国家秘密管理有关规定和相关标准执行；对于采用密码对不涉及国家秘密的信息和信息系统进行保护的，应该遵照《商用密码管理条例》和密码分类分级保护有关规定和相关标准。

另外，国家出台了相关规定，要求重要部门的信息系统对数据资产实行等级保护。对于信息系统中的信息资产，应该根据其敏感程度，指定不同的安全等级，实施不同的安全保护策略。

为增强数据库系统的安全，满足数字资产等级化的安全防护要求，有选择性的保护数据库内部敏感数据的安全性，本产品通过在数据库管理系统的内核中嵌入自主研发的安全防护系统，通过字段级别的访问控制来达到对敏感数据的防护目的。敏感数据以乱码的形式存在，通过数字签名实现强访问控制，非授权用户（包含DBA）查看到的数据为空，而授权用户的使用则不受任何限制。并且本产品对于应用系统来说是完全透明的，不需要基于数据库的应用系统做任何改动。

2

2.解决的问题

本产品基于自主技术，重点解决如下3个方面的问题：

（1）敏感数据的乱码存储

在没有进行安全性加强的商业数据库系统中，敏感数据的存储和备份是以明文形式进行的。很容易从文件系统中得到存储的内容。即使是进口的安全数据库产品，核心技术被别人掌握，且加密算法受到限制，安全性同样得不到保障。所以，存储媒体（如：硬盘、光盘、磁带等）一旦被盗，或者存储文件被非法复制，后果将不堪设想。针对该隐患，本产品采用加密算法，将敏感数据的编码进行混乱，从而将敏感数据进行乱码存储。这样，即使存储介质或存储文件丢失，由于有加密算法的保护，获得者也不能得到真正的敏感数据。通过这种方法，实现对敏感数据资产的分级保护。

为保证系统的易用性，本产品支持完全透明的混乱过程。除BLOB类型的字段外，部署本产品不需要对应用系统进行重新编译。图1所示为透明混乱过程的示意图。

3

4 业务服务器

混乱

解密

授权用户攻击者

身份认证

授权检验

图 1 透明混乱过程示意图 如图1所示，数据在存入物理存储时，敏感字段通过加密变换，以乱码的方式存储到物理数据库中。假设密钥是安全的且混乱算法强度足够，则数据的存储也是安全的。在这种情况下，入侵者或者存储介质获得者只能看到乱码，而不能得到真实内容。在检索时，首先进行授权的检验，对于授权用户，敏感字段的乱码经过解密变换，以明文的方式返回检索结果。对于非授权用户，则返回乱码或者空。

（2）乱码敏感字段的高效检索

安全性与可用性是矛盾的。采用乱码存储以后的一个问题是破坏了原有数据的偏序关系，数据库原来的索引机制因此失效，导致数据的检索性能被显著的降低。因为此时对敏感字段进行条件检索时，需要对整