数据库加密技术浅析
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
管理s财富 B c M
年基 一 B一
数据库加密技术浅析
王 峰
( 内蒙古鄂尔多斯市地方税务局 070 ) 10 0
I 摘 要】: 数据库简单的来讲 它是存储数据 的一个 仓库, 信息安全的核心就是数据库的安全, 来来随着信息网络的日益发 近
展, 数据 库 数据 的安 全 问题 越 来越 受 到重视 , 而实现 数据 库安 全 简单 而有 效 的途径 之一就 是数 据 库加 密, 据库 加 密技 术 的应 用极 数
应 用系统 就能 实现 数 据加 密 功能 ; 第三 , 解 密处 理 在 客户 端 进行, 加 不会
影 响数据 库服 务 器的效 率。
() 通 信加 密与 完整 性保护 : 2 有关 数据 库 的访 问在 网络 传输 中都 被 加密 , 通信 一次一 密 的意 义在
于 防重 放、 篡改 。 防
理程 序, 另一 个是 数据 库加 解密 引擎 。 数据 库加 密系统 将用 户对 数 据库信 息具 体 的加 密要 求 以及 基础 信 息保存 在 加密 字 典 中, 过 调 用数 据 加解 通
二、 数据 库加 密技 术的 功能 和特 性
一
般而 言 , 个 行之 有效 的 数 据库 加 密 技术 主 要有 以 下6 方面 的 一 个
本 身进行 操作 , 核心 层加 密 , 属 如果 没有 数据 库开 发商 的配 合, 实现 难 其 度相 对较 大 。 外, 那些 希望 通iAS 获 得服 务的企 业 来说 , 此 对  ̄ P 只有在 客 户端 实现 加解 密 , 能保证 其 数据 的安 全可靠 。 才 信息安 全主 要指 三个方面 。 是数 据安 全 , 是系统 安 全 , 是电子 一 二 三 商 务的 安 全。 心 是数 据 库 的安 全 , 数据 库 的 数据 加 密 就 抓住 了信 息 核 将 安 全的 核心问题 。
处理。
对 数据库 中数据 加密 是为 增强普 通关 系数据 库管 理 系统 的 安全 性 ,
提 供一 个 安全 适 用的数 据 库加 密平 台, 对数 据 库 存储 的内 容实 施 有效 保
采用 这 种加 密 方 式 进行加 密 , 解 密运 算 可 在客 户端 进行 , 的优 加 它 点是 不会 加 重数 据 库 服务 器 的负 载并且 可以 实现 网 上传 输 的加 密 , 点 缺
步。 ▲
数 据库访 问速 度 。 样 有利 于用户在 效率 与安 全性 之 间进行 自主选择 。 这
() 5 多级密 钥管 理模 式 :
主 密钥和 主 密钥变 量 保存在 安 全区域 , 级密钥 受 主密 钥变 量加 密 二
保 护, 据加 密 的 密钥 存 储或 传输 时 利用 二 级密 钥加 密 保 护 , 用时 受 数 使
数据 库加 解 密 引擎是 数 据库 加 密系 统 的核心 部 件 , 它位于应 用 程序 与数 据库 服 务器之 间, 负责 在后 台完 成数 据库 信息 的加 解密 处理 . 对应 用 开发人 员和操 作人 员来说 是透 明的 。 数据 加 解 密引擎没 有操 作界 面, 在需
() 数 据库 数据 存储 加密 与完 整性 保护 : 3 数 据库 系统 采 用数 据 项级 存储 加 密 , 即数 据库 中不 同的 记 录 、 条 每 记 录 的不 同字段 都采 用不 同 的密 钥加 密 , 以校 验措 施 来 保证 数 据库 数 辅 据存 储 的保密性 和 完整 性 , 防止 数据 的 非授 权访 问和修 改 。 () 数 据库 加密 设置 : 4 系统 中可以 选择 需 要加 密 的数 据库 列 , 以便于用 户选 择那 些 敏感 信
息 进行加 密而 不是 全 部 数据 都加 密 。 对用户 的敏 感 数据 加 密可 以提 高 只
要 时 由操 作系统 自动 加 载并 驻 留在 内 存 中, 过 内部 接 口与加 密字 典 管 通
理程 序 和 用 户应 用 程 序通 讯 。 据 库加 解 密 引擎 由三 大模 块 组 成 : 数 加解
护。 它通 过 数 据库 存储 加 密等 安 全方 法 实现 了数 据 库数 据 存储 保 密和 完
整 性 要求 , 使得 数 据 库 以密 文 方式 存 储并 在 密态 方 式 下 工作 , 确保 了数
据 安全 。
是加 密功 能会 受到 一些 限制 , 与数 据库 管理 系统 之 间的耦 合性 稍 差。 数据 库加 密 系统分 成两 个功能 独 立 的主 要部 件 : 一个 是加 密 字典管
关 安全 凭证 。 如使 用终 端密 钥。
按 以上 方式 实 现 的数 据 库加 密 系统 具 有很 多优 点: 首先 , 系统 对数 据库 的 最终 用户 是完 全 透 明的 , 理 员可 以根 据 需要 进行 明文和 密 文的 管 转换 工作 ; 次 , 密 系统 完全 独立 于数 据库 应 用系统 , 其 加 无须 改 动数 据库
主密 钥保 护。
() 安 全备 份 : 6
【 参考文献】
[ 海 燕. 1庄 1 】 数据 库加 密技 术 及 其在Orc q的应 用[ 郑 州 al u e D]
系统 提供 数 据库 明文备 份功能 和密 钥备 份功 能
三 、 据库 数据 加 密的 实现 数
使 用数 据 库安 全 保 密 中间件 对数 据 库 进行 加 密是 最简便 直 接 的 方 法。 主要是 通过 系统 中加 密、 B 内核层 ( 务 器端) 密和 D MS ] D MS 服 加 B #层 " ( 客户端 ) 加密 。 在 系统 中加 密 , 系统 中无 法 辨认 数 据库 文件 中的数 据 关 系, 数 在 将 据 先 在 内存 中进 行加 密 , 后 文件 系统 把每 次 加 密后 的 内存 数 据写入 到 然 数据 库文 件中去 , 读入 时再逆 方面进 行解 密 就, 这种 加 密方 法相 对 简单 , 只要 妥 善 管 理密 钥就 可 以了。 点对 数 据库 的 读 写都 比 较 麻烦 , 次 都 缺 每
密处 理模 块 、 用户接 口模块 和 数据 库接 口模 块 。
上面 的 论 述 还 远 远 没达 到 数 据 库安 全 需 要 , 如现 在 的 数 据 库 基 比
本 都基 于网络 架 构 , 网际的安 全 传 输等 , 也是 要重 点考虑 的 方面 。 个好 一
的安 全 系统 必 须综 合 考虑 核 运用 这 些 技 术 , 以保证 数 据 的安 全 , 过 以 通 上论 述 希 望对 大 家 有所 帮 助 , 同时 也 和 大家 一起 讨 论 一起 学 习 , 同进 共
() 1 身份认 证:
密 引擎实现 对数 据 库表 的 加 密 、 密及 数据 转 换 等功 能 。 据 库信 息的 解 数
加 解 密处 理 是在后 台完 成的 , 对数 据库 服务 器是 透 明的。
功能 和特 性 。 用 户除 提 供用 户名 、 口令外 , 必须 按 照系统 安 全 要求 提 供 其它 相 还
大学, 0 6 20 【 陈琳 , 2 ] 李刚, 华. 用数据 库加 密模 块 的设 计 【 空军雷达 李 通 I ] 学 院学报 ,0 7 o) 2 0, 1 ( 【 王 正飞. 3 】 数据 库加 密技 术 及 其应 用研 究[ 复旦 大 7
对 数据 进行 加密 , 主要 有三 种 方式 : 系统 中加 密、 户端 ( B # 客 D MS [ " 层 ) 密、 务 器端 ( MS 加 服 DB 内核 层 ) 密 。 户端 加 密 的好 处 是 不会加 加 客 重 数据 库 服务 器 的负 载 , 且可实 现 网上 的传 输 加 密 , 种加 密 方 式 通 并 这 常利 用数 据库 外 层工具 实现 。 而服务 器 端的 加 密需 要对 数 据库 管 理 系统
大的解 决了数据 库 中数据 的安 全 问题 , 实现 方 法各有侧 重。 但
【 关键 词 】: 数据 库 ; 加 密 ; 备 份
一
、
数 据加 密 的几种 方式
要 进行加 解 密的工作 , 程序 的编 写和 读 写数 据库 的速 度都 会有影 响 。 对
在 D MS B 内核 层实 现加 密 需要 对数 据 库管 理 系统 本 身进行 操作 。 这 种 加 密是 指数 据 在物 理存 取之 前完 成 加 解密 工作 。 这种 加 密 方式 的优 点 是 加 密功能 强 , 并且 加 密功 能几乎 不会影 响 D MS B 的功能 , 可以实 现加 密
功 能 与数 据库 管 理 系统之 间 的无 缝耦 合 。 其缺 点是 加 密运 算 在服 务 器端 进 行 , 重了服 务器 的负 载 , 且DB 和 加 密 器之间 的接 口需 要 D MS 加 而 MS B
开 发商的 支持 。 在 DB #层 实 现 加 密的 好 处 是 不会 加 重 数 据库 服 务 器的 负 载 , MS b 并 且可实 现 网上 的传 输 , 密比 较 实际 的做 法 是将 数 据 库加 密系 统做 成 加 DB 的一 个 外层工 具 , MS 根据 加 密 要求 自 完 成 对数 据 库数 据 的加 解 密 动
年基 一 B一
数据库加密技术浅析
王 峰
( 内蒙古鄂尔多斯市地方税务局 070 ) 10 0
I 摘 要】: 数据库简单的来讲 它是存储数据 的一个 仓库, 信息安全的核心就是数据库的安全, 来来随着信息网络的日益发 近
展, 数据 库 数据 的安 全 问题 越 来越 受 到重视 , 而实现 数据 库安 全 简单 而有 效 的途径 之一就 是数 据 库加 密, 据库 加 密技 术 的应 用极 数
应 用系统 就能 实现 数 据加 密 功能 ; 第三 , 解 密处 理 在 客户 端 进行, 加 不会
影 响数据 库服 务 器的效 率。
() 通 信加 密与 完整 性保护 : 2 有关 数据 库 的访 问在 网络 传输 中都 被 加密 , 通信 一次一 密 的意 义在
于 防重 放、 篡改 。 防
理程 序, 另一 个是 数据 库加 解密 引擎 。 数据 库加 密系统 将用 户对 数 据库信 息具 体 的加 密要 求 以及 基础 信 息保存 在 加密 字 典 中, 过 调 用数 据 加解 通
二、 数据 库加 密技 术的 功能 和特 性
一
般而 言 , 个 行之 有效 的 数 据库 加 密 技术 主 要有 以 下6 方面 的 一 个
本 身进行 操作 , 核心 层加 密 , 属 如果 没有 数据 库开 发商 的配 合, 实现 难 其 度相 对较 大 。 外, 那些 希望 通iAS 获 得服 务的企 业 来说 , 此 对  ̄ P 只有在 客 户端 实现 加解 密 , 能保证 其 数据 的安 全可靠 。 才 信息安 全主 要指 三个方面 。 是数 据安 全 , 是系统 安 全 , 是电子 一 二 三 商 务的 安 全。 心 是数 据 库 的安 全 , 数据 库 的 数据 加 密 就 抓住 了信 息 核 将 安 全的 核心问题 。
处理。
对 数据库 中数据 加密 是为 增强普 通关 系数据 库管 理 系统 的 安全 性 ,
提 供一 个 安全 适 用的数 据 库加 密平 台, 对数 据 库 存储 的内 容实 施 有效 保
采用 这 种加 密 方 式 进行加 密 , 解 密运 算 可 在客 户端 进行 , 的优 加 它 点是 不会 加 重数 据 库 服务 器 的负 载并且 可以 实现 网 上传 输 的加 密 , 点 缺
步。 ▲
数 据库访 问速 度 。 样 有利 于用户在 效率 与安 全性 之 间进行 自主选择 。 这
() 5 多级密 钥管 理模 式 :
主 密钥和 主 密钥变 量 保存在 安 全区域 , 级密钥 受 主密 钥变 量加 密 二
保 护, 据加 密 的 密钥 存 储或 传输 时 利用 二 级密 钥加 密 保 护 , 用时 受 数 使
数据 库加 解 密 引擎是 数 据库 加 密系 统 的核心 部 件 , 它位于应 用 程序 与数 据库 服 务器之 间, 负责 在后 台完 成数 据库 信息 的加 解密 处理 . 对应 用 开发人 员和操 作人 员来说 是透 明的 。 数据 加 解 密引擎没 有操 作界 面, 在需
() 数 据库 数据 存储 加密 与完 整性 保护 : 3 数 据库 系统 采 用数 据 项级 存储 加 密 , 即数 据库 中不 同的 记 录 、 条 每 记 录 的不 同字段 都采 用不 同 的密 钥加 密 , 以校 验措 施 来 保证 数 据库 数 辅 据存 储 的保密性 和 完整 性 , 防止 数据 的 非授 权访 问和修 改 。 () 数 据库 加密 设置 : 4 系统 中可以 选择 需 要加 密 的数 据库 列 , 以便于用 户选 择那 些 敏感 信
息 进行加 密而 不是 全 部 数据 都加 密 。 对用户 的敏 感 数据 加 密可 以提 高 只
要 时 由操 作系统 自动 加 载并 驻 留在 内 存 中, 过 内部 接 口与加 密字 典 管 通
理程 序 和 用 户应 用 程 序通 讯 。 据 库加 解 密 引擎 由三 大模 块 组 成 : 数 加解
护。 它通 过 数 据库 存储 加 密等 安 全方 法 实现 了数 据 库数 据 存储 保 密和 完
整 性 要求 , 使得 数 据 库 以密 文 方式 存 储并 在 密态 方 式 下 工作 , 确保 了数
据 安全 。
是加 密功 能会 受到 一些 限制 , 与数 据库 管理 系统 之 间的耦 合性 稍 差。 数据 库加 密 系统分 成两 个功能 独 立 的主 要部 件 : 一个 是加 密 字典管
关 安全 凭证 。 如使 用终 端密 钥。
按 以上 方式 实 现 的数 据 库加 密 系统 具 有很 多优 点: 首先 , 系统 对数 据库 的 最终 用户 是完 全 透 明的 , 理 员可 以根 据 需要 进行 明文和 密 文的 管 转换 工作 ; 次 , 密 系统 完全 独立 于数 据库 应 用系统 , 其 加 无须 改 动数 据库
主密 钥保 护。
() 安 全备 份 : 6
【 参考文献】
[ 海 燕. 1庄 1 】 数据 库加 密技 术 及 其在Orc q的应 用[ 郑 州 al u e D]
系统 提供 数 据库 明文备 份功能 和密 钥备 份功 能
三 、 据库 数据 加 密的 实现 数
使 用数 据 库安 全 保 密 中间件 对数 据 库 进行 加 密是 最简便 直 接 的 方 法。 主要是 通过 系统 中加 密、 B 内核层 ( 务 器端) 密和 D MS ] D MS 服 加 B #层 " ( 客户端 ) 加密 。 在 系统 中加 密 , 系统 中无 法 辨认 数 据库 文件 中的数 据 关 系, 数 在 将 据 先 在 内存 中进 行加 密 , 后 文件 系统 把每 次 加 密后 的 内存 数 据写入 到 然 数据 库文 件中去 , 读入 时再逆 方面进 行解 密 就, 这种 加 密方 法相 对 简单 , 只要 妥 善 管 理密 钥就 可 以了。 点对 数 据库 的 读 写都 比 较 麻烦 , 次 都 缺 每
密处 理模 块 、 用户接 口模块 和 数据 库接 口模 块 。
上面 的 论 述 还 远 远 没达 到 数 据 库安 全 需 要 , 如现 在 的 数 据 库 基 比
本 都基 于网络 架 构 , 网际的安 全 传 输等 , 也是 要重 点考虑 的 方面 。 个好 一
的安 全 系统 必 须综 合 考虑 核 运用 这 些 技 术 , 以保证 数 据 的安 全 , 过 以 通 上论 述 希 望对 大 家 有所 帮 助 , 同时 也 和 大家 一起 讨 论 一起 学 习 , 同进 共
() 1 身份认 证:
密 引擎实现 对数 据 库表 的 加 密 、 密及 数据 转 换 等功 能 。 据 库信 息的 解 数
加 解 密处 理 是在后 台完 成的 , 对数 据库 服务 器是 透 明的。
功能 和特 性 。 用 户除 提 供用 户名 、 口令外 , 必须 按 照系统 安 全 要求 提 供 其它 相 还
大学, 0 6 20 【 陈琳 , 2 ] 李刚, 华. 用数据 库加 密模 块 的设 计 【 空军雷达 李 通 I ] 学 院学报 ,0 7 o) 2 0, 1 ( 【 王 正飞. 3 】 数据 库加 密技 术 及 其应 用研 究[ 复旦 大 7
对 数据 进行 加密 , 主要 有三 种 方式 : 系统 中加 密、 户端 ( B # 客 D MS [ " 层 ) 密、 务 器端 ( MS 加 服 DB 内核 层 ) 密 。 户端 加 密 的好 处 是 不会加 加 客 重 数据 库 服务 器 的负 载 , 且可实 现 网上 的传 输 加 密 , 种加 密 方 式 通 并 这 常利 用数 据库 外 层工具 实现 。 而服务 器 端的 加 密需 要对 数 据库 管 理 系统
大的解 决了数据 库 中数据 的安 全 问题 , 实现 方 法各有侧 重。 但
【 关键 词 】: 数据 库 ; 加 密 ; 备 份
一
、
数 据加 密 的几种 方式
要 进行加 解 密的工作 , 程序 的编 写和 读 写数 据库 的速 度都 会有影 响 。 对
在 D MS B 内核 层实 现加 密 需要 对数 据 库管 理 系统 本 身进行 操作 。 这 种 加 密是 指数 据 在物 理存 取之 前完 成 加 解密 工作 。 这种 加 密 方式 的优 点 是 加 密功能 强 , 并且 加 密功 能几乎 不会影 响 D MS B 的功能 , 可以实 现加 密
功 能 与数 据库 管 理 系统之 间 的无 缝耦 合 。 其缺 点是 加 密运 算 在服 务 器端 进 行 , 重了服 务器 的负 载 , 且DB 和 加 密 器之间 的接 口需 要 D MS 加 而 MS B
开 发商的 支持 。 在 DB #层 实 现 加 密的 好 处 是 不会 加 重 数 据库 服 务 器的 负 载 , MS b 并 且可实 现 网上 的传 输 , 密比 较 实际 的做 法 是将 数 据 库加 密系 统做 成 加 DB 的一 个 外层工 具 , MS 根据 加 密 要求 自 完 成 对数 据 库数 据 的加 解 密 动