試論數據庫外層安全技術問題

羅婷婷 余先榮

【摘 要】由于社會發展的需要，很多的信息和資源都被存放到數據庫中，方便更多的用戶使用。而存放于數據庫中的大多信息和資源都具有保密性質，因此數據庫信息存放安全問題就備受關注。文中提到的數據庫安全問題主要是指怎樣確保數據信息的保密性，存放安全性及信息傳輸的完整和有效性。文中針對其數據庫存放信息的安全做研究。

【關鍵詞】數據庫；信息安全；技術

【中圖分類號】TP309.2 【文獻標識碼】A 【文章編號】1672-5158（2013）03-0131-01

1.前言

對不合理的數據使用操作給予杜絕，避免此類情況的發生會對數據的保密性、完整性和正確性遭到惡意的破壞，便是數據庫的安全性。而目前的數據庫用戶采用標記和身份認證的方式限制訪問，對訪問流量的監控及數據庫存放信息的備份和加密等措施都是較為常見的處理數據庫安全管理的手段。而在應對一些保密性質更強的信息數據處理時，在進行上文所提到的方法外還應該增加一項更嚴密的信息加密技術[1]。

在早期的數據庫安全處理上主要是通過對訪問人數的控制來實現信息存放的安全，而后又有一些學者提出可以通過對存放于數據庫中的信息進行加密來實現。在相當長的時間驗證后，對訪問進行控制的方法應用比較廣泛。在研究數據庫信息的存放安全時，不能用平時處理其他信息的邏輯去看待，這是由于存放于數據庫中的數據具有以下的三個特性：具備有固定的數據信息管理系統；能夠滿足資源高度共享的需求；具有各自的數據結構處理方式。

2.數據庫的加密內容

由于存放數據庫中的信息資源數量龐大，而且數據之間的相關性非常強，因此就區別出此類數據安全處理的方式和普通信息處理的方式不一樣，所以數據安全加密的性質也比一般信息的強度要高，難度也更大。日常情況下數據庫加密的方式有兩種：其一是硬件加密；其二是軟件加密。硬件加密的方法是對數據庫文件和存儲器添加硬件保護裝置，將其和實際的數據庫進行分離存放，如果需要加密保護時只需要對相應存儲器的存放數據進行加密處理即可。軟件加密方法可以通過對數據庫內進行加密或者對數據庫外進行加密措施來實現[2]。

把存放在數據庫中的信息順序打亂，而數據庫的信息訪問只接受具有訪問權限的用戶進行數據訪問和信息的讀取和下載，由此保障存放信息的安全性，是比較方便的數據保管手段。數據庫信息加密的操作需要原始數據和被通過密匙處理后的數據再在同一個時段中被相應運算公式做信息的處理，隨后才對結束運算的數據信息做加密的保護工作。此項數據加密的應用原理是先將原始的信息轉換成不能取讀的模式。經過數據加密處理后的相應數據被稱之為密文。而經過轉換的數據還要保證權限用戶能夠完整的進行數據的取讀，因此需要取讀數據的用戶就應該運用相應的反運算程序和相應的密匙來做轉換數據的解密工作。

信息存放處的加密，就是通過建立起有效的體系來確保數據庫中存放的明文數據以密文的形式執行保護。所建立起的加密系統只允許擁有權限的用戶做數據的讀取工作，并且能將轉換的密文再次解密成準確的信息反映給用戶。數據庫保密性的增強可對數據加強保護工作來實現。但進行加密的信息必須要能夠滿足數據的高效性和安全性。所謂高效性是指，所進行的任何一項保密工作都不能對原數據產生任何影響；而安全性就是確保其不能被任意的不合法用戶獲得或者對數據進行篡改[3]。

3.數據庫加密層次的選取

數據庫中存放信息的加密和解密工作的進行位置主要在以下的三個地方完成，其一是在操作系統的內部完成；其二是在DBMS內完成；其三是在DBMS外完成。

（1）操作系統內部的信息加密、解密工作。如果對操作系統中存放的數據不能進行數據關系的識別工作，就不能生成密匙，從而對密匙的管理和使用也就無法實現。因此，相對于存放量較大的數據庫直接在系統中進行加密是比較難以實現的。

（2）在DBMS內進行數據的加密和解密工作。此處數據的加密和解密工作可在信息存入和讀取的過程中進行，也可在信息尚未存取之前完成。而所進行加密和解密的對象可以是數據庫用戶自己規定的數據也可是DBMS在進行存放時所提供的數據。數據進行加密和解密的程序：在信息進行存放的過程中，信息的加密需要經過觸發器對信息加密存儲的過程進行調用后得以實現。信息在讀取的過程中：信息的解密方式需要觸發器把相關聯的存儲程序進行調用后得以實現。信息進行加密和解密的計算方法：信息加密和計算的方法由DBMS體統來執行，由于信息的加密和解密計算方法的采用要受一些條件的影響，因此系統沒有直接供應計算的通道。但此系統的各個程序的連接性比較強，因此在進行信息的加密和解密時頗具靈活性。在對用戶的訪問控制和授權控制上都能做靈活的協調工作，是相對較好的一種信息數據安全管理的手段[4]。

（3）在DBMS外進行數據的加密和解密工作。如果把存放信息的數據庫加密系統看作是DBMS系統外的運作工具可能比較切合實際。DBMS外所執行的信息加密解密工作的運算能在客戶端展開，也不會對服務系統增加負擔，并且還能夠完成互聯網的信息傳輸加密，唯一不足的是相應的加密功能不能自由運作。

能夠為數據庫中存放的每個數據文件進行加密是數據加密系統存在重要意義。在成立相應的數據庫表之后，就需要運用到信息數據加密系統的運作功能對數據表做信息加密的定義工作；數據庫中存放信息的定義和加密工作的執行及完成是數據庫運作系統的重要功能。信息加密的運作系統在對數據進行加密工作時需要能夠滿足信息的自動加密和解密工作，而不需要通過借助外力在執行。除此之外，還應該能夠直接利用到加密系統所供應的操作功能，而不需要通過別的程序轉換之后才能完成數據的加密和解密，而需要運用到這種數據的加密和解密功能的只針對于文件類型的數據。

4.數據庫結構類型的加密手段

數據庫的運作方式由數據庫的信息存放結構來做描繪。各個數據的關系和結構組成的匯集就形成數據庫運行的主要方式，匯集在一起的信息組合方式就形成數據庫的關系模型。存放信息的數據庫模型所包含的便是信息實體間的相互關系，這種關系模型中各類信息之間的屬性聯系需要應用到數據的依賴集來做描述工作。將數據庫中的存放信息的屬性名、關系名和實體間的相互聯系及個屬性間的作用聯系隱藏起來便是數據庫結構所需要進行的加密工作。信息加密的工作目標就是要將數據的本質通過偽裝的形式隱藏起來，相對于傳統的數據加密工作更將具有獨特性。因為存放在數據庫中的信息其本身都具有自己的特性，有別于其他的數據，擁有較強的結構性、獨立性和非連續性。而這些數據本身結構上所具有的獨特性，在經過簡單的拆分和實體的混雜后再進行一些規模較小的相應運算程序便可進行偽裝，從而完成數據的保護任務[5]。

由于密碼學不能對數據進行偽裝，所以還必須強化相應的理論。在結構性上，能夠經過信息自身就能被呈現出來額數據是無結構數據含義。需要結構和數據值來共同作用呈現的是半結構數據的含義。數據值和結構在分離開來決定的是結構化數據的含義。

5.結束語

數據的安全性不僅涉及到數據自身的保密性，對信息的取讀和存放用戶都具有不可磨滅的重要性。深入數據庫中存入數據的本身去著手數據存放的安全，由此更容易達到目標。

參考文獻

[1]陳潔.淺議數據庫外層安全技術問題[J].信息與電腦（理論版），2010，18（5）：145.

[2]楊帆、侯雅莉.數據庫外層安全技術的關鍵問題探討[J].2010，60（2）：106-107.

[3]白俊.數據庫安全技術相關問題探析[J].硅谷，2011，42（8）：33-35.

[4]周霞.數據庫安全技術及趨勢研究[J].學周刊，2012，13（7）：11-14.

[5]任利峰.數據庫安全技術研究及改進策略[J].中國新技術新產品，2009，14（12）：37-40.