高校檔案數據庫安全管理中加密技術應用研究

高斌升（太原理工大學，太原 030024）

高校檔案數據庫安全管理中加密技術應用研究

高斌升
（太原理工大學，太原 030024）

隨著計算機網絡的發展與普及，計算機大批量數據存儲安全、敏感數據竊取與篡改問題越來越突出，數據庫系統作為高校檔案信息系統的核心部件，其安全性必須得到有效的保障。數據庫加密是數據庫安全的核心問題之一，本文針對高校檔案數據庫系統的安全問題，進行數據庫加密技術的應用研究與分析。

高校檔案；數據庫安全管理；數據庫加密；密碼算法

1　常用數據庫加密技術概述

加密算法是數據加密的核心，選擇何種加密算法需要滿足一定的要求，使其與數據庫自身的顯著特點相適應。通常數據庫加密方法選擇與設計中需要滿足以下條件：一是數據庫加密后數據量不明顯增加；二是僅依據數據間的邏輯關系來破解加密數據庫十分困難；三是數據加密后其數據長度不變；四是加密與解密的速度應足夠快。從現有的密碼體制來看，常用加密算法可分為對稱機密算法、非對稱加密算法、加密哈希算法三類。對稱密碼體制的典型加密算法有DES、AES、IDEA、RC5、RC6等，非對稱密碼體制的典型算法有ELGamal、RSA、Diffie－Hellman等，加密哈希算法最常見的一種是MD5算法，即中間單向算法。

2　高校檔案數據庫加密子系統分析與設計

2.1數據庫加密子系統分析

對高校檔案數據庫系統而言，高校檔案自身的屬性使其區別于圖書資料，檔案數據庫系統存在著堅定資料是否開放、是否機密的問題。通常高校檔案信息數字化的內容主要包括五個方面的內容，即檔案管理主業、學生成績檔案數據庫、學生檔案數據庫、重大科研檔案數據庫、高校人才檔案數據庫。高校檔案數據庫安全不是孤立的，而是一個完整的系統，其中數據庫加密是信息安全的核心問題。基于高校檔案數據庫系統的加密安全系統可采用三層安全模型，即外層防御層、中間層入侵檢測、內層數據庫安全抵御。

2.2加密子系統模塊設計

高校檔案數據庫系統的加密子系統模塊主要包括密碼引擎模塊、秘鑰模塊兩部分，密碼引擎模塊是密碼基礎設施中的核心模塊，它實現了AES算法。密碼引擎有分為專用密碼引擎和本地密碼引擎，專用密碼引擎包含一個單獨用于密碼操作的CPU，而本地密碼引擎中的算法則被直接包含在程序中。針對高校檔案數據庫系統而言，數據庫加密一般沒有選用專用引擎，因此其加密項目的大部分工作都保護和處理秘鑰進行的。秘鑰模塊可分為秘鑰庫、秘鑰清單、秘鑰管理器三個組件。秘鑰管理器是一個非常敏感的組件，因此在高校檔案數據庫的加密子系統中，秘鑰管理器有設置了秘鑰區域進行秘鑰管理。

2.3加密算法選取及應用模式

高校檔案數據庫具有高校自身的特征屬性，因此加密算法的選擇和應用需要滿足高校自身的實際情況和需求。高校檔案數據庫擁有大量的數據需要加密，因此選用對稱秘鑰的加密算法是十分合適的，這種加密算法具有更快的速度，不僅能夠實現保護數據的機密性，而且還能夠在大量的訪問數據面前實現即時操作。在高校檔案數據庫系統的加密子系統中采用AES算法是針對128位（16字節）長度的數據模塊進行處理的，操作模式則依據高校檔案數據庫各字段不同記錄的數據長度基本一致的特征，選擇使用密碼塊鏈接模式。

2.4加密子系統安全設計

加密子系統的安全設計至關重要，主要是對密碼系統進行保護設計，包括密碼算法、明文空間、密文空間以及秘鑰。針對高校檔案數據庫系統的本地引擎而言，解決安全風險的辦法是：一是對秘鑰的備份與恢復，將秘鑰列表保存在一個單獨的秘鑰中；二是對秘鑰庫的保護，通常可將秘鑰的兩個部分分別保存在單獨的兩臺機器上。高校檔案數據庫系統的加密子系統安全設計的主要內容包括：對模塊的職責進行有效的限制和分離，嚴格把關數據查詢和特征信息，盡量減少受攻擊的區域，檢查所有輸入與輸出的數據的合法性，編寫安全代碼庫并安全的處理異常，注意第三方代碼的安全復查并防止SQL的注入。

3　高校檔案數據庫加密項目實施特點與技巧

在高校檔案數據庫加密項目的實施中，各階段所關注的安全內容存在加大區別，這使得高校檔案數據庫加密項目存在一定的高校屬性特征。從加密項目的具體實施來看，第一步需要由需求分析人員編寫高校檔案數據庫需求文檔；第二步由安全分析人員在需求文檔的基礎上建立高校檔案數據庫的邏輯模型，并考慮兩種安全需求和防御性安全需求標準及策略；第三步在專家及用戶評審后設計滿足需求的系統；第四步是通過設計來實現應用程序；第五步進行測試，包括之來那個保證測試和用戶驗收測試兩部分。在高校檔案數據庫安全開發中，應開發最小權限運行的程序，定期清理內存中的敏感數據，越是數據敏感程度高，越應盡快將其從內存中清除，以確保秘鑰安全。

主要參考文獻

［1］任輝.基于PKI技術的高校電子檔案安全管理系統的設計與實現［D］.長沙：湖南大學，2013.

［2］懷艾芹.基于SQL Server的高校OA系統數據庫安全技術研究［J］.計算機與數字工程，2010（10）.

10.3969/j.issn.1673-0194.2016.17.109

G251；TP309

A

1673-0194（2016）17-0191-01

2016-07-11