cc 一、Web平台数据库安全特点
1.1 Web数据库特点
Web数据库又称网络数据库,是在传统关系数据库的基础上融合了网络技术的一种的严谨模式,简单可以理解为因特网与数据库结合的产物。Web数据库的出现使得网络查询、检索更容易实现。
相对于传统关系数据库而言,Web数据库本身存在相对独立的特征,主要包括几个个方面:存储信息广泛、数据结构相对灵活、能够实现更多样化的编译、支持更多的数据类型。除此之外,随着Web数据库技术的发展,为了应用网络查询、检索的需要,Web数据库也拥有了改进的索引机制,能够有效提高查询效率和查询质量,更符合网络应用的特点。
1.2 Web数据库加密技术
在传统关系型数据库安全研究领域,最常用的数据库保护方法是通过设置复杂口令和访问权限,但是数据库管理员账户的安全问题就成为了严重隐患,因此出现了使用数据加密技术保证数据库信息安全的方法。在数据库中,由于数据组长度相对较短,存取时间较长,密钥的相应生命周期浮动较大,如果采用单一密钥无法起到良好的保密效果,如果采用独立密钥则会导致密钥过多致使管理复杂,进而引发查询响应速度过慢的问题,不符合Web数据库应用的需求,因此Web数据库的加密技术也出现了相应的改进。在现代化的Web服务系统中,数据库加密方案通常采用DBMS内核加密,这一加密技术可以与DBMS无缝结合,并实现更为强大的加密功能,但目前DBMS内核加密算法的可选性较低,灵活性不足,而且由于在硬件层面进行加密,也会在一定程度上增加服务器负载,影响Web服务的高效性。由于内核加密的缺陷,因此出现了DBMS外层加密技术,通过封包对服务实现加密,能够有效降低运行复杂,同时加密过程与加密数据被分开,安全性得到再次提升,由于加密本身的条件问题也可以实现端到端的密文传输,进一步提升加密效果。
二、 B/SWeb平台构架下的数据加密模型分析
2.1 B/SWeb平台构架特征
B/S结构是Browser/Server结构的简称,即浏览器/服务器结构,这一结构的特点是Web应用、功能的使用直接通过浏览器即可实现,不需要客户端,在PC端已经能够实现较高的安全保障。在目前Web应用领域,ActiveX技术的普遍使得这一结构的安全性和便利性得到再次提升。在目前常见的Web平台构架中,B/S结构相对于C/S结构而言不需要对PC端应用进行专门的应用管理,但由于访问的简便性以及功能的下移,使得安全管理中服务器安全条件的要求提升,服务器的负载有小幅增加的现象。
2.2 典型的DSP加密结构分析
在B/S结构下的Web平台数据库通过DSP模型,能够实现较佳的加密效果,这一模型本身与B/S结构十分相似能够充分适应网络环境的特点。
用户对数据进行增、删、改等操作时,涉及到明文数据到密文数据的转换,需要数据加密模块。数据加密模块通过在数据操作过程中隐藏的数据窗口来实现,用户对明文数据窗口的操作同步映射到隐藏的密文数据窗口中,对明文数据的保存操作同步映射到密文数据窗口的保存操作。在DSP模型中,敏感信息加密后存放在数据库端,需求用户发送查询请求后会经过加密然后再发送,并能够同时实现本地的短期查询与服务器长期查询,执行密文查询的过程中,查询结果还需要进行再次加解密过程,有效增加的数据的安全性。
三、加密算法优选方案
3.1 常规数据加密方法的对比
数据库加密算法必须适应数据库系统的特性,如强度高、加/解密速度快、适应明文数据长度变化范围大、数据加密后尽量不增加存储空间等。目前常用的密码可以分为三类,序列密码、分组密码和公开密钥密码。序列密码算法将明文与随机序列直接运算,得到的每一位密文与明文其他位数据无关。该类算法运算速度高,并且产生的密文一般与明文长度一样。但是如果得到数量较多的密文对,则较容易破译。该算法常用于一次一密的传输加密。分组密码算法将明文按固定长度分组,对各分组使用不同的密钥加密。密文中的每位数据不仅与密钥有关,还与分组中其他明文数据有关。分组加密算法较难破译,但是密钥分发及管理。公开密钥算法即非对称密钥算法,运算速度很慢,不适合用于大数据量加/解密。
通过对比来看,能够同时适应数据库加密需求以及Web平台特点的加密算法为分组加密算法。
3.2 DES加密算法及密钥管理
通过前文分析可知,适用于Web平台数据库加密的算法为分组加密算法,而在分组加密算法中,DES算法是运行速度最快的一种。该算法由IBM公司研制,为用户提供一个双向通道A和B共享一个密钥,双方既可以用该密钥加密信息形成密文并传送出去,又可以把收到的密文用该密钥进行解密。加密的数据和加密密钥都是64位,有效长度为56位,其余8位用于奇偶校验位。由于DES算法密钥长度有限,在一定程度上影响了加密效果,因此在Web平台数据库应用中建议使用多重算法,可以有效解决密钥长度不足的问题。
在密钥管理中,通信过程中密钥的保护问题同样值得重视。为了保证敏感数据信息的安全,我们要计算子密钥组的结果M,M为密钥的乘积的合集。然后将结果M单独存放在非系统数据库中,专门建立一个非SQLSERVER数据库文件,如数据库中建立一个表,专门放置M。而且对这个文件进行加密,防止信息的泄漏。为了保证一个密钥长期使用,防止被非法分子破解,密钥必须有更新功能。系统在对新的密钥进行检查无误后,对信息表中的所有敏感信息进行重新加密。
四、应用方案优缺点概述
本次设计的在于实现已有Web平台基础的条件下,实现破译成本增加、加强数据安全性的主要目标。
在安全性方面,DSP结构下的外围加密技术与DES加密算法的结合,能够有效保障数据库存储数据的安全性,同时采用的密钥算法与管理技术能够在在任何情况下不作明文存储(包括在数据库内)、密钥在任何情况下不作明文传输(主要指在网络上)、对密钥进行变换的算法具有最高级的加密强度并永不公布、在密钥意外泄露时可以通过更改密钥及更改用户登录权限等简单手段迅速处理,并且不会影响其它密钥的安全性。
当然此设计的数据库加密框架方案对系统响应速度有一定影响,在有较大量的数据访问查询需求时可能出现一定的延迟或响应缓慢的现象,主要因素有两点:其一,认证请求本身增加了客户端与认证服务器的网络负担;其二,解析加密数据时会产生额外的解析时间。
五、 结束语
本文对B/S结构特点下的Web平台数据库加密思路进行了分析说明,针对其特点提出了DBMS外围加密的DSP结构,结合应用需求与特点,提出了采用多层DES加密算法以及基于PKI的私钥认证思路。本文提供的加密系统、算法、密钥管理方案具有相对良好的加密效果与响应速度,能够有效保证服务器性能,可作为普通Web平台数据库加密的参考。
