電子商務中數據庫加密概述

吳慶亮

【摘要】隨著電子商務的迅速發漲,信息安全的最要性尤為突出,信息安全的核心就是數據庫的安全。因此,數據庫數據的安全問題越來越受到重視,數據庫加密技術的應用極大的解決了數據庫中數據的安全問題,但實現方法各有側重,下文主要就數據庫加密技術方法和實現簡要的概述。

【關鍵詞】電子商務、數據庫加密、加密算法、加密技術特性

隨著電子商務技術的飛速發展,越來越多的企業、個人從事著電子商務的運營活動,其中大批量數據存儲的安全問題、敏感數據的防竊取和防竄改問題引起了人們的高度重視。一是企業本身需要對自己的關鍵數據進行有效的保護;二是企業從應用服務提供商(Application Service Provider,ASP)處獲得應用支持和服務,在這種情況下,企業的業務數據存放在ASP處,其安全性無法得到有效的保障。

1.電子商務體系和安全問題

電子商務(ELECTRONIC COMMERCE),是指對整個貿易活動實現電子化。交易各方以電子交易方式而不是通過當面交換或直接面談方式進行的任何形式的商業交易。電子商務改變了企業的經營理念、管理方式和支付手段。網絡營銷、網上采購和電子支付成為企業經營的必要環節,極大地縮短了企業生產周期,降低了生產成本,增強了企業對市場的反應能力。它是基于C/S(即客戶端和服務器Client/Server)模式下的交易模型,分為服務器端和客戶端?？蛻舳怂碌挠唵瓮ㄟ^網絡進行傳輸,在服務器端進行信息確認后進行交易,再由物流系統進行配貨。

這個體系由個人用戶系統、網絡系統、服務端系統及物流系統組成。物流系統是實物運輸,所以是安全的。其他幾個部分都存在著不安全的因素。根據一年一度的中國互聯網發展統計報告,電子商務中的安全事件包括用戶的主機被植入木馬,賬號和密碼被竊取;冒充用戶進行交易;由于用戶的錯誤操作導致的安全問題;由于用戶自身安全意識的不足,在交易過程中被假冒、欺騙(如假網站)、傳輸過程中信息被竊取、篡改、偽造等等?？梢钥吹?在上述的安全威脅中,竊聽、陷門和特洛伊木馬、病毒等威脅及諸如存在于數據鏈路層網絡和服務器端的安全威脅,都是針對客戶端和數據傳輸過程的。因此,就必須對所傳輸的數據進行加密。

2.數據加密技術

數據加密作為一項基本技術是所有通信安全的基石。數據加密過程是由形形色色的加密算法來具體實施的,它以很小的代價來提供很大的安全保護。在多數情況下,數據加密是保證信息機密性的惟一方法。

一般把受保護的原始信息稱為明文,編碼后的稱為密文。數據加密的基本過程包括對明文進行翻譯,譯成密文或密碼的代碼形式。該過程的逆過程為解密,即將該加密的編碼信息轉化為原來的形式的過程。

2.1 常用的數據加密方法

現在數據庫系統主要基于三個層次進行數據庫加密工作,即0S、DBMS內核層、DBMS外層。目前常用的辦法是在DBMS外核層加密。DBMS外核層加密是將數據庫加密系統做成DBMS的一個工具,其優點是不會加重數據庫服務器的負載并可以實現網上傳輸加密,缺點是加密功能會受一些限制。作為一種通過加密方式來保護數據的專門系統,數據庫加密系統并不是一個數據庫應用系統,而是一個將DBMS部分功能、加密器和密鑰管理三者緊密結合起來的系統。顯然數據庫加密系統實際上主要實現的還是加密器(包括加密定義工具)的功能,它既可工作于數據庫應用系統與DBMS之間,又可作為一個獨立工作的系統直接與DBMS交互。

2.2 數據庫加密技術的特點和功能

一般而言,一個行之有效的數據庫加密技術可以有以下5個方面的特點和功能。

(1)身份認證:

用戶除提供登錄名、密碼以外,還必須按照系統安全要求提供其它的相關安全憑證。

(2)通信加密與完整性保護:

有關數據庫的訪問在網絡傳輸中都被加密,通信一次一密的意義在于防重放、防篡改。

(3)數據庫數據存儲加密與完整性保護:

數據庫系統采用數據項級存儲加密,即數據庫中不同的記錄、每條記錄的不同字段都采用不同的密鑰加密,輔以校驗措施來保證數據庫數據存儲的保密性和完整性,防止數據的非授權訪問和修改。

(4)數據庫加密設置:

系統中可以選擇需要加密的數據庫列,以便于用戶選擇那些敏感信息進行加密而不是全部數據都加密。只對用戶的敏感數據加密可以提高數據庫訪問速度。這樣有利于用戶在效率與安全性之間進行自主選擇。

(5)安全備份:

系統提供數據庫明文備份功能和密鑰備份功能。

2.3 數據加密的算法

加密算法是一些公式和法則,它規定了明文和密文之間的變換方法。密鑰是控制加密算法和解密算法的關鍵信息,它的產生、傳輸、存儲等工作是十分重要的。

加密技術通常分為兩大類:“對稱式”和“非對稱式”

(1)對稱式加密就是加密和解密使用同一個密鑰,通常稱之為“Session Key”這種加密技術目前被廣泛采用,如美國政府所采用的DES加密標準就是一種典型的“對稱式”加密法,DES算法把64位的明文輸入塊變為64位的密文輸出塊,它所使用的密鑰也是64位,DES算法中只用到64位密鑰中的其中56位。

(2)非對稱式加密就是加密和解密所使用的不是同一個密鑰,通常有兩個密鑰,稱為“公鑰”和“私鑰”,它們兩個必需配對使用,否則不能打開加密文件。這里的“公鑰”是指可以對外公布的,“私鑰”則不能,只能由持有人一個人知道。它的優越性就在這里,因為對稱式的加密方法如果是在網絡上傳輸加密文件就很難把密鑰告訴對方,不管用什么方法都有可能被別竊聽到。而非對稱式的加密方法有兩個密鑰,且其中的“公鑰”是可以公開的,也就不怕別人知道,收件人解密時只要用自己的私鑰即可以,這樣就很好地避免了密鑰的傳輸安全性問題。

2.4 數據庫加密的實現

數據庫加密實現方式很多,可以是軟件加密,也可以是硬件加密。軟件加密可以采用庫外加密,也可以采用庫內加密。

(1)庫外加密。庫外加密方式即采用文件加密的方法,它把數據庫作為一個文件,把每一個數據塊當作文件的一個記錄進行加密,文件系統與數據庫管理系統交換的就是塊號。

(2)庫內加密。庫內加密按加密的方式,可以進行記錄加密,也可以進行字段加密,還可以對數據元素進行加密。

(3)硬件加密。硬件加密是在物理存儲器(磁盤)與數據庫系統之間加一硬件裝置,使之與實際的數據庫系統脫離。這種方式首先要求數據庫應保存在專一磁盤上,并且對控制信息不加密,而只對數據加密。

由于在現實生活中,我們要確保一些敏感的數據只能被有相應權限的人看到,要確保信息在傳輸的過程中不會被篡改,截取,這就需要很多的安全系統大量的應用于政府、大公司以及個人系統。數據加密是肯定可以被破解的,但我們所想要的是一個特定時期的安全,也就是說,密文的破解應該是足夠的困難,在現實上是不可能的,尤其是短時間內。