Access数据库的安全性研究和应用.docVIP

Access数据库的安全性研究及应用 [日期：2006-05-20]来源：? 作者：[字体： HYPERLINK javascript:ContentSize(16) 大  HYPERLINK javascript:ContentSize(14) 中  HYPERLINK javascript:ContentSize(12) 小] 贾 志 先 摘? 要? 本文讨论了Access数据库的安全性问题，介绍了随机加密技术及其在Access数据库加密中的应用，通过对随机序列加密算法的研究和探讨，给出了基于ASP.NET的Access数据库随机加密、解密的程序代码，以及在信息安全中的应用。关键词? Access? ASP.NET? 数据库? 随机加密1 Access数据库的安全性问题??? Access数据库作为微软推出的以标准JET为引擎的桌面型数据库系统，由于具有操作简单、界面友好等特点，成为许多中小型网上应用系统的首选数据库。Access数据库在为我们带来便捷的同时，也带来了不容忽视的安全问题。1.1 Access数据库的加密技术??? Access 提供了设置数据库安全的几种传统方法：为打开的数据库设置密码，或设置用户级安全，以限制允许用户访问或更改数据库的哪一部分，以及加密数据库使用户无法通过工具程序或字处理程序查看和修改数据库中的敏感数据。除这些方法之外，还可将数据库保存为 MDE 文件以删除数据库中可编辑的 Visual Basic 代码以防止对窗体、报表和模块的设计进行修改。?(1)设置密码。最简单的方法是为打开的数据库设置密码。设置密码后，打开数据库时将显示要求输入密码的对话框。只有键入正确密码的用户才可以打开数据库。在数据库打开之后，数据库中的所有对象对用户都将是可用的。(2)用户级安全。设置数据库安全的最灵活和最广泛的方法是设置用户级安全。这种安全类似于很多网络中使用的方法，它要求用户在启动Access 时确认自己的身份并键入密码。(3)加密数据库。对数据库进行加密将压缩数据库文件，并使用户无法通过工具程序或字处理程序查看和修改数据库中的敏感数据。1.2 Access数据库的安全隐患??? Access数据库的设置密码算法比较简单，很容易被破解。Access数据库的文件头中42H-4EH为密码区。设置密码时，根据所设密码的ASCII码与密码区的内容进行异或运算，最后将运算的结果存入密码区。在Access数据库打开之后，数据库中的所有对象对用户都将是可用的。对于一些存储敏感数据的Access数据库，除了设置数据库密码外，应该对数据库中的数据进行加密。由此可以看出，Access的安全性有待于进一步提高。2 Access数据库的加密及应用在文[1]中，笔者介绍了随机加密算法。随机加密算法，是一种利用随机函数的随机数序列与数据进行异或等运算，实现对数据加密的方法。在随机加密算法中，加密所用的数据是随机数且不重复使用，实现了“一次一密”的加密。下面，我们研究在ASP.NET＋Access的Web数据库解决方案中，利用随机加密算法消除Access数据库安全隐患的问题。2.1 基于ASP.NET的随机加密算法ASP.NET支持Unicode字符。在ASP.NET中，使用Unicode字符，对数据进行随机加密，安全性很高。2.1.1 ASP.NET中Random 类概述在ASP.NET的System 命名空间中，包含着基本类和基类，Random 类是其中的一个类，包括以下构造函数和主要方法：构造函数：Random ?已重载。初始化 Random 类的新实例。Random()，使用与时间相关的默认种子值，初始化Random类的新实例。Random(Seed)，使用指定的种子值初始化Random类的新实例。 方法：Next?已重载。返回整型随机数序列的下一个随机数。NextBytes?用随机数填充指定字节数组的元素。NextDouble?返回一个介于 0.0 和 1.0 之间的随机数。随机数的生成是从种子值开始。如果反复使用同一个种子，就会生成相同的数字系列。2.1.2 ASP.NET随机加密程序代码在ASP.NET中，可调用下面的Encrypt（）函数对数据进行随机加密，其参数s为要加密的数据。%@ Import Namespace=System.Globalization %script Language=VB Runat=Server…? …? …? …Function Encrypt(s As String) As String? 加密入口函数??? Dim rnd As Random??? Dim Seed As Integer