密文数据库加脱密引擎的设计与应用.docVIP

　　密文数据库加脱密引擎的设计与应用 摘要 数据库加脱密引擎是数据库加密系统的核心模块，其安全性和执行效率对加密数据库系统的整体性能有重要的 影响 。本文讨论了数据库加脱密引擎的基本结构和工作原理，提出一个加脱密引擎模型，并详细阐述了各个功能模块的功能和作用，同时讨论了在实现过程中要注意的关键 问题 ，通过解决这些问题对加脱密引擎的运行机制进行了比较深入的了解。 关键词 数据库加密，数据库脱密，加脱密密引擎1 引言 目前 ，信息管理系统中的大量数据都是存放在数据库中。因此，数据库也成为这些系统的核心部件之一，其安全性及对敏感数据的防篡改和防盗取的能力，越来越引起大家的重视。而传统的方式是在数据的传输过程中对数据进行加密保护，并没有对数据库本身进行保护，如果一旦有非法入侵者进入数据库，就极易造成重要数据资料的泄露，最终给数据库的用户造成不可挽回的损失。所以，提高数据库的安全性能就成为一个十分急迫的问题。 目前对数据库保护的最有效的 方法 就是对敏感数据进行加密处理，将明文方数据以密文方式保存，访问时再进行解密操作。这样，即使能够通过非法途径得到数据库的数据，没有相应的密钥，也是得不到其明文形式的。实现数据库加密并结合密钥管理以后，数据库里的数据由用户自己的密钥来进行访问，不同的用户只能访问自己权限以内的数据，这样大大的提高了数据的安全性。由此可见，数据库加密对于数据的安全管理，是不可或缺的重要环节。 对数据库加密的部分就是数据库的加密引擎，是整个数据库加密系统的核心部分，本文将重点讨论数据库加脱密引擎的实现过程和要注意的一些问题。2 数据库加密系统的基本结构图１数据库加密系统体系结构可见，数据库加脱密引擎是数据库加密系统的核心部件，负责在后台完成数据库信息的加脱密处理，对 应用 开发人员和操作人员是透明的。3 数据库加脱密引擎的设计3.1 加脱密引擎的设计 结合 .L.编辑。 在这个过程中，加密算法起到一个很重要的作用。不同的加密算法，其加密强度和加密速度都是不一样的。在对称加密算法中，就速度和强度的综合性能来考虑， AES 算法是首先选择的算法，本文的加脱密引擎采用的也是AES算法。加密模块除了要对数据进行加密以外，还要负责数据的拆分和组装，以保持数据的完整性和一致性。 脱密模块是加脱密引擎的另一个部分核心，它的作用和加密模块相反，主要负责数据的脱密处理。其工作过程与加密模块的流程类似，不同的是从密文表中取出数据解密后填充到原表之中。解密算法是该模块的核心，在数据库加脱密引擎中解密算法与加密算法必须是一致的，这样才能保证脱密后的数据与加密以前的数据相一致。与加密模块一样，解密模块也具有对数据进行拆分和组装的功能。4加密过程中要注意的 问题 在整个加密的流程中，创建密文表是其中的关键步骤。如果将加密后的数据直接放入原表中是最节约空间的 方法 ，但由于加密后的数据和原表中的数据类型及长度很可能不一致，这样会导致填充数据的失败，因此创建和加密表对应的密文表是很有必要的。而在创建的过程中必须注意几个问题。 ⑴ 密文表的数据类型问题 待加密表中字段数据类型是与包含它的数据库所支持的数据类型相关的，即使相同的数据类型在不同的数据库中的定义可能很不一致，经过实验，笔者发现所有的数据类型的数据在经加密引擎加密后生成的数据都是字符串类型的数据，所以密文表除结构和待加密表一样，其字段数据类型都可设置为字符串类型，这样可屏蔽各种不同数据库的不同的数据类型之间的差别。 由于加密后的数据类型是一致的，在生成密文表时，本文统一使用VARCHAR　类型作为密文表的字段类型。一般的数据库都能识别这种数据类型。这样就可以在多种数据库中使用相同的SQL语法来操作数据库，而不用关心不同数据库的差别。 ⑵ 密文表的数据长度问题 确定了密文表的数据类型之后，就是确定密文表的字段长度了。由实验笔者得出数据，对于一定长度内的明文生成的密文长度(AES加密)是一定的，而且生成的密文比明文的长度要长得多。所以确定密文表字段长度必须根据密文长度和明文长度的关系预先设置足够的长度。 对于不同的数据库，支持VARCHAR的最大长度也不一致，而明文加密后的密文很可能会超过VARCHAR类型支持的上限。因此，在不同数据库中也要预先将其长数据类型作为初始参数保存在数据字典中，若 计算 出某一明文字段对应的密文长度超过VARCHAR类型支持的上限就使用长数据类型作为密文表中该字段的数据类型，以避免创建的密文表不能正常填充密文数据。5 用户数据访问注意的问题 数据库的加脱密引擎和数据库密钥管理是分不开的，前台用户数据访问接口就会与密钥管理相结合。 用户数据访问采用的是二级表的访问方式[5]，以下是用户数据访问的流程图：图4用户数据访问的流程图 用户提供用户密钥和查询要求之后，就可以查