Microsoft Access数据库WEB应用中数据安全性研究.docVIP

Microsoft Access数据库WEB应用中数据安全性研究 　　摘要:文章从WEB 系统中由数据库本身所带来的安全隐患入手,进而分析Access数据库相关的数据加密技术(如MD5 加密算法、DES算法)及其在WEB系统中保护数据的具体应用,最后分析通过特殊处理,杜绝WEB应用中的部分安全隐患的相关技术,供同行参考。 　　关键词:Microsoft Access;数据库;WEB应用;数据安全性研究 　　中图分类号:TP393 文献标识码:A 文章编号:1000-8136(2010)21-0003-03 　　 　　1前言 　　Microsoft Access是微软公司于1994年推出的以标准JET为引擎的桌面型数据库系统。它具有界面友好,易学易用,开发简单,接口灵活等特点,是典型的新一代数据管理和信息系统开发工具,其以功能全面、程序设计方便等特点得到广泛应用。与微软公司所开发的其他数据库产品如Visual FoxPro、SQL Server等相比不够强大,它仍具有一定的独特的优势,其提供了更强大的数据组织、用户管理、安全检查等功能。在一个工作组级别的网络环境中,使用Access开发的多用户数据库管理系统具有传统的XBASE数据库系统所无法比拟的客户服务器(Client/Server)结构和相应的数据库安全机制,因此,在很多WEB、桌面存储等领域得到了广泛的应用,但由于Access只是属于文件型的小型数据库系统,存储方式过于单一,在存储大量数据时性能出现瓶颈,特别是它的安全性能方面,使得其在许多方面的应用受到了限制。本文就Microsoft Access数据库的WEB应用中的数据安全性进行研究,仅供同行参考。 　　2WEB系统中由数据库本身所带来的安全隐患 　　在Access的WEB(包括asp、、php、jsp等环境)系统应用中,当攻击者通过各种渠道获取或者猜到Access数据库的存储路径和数据库名时,如未对Access数据库文件进行特殊处理,恶意攻击者将可以通过WEB方式访问并将数据库下载到本地。而由于Access本身的诸多缺陷,如Access数据库的解密隐患、由缺省用户Admin用户所引发的安全漏洞、工作组信息文件带来的安全隐患等,将会导致数据库中的敏感数据(如单位的财务数据、管理员的帐户密码或其他隐私数据)不安全。 　　3Access数据库相关的数据加密技术及应用 　　数据加密又称密码学,它是指通过特定的加密算法和指定的加密密钥将明文数据转变为不能被正常解读的密文,而解密则是通过与加密算法所配套的解密算法和加密时所指定的密钥将不可解读的密文恢复为可正常阅读的明文。数据加密在当前仍是计算机系统对信息进行自然保护的一种最可靠的方法。通过数据加密技术对敏感信息进行加密,实现信息的隐蔽,从而增加重要信息的安全性。 　　本文将以A作为平台,介绍MD5加密算法及DES算法在WEB系统中保护数据的具体应用。 　　3.1基于C#的MD5数据加密算法 　　3.1.1MD5算法介绍 　　MD5的全称是Message Digest Algorithm MD5(中文名为消息摘要算法第五版),为计算机安全领域广泛使用的一种散列函数,用以提供消息的完整性保护。该算法的文件号为RFC 1321(R.Rivest,MIT Laboratory for Computer Science and RSA Data Security Inc. April 1992),该算法以512位分组来处理输入的信息,且每一分组又被划分为16个32位子分组,经过了一系列的处理后,算法的输出由四个32位分组组成,将这四个32位分组级联后将生成一个128位散列值。 　　3.1.2MD5算法在Access项目中的应用范围 　　由于MD5算法的不可逆性,目前尚无可靠的破解方式,经过MD5算法加密的字符串将无法通过一定的解密算法将其还原为原文,所以一般在具体应用中,均使用MD5对密码字符串等不需要明文显示的字符或数据进行加密。 　　3.1.3加密算法MD5的C#代码实现 　　微软在.Net中集成了MD5算法,我们可以通过初始化系统命名空间System.Security.Cryptography中的MD5CryptoServiceProvider类的实例,并调用ComputeHash方法将字符串进行加密,封装的代码如下(注:需引处System及System.Security.Cryptography命名空间): 　　 /// 　　 /// MD5 加密 　　 /// 　　 /// 输入字符串 　　 /// 　　 public string MD5Encrypt(string strIN) 　　 { 　　byte[] tmp