基于oracle数据库敏感数据加密应用研究.docVIP

基于oracle数据库敏感数据加密应用研究 　　摘 要：信息系统在经济活动和社会活动中的地位和作用越来越重要，信息安全问题成为不可忽视的问题，数据加密能有效防止数据库中敏感数据泄漏。Oracle数据库透明数据加密（TDE）使用主密钥和表密钥对敏感数据字段进行加解密。本文结合“煤粉燃烧特性管理信息系统”项目开发，使用透明数据加密（TDE）对敏感数据字段进行了加密应用研究。 　　关键词：敏感数据；主密钥；表密钥；透明数据加密 　　中图分类号：TP392 文献标识码：A 　　Research on the Application of Sensitive Data Encryption Based on Oracle Database 　　XU Yi 　　（Business School of Northwest University of Politics and Law，Xian 710122，China） 　　Abstract：At present，the problem of information security in economic activities and social activities is becoming increasingly prominent，data encryption can effectively prevent sensitive data leakage in the database.Oracle database transparent data encryption（TDE）algorithm using the master key and table key to encrypt the sensitive data fields.Combined withpulverized coal combustion characteristics management information systemproject，paper used TDE to encrypt sensitive data fields. 　　Keywords：sensitive data；master key；table key；transparent data encryption 　　1 引言（Introduction） 　　数据库安全目标是为了维护存储于数据库管理系统（DBMS）中数据的三个安全特性，即机密性、完整性和可用性[1]。一般地，数据库的安全性控制措施主要通过用户标识与鉴别、访问控制、视图机制、数据加密、安全审计等机制来完成，然而这些安全机制只能满足一般的数据库安全应用，而对于高度敏感性数据，数据库系统所提供的安全性措施难以保证其安全。 　　造成数据库安全隐患的一个主要原因是因为原始数据以可读（明文）形式存放在数据库中。只要避开系统身份鉴别认证，进入到数据库系统中，就可以窃取或篡改数据库中的任何数据。因此，为了保证数据库中的数据安全，限制用户非法访问，必须对数据库中存储的重要敏感数据进行保护处理。数据库加密技术能有效弥补传统数据库安全手段的不足。 　　数据加密（Data Encryption）是防止数据库中数据存储和传输过程中失密的有效手段。加密的基本思想是根据一定的算法将原始数据（明文plaintext）加密成为不可直接识别的格式（密文，ciphertext），数据则以密文的方式存储和传播，从而保证敏感数据访问和传输的安全[2]。 　　2 数据加密技术（Data encryption technology） 　　数据加密是保证用户与数据隔离，防止敏感数据泄漏的重要手段。数据加密后，对于不知道密钥的攻击者，即使利用系统漏洞或其他方法非法访问到数据，也无法获取真正的数据内容；而经过系统验证确认其合法性和权限的用户拥有正确的密钥，可以从系统获得可识别的数据。 　　2.1 加密层次 　　一般地，数据存储加密可在三个层次实现数据库加密工作，即操作系统（OS）层、DBMS内核层和DBMS外层[3]。 　　（1）操作系统层加密：应用程序通过操作系统提供的API调用数据库文件，直接解密整个数据库文件，然后访问这个完全解密的文件，而在应用程序关闭时，再将已解密的文件进行加密。 　　（2）DBMS内核层加密：数据在物理存取之前完成加解密工作。这种加密方式功能强大、完全透明，应用程序不需要做任何修改可以直接访问数据库系统。 　　（3）DBMS外层加密：数据库中存储密文数据，应用程序和外层工具交互，对数据库的每一次操作都由加密系统转化后再交给数据库处理，然后再将数据库返回的结果解密后返回给应用程序。 　　2.2 加密粒度 　　加密粒度是指加密的最小数据单位，可分