5.2 数据库安全与数据加密
一、数据库安全的重要性及基本安全要求:
1、数据库安全的重要性:
数据库的安全之所以重要,主要有以下几方面的原因:
(1)数据库中存放着大量的数据由许多用户所共享,而各个用户又有各种不同的职责和权限。
(2)在数据库中,由于数据的冗余度小,数据库一旦被更改,原来存储的数值就被破坏。
(3)数据库的安全涉及到应用软件的安全与数据的安全。
2、数据库面临的安全威胁:
数据库系统是运行在信息系统中的大量的程序,因此数据库的安全所涉及的不仅是数据库系统功能的本身,而且可能来自其他各方面。
对数据库安全的威胁按其内容可划分为以下三类:
(1)系统内部的:
①数据库:未授权的非法存取、篡改数据。如数据库管理售货员地数据的使用权限不进行严格管理;对用户在计算机上的活动没有进行监督。
②计算机系统:硬件的保护机制不起作用,因故障引起信息破坏或丢失;软件保护功能失效也会造成信息泄露。
③通信网络:终端安装在不安全的环境,产生电磁辐射而被窃听,以及通信线路上的串音泄露。
(2)人为的:
①授权者:制定了不正确、不安全的防护策略和安全规则说明;
②操作者:复制和泄露机密、敏感的数据信息;
③系统程序员:绕过安全检查机构,使安全机构失效,或是安装不安全的操作系统;
④应用程序员:编写违反规定的程序侵入,如“特洛伊木马”软件;
⑤终端用户:伪装或欺骗鉴别机构,非法泄露授权信息,以及数据输入或处理中的错误。
(3)外部环境:
①自然灾害,如火灾、水灾、雷电、地震等造成的;
②有意的袭击,如黑客的入侵、计算机病毒侵入系统等。
显然不安全因素是广泛的,但是其后果均可导致数据信息的泄露、更改和破坏。
3、数据库的基本安全要求及主要安全特点:
●数据库的安全性是指保护数据库以防止恶意的破坏和非法的存取所造成的数据直接或间接的泄露、更改或破坏,尤其是涉及国家安全、或对拥有者利害攸关时,这是必须确保的头等重要的性能指标,也是数据库的最基本的安全要求,即要保证数据的安全。
● 数据库系统主要安全特点有以下几方面:
(1)数据库中信息众多,作为需要保护的客体也多,其中的各种信息,如文件、记录、字段等,其安全管理要求都不尽相同。
(2)数据库中数据的生命周期要长一些,需要长期保护的数据的安全要求自然就高。
(3)在地理上分布范围较广的开放型系统,用户多且分散,敌友混杂。集中的数据信息集的共享访问,使得原本就众多的威胁,变得更加复杂,已经形成对数据库安全的严重挑战。
(4)数据库系统中受保护的客体可能具有复杂的逻辑结构,若干复杂的逻辑结构可能映射致到同一物理数据客体之上。
(5)不同的结构层,如内模式和外模式要求有不同的安全保护。
(6)数据库安全要涉及数据的语义、语法及数据的物理表示。要防止因模糊,歧义而导致泄露的危害。而数据的语法上的疏忽,可能导致数据库安全上的漏洞。
(7)数据库中有些数据是敏感数据,需要防范由非敏感数据推导出敏感数据的推理攻击。
二、数据库的安全保护机制及安全性控制方法:
1、安全保护机制
(1)安全的操作系统:
一个安全的操作系统至少提供如下功能:
①能够防止对数据库管理系统和用户程序的非法修改;
②能够保护存储器中的数据不被非法修改;
③能够保护数据库,不让除数据库管理系统外的其他程序修改;
④能认证数据库的合法用户,当非法用户进入时能及时报警;
⑤能正确地实现通常的输入/输出(I/O)操作;
⑥安全通信,即用户通过网络访问数据库时,操作系统能够提供安全的通信功能。
(2)安全的数据库管理系统(DBMS)
可供运行的安全的DBMS应做到:
①保证数据具备抗攻击性,能够抵御物理破坏(如突然断电或其他灾害等);
②进行用户识别和访问控制,即能进行用户身份的识别和验证,限制用户只能访问他所授权的数据,对不同的用户限制在不同的状态下进行访问。
③保证合法用户能顺利地访问数据库中授权的数据和一般的数据,不会出现拒绝服务的情况,并能进行安全的通信。
数据库安全管理过程(P180图5—2)
2、数据库安全性控制的一般方法:
● 数据库的安全技术主要有三种:口令保护、数据加密、存取控制。
(1)口令保护:
口令设置是信息系统的第一道屏障。
“零知识证明”(简称零式方式)口令管理方式能在最大程度上确保使用者是合法用户。零式方式的关键是必须有一个绝对可靠的数据库系统安全管理员,当一个用户需进入系统时,安全员对他的身份进行验证。具体工作步骤如下:
①用户取一个随机数,并将它与其所持的密钥一并处理,将结果传送给数据库安全管理员。
②数据库安全管理员取一随机数,并将该随机数传送给用户。
③用户将接收到的随机数同自己的密钥一并处理,并将结果再一次传送给数据库安全管理员。
④数据库安全管理员检查这个回答是否正确。若正确,则对其真实身份的怀疑就减少了一半;如果不正确,则停止用户的进一步活动。
以上四个步骤可连续重复几十次。如果每次回答均正确,则数据库安全管理员对用户身份的怀疑可减少到零。这时,该用户便被确认为事法用户。
(2)数据加密。
是信息系统安全中最重要的技术措施之一,具有广泛的用途。
(3)存取控制。
存取控制通常采用以下两种措施:
①识别与验证访问系统的用户。
②决定用户访问权限。
用户可分为几种类型并授以不同的权限:
特殊用户:即系统管理员,具有最高级别的特权,可对系统任何资源进行访问,并且有所有类型的访问、操作能力。
一般用户:系统的一般用户,其访问操作要受到一定的限制,通常需要由系统管理员来为其分配访问操作权限。
审计用户:负责整个系统范围的安全控制与资源使用情况的审计。
作废用户:被拒绝访问系统的用户,可能是非法用户。
三、数据加密技术
数据加密:就是按确定的加密交换方法(即加密算法)对需要保护的数据(明文)作处理,使其成为难以识读的数据(密文)。
数据解密:数据加密的逆过程,即由密文按对应的解密变换方法(解密)恢复出明文的过程称为数据解密。
通常加密和解密算法的操作都是在一组密钥的控制下进行的,分别称为加密密钥和解密密钥。
密钥是加密体系的核心,其形式可以是量组数字、符号、图形或代表它们的任何形式的电信号。密钥的产生和变化规律必须严格保密。
● 数据加密是用加密算法 E 和加密密钥 Ke,将明文 X 变换成不易识读的密文 Y .记为:Y=Eke(X)
● 数据解密是用解密算法 D和解密密钥 Ka,将密文 Y变换成原来易于识读的明文X.记为:X=Dka(Y)
在信息系统中,对某信息除意定的授权接收者外,还有非授权者,他们通过各种办法来窃取信息,称其为截取者。
数据加密模型
2、数据加密的两种体制:
根据加密密钥Ke和解密密钥Kd 是否相同,数据加密技术在体制上分为两大类:单密钥体制和双密钥体制。
(1)单密钥体制:
又叫做常规密钥密码体制,其加密密钥和解密密钥是相同的。
系统的保密性主要取决于密钥的安全性,必须通过安全可靠的途径将密钥送至收端。
●单密钥体制设计和实现
(P183—P184自己总结,必须理解掌握其单密钥的基本原理)
对明文加密的方式有两种:一种是将明文信息按字符逐位地加密,称之为序列密码;另一种是将明文信息划分为固定长度的数据组(含多个字符),逐组地进行加密,称之为分组密码。
单密钥体制中加密和解密的密钥是相同的,因此密钥必须保密。
(2)双密钥体制
双密钥体制又叫公开密钥体制,它最主要的特点就是加密和解密使用不同的密钥。
采用双密钥体制的每个用户都有一对选定的密钥,其中加密密钥(即公开密钥)PK是公开信息,并可以像电话号码一样进行注册公布。而解密密钥(即秘密密钥)SK是需要保密的。
加密算法E和解密算法D彼此完全不同。根据已选定的E和D,即使已知E的完整描述,也不能推导出D.这组加密技术带来了新的变革。
双密钥算法需有如下几个条件:
①用加密算法E、加密密钥PK对明文X加密后,再由解密算法D、解密密钥SK解密,即可恢复出明文,可写成:Dsk(EPK(X))=X .
②从公开密钥PK实际上是不可能推导出秘密密钥SK的。
③用已选定的明文进行分析,不能破译加密算法E.
●双密钥体制的原理自己看书,必须掌握(P185)
双密体制的主要缺点是速度问题。常用的单密钥加密算法显著地快于任何可用的双密钥的加密算法。
●对加密技术而言,最好的解决办法是将双密钥体制和单密钥体制结合起来,以得到两者的优点,即安全性和速度。
3、数据加密技术的安全性:
主要表现在以下两个方面:
(1)加密、解密算法的设计。
(2)密钥的管理。
密钥是影响系统安全的关键因素,密钥的管理包括密钥的产生、选择、存储、分配、变换、改变、销毁等多方面问题。信息系统的安全性取决于密钥的管理。