北京快三开奖

  • <tr id="U9YkSO"><strong id="U9YkSO"></strong><small id="U9YkSO"></small><button id="U9YkSO"></button><li id="U9YkSO"><noscript id="U9YkSO"><big id="U9YkSO"></big><dt id="U9YkSO"></dt></noscript></li></tr><ol id="U9YkSO"><option id="U9YkSO"><table id="U9YkSO"><blockquote id="U9YkSO"><tbody id="U9YkSO"></tbody></blockquote></table></option></ol><u id="U9YkSO"></u><kbd id="U9YkSO"><kbd id="U9YkSO"></kbd></kbd>

    <code id="U9YkSO"><strong id="U9YkSO"></strong></code>

    <fieldset id="U9YkSO"></fieldset>
          <span id="U9YkSO"></span>

              <ins id="U9YkSO"></ins>
              <acronym id="U9YkSO"><em id="U9YkSO"></em><td id="U9YkSO"><div id="U9YkSO"></div></td></acronym><address id="U9YkSO"><big id="U9YkSO"><big id="U9YkSO"></big><legend id="U9YkSO"></legend></big></address>

              <i id="U9YkSO"><div id="U9YkSO"><ins id="U9YkSO"></ins></div></i>
              <i id="U9YkSO"></i>
            1. <dl id="U9YkSO"></dl>
              1. <blockquote id="U9YkSO"><q id="U9YkSO"><noscript id="U9YkSO"></noscript><dt id="U9YkSO"></dt></q></blockquote><noframes id="U9YkSO"><i id="U9YkSO"></i>
                企业空间 推销商城 存储论坛
                北京快三开奖全闪存阵列 IBM云盘算 Acronis 安克诺斯 安腾普 腾保数据
                首页 > 信息平安 > 数据库平安 > 注释

                种种数据库加密技能总结

                2017-07-06 21:07泉源:IT技能网
                导读:加密技能每每因此捐躯零碎功能为价钱的,假如对数据库中的数据接纳加密的办法来完成拜访控制的功用,那么拥有密钥的用户在拜访加密数据时,需求解密,这个操纵价钱每每比拟大,极大地影响零碎的功能。

                种种数据库加密技能总结

                一个好的数据库加密零碎应该在维护数据平安的根底上,尽能够进步任务服从,在任务服从和平安性之间获得一个均衡。总体来说应该满意以下要求:

                1.      加解密速率要求充足快,如许增加影响数据操纵呼应工夫。

                2.      加密强度充足大,包管大局部数据永劫间不被破译。但是在实践使用中加密算法纷歧定在实际上无法破解,但在实践使用中应能包管破解密文的价钱大于取得此中数据的意义。

                3.      对数据库的正当用户来说加解密操纵是通明的,它不会影响用户的公道操纵。换句话说,若某用户在明文数据库零碎中可以停止更新、添加、删除数据、那么在密文数据库中也可以用相反的办法添加、更新和删除数据,用户不必关怀数据怎样完成加解密。

                4.      加密后的数据库,存储量不克不及有较大水平添加。

                5.      密钥办理方案灵敏、高效,密钥平安存储,运用方便牢靠。众所周知,加密算法自身并不失密,以是要确保加密数据的平安性通常取决于密钥的平安性。

                数据库加密应该思索的题目:

                1、加密不克不及替代拜访控制

                (1)加密技能每每因此捐躯零碎功能为价钱的,假如对数据库中的数据接纳加密的办法来完成拜访控制的功用,那么拥有密钥的用户在拜访加密数据时,需求解密,这个操纵价钱每每比拟大,极大地影响零碎的功能。

                (2)加密技能并纷歧定比拜访控制更平安。加密技能和拜访控制是维护数据库平安的两种差别办法,并不存在哪一种办法更平安的题目。普通来说,加密技能的平安水平取决于加密算法的强度。密钥的长度和密钥办理方案的优劣。加密算法越强,密钥位数越长!密钥办理方案好,如许的加密技能就越平安,抗打击才能就越强。就我们所知,现在不存在一种相对平安的加密技能。拜访控制技能是一种十分无效的平安步伐,它有一些成熟的平安实际模子作为其实际根底,但是,这并不料味有了拜访控制技能,平安题目就失掉处理。合法的打击者可以经过绕过拜访控制机制入侵到DBMs,对数据库中的数据停止毁坏。

                (3)加密技能不克不及提供灵敏的平安控制战略。拜访控制可以灵敏地完成对数据库中种种粒度的工具(包罗表,记载,字段值等)停止受权(包罗select,insert,update,delete等)。假如接纳加密办法,则不行能完成。比方,对某一字段停止加密后,一旦用户拥有解密密钥,那么他可以对该字段停止任何操纵。

                2、区分数据库中静态数据加密和静态数据加密

                静态数据加密:当数据颠末种种网络,从数据库效劳器流入客户端,或许从客户端流入数据库效劳器,对传输进程的数据加密称为静态数据加密,这种办法己经被普遍地研讨,在实践使用中也相称成熟。

                静态数据加密:对存储在数据库效劳器中的数据停止加密,也称为存储数据加密,研讨绝对较少。

                3、加密算法的选择

                通常来说,加密算法有对称算法和非对称算法。

                4、加密条理的选择

                (1)操纵零碎层。

                数据库零碎包罗数据库和与之相干的使用顺序,它运转在盘算机操纵零碎之上,集硬件、软件于一体的零碎。从操纵零碎层看来,数据库是存储在操纵零碎上的文件,以是对数据库的加密可以经过对操纵零碎中的数据库文件加密来完成。操纵零碎中的数据库文件是不克不及联系的,以是对从操纵零碎层加密容易完成。但是在操纵零碎层加密,数据库文件无法辨认,密钥无法依据需求公道发生和办理,或许整个数据库文件运用一个密钥,如许密钥丧失数据库的平安要挟就会很大。在操纵零碎层加密另有一个严峻题目便是零碎服从十分低下,每次数据库盘问、拔出、删除记载都需求对整个数据库文件加解密,价钱大,服从低下。频仍的接纳统一或多数密钥对数据库加解密,还会使密钥表露的能够性大大增大。这种办法不行取,关于大型数据库的使用来说,很少在操纵零碎层加密。

                (2)DBMS内核层

                    在DBMS内核层完成加密,通常指的是经过修正DBMS内核,在数据库外部创立加解密的下令语句,数据在颠末操纵零碎的存取之前完成加解密。这种加密方法对用户来说是通明的,用户不用去理解数据库办理零碎是怎样完成加解密操纵,用户就像操纵正常的SQL下令语句一样,并且集成加密功用为数据库办理零碎的功用,完成加解密功用和数据库办理功用的联合。DBMS内核层加密的缺陷也许多:

                1)  在内核层完成加密,需求创立一些DMBS内核加解密原语,另有对应的数据

                库加解密的数据库界说语句、带有加解密完成的数据库利用语句[14]。

                2)  数据库办理零碎颠末永劫间的使用及开展,曾经构成了较为齐备的构造体系,对数据库办理零碎的修正是一项浩荡的工程,其外部模块之间的分派干系很庞大,需求失掉数据库厂商的鼎力支持,但是厂商思索数据库办理零碎现有的少量用户,修正构造每每会影响零碎的波动性,关于惹起危害的能够性,每每不盼望修正其原有的构造。

                3)  使用用户只能范围于由数据库办理零碎提供的加密算法,缺乏灵敏性。

                4) 在DBMS内核层完成加密的操纵零碎,其密钥库通常也存在于DBMS零碎文件中,密钥的平安和数据库的平安都依托于数据库的身份辨认和辨别机制,零碎的平安性差,加密零碎的劣势低落。

                (3)DBMS外层加密

                DBMS外层加密只是在数据库零碎外层做一个加密使用软件,在数据库存入数据库之前对数据加密,取出数据库之行进行解密,DBMS间接办理的是密文数据。所示,经过加密要求界说东西对数据库中曾经建好的数据表界说加密粒度、加密算法等要求。数据库加密零碎依据加密界说获取数据与加密参数,然后挪用加解密引擎模块主动完成加解密,加密后果交给DBMS,解密后果前往给数据库使用零碎。接纳DBMS外层加密时,加解密进程由数据库加密零碎完成,DBMS间接办理的是密文或许包括明文密文的数据表。如许数裾库加密零碎的加解密功用模块就可以灵敏部署,可以摆设在客户端,也可以摆设在效劳器上或许效劳器局域网的其他主机上。密钥办理也灵敏方便,密钥可以和加密数据离开保管,如效劳器端其他主机上,加强平安性。

                值得留意的是假如将加解密功用在客户端完成,可以无效低落数据库效劳器真个义务,但是这要触及到密文在网络上的传输,明文数据颠末加密当前的密文所占空间每每较大,又碰面临网络传输困难,添加网络担负。加密当前密文数据库的功用会遭到一些限定,数据库的完好性和分歧性遭到毁坏,关于密文数据库无法像明文一样比拟,以是无法树立索引。本文的数据库加密零碎接纳DBMS外层加密,并在库外结构一个数值范例的密文索引,完成加密零碎与数据库的无机联合。

                5、加密粒度的选择

                (1)数据库级

                数据库级加密便是将每个数据库作为加密零碎的输出。关于数据库级,数据库办理零碎与操纵零碎的文件零碎交流的是数据库的物理块号,以是对数据库的加密就像对操纵零碎的文件加密一样,读取数据库地点块号加密,数据库外部的零碎信息表、用户数据表、树立的索引都被作为数据库文件的一局部。对数据库加密容易完成,密钥办理也很复杂,一个数据库只需求一个密钥。关于数据库来说最常用的操纵便是査询,每次频仍的盘问需求将整个数据库解密,包罗零碎信息表,许多与检索目的有关的数据表都要被解密,査询服从十分低下,会形成零碎资源极大糜费,关于挪动存储设置装备摆设的秘密数据加密比拟合适这种方法。

                (2)表级

                表级加密实在与数据库级加密相似,将数据表作为文件加密,对表信息的读取通常接纳对存储数据表的物理地点的读取,DBMS并不支持这个功用,修正DBMS内核任务量大,也会惹起其他危害题目,并且需求DBMS厂商的支持。

                表级加密绝对于数据库加密有其本人的劣势:灵敏度进步,可以选择有加密要求的数据表加密,其他表可以依照数据库的正常表来办理与盘问,进而零碎的资源能较大的节流,肯定水平上进步零碎的功能。但是加密数据表中还能够包括一些不需求加密的字段,比方用户根本信息表中,一样平常需求对用户的手机号码和身份账号加密,而姓名、性别、年事等加密的意义能够不大。

                (3)记载级

                记载级加密是把数据表中的一条完好记载作为加密工具,加密后对应输入的是各个字段的密笔墨符串。数据库中的每条记载包括的信息有肯定的封锁性,普通一条记载包括的信息是一个实体的完好记载,记载级加密是较常用的一种加密粒度,与表级相比具有更高的灵敏性、能取得更好的盘问功能。加密时一条记载对应一个密钥,但是解密进程也是需求对整条记载解密,特殊是对单个字段的盘问,服从更低,为了査询字段值,需求将每条记载都解密,任务量大。

                (4)字段级

                字段级加密因此数据表中的字段为工具,每次读取字段地点列的一个属性值加密。这种加密方法灵敏度较记载级更高,通常这种加密方法也十分合适数据库频仍的盘问操纵,数据库的盘问条件通常都是记载中的某个字段值,在査询进程中,对盘问条件的字段值解密当前就可以像明文数据一样检索输入后果语句,解密进程也不包括非盘问条件的字段值,服从很高,零碎功能影响也很小。字段级加密也有本人的缺陷,便是字段接纳统一密钥加密,而数据库字段中每每存在少量的反复属性值,关于统一值的加密后果是一样的,少量反复密文对数据库的加密强度是一个削弱,打击者有能够经过比照明文打击获取密文信息。

                (5)数据项级

                数据项是指数据库中记载的每个字段,是数据库中的最小粒度。数据项级具有最高的灵敏度,也具有最高的平安强度;每个数据项都接纳差别的密钥加密,即便记载相反,加密后果也不相反,数据库的平安强度增强,无效进步了抗打击才能,处理了字段级加密的题目。由于数据项级加密需求少量的密钥,在密钥的办理运用、活期更新方面是一项很庞大的工程,数据库的平安在于加密算法的平安,而加密算法是地下的,整个加密数据的平安就依赖于密钥的平安维护。假如基于数据项级加密的少量密钥得不到平安的贮存,零碎平安就会遭到要挟;假如密钥的获取进程庞大,又会影响零碎的全体功能。以是需求妥善处置密钥办理题目。

                数据库加密的次要办法:

                1、机密同态技能。

                寻觅一种既包管数据库平安性,又包管运用(如:盘问,拔出,删除) 的方便性的加密办法不断是数据库加密的次要研讨偏向。为了进步密文数据库的盘问服从,Rivest 等人提出机密同态的观点。

                界说1 (机密同态)  假定Ek1 和Dk2 辨别代表加密、解密函数, 明文数据空间中的元素是无限聚集{ M1 , ?, Mn} ,α 和β 代表运算, 若α( Ek1 ( M1), ?,Ek1 ( Mn) ) = Ek1 (β( M1 , ?, Mn) ) 建立, 则称函数族( Ek1 ,Dk2 ,α,β) 为一个机密同态。

                机密同态技能可以对数据间接在密文的情况下停止操纵,从而无效进步对密文数据库的盘问速率。但是该办法对已知明文打击存在肯定平安隐患,以是Domingo 等人对其停止了改良。尔后国际外也有许多基于机密同态技能的研讨。机密同态技能可以对未经解密的密文数据停止盘问,大大进步了密文数据库的盘问服从。但是,由于该办法对加密算法提出了肯定的束缚条件,使得满意密文同态的加密算法的使用不具有广泛性。

                2、密文索引技能。

                进步密文数据库盘问服从的另一种次要办法是密文索引技能。假定属性A 是用户的盘问属性,为A 树立索引A’,A 是对用户失密的,用户只能看到其索引A’,如许既包管了用户盘问的方便性又包管了敏感数据的平安性。关于加密粒度为字段级和记载级的加密办法比拟合适于树立索引,而关于加密粒度为属性列的加密算法,由于算法因此属性列为最小加密单位的,即便为属性列树立索引在检索时也需求对整个属性列停止解密,以是并不合适于树立密文索引机制。

                现在有很多关于密文索引的办法。

                一种基于哈希算法的疏散密文索引技能,假定对手只拥有密文数据及其对应的索引,由于索引中的数据地点因此密文方式寄存的,找不出密文与索引的对应干系,该办法能对立对手的静态剖析,但是关于静态跟踪技能存在肯定的平安隐患。

                一种可以防备外部打击的基于元组的索引办法,但是对每一个索引的盘问都市前往一切相婚配的元组,低落了盘问服从。别的另有次序索引技能、数组索引技能和矩阵索引技能等也都针对差别题目被先后提出。关于大型数据库树立索引,由于数据量较大,树立的索引不克不及完全寄存于主存之中,现在大多接纳B + 树的办法将索引存于外存之中,当使用时再将局部索引调入主存。接纳B + 树存贮存在肯定缺陷,由于数据库需求停止少量的存储和删除操纵,随着节点的增删,势必会惹起B + 树的不屈衡,从而影响盘问服从。以是,关于小型数据库有研讨提出以矩阵的方式寄存索引表,并将索引表一次性存入主存之中,以进步盘问服从。

                现在,大少数的密文索引技能都是针关于内部打击的,固然也有一些针关于外部打击的密文索引技能,但是在平安性和易用性上还存在肯定题目。

                3、子密钥加密办法。

                传统的基于记载的数据库加密的办法存在一个题目,由于数据因此记载为单元停止加密的,以是在盘问时需求对整个字段停止解密(或对需盘问的明文停止加密) 当前再停止盘问,这就必定添加了盘问开支。为理解决基于记载的数据库加密技能存在的题目, G. I.David 等人提出了子密钥数据库加密技能。

                Hwang M - S 等人提出接纳多级子密钥的平安模子以进步子密钥零碎的灵敏性和平安性。子密钥加密算法的中心头脑是依据数据(特殊是干系型数据库) 中数据构造的特点,在加密时以记载为单元停止加密操纵。而在解密时以字段为单元停止解密操纵,零碎中存在两种密钥,一种是对记载加密的加密密钥,另一种是对字段停止解密的解密密钥。子密钥加密办法,从肯定水平上处理了针对记载加密办法的缺陷。但是,由于零碎要保管两种密钥,这就添加了密钥办理的庞大性。这一点也是子密钥加密所急需处理的题目。

                持续阅读
                要害词 :
                数据库加密技能
                中国存储网声明:此文观念不代表本站态度,若有版权疑问请联络我们。
                相干阅读
                产物引荐
                头条阅读
                栏目热门

                Copyright @ 2006-2019 ChinaStor.COM 版权一切 京ICP备14047533号

                中国存储网

                存储第一站,存储流派,存储在线交换平台