数据库的安全控制方法
作者:刘臣宇李泽
来源:《沿海企业与科技》2007年第06期
[摘要]文章介绍数据库的安全存取模式以及数据库的授权规则,并举例说明对数据进行加密及解密的两种方法。
这对实现数据库的安全和保护数据库将起到重要的作用。
[关键词]数据库;安全控制;加密方法
[作者简介]刘臣宇,海军航空工程学院青岛分院5系航材管理教研室,山东青岛,266041;李泽,海军航空工程学院青岛分院,山东青岛,266041
[中图分类号]G250.74
[文献标识码]A
[文章编号]1007—7723(2007)06—0021—0003
随着计算机网络数据库的迅速发展,数据库的安全问题越来越受到重视。
数据库的安全性是指保护数据库,防止不合法的使用,以免数据的泄露、非法更改和破坏。
这里有社会伦理道德问题,有机房的安全问题,有使用口令保密问题,有硬件控制(存储保护键和特权操作)方面的问题,有操作系统的安全性,还有数据库系统本身的一些问题。
从数据库角度而言,安全性分成系统安全性和自然环境安全性两类。
为实现系统安全性所采取的措施有用户标识和鉴定、授权规则、数据分级和数据加密等措施。
本文将探讨数据库的安全控制问题。
在计算机系统中,安全措施是一级一级层层设置的。
安全控制模型如图1。
1.用户标识和鉴定
数据库系统是不允许一个未经授权的用户对数据库进行操作的。
用户访问数据库之前,必须先标识自己的名字或身份,由系统核实,通过鉴定后才提供机器使用权。
用户标识一般包括用户名和口令两部分。
系统有一张用户口令表,为每个用户保持一个记录,包括用户名和口令两部分数据。
用户先输入用户名(标识符),然后系统要求用户输入口令。
为了保密,用户在终端上输入的口令不显示在屏幕上。
系统核对口令以鉴别用户身份。
这个方法简单易行,但用户名和口令容易被人窃取。
如果用户名和口令放在机器可读的卡片或证件中,就不容易泄露了。
有时为了进一步鉴别用户的身份,可对用户作进一步的考察。
例如,由系统给出一个随机数x,然后用户根据一个转换T把x转换成Y(即Y=T(x)),再把Y值输入系统。
同时系统也根据相同的转换计算出Y值,与用户输入的Y值比较是否相等。
其他人即使看到x值和Y值,但几乎不可能猜出转换公式T是什么样子。
例如:
T(X)=(x的第1、第3、第5个……数字之和)+(当天钟点数)
这个转换很简单,但一般人是预料不到的。
用的标识和鉴定可能要重复多次。
2.授权规则和授权矩阵
为了实现数据库的安全性,首先必须允许用一种语言表达授权规则。
例如SQL语言中的GRANT(许可)语句就是完成这个功能的。
例如:
GRANT SELECT ON S TO WANG
表示用户WANG被授权允许对关系s执行选择操作。
系统有一张用户登记表,记载了授权情况。
像完整性规则一样,授权规则也要被编译,然后存放在系统字典中。
一旦规则进入系统,就要被执行。
授权规则的编译器和相应的执行机制一起为“安全性子系统”。
又用户登记表可以看成一个矩阵(称为“授权矩阵”)的形式,其中行表示用户,列表示数据对象。
设矩阵为A,那么A[i,j]表示用户i对数据对象j的授权规则集。
对于授权矩阵,要注意两个尺度。
一个尺度是在授权矩阵中对应于列的目标数据的级别,例如有些系统只能在关系级上授权,有些系统则允许在个别字段上授权(大多数现有系统一般支持字段级控制)。
另一个尺度是矩阵中允许的登记项的范围。
表1只是说明了一些“值独立”的控制,因为这里的授权只提到数据名(关系、记录或字段的名字),而未提到具体的值。
系统不必访问具体的数据本身,就可执行这种控制。
这种控制称为“独立于值的控制”。
还有一种控制称为“依赖于值的控制”,它是把上面矩阵中的内容扩充为再包括一个存取谓词。
例如允许用户Ll执行下列操作:
SELECT* FROM SC WHEREGRADE>=60
表示允许用户L1查看关系SC中成绩及格的学生成绩。
在授权矩阵中可以像表2那样表示。
第三种控制称为“依赖于上下文的控制”,在登记项中除了通常的SELECT、INSERT等运算和存取谓词以外,还可以允许谓词中包括对系统变量的引用。
例如只允许每个学生在关系SC中查询本人的成绩,而学生的用户名恰好是学生姓名,那么存取谓词可以这样表达:
SELECT* FROM SC WHERE S#=user(SELECTS# FROMS WHERE SNAME=user)
这里user表示系统变量(保存在用户登记表中),代表想进行存取的用户。
第四种控制是对程序的存取。
在矩阵中增加一些“列”,表示程序。
这样组成的A[i,j]项指出用户i对存取数据库的程序j的调用是RUN(可以调用)或NONE(不允许调用)。
如果把程序也当作数据对象,就同其他任何数据对象一样,也可以处理对修改程序的授权。
另外,对于授权矩阵,是否允许用户访问和更新,也可以像对程序的存取那样类似处理。
3.数据加密法
为了更好地保证数据的安全性,用密码存储口令、数据,对远程终端信息用密码传输防止中途非法截获等。
我们把原始数据称为源文,用加密算法对源文进行加密。
加密算法的输入是源文和加密键,输出是密码文。
加密算法可以公开,但加密键一定是要保密的。
密码文对于不知道加密键的人来说是不易解密的。
例1源文是CHEMIST AND PHYSICIST,加密键是LIGHT。
具体加密算法可以这样实现:
第1步:把源文分成等长的块,每块的长度和加密键的长度一样(空格用符号b表示,为简化,这里只处理大写英文字母和空格):
0308051309 1920000114 0400160825 1909030919 2000000000
CHEMI STbAN DbPHY SICIS Tbbbb
第2步:对源文的每个字符用O~26中一个整数替换'b=00,A=01,…,Z=26
第3步:对加密键UGHT也作同样替换:
1209070820
第4步:对每块源文,将其每个字符的整数码阳加密键相应字符的整数码以27为模相加如下:
0308051309 1920000114 0400160825 1909030919 2000000000
1209070820 1209070820 1209070820 1209070820 1209070820
1517122102 0402070907 1609231618 0418101712 0509070820
第5步:再用相应字符代替第4步中的整数码,得到密码文:
OQLUB DBGIG PIWPR DRJQL EIGHT
有了加密键后,把密码文译成源文(称为“解密”)也是方便的。
这种数据加密方法称为“替换方法”。
但是,数据加密也不是绝对安全的,使用普通的高效率计算机,有可能在几个小时内解密。
最近又提出一种明键加密法,可以随意使用加密算法和加密键,但相应的解密键是保密的。
因此明键法有两个键:一个用于加密,一个用于解密。
而且解密键不能从加密键推出。
即使有人能进行数据加密,如果不授权他做解密工作,他也几乎不可能解密。
明键加密法具体步骤如下:
(1)任意选择两个100位左右的质数p、q,计算r=p*q;
(2)任意选择一个整数e,而e与(p-1)*(q-1)是互质的,把e作为加密键(一般,比p、q大的质数就可选作为el;
(3)求解密键d,使得(d*e)mod(p-1)*(q-1)=1;
(4)r、e可以公开,但d是保密的;
(5)对源文p进行加密,得到密码文c,计算公式是c=pemod r;
(6)对密码文进行解密,得到源文p,计其公式是p=cdmod r。
由于只公开r、e,而求r的质因子几乎是不可能的,因此从r、e求d也几乎是不可能的。
这样d就可以保密,只有用户知道d后,才能对密码文进行解密。
这个方法基于下列事实提出的:已经存在一个快速算法,能测试一个大数是不是质数;还不存在一个快速算法,去求一个大数的质因子。
有人曾计算过,测试一个130位的整数是否是质数,计算机约需7分钟时间,但在同样机器上,求两个63位质数的乘积的质因子约要花4.0×1015年时间!
例2设p=3,q=5(为举例,p、q选得很小),那么r=15,(p-1)*(q-1)=8。
设e=11;从
(d*11)mod 8=1求得d=3
如果源文p是整数13,那么它的密码文C可从下式获得:c=p e mod r=1311
rood15=1792160394037mod15=7。
从密码文求源文P:
p=c d mod r=73mod15=343mod5=13。
