數(shù)據(jù)庫加密系統(tǒng)技術(shù)白皮書

1、數(shù)據(jù)庫加密存取及強權(quán)限控制系統(tǒng)技術(shù)白皮書oracle 版目 錄1.產(chǎn)品背景12.解決的問題33.系統(tǒng)結(jié)構(gòu)64.部署方案75.功能與特點96.支持特性107.性能測試數(shù)據(jù)111. 產(chǎn)品背景隨著計算機技術(shù)的飛速發(fā)展，數(shù)據(jù)庫的應(yīng)用十分廣泛，深入到各個領(lǐng)域。數(shù)據(jù)庫系統(tǒng)作為信息的聚集體，是計算機信息系統(tǒng)的核心部件，其安全性至關(guān)重要。小則關(guān)系到企業(yè)興衰、大則關(guān)系到國家安全。在重要單位或者大型企業(yè)中，涉及大量的敏感信息。比如行政涉密文件，領(lǐng)導(dǎo)批示、公文、視頻和圖片，或者企業(yè)的商業(yè)機密、設(shè)計圖紙等。為了保障這些敏感電子文件的安全，各單位廣泛的實施了安全防護措施，包括：機房安全、物理隔離、防火墻、入侵檢測、加密

2、傳輸、身份認證等等。但是數(shù)據(jù)庫的安全問題卻一直讓管理員束手無策。原因是目前市場上缺乏有效的數(shù)據(jù)庫安全增強產(chǎn)品。數(shù)據(jù)庫及其應(yīng)用系統(tǒng)普遍存在一些安全隱患。其中比較嚴峻的幾個方面表現(xiàn)在：（ 1）由于國外對高技術(shù)出口和安全產(chǎn)品出口的法律限制，國內(nèi)市場上只能購買到 c2安全級別的數(shù)據(jù)庫安全系統(tǒng)。 該類系統(tǒng)只有最基本的安全防護能力。并且采用自主訪問控制（ dac）模式， dba角色能擁有至高的權(quán)限，權(quán)限可以不受限制的傳播。這就使得獲取 dba角色的權(quán)限成為攻擊者的目標(biāo)。而一旦攻擊者獲得 dba角色的權(quán)限，數(shù)據(jù)庫將對其徹底暴露 , 毫無任何安全性可言。（ 2）由于 dba擁有至高無上的權(quán)利，其可以在不被人察

3、覺的情況下查看和修改任何數(shù)據(jù)（包括敏感數(shù)據(jù)）。因此 dba掌控著數(shù)據(jù)庫中數(shù)據(jù)安全命脈， dba的任何操作、行為無法在技術(shù)上實施監(jiān)管。而 dba往往只是數(shù)據(jù)的技術(shù)上的維護者，甚至可能是數(shù)據(jù)庫廠商的服務(wù)人員，并沒有對敏感數(shù)據(jù)的查看和控制權(quán)?，F(xiàn)階段并沒有很好的技術(shù)手段來約束dba對數(shù)據(jù)的訪問權(quán)限，因此存在巨大安全隱患，特別是在 dba權(quán)限被非法獲取的情況下，更是無法保證數(shù)據(jù)的安全。（ 3）由于 c2級的商業(yè)數(shù)據(jù)庫對用戶的訪問權(quán)限的限制是在表級別的。一旦用戶擁有了一個表的訪問權(quán)限，那么表中的任何數(shù)據(jù)都具有訪問權(quán)限。但是一個表中可能存在敏感和非敏感字段。對于敏感數(shù)據(jù)，只有特定權(quán)限的人才能訪問。此時數(shù)，據(jù)

4、庫自身的安全控制就顯得力不從心。（ 4）數(shù)據(jù)庫系統(tǒng)是一個復(fù)雜的系統(tǒng)，根據(jù)已經(jīng)公布的資料，數(shù)據(jù)庫存在許多風(fēng)險，其中不少是致命的缺陷和漏洞。舉例來說，全球公認安全性出眾的數(shù)據(jù)庫產(chǎn)品在 2006 年 1 月發(fā)布了其季度安全補丁包中就修補了多個產(chǎn)品中的 80 多個漏洞。其中不少漏洞可以非常容易地被黑客利用。一旦遭到攻擊，攻擊者可能以 dba的身份進入數(shù)據(jù)庫系統(tǒng)，也可能進入操作系統(tǒng)，下載整個數(shù)據(jù)庫文件。從上面分析可以看出，僅靠邊界安全防護 ( 防火墻、防病毒、入侵檢測、漏洞掃描 ) 是不可能解決數(shù)據(jù)庫相關(guān)的所有的安全問題。尤其不能解決數(shù)據(jù)庫內(nèi)部敏感數(shù)據(jù)的安全問題。公安部、國家保密局、國家密碼管理局和國務(wù)

5、院信息化工作辦公室等部委于 2006年出臺了相關(guān)規(guī)定，要求信息系統(tǒng)，尤其是重要部門的信息系統(tǒng)要充分運用密碼技術(shù)對信息系統(tǒng)進行保護。對于采用密碼對涉及國家秘密的信息和信息系統(tǒng)進行保護的，密碼的設(shè)計、實施、使用、運行維護和日常管理等，應(yīng)該按照國家秘密管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行；對于采用密碼對不涉及國家秘密的信息和信息系統(tǒng)進行保護的，應(yīng)該遵照商用密碼管理條例 和密碼分類分級保護有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)。另外，國家出臺了相關(guān)規(guī)定，要求重要部門的信息系統(tǒng)對數(shù)據(jù)資產(chǎn)實行等級保護。對于信息系統(tǒng)中的信息資產(chǎn)，應(yīng)該根據(jù)其敏感程度，指定不同的安全等級，實施不同的安全保護策略。為增強數(shù)據(jù)庫系統(tǒng)的安全，滿足數(shù)字資產(chǎn)等級化的

6、安全防護要求，有選擇性的保護數(shù)據(jù)庫內(nèi)部敏感數(shù)據(jù)的安全性，本產(chǎn)品通過在數(shù)據(jù)庫管理系統(tǒng)的內(nèi)核中嵌入自主研發(fā)的安全防護系統(tǒng)，通過字段級別的訪問控制來達到對敏感數(shù)據(jù)的防護目的。敏感數(shù)據(jù)以亂碼的形式存在，通過數(shù)字簽名實現(xiàn)強訪問控制，非授權(quán)用戶（包含 dba）查看到的數(shù)據(jù)為空，而授權(quán)用戶的使用則不受任何限制。 并且本產(chǎn)品對于應(yīng)用系統(tǒng)來說是完全透明的，不需要基于數(shù)據(jù)庫的應(yīng)用系統(tǒng)做任何改動。2. 解決的問題本產(chǎn)品基于自主技術(shù)，重點解決如下3個方面的問題：（ 1）敏感數(shù)據(jù)的亂碼存儲在沒有進行安全性加強的商業(yè)數(shù)據(jù)庫系統(tǒng)中，敏感數(shù)據(jù)的存儲和備份是以明文形式進行的。很容易從文件系統(tǒng)中得到存儲的內(nèi)容。即使是進口的安全數(shù)

7、據(jù)庫產(chǎn)品，核心技術(shù)被別人掌握，且加密算法受到限制，安全性同樣得不到保障。所以，存儲媒體（如：硬盤、光盤、磁帶等）一旦被盜，或者存儲文件被非法復(fù)制，后果將不堪設(shè)想。針對該隱患，本產(chǎn)品采用加密算法，將敏感數(shù)據(jù)的編碼進行混亂，從而將敏感數(shù)據(jù)進行亂碼存儲。這樣，即使存儲介質(zhì)或存儲文件丟失，由于有加密算法的保護，獲得者也不能得到真正的敏感數(shù)據(jù)。通過這種方法，實現(xiàn)對敏感數(shù)據(jù)資產(chǎn)的分級保護。為保證系統(tǒng)的易用性，本產(chǎn)品支持完全透明的混亂過程。除blob類型的字段外，部署本產(chǎn)品不需要對應(yīng)用系統(tǒng)進行重新編譯。圖 1所示為透明混亂過程的示意圖。授權(quán)用戶攻擊者業(yè)務(wù)服務(wù)器身份認證授權(quán)檢驗混亂解密圖 1透明混亂過程示意圖

8、如圖 1所示，數(shù)據(jù)在存入物理存儲時，敏感字段通過加密變換，以亂碼的方式存儲到物理數(shù)據(jù)庫中。假設(shè)密鑰是安全的且混亂算法強度足夠，則數(shù)據(jù)的存儲也是安全的。在這種情況下，入侵者或者存儲介質(zhì)獲得者只能看到亂碼，而不能得到真實內(nèi)容。在檢索時，首先進行授權(quán)的檢驗，對于授權(quán)用戶，敏感字段的亂碼經(jīng)過解密變換，以明文的方式返回檢索結(jié)果。對于非授權(quán)用戶，則返回亂碼或者空。（ 2）亂碼敏感字段的高效檢索安全性與可用性是矛盾的。采用亂碼存儲以后的一個問題是破壞了原有數(shù)據(jù)的偏序關(guān)系，數(shù)據(jù)庫原來的索引機制因此失效，導(dǎo)致數(shù)據(jù)的檢索性能被顯著的降低。因為此時對敏感字段進行條件檢索時，需要對整個字段進行解密變換， 再進行順序查

9、找。在記錄數(shù)或數(shù)據(jù)量龐大的時候，性能可能降低到不可以被接收的程度。這將是引起數(shù)據(jù)庫安全增強系統(tǒng)應(yīng)用受到阻礙的最大的因素。而對密文建立外部索引的方法，會導(dǎo)致多用戶并發(fā)訪問時的數(shù)據(jù)不同步以及事務(wù)機制的失效。本產(chǎn)品采用自主專利的亂碼索引技術(shù)，在數(shù)據(jù)庫管理系統(tǒng)內(nèi)核建立亂碼索引，將敏感字段的亂碼存儲對數(shù)據(jù)庫訪問性能的損失降到最低。當(dāng)用戶對某一敏感字段進行條件檢索時， dbms首先通過亂碼索引完成范圍查詢，從而避免了全部解密。同時自動支持多用戶并發(fā)訪問時的數(shù)據(jù)同步以及事務(wù)機制。（ 3）增強的授權(quán)管理目前廣泛采用的 c2級商業(yè)關(guān)系數(shù)據(jù)庫產(chǎn)品中存在管理員權(quán)限過大的問題。在某些情況下，會導(dǎo)致敏感信息的泄密。針對

10、該安全隱患，本產(chǎn)品采用高級技術(shù)手段，增設(shè)安全管理員和審計管理員，限制 dba的權(quán)限，使得 dba不能隨意查看被保護的關(guān)鍵數(shù)據(jù)。只有同時經(jīng)過 dba授權(quán)和安全管理員授權(quán)的用戶，才能進行被保護數(shù)據(jù)的存取。同時安全管理員的授權(quán)行為收到審計管理員的監(jiān)督。圖2給出增強的授權(quán)管理機制的示意圖。業(yè)務(wù)系統(tǒng)安全管理員安全服務(wù)數(shù)據(jù)庫管理員分區(qū)加密數(shù)據(jù)審計管理員圖 2增強的授權(quán)管理機制的示意圖如圖 2所示，在本產(chǎn)品中，增設(shè)一個安全管理員和一個審計管理員。安全管理員的增設(shè)可以限制dba的權(quán)限，以此解決 dba可以讀取數(shù)據(jù)庫中包括敏感信息在內(nèi)的所有信息的安全隱患。而審計管理員獨立于安全管理員，實現(xiàn)對安全管理員授權(quán)行為的

11、監(jiān)督。3. 系統(tǒng)結(jié)構(gòu)本產(chǎn)品的系統(tǒng)結(jié)構(gòu)如圖3所示?；跀?shù)據(jù)庫的應(yīng)用軟件系統(tǒng)數(shù)據(jù)庫管理系統(tǒng)磁盤存儲授權(quán)密碼服務(wù)驗證系統(tǒng)管理配置模塊圖 3系統(tǒng)結(jié)構(gòu)圖如上圖所示，本產(chǎn)品內(nèi)嵌于dbms中，作為數(shù)據(jù)庫系統(tǒng)內(nèi)核的一部分，和 dbms運行在同一進程空間，極大的提高了增強系統(tǒng)的安全性和可靠性以及效率，也保證了該系統(tǒng)的良好跨平臺特性。應(yīng)用程序端通過與改造前完全相同的方式連接 dbms，增強系統(tǒng)在dbms內(nèi)部對請求進行授權(quán)檢驗。對于授權(quán)用戶，通過請求密碼服務(wù)對數(shù)據(jù)進行加 / 解密操作。對于非授權(quán)用戶，則直接返回空值，達到保護敏感數(shù)據(jù)的作用。5所示。系統(tǒng)管理配臵模塊用于安全管理員對敏感字段管理，安全操作員進行安全策略

12、的應(yīng)用，以及審計管理員查看審計信息。4. 部署方案單數(shù)據(jù)庫服務(wù)器環(huán)境下，系統(tǒng)的部署方式如圖4所示。數(shù)據(jù)庫服務(wù)器db-sims 服務(wù)器4 u防火墻應(yīng)用服務(wù)器終端 pc管理終端 pc管理終端 pc應(yīng)用服務(wù)器圖 4 系統(tǒng)部署結(jié)構(gòu)圖如圖 4所示，在單機環(huán)境下，系統(tǒng)的部署非常簡單。將db-sims服務(wù)器接入數(shù)據(jù)庫服務(wù)器所在的網(wǎng)絡(luò)中， 安全管理員和操作員僅僅需要通過瀏覽器在遠程通過系統(tǒng)配臵管理模塊即可完成整個系統(tǒng)的安裝和部署。在實際應(yīng)用中，還可以將 db-sims服務(wù)器和數(shù)據(jù)庫服務(wù)器部署于同一個服務(wù)器硬件之上。對于多服務(wù)器環(huán)境，系統(tǒng)的部署方式如圖ms sqloracleibm db2internet應(yīng)用服

13、務(wù)器應(yīng)用服務(wù)器vpnvpn分支機構(gòu)防火墻ms sqloracleibm db24 udb-sims 服務(wù)器管理終端 pcms sqloracleibm db2如上圖所示，對于多個不同的數(shù)據(jù)庫系統(tǒng)，可以統(tǒng)一的進行管理。只需將 db-sims服務(wù)器部署在相應(yīng)的網(wǎng)絡(luò)上，就可以通過管理終端，通過瀏覽器將 db-sims安裝到不同的數(shù)據(jù)庫平臺上。即使是在外網(wǎng)的管理員也可以通過 internet 與內(nèi)網(wǎng)相聯(lián)，并通過管理終端，實現(xiàn)敏感信息的安全管理。db-sims服務(wù)器是網(wǎng)絡(luò)服務(wù)器和db-sims系統(tǒng)的安裝服務(wù)器。管理終端 pc連接到該服務(wù)器上將系統(tǒng)注入到各個數(shù)據(jù)庫中。 針對各個數(shù)據(jù)庫的安全策略存儲于各個數(shù)

14、據(jù)庫中，便于數(shù)據(jù)的統(tǒng)一備份。即使 db-sims服務(wù)器崩潰，也不會導(dǎo)致系統(tǒng)整個數(shù)據(jù)庫的服務(wù)中斷。管理終端可以分布在任意安全管理員或者審計管理員可以操作的計算機上，只要可以與 db-sims服務(wù)器相連，就可以通過瀏覽器進行相應(yīng)管理。5. 功能與特點功能：1) 根據(jù)分級保護原則，對敏感信息進行字段級細粒度的亂碼保存；2) 靈活根據(jù)防護需要設(shè)臵敏感數(shù)據(jù)列的混亂算法；3) 增設(shè)安全管理員，實現(xiàn)對 dba權(quán)限的削弱，實現(xiàn)對敏感數(shù)據(jù)的責(zé)權(quán)一致，數(shù)據(jù)所有者管理數(shù)據(jù)的訪問權(quán)限；4) 增設(shè)審計管理員，對安全管理員的授權(quán)情況進行獨立的審計，保證每一個操作都有記錄可查，實現(xiàn)對安全管理員授權(quán)行為的監(jiān)督；5) 支持多安

15、全管理員，各自擁有安全域。特點：1) 系統(tǒng)直接運行在 dbms進程空間，減少了進程間通信的性能損失，最大程度的提高了系統(tǒng)的安全性和可靠性；2) 采用自主專利的亂碼索引機制保證高效率的密文條件檢索；3) 對敏感信息訪問權(quán)限粒度控制在字段級；4) 提供基于瀏覽器的簡單、友好、易操作的操作界面；5) 對于常規(guī)字段類型，混亂過程對應(yīng)用程序訪問過程完全透明，無需客戶端做任何改動，最小化對其他系統(tǒng)的影響；6) 對于 blob類型的字段，提供實現(xiàn)透明加密的 api；7) 支持多用戶并發(fā)訪問，支持數(shù)據(jù)的同步，支持事務(wù)機制；8) 所有的授權(quán)信息和審計信息都通過 pki 技術(shù)保證記錄的完整性和9)不可抵賴性；良好

16、的跨平臺特性，支持任何平臺上的oracle9i 、10g 數(shù)據(jù)庫。6. 支持特性支持平臺：本產(chǎn)品支持任何已安裝 oracle9i 、10g的平臺，例如：windows 2000, xp, 2003linuxsolaris ，hp-unixaix 等支持的安全算法：支持軟件混亂和硬件混亂支持經(jīng)國家批準(zhǔn)使用的專用密碼算法支持用戶自定制混亂算法支持 md5,sha算法支持全透明混亂字段：numberrawcharvchardate支持通過 api實現(xiàn)透明混亂字段：blobbfileclob7. 性能測試數(shù)據(jù)測試環(huán)境：硬件配臵：內(nèi)存1g，cpu 2ghz操作系統(tǒng)： windows xp, sp2混亂算

17、法： 3des（軟件實現(xiàn)， 128位密鑰）測試表： test，如下圖所示id: 主鍵敏感字段： data（1）性能測試一：敏感字段不作為查詢條件查詢語句： select * from test where id = n;表中記返回記錄數(shù)保護前時間保護后時間（秒）錄數(shù)有亂碼索引無亂碼索引00.00.00.01 萬1000.00.00.010000.80.80.800.00.00.010 萬1000.00.10.11 0000.71.81.800.00.00.050 萬1000.00.10.11 0000.61.21.2分析：在正常使用情況下（返回記錄小于1000 條），性能損失在原表的 2 倍以

18、內(nèi)。時間延遲受返回記錄數(shù)影響，主要用于敏感數(shù)據(jù)的解密操作。（2）性能測試二：敏感字段作為查詢條件查詢語句： select * from test where data = n；表中記返回記錄數(shù)保護前時間（秒）保護后時間（秒）錄數(shù)有索引無索引有亂碼索引無亂碼索引00.01.20.00.81 萬1000.11.90.01.410000.73.41.12.800.01.10.010.810 萬1000.11.50.115.41 0001.02.61.516.600.00.90.247.950 萬1000.01.00.260.51 0000.62.21.061.8分析：在正常使用，并且有亂碼索引的情況下（返回記錄小于 1000 條），性能損失在原表 2 倍以內(nèi)，時間延遲受返回記錄數(shù)影響，主要用于亂碼的解密。當(dāng)記錄數(shù)較多，且沒有亂碼索引的情況下，保護后對查詢響應(yīng)的效率較低。（3）性能測試三：插入（ insert）語句前臵步驟： test表中預(yù)先存儲十萬條數(shù)據(jù)。測試結(jié)果：插入記錄數(shù)保護前時間（秒）保護后時間（秒）有亂碼索引無亂碼索引1000.00.7