數(shù)據(jù)庫(kù)加密系統(tǒng)技術(shù)白皮書(shū)

1、數(shù)據(jù)庫(kù)加密存取及強(qiáng)權(quán)限控制系統(tǒng)技術(shù)白皮書(shū)oracle 版目 錄1.產(chǎn)品背景12.解決的問(wèn)題33.系統(tǒng)結(jié)構(gòu)64.部署方案75.功能與特點(diǎn)96.支持特性107.性能測(cè)試數(shù)據(jù)111. 產(chǎn)品背景隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，數(shù)據(jù)庫(kù)的應(yīng)用十分廣泛，深入到各個(gè)領(lǐng)域。數(shù)據(jù)庫(kù)系統(tǒng)作為信息的聚集體，是計(jì)算機(jī)信息系統(tǒng)的核心部件，其安全性至關(guān)重要。小則關(guān)系到企業(yè)興衰、大則關(guān)系到國(guó)家安全。在重要單位或者大型企業(yè)中，涉及大量的敏感信息。比如行政涉密文件，領(lǐng)導(dǎo)批示、公文、視頻和圖片，或者企業(yè)的商業(yè)機(jī)密、設(shè)計(jì)圖紙等。為了保障這些敏感電子文件的安全，各單位廣泛的實(shí)施了安全防護(hù)措施，包括：機(jī)房安全、物理隔離、防火墻、入侵檢測(cè)、加密

2、傳輸、身份認(rèn)證等等。但是數(shù)據(jù)庫(kù)的安全問(wèn)題卻一直讓管理員束手無(wú)策。原因是目前市場(chǎng)上缺乏有效的數(shù)據(jù)庫(kù)安全增強(qiáng)產(chǎn)品。數(shù)據(jù)庫(kù)及其應(yīng)用系統(tǒng)普遍存在一些安全隱患。其中比較嚴(yán)峻的幾個(gè)方面表現(xiàn)在：（ 1）由于國(guó)外對(duì)高技術(shù)出口和安全產(chǎn)品出口的法律限制，國(guó)內(nèi)市場(chǎng)上只能購(gòu)買(mǎi)到 c2安全級(jí)別的數(shù)據(jù)庫(kù)安全系統(tǒng)。 該類(lèi)系統(tǒng)只有最基本的安全防護(hù)能力。并且采用自主訪問(wèn)控制（ dac）模式， dba角色能擁有至高的權(quán)限，權(quán)限可以不受限制的傳播。這就使得獲取 dba角色的權(quán)限成為攻擊者的目標(biāo)。而一旦攻擊者獲得 dba角色的權(quán)限，數(shù)據(jù)庫(kù)將對(duì)其徹底暴露 , 毫無(wú)任何安全性可言。（ 2）由于 dba擁有至高無(wú)上的權(quán)利，其可以在不被人察

3、覺(jué)的情況下查看和修改任何數(shù)據(jù)（包括敏感數(shù)據(jù)）。因此 dba掌控著數(shù)據(jù)庫(kù)中數(shù)據(jù)安全命脈， dba的任何操作、行為無(wú)法在技術(shù)上實(shí)施監(jiān)管。而 dba往往只是數(shù)據(jù)的技術(shù)上的維護(hù)者，甚至可能是數(shù)據(jù)庫(kù)廠商的服務(wù)人員，并沒(méi)有對(duì)敏感數(shù)據(jù)的查看和控制權(quán)?，F(xiàn)階段并沒(méi)有很好的技術(shù)手段來(lái)約束dba對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限，因此存在巨大安全隱患，特別是在 dba權(quán)限被非法獲取的情況下，更是無(wú)法保證數(shù)據(jù)的安全。（ 3）由于 c2級(jí)的商業(yè)數(shù)據(jù)庫(kù)對(duì)用戶的訪問(wèn)權(quán)限的限制是在表級(jí)別的。一旦用戶擁有了一個(gè)表的訪問(wèn)權(quán)限，那么表中的任何數(shù)據(jù)都具有訪問(wèn)權(quán)限。但是一個(gè)表中可能存在敏感和非敏感字段。對(duì)于敏感數(shù)據(jù)，只有特定權(quán)限的人才能訪問(wèn)。此時(shí)數(shù)，據(jù)

4、庫(kù)自身的安全控制就顯得力不從心。（ 4）數(shù)據(jù)庫(kù)系統(tǒng)是一個(gè)復(fù)雜的系統(tǒng)，根據(jù)已經(jīng)公布的資料，數(shù)據(jù)庫(kù)存在許多風(fēng)險(xiǎn)，其中不少是致命的缺陷和漏洞。舉例來(lái)說(shuō)，全球公認(rèn)安全性出眾的數(shù)據(jù)庫(kù)產(chǎn)品在 2006 年 1 月發(fā)布了其季度安全補(bǔ)丁包中就修補(bǔ)了多個(gè)產(chǎn)品中的 80 多個(gè)漏洞。其中不少漏洞可以非常容易地被黑客利用。一旦遭到攻擊，攻擊者可能以 dba的身份進(jìn)入數(shù)據(jù)庫(kù)系統(tǒng)，也可能進(jìn)入操作系統(tǒng)，下載整個(gè)數(shù)據(jù)庫(kù)文件。從上面分析可以看出，僅靠邊界安全防護(hù) ( 防火墻、防病毒、入侵檢測(cè)、漏洞掃描 ) 是不可能解決數(shù)據(jù)庫(kù)相關(guān)的所有的安全問(wèn)題。尤其不能解決數(shù)據(jù)庫(kù)內(nèi)部敏感數(shù)據(jù)的安全問(wèn)題。公安部、國(guó)家保密局、國(guó)家密碼管理局和國(guó)務(wù)

5、院信息化工作辦公室等部委于 2006年出臺(tái)了相關(guān)規(guī)定，要求信息系統(tǒng)，尤其是重要部門(mén)的信息系統(tǒng)要充分運(yùn)用密碼技術(shù)對(duì)信息系統(tǒng)進(jìn)行保護(hù)。對(duì)于采用密碼對(duì)涉及國(guó)家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的，密碼的設(shè)計(jì)、實(shí)施、使用、運(yùn)行維護(hù)和日常管理等，應(yīng)該按照國(guó)家秘密管理有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)執(zhí)行；對(duì)于采用密碼對(duì)不涉及國(guó)家秘密的信息和信息系統(tǒng)進(jìn)行保護(hù)的，應(yīng)該遵照商用密碼管理?xiàng)l例 和密碼分類(lèi)分級(jí)保護(hù)有關(guān)規(guī)定和相關(guān)標(biāo)準(zhǔn)。另外，國(guó)家出臺(tái)了相關(guān)規(guī)定，要求重要部門(mén)的信息系統(tǒng)對(duì)數(shù)據(jù)資產(chǎn)實(shí)行等級(jí)保護(hù)。對(duì)于信息系統(tǒng)中的信息資產(chǎn)，應(yīng)該根據(jù)其敏感程度，指定不同的安全等級(jí)，實(shí)施不同的安全保護(hù)策略。為增強(qiáng)數(shù)據(jù)庫(kù)系統(tǒng)的安全，滿足數(shù)字資產(chǎn)等級(jí)化的

6、安全防護(hù)要求，有選擇性的保護(hù)數(shù)據(jù)庫(kù)內(nèi)部敏感數(shù)據(jù)的安全性，本產(chǎn)品通過(guò)在數(shù)據(jù)庫(kù)管理系統(tǒng)的內(nèi)核中嵌入自主研發(fā)的安全防護(hù)系統(tǒng)，通過(guò)字段級(jí)別的訪問(wèn)控制來(lái)達(dá)到對(duì)敏感數(shù)據(jù)的防護(hù)目的。敏感數(shù)據(jù)以亂碼的形式存在，通過(guò)數(shù)字簽名實(shí)現(xiàn)強(qiáng)訪問(wèn)控制，非授權(quán)用戶（包含 dba）查看到的數(shù)據(jù)為空，而授權(quán)用戶的使用則不受任何限制。 并且本產(chǎn)品對(duì)于應(yīng)用系統(tǒng)來(lái)說(shuō)是完全透明的，不需要基于數(shù)據(jù)庫(kù)的應(yīng)用系統(tǒng)做任何改動(dòng)。2. 解決的問(wèn)題本產(chǎn)品基于自主技術(shù)，重點(diǎn)解決如下3個(gè)方面的問(wèn)題：（ 1）敏感數(shù)據(jù)的亂碼存儲(chǔ)在沒(méi)有進(jìn)行安全性加強(qiáng)的商業(yè)數(shù)據(jù)庫(kù)系統(tǒng)中，敏感數(shù)據(jù)的存儲(chǔ)和備份是以明文形式進(jìn)行的。很容易從文件系統(tǒng)中得到存儲(chǔ)的內(nèi)容。即使是進(jìn)口的安全數(shù)

7、據(jù)庫(kù)產(chǎn)品，核心技術(shù)被別人掌握，且加密算法受到限制，安全性同樣得不到保障。所以，存儲(chǔ)媒體（如：硬盤(pán)、光盤(pán)、磁帶等）一旦被盜，或者存儲(chǔ)文件被非法復(fù)制，后果將不堪設(shè)想。針對(duì)該隱患，本產(chǎn)品采用加密算法，將敏感數(shù)據(jù)的編碼進(jìn)行混亂，從而將敏感數(shù)據(jù)進(jìn)行亂碼存儲(chǔ)。這樣，即使存儲(chǔ)介質(zhì)或存儲(chǔ)文件丟失，由于有加密算法的保護(hù)，獲得者也不能得到真正的敏感數(shù)據(jù)。通過(guò)這種方法，實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)資產(chǎn)的分級(jí)保護(hù)。為保證系統(tǒng)的易用性，本產(chǎn)品支持完全透明的混亂過(guò)程。除blob類(lèi)型的字段外，部署本產(chǎn)品不需要對(duì)應(yīng)用系統(tǒng)進(jìn)行重新編譯。圖 1所示為透明混亂過(guò)程的示意圖。授權(quán)用戶攻擊者業(yè)務(wù)服務(wù)器身份認(rèn)證授權(quán)檢驗(yàn)混亂解密圖 1透明混亂過(guò)程示意圖

8、如圖 1所示，數(shù)據(jù)在存入物理存儲(chǔ)時(shí)，敏感字段通過(guò)加密變換，以亂碼的方式存儲(chǔ)到物理數(shù)據(jù)庫(kù)中。假設(shè)密鑰是安全的且混亂算法強(qiáng)度足夠，則數(shù)據(jù)的存儲(chǔ)也是安全的。在這種情況下，入侵者或者存儲(chǔ)介質(zhì)獲得者只能看到亂碼，而不能得到真實(shí)內(nèi)容。在檢索時(shí)，首先進(jìn)行授權(quán)的檢驗(yàn)，對(duì)于授權(quán)用戶，敏感字段的亂碼經(jīng)過(guò)解密變換，以明文的方式返回檢索結(jié)果。對(duì)于非授權(quán)用戶，則返回亂碼或者空。（ 2）亂碼敏感字段的高效檢索安全性與可用性是矛盾的。采用亂碼存儲(chǔ)以后的一個(gè)問(wèn)題是破壞了原有數(shù)據(jù)的偏序關(guān)系，數(shù)據(jù)庫(kù)原來(lái)的索引機(jī)制因此失效，導(dǎo)致數(shù)據(jù)的檢索性能被顯著的降低。因?yàn)榇藭r(shí)對(duì)敏感字段進(jìn)行條件檢索時(shí)，需要對(duì)整個(gè)字段進(jìn)行解密變換， 再進(jìn)行順序查

9、找。在記錄數(shù)或數(shù)據(jù)量龐大的時(shí)候，性能可能降低到不可以被接收的程度。這將是引起數(shù)據(jù)庫(kù)安全增強(qiáng)系統(tǒng)應(yīng)用受到阻礙的最大的因素。而對(duì)密文建立外部索引的方法，會(huì)導(dǎo)致多用戶并發(fā)訪問(wèn)時(shí)的數(shù)據(jù)不同步以及事務(wù)機(jī)制的失效。本產(chǎn)品采用自主專(zhuān)利的亂碼索引技術(shù)，在數(shù)據(jù)庫(kù)管理系統(tǒng)內(nèi)核建立亂碼索引，將敏感字段的亂碼存儲(chǔ)對(duì)數(shù)據(jù)庫(kù)訪問(wèn)性能的損失降到最低。當(dāng)用戶對(duì)某一敏感字段進(jìn)行條件檢索時(shí)， dbms首先通過(guò)亂碼索引完成范圍查詢，從而避免了全部解密。同時(shí)自動(dòng)支持多用戶并發(fā)訪問(wèn)時(shí)的數(shù)據(jù)同步以及事務(wù)機(jī)制。（ 3）增強(qiáng)的授權(quán)管理目前廣泛采用的 c2級(jí)商業(yè)關(guān)系數(shù)據(jù)庫(kù)產(chǎn)品中存在管理員權(quán)限過(guò)大的問(wèn)題。在某些情況下，會(huì)導(dǎo)致敏感信息的泄密。針對(duì)

10、該安全隱患，本產(chǎn)品采用高級(jí)技術(shù)手段，增設(shè)安全管理員和審計(jì)管理員，限制 dba的權(quán)限，使得 dba不能隨意查看被保護(hù)的關(guān)鍵數(shù)據(jù)。只有同時(shí)經(jīng)過(guò) dba授權(quán)和安全管理員授權(quán)的用戶，才能進(jìn)行被保護(hù)數(shù)據(jù)的存取。同時(shí)安全管理員的授權(quán)行為收到審計(jì)管理員的監(jiān)督。圖2給出增強(qiáng)的授權(quán)管理機(jī)制的示意圖。業(yè)務(wù)系統(tǒng)安全管理員安全服務(wù)數(shù)據(jù)庫(kù)管理員分區(qū)加密數(shù)據(jù)審計(jì)管理員圖 2增強(qiáng)的授權(quán)管理機(jī)制的示意圖如圖 2所示，在本產(chǎn)品中，增設(shè)一個(gè)安全管理員和一個(gè)審計(jì)管理員。安全管理員的增設(shè)可以限制dba的權(quán)限，以此解決 dba可以讀取數(shù)據(jù)庫(kù)中包括敏感信息在內(nèi)的所有信息的安全隱患。而審計(jì)管理員獨(dú)立于安全管理員，實(shí)現(xiàn)對(duì)安全管理員授權(quán)行為的

11、監(jiān)督。3. 系統(tǒng)結(jié)構(gòu)本產(chǎn)品的系統(tǒng)結(jié)構(gòu)如圖3所示。基于數(shù)據(jù)庫(kù)的應(yīng)用軟件系統(tǒng)數(shù)據(jù)庫(kù)管理系統(tǒng)磁盤(pán)存儲(chǔ)授權(quán)密碼服務(wù)驗(yàn)證系統(tǒng)管理配置模塊圖 3系統(tǒng)結(jié)構(gòu)圖如上圖所示，本產(chǎn)品內(nèi)嵌于dbms中，作為數(shù)據(jù)庫(kù)系統(tǒng)內(nèi)核的一部分，和 dbms運(yùn)行在同一進(jìn)程空間，極大的提高了增強(qiáng)系統(tǒng)的安全性和可靠性以及效率，也保證了該系統(tǒng)的良好跨平臺(tái)特性。應(yīng)用程序端通過(guò)與改造前完全相同的方式連接 dbms，增強(qiáng)系統(tǒng)在dbms內(nèi)部對(duì)請(qǐng)求進(jìn)行授權(quán)檢驗(yàn)。對(duì)于授權(quán)用戶，通過(guò)請(qǐng)求密碼服務(wù)對(duì)數(shù)據(jù)進(jìn)行加 / 解密操作。對(duì)于非授權(quán)用戶，則直接返回空值，達(dá)到保護(hù)敏感數(shù)據(jù)的作用。5所示。系統(tǒng)管理配臵模塊用于安全管理員對(duì)敏感字段管理，安全操作員進(jìn)行安全策略

12、的應(yīng)用，以及審計(jì)管理員查看審計(jì)信息。4. 部署方案單數(shù)據(jù)庫(kù)服務(wù)器環(huán)境下，系統(tǒng)的部署方式如圖4所示。數(shù)據(jù)庫(kù)服務(wù)器db-sims 服務(wù)器4 u防火墻應(yīng)用服務(wù)器終端 pc管理終端 pc管理終端 pc應(yīng)用服務(wù)器圖 4 系統(tǒng)部署結(jié)構(gòu)圖如圖 4所示，在單機(jī)環(huán)境下，系統(tǒng)的部署非常簡(jiǎn)單。將db-sims服務(wù)器接入數(shù)據(jù)庫(kù)服務(wù)器所在的網(wǎng)絡(luò)中， 安全管理員和操作員僅僅需要通過(guò)瀏覽器在遠(yuǎn)程通過(guò)系統(tǒng)配臵管理模塊即可完成整個(gè)系統(tǒng)的安裝和部署。在實(shí)際應(yīng)用中，還可以將 db-sims服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器部署于同一個(gè)服務(wù)器硬件之上。對(duì)于多服務(wù)器環(huán)境，系統(tǒng)的部署方式如圖ms sqloracleibm db2internet應(yīng)用服

13、務(wù)器應(yīng)用服務(wù)器vpnvpn分支機(jī)構(gòu)防火墻ms sqloracleibm db24 udb-sims 服務(wù)器管理終端 pcms sqloracleibm db2如上圖所示，對(duì)于多個(gè)不同的數(shù)據(jù)庫(kù)系統(tǒng)，可以統(tǒng)一的進(jìn)行管理。只需將 db-sims服務(wù)器部署在相應(yīng)的網(wǎng)絡(luò)上，就可以通過(guò)管理終端，通過(guò)瀏覽器將 db-sims安裝到不同的數(shù)據(jù)庫(kù)平臺(tái)上。即使是在外網(wǎng)的管理員也可以通過(guò) internet 與內(nèi)網(wǎng)相聯(lián)，并通過(guò)管理終端，實(shí)現(xiàn)敏感信息的安全管理。db-sims服務(wù)器是網(wǎng)絡(luò)服務(wù)器和db-sims系統(tǒng)的安裝服務(wù)器。管理終端 pc連接到該服務(wù)器上將系統(tǒng)注入到各個(gè)數(shù)據(jù)庫(kù)中。 針對(duì)各個(gè)數(shù)據(jù)庫(kù)的安全策略存儲(chǔ)于各個(gè)數(shù)

14、據(jù)庫(kù)中，便于數(shù)據(jù)的統(tǒng)一備份。即使 db-sims服務(wù)器崩潰，也不會(huì)導(dǎo)致系統(tǒng)整個(gè)數(shù)據(jù)庫(kù)的服務(wù)中斷。管理終端可以分布在任意安全管理員或者審計(jì)管理員可以操作的計(jì)算機(jī)上，只要可以與 db-sims服務(wù)器相連，就可以通過(guò)瀏覽器進(jìn)行相應(yīng)管理。5. 功能與特點(diǎn)功能：1) 根據(jù)分級(jí)保護(hù)原則，對(duì)敏感信息進(jìn)行字段級(jí)細(xì)粒度的亂碼保存；2) 靈活根據(jù)防護(hù)需要設(shè)臵敏感數(shù)據(jù)列的混亂算法；3) 增設(shè)安全管理員，實(shí)現(xiàn)對(duì) dba權(quán)限的削弱，實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)的責(zé)權(quán)一致，數(shù)據(jù)所有者管理數(shù)據(jù)的訪問(wèn)權(quán)限；4) 增設(shè)審計(jì)管理員，對(duì)安全管理員的授權(quán)情況進(jìn)行獨(dú)立的審計(jì)，保證每一個(gè)操作都有記錄可查，實(shí)現(xiàn)對(duì)安全管理員授權(quán)行為的監(jiān)督；5) 支持多安

15、全管理員，各自擁有安全域。特點(diǎn)：1) 系統(tǒng)直接運(yùn)行在 dbms進(jìn)程空間，減少了進(jìn)程間通信的性能損失，最大程度的提高了系統(tǒng)的安全性和可靠性；2) 采用自主專(zhuān)利的亂碼索引機(jī)制保證高效率的密文條件檢索；3) 對(duì)敏感信息訪問(wèn)權(quán)限粒度控制在字段級(jí)；4) 提供基于瀏覽器的簡(jiǎn)單、友好、易操作的操作界面；5) 對(duì)于常規(guī)字段類(lèi)型，混亂過(guò)程對(duì)應(yīng)用程序訪問(wèn)過(guò)程完全透明，無(wú)需客戶端做任何改動(dòng)，最小化對(duì)其他系統(tǒng)的影響；6) 對(duì)于 blob類(lèi)型的字段，提供實(shí)現(xiàn)透明加密的 api；7) 支持多用戶并發(fā)訪問(wèn)，支持?jǐn)?shù)據(jù)的同步，支持事務(wù)機(jī)制；8) 所有的授權(quán)信息和審計(jì)信息都通過(guò) pki 技術(shù)保證記錄的完整性和9)不可抵賴(lài)性；良好

16、的跨平臺(tái)特性，支持任何平臺(tái)上的oracle9i 、10g 數(shù)據(jù)庫(kù)。6. 支持特性支持平臺(tái)：本產(chǎn)品支持任何已安裝 oracle9i 、10g的平臺(tái)，例如：windows 2000, xp, 2003linuxsolaris ，hp-unixaix 等支持的安全算法：支持軟件混亂和硬件混亂支持經(jīng)國(guó)家批準(zhǔn)使用的專(zhuān)用密碼算法支持用戶自定制混亂算法支持 md5,sha算法支持全透明混亂字段：numberrawcharvchardate支持通過(guò) api實(shí)現(xiàn)透明混亂字段：blobbfileclob7. 性能測(cè)試數(shù)據(jù)測(cè)試環(huán)境：硬件配臵：內(nèi)存1g，cpu 2ghz操作系統(tǒng)： windows xp, sp2混亂算

17、法： 3des（軟件實(shí)現(xiàn)， 128位密鑰）測(cè)試表： test，如下圖所示id: 主鍵敏感字段： data（1）性能測(cè)試一：敏感字段不作為查詢條件查詢語(yǔ)句： select * from test where id = n;表中記返回記錄數(shù)保護(hù)前時(shí)間保護(hù)后時(shí)間（秒）錄數(shù)有亂碼索引無(wú)亂碼索引00.00.00.01 萬(wàn)1000.00.00.010000.80.80.800.00.00.010 萬(wàn)1000.00.10.11 0000.71.81.800.00.00.050 萬(wàn)1000.00.10.11 0000.61.21.2分析：在正常使用情況下（返回記錄小于1000 條），性能損失在原表的 2 倍以

18、內(nèi)。時(shí)間延遲受返回記錄數(shù)影響，主要用于敏感數(shù)據(jù)的解密操作。（2）性能測(cè)試二：敏感字段作為查詢條件查詢語(yǔ)句： select * from test where data = n；表中記返回記錄數(shù)保護(hù)前時(shí)間（秒）保護(hù)后時(shí)間（秒）錄數(shù)有索引無(wú)索引有亂碼索引無(wú)亂碼索引00.01.20.00.81 萬(wàn)1000.11.90.01.410000.73.41.12.800.01.10.010.810 萬(wàn)1000.11.50.115.41 0001.02.61.516.600.00.90.247.950 萬(wàn)1000.01.00.260.51 0000.62.21.061.8分析：在正常使用，并且有亂碼索引的情況下（返回記錄小于 1000 條），性能損失在原表 2 倍以內(nèi)，時(shí)間延遲受返回記錄數(shù)影響，主要用于亂碼的解密。當(dāng)記錄數(shù)較多，且沒(méi)有亂碼索引的情況下，保護(hù)后對(duì)查詢響應(yīng)的效率較低。（3）性能測(cè)試三：插入（ insert）語(yǔ)句前臵步驟： test表中預(yù)先存儲(chǔ)十萬(wàn)條數(shù)據(jù)。測(cè)試結(jié)果：插入記錄數(shù)保護(hù)前時(shí)間（秒）保護(hù)后時(shí)間（秒）有亂碼索引無(wú)亂碼索引1000.00.7