【文章內(nèi)容簡(jiǎn)介】 ◆ 本公司共有多少女高級(jí)程序員？ ◆ 本公司女高級(jí)程序員的工資總額是多少 ？ 如果第一個(gè)查詢(xún)的結(jié)果是“ 1”，那么第二個(gè)查詢(xún)的結(jié) 果顯然就是這個(gè)程序員的工資數(shù)。 規(guī)則 1：任何查詢(xún)至少要涉及 N(N足夠大 )個(gè)以上的 記錄。 2/2/2023 例 2：用戶(hù) A發(fā)出下面兩個(gè)合法查詢(xún)： ◆ 用戶(hù) A和其他 N個(gè)程序員的工資總額是多少？ ◆ 用戶(hù) B和其他 N個(gè)程序員的工資總額是多少？ 若第一個(gè)查詢(xún)的結(jié)果是 X，第二個(gè)查詢(xún)的結(jié)果是 Y，由于 用戶(hù) A知道自己的工資是 Z，那么他可以計(jì)算出用戶(hù) B的工 資 =Y(XZ)。 原因：兩個(gè)查詢(xún)之間有很多重復(fù)的數(shù)據(jù)項(xiàng)。 規(guī)則 2：任意兩個(gè)查詢(xún)的相交數(shù)據(jù)項(xiàng)不能超過(guò) M個(gè)。 2/2/2023 可以證明，在上述兩條規(guī)定下，如果想獲知用戶(hù) B的工資額 A至少需要進(jìn)行 1+(N2)/M次查詢(xún)。 規(guī)則 3：任一用戶(hù)的查詢(xún)次數(shù)不能超過(guò) 1+(N2)/M 。 如果兩個(gè)用戶(hù)合作查詢(xún)就可以使這一規(guī)定失效。 2/2/2023 數(shù)據(jù)庫(kù)安全機(jī)制的 設(shè)計(jì)目標(biāo) ： 試圖破壞安全的人所花費(fèi)的代價(jià) 得到的利益 2/2/2023 第 4章 數(shù)據(jù)庫(kù)安全性 ? 數(shù)據(jù)庫(kù)安全性概述 ? 訪問(wèn)控制 ? 數(shù)據(jù)庫(kù)加密技術(shù) ? SQL Server的安全機(jī)制 ? Oracle的安全機(jī)制 ? 小結(jié) 2/2/2023 如果入侵者繞過(guò)系統(tǒng)訪問(wèn)數(shù)據(jù)庫(kù)的信息內(nèi)容，如果入侵者通過(guò)物理移除磁盤(pán)或備份磁盤(pán)盜走數(shù)據(jù)庫(kù)、如果入侵者接入載有真實(shí)用戶(hù)數(shù)據(jù)的通信鏈路、如果聰明的入侵者通過(guò)運(yùn)行程序突破操作系統(tǒng)防線來(lái)檢索數(shù)據(jù)，情況會(huì)如何呢？ 在這些情況下，數(shù)據(jù)庫(kù)系統(tǒng)的各種授權(quán)規(guī)則或許不能提供充分的保護(hù)。標(biāo)準(zhǔn)安全技術(shù)無(wú)法防范繞過(guò)系統(tǒng)訪問(wèn)數(shù)據(jù)的侵?jǐn)_，這就需要采取其他保護(hù)措施來(lái)加強(qiáng)安全系統(tǒng)。加密技術(shù)提供了附加保護(hù)，數(shù)據(jù)庫(kù)中的數(shù)據(jù)是可以被加密 （ encrypt）的 ， 加密數(shù)據(jù)是不可能被讀出的。加密也構(gòu)成了鑒定數(shù)據(jù)庫(kù)用戶(hù)身份良好機(jī)制的基礎(chǔ)。 2/2/2023 加密 是一種編碼數(shù)據(jù)的方法，使入侵者難以理解數(shù)據(jù)內(nèi)容，在授權(quán)用戶(hù)使用時(shí)，解碼數(shù)據(jù)，使其返回原始格式。一些商業(yè) DBMS包含加密模塊，還有一些能提供程序，使用戶(hù)編寫(xiě)自己的加密例程。當(dāng)前，加密技術(shù)廣泛應(yīng)用于諸如電子資金劃撥（ electronic fund transfers, EFT）和電子商務(wù)等應(yīng)用程序中。 ?加密的概念 2/2/2023 加密方案 需要一個(gè)包含下列組件和概念的密碼系統(tǒng)。 ? 編碼數(shù)據(jù)（稱(chēng)為明文）的加密密鑰 ? 將明文更改為編碼文本（稱(chēng)為密文）的加密算法 ? 解碼密文的解碼密鑰 ? 將密文轉(zhuǎn)換回原始明文的解密算法 2/2/2023 加 密 元 素 明 文明 文發(fā) 送 者接 收 者加 密 密 鑰 加 密 算 法 解 密 算 法解 密 密 鑰密 文密 文2/2/2023 ? 編碼 最簡(jiǎn)單、最方便的方法。對(duì)于重要字段，值被編碼。例如，不存儲(chǔ)銀行分支的名稱(chēng)，而是存儲(chǔ)代碼來(lái)表示。 ? 替代 逐個(gè)替代明文中的字母，以生成密文。 ? 轉(zhuǎn)臵 使用特殊算法重新排列明文中的字符。 一般地，替代和轉(zhuǎn)臵結(jié)合使用可取得理想效果。不過(guò)，未使用加密密鑰的技術(shù)無(wú)法提供充分保護(hù)。技術(shù)的強(qiáng)度取決于密鑰以及用于加密和解密的算法。如果單純使用替代和轉(zhuǎn)臵，若入侵者分析足夠多的編碼文本，可能解密文本。 常用加密方法： 2/2/2023 根據(jù)加密密鑰的使用和部署，可將加密技術(shù)分為兩種類(lèi)型： ? 對(duì)稱(chēng)加密 該技術(shù)為加密和解密使用相同加密密鑰。密鑰必須保密，以防范潛在入侵者。該技術(shù)依賴(lài)于安全通信，以便在數(shù)據(jù)提供者和授權(quán)用戶(hù)之間交換密鑰。若密鑰確實(shí)安全，則要將密鑰作為消息本身的一部分。這么做效率不高，大多數(shù)密鑰較短。數(shù)據(jù)加密標(biāo)準(zhǔn) (Data Encryption standard, DES)是該技術(shù)的一個(gè)例子。 ?非對(duì)稱(chēng)加密 該技術(shù)為加密和解密使用不同密鑰。一種是公開(kāi)的公鑰，另一種是只有授權(quán)用戶(hù)知道的私鑰。加密算法也可以公開(kāi)。公鑰加密（ RSA）是一種非對(duì)稱(chēng)加密方法。 2/2/2023 ?數(shù)據(jù)加密標(biāo)準(zhǔn) 該技術(shù)在 1977年由 IBM開(kāi)發(fā)和設(shè)計(jì)，被國(guó)家標(biāo)準(zhǔn)局采用為正式 DES。從那時(shí)起，各種行業(yè)機(jī)構(gòu)開(kāi)始采用 DES。 該技術(shù)為加密和解密使用單個(gè)密鑰。密鑰必須保持秘密，以防范潛在入侵者。同樣，加密算法決不能對(duì)外公開(kāi)。該算法由字符替代和轉(zhuǎn)臵（或臵換）構(gòu)成。 2/2/2023 單 密 鑰 加 密 技 術(shù) DES 明 文明 文發(fā) 送 者接 收 者 D E S D E S密 文密 文密 鑰 : 5 4 2 6 9 4 7 1 8 3 2密 鑰 : 5 4 2 6 9 4 7 1 8 3 22/2/2023 工作原理 DES將明文劃分為塊，每個(gè)塊 64位。用 64位密鑰來(lái)加密各個(gè)塊。密鑰雖 64位長(zhǎng)，但有效位僅 56位，其余 8位用作奇偶校驗(yàn)位。即使 56位密鑰，也可能有 256種可能的不同密鑰。所以，在建立密鑰時(shí)，選擇余地非常大。 按下列順序執(zhí)行加密： ? 使用密鑰為各個(gè)塊應(yīng)用初始臵換。 ? 按 16個(gè)連續(xù)復(fù)雜替代步驟操作轉(zhuǎn)換或臵換塊。 ? 最后應(yīng)用另一種臵換算法，與初始臵換相反。 解密算法與加密算法相同，但步驟執(zhí)行順序正好相反。 2/2/2023 ?公鑰加密 公鑰加密技術(shù)由 Rivest、 Shamir和 Adleman提出，該技術(shù)得到廣泛應(yīng)用。按三名創(chuàng)始者的姓名首字母，將其稱(chēng)為 RSA。 RSA模型基于以下概念： ? 使用兩個(gè)加密密鑰，一個(gè)是公鑰，另一個(gè)是私鑰。 ? 每位用戶(hù)都有公鑰和私鑰。 ? 公鑰向所有人發(fā)布，是公開(kāi)的。 ? 加密算法也可免費(fèi)看到。 ? 只有個(gè)體用戶(hù)知道自己的私鑰。 ? 加密算法和解密算法相反。 2/2/2023 公鑰加密技術(shù) 明 文明 文發(fā) 送 者接 收 者 公 共 算 法密 文密 文私 鑰 : 3 9私 鑰 : 2 7公 鑰發(fā) 送 者 1 9接 收 者 1 32/2/2023 RSA的一個(gè)非常重要的應(yīng)用就是實(shí)現(xiàn) 數(shù)字簽名（ digital signature）， 數(shù)字簽名是指附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對(duì)數(shù)據(jù)所作的密碼變換，這種數(shù)據(jù)變換能使數(shù)據(jù)接收者確認(rèn)數(shù)據(jù)的來(lái)源、完整性并保護(hù)數(shù)據(jù)。數(shù)字簽名可以作為某個(gè)文檔的出處證明，就像日常生活中應(yīng)用的手寫(xiě)簽名一樣。和公鑰加密法一樣，這一概念是在 [Diffie and Hellman 1976]中首次采用的，但是和公鑰系統(tǒng)一樣，絕大多數(shù)數(shù)字簽名系統(tǒng)也是建立在 RSA算法 [River et ]或者是特別為簽名而開(kāi)發(fā)的其他算法的基礎(chǔ)上的。 2/2/2023 ?常用的數(shù)據(jù)庫(kù)加密方法 傳統(tǒng)的加密以報(bào)文為單位，加密解密都是從頭至尾順序進(jìn)行。數(shù)據(jù)庫(kù)數(shù)據(jù)的使用方法決定了它不可能以整個(gè)數(shù)據(jù)庫(kù)文件為單位進(jìn)行加密。當(dāng)符合檢索條件的記錄被檢索出來(lái)后，就必須對(duì)該記錄迅速解密。然而該記錄是數(shù)據(jù)庫(kù)文件中隨機(jī)的一段，無(wú)法從中間開(kāi)始解密，除非從頭到尾進(jìn)行一次解密，然后再去查找相應(yīng)的這個(gè)記錄，顯然這是不合適的。必須解決隨機(jī)地從數(shù)據(jù)庫(kù)文件中某一段數(shù)據(jù)開(kāi)始解密的問(wèn)題。 2/2/2023 數(shù)據(jù)庫(kù)加密通過(guò)對(duì)明文進(jìn)行復(fù)雜的加密操作，以達(dá)到無(wú)法發(fā)現(xiàn)明文和密文之間、密文和密鑰之間的內(nèi)在關(guān)系，也就是說(shuō)經(jīng)過(guò)加密的數(shù)據(jù)庫(kù)經(jīng)得起來(lái)自操作系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)（ DBMS）的攻擊。另一方面，數(shù)據(jù)庫(kù)管理系統(tǒng)（ DBMS）要完成對(duì)數(shù)據(jù)庫(kù)文件的管理和使用，必須具有能夠識(shí)別部分?jǐn)?shù)據(jù)的條件，而對(duì)數(shù)據(jù)庫(kù)中的部分?jǐn)?shù)據(jù)進(jìn)行加密處理后，會(huì)影響到數(shù)據(jù)庫(kù)管理系統(tǒng)（ DBMS）對(duì)數(shù)據(jù)庫(kù)管理的原有功能。 2/2/2023 ? 基于文件的加密 把數(shù)據(jù)庫(kù)文件作為整體，用加密算法對(duì)整個(gè)數(shù)據(jù)庫(kù)文件加密來(lái)保證信息的真實(shí)性和完整性。數(shù)據(jù)的共享是通過(guò)用戶(hù)用解密密鑰對(duì)整個(gè)數(shù)據(jù)庫(kù)文件進(jìn)行解密來(lái)實(shí)現(xiàn)的。 這一方法的實(shí)際應(yīng)用受到多方面的限制： （ 1）數(shù)據(jù)修改的工作將變得十分困難，需要進(jìn)行解密、修改、復(fù)制和加密四個(gè)操作，極大地增加了系統(tǒng)的時(shí)空開(kāi)銷(xiāo)； （ 2）即使用戶(hù)只是需要查看某一條記錄，也必須將整個(gè)數(shù)據(jù)庫(kù)文件解密，這樣無(wú)法實(shí)現(xiàn)對(duì)文件中不需要讓用戶(hù)知道的信息的控制。 2/2/2023 ? 字段加密 字段是最小的加密單位。字段加密的原理是將重要的字段內(nèi)容進(jìn)行加密，當(dāng)使用查詢(xún)語(yǔ)句獲取結(jié)果集后，再將這些重要的字段內(nèi)容進(jìn)行解密。每個(gè)字段可以使用不同的密鑰，也可以使用共同的密鑰。字段加密具有較高的安全性，但是由于對(duì)一個(gè)記錄進(jìn)行存取時(shí)需要多次的加 /解密處理，這可能對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)速度有所影響。同時(shí)，它對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)（ DBMS）的功能影響也很大。所以，在實(shí)際應(yīng)用中，一般不會(huì)對(duì)所有記錄都進(jìn)行加密處理，而是對(duì)部分安全性要求高的字段進(jìn)行加密處理。 2/2/2023 通常情況下，以下幾種字段不宜加密： （ 1）索引字段不能加密； （ 2）關(guān)系運(yùn)算的比較字段不能加密； （ 3）表間的連接碼字段不能加密。 2/2/2023 ?記錄加密 字段加密具有最高的安全性，但是字段加密頻繁地加 /解密過(guò)程會(huì)嚴(yán)重影響應(yīng)用程序訪問(wèn)數(shù)據(jù)庫(kù)數(shù)據(jù)