高校档案数据库安全管理中加密技术应用研究

高斌升（太原理工大学，太原 030024）

高校档案数据库安全管理中加密技术应用研究

高斌升
（太原理工大学，太原 030024）

随着计算机网络的发展与普及，计算机大批量数据存储安全、敏感数据窃取与篡改问题越来越突出，数据库系统作为高校档案信息系统的核心部件，其安全性必须得到有效的保障。数据库加密是数据库安全的核心问题之一，本文针对高校档案数据库系统的安全问题，进行数据库加密技术的应用研究与分析。

高校档案；数据库安全管理；数据库加密；密码算法

1　常用数据库加密技术概述

加密算法是数据加密的核心，选择何种加密算法需要满足一定的要求，使其与数据库自身的显著特点相适应。通常数据库加密方法选择与设计中需要满足以下条件：一是数据库加密后数据量不明显增加；二是仅依据数据间的逻辑关系来破解加密数据库十分困难；三是数据加密后其数据长度不变；四是加密与解密的速度应足够快。从现有的密码体制来看，常用加密算法可分为对称机密算法、非对称加密算法、加密哈希算法三类。对称密码体制的典型加密算法有DES、AES、IDEA、RC5、RC6等，非对称密码体制的典型算法有ELGamal、RSA、Diffie－Hellman等，加密哈希算法最常见的一种是MD5算法，即中间单向算法。

2　高校档案数据库加密子系统分析与设计

2.1数据库加密子系统分析

对高校档案数据库系统而言，高校档案自身的属性使其区别于图书资料，档案数据库系统存在着坚定资料是否开放、是否机密的问题。通常高校档案信息数字化的内容主要包括五个方面的内容，即档案管理主业、学生成绩档案数据库、学生档案数据库、重大科研档案数据库、高校人才档案数据库。高校档案数据库安全不是孤立的，而是一个完整的系统，其中数据库加密是信息安全的核心问题。基于高校档案数据库系统的加密安全系统可采用三层安全模型，即外层防御层、中间层入侵检测、内层数据库安全抵御。

2.2加密子系统模块设计

高校档案数据库系统的加密子系统模块主要包括密码引擎模块、秘钥模块两部分，密码引擎模块是密码基础设施中的核心模块，它实现了AES算法。密码引擎有分为专用密码引擎和本地密码引擎，专用密码引擎包含一个单独用于密码操作的CPU，而本地密码引擎中的算法则被直接包含在程序中。针对高校档案数据库系统而言，数据库加密一般没有选用专用引擎，因此其加密项目的大部分工作都保护和处理秘钥进行的。秘钥模块可分为秘钥库、秘钥清单、秘钥管理器三个组件。秘钥管理器是一个非常敏感的组件，因此在高校档案数据库的加密子系统中，秘钥管理器有设置了秘钥区域进行秘钥管理。

2.3加密算法选取及应用模式

高校档案数据库具有高校自身的特征属性，因此加密算法的选择和应用需要满足高校自身的实际情况和需求。高校档案数据库拥有大量的数据需要加密，因此选用对称秘钥的加密算法是十分合适的，这种加密算法具有更快的速度，不仅能够实现保护数据的机密性，而且还能够在大量的访问数据面前实现即时操作。在高校档案数据库系统的加密子系统中采用AES算法是针对128位（16字节）长度的数据模块进行处理的，操作模式则依据高校档案数据库各字段不同记录的数据长度基本一致的特征，选择使用密码块链接模式。

2.4加密子系统安全设计

加密子系统的安全设计至关重要，主要是对密码系统进行保护设计，包括密码算法、明文空间、密文空间以及秘钥。针对高校档案数据库系统的本地引擎而言，解决安全风险的办法是：一是对秘钥的备份与恢复，将秘钥列表保存在一个单独的秘钥中；二是对秘钥库的保护，通常可将秘钥的两个部分分别保存在单独的两台机器上。高校档案数据库系统的加密子系统安全设计的主要内容包括：对模块的职责进行有效的限制和分离，严格把关数据查询和特征信息，尽量减少受攻击的区域，检查所有输入与输出的数据的合法性，编写安全代码库并安全的处理异常，注意第三方代码的安全复查并防止SQL的注入。

3　高校档案数据库加密项目实施特点与技巧

在高校档案数据库加密项目的实施中，各阶段所关注的安全内容存在加大区别，这使得高校档案数据库加密项目存在一定的高校属性特征。从加密项目的具体实施来看，第一步需要由需求分析人员编写高校档案数据库需求文档；第二步由安全分析人员在需求文档的基础上建立高校档案数据库的逻辑模型，并考虑两种安全需求和防御性安全需求标准及策略；第三步在专家及用户评审后设计满足需求的系统；第四步是通过设计来实现应用程序；第五步进行测试，包括之来那个保证测试和用户验收测试两部分。在高校档案数据库安全开发中，应开发最小权限运行的程序，定期清理内存中的敏感数据，越是数据敏感程度高，越应尽快将其从内存中清除，以确保秘钥安全。

主要参考文献

［1］任辉.基于PKI技术的高校电子档案安全管理系统的设计与实现［D］.长沙：湖南大学，2013.

［2］怀艾芹.基于SQL Server的高校OA系统数据库安全技术研究［J］.计算机与数字工程，2010（10）.

10.3969/j.issn.1673-0194.2016.17.109

G251；TP309

A

1673-0194（2016）17-0191-01

2016-07-11