數據庫透明加密

隨着互聯網技術和信息技術的迅速發展，以數據庫為基礎的信息系統在經濟、金融、醫療等領域的信息基礎設施建設中得到了廣泛的應用，越來越多的數據信息被不同組織和機構(例如，統計部門、醫院、保險公司等)蒐集、存儲以及發佈，其中大量信息被用於行業合作和數據共享。但是在新的網絡環境中，由於信息的易獲取性，這些包含在數據庫系統中的關乎國家安全、商業或技術機密、個人隱私等涉密信息將面臨更多的安全威脅。當前，日益增長的信息泄露問題已然成為影響社會和諧的一大障礙。

數據泄漏事件幾乎覆蓋所有行業，例如：

(1) 金融行業：2012年4月，vsia信用卡泄密事件致使150萬個賬户受影響。

(2) 政府部門：2012年1月，廣東公安廳技術漏洞致444萬出入境數據泄漏。

(3) 互聯網：2011年歲末，數據泄密信息過億，其中噹噹網1200萬用户信息泄漏；支付寶賬户

泄漏達1500萬到2500萬；CSDN 600餘萬用户信息泄漏。

(4) 電信行業：2011年3月，陝西移動1394萬用户信息被盜。

(5) 安全行業：2009年12月，中國軍工科研所發生泄密事件，潛艇資料被盜。

(6) 醫療行業：2008年深圳4萬餘名孕婦信息泄漏。

由上述案例可見，數據泄漏無處不在，且愈演愈烈。據Verizon公司的數據泄漏調查報告統計顯示：有90%以上的數據泄漏是由數據庫被盜引起的。

數據庫透明加密技術是針對關係型數據庫保密需求應運而生的一種數據庫加密技術。所謂透明，是指對用户來説無需更改現有的應用系統和操作習慣。當用户通過應用程序訪問數據庫時，得到的是明文數據，而未授權的用户通過非法手段訪問數據庫得到的都是密文數據。數據在應用程序中是明文，在數據庫中是密文。一旦離開使用環境，由於應用程序無法得到自動解密的服務而無法打開，從而起到保護數據庫中數據的效果。

強制加密：安裝系統後，對所有數據庫中指定的列是強制加密的；

使用方便：不影響原有操作習慣，不需要限止端口；

對內透明：不影響現有的應用系統和網絡環境；對於授權用户的數據加解密、查詢

優化、數據庫管理等過程完全透明。

對外受阻：一旦文件離開使用環境，數據將無法讀取。

數據庫透明加密就是把數據信息即明文轉換為不可辨識的形式即密文的過程，目的是使不應瞭解該數據信息的人不能夠知道和識別。將密文轉變為明文的過程就是解密。加密和解密過程形成加密系統，明文與密文統稱為報文。

1. 加密系統組成

任何加密系統通常都包括如下4個部分：

(1) 需要加密的報文，稱為明文P。

(2) 加密以後形成的報文，稱為密文Y。

(3) 加密（解密）算法E(D)。

(4) 用於加密和解密的鑰匙，稱為密鑰K。

2. 加密過程

加密過程可描述為：在發送端利用加密算法E和加密密鑰Ke對明文P進行加密，得到密文Y=EKe(P)。密文Y被傳送到接收端後應進行解密。解密過程可描述為：接收端利用解密算法D和解密密鑰Kd對密文Y進行解密，將密文恢復為明文P=DKd(Y)。在密碼學中，把設計密碼的技術稱為密碼編碼，把破譯密碼的技術稱為密碼分析。密碼編碼和密碼分析合起來稱為密碼學。在加密系統中，算法是相對穩定的。為了加密數據的安全性，應經常改變密鑰。