网络链路传输层密钥数据库安全加密系统设计

常国锋

（新乡学院 计算机与信息工程学院，河南 新乡 453003）

0 引 言

在数据库信息系统不断发展的当代，数据安全对人们的生活产生着重大的影响，数据库信息把握着企业甚至国家的机密要闻，对数据信息安全的加密措施成为了较为重要的任务[1]。传统的网络链路传输层密钥数据库安全加密系统运行工作时间长、运行效率低[2]。

针对上述问题，本文设计了一种新的系统，在对深层次系统信息文件进行加密的过程中，依据数据库进行加密。系统硬件中的加密模块的主要功能是用户自行改制加密数据的系统工具理论，证书管理模块主要的设计功能是为使用者提供一个方便进入链接的安全接口，数据库安全加密系统体系结构处理信息加密状况，密钥设置高层次数据管理进行数据库安全加密系统设计，通过实验对本文设计的加密系统工作效果进行验证。

1 安全加密系统硬件设计

1.1 数据库加密模块设计

数据库加密模块负责创建加密字典模式，利用数据系统搜索访问引擎对已完成的数据进行加工处理，系统通过加密模式分析处理数据[3]。加密字典主要由专门人员进行管理，使用者可将此项权责交由管理员处理。数据库加密模块由用户登录模块、加密字典信息配置模块、加密定义信息修改模块、表检索模块、加密文表配置模块共同组成[4]，如图1 所示。

图1 数据库加密模块结构

用户登录模块主要由管理人员经由加密系统管理中进行必要的加密字典程序权限认证，对身份进行验证，该模块可以防止其他人员对加密字典的越权使用，进而提高加密字典的安全可靠性。身份验证均可通过对CA 证书的加密验证进行处理分析，即系统专属管理人员通过处理验证，提交CA 证书，进而确认使用者身份，经过用户登录模块的验证后的数据信息，若此方式操作成功，则可以继续访问，反之则不可继续访问。该模块担任着整个系统的先行进入条件[5]。加密字典的配置经由系统管理人员在数据库中创建加密字典，先通过初始系统信息处理，在不使用时对加密字典主要信息进行删除，其过程如图2 所示。

图2 用户在线申请证书过程

1.2 证书管理模块设计

证书管理模块是数据库加密系统中的核心部分。将身份认证模块作为本模块的主要入口，在权限控制的基础上，为整个数据库加密系统提供权限控制以及身份认证的方式，进而对数据信息进行安全加密处理[6]。

身份验证的主要流程是用户提供自己的服务器名称地址、用户名以及密钥的大体位置信息，接着向服务器终端发送登录信息的申请，服务器经过CA 认证得到用户证书，进一步验证其有效性，在验证完成后，取出用户所放置的公钥，与此同时，生成的密钥经过进一步的加密程序后发送给使用者，使用者采取类似方法获取证书，进而获得服务器公钥，服务器根据自身私钥解密得到的数据获取密钥，如果与最初形成的密钥一致，则通过验证，反之则不通过[7]。证书管理模块如图3 所示。

权限控制即是经过对证书级别的确认，根据证书级别的对应权限，设置证书的优劣，进而维护整个数据库安全系统的相互平衡[8]。大致理念是授予使用者用户访问权限，主要依据使用者所担任角色来判定，可以此减少管理权限的复杂多样，同时减轻系统安全设置的负担。个人权限在权限证书生成之后确立，主要是根据定义的用户权限表现实施方案形成的。证书的发放是用户自己在线下载申请表格，填写基本信息之后，由CA 自行发放用户名称以及用户密码，由此可见，以上方式可以很好地避免传统加密系统对信息的泄露，从而使得数据库安全系统更加牢固可靠[9]。

图3 证书管理模块

证书获取过程如图4 所示。

图4 证书获取过程

用户的密钥信息比较敏感，系统自动为用户密钥信息进行加密，并使用独立系统私钥信息，在用户密钥信息恢复时，管理员向中心密钥管理系统提交此份证书。在此基础上进行证书存储安全设计，由于证书服务器在整个数据库安全系统中占据着举足轻重的地位，掌管着密钥的生成、信息数据的管理、证书的签订等关键性功能，所以，要特别注意证书服务器的整体安全。证书服务器要保证自身物理管理及人员相关方面的安全，同时，要保证权限设置与基本通信的安全。用户的私钥等信息具有极强的敏感性，因此，对其进行加密保护十分重要[10]。这些数据的存储过程要十分小心谨慎，采取非对称加密的方法，确保这些数据的绝对安全。数据库安全加密系统发布的两张证书中，包含使用者所有信息的证书以及使用者密钥信息的证书，在使用者需要恢复密钥时，管理人员必须提供相关密钥的密码[11]。

1.3 数据库加密模块设计

数据库安全加密系统体系结构中，加密模块程序在数据运用搜索引擎与数据库的使用过程中占据着主要地位，这两个方面研究质量的优劣，影响着整个数据库安全加密系统的安全性以及实际应用系统中执行任务的速度[12]。数据库安全加密系统中，数据加密引擎的整合、研发程序运用以及服务器运行系统，是数据库安全加密系统的核心任务，主要整合后台信息并且加工处理，其他专职管理人员无主要权利。数据库安全加密系统引擎主要存在于系统CPU 中，通过内存储系统接口与加密字典相互联系，主要信息运用程序共同操作完成，没有自身独立的操作程序系统，在运行操作的过程中，根据系统操作方法自行加载完成。

数据库加密模块主要由加密处理、分析语法含义、数据库信息接口三部分组成，如图5 所示。

图5 数据库加密模块示意图

数据库信息接口运用系统自行模式连接，接触链路标识，使用者在成功登录到服务系统时，便形成了一条从属链。程序运用系统访问措施都是经过此接口与数据库系统进行连接，进而对数据信息安全进行加密保护。加密引擎技术系统的效率关系着整个数据库安全加密系统的效率。数据库的接口连接模式将所有的数据库信息整合到一起，不包括对数据信息的辨认，即可对数据信息进行加密保护处理[13]。

1.4 密钥模块设计

密钥在数据库安全系统中占有极其重要的地位，然而较高层次的数据库系统并没有使用专属引擎模块，即并没有使密钥程序在数据信息运用与数据信息程序运算中独立出来，而以单独个体形式存在。因此，较高层次的数据库系统对于数据库安全加密的主要工作重心都放在了对密钥程序的保护与处理上。密钥模块可以大致分为密钥清单、密钥管理器和密钥库三大组件，结构如图6 所示。

图6 密钥结构图

密钥库的主要功能是对密钥进行加密保护，因为所需加密的数据库数据信息十分重要，所以此种数据的加密密钥也占据着重要地位。具有密钥库的访问与其他基础准备的权限应该仅赋予安全管理相关人员以及密码引擎，同时对密钥库进行加密保护。为了使密钥全部环绕在密钥库周围，要使用Key⁃KEK 对数据库进行进一步的加密。通常情况下，使用单独的密钥库处理本地引擎，主要是为了克服本地引擎在加密过程中将密钥暴露在密钥库之外的不足，若非此种做法，则相当于直接对密钥库进行了访问，由此成为密钥系统的一个薄弱程序构造。

密钥清单提供了记录密钥程序以及引擎设备的功能给使用者，方便使用者加密查询。使用者可以此在不同的密钥程序中获取标识相同的密钥，同时得到来自不同密钥库的多个密钥，在更新密钥清单的过程中，密钥引擎系统与密钥库的相互关系也会随之更新改变。为了使整个数据库系统中的密码程序仅具有唯一独立的密钥，密钥清单分别为每一个密钥另立名户，密钥的识别只能在默认的单一密钥库对密钥进行识别，而密钥清单所处理的系统则可以对密钥进行跨库多方位识别。因此，即使在密钥识别相同的情况下，按照密钥清单的处理，密钥也不会产生重复的错误。

密钥管理器主要对密钥进行删除、创建或者变更，可以自动与密钥库及密钥清单进行联系，密钥发生改变时，密钥管理器开始处理密钥清单与密钥之间的对应关系。由于密钥管理器的脆弱性，要对密钥管理器小心处理，严格掌控密钥管理器的访问系统，并且加密保护此过程中的身份信息处理。

2 安全加密系统软件设计

一级密钥是系统主密钥，二级密钥主要为系统数据密钥，又称为工作密钥。数据库安全加密系统主要采取二级密钥系统处理措施。一级密钥通过专业方式对二级密钥进行分析解密处理，使其转换成工作密钥。一级密钥对工作密钥进行保护处理，工作秘钥以此保护信息的脆弱程度。数据库安全加密系统依赖两种密钥，主要采用IDEA 与对称加密算法对数据进行加密保护。对称加密算法的运算速度要远远高于普通共用的加密算法，对于高层次的数据信息特别适用，因此，该算法经常在高层次数据系统中使用。

加密算法计算过程如图7 所示。

图7 加密算法计算过程

绝大部分的数据库系统的加密处理是为了保护数据信息的安全机密性能，这也是对称算法的主要功能。DES 的算法形式已经逐渐无法适用于当前的信息安全加密保护，而其完美程度与优越性可以很好地体现于对称算法之中。高层次数据库数据信息内容庞杂，系统的安全管理效率较低，所以DES 的算法无法适用于高层次庞大数据库信息量的加密保护措施。因此，采取对称算法对数据信息进行加密，作为公开、公用的算法，自生成以来未发生过大的问题，该算法主要有流加密与块加密两种形式。流加密是对数据信息逐次加密，具有一定的层次性，而块加密是对固定比特长度进行整合加密。块加密所处理的数据按照处理要求划分为大小各异的差异块，进而采用对称加密算法对每一组整合数据进行深层次加密。因为所记录的数据要按照单位比例进行分析处理，为了更加有利于数据库系统操作，数据库的加密信息长度主要选择叠加字段的基本形式，每种字段记录的数据长度大体上是相同的，大体为16 bit。深层次数据库处理系统中主要针对更长的数据块进行分析加密，加密算法中的128 bit 可以被认为是比较安全的数据分组长度。

3 实验研究

为了检测本文设计的数据库安全加密系统对于数据库信息的安全加密效果，与传统加密系统进行了对比，并分析实验结果。

3.1 实验参数设置

设置实验参数如表1 所示。

表1 实验参数设置

3.2 实验结果与分析

得到的实验结果如图8 所示。

图8 实验结果对比

由图8 可知：当加密程序运行了10 min 时，本文系统对信息的加密率为50%，传统方法对信息的加密率为30%；当加密程序运行了20 min时，本文系统对信息的加密率为65%，传统方法对信息的加密率为40%；当加密程序运行了30 min 时，本文系统对信息的加密率为80%，传统方法对信息的加密率为55%。因此，本文方法对于信息的存储量一直高于传统方法对信息的存储量。

经实验对比可知，本文数据库安全加密设计对于数据库信息的安全加密程度更高，更能保护数据信息的深层次内容，优于传统数据库安全加密系统，具有更好的推广效果。

4 结 论

数据库安全系统的核心是数据库安全加密设计，与其他方法相比较，在安全信息、建造成本、修理与维护方面综合考虑，对数据库安全系统加密是最合适不过的数据安全保护手段，而且此方法的性价比较高，更有利于技术推广与研究。在费用投入方面，传统系统投资基本为短周期循环投资，本文方法适用于长远投入，对于信息的安全保护更长久有效。在系统安全方面，大多数系统方法需要不断升级，本文方法可通过一种手段来应对系统的升级变化，减少了因系统升级而造成的数据损失或破坏，节省了与恶意攻击系统者的纠缠时间。数据库信息在加密的过程中可以避免信息管理专职人员对于某些信息查询管理不明晰、无法查询问题原因等问题，并且根据我国近段时间的研究，数据库安全加密系统拥有着更加成熟的条件，可以很好地为使用者提供更加安全可靠的信息加密措施。

然而，本文方法在数据库系统对深层次系统信息文件进行加密的过程中，数据库安全系统中的某些保留功能将会受到一定的损失，并且该方法存在着一定的隐藏风险，需要对其进行进一步的风险评估与技术研究，进一步完善方法理念设计，着手把握大数据发展趋势，使数据库安全加密系统设计具有更加广阔的市场前景。