許濟寧

（黑龍江省網(wǎng)絡(luò)空間研究中心，哈爾濱 150090）

進(jìn)入信息時代以來，計算機網(wǎng)絡(luò)是推進(jìn)計算機科學(xué)、通信科學(xué)等信息技術(shù)領(lǐng)域發(fā)展的重要組成部分?，F(xiàn)如今，計算機網(wǎng)絡(luò)已經(jīng)成為人們?nèi)粘Ｉ畹囊徊糠?，隨之而來的信息安全問題也時刻影響著廣大群眾的生命財產(chǎn)安全和社會穩(wěn)定。在眾多的計算機網(wǎng)絡(luò)安全技術(shù)中，數(shù)據(jù)加密技術(shù)是較為常用且最為有效的算法加密技術(shù)，能夠有效應(yīng)對惡意軟件、電腦病毒、網(wǎng)絡(luò)黑客、木馬等計算機網(wǎng)絡(luò)安全攻擊行為。

1 計算機網(wǎng)絡(luò)信息安全

計算機網(wǎng)絡(luò)安全可以分為兩類，第一類是物理意義上的安全行為，即通信過程中各類設(shè)備、節(jié)點和設(shè)施的有形物品保護；另一類是邏輯上的安全行為，即保證信息有效、安全和完整的安全行為。計算機網(wǎng)絡(luò)信息安全就是針對邏輯安全的一類安全保護行為的統(tǒng)稱，其目的就是保護計算機網(wǎng)絡(luò)中用戶數(shù)據(jù)的可靠性、保密性和完整性。計算機網(wǎng)絡(luò)信息安全的特征可以概括為完整性、可追溯性、可用性和保密性4個方面。完整性就是用戶運行網(wǎng)絡(luò)中的應(yīng)用和操作相關(guān)數(shù)據(jù)時，該數(shù)據(jù)必須是真實有效的，不能在用戶獲取的前后階段被其他人惡意修改和破壞；可追溯性就是指用戶有權(quán)查看自己權(quán)限范圍內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)，并有提出異議和進(jìn)行修復(fù)申請的權(quán)利；可用性是指用戶可以對所屬有效數(shù)據(jù)進(jìn)行各類操作，并且不被其他無權(quán)限的用戶任意獲取和破壞；保密性是指計算機網(wǎng)絡(luò)中的數(shù)據(jù)運算、傳輸、獲取和解析都要進(jìn)行非明文處理。

2 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是計算機領(lǐng)域中的一種密碼技術(shù)，是利用密鑰算法來實現(xiàn)數(shù)據(jù)交換、網(wǎng)絡(luò)重組等過程的加密處理，保證數(shù)據(jù)安全和可用性的網(wǎng)絡(luò)信息安全技術(shù)。數(shù)據(jù)加密技術(shù)的原理就是在數(shù)據(jù)生成后和接收前利用密鑰和加密算法進(jìn)行明文到密文、密文到明文的轉(zhuǎn)換。計算機網(wǎng)絡(luò)中的數(shù)據(jù)經(jīng)過加密處理后，能夠有效避免沒有持有密鑰的用戶和其他網(wǎng)絡(luò)進(jìn)行解析、轉(zhuǎn)達(dá)和獲取，保證了網(wǎng)絡(luò)的信息安全。

數(shù)據(jù)加密技術(shù)可以分為對稱密鑰和非對稱密鑰兩種，早期的加密技術(shù)多為對稱密鑰，相對可靠性難以得到保證，目前大部分的加密技術(shù)都是非對稱密鑰。對稱密鑰是指用同一個密鑰進(jìn)行加密和解密處理，以達(dá)到保證數(shù)據(jù)完整性的目的。對稱密鑰技術(shù)的加密算法復(fù)雜度較低，加密強度較低，優(yōu)點是加密過程的時間較短。非對稱密鑰是利用2個或多個密鑰進(jìn)行加密、解密處理，其原理是數(shù)據(jù)發(fā)送和接收兩方采用公私鑰加密機制，雙方不存在密鑰交換的風(fēng)險。非對稱密鑰技術(shù)的加密算法復(fù)雜度較高，加密強度較好，缺點是算法復(fù)雜加密時間較長。

3 數(shù)據(jù)加密技術(shù)在計算機網(wǎng)絡(luò)安全中的實際應(yīng)用

無論是何種類型的網(wǎng)絡(luò)攻擊，其主要目的就是非法獲取網(wǎng)絡(luò)中各節(jié)點的數(shù)據(jù)并加以利用。作為數(shù)據(jù)存儲、處理的基本單元，數(shù)據(jù)庫的防護與維護目前是保證網(wǎng)絡(luò)信息安全的重要工作。數(shù)據(jù)加密技術(shù)在數(shù)據(jù)庫中的應(yīng)用就是在存儲層進(jìn)行數(shù)據(jù)加密，確保即使數(shù)據(jù)被盜用也無法被非法篡改和利用。目前比較常見的數(shù)據(jù)庫加密技術(shù)包括前置代理及加密網(wǎng)關(guān)技術(shù)、應(yīng)用層改造加密技術(shù)、基于文件級的加解密技術(shù)和基于視圖及觸發(fā)器的后置代理技術(shù)4類。

前置代理及加密網(wǎng)關(guān)技術(shù)就是在數(shù)據(jù)應(yīng)用與數(shù)據(jù)庫之間建立基于訪問控制策略的代理機制，將數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行加密并提供給客戶端使用?？蛻舳说恼埱笾噶钜惨诖碇羞M(jìn)行權(quán)限控制和加密處理后才能傳遞至數(shù)據(jù)庫。前置代理及加密網(wǎng)關(guān)技術(shù)在根本上保證了數(shù)據(jù)庫數(shù)據(jù)的安全性，但由于要存儲大量的加密數(shù)據(jù)，與數(shù)據(jù)庫之間的一致性難以保證，維護成本較高。

應(yīng)用層改造加密技術(shù)的原理就是針對敏感數(shù)據(jù)進(jìn)行加密處理，以文件的方式存儲在數(shù)據(jù)庫底層，密文傳遞至客戶端后進(jìn)行解密處理后再使用。應(yīng)用層改造加密技術(shù)的問題在于增加了客戶端業(yè)務(wù)的復(fù)雜性，數(shù)據(jù)庫的索引機制無法使用會降低數(shù)據(jù)檢索的效率。

基于文件級的加解密技術(shù)是指對數(shù)據(jù)庫運行環(huán)境和載體的加密處理，如操作系統(tǒng)、文件系統(tǒng)、網(wǎng)絡(luò)接口等。數(shù)據(jù)庫相關(guān)的載體文件在打開時會進(jìn)行解密處理，并利用操作系統(tǒng)的用戶訪問控制來限制數(shù)據(jù)庫文件系統(tǒng)的訪問權(quán)限，數(shù)據(jù)操作完成后生成的文件還要進(jìn)行加密處理?；谖募壍募咏饷芗夹g(shù)的問題在于需要針對不同的操作系統(tǒng)和文件格式進(jìn)行加密、解密算法設(shè)計，并且無法針對不同級別的訪問用戶進(jìn)行權(quán)限控制，需要借助其他軟件產(chǎn)品來實現(xiàn)。

基于視圖及觸發(fā)器的后置代理技術(shù)是充分利用數(shù)據(jù)庫自身提供的應(yīng)用定制擴展能力，分別使用其觸發(fā)器擴展能力、索引擴展能力、自定義函數(shù)擴展能力以及視圖等技術(shù)來滿足數(shù)據(jù)存儲加密，加密后數(shù)據(jù)檢索，對應(yīng)用無縫透明等最主要需求。基于視圖及觸發(fā)器的后置代理技術(shù)是目前較為先進(jìn)的加密技術(shù)，但在數(shù)據(jù)量過大時存在的性能問題也是各數(shù)據(jù)庫廠商研究的熱點問題。

4 結(jié)束語

計算機網(wǎng)絡(luò)信息安全的目標(biāo)就是保證數(shù)據(jù)庫的可靠性、保密性和完整性。數(shù)據(jù)加密技術(shù)實現(xiàn)了數(shù)據(jù)運算、傳輸、獲取和解析的非明文處理，保證了用戶隱私信息不被盜用和篡改，是有效提高網(wǎng)絡(luò)信息安全工作效率的先進(jìn)技術(shù)。數(shù)據(jù)加密技術(shù)在數(shù)據(jù)庫、電子商務(wù)、局域網(wǎng)、通信等網(wǎng)絡(luò)場景都有廣泛應(yīng)用的價值，應(yīng)得到運營商、軟件供應(yīng)商、運維人員和用戶的高度重視，合理加以利用來保證數(shù)據(jù)的合法性、安全性和完整性。