计算机光盘软件与应用 2010年第7期 Computer CD Software and Appl icat ions 信息技术应用研究 数据库加密技术在电子商务系统中的应用 高翔 (广东省海洋工程职业技术学校,广州 510320) 摘要:电子商务系统是基于互联网平台的,从技术角度来说,互联网是存在许多不安全因素的全球性网络。电子商 务本身的特点包括一开放性、虚拟性、网络化,这就对电子商务系统的安全性提出了严格的要求,就是要合理地解决网络 开放性与安全性之间的矛盾。数据库是电子商务系统的一个基础平台,其中保存有大量重要数据,而且为许多用户所共享, 因而数据库的安全问题也是开发电子商务系统时非常重要的问题。 关键词:数据库;加密技术;电子商务 中图分类号:TP309.7 文献标识码:A 文章编号:1007—9599(2010)07—0029-02 Application of Database Encryption Technology in E-Commerce System Gao Xiang (Guangdong Ocean Engineering Vocational School,Guangzhou 51 0320,China) Abstract:E.commerce system is internet—based platform,from the technical point of view,here are tmany factors of insecurity in the global network.Features include e-commerce itself-open,virtual,network,e.commerce system,which made strict security requirements iS to open nd rataional solution tO he tnetwork and the conflict between security.Database of e—conunerce system of a base platform,which preserves a large number of important data,shared by many users.So database security problems is very important when developing e-commerce system. Keyword:Database;Encryption technology;E—commerce 加密数据库模型的框架设计 模型采用典型的C1ient/Server结构。在客户端,我们要实 现一个加密字典管理程序和一个测试平台。加密字典管理程序的 功能是:根据加密需要对加密字典中的数据进行管理,例如对加 密字段描述信息进行维护、对授权用户信息进行维护、以及对数 据密钥进行维护。客户平台则完成对加密数据库授权用户的身份 验证、数据库用户私钥的解密,加密字段数据密钥的解密,以及 提出查询需求。在服务器端,我们要实现一个加解密引擎,处理 从客户端发来的对加密数据库的访问请求并将结果返回给客户 端。模型的总体框架如下图 一、加密字典管理程序 应用系统 ,\ r \/ r 加密字典 用户数据 加/解密引擎 jr SQL Server服务器 客户测试平台 图卜1加密数据库模型的总体框架 应用系统创建数据库应用表之后,用户通过运行图形化界面 所示。 加密字典管理程序,定义哪些应用表中的哪些字段的数据需要 加密。加密字典管理程序将把这些用户定义信息存入加密字典中。 应用表加密后,用户还可以使用加密字典管理程序修改加密定义, 重新指定加密表或加密字段。数据库al/解密引擎是该系统的核心 部件,负责在后台完成数据的aH/解密处理。当应用程序向数据库 插入或更新数据时,加解密引擎根据加密字典中的信息,确定当 前数据是否需要加密,如果需要加密,则对数据加密后再写入数 图2.1加密字典管理 据库中。同样当应用从数据库中检索数据时,加密系统根据加密 (二)用户登录 字典中的信息判定是否需要解密,如果需要解密,对数据进行解 用户登录是数据库管理员启动加密字典管理程序后必须通过 密以后再交给应用,存储在数据库中的数据仍然是密文。加密字 的身份验证模块,该模块防止未授权人员使用加密字典管理程序, 典管理程序是一个特殊的数据库应用。加密字典管理程序需要对 确保加密字典的安全。它主要包括用户登录、身份验证、口令加 数据字典进行读操作,对加密字典进行写操作。数据字典和加密 密功能。用户身份认证的流程如图2.2所示,以提高系统用户访 字典存储在数据库中并且是不加密的,为了加快执行速度, 问的安全性和可靠性。 加密字典管理程序执行这些操作时不通过an/解密引擎直接 一一与客户端平台通信。另一面,当用户提交数据加密的定义要求时, 加密字典管理程序通过an/解密引擎,实现数据明文与密文之间转 换的功能。 当用户通过测试平台登录到加密数据库并成功后,测试平台 会与加密字典进行交互,从加密字典中找到该用户的加密形式私 钥,并解密得到用户私钥。当要访问到某个加密字段的时候,测 试平台也会从加密字典中找到相关的数据加密拷贝,并解密得到 数据密钥。当在客户端的测试平台上执行涉及到加密字段内容的 SQL语句时,测试平台会与加解密引擎交互,将查询需求转由加 解密引擎去处理。然后,加解密引擎与加密字典以及DBMS核心交 互,完成对数据的加解密,并将正确的结果返回到客户端。 当在测试平台上提出的数据库访问请求不涉及到加密字段 时,客户端测试平台会跨过加解密引擎,直接与DBMS交互,完成 对普通数据的访问。以下对各个设计模块分别进行描述。 二、加密字典管理 (一)结构设计 加密字典管理是管理员定义加密字段的工具,它提供了用户 管理、加密字典配置、信息检索、加密字典权限管理等功能,利 用数据库加密解密引擎完成对数据的加解密处理。数据库加密系 统对加密数据的所有操作均需要加密字典的支持,都需要以加密 字典为基础。在加密字段的添加和删除过程中,需要调用加密字 典配置、信息检索以及加解密引擎模块来实现。其流程如图2.1 29一 计算机光盘软件与应用 信息技术应用研究 Computer CD Software and Applications 2010年第7期 Authorized User表取出用户的密文形式私钥。当数据库用户还 不是加密数据库合法用户时,就不具有公钥/私钥对。此时,客户 端程序会给出提示。 (4)针对上一步骤取到密文形式私钥,执行DES算法进行解 密,解密密钥是步骤2得到的口令MD5加密值。得到用户的私钥, 存入应用程序的全局变量privatekey中。 在客户端程序中要访问到某个加密字段时。首先客户端程序 会先生成一个SQL语句,去查询加密字典中的Encrypted—Table 表、Encrypted Column表、Authorized—User表中的 图2.2用户登录流程 Encrypted Key表。该SOL语句形式为: (三)加密字典配置 “ SELECT k.encrypteddatakey From 管理员首先通过加密字典配置划分应用程序的用户类、数据 master.dbo.EncryptedTable t, 类以及每个用户类所拥有的数据类的权限信息,并给合法用户授 Master.dbo.Encrypted Column 权;然后按照配置调用密钥管理模块完成用户密钥、用户类密钥 c,master.dbo.EncryptedKey k WHERE 以及数据类密钥的生成分配以及存储。加密信息配置表存放由管 k.authorizedloginID=1.authorizedloginID and 理员根据用户需求定义的加密配置,实现向加密字典表中添加, k.encryptedcolumn ID=c.encryptedcolumnID and —更改或删除加密字段的功能。它调用表信息检索模块和加解密引 t.encryptedtableID=c.encryptedtableID and 擎,完成一个表的加密定义修改任务。该模块是加密字典管理程 t.originaltable name=‘’’&tabkename&’’ and 序的主要功能模块。 1.authorizedloginns/ne=‘”&username&”’” (四)信息检索 这样,根据要查询的表的表名,以及用户名,就可以得到该 该模块从系统的数据字典中检索出与某个表有关的各种信 表中针对加密字段的数据密钥(密文形式)。要申明的一点是,如 息,放入结构变量,这些信息包括表名、表标识、主键定义、字 果数据库用户不是加密字段的授权用户,则取到的将是空值。 段定义等,供其他模块使用。信息检索函数的输入是字段名称和 在客户端程序中执行RSA算法,对取得的密文形式数据密钥 表名称,输出是满足条件的表信息结构体,该模块被加密字典配 进行解密,解密密钥就是存储在全局变量privatekey中的用户 置模块调用,共同完成加密字段定义的变更。 私钥,得到数据密钥,存入全局变量datakey中。 三、数据加解密引擎客户端测试平台的设计 执行用户的访问要求。当涉及到加密字段的访问时,服务器 在客户端设定一个测试程序,来完成访问加密数据库中数据 就会利用视图机制去执行查询操作,或者是执行执行插入/修改操 的功能。在向服务器端发送真正的查询或其它操作的请求之前, 作。当视图或触发器中需要用到数据密钥对密文数据进行加密解 客户端必须先完成用户登录等一系列工作。在我们的设计中,当 密的时候,可以从应用程序上下文中取得。 一个用户输入登录信息(包括加密数据库的信息,用户名,口令) 参考文献: 之后,程序会做以下工作: [1】王谦,陈放.加强电子政务信息安全保障体系建设Ⅱ】.安防科 (1)输入的信息去与数据库建立连接,若建立连接成功,则 技,2009,3 说明用户的用户名与口令相符,用户输入的口令有效;如果建立 【2]张基温.信息安全实验与实践教程.清华大学出版社[M],2005 连接失败,则用户名与口令不相符,终止并退出程序。 [3]季厌浮.具有等级性的密钥管理方法的设计卟煤炭技术,2009,1: (2)输入的口令进行加密,执行MD5加密算法,生成口令的 91-93 5加密值。 【4】李黎明.敏感数据库加密算法与密钥管理Ⅱ1..计算机与现代 (3)根据用户名生成一个SQL查询语句: 化,2005,(7):94—97 “ SELECT encrypted ̄rivatekey From master.dbo.Authorized User WHERE 作者简介 authorizedloginname=‘’ &username&’’’” 高翔(1969一),男,汉族,硕士,广东省海洋工程职业技术学校 在应用程序中执行该SOL语句,就可以从加密字典中的 讲师,研究方向:数据库技术 (上接第23页) 用优势。虽然H.264相对于相传统的视频压缩标准而言有着诸多的 更好的优先级控制。在作为3G标志的多媒体应用中,大多以分 优点,但却增加了视频编码的计算复杂度 因此,在保证高效率 组交换的方式来进行,NAL单元往往以RTP包的形式按照 编码的同时,尽可能地降低计算复杂度将成为今后研究的重点。 RTP/UDP/IP协议进行封装和传输。无线通信中可以通过改变每 参考文献: 一帧的量化精度或空间/时间分辨率来支持无线信道中的比 f11肖明明.IP网视频容错技术的研究 _广州:中山大学,2003 特率变化。但在某些特定的情况下,编码器无法实现对各种 毕厚杰.新一代视频编码压缩标准H.264/AVC[M].北京:人民邮 变化的比特率进行响应。所以,与MPEG一4中采用的精细分级 电出版社,2005 编码FGS不同,n.264采用了流切换的sP帧来代替分级编码, [31- ̄-峰,何晖.H.264编码技术在3G移动通讯中的应用卟景德镇高 并利用数据分割的方法来应对信道码率的变化,从而实现在 专学报,2008,6 不同码率的视频流之间进行自适应地切换,这就增强了H.264视频 【4]Joint Video Team OVT)of ISO/IEC MPEG and ITu—TVCEG, 流对3G网络的适应性。 H.264 JM一9.3 Software. 五、结束语 作为新一代的视频压缩标准,H.264是面向Internet和无线网 作者简介 络的视频编码和传输的技术,它不仅增强了网络的适应能力,而 顾继业(1986一),男,硕士研究生,研究方向通信网络与信息安 且提高了压缩编码效率,从而实现了在相同的码率条件下获得更 全技术: 高的视频传输质量。本文结合3G无线网络的固有特性,系统地分 刘真祥(1955一),男,教授,硕士生导师; 析了n.264视频压缩技术的原理以及它在3G视频监控系统中的应 金葆华(1984一),男,硕士研究生,研究方向信息安全与密码学; 一30—