数据库“敏感”数据安全加密系统设计研究

【 摘 要 】 本文首先简要阐述了数据加密技术，然后从数据库“敏感”数据安全加密系统的体系结构、功能模块及数据加密模块的设计与实现三个方面，对数据库“敏感”数据安全加密系统设计进行了相关的研究。

【 关键词 】 数据库；敏感数据；安全加密系统；设计

Database “Sensitive” Data Encryption System Design Research

Huang Nan

（Xinxiang Institute HenanXinxiang 453000 ）

【 Abstract 】 This paper briefly expounds the data encryption technology， and then from the database " sensitive " data encryption system structure， function module and data encryption module design and the realization of three aspects of " sensitive " data security database encryption system design of related studies.

【 Keywords 】 sensitive data； database； security system； design

0 引言

随着社会科技的不断发展与进步，互联网得到了飞速发展，计算机技术也得到了广泛的应用，但另一方面信息的安全问题却日益突出，信息安全技术应运而生并得到了极大的发展。信息安全技术的核心是数据加密技术，它不仅能够加解密数据，而且还能够鉴别、认证数字签名等，从而使在网络上传输的数据的完整性、确认性及机密性得到了切实的保证。本文将DES算法和RSA算法的优点结合起来，将一个数据加密系统设计了出来，同时将Java安全软件包充分利用起来，实现了数字签名。

1 数据加密技术

1.1 私钥加密体制

私钥加密体制指在加密和解密时所使用的密钥是相同的，由两种类型，分别是分组密码和序列密码。分组密码对明文进行分组的依据是其固定的长度，用同一个密钥加密每一个分组，从而促进等长的密文分组的产生。序列密码又称流密码，因为它将明文数据一次加密一个字节或比特。和序列密码相比，分组密码使用于软件实现，并且具有较快的加密速度，因此在人们的日常工作和生活中得到了极为广泛的运用。

1.2 公钥加密体制

1976年，W.Diffie和Hellman最早提出了公钥体制，利用两个不同的密钥分开加密和解密的能力是该体制最大的特点。公开密钥在加密信息中得到了应用，而使人密钥则在解密信息中得到了应用。通信双方可以直接进行保密通信，而不需要事先交换密钥。同时，在计算机上也不能实现从公开的公钥或密文中将明文或密钥分析出来。

2 数据库“敏感”数据安全加密系统设计

2.1 数据库“敏感”数据安全加密系统的体系结构

该加密系统是在目前较为成熟的仿真网络体系结构HLA的基础上发展起来的，由两部分组成，分别是CA服务器端和客户端。在联邦成员中嵌入加密客户端，可以对各联邦成员之间的“敏感”数据进行加密，CA服务器则可以生成、分发及管理密钥。联邦成员和CA服务器之间及各个联邦成员之间进行通讯的途径是HLA-RTI接口。加密系统体系结构如图1所示。

2.2 数据库“敏感”数据安全加密系统的功能模块

CA服务器端与加密客户端组成了加密系统的功能模块。其中，CA服务器端的主要功能是认证客户端的身份、生成、存储并分发RSA密钥等。密钥是在用户口令字和大数分解理论的基础上生成的，每次有一对密钥（公钥和私钥）产生，用于对会话密钥进行加密和数字签名，也就是对称加密算法AES或DES、 3DES算法的密钥；将生成的密钥对和申请者的用户名联系起来，促进一个关联目录的生成，以方便客户端查找即是密钥的存储；依据客户端的请求信息，在关联目录中将与之相匹配的信息查找出来，如果找到的话，就把密钥向请求的客户端发送即是密钥的分发。

加密客户端的主要功能是完成对文件的加密和解密、传输实时数据的加密和解密密文、管理和传输对称加密算法的密钥及和CA服务器交互等。其中，对称加密算法AES或DES、 3DES及混沌序列加密算法的密钥均在密钥生成模块生成；密钥的加密传输模块主要是使会话密钥的安全得到切实的保障，也就是说，用公钥密码算法RSA的公钥对会话密钥进行加密，然后一起传输加密后的密钥和密文，在解密端，为了得到会话密钥，可以使用TSA的私钥来进行解密；实时数据的加密和解密模块的基础是混沌特性，在加密或解密实时数据时利用混沌序列密码算法。加密系统的功能模块划分如图2所示。

2.3 数据加密模块的设计与实现

混合加密体制是数据加密系统所使用的，它将对称密码算法具有的较快的贾母速度、较高的加密强度、较高效的加解密大量数据等能力进行了充分的运用；公钥密码算法具有较高的加密强度，密钥便于管理。为了弥补传统密码算法中不便于传递密钥的缺点，可以加密明文的密钥。将二者结合起来，可以实现数据传输的安全性。

2.3.1 3DES算法的设计与实现

目前，虽然DES具有较为广泛的应用范围，并且人们可以很方便地从公开渠道获取，但是因为DES只有56位的密钥长度，易于攻击，其加密强度已经远远不能满足现代安全的需要，因此可以将两个56位的密钥混合起来使用来完成加解密，这样密钥就达到了112位的长度，从而大大增强了加密强度，这就是3DES。3DES的算法原理如图3所示。

图3中密钥K1、K2是随机产生的。

三重DES算法的实现主要包括DES类和THREE类两个类。其中DES类的主要函数是public static byte [] encrypt（byte [] oword64 ， int [] [] iSubKeys ） // 加密；public static byte [] decrypt （byte [] bCipher-text ， int [] [] SubKeys ） // 解密。THREE类的主要函数是public static byte [] encrypt（byte [] oword ， int [] [] SubKeys1 ， int [] [] SubKeys2 ） // 解密；public static byte [] decrypt （byte [] sword ， int [] [] SubKeys1， int [] [] SubKeys2） // 加密，返回明文。

2.3.2 RSA算法的设计与实现

大数分解是RSA的安全性赖以存在的基础。公钥和私钥都是两个大素数的函数。RSA算法的实现主要包括三个部分，即生成密钥、加密数据和解密数据。在变量的定义方面，在对p、q、n、e、d、t进行定义时，利用Java中的大数BigInterger（）；在密钥的生成方面，利用public boolean generatePQNTED（Stringe）；在加密数据方面，利用public String Encrypt （String msg 、BigInteger pbkey 、BigIntiger n ） ，在加密的过程中，在对所要加密的字节数组进行分组时，可以利用转换函数copyBytes（）；在解密数据的过程中，利用之前产生的公钥n与私钥d。把所要解密的数据与公钥n与私钥d作为参数向加密函数public String Decrypt （String msg ， BigInteger prikey ， BigInteger n ） 传递。

RSA只有在大数运算的基础上才能实现，只有这样才能执行大量的大数加减乘除和模逆、模幂运算。这就导致相对于其他特别是对称密钥算法来说，RSA的实现效率十分低下。本文设计的系统中生成的DES密钥用RSA替代的原因也就是这种速度上的差异。

本文设计的数据库“敏感”数据安全加密系统，将数据的加密技术和签名技术综合了起来，一方面解决了密钥的管理问题，另一方面也使数据的不可否认性及完整性得到了切实的保障，同时也将该系统网络通信的程序设计和界面设计方法提供了出来。本系统将集中主要的加密算法进行了具体的分类，使代码的高效性、可扩展性等得到了有效地增强，有利于以后的再次开发。

参考文献

[1]胡向东，魏琴芳.应用密码学[M].北京：电子工业出版社.2006.

[2]贺雪晨，陈林玲，赵琰.信息对抗与网络安全[M].北京：清华大学出版社.2006.

[3]褚雄，王子敬，王勇.一种基于FPGA的DES加密算法实现[J].江南大学学报（自然科学版），2006，15（6）：661—664.

[4]朱作付，徐超，葛红美.基于DES和RSA算法的数据加密传输系统设计[J].通信技术，2010，43（4）.

[5]Compag，HewIett-Packard，InteI，Lucent，Microsoft，NEC，PhiIips.UniversaI Bus Specification（Revision 2. 0）[M]. InteI，2000.

[6] Teo Pock Chueng，et al. Implementation of Pipelined Data Encryption

Standard（DES）Using Altera CPLD[J]. IEEE，2OOO，O-78O3-6355-8：III-l7- III-2l.

作者简介：

黄楠（1967-），女，汉族，河南开封人，硕士，副教授；研究方向：数据库多媒体信息处理、图形图像识别。