一、企业数据库安全及数据加密设计

下面针对一个小型企业的购销系统的安全与保密问题，提出安全系统设计方案，使其具有身份认证、存取权限控制、信息加、解密和密钥管理等功能。购销系统安全结构如图2所示。

1、用户权限控制

系统首先对用户发出的访问请求进行身份和授权认证，具有合法权限的用户才能进入系统操作环境，对数据库进行权限范围内的访问；同时，将认证及访问情况记录在日志中，便于日志审计。安全认证管理流程如图3所示。

对用户Uc的权限a管理采用一个三元授权函数f：U× D×A→（True，False）完成。授权模型为三元组（uc，dc，a），uc，dc，a分别为：按数据库中密文数据不同的安全等级将数据划分为不同的数据类畋，记数据类集合为D，dc∈D；按用户的访问权限将用户划分为不同的用户类Uc，记用户类集合为U，Uc∈U；定义A为授权类型集合（读，写，修改等），权限a∈A。当f（uc，dc，a）=True时表明用户类Uc对数据类Dc有a权限；为False则无权限。

2、 信息存取控制

对数据库中有关表和字段信息的加密、解密采用对称加密算法中的分组密码算法DES实现，使用的密钥为64位，有效密钥长度为56位（有8位用于奇偶校验）。如果要求“强壮”加密，可采用三重DES、IDEA等加密算法。表和字段信息的加／解密控制与删改权限控制的结合及其实施方案如图4所示。

企业数据库安全与加密设计

有关表和字段的密钥由相关人员妥善保管。在查询有关材料的详细信息时，首先要求用户插入相应的密钥盘，用该密钥对密文信息进行解密，变成相应的明文信息，进而显示各表中的信息明文。当用户要求修改有关信息内容时，除了要有该表的密钥之外，还要求用户拥有修改权限，这是通过给有相应权限的人员分配一个修改密钥实现的，该密钥也存放软盘上，验证密钥采用单向函数体制。

3、密钥管理

各存取控制密钥的产生，是利用随机数产生器随机产生40位十进制整数作为密钥。随机选择40位十进制大素数作为模。密钥的分配情况是，身份验证、数据表修改和数据库管理界面的访问控制密钥在系统初始化时产生并分配给用户，各数据表密钥在信息录入时产生并分配给用户。

4、 系统安全性分析

单向函数体制的保密程度是基于有限域中离散对数算法的复杂性。这里，素数模n取40位十进制整数。由于n是保密的，所以猜测，n的计算复杂度（10的29次方），因而用穷举法来破译是不可能的。对于DES算法，由于密钥量n=2的 56次方=7×10的16次方，所以DES算法的安全性已经足够胜任加密要求不是很严格的购销系统了。
小知识之密钥管理

密钥，即密匙，一般范指生产、生活所应用到的各种加密技术，能够对各人资料、企业机密进行有效的监管，密钥管理就是指对密钥进行管理的行为，如加密、解密、破解等等。

二、数据加密技术的发展趋势

除了上述数据加密算法外，近年来还出现了一些新的数据加密算法，其中以1998年6月正式公布的多步加密算法最为著名，但纵观这些新的数据加密算法都是基于上述理论基础的。数据加密技术今后的研究重点将集中在三个方向：

第一，继续完善非对称密钥加密算法；

第二，综合使用对称密钥加密算法和非对称密钥数据加密算法，利用它们自身的优点来弥补对方的缺点；

第三，随着笔记本电脑、移动硬盘、数码相机等数码产品的流行，如何利用加密技术保护数码产品中信息的安全性与私密性、降低因丢失这些数码产品带来的经济损失也将成为数据加密技术的研究热点。

小知识之数据加密

数据加密又称密码学，它是一门历史悠久的技术，指通过数据加密算法和加密密钥将明文文件转变为密文文件，而解密则是通过解密算法和解密密钥将密文文件恢复为明文文件。数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。它利用密码技术对文件加密，实现信息隐蔽，从而起到保护文件的安全的作用。