DB2中的数据值加密
时间:01-21
来源:至顶网
点击:
多年来,数据库已经能够阻止未经授权的人看到其中的数据,这通常是通过数据库管理器中的特权和权限来实现的。在当前的环境下,对存储数据的保密的需求日益增长。这意味着即使 DBA 对表中的数据有完全的访问权限,但是表中可能还有数据拥有者不希望任何其他人看到的某些信息。特别是对于基于 Web 的应用程序,这一问题就更加明显了,在这种应用程序中,用户输入的数据(比如信用卡号)需要保存起来,以备同一用户以后使用该应用程序。同时,用户拥有者希望能够确保任何其他人不能访问这种数据。为了实现这种功能,DB2 内置了一些 SQL 函数,这些函数允许应用程序加密和解密数据。当将数据插入到数据库中时,可以使用用户提供的加密密码对其加密。当检索该数据的时候,必须提供相同的密码才能解密数据。对于要多次使用同一个密码的情况,可以使用一个赋值语句设置 ENCRYPTION PASSWORD 值,并令其在某次连接期间内有效。
本文将描述这些 SQL 函数,并给出一些关于如何使用这些加密函数的例子。我们还将讨论在关系数据库中使用加密数据的设计和性能相关事项。
实现
下面显示了这些新的 SQL 函数的签名。在 DB2 文档的 SQL Reference 部分中有更详细的文档。(为了确保对加密的数据使用正确的数据类型和长度,请务必阅读 SQL Reference 中 ENCRYPT 函数下的"Table Column Definition"部分。)
Encrypt (StringDataToEncrypt, PasswordOrPhrase, PasswordHint)
Decrypt_Char(EncryptedData, PasswordOrPhrase)
GetHint(EncryptedData)
Set Encryption Password
用于对数据加密的算法是一个 RC2 分组密码(block cipher),它带有一个 128 位的密钥。这个 128 位的密钥是通过消息摘要从密码得来的。加密密码与 DB2 认证无关,仅用于数据的加密和解密。
这里可以提供一个可选的参数 PasswordHint,这是一个字符串,可以帮助用户记忆用于对数据加密的 PasswordOrPhrase。(例如,可以使用 "George" 作为记忆 "Washington"的提示。)
列级加密
列级加密(column level encryption)意味着对于一个给定列中的所有值都使用相同的密码进行加密。这种类型的加密可以在视图中使用,也可以在使用了一个公共密码的情况下使用。当对一个或多个表中所有的行使用相同的密钥时,ENCRYPTION PASSWORD 专用寄存器将十分有用。
例 1:这个例子使用 ENCRYPTION PASSWORD 值来保存加密密码。它对雇员的社会保险号进行加密,并以经过加密的形式将其存储在 EMP 表中。
create table emp (ssn varchar(124) for bit data);
set encryption password = "Ben123";
insert into emp (ssn) values(encrypt("289-46-8832"));
insert into emp (ssn) values(encrypt("222-46-1904"));
insert into emp (ssn) values(encrypt("765-23-3221"));
select decrypt_char(ssn) from emp;
例 2:这个例子在结合使用视图的情况下使用 ENCRYPTION PASSWORD 值来保存加密密码。下面的语句声明了 emp 表的一个视图:
create view clear_ssn (ssn) as select decrypt_char(ssn) from emp;
在应用程序代码中,我们将 ENCRYPTION PASSWORD 设置为 "Ben123",现在可以使用 clear_ssn 视图了。
set encryption password = "Ben123";
select ssn from clear_ssn;
行-列(单元格)或 集合-列级加密
行-列(单元格)或 集合-列(Set-Column)级加密意味着在一个加密数据列内使用多个不同的密码。例如,Web 站点可能需要保存客户信用卡号(ccn)。在这个数据库中,每个客户可以使用他自己的密码或短语来加密 ccn。
例 3:Web 应用程序收集关于客户的用户信息。这种信息包括客户名称(存储在宿主变量 custname中)、信用卡号(存储在宿主变量 cardnum中)和密码(存储在宿主变量 userpswd中)。应用程序像下面这样执行客户信息的插入操作。
insert into customer (ccn, name) values(encrypt(:cardnum, :userpswd), :custname)
当应用程序需要重新显示某客户的信用卡信息时,客户要输入密码,同样该密码也要存储在宿主变量 userpswd 中。之后,可以像下面这样检索该 ccn :
select decrypt_char(ccn, :userpswd) from customer where name = :custname;
例 4:这个例子使用提示来帮助客户记忆他们的密码。这里使用与例 3 相同的应用程序,该应用程序将提示保存到宿主变量 pswdhint中。假设 userpswd 的值是 "Chamonix", pswdhint的值是 "Ski Holiday"。
insert into customer (ccn, name)
values(encrypt(:cardnum, :userpswd, :pswdhint), :custname)
如果客户请求关于所使用的密码的提示,可以使用下面的查询。
select gethint(ccn) into :pswdhint from customer where name = :custname;
pswdhint的值被设置为"Ski Holiday"。
本文将描述这些 SQL 函数,并给出一些关于如何使用这些加密函数的例子。我们还将讨论在关系数据库中使用加密数据的设计和性能相关事项。
实现
下面显示了这些新的 SQL 函数的签名。在 DB2 文档的 SQL Reference 部分中有更详细的文档。(为了确保对加密的数据使用正确的数据类型和长度,请务必阅读 SQL Reference 中 ENCRYPT 函数下的"Table Column Definition"部分。)
Encrypt (StringDataToEncrypt, PasswordOrPhrase, PasswordHint)
Decrypt_Char(EncryptedData, PasswordOrPhrase)
GetHint(EncryptedData)
Set Encryption Password
用于对数据加密的算法是一个 RC2 分组密码(block cipher),它带有一个 128 位的密钥。这个 128 位的密钥是通过消息摘要从密码得来的。加密密码与 DB2 认证无关,仅用于数据的加密和解密。
这里可以提供一个可选的参数 PasswordHint,这是一个字符串,可以帮助用户记忆用于对数据加密的 PasswordOrPhrase。(例如,可以使用 "George" 作为记忆 "Washington"的提示。)
列级加密
列级加密(column level encryption)意味着对于一个给定列中的所有值都使用相同的密码进行加密。这种类型的加密可以在视图中使用,也可以在使用了一个公共密码的情况下使用。当对一个或多个表中所有的行使用相同的密钥时,ENCRYPTION PASSWORD 专用寄存器将十分有用。
例 1:这个例子使用 ENCRYPTION PASSWORD 值来保存加密密码。它对雇员的社会保险号进行加密,并以经过加密的形式将其存储在 EMP 表中。
create table emp (ssn varchar(124) for bit data);
set encryption password = "Ben123";
insert into emp (ssn) values(encrypt("289-46-8832"));
insert into emp (ssn) values(encrypt("222-46-1904"));
insert into emp (ssn) values(encrypt("765-23-3221"));
select decrypt_char(ssn) from emp;
例 2:这个例子在结合使用视图的情况下使用 ENCRYPTION PASSWORD 值来保存加密密码。下面的语句声明了 emp 表的一个视图:
create view clear_ssn (ssn) as select decrypt_char(ssn) from emp;
在应用程序代码中,我们将 ENCRYPTION PASSWORD 设置为 "Ben123",现在可以使用 clear_ssn 视图了。
set encryption password = "Ben123";
select ssn from clear_ssn;
行-列(单元格)或 集合-列级加密
行-列(单元格)或 集合-列(Set-Column)级加密意味着在一个加密数据列内使用多个不同的密码。例如,Web 站点可能需要保存客户信用卡号(ccn)。在这个数据库中,每个客户可以使用他自己的密码或短语来加密 ccn。
例 3:Web 应用程序收集关于客户的用户信息。这种信息包括客户名称(存储在宿主变量 custname中)、信用卡号(存储在宿主变量 cardnum中)和密码(存储在宿主变量 userpswd中)。应用程序像下面这样执行客户信息的插入操作。
insert into customer (ccn, name) values(encrypt(:cardnum, :userpswd), :custname)
当应用程序需要重新显示某客户的信用卡信息时,客户要输入密码,同样该密码也要存储在宿主变量 userpswd 中。之后,可以像下面这样检索该 ccn :
select decrypt_char(ccn, :userpswd) from customer where name = :custname;
例 4:这个例子使用提示来帮助客户记忆他们的密码。这里使用与例 3 相同的应用程序,该应用程序将提示保存到宿主变量 pswdhint中。假设 userpswd 的值是 "Chamonix", pswdhint的值是 "Ski Holiday"。
insert into customer (ccn, name)
values(encrypt(:cardnum, :userpswd, :pswdhint), :custname)
如果客户请求关于所使用的密码的提示,可以使用下面的查询。
select gethint(ccn) into :pswdhint from customer where name = :custname;
pswdhint的值被设置为"Ski Holiday"。
- 数据库系统设计全面介绍(上)(11-30)
- 数据库系统设计全面介绍(下)(11-30)
- 官方白皮书:达梦数据库的界面设计(11-30)
- 利用SQL Server数据库快照形成报表(01-01)
- 浅析SQL Server与Oracle区别(04-22)
- SQL Server块日志恢复(04-25)