1 Access数据库的安全性问题
Access数据库作为微软推出的以标准JET为引擎的桌面型数据库系统,由于具有操作简单、界面友好等特点,成为许多中小型网上应用系统的首选数据库。Access数据库在为我们带来便捷的同时,也带来了不容忽视的安全问题。
1.1 Access数据库的加密技术
Access 提供了设置数据库安全的几种传统方法:为打开的数据库设置密码,或设置用户级安全,以限制允许用户访问或更改数据库的哪一部分,以及加密数据库使用户无法通过工具程序或字处理程序查看和修改数据库中的敏感数据。除这些方法之外,还可将数据库保存为 MDE 文件以删除数据库中可编辑的 Visual Basic 代码以防止对窗体、报表和模块的设计进行修改。
(1)设置密码。最简单的方法是为打开的数据库设置密码。设置密码后,打开数据库时将显示要求输入密码的对话框。只有键入正确密码的用户才可以打开数据库。在数据库打开之后,数据库中的所有对象对用户都将是可用的。
(2)用户级安全。设置数据库安全的最灵活和最广泛的方法是设置用户级安全。这种安全类似于很多网络中使用的方法,它要求用户在启动Access 时确认自己的身份并键入密码。
(3)加密数据库。对数据库进行加密将压缩数据库文件,并使用户无法通过工具程序或字处理程序查看和修改数据库中的敏感数据。
1.2 Access数据库的安全隐患
Access数据库的设置密码算法比较简单,很容易被破解。Access数据库的文件头中42H-4EH为密码区。设置密码时,根据所设密码的ASCII码与密码区的内容进行异或运算,最后将运算的结果存入密码区。
在Access数据库打开之后,数据库中的所有对象对用户都将是可用的。对于一些存储敏感数据的Access数据库,除了设置数据库密码外,应该对数据库中的数据进行加密。
由此可以看出,Access的安全性有待于进一步提高。
2 Access数据库的加密及应用
在文[1]中,笔者介绍了随机加密算法。随机加密算法,是一种利用随机函数的随机数序列与数据进行异或等运算,实现对数据加密的方法。在随机加密算法中,加密所用的数据是随机数且不重复使用,实现了“一次一密”的加密。
下面,我们研究在ASP.NET+Access的Web数据库解决方案中,利用随机加密算法消除Access数据库安全隐患的问题。
2.1 基于ASP.NET的随机加密算法
ASP.NET支持Unicode字符。在ASP.NET中,使用Unicode字符,对数据进行随机加密,安全性很高。
2.1.1 ASP.NET中Random 类概述
在ASP.NET的System 命名空间中,包含着基本类和基类,Random 类是其中的一个类,包括以下构造函数和主要方法:
构造函数:
Random 已重载。初始化 Random 类的新实例。
Random(),使用与时间相关的默认种子值,初始化Random类的新实例。
Random(Seed),使用指定的种子值初始化Random类的新实例。
方法:
Next 已重载。返回整型随机数序列的下一个随机数。
NextBytes 用随机数填充指定字节数组的元素。
NextDouble 返回一个介于 0.0 和 1.0 之间的随机数。
随机数的生成是从种子值开始。如果反复使用同一个种子,就会生成相同的数字系列。
2.1.2 ASP.NET随机加密程序代码
在ASP.NET中,可调用下面的Encrypt()函数对数据进行随机加密,其参数s为要加密的数据。
<%@ Import Namespace="System.Globalization" %>
… … … …
Function Encrypt(s As String) As String '加密入口函数
Dim rnd As Random
Dim Seed As Integer
Seed = RandomSeed()
Encrypt = (Seed Xor AscW("数") Xor AscW("据")).ToString("X4")
' Encrypt为密钥,由随机种子和"数"、"据"的Unicode编码异或运算而成的
rnd = new Random(Seed)
Encrypt += RandomEncrypt(s,rnd)
End Function
Function RandomSeed() AS Integer '生成随机种子函数
Dim rnd As Random
rnd = new Random()
Randomize (Timer)
RandomSeed = rnd.Next And 32767
End Function
Function RandomEncrypt(s As String,rnd As Random) As String '随机加密函数
Dim n As Integer = 1
RandomEncrypt = ""
Do While n <= s.Length
RandomEncrypt += ((rnd.Next And 65535) Xor
AscW(Mid(s,n,1))).ToString("X4")
n += 1
Loop
End Function
2.1.3 ASP.NET解密程序代码
在ASP.NET中,可调用下面的Decrypt()函数实现对随机加密的数据进行解密,其参数s为需要解密的数据。
<%@ Import Namespace="System.Globalization" %>
Function Decrypt(s As String) As String '解密函数
Dim Seed,EncryptCode As Integer
Dim DecryptChar As String
Dim rnd As Random
Seed = Int32.Parse(Mid$(s,1,4),NumberStyles.HexNumber)
Seed = Seed Xor AscW("数") Xor AscW("据")
rnd = new Random(Seed)
Dim n As Integer = 5
Decrypt = ""
Do While n < s.Length
EncryptCode = Int32.Parse(Mid$(s,n,4),NumberStyles.HexNumber)
DecryptChar = ChrW((rnd.Next And 65535) Xor EncryptCode)
Decrypt += DecryptChar
n += 4
Loop
End Function
2.2 基于ASP.NET的Access数据库加密及其在信息安全中的应用
随机加密算法简单,容易实现。加密数据时,调用Encrypt()函数,参数为需要加密的数据;解密数据时,调用Decrypt() 函数,参数为需要解密的数据。
例如,在Access数据库DB1.MDB中,建立了一个表Member。其结构为:id(int,4)、name(char,20)和password(nvarchar,50)。
1) 在表Member中添加一条记录,其中,利用随机加密算法对Password字段的内容进行加密。
实现这一功能的VB 部分代码为:
<%@ Import Namespace="System.Data" %>
<%@ Import Namespace="System.Data.OleDb" %>
… … … …
Dim a As String = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=DB1.MDB"
Dim pass As String = Encrypt("13039498050") ' 调用Encrypt ()函数对数据进行加密
Dim MyExecuteQuery As String= "insert into
Member([id],[name],[password])
values(11,'Admin','" +pass +"')"
Dim MyConnection As New OleDbConnection(a)
Dim MyCommand As New OleDbCommand(MyExecuteQuery, MyConnection)
MyCommand.Connection.Open()
MyCommand.ExecuteNonQuery()
MyConnection.Close()
其中:Password字段的内容为加密数据。
2) 查询表Member的数据,其中,利用随机加密算法对Password字段的内容进行解密。
实现这一功能的VB 部分代码为:
<%@ Import Namespace="System.Data" %>
<%@ Import Namespace="System.Data.OleDb" %>
… … … …
Dim a As String = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source= DB1.MDB"
Dim MyConnection As New OleDbConnection(a)
Dim adapter As OleDbDataAdapter = New OleDbDataAdapter
("select * from Member", MyConnection)
Dim DS As DataSet= New DataSet()
adapter.Fill(DS,"Member")
DS.Tables("Member").Rows(0)("password")=Decrypt(DS.Tables
("Member").Rows(0)("password"))
'调用Decrypt()函数对password字段进行解密
Member.DataSource=DS.Tables("Member").DefaultView
Member.DataBind()
MyConnection.Close()
… … … …
其中:Password列的内容为解密后的数据。
3 结束语
随机加密的优点是:
1)随机加密实现了“一次一密”的加密,安全性很高;
2)数据随机加密以后,数据量没有明显增加;
3)算法简单,容易实现。
对于Access数据库的敏感数据,经随机加密后,可大大增强其安全性。