Mã hoá dữ liệu trong CSDL

Một phần của tài liệu (LUẬN VĂN THẠC SĨ) Vấn đề bảo mật cơ sở dữ liệu trong cơ sở dữ liệu phân tán (Trang 59 - 63)

III.3. Các công cụ Oracle cung cấp

III.3.1. Mã hoá dữ liệu trong CSDL

CSDL Oracle phiên bản 10g sử dụng cơ chế xác thực, quyền hạn, và kiểm tra để bảo đảm sự an toàn dữ liệu trong CSDL nhƣng không phải trong các tệp tin hệ điều hành nơi dữ liệu được lưu trữ. Để bảo vệ dữ liệu, Oracle 10g cung cấp chức năng mã hoá dữ liệu. Chức năng này cho phép người dùng có thể bảo vệ dữ liệu nhạy cảm trong các cột dữ liệu cách mã hoá chúng và khoá mã hoá được lưu trữ trên một module mở rộng.

Oracle cung cấp những công cụ cho phép người dùng có thể mã hoá những dữ liệu nhạy cảm đơn giản và dễ dàng mà không cần có một người nào đó hay một ứng dụng để quản lý mã khoá và không tạo ra các khung nhìn dữ liệu giải mã vì dữ liệu được giải mã trong suốt đối với mỗi người dùng có quyền trên dữ liệu đó.

III.3.1.1. Cơ chế mã hoá dữ liệu của Oracle[12]

Mã hoá dữ liệu là hệ thống điều khiển truy cập dựa trên khoá. Cho dù dữ liệu đã mã hoá có thể lấy ra, cũng không thể hiểu đƣợc nếu không đƣợc giải mã dữ liệu đó. Dữ liệu sẽ được tự động thực hiện giải mã cho người dùng có quyền truy cập.

Khi một bảng chứa các cột dữ liệu mã hoá, một khoá đơn sẽ đƣợc sử dụng mà không phụ thuộc vào số lƣợng cột mã hoá dữ liệu. Các khoá của tất cả các bảng chứa các cột dữ liệu mã hoá đƣợc mã hoá bằng khoá chính của máy chủ CSDL và được lưu trữ trên bàng từ điển. Không khoá nào được lưu trữ dưới dạng tường minh.

Khoá chính của máy chủ được lưu trữ trong một module bảo mật mở rộng ở bên ngoài CSDL và chỉ duy nhất người quản trị bảo mật mới có thể truy cập đến nó. Oracle sử dụng Oracle wallet để quản lý môđun mở rộng. Ngoài chức năng lưu trữ các khoá chính. Oracle wallet cũng được sử dụng để tạo ra các khoá mã hoá và thực hiện mã hoá và giải mã.

Việc sử dụng module bảo mật mở rộng tách biệt với các chức năng gốc chính của hệ CSDL đã phân chia trách nhiệm giữa người quản trị CSDL và người quản trị bảo mật. Bảo mật nhờ đó được nâng cao hơn vì không có người duy nhất nào có toàn quyền trên toàn bộ dữ liệu.

III.3.1.2. Các thuật toán mã hoá dữ liệu Oracle sử dụng

Thụât toán mã hoá mặc định đƣợc sử dụng để mã hoá dữ liệu là thuật toán AES với 192 bit khoá. Sau đây là những thuật toán đƣợc Oracle cung cấp để mã hoá dữ liệu trong cơ sở dữ liệu:

Thuật toán Kích cỡ khoá Tên tham số

3DES 168 bit 3DES168

AES 128 bit AES128

AES 192 bit AES192 (mặc định)

AES 256 bit AES256

Bảng 3.2:Các thuật toán mã hoá dữ liệu trong CSDL III.3.1 .3. Tác động của mã hoá dữ liệu đối với việc thực thi

Tốc độ thực thi của hệ thống chỉ bị ảnh hưởng khi dữ liệu được khi có thao tác trên cột dữ liệu mã hoá. Nó không làm ảnh hưởng đến tốc độ thực thi khi có những thao tác trên các cột khác ngay cả trên các bảng chứa các cột dữ liệu mã hoá. Trong trường hợp mã hoá dữ liệu trên tất cả các hàng trong bảng tại một cột dữ liệu có thể là nguyên nhân để bảng không thể truy cập đƣợc khi quá trình mã hoá sử dụng. Trong trường hợp này có thể sử dụng Online Redefinition để cho phép mã hoá dữ liệu nhƣng cũng đồng thời cho phép bảng dữ liệu vẫn sẵn sàng trong khi quá trình mã hoá đƣợc thực hịên.

Sự tác động đến redo log khi cập nhật toàn bộ trên những bảng có kích thước lớn cũng phải đƣợc quan tâm. Nếu mã hoá dữ liệu trên một bảng có kích thước lớn, thì khi đó kích thước của redo log phải được tăng lên đáp ứng được thao tác xử lý.

III.3.2 Các vấn đề cần cân nhắc khi sử dụng mã hoá Truy cập vào dữ liệu mã hoá có thể

- Công khai

- Đƣợc điều khiển bởi các chuẩn xác thực và các chính sách và thủ tục đƣợc phép

- Được điều khiển bởi cá nhân người dùng được gán quyền truy cập Người quản trị bảo mật cần phải xác định mức độ rủi ro và mức độ mức độ nhạy cảm của dữ liệu được duy trì trên các site để lựa chọn một phương pháp bảo mật thích hợp nhất cho hệ CSDL của mình.

Vấn đề về bảo mật cần đƣợc quan tâm thêm khi dữ liệu mã hoá đƣợc truyền trên mạng. Các cột dữ liệu mã hoá đƣợc mã hoá trong các file dữ liệu, undolog và redolog cũng nhƣ trên các bộ nhớ đệm trong khu vực SGA. Tuy nhiên trong suốt quá trình giải mã làm cho nó có khả năng thể hiện các dữ liệu giải mã trên các file tạm trên đĩa cứng, có khả năng thể hiện cho những người dùng có quyền trên hệ điều hành.

III.3.3 Mã hoá dữ liệu và tái tạo dữ liệu trong môi trường phân tán

SQL*Loader, Dataguard và import/export là những phương pháp cho phép vận chuyển các bảng có cột dữ liệu mã hoá. Chúng tin tưởng rằng sử dụng mật khẩu an toàn sẽ bảo vệ đƣợc dữ liệu trong suốt thời gian vận chuyển dữ liệu. Khi dữ liệu đƣợc khôi phục lại tại điểm nhận ngay lập tức sẽ đƣợc khoá lại với khoá chính cục bộ của vị trí mới. Khi quá trình tái tạo đƣợc thực hiện thông qua các câu lệnh SQL, thông tin mô tả sự cập nhật được thực hiện dưới dạng mã máy (không phải mã hoá) trong dạng dữ liệu LOB và đƣợc duy trì trong hàng đợi trong một khoảng thời gian. Trong khi ở hàng đợi dữ liệu sẽ không đƣợc bảo vệ. Để giảm những rủi ro, cấu hình sự tái tạo sao cho thông tin lưu trữ trong bảng mã hoá không đợi ở hàng đợi quá lâu

III.3.4 Một số từ điển phục vụ mã hoá dữ liệu - DBA_ENCRYPTED_COLUMNS - ALL_ENCRYPTED_COLUMN - USER_ENCRYPTED_COLUMNS

Một phần của tài liệu (LUẬN VĂN THẠC SĨ) Vấn đề bảo mật cơ sở dữ liệu trong cơ sở dữ liệu phân tán (Trang 59 - 63)

Tải bản đầy đủ (PDF)

(105 trang)