DDBMS-データベースのセキュリティと暗号化
この章では、データベースシステムが直面する脅威と制御手段について説明します。また、セキュリティツールとして暗号化についても学びます。
データベースのセキュリティと脅威
データセキュリティは、あらゆるデータベースシステムの必須の側面です。多数のユーザー、断片化および複製されたデータ、複数のサイト、および分散制御のため、分散システムでは特に重要です。
データベース内の脅威
Availability loss −可用性の損失とは、正当なユーザーがデータベースオブジェクトを利用できないことを指します。
Integrity loss−データベースに対して誤ってまたは悪意を持って許容できない操作が実行されると、整合性が失われます。これは、データの作成、挿入、更新、または削除中に発生する可能性があります。その結果、データが破損し、誤った決定につながります。
Confidentiality loss−機密情報の許可されていない、または意図しない開示が原因で機密性が失われます。違法行為、セキュリティ上の脅威、国民の信頼の喪失につながる可能性があります。
管理の手段
管理の手段は大きく次のカテゴリに分けることができます-
Access Control−アクセス制御には、不正アクセスから保護するためのデータベース管理システムのセキュリティメカニズムが含まれています。ユーザーは、有効なユーザーアカウントのみを介してログインプロセスをクリアした後、データベースにアクセスできます。各ユーザーアカウントはパスワードで保護されています。
Flow Control−分散システムは、あるサイトから別のサイトへ、またサイト内でも多くのデータフローを包含します。フロー制御は、許可されていないエージェントがアクセスできるような方法でデータが転送されるのを防ぎます。フローポリシーは、情報が流れることができるチャネルをリストします。また、トランザクションだけでなくデータのセキュリティクラスも定義します。
Data Encryption−データ暗号化とは、機密データがパブリックチャネルを介して通信される場合のデータのコーディングを指します。許可されていないエージェントがデータにアクセスしたとしても、データが理解できない形式であるため、データを理解することはできません。
暗号化とは何ですか?
Cryptography は、信頼性の低い通信パスを介して送信する前に情報をエンコードして、許可された受信者だけが情報をデコードして使用できるようにする科学です。
コード化されたメッセージは呼び出されます cipher text 元のメッセージは plain text。送信者がプレーンテキストを暗号文に変換するプロセスは、エンコーディングまたはencryption。受信者が暗号文を平文に変換するプロセスは、デコードまたはdecryption。
暗号化を使用して通信する手順全体は、次の図で説明できます。
従来の暗号化方式
従来の暗号化では、暗号化と復号化は同じ秘密鍵を使用して行われます。ここで、送信者は秘密鍵のコピーを使用して暗号化アルゴリズムでメッセージを暗号化します。暗号化されたメッセージは、パブリック通信チャネルを介して送信されます。暗号化されたメッセージを受信すると、受信者は同じ秘密鍵を使用して、対応する復号化アルゴリズムでメッセージを復号化します。
従来の暗号化におけるセキュリティは、2つの要因に依存します-
すべての人に知られている健全なアルゴリズム。
ランダムに生成された、できれば送信者と受信者だけが知っている長い秘密鍵。
最も有名な従来の暗号化アルゴリズムは Data Encryption Standard または DES。
この方法の利点は、簡単に適用できることです。ただし、従来の暗号化の最大の問題は、通信する当事者間で秘密鍵を共有することです。キーの送信方法は煩雑で、盗聴の影響を非常に受けやすくなっています。
公開鍵暗号
従来の暗号化とは対照的に、公開鍵暗号化は、公開鍵と秘密鍵と呼ばれる2つの異なる鍵を使用します。各ユーザーは、公開鍵と秘密鍵のペアを生成します。次に、ユーザーは公開鍵をアクセス可能な場所に置きます。送信者がメッセージを送信したい場合、送信者は受信者の公開鍵を使用してメッセージを暗号化します。暗号化されたメッセージを受信すると、受信者は自分の秘密鍵を使用してメッセージを復号化します。秘密鍵は受信者以外には知られていないため、メッセージを受信した他の人はそれを復号化できません。
最も人気のある公開鍵暗号化アルゴリズムは RSA アルゴリズムと Diffie– Hellmanアルゴリズム。この方法は、プライベートメッセージを送信するのに非常に安全です。ただし、問題は、多くの計算が必要になるため、長いメッセージには非効率的であることが判明することです。
解決策は、従来の暗号化と公開鍵暗号化を組み合わせて使用することです。秘密鍵は、通信する当事者間で共有する前に、公開鍵暗号を使用して暗号化されます。次に、メッセージは、共有秘密鍵を使用して従来の暗号化を使用して送信されます。
デジタル署名
デジタル署名(DS)は、eコマースアプリケーションで使用される公開鍵暗号化に基づく認証技術です。メッセージの本文内の個人に一意のマークを関連付けます。これは、他の人がメッセージの有効な送信者を認証するのに役立ちます。
通常、ユーザーのデジタル署名は、偽造に対するセキュリティを提供するためにメッセージごとに異なります。方法は次のとおりです-
送信者はメッセージを受け取り、メッセージのメッセージダイジェストを計算し、秘密鍵を使用してダイジェストに署名します。
次に、送信者は、署名されたダイジェストをプレーンテキストメッセージとともに追加します。
メッセージは通信チャネルを介して送信されます。
受信者は、追加された署名付きダイジェストを削除し、対応する公開鍵を使用してダイジェストを検証します。
次に、受信者はプレーンテキストメッセージを受け取り、同じメッセージダイジェストアルゴリズムを実行します。
手順4と手順5の結果が一致する場合、受信者はメッセージに整合性と信頼性があることを認識します。