王俊

摘要：隨著社會(huì)信息化程度的越來越高，存儲(chǔ)在DBMS中的數(shù)據(jù)對安全性的要求也逐漸提高。系統(tǒng)一般會(huì)要求用戶輸入口令，即通過設(shè)置密碼來保障數(shù)據(jù)庫的安全。針對數(shù)據(jù)庫加密，談?wù)摿嗣艽a分析的常用方法。通過對Access 2003加密數(shù)據(jù)庫和Access 2010加密數(shù)據(jù)庫的對比分析看出，在新版本中的加密算法明顯得到了極大的加強(qiáng)，提高了Access 2010的密碼安全性。

關(guān)鍵詞:數(shù)據(jù)庫;安全性;密碼;信息化;破譯

中圖分類號：TP309.2文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2012)23-5545-02

The Study of Password Security of Access 2010

WANG Jun

(Yangtze University College of Arts and Science, Jingzhou 434020，China)

Abstract：Along with the social informatization is getting higher and higher，the data stored in the DBMS to security requirements are also gradually improve. Systems generally will require the user to input the password, that is, by setting a password to protect the security of the database. Its talking about commonly used methods of password analysis about database encryption. Its obvious that encryption algorithm has been greatly enhanced in the new version through to the contrast analysis between an encrypted database of Access 2003 and an encrypt? ed database of Access 2010, improved the password security of Access 2010.

Key words：database; security; password; informatization; decipher

1概述

隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的迅速發(fā)展,信息技術(shù)在各個(gè)方面影響或改變著我們的生活和工作方式，信息已變成社會(huì)發(fā)展的一種重要資源和指標(biāo)，同時(shí)信息的產(chǎn)業(yè)化為我國經(jīng)濟(jì)的發(fā)展提供了新的推動(dòng)力，社會(huì)信息化已成為時(shí)代的主流。如何在確保信息化推動(dòng)社會(huì)發(fā)展的同時(shí)，保證其安全性，成為我們研究的問題。數(shù)據(jù)庫設(shè)置密碼，由于它操作的簡單性、易用性和便捷性，成為我們的首選。

2數(shù)據(jù)庫安全的威脅

對數(shù)據(jù)庫安全的威脅主要有以下三種：篡改、損壞和竊取。

1）篡改

篡改是指對數(shù)據(jù)庫中的數(shù)據(jù)未經(jīng)授權(quán)就進(jìn)行修改，使其失去原來的真實(shí)性。篡改之后，可能是數(shù)據(jù)庫中的數(shù)據(jù)信息錯(cuò)誤或無效，也有可能是數(shù)據(jù)庫密碼被篡改，使數(shù)據(jù)庫擁有者無法正常登錄系統(tǒng)。

2）損壞

數(shù)據(jù)庫面臨的另一個(gè)威脅是數(shù)據(jù)的真正丟失。主要表現(xiàn)在面臨自然或意外事故、計(jì)算機(jī)故障和人為破壞時(shí)，數(shù)據(jù)庫部分或全部被刪除、移走或破壞。防范損壞可以從物理和管理方面入手。

3）竊取

竊取是指非法獲取敏感的數(shù)據(jù)信息，使數(shù)據(jù)信息的保密性受到破壞。無論是商業(yè)間諜行為還是離職員工的惡意行為或是系統(tǒng)本身的缺陷，都可導(dǎo)致數(shù)據(jù)的泄露。

3為數(shù)據(jù)庫添加密碼保護(hù)

新建一個(gè)Access 2010空數(shù)據(jù)庫，在里面創(chuàng)建一張表，包含一個(gè)為自動(dòng)編號類型的ID字段，默認(rèn)為主鍵，表保存為表1，數(shù)據(jù)庫保存為默認(rèn)名字：Database1。復(fù)制Database1，將其保存為Database2，以獨(dú)占方式打開Database2，在“設(shè)置數(shù)據(jù)庫密碼”對話框中鍵入密碼，并在“驗(yàn)證”文本框中重新輸入一次，然后點(diǎn)擊“確定”，這里我們設(shè)置的密碼為：123abc。

設(shè)置好了密碼后，在我們下次打開數(shù)據(jù)庫Database2時(shí)，會(huì)要求輸入密碼，只有輸入正確的密碼才能進(jìn)入數(shù)據(jù)庫。通過設(shè)置密碼來確保數(shù)據(jù)庫的安全，由于它的簡單性、易用性和便捷性而受到用戶的歡迎，但是這種方式也有它的缺點(diǎn)，易受到攻擊。

4密碼分析的方法

研究密碼破譯的科學(xué)稱為密碼分析學(xué)，根據(jù)密碼分析者可利用的數(shù)據(jù)資源來分類，可以將攻擊密碼的類型分為以下幾類。

1）僅知密文攻擊

僅知密文攻擊是指密碼分析者僅根據(jù)截獲的密文來破譯密碼。此時(shí)，所能利用的資源最少，是對密碼分析者最不利的一種情形。

2）已知明文攻擊

已知明文攻擊是指密碼分析者根據(jù)已經(jīng)知道的某些明文-密文對來破譯密碼。一般加密成密文的數(shù)據(jù)庫文件特別容易受到這種攻擊，主要是可以通過一些數(shù)據(jù)庫文件特定的取值來進(jìn)行判斷，一個(gè)密碼僅當(dāng)能經(jīng)得起已知明文攻擊才是可取的。

3）選擇明文攻擊

選擇明文攻擊是指密碼分析者能夠選擇明文并獲得相應(yīng)的密文。在僅知密文攻擊、已知明文攻擊和選擇明文攻擊這幾種方式當(dāng)中，選擇明文攻擊是對密碼系統(tǒng)最有威脅的一種，一個(gè)安全的加密系統(tǒng)必須能抵御選擇明文密碼分析。

4）選擇密文攻擊

選擇密文攻擊是指密碼分析者能夠選擇密文并獲得相應(yīng)的明文。這種情況也是對密碼分析者十分有利的情況。

5破譯

在Access 2003中，創(chuàng)建一個(gè)空數(shù)據(jù)庫，命名為Database3，復(fù)制一份，命名為Database4，同時(shí)為其設(shè)置密碼為123abc。根據(jù)可利用的數(shù)據(jù)資源，我們用選擇明文攻擊方法來分析上面創(chuàng)建的數(shù)據(jù)庫Database2和Database4的密碼。通過對比Access 2003中創(chuàng)建的非加密數(shù)據(jù)庫Database3和加密數(shù)據(jù)庫Database4，發(fā)現(xiàn)在庫文件地址00000042h處開始的一段連續(xù)字節(jié)是Access數(shù)據(jù)庫的密碼位。在Access 2003中最多可以設(shè)置20位長的密碼，則連續(xù)密碼字節(jié)表現(xiàn)為39位。如取密碼文件42h處的字節(jié)CD與空密碼文件42h處字節(jié)FC異或得十進(jìn)制49，對應(yīng)ASCII表中的1，相隔一個(gè)字節(jié)，再取字節(jié)異或，得2，由于設(shè)置的密碼為6位，則連續(xù)密碼字節(jié)為11位，所有字節(jié)相隔異或，得到最后的數(shù)據(jù)庫密碼123abc。

在Access2003之后的版本，如Access 2007和Access 2010，推出了一個(gè)用于存儲(chǔ)Access數(shù)據(jù)庫信息的新的文件格式。庫文件是以ACCDB結(jié)尾。ACCDB格式最顯著的一個(gè)改變是一個(gè)新的加密方法，它是基于數(shù)據(jù)庫密碼的。將數(shù)據(jù)庫中所有信息，轉(zhuǎn)換成毫無意義的字符，以確保數(shù)據(jù)庫的安全。而Access 2010提供新的加密技術(shù)，比Access 2007所提供的技術(shù)功能更強(qiáng)。再通過以上的破解方法難以湊效。

6結(jié)論

隨著網(wǎng)絡(luò)技術(shù)的日益發(fā)展，計(jì)算機(jī)的日益普及，在很多時(shí)候，通過密碼來確保數(shù)據(jù)庫的安全略顯不足。設(shè)置密碼有它好的一方面，要繼承并加大密碼破譯難度，也有著它不好的一方面，易被選擇明文攻擊。保護(hù)數(shù)據(jù)庫安全不能僅僅只靠設(shè)置密碼來完成，還可以通過權(quán)限等其它方式綜合來保護(hù)數(shù)據(jù)庫的安全。

參考文獻(xiàn):

[1]龐國莉.數(shù)據(jù)庫原理與應(yīng)用[M].北京:清華大學(xué)出版社,2010:153-154.

[2]付兵.數(shù)據(jù)庫原理與應(yīng)用—Access 2010[M].北京:科學(xué)出版社,2012:15-18.

[3]張煥國，王張宜.密碼學(xué)引論[M].2版.武漢:武漢大學(xué)出版社,2009:11-13.

[4]南亦民，張舞杰.Access數(shù)據(jù)庫加密系統(tǒng)的安全性及其保護(hù)措施[J].電腦知識與技術(shù),2007,1(5): 1206-1207.

[5]韓松.一種查看Access數(shù)據(jù)庫密碼的方法[J].重慶石油高等?？茖W(xué)校學(xué)報(bào),2002,4(1):33-35.

[6]謝曉艷，陳軒飛，謝曉巍.找回Access數(shù)據(jù)庫中忘記的密碼[J].微型機(jī)與應(yīng)用,2000,19(12):54-55.

[7]代翀.在Access 2007中保護(hù)Access密碼和進(jìn)行加密[EB/OL].http://database.ctocio.com.cn/276/8838276.shtml.

[8] Office.Access 2010安全性簡介[EB/OL]. http://office.microsoft.com/zh-tw/access-help/HA010341741.aspx?CTT=1.