數(shù)據(jù)庫加/脫密引擎是數(shù)據(jù)庫加密系統(tǒng)的核心部件，它位于應用程序與數(shù)據(jù)庫服務器之間，負責在后臺完成數(shù)據(jù)庫信息的加/脫密處理，對應用開發(fā)人員和操作人員來說是透明的。數(shù)據(jù)加/脫密引擎沒有操作界面，在需要時由操作系統(tǒng)自動加載并駐留在內(nèi)存中，通過內(nèi)部接口與加密字典管理程序和用戶應用程序通訊。 數(shù)據(jù)庫加/脫密引擎由三大模塊組成：加/脫密處理模塊、用戶接口模塊和數(shù)據(jù)庫接口模塊，如圖4所示。其中，"數(shù)據(jù)庫接口模塊"的主要工作是接受用戶的操作請求，并傳遞給"加/脫密處理模塊"，此外還要代替"加/脫密處理模塊"去訪問數(shù)據(jù)庫服務器，并完成外部接口參數(shù)與加/脫密引擎內(nèi)部數(shù)據(jù)結構之間的轉換。"加/脫密處理模塊"完成數(shù)據(jù)庫加/脫密引擎的初始化、內(nèi)部專用命令的處理、加密字典信息的檢索、加密字典緩沖區(qū)的管理、SQL命令的加密變換、查詢結果的脫密處理以及加脫密算法實現(xiàn)等功能，另外還包括一些公用的輔助函數(shù)。

　　數(shù)據(jù)加/脫密處理的主要流程如下：

　　1） 對SQL命令進行語法分析，如果語法正確，轉下一步；如不正確，則轉6），直接將SQL命令交數(shù)據(jù)庫服務器處理。

　　2） 是否為數(shù)據(jù)庫加/脫密引擎的內(nèi)部控制命令？如果是，則處理內(nèi)部控制命令，然后轉7）；如果不是則轉下一步。

　　3） 檢查數(shù)據(jù)庫加/脫密引擎是否處于關閉狀態(tài)或SQL命令是否只需要編譯？如果是則轉6），否則轉下一步。

　　4） 檢索加密字典，根據(jù)加密定義對SQL命令進行加脫密語義分析。

　　5） SQL命令是否需要加密處理？如果是，則將SQL命令進行加密變換，替換原SQL命令，然后轉下一步；否則直接轉下一步。

　　6） 將SQL命令轉送數(shù)據(jù)庫服務器處理。

　　7） SQL命令執(zhí)行完畢，清除SQL命令緩沖區(qū)。

　　以上以一個例子說明了在DBMS外層實現(xiàn)加密功能的原理。

　　5. 結束語

　　本文對數(shù)據(jù)庫系統(tǒng)安全防入侵技術進行綜述，提出了數(shù)據(jù)庫系統(tǒng)的安全體系三個層次框架，并對三個層次的技術手段展開描述。文中還以在DBMS外層實現(xiàn)加密功能的原理為例，詳細說明了如何應用數(shù)據(jù)庫管理系統(tǒng)層次的安全技術。

　　數(shù)據(jù)庫系統(tǒng)安全框架的三個層次是相輔相承的，各層次的防范重點和所采取的技術手段也不盡相同，一個好的安全系統(tǒng)必須綜合考慮核運用這些技術，以保證數(shù)據(jù)的安全。