Andrew
2
CISP-PTE
CISM-WSE
官方采纳
Andrew2
CISP-PTE
CISM-WSE
数据库加密是指对数据库存储或传输的数据进行加密处理,以密文形式存储或传输,防止数据泄密,保护敏感数据的安全性。按照加密组件与数据库管理系统的关系,数据库存储加密可以分成两种加密方式:库内加密和库外加密。
库内加密是指在 DBMS 内部实现支持加密的模块,如图 1 所示。
图1 数据库库内加密示意图
库外加密指在 DBMS 范围之外,由专门的加密部件完成加密/解密操作,如图 2 所示。数据库存储加密的常用技术方法有基千文件的数据库加密技术、基于记录的数据库加密技术、基千字段的数据库加密技术。其中,基千文件的数据库加密技术将数据库文件作为整体,对整个数据库文件进行加密,形成密文来保证数据的机密性。基于记录的数据库加密技术将数据库的每一个记录加密成密文并存放千数据库文件中。基千字段的数据库加密技术加密数据库的字段,以不同记录的不同字段为基本加密单元进行加密。
图2 数据库库外加密示意图
Andrew
2
CISP-PTE
CISM-WSE
官方采纳
Andrew2
CISP-PTE
CISM-WSE
数据库加密方式技术有以下这些:
代理加密技术:该技术的思路是在数据库之前增加一道安全代理服务,所有访问数据库的行为都必须经过该安全代理服务,在此服务中实现如数据加解密、存取控制等安全策略,安全代理服务通过数据库的访问接口实现数据存储。安全代理服务存在于客户端应用与数据库存储引擎之间,负责完成数据的加解密工作,加密数据存储在安全代理服务中。
应用加密技术:该技术是应用系统通过加密API对敏感数据进行加密,将加密数据存储到数据库的底层文件中;在进行数据检索时,将密文数据取回到客户端,再进行解密,应用系统自行管理密钥体系。
文件系统加解密技术:该技术不与数据库自身原理融合,只是对数据存储的载体从操作系统或文件系统层面进行加解密。这种技术通过在操作系统中植入具有一定入侵性的“钩子”进程,在数据存储文件被打开的时候进行解密动作,在数据落地的时候执行加密动作,具备基础加解密能力的同时,能够根据操作系统用户或者访问文件的进程ID进行基本的访问权限控制。
后置代理技术:该技术是使用“视图”+“触发器”+“扩展索引”+“外部调用”的方式实现数据加密,同时保证应用完全透明。核心思想是充分利用数据库自身提供的应用定制扩展能力,分别使用其触发器扩展能力、索引扩展能力、自定义函数扩展能力以及视图等技术来满足数据存储加密,加密后数据检索,对应用无缝透明等核心需求。安华金和的加密技术在国内是唯一支持TDE的数据库加密产品厂商。
推荐文章
