數(shù)據(jù)庫(kù)加密作為近年來(lái)興起的數(shù)據(jù)庫(kù)安防技術(shù)�,已經(jīng)被越來(lái)越多的人所重視�����。這種基于存儲(chǔ)層加密的防護(hù)方式����,不僅可以有效解決數(shù)據(jù)庫(kù)明文存儲(chǔ)引起的泄密風(fēng)險(xiǎn),也可以防止來(lái)自內(nèi)部或者外部的入侵及越權(quán)訪問(wèn)行為��。
從技術(shù)手段上來(lái)看,現(xiàn)今數(shù)據(jù)庫(kù)加密技術(shù)主要有三大類�,分別是前置代理及加密網(wǎng)關(guān)方式、應(yīng)用層加密方式以及后置代理方式�����,其中后置代理技術(shù)有有兩種不同的技術(shù)路線���,分別為:基于視圖和觸發(fā)器的后置代理技術(shù)和基于TDE技術(shù)的加密技術(shù):
(1)前置代理及加密網(wǎng)關(guān)技術(shù)
該技術(shù)思路是在數(shù)據(jù)庫(kù)之前增加一道安全代理服務(wù)���,對(duì)數(shù)據(jù)庫(kù)訪問(wèn)的用戶必須經(jīng)過(guò)該安全代理服務(wù),在此服務(wù)中實(shí)現(xiàn)如數(shù)據(jù)加解密�、存取控制等安全策略;然后安全代理服務(wù)通過(guò)數(shù)據(jù)庫(kù)的訪問(wèn)接口實(shí)現(xiàn)數(shù)據(jù)在庫(kù)中的最終存儲(chǔ)。安全代理服務(wù)存在于客戶端應(yīng)用與數(shù)據(jù)庫(kù)存儲(chǔ)引擎之間���,負(fù)責(zé)完成庫(kù)中數(shù)據(jù)的加解密工作���,加密數(shù)據(jù)存儲(chǔ)在安全代理服務(wù)中。
(2)應(yīng)用層加密技術(shù)
應(yīng)用層加密的主要技術(shù)原理在于����,應(yīng)用系統(tǒng)通過(guò)加密API(JDBC,ODBC,C API等)對(duì)敏感數(shù)據(jù)進(jìn)行加密,將加密數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫(kù)的底層文件中���;在進(jìn)行數(shù)據(jù)檢索時(shí)��,將密文數(shù)據(jù)取回客戶端���,再進(jìn)行解密����。另外應(yīng)用系統(tǒng)將自行管理密鑰體系�。
(3)基于視圖和觸發(fā)器的后置代理技術(shù)
這種技術(shù)使用“視圖”+“觸發(fā)器”+“擴(kuò)展索引”+“外部調(diào)用”的方式實(shí)現(xiàn)數(shù)據(jù)加密,同時(shí)保證應(yīng)用完全透明�。它的核心思想是充分利用數(shù)據(jù)庫(kù)自身提供的應(yīng)用定制擴(kuò)展能力,分別使用其觸發(fā)器擴(kuò)展能力���、索引擴(kuò)展能力�����、自定義函數(shù)擴(kuò)展能力以及視圖等技術(shù)來(lái)滿足數(shù)據(jù)存儲(chǔ)加密�����,加密后數(shù)據(jù)檢索,對(duì)應(yīng)用無(wú)縫透明等最主要需求���。
(4)基于TDE技術(shù)的加密技術(shù)
這種加密方式是利用TDE (Transparent Data Encryption)技術(shù):一種透明數(shù)據(jù)加密技術(shù),在數(shù)據(jù)庫(kù)主程序啟動(dòng)時(shí)加載擴(kuò)展的TDE插件���,利用該TDE插件在數(shù)據(jù)寫入存儲(chǔ)介質(zhì)前將數(shù)據(jù)進(jìn)行加密�,實(shí)現(xiàn)數(shù)據(jù)的存儲(chǔ)加密����;在從存儲(chǔ)介質(zhì)加載數(shù)據(jù)到內(nèi)存前進(jìn)行數(shù)據(jù)解密,實(shí)現(xiàn)數(shù)據(jù)的解密使用��;在TDE插件中增加訪問(wèn)控制功能實(shí)現(xiàn)獨(dú)立于數(shù)據(jù)庫(kù)原有權(quán)限體系的增強(qiáng)的權(quán)控要求����。
這種加密技術(shù)在性能、透明性上帶來(lái)質(zhì)的飛躍����,適應(yīng)OLTP、OLAP等所有應(yīng)用場(chǎng)景�����,使國(guó)家和行業(yè)規(guī)范中關(guān)于數(shù)據(jù)加密的要求能夠技術(shù)落地�����,極大促進(jìn)安全合規(guī)需求滿足。
安華金和數(shù)據(jù)庫(kù)加密產(chǎn)品DBCoffer采用的加密技術(shù)�,既有基于視圖和觸發(fā)器的后置代理技術(shù)的數(shù)據(jù)庫(kù)加密產(chǎn)品,也有基于TDE技術(shù)的數(shù)據(jù)庫(kù)加產(chǎn)品�����。早在2010年安華金和基于視圖和觸發(fā)器的后置代理技術(shù)的數(shù)據(jù)庫(kù)加密產(chǎn)品就已經(jīng)研發(fā)成功�,2017年安華金和又在國(guó)內(nèi)率先推出基于TDE技術(shù)的數(shù)據(jù)庫(kù)加密產(chǎn)品。
無(wú)論基于哪種技術(shù)的數(shù)據(jù)庫(kù)加密技術(shù)��,安全����、易用、高效���,是成熟的數(shù)據(jù)庫(kù)加解密技術(shù)必須具備的三大特點(diǎn)��,也是數(shù)據(jù)庫(kù)加解密產(chǎn)品必須確保的基本能力���。安華金和數(shù)據(jù)庫(kù)加解密產(chǎn)品團(tuán)隊(duì)正是以這三點(diǎn)為產(chǎn)品基石,以更安全�����、更易用和更高效為努力目標(biāo)���,在數(shù)據(jù)庫(kù)加密技術(shù)領(lǐng)域不斷進(jìn)行探索和技術(shù)創(chuàng)新�,為用戶的數(shù)據(jù)安全貢獻(xiàn)自己的力量�。
產(chǎn)品咨詢:4000 258 365 
