對(duì)稱算法
對(duì)稱密碼算法有時(shí)又叫傳統(tǒng)密碼算法�����,就是加密密鑰能夠從解密密鑰中推算出來(lái)����,反過(guò)來(lái)也成立。在大多數(shù)對(duì)稱算法中���,加密解密密鑰是相同的��。這些算法也叫秘密密鑰算法或單密鑰算法�����,它要求發(fā)送者和接收者在安全通信之前���,商定一個(gè)密鑰。對(duì)稱算法的安全性依賴于密鑰,泄漏密鑰就意味著任何人都能對(duì)消息進(jìn)行加密解密���。只要通信需要保密�,密鑰就必須保密����。通常,對(duì)于數(shù)據(jù)庫(kù)中的敏感信息加密���,采用的都是對(duì)稱算法進(jìn)行處理。
非對(duì)稱算法
非對(duì)稱算法也叫公開(kāi)密鑰加密,它是用兩個(gè)數(shù)學(xué)相關(guān)的密鑰對(duì)信息進(jìn)行編碼�。在此系統(tǒng)中,其中一個(gè)密鑰叫公開(kāi)密鑰�,可隨意發(fā)給期望同密鑰持有者進(jìn)行安全通信的人。公開(kāi)密鑰用于對(duì)信息加密��。第二個(gè)密鑰是私有密鑰��,屬于密鑰持有者���,此人要仔細(xì)保存私有密鑰�����。密鑰持有者用私有密鑰對(duì)收到的信息進(jìn)行解密�����。從數(shù)據(jù)庫(kù)安全的角度�����,非對(duì)稱算法主要用于秘鑰和口令交換等領(lǐng)域�����。
國(guó)密算法
國(guó)密即國(guó)家密碼局認(rèn)定的國(guó)產(chǎn)密碼算法����,即商用密碼。商用密碼��,是指能夠?qū)崿F(xiàn)商用密碼算法的加密�����、解密和認(rèn)證等功能的技術(shù)�����。(包括密碼算法編程技術(shù)和密碼算法芯片、加密卡等的實(shí)現(xiàn)技術(shù))�����。商用密碼技術(shù)是商用密碼的核心�,國(guó)家將商用密碼技術(shù)列入國(guó)家秘密,任何單位和個(gè)人都有責(zé)任和義務(wù)保護(hù)商用密碼技術(shù)的秘密���。隨著我國(guó)對(duì)數(shù)據(jù)庫(kù)安全重視程度的提升����,越來(lái)越多的數(shù)據(jù)庫(kù)加密需求�����,要求采用國(guó)密算法進(jìn)行�。
存儲(chǔ)層加密
由于數(shù)據(jù)庫(kù)中的數(shù)據(jù)是以明文形式存儲(chǔ)在硬件設(shè)備上的��,無(wú)論是當(dāng)前數(shù)據(jù)庫(kù)運(yùn)行的硬件存儲(chǔ)設(shè)備��,還是用于數(shù)據(jù)備份的磁帶����,若發(fā)生丟失或者維修,都會(huì)引起相應(yīng)的數(shù)據(jù)丟失風(fēng)險(xiǎn),而通過(guò)專業(yè)的工具����,更可以直接將存儲(chǔ)下來(lái)的內(nèi)容還原。存儲(chǔ)層加密是將保存到硬件設(shè)備上的敏感信息直接加密存儲(chǔ)�,無(wú)論是運(yùn)行環(huán)境的硬件存儲(chǔ)設(shè)備,還是數(shù)據(jù)備份的磁帶中�����,敏感數(shù)據(jù)是以加密的形態(tài)存儲(chǔ)的�����,從而有效地防止了由于硬件丟失或硬件維修等無(wú)意識(shí)的泄密����,即使使用專業(yè)工具,也只能看到加密后的內(nèi)容�,防止數(shù)據(jù)庫(kù)數(shù)據(jù)以明文形式暴露,以實(shí)現(xiàn)存儲(chǔ)層的安全加固����。
多級(jí)密鑰管理
在對(duì)數(shù)據(jù)庫(kù)內(nèi)數(shù)據(jù)進(jìn)行加密的過(guò)程中,我們把直接對(duì)數(shù)據(jù)進(jìn)行加密的密鑰稱之為數(shù)據(jù)密鑰����。數(shù)據(jù)密鑰只有當(dāng)被使用的時(shí)候��,才以明文形態(tài)出現(xiàn)�,在系統(tǒng)運(yùn)行的其他時(shí)期����,數(shù)據(jù)密鑰是被加解密設(shè)備的設(shè)備密鑰加密保護(hù),而設(shè)備密鑰又是被系統(tǒng)根密鑰加密保護(hù)��,這種逐級(jí)加密管理密鑰�����,只有當(dāng)使用的時(shí)候才逐級(jí)解密的機(jī)制稱之為多級(jí)密鑰管理�。這種機(jī)制可以有效的保護(hù)數(shù)據(jù)密鑰的安全性,從而對(duì)加密數(shù)據(jù)提供更安全的保護(hù)����。
密鑰庫(kù)
在對(duì)數(shù)據(jù)庫(kù)進(jìn)行加密的時(shí)候�����,通常不會(huì)使用同一個(gè)密鑰對(duì)所有數(shù)據(jù)進(jìn)行加密�,而是提前生成若干密鑰��,在加密的時(shí)候�����,從這些密鑰中隨機(jī)選擇一個(gè)對(duì)數(shù)據(jù)加密���,這些密鑰統(tǒng)稱為密鑰庫(kù)。密鑰庫(kù)中的密鑰是以密文形態(tài)保存在文件或者內(nèi)存中�����,只有當(dāng)被選擇使用的時(shí)候�����,才還原為明文態(tài)使用�。從密鑰庫(kù)中隨機(jī)選擇密鑰對(duì)數(shù)據(jù)加密,可以大幅度增加加密強(qiáng)度��,增加被破解的難度�����,提升安全性���。
密鑰輪轉(zhuǎn)
在安全性要求較高的場(chǎng)景下�����,要求加密后的數(shù)據(jù)���,其密鑰必須周期性的發(fā)生變更���,不能長(zhǎng)時(shí)間使用同一密鑰對(duì)數(shù)據(jù)進(jìn)行加密保護(hù)。這種定期變更密鑰的加密方式�,稱之為密鑰輪轉(zhuǎn)。密鑰輪轉(zhuǎn)可以人為進(jìn)行�����,以手動(dòng)的方式將數(shù)據(jù)解密�,再用新密鑰重新加密。也可以通過(guò)加解密軟件提供的自動(dòng)輪轉(zhuǎn)機(jī)制進(jìn)行���,在無(wú)損安全的前提下���,大大提升了效率����,降低了操作復(fù)雜度����。
數(shù)據(jù)庫(kù)安全管理員
數(shù)據(jù)庫(kù)安全管理員(DataBase Security Administrator)簡(jiǎn)稱DSA�����。與傳統(tǒng)的數(shù)據(jù)庫(kù)管理員DBA對(duì)應(yīng)���,DBA和DSA完全獨(dú)立����,共同實(shí)現(xiàn)對(duì)敏感字段的強(qiáng)存取控制�����,實(shí)現(xiàn)真正的責(zé)權(quán)一致��。DBA實(shí)現(xiàn)對(duì)普通字段的一般性訪問(wèn)權(quán)限控制����,DSA實(shí)現(xiàn)對(duì)敏感字段的密文訪問(wèn)權(quán)限控制和加解密處理。通過(guò)引入DSA的身份�,限制了傳統(tǒng)數(shù)據(jù)庫(kù)管理機(jī)制中超級(jí)用戶權(quán)限過(guò)大的弊病�,又不會(huì)影響DBA對(duì)數(shù)據(jù)庫(kù)的設(shè)計(jì)變更及日常維護(hù)工作���,使得數(shù)據(jù)庫(kù)在安全管理上做到權(quán)責(zé)分明�。
數(shù)據(jù)庫(kù)增強(qiáng)訪問(wèn)控制
數(shù)據(jù)庫(kù)增強(qiáng)訪問(wèn)控制指的利用加密或設(shè)立標(biāo)簽等手段�,將數(shù)據(jù)庫(kù)中敏感信息與普通信息區(qū)分開(kāi)來(lái),并通過(guò)獨(dú)立于數(shù)據(jù)庫(kù)超級(jí)管理員的權(quán)限之外的授權(quán)體系���,對(duì)敏感數(shù)據(jù)的訪問(wèn)權(quán)限加以限制����,從而使敏感數(shù)據(jù)的訪問(wèn)更加安全化的一種控制方式���。這種控制方式區(qū)別于以往傳統(tǒng)的DBA“統(tǒng)管一切”的權(quán)限體系���,既可以對(duì)超級(jí)用戶的訪問(wèn)權(quán)限進(jìn)行限制,也可以對(duì)數(shù)據(jù)庫(kù)訪問(wèn)者的其他身份特征如IP����、端口、客戶端工具��、時(shí)間等進(jìn)行限制,是一種數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限限制的補(bǔ)充和增強(qiáng)����。
應(yīng)用身份鑒別
"在某些實(shí)際應(yīng)用場(chǎng)合中���,對(duì)于數(shù)據(jù)庫(kù)中敏感數(shù)據(jù)的權(quán)限控制���,除了要做到數(shù)據(jù)庫(kù)用戶級(jí),還要對(duì)使用同一個(gè)數(shù)據(jù)庫(kù)用戶的不同應(yīng)用加以區(qū)分�,從而達(dá)到受信應(yīng)用才可以訪問(wèn)數(shù)據(jù),非受信應(yīng)用即使使用同一個(gè)數(shù)據(jù)庫(kù)賬戶����,也無(wú)法訪問(wèn)敏感數(shù)據(jù)的效果。
應(yīng)用身份鑒別即指的是可以區(qū)分應(yīng)用身份��,并且針對(duì)不同應(yīng)用�,授予不同權(quán)限,從而讓敏感數(shù)據(jù)更加安全的一種技術(shù)手段�。
在應(yīng)用和數(shù)據(jù)庫(kù)建立連接的過(guò)程中,應(yīng)用程序的若干身份信息會(huì)被數(shù)據(jù)庫(kù)客戶端傳遞給數(shù)據(jù)庫(kù)服務(wù)器�����,服務(wù)器端駐留的邏輯將收集到的應(yīng)用程序身份信息與提前配置好的合法應(yīng)用程序的身份信息進(jìn)行比對(duì),從而達(dá)到鑒別應(yīng)用身份的效果��。另一種應(yīng)用身份鑒別技術(shù)是使用改造后的數(shù)據(jù)庫(kù)驅(qū)動(dòng)(如JDBC)連接數(shù)據(jù)庫(kù)���,改造后的驅(qū)動(dòng)會(huì)將調(diào)用者的身份信息發(fā)回至服務(wù)器���,然后再與之前保存的應(yīng)用身份信息對(duì)比,實(shí)現(xiàn)應(yīng)用身份鑒別�。
應(yīng)用身份鑒別機(jī)制可以有效的保護(hù)數(shù)據(jù)庫(kù)中的敏感信息,可以設(shè)定只允許受信應(yīng)用通過(guò)某數(shù)據(jù)庫(kù)用戶訪問(wèn)敏感信息�����,即使該戶口令泄露��,數(shù)據(jù)竊取者也無(wú)法通過(guò)其他客戶端工具等直連手段登陸數(shù)據(jù)庫(kù)獲取敏感信息�。
"
應(yīng)用用戶鑒別
"在某些實(shí)際應(yīng)用場(chǎng)合中,對(duì)于數(shù)據(jù)庫(kù)中敏感數(shù)據(jù)的權(quán)限控制�,除了要做到數(shù)據(jù)庫(kù)用戶級(jí),還要對(duì)使用數(shù)據(jù)庫(kù)的不同應(yīng)用用戶加以區(qū)分�����,從而達(dá)到受信應(yīng)用用戶才可以訪問(wèn)數(shù)據(jù)�����,非受信應(yīng)用用戶即使使用同一個(gè)數(shù)據(jù)庫(kù)賬戶,也無(wú)法訪問(wèn)敏感數(shù)據(jù)的效果���。
應(yīng)用用戶鑒別即指的是可以區(qū)分應(yīng)用用戶的身份,并且針對(duì)不同應(yīng)用用戶�����,授予不同權(quán)限����,從而讓敏感數(shù)據(jù)更加安全的一種技術(shù)手段。
在應(yīng)用和數(shù)據(jù)庫(kù)建立連接的過(guò)程中���,應(yīng)用程序的若干身份信息會(huì)被數(shù)據(jù)庫(kù)客戶端傳遞給數(shù)據(jù)庫(kù)服務(wù)器����,應(yīng)用用戶的身份信息也會(huì)在使用或者建立數(shù)據(jù)庫(kù)連接的時(shí)候被數(shù)據(jù)庫(kù)客戶端獲取��,服務(wù)器端駐留的邏輯將收集到的應(yīng)用用戶身份信息與提前配置好的應(yīng)用用戶權(quán)限進(jìn)行比對(duì)���,從而達(dá)到區(qū)分應(yīng)用用戶權(quán)限的效果����。另一種應(yīng)用用戶鑒別技術(shù)是使用改造后的數(shù)據(jù)庫(kù)驅(qū)動(dòng)(如JDBC)連接數(shù)據(jù)庫(kù),改造后的驅(qū)動(dòng)會(huì)將調(diào)用者的身份信息發(fā)回至服務(wù)器��,然后再與之前保存的應(yīng)用用戶身份信息對(duì)比����,實(shí)現(xiàn)應(yīng)用用戶鑒別。
應(yīng)用用戶鑒別機(jī)制可以有效的保護(hù)數(shù)據(jù)庫(kù)中的敏感信息�,可以設(shè)定只允許某應(yīng)用系統(tǒng)中權(quán)限較高的應(yīng)用用戶才可以訪問(wèn)敏感信息,即使使用同一套應(yīng)用系統(tǒng)�,權(quán)限較低的用戶也無(wú)法訪問(wèn)敏感信息,通常這種應(yīng)用用戶鑒別機(jī)制會(huì)和應(yīng)用身份鑒別機(jī)制一起使用以增加安全性��。
"
密文水印
" 密文水印技術(shù)指的是向加密后的敏感信息(即密文)中嵌入某些信息�����,以達(dá)到對(duì)密文真?zhèn)蔚谋鎰e���,密文是否被篡改的區(qū)分的目的��。另外密文水印還可以實(shí)現(xiàn)當(dāng)數(shù)據(jù)庫(kù)加密策略信息丟失�����,只有密文和密鑰庫(kù)存在的情況下��,保證密文仍然可以恢復(fù)的功能���。
使用密文水印技術(shù)對(duì)數(shù)據(jù)庫(kù)內(nèi)敏感信息加密����,可以準(zhǔn)確的辨別加密后數(shù)據(jù)是否被篡改�,可以最大程度上保證數(shù)據(jù)的一致性和可還原性����,但同時(shí)會(huì)造成加密后的數(shù)據(jù)與原數(shù)據(jù)相比,所占空間會(huì)有一定的膨脹�。"
隨機(jī)鹽
在使用對(duì)稱加密方式加密的過(guò)程中,如果使用相同的算法和密鑰�����,對(duì)于相同的明文��,加密后的密文結(jié)果也相同����,這樣如果對(duì)數(shù)據(jù)庫(kù)中某一列進(jìn)行加密�,當(dāng)該列加密前內(nèi)容都相同時(shí)�����,加密后的結(jié)果也相同��,這會(huì)給想要猜解明文的攻擊者以可乘之機(jī)����。如果在對(duì)同樣的明文內(nèi)容加密的時(shí)候,對(duì)于每個(gè)明文����,引入一組不同的數(shù)字或者字符參與加密計(jì)算,就可以起到擾亂的作用���,這樣即使是用相同的算法和密鑰�,相同明文加密后的密文也各不相同��,在加密過(guò)程中引入的起到擾亂作用的數(shù)字和字符��,就被稱作隨機(jī)鹽����。
三權(quán)分立
"在數(shù)據(jù)庫(kù)加密領(lǐng)域�,三權(quán)分立指的是數(shù)據(jù)庫(kù)管理員(DBA)���,數(shù)據(jù)庫(kù)安全管理員(DSA)和數(shù)據(jù)庫(kù)審計(jì)員(DAA)三種角色互相制約又相互協(xié)作共同完成數(shù)據(jù)庫(kù)的管理和安全工作�。
數(shù)據(jù)庫(kù)管理員主要負(fù)責(zé)執(zhí)行數(shù)據(jù)庫(kù)日常管理的各種操作和自主存取控制���,安全管理員主要負(fù)責(zé)定義敏感數(shù)據(jù)���,執(zhí)行數(shù)據(jù)加解密和密文數(shù)據(jù)的授權(quán)等安全性操作,審計(jì)管理員主要負(fù)責(zé)監(jiān)督前兩類用戶的操作�,審計(jì)數(shù)據(jù)庫(kù)的變更以及日常訪問(wèn)、安全策略配置變更等行為��。"
明文混淆
在對(duì)數(shù)據(jù)庫(kù)中敏感信息加密的過(guò)程中���,明文是逐條或者逐批次的被轉(zhuǎn)化為密文存儲(chǔ)的,在整個(gè)轉(zhuǎn)化過(guò)程結(jié)束后���,數(shù)據(jù)庫(kù)中還有若干地方保存著轉(zhuǎn)化前的明文內(nèi)容��,如操作日志等��,另外在加密過(guò)程中如果涉及數(shù)據(jù)的復(fù)制備份�,則也會(huì)產(chǎn)生明文內(nèi)容。這部分內(nèi)容在數(shù)據(jù)庫(kù)中通常是不可見(jiàn)的���,并且會(huì)隨著后續(xù)對(duì)數(shù)據(jù)庫(kù)的使用被覆蓋掉�,不過(guò)由于這個(gè)覆蓋過(guò)程會(huì)在一定時(shí)間內(nèi)完成���,會(huì)給數(shù)據(jù)竊取者以可趁之機(jī)����。明文混淆技術(shù)是指在加密過(guò)程結(jié)束后�����,立刻通過(guò)向這部分隱式存在于數(shù)據(jù)庫(kù)中的明文填充無(wú)意義字符(例如全0)�,通過(guò)這種覆蓋原有明文的方式,使得數(shù)據(jù)庫(kù)中不再存在明文內(nèi)容��,從而使得數(shù)據(jù)竊取者無(wú)從入手����,提升了安全度。
數(shù)據(jù)庫(kù)文件反向解析
"一種通過(guò)直接分析數(shù)據(jù)庫(kù)底層存儲(chǔ)文件或日志文件��,從中獲取數(shù)據(jù)庫(kù)結(jié)構(gòu)和數(shù)據(jù)內(nèi)容����,逐步解析還原�,最終重建整個(gè)數(shù)據(jù)庫(kù)表結(jié)構(gòu)和存儲(chǔ)內(nèi)容的技術(shù)�。利用這種技術(shù),只要突破主機(jī)防護(hù)�,獲取到數(shù)據(jù)庫(kù)存儲(chǔ)在磁盤上的文件,便可以在無(wú)需數(shù)據(jù)庫(kù)用戶密碼的情況下得到其中保存的所有數(shù)據(jù)��。目前互聯(lián)網(wǎng)上也存在提供反向解析數(shù)據(jù)庫(kù)存儲(chǔ)文件的工具如AUL/MYDUL等��。
為了解決反向解析對(duì)數(shù)據(jù)庫(kù)造成的威脅���,我們要加強(qiáng)對(duì)數(shù)據(jù)庫(kù)存儲(chǔ)文件的保護(hù)�,不僅要通過(guò)合理的技術(shù)手段保障主機(jī)安全和網(wǎng)絡(luò)安全�����,更直接有效的方式是對(duì)數(shù)據(jù)庫(kù)中的敏感重要信息進(jìn)行加密存儲(chǔ)��,這樣即使攻擊者通過(guò)反向解析還原表結(jié)構(gòu)和數(shù)據(jù)內(nèi)容�����,得到的也是加密后的內(nèi)容����,無(wú)法解讀利用。"
透明加解密
" 透明加解密是指對(duì)數(shù)據(jù)庫(kù)的敏感信息進(jìn)行加密后�����,通過(guò)多級(jí)視圖和觸發(fā)器等技術(shù)保證應(yīng)用系統(tǒng)����、SQL語(yǔ)句、數(shù)據(jù)庫(kù)維護(hù)�、部署方式均不受影響。具體體現(xiàn)在以下幾個(gè)方面�����。1)應(yīng)用系統(tǒng)連接數(shù)據(jù)庫(kù)的方式和各種開(kāi)發(fā)接口API程序不用進(jìn)行任何改變���。2)原有的SQL語(yǔ)句和事務(wù)處理(ACID���、讀一致性等事務(wù)特性)特性沒(méi)有任何改變。3)DBA等數(shù)據(jù)庫(kù)維護(hù)人員對(duì)數(shù)據(jù)庫(kù)的表結(jié)構(gòu)變更���、數(shù)據(jù)導(dǎo)出導(dǎo)入等維護(hù)性操作不受影響�����。4)對(duì)原有的數(shù)據(jù)庫(kù)高端特性如數(shù)據(jù)庫(kù)集群(RAC)等不造成影響��。
透明加解密技術(shù)在提供數(shù)據(jù)密文存儲(chǔ)帶來(lái)的安全性提升的同時(shí)����,最大程度的降低了由于數(shù)據(jù)加密造成的各項(xiàng)影響,應(yīng)用系統(tǒng)無(wú)需二次開(kāi)發(fā)�,運(yùn)維人員無(wú)需增加工作量。是一種低成本����、小代價(jià)、高安全的數(shù)據(jù)庫(kù)加解密方式���。"
密文索引
" 索引是對(duì)數(shù)據(jù)庫(kù)表中一個(gè)或多個(gè)列的值進(jìn)行排序的結(jié)構(gòu)�����,通過(guò)這種排序結(jié)構(gòu)�,可以加快數(shù)據(jù)庫(kù)的查詢速度�����,更快的從表中找到想要的信息�����。在數(shù)據(jù)庫(kù)中敏感信息進(jìn)行加密后��,用戶在使用明文作為查詢條件檢索密文的時(shí)候��,無(wú)法沿用傳統(tǒng)的索引機(jī)制��,只能通過(guò)全表檢索的方式獲取數(shù)據(jù)�,性能大幅度降低。
密文索引是一種利用數(shù)據(jù)庫(kù)擴(kuò)展接口����,采用專門設(shè)計(jì)的存儲(chǔ)結(jié)構(gòu)和算法構(gòu)建的針對(duì)密文的索引方式,該方式突破傳統(tǒng)技術(shù)對(duì)加密列不能使用索引的限制���;在保證索引數(shù)據(jù)高度安全的基礎(chǔ)上�����,提供了對(duì)已加密數(shù)據(jù)為檢索條件的索引查詢�����。在加密列上進(jìn)行的等于��、大于���、小于和Like操作依然可以使用索引�����,從而保持了數(shù)據(jù)庫(kù)的高效訪問(wèn)能力�����。
密文索引支持的數(shù)據(jù)類型包括varchar2����、char�����、int����、number����、date等數(shù)據(jù)庫(kù)常見(jiàn)數(shù)據(jù)類型����。在這些類型的加密列上面建立密文索引����,可以保證以其為條件進(jìn)行的等于、大于��、小于和Like操作��,性能相比明文索引下降在3%~5%�,做到性能基本無(wú)損。并且����,儲(chǔ)存在索引表中的數(shù)據(jù)均是以密文形態(tài)存在,安全性得到了充分的保障�。"
前置代理加密
通過(guò)在數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)前端串聯(lián)接入加密設(shè)備;對(duì)于用戶定義的需要加密的列��,在插入式對(duì)數(shù)據(jù)加密后再傳遞給數(shù)據(jù)庫(kù)�����,在讀取時(shí)解密后再傳遞給客戶端。這種技術(shù)路線包括如下三種:(1)通過(guò)通訊協(xié)議解析和數(shù)據(jù)包改寫的方式進(jìn)行����;(2)對(duì)于JDBC或ODBC重構(gòu);(3)增加JDBC或ODBC代理轉(zhuǎn)發(fā)服務(wù)器�。無(wú)論哪種方式都有應(yīng)用改造和密文數(shù)據(jù)無(wú)法快速檢索的風(fēng)險(xiǎn)。
關(guān)聯(lián)加密
關(guān)聯(lián)加密通常在對(duì)存在外鍵的數(shù)據(jù)列進(jìn)行加密時(shí)進(jìn)行�����,為了保證對(duì)數(shù)據(jù)庫(kù)加密后����,原有的表間外鍵關(guān)系不被破壞,需要檢查是否存在和該主鍵列相關(guān)聯(lián)的外鍵列��,并將所有相關(guān)聯(lián)的外鍵列都加入到待處理的加密列中�����,進(jìn)行加密處理�。并且對(duì)這些外鍵列采用和主鍵約束列完全相同的密鑰、鹽值和加密算法��,以保證主鍵和外鍵被加密后的數(shù)據(jù)一致。因此����,需要通過(guò)一個(gè)專門的加密處理接口來(lái)對(duì)主外鍵關(guān)系的列進(jìn)行同時(shí)的加密處理。并且不能改變?cè)撝魍怄I約束關(guān)系�。在進(jìn)行加解密處理的時(shí)候��,需要理清其先后的順序:首先更改全部主鍵列的數(shù)據(jù)�,然后更改外鍵列的數(shù)據(jù)。
產(chǎn)品咨詢:4000 258 365 
