作为近年来兴起的数据库安防技术,已经被越来越多的人所重视。这种基于存储层加密的防护方式,不仅可以有效解决数据库明文存储引起的泄密风险,也可以防止来自内部或者外部的入侵及越权访问行为。
从技术手段上来看,现今技术主要有三大类,分别是前置代理及加密网关方式、应用层加密方式以及后置代理方式,其中后置代理技术有有两种不同的技术路线,分别为:基于视图和触发器的后置代理技术和基于tde技术的加密技术:
(1)前置代理及加密网关技术
该技术思路是在数据库之前增加一道安全代理服务,对数据库访问的用户必须经过该安全代理服务,在此服务中实现如数据加解密、存取控制等安全策略;然后安全代理服务通过数据库的访问接口实现数据在库中的最终存储。安全代理服务存在于客户端应用与数据库存储引擎之间,负责完成库中数据的加解密工作,加密数据存储在安全代理服务中。
(2)应用层加密技术
应用层加密的主要技术原理在于,应用系统通过加密api(jdbc,odbc,c api等)对敏感数据进行加密,将加密数据存储到数据库的底层文件中;在进行数据检索时,将密文数据取回客户端,再进行解密。另外应用系统将自行管理密钥体系。
(3)基于视图和触发器的后置代理技术
这种技术使用“视图” “触发器” “扩展索引” “外部调用”的方式实现数据加密,同时保证应用完全透明。它的核心思想是充分利用数据库自身提供的应用定制扩展能力,分别使用其触发器扩展能力、索引扩展能力、自定义函数扩展能力以及视图等技术来满足数据存储加密,加密后数据检索,对应用无缝透明等最主要需求。
(4)基于tde技术的加密技术
这种加密方式是利用tde (transparent data encryption)技术:一种透明数据加密技术,在数据库主程序启动时加载扩展的tde插件,利用该tde插件在数据写入存储介质前将数据进行加密,实现数据的存储加密;在从存储介质加载数据到内存前进行数据解密,实现数据的解密使用;在tde插件中增加访问控制功能实现独立于数据库原有权限体系的增强的权控要求。
这种加密技术在性能、透明性上带来质的飞跃,适应oltp、olap等所有应用场景,使国家和行业规范中关于数据加密的要求能够技术落地,极大促进安全合规需求满足。
安华金和产品dbcoffer采用的加密技术,既有基于视图和触发器的后置代理技术的,也有基于tde技术的数据库加产品。早在2010年安华金和基于视图和触发器的后置代理技术的就已经研发成功,2017年安华金和又在国内率先推出基于tde技术的。
无论基于哪种技术的技术,安全、易用、高效,是成熟的数据库加解密技术必须具备的三大特点,也是数据库加解密产品必须确保的基本能力。安华金和数据库加解密产品团队正是以这三点为产品基石,以更安全、更易用和更高效为努力目标,在技术领域不断进行探索和技术创新,为用户的数据安全贡献自己的力量。
试用申请