数据库加密技术从诞生至今,明加密已经历多个阶段,浅谈采用过多种实现方式,数据并一直处于持续发展之中。库透对于数据库加密技术,明加密我们可以从应用层、浅谈数据库中间件、数据数据库系统自身、库透数据库系统所依赖的文件系统以及存储硬件等方面考虑其具体实现。
图片
这种加密方式,是通过磁盘加密系统或存储加密网关进行加密。其对数据库文件所在的磁盘扇区进行加密,并在数据库访问这些扇区时进行解密。这种加密方式对数据库自身是透明的,数据库管理系统不会感知到加密或解密过程的存在。这种加密方式在存储层工作,只能防止在磁盘丢失时敏感数据的泄漏。所有具有访问磁盘权限的用户都可以访问到真实的数据库文件,因此对于控制了操作系统的攻击者来说,这种加密方式并没有提供防护能力。
在操作系统文件驱动层,将数据库的存储文件经过加密后存储到磁盘上,并在数据库访问这些文件时进行解密。这种加密方式对数据库自身来说也是透明的,数据库管理系统不会感知到加密或解密过程的存在。这种加密方式可以防止因磁盘丢失和文件被复制而导致敏感数据泄漏。然而,对于控制了数据库系统的攻击者来说,文件仍然是开放的,因此没有真正的防护能力。
有些数据库自身提供了加密机制,在数据库内核实现了存储的加密。这种加密方式可以有效防止因磁盘丢失和文件被复制而导致敏感数据泄漏。然而,对于控制了数据库系统的攻击者来说,这种加密方式并不可靠,没有提供防护能力。此外,其密钥管理通常不会对数据库用户开放,因此安全性得不到保证,也无法得到国内相关评测机构的认可。
这种技术是通过数据库的内置能力,如通过使用视图、触发器和扩展索引等机制,可以实现透明加密。由于引入了独立的第三方程序,通过控制加密和解密的权限,增加了额外的访问控制。对于数据库内的不同用户,也可以控制其对加密数据的访问。然而,这种加密方式无法越过应用系统,实现应用系统用户对敏感数据的访问控制。此外,这种加密方式依赖于数据库系统的扩展索引机制,并不能在所有数据库上实现。
这一技术是通过对数据库前端部署数据库加密网关,或者通过扩展数据库访问驱动(如JDBC驱动)实现数据库加密。这种方式理论上能够支持所有的数据库,是一种通用的解决方案,且安全性更高。但需要这一层能实现对所有访问语句和访问机制的支持,例如对存储过程和触发器等都需要提供支持。
这一方式是通过应用系统自身完成数据加密或者通过应用前置一个加密网关来实现。针对前者需要较大的研发投入实现所需加密能力,后者则通过将数据加密的位置提前,在数据进入应用系统之前进行加密。后者这种加密方式可以控制应用系统的用户对数据的访问权限,并且真实数据对所有数据库用户都是不可见的,是最安全的一种加密方式。事实上,无论是这两种方式的哪一种,都会由于应用系统的复杂性,实现的难度也较大。
总之,数据被加密的位置离用户越近,安全性越高,同时实现的难度也越大。以上所述的几种加密方式,数据加密的位置离用户是逐步靠近的,防护能力也是逐步提升的。
透明数据加密(TDE)是一种数据库端存储加密技术,全称为Transparent Data Encryption。这种技术对应用系统完全透明,通常由数据库厂商在数据库引擎中实现。在数据库引擎的存储管理层中增加一个数据处理过程,当数据由数据库共享内存写入到数据文件时对其进行加密,而当数据由数据文件读取到数据库共享内存时则对其进行解密。因此,数据在数据库共享内存中以明文形态存在,而在数据文件中则以密文形态存在。由于该技术的透明性,任何合法且有权限的数据库用户都可以访问和处理加密表中的数据。
图片
目前主流的数据库产品大多已支持数据库透明加密,但各产品的加密能力差异较大。这里收集了部分产品的加密能力,供参考。
图片
责任编辑:武晓燕 来源: 韩锋频道 数据库透明加密系统(责任编辑:娱乐)
央行上海总部:10月人民币存款增加3311亿元 住户存款减少72亿元
广安爱众(600979股吧):减持期届满 裕嘉阁累计减持0.80%股份
四川凉山雅砻江腊巴山风电项目正式开工建设 装机容量19.2万千瓦
柏堡龙(002776.SZ)公布消息:涉嫌信披违法违规 遭证监会立案调查
*ST海航(600221.SH):2月客运量同比升419.17% 货邮载运率32.77%
中国石油建成我国首条零碳沙漠公路 每年较柴油发电减排二氧化碳3410吨