SafePloy安策-数据加密-密钥管理-加密狗软件供应商

产品发布：安策信息资深技术：安策数据安全治理技术部发布时间：2022-12-22受欢迎度：

安策数据加密保护-什么是数据库透明加密？与传统数据库加密有什么优势？

数据库透明加密图

“xxx拖库”，“xxxx数据泄露”层出不穷的安全事件表明，要从根本上解决这种跨越网络保护、绕过权控系统、直接复制文件块、异地还原分析的问题“内鬼”攻击模式，必须使用存储层的加密技术，以确保敏感信息一旦盘，必须密文存储。随着国内市场数据库加密技术的兴起和更多数据安全企业的涌入，市场上出现了几种具有代表性的数据库加密技术。

一、前置代理和加密网关技术

1）技术原理

该方案的整体技术理念是在数据库之前增加一个安全代理服务，访问数据库的用户必须通过安全代理服务，实现数据加解密、访问控制等安全策略。然后安全代理服务通过数据库访问界面实现数据存储。安全代理服务存在于客户端应用程序和数据库存储引擎之间，负责完成数据的加解密，加密数据存储在安全代理服务中。

2)利弊分析:前代理和代理网关加密技术，不能迈过去“坎”

①由于加密数据需要存储在安全增强代理中，基本上不可能解决与数据库存储数据的一致性。

②数据联合检索问题：由于数据库内外存在数据，这些数据联合检索将变得非常困难；SQL语法完全兼容也很难。

③开发不透明：虽然数据库协议有标准，但事实上，每个不同的数据库版本都会有几个变化、扩展和增强，使用这些特性的用户必须进行改造。同时，在安全代理中很难模拟数据库通信协议。

④数据库优化处理、交易处理、并发处理等特点不能使用：查询分析、优化处理、交易处理、并发处理需要在安全增强器中完成，不能利用并发处理和查询优化的优势，系统的性能和稳定性更依赖于安全代理；

⑤还很难支持存储过程、触发器、函数等存储程序。

此外，该方案还需要在安全代理服务层提供非常复杂的数据库管理功能，如：SQL命令分析、通信服务、加密数据索引存储管理、交易管理等，开发工作量大，技术复杂性高，存在存储过程、触发器等无法解决的技术问题。

一、应用层改造加密技术

1)技术原理应用层

加密方案的主要技术原理是应用系统通过加密加密API(JDBC,ODBC,CAPI等)加密敏感数据，将加密数据存储在数据库的底层文件中；数据检索时，将密文数据取回客户端，然后解密，应用系统自行管理密钥系统。

2)利弊分析:应用层加密技术，只是看起来很漂亮

主要缺点是应用程序必须对数据进行加解密，以增加编程的复杂性，并且不能对现有系统进行透明，因此应用程序必须进行大规模的转换。该技术不能使用数据库的索引机制，加密后的数据检索性能显著下降。

三、基于文件级的加解密技术

1）技术原理

顾名思义，基于文件级的加解密技术不是与数据库本身的原理相结合，而是从操作系统或文件系统层面加解密数据存储载体的技术手段。

该技术通过在操作系统中植入一定的入侵性“钩子”过程中，数据存储文件打开时进行解密，数据落地时进行加密。在具有基本加解密能力的同时，可以根据操作系统用户或访问文件的过程进行解密ID基本的访问权限控制。

2)利弊分析：跳出“体系”此外，优势和风险是一样的

这种技术巧妙地绕过了所有英雄头疼的问题。适应数据库高端特性、查询检索性能保证、统计分析效率等关键技术指标。

但在这种机制下，存在的问题也会比较明显，包括以下几类：

①操作系统或文件系统级加解密对不同平台适应性差，与核心绑定过重。一旦程序出现故障，将对操作系统产生很大影响，容易导致业务中断。

②操作系统或文件级加解密的权在系统层，因此不能单独设置不同数据库账户的访问权限，需要与其他产品和技术相结合。

③对落地文件进行操作系统或文件级加解密，加解密粒度比较粗糙，不能对列级进行加密。

四、基于视图和触发器的后代理技术

1）技术原理

使用此技术“视图”+“触发器”+“扩展索引”+“外部调用”实现数据加密，确保应用程序完全透明。核心思想是充分利用数据库本身提供的应用定制扩展能力，分别利用触发器扩展能力、索引扩展能力、定制函数扩展能力和视图技术，满足数据存储加密、加密数据检索、无缝透明应用等核心需求。

2)利弊分析:后代理，独自过独木桥

传统的列加密DBCoffer以后代理加密技术为代表，经过几年的演变，逐渐被大家接受。该技术具有前代理和应用转型所不具备的透明度、灵活性和数据库高端技术的兼容性。可以说，它率先经历了数据库加密的巨大风险和挑战“独木桥”但是向前看，“独木桥”还在。

“在应用环境下，单表1亿级数据规模，加密后查询检索性能是否会受到明显影响？”“如何保证密文数据的统计分析操作速度基本不下降？”“加密后，如何将密文数据的运维、迁移、备份等操作变化降到最低”“大量的数据加密会带来更多的空间膨胀吗？”……自数据库加密技术问世以来，这些问题不仅成为用户心中的疑虑，也成为后代理加密技术提供商的首要任务。

压力下的技术突破-表空间加密技术

有没有一种加密方法可以满足以下要求？

1)透明度足够好。不影响。sql语句执行，无需应用改造已上线系统。

2)兼容性足够好。既能满足多节点、数据分区等特点，又能满足数据库常用的运维工具和手段。

3)性能足够好。即使对密文字段进行统计分析，或批量模糊查询，也能保证其可用性。

4)安全性足够好。密钥独立、权控独立、算法独立(国密)，均纳入刚需。

纵观目前的技术体系，大多数商业数据库都提供了基于存储文件层的加解密手段。虽然不同数据库的实现机制可能不同，但这些技术手段统称为TDE（transparentDataEncryption），并作为数据库的组件提供给用户。这个组件的优点是显而易见的:一是来自原厂，兼容性和适应性有保障；二是在逻辑层和存储层下加密，保证数据库的高端检索和查询特性无损。同时不影响透明度。