安策数据加密保护-常见的数据库加密技术分享

“xxx拖库”，“xxxx数据泄露”等等。层出不穷的安全事件表明，如果我们想从根本上解决这个跨网络保护的问题，绕过权控系统，直接复制文件块，异地还原分析“内鬼”在攻击模式中，必须使用存储层的加密技术，以确保一旦敏感信息下降，就必须存储密文。随着国内市场数据库加密技术的兴起和更多数据安全企业的涌入，市场上出现了几种具有代表性的数据库加密技术。

一、前置代理和加密网关技术

1）技术原理

该方案的总体技术思路是在数据库之前增加一个安全代理服务。访问数据库的用户必须通过安全代理服务实现数据加解密、访问控制等安全策略。然后，安全代理服务通过数据库的访问接口实现数据存储。客户端应用程序和数据库存储引擎之间存在安全代理服务，负责完成数据的加密和解密，并在安全代理服务中存储加密数据。

2)利弊分析:前置代理和代理网关加密技术，无法克服“坎”

①由于加密数据需要存储在安全增强代理中，因此基本不可能解决与数据库存储数据的一致性问题。

②数据联合检索问题：由于数据库内外存在数据，这些数据的联合检索将变得非常困难；SQL完全兼容的语法也很难。

③开发不可能是透明的：尽管数据库协议有标准，但事实上，每个不同的数据库版本都将进行一些更改、扩展和增强。使用这些功能的用户必须进行转换。同时，在安全代理中很难模拟数据库通信协议。

④数据库用数据库的优化处理、事务处理和并发处理：需要在安全增强器中完成查询分析、优化处理、事务处理和并发处理。无法使用数据库在并发处理和查询优化方面的优势，系统的性能和稳定性更多地取决于安全代理；

⑤对很难支持存储过程、触发器、函数等存储程序的实现。

此外，该方案需要提供非常复杂的数据库管理功能，如：SQL命令分析、通信服务、加密数据索引存储管理、事务管理等，除了存储过程、触发器等无法解决的技术问题外，还有巨大的开发工作量和高技术复杂性。

二、应用层改造加密技术

1)应用层的技术原理

加密方案的主要技术原理是通过加密应用系统API(JDBC,ODBC,CAPI等）对敏感数据进行加密，并将加密数据存储在数据库的底层文件中；在数据检索过程中，将密码数据带回客户端，然后对其进行解密。应用系统自行管理密钥系统。

2)利弊分析：应用层加密技术，只是看上去很漂亮

最重要的缺点是，应用程序必须对数据进行加密和解密，以增加编程的复杂性，并且不能对现有系统进行透明。应用程序必须进行大规模转换。该技术不能利用数据库的索引机制，加密后数据的检索性能显著降低。

三、基于文件级的加解密技术

1）技术原理

顾名思义，基于文件级的加解密技术不与数据库本身的原理相结合，而是从操作系统或文件系统层面对数据存储载体进行加解密的技术手段。

该技术通过在操作系统中植入某些侵入性技术“钩子”在此过程中，当数据存储文件被打开时进行解密操作，并在数据着陆时进行加密操作。在具有基本加解密能力的同时，可以根据操作系统用户或访问文件的过程进行解密操作ID进行基本的访问权限控制。

2)利弊分析：跳出“体系”此外，优势和风险是一样的

这项技术巧妙地绕过了让所有英雄头疼的问题。它能很好地适应数据库的高端特性、查询和检索性能保证、统计分析效率等关键技术指标。

但是，在这种机制下，存在的问题也会更加明显，包括以下几类：

①操作系统或文件系统级解密，对不同平台适应性差，与内核绑定过多。一旦程序出现故障，将对操作系统产生重大影响，并容易导致业务中断。

②操作系统或文件级加解密的权限控制在系统层，因此不能单独设置不同数据库帐户的访问权限，需要与其他产品和技术相结合。

③操作系统或文件级的加解密对于落地文件进行操作，加解密粒度较粗糙，不能对列级进行加密。

四、基于视图和触发器的后代理技术

1）技术原理

使用这种技术“视图”+“触发器”+“扩展索引”+“外部调用”实现数据加密的方法，同时确保应用程序完全透明。其核心思想是充分利用数据库本身提供的应用程序定制扩展能力，分别使用其触发器扩展能力、索引扩展能力、自定义函数扩展能力和视图技术来满足数据存储加密、数据检索、无缝透明应用等核心需求。

2)利弊分析:后置代理，独自穿越独木桥

经过几年的演变，以传统加密为代表的后代理加密技术逐渐被大家所接受。该技术具有高端数据库技术的透明度、灵活性和兼容性，这是前置代理和应用改造所不具备的。可以说，它率先经历了数据库加密的巨大风险和挑战“独木桥”然而，向前看，“独木桥”还在。

“在应用环境下，单表1亿级数据的规模，加密后是否会明显影响查询和检索性能？”“对秘文数据的统计分析操作，如何保证速度基本不降？”“实施加密后，如何将运维、迁移、备份等操作的变化降到最低”“大量的数据加密会带来更大的空间膨胀吗？”……自数据库加密技术问世以来，这些问题不仅成为用户心中的疑问，也成为后代加密技术提供商亟待解决的首要任务。

压力下的技术突破——表空间加密技术

有没有一种加密方法可以满足以下要求？

1)透明度足够好。sql句子执行，不需要应用改造已上线的系统。

2)兼容性足够好。既能满足多节点、数据分区等特点，又能满足数据库常用的运维工具和手段。

3)性能足够好。即使对密文字段进行统计分析，或批量模糊查询，也能保证其可用性。

4)安全性足够好。密钥独立，权控独立，算法独立（国密），均纳入刚需。

版权声明: SafePloy安策利用网络资源获取的信息安全资料加上公司技术人员的理解整理产出的技术交 流文档，如有版权意见，请及时告知安策公司，我们将及时查证纠正错误，谢谢支持。有问题请及时电邮 market@ SafePloy.com

来源：SafePloy安策、安策加密技术部 | 关键词：数据库安全  数据加密  加密密钥   | 受欢迎指数（）