數據庫加密作爲近年來興起的數據庫安防技術,已經被越來越多的人所重視。這種基於存儲層加密的防護方式,不僅可以有效解決數據庫明文存儲引起的泄密風險,也可以防止來自內部或者外部的***及越權訪問行爲。
從技術手段上來看,現今數據庫加密技術主要有三大類,分別是前置代理及加密網關方式、應用層加密方式以及後置代理方式,其中後置代理技術有有兩種不同的技術路線,分別爲:基於視圖和觸發器的後置代理技術和基於TDE技術的加密技術:
(1)前置代理及加密網關技術
該技術思路是在數據庫之前增加一道安全代理服務,對數據庫訪問的用戶必須經過該安全代理服務,在此服務中實現如數據加解密、存取控制等安全策略;然後安全代理服務通過數據庫的訪問接口實現數據在庫中的最終存儲。安全代理服務存在於客戶端應用與數據庫存儲引擎之間,負責完成庫中數據的加解密工作,加密數據存儲在安全代理服務中。
(2)應用層加密技術
應用層加密的主要技術原理在於,應用系統通過加密API(JDBC,ODBC,C API等)對敏感數據進行加密,將加密數據存儲到數據庫的底層文件中;在進行數據檢索時,將密文數據取回客戶端,再進行解密。另外應用系統將自行管理密鑰體系。
(3)基於視圖和觸發器的後置代理技術
這種技術使用“視圖”+“觸發器”+“擴展索引”+“外部調用”的方式實現數據加密,同時保證應用完全透明。它的核心思想是充分利用數據庫自身提供的應用定製擴展能力,分別使用其觸發器擴展能力、索引擴展能力、自定義函數擴展能力以及視圖等技術來滿足數據存儲加密,加密後數據檢索,對應用無縫透明等最主要需求。
(4)基於TDE技術的加密技術
這種加密方式是利用TDE (Transparent Data Encryption)技術:一種透明數據加密技術,在數據庫主程序啓動時加載擴展的TDE插件,利用該TDE插件在數據寫入存儲介質前將數據進行加密,實現數據的存儲加密;在從存儲介質加載數據到內存前進行數據解密,實現數據的解密使用;在TDE插件中增加訪問控制功能實現獨立於數據庫原有權限體系的增強的權控要求。
這種加密技術在性能、透明性上帶來質的飛躍,適應OLTP、OLAP等所有應用場景,使國家和行業規範中關於數據加密的要求能夠技術落地,極大促進安全合規需求滿足。
安華金和數據庫加密產品DBCoffer採用的加密技術,既有基於視圖和觸發器的後置代理技術的數據庫加密產品,也有基於TDE技術的數據庫加產品。早在2010年安華金和基於視圖和觸發器的後置代理技術的數據庫加密產品就已經研發成功,2017年安華金和又在國內率先推出基於TDE技術的數據庫加密產品。
無論基於哪種技術的數據庫加密技術,安全、易用、高效,是成熟的數據庫加解密技術必須具備的三大特點,也是數據庫加解密產品必須確保的基本能力。安華金和數據庫加解密產品團隊正是以這三點爲產品基石,以更安全、更易用和更高效爲努力目標,在數據庫加密技術領域不斷進行探索和技術創新,爲用戶的數據安全貢獻自己的力量。