四种常见数据库加密技术分析
|
副问题[/!--empirenews.page--]
“xxx拖库”、“xxxx数据泄漏”等等层出不穷的安详变乱表白,要想基础上办理这种越过收集防护,绕开权控系统,直接复制文件块并异地还原理会的“内鬼”式进攻方法,必需回收存储层的加密技能,确保敏感信息一旦落盘,必需密文存储。跟着数据库加密技能在海内市场的鼓起,更大都据安详企业的涌入,市面上呈现了几种具有代表性的数据库加密技能。
一、前置署理及加密网关技能 1. 技能道理 该方案的总体技能思绪即在数据库之前增进一道安详署理处事,对数据库会见的用户都必需颠末该安详署理处事,在此处事中实现如数据加解密、存取节制等安详计策。然后安详署理处事通过数据库的会见接话柄现数据存储。安详署理处事存在于客户端应用与数据库存储引擎之间,认真完成数据的加解密事变,加密数据存储在安详署理处事中。 2. 利弊说明:前置署理及署理网关加密技能,迈不外去的“坎”
其它此种方案必要在安详署理处事层提供很是伟大的数据库打点成果,如:SQL呼吁理会,通信处事,加密数据索引存储打点、事宜打点等等,,因此存在庞大的开拓事变量及很高的技能伟大度,另外尚有相同于存储进程、触发器等无法办理的技能题目。 二、应用层改革加密技能 1. 技能道理 应用层加密方案的首要技能道理是应用体系通过加密API(JDBC,ODBC,CAPI等)对敏感数据举办加密,将加密数据存储到数据库的底层文件中;在举办数据检索时,将密文数据取回到客户端,再举办解密,应用体系自行打点密钥系统。 2. 利弊说明:应用层加密技能,只是看起来很美 最首要不敷在于:应用措施必需对数据举办加解密,增进编程伟大度,并且无法对现有体系做到透明,应用措施必需举办大局限改革。这种技能无法操作数据库的索引机制,加密后数据的检索机能大幅降落。 三、基于文件级的加解密技能 1. 技能道理 顾名思义,基于文件级的加解密技能是不与数据库自身道理融合,只是对数据存储的载体从操纵体系或文件体系层面举办加解密的技妙本领。 这种技能通过在操纵体系中植入具有必然入侵性的“钩子”历程,在数据存储文件被打开的时辰举办解密举措,在数据落地的时辰执行加密举措,具备基本加解密手段的同时,可以或许按照操纵体系用户可能会见文件的历程ID举办根基的会见权限节制。 2. 利弊说明:跳出“系统”之外,上风与风险同在 这种技能奇妙的绕过了让各路好汉头疼的题目。对数据库高端特征兼容、查询检索机能保障、统计说明服从等要害技能指标均有较好的顺应环境。 然而在这种机制下,存在的题目也会较量明明,包括以下几类:
四、基于视图及触发器的后置署理技能 1. 技能道理 这种技能是行使“视图”+“触发器”+“扩展索引”+“外部挪用”的方法实现数据加密,同时担保应用完全透明。焦点头脑是充实操作数据库自身提供的应用定制扩展手段,别离行使其触发器扩展手段、索引扩展手段、自界说函数扩展手段以及视图等技能来满意数据存储加密,加密后数据检索,对应用无缝透明等焦点需求。 2. 利弊说明:后置署理,独自过独木桥 以传统的列加密DBCoffer为代表的后置署理加密技能,颠末几年演进慢慢被各人接管,这种技能拥有前置署理和应用改革所不具备的透明性,机动性以及数据库高端技能的兼容性,可谓率先走过了数据库加密这一风险与挑衅都庞大的“独木桥”。然而向前看,“独木桥”还在。 “应用情形下,单表亿级数据局限,加密后查询检索机能会不会受到明明影响?”“对密文数据的统计说明操纵,怎样担保速率根基不降落?”“实验加密后,对密文数据的运维、迁徙、备份等操纵,怎样将窜改降至最低”“大量的数据加密,会否带来更大量的空间膨胀”……这些自数据库加密技能问世以来就相伴而生的题目,不只酿成了用户心头的疑云,也成为了后置署理加密技能提供商亟待办理的当务之急。 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
