全文预览已结束
下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
常见数据库加密技术对比作者:安华金和 孙峥数据库加密作为近年来兴起的数据库安防技术,已经被越来越多的人所重视。这种基于存储层加密的防护方式,不仅可以有效解决数据库明文存储引起的泄密风险,也可以防止来自内部或者外部的入侵及越权访问行为。从技术手段上来看,现今数据库加密技术主要有三大类,分别是前置代理及加密网关方式、应用层加密方式以及后置代理方式。这三类技术各自的特点如何,彼此之间孰优孰劣,下文详尽介绍。一. 前置代理及加密网关数据库加密技术该数据库加密技术思路是在数据库之前增加一道安全代理服务,对数据库访问的用户必须经过该安全代理服务,在此服务中实现如数据加解密、存取控制等安全策略;然后安全代理服务通过数据库的访问接口实现数据在库中的加密存储。安全代理服务存在于客户端应用与数据库存储引擎之间,负责完成库中数据的加解密工作,加密数据存储在安全代理服务中。这种数据库加密技术也会存在一些问题和限制:1)由于在安全增强代理中需要存储加密数据,因此要解决与数据库存储数据的一致性问题,这基本不可实现。2)数据的联合检索问题:由于在数据库内外都存在数据,这些数据的联合检索将变得很困难;SQL语法的完全兼容也非常困难。3)开发无法透明问题:数据库协议虽然存在标准,但事实上每个不同的数据库版本都会进行若干变更、扩展和增强,使用了这些特性的用户必须进行改造。同时在安全代理中对数据库通讯协议的模拟非常困难。4)数据库的优化处理、事务处理、并发处理等特性都无法使用:查询分析、优化处理、事务处理、并发处理工作都需要在安全增强器中完成,无法使用数据库在并发处理和查询优化上的优势,系统的性能和稳定性更多地依赖于安全代理;5) 此种数据库加密技术对于对存储过程、触发器、函数等存储程序的实现支持也非常困难。另外该数据库加密技术需要在安全代理服务层提供非常复杂的数据库管理功能,如:SQL命令解析,通讯服务,加密数据索引存储管理、事务管理等等,因此存在巨大的开发工作量及很高的技术复杂度,此外还有类似于存储过程、触发器等无法解决的技术问题。二. 应用层数据库加密技术应用层加密的主要技术原理在于,应用系统通过加密API(JDBC,ODBC,C API等)对敏感数据进行加密,将加密数据存储到数据库的底层文件中;在进行数据检索时,将密文数据取回客户端,再进行解密。另外应用系统将自行管理密钥体系。这种数据库加密方案也存在明显缺陷,最主要的不足在于,应用程序必须对数据进行加解密,增加编程复杂度,而且无法对现有的系统做到透明,应用程序必须进行大规模的改造。从效率角度来看,这种技术方案无法利用数据库的索引机制,加密后数据的检索性能将产生大幅度下降。三. 基于视图和触发器的后置代理数据库加密技术这种数据库加密技术使用“视图”+“触发器”+“扩展索引”+“外部调用”的方式实现数据加密,同时保证应用完全透明。它的核心思想是充分利用数据库自身提供的应用定制扩展能力,分别使用其触发器扩展能力、索引扩展能力、自定义函数扩展能力以及视图等技术来满足数据存储加密,加密后数据检索,对应用无缝透明等最主要需求。这种方案的技术原理主要有以下四个方面3.1 通过视图实现加密数据透明查询处理数据库的视图可以实现对表内数据的过滤、投影、聚集、关联和函数运算。该方案正是通过数据库的视图原理实现对数据的透明访问;首先对将原有的表进行改名,然后在该表上建立与原表同名的视图;在视图内实现对敏感列的解密函数调用,实现数据的解密。3.2 通过触发器实现数据的加密插入和更新处理数据库中的触发器可以实现对数据更新动作的特定行为的响应,同时数据库中可以支持针对视图的触发器。这种数据库加密方案在建立的视图上建立Instead of触发器,通过Instead of触发器实现对数据库中明文数据的加密,将加密数据插入到表中。3.3 通过数据库的扩展索引接口实现加密索引以Oracle数据库为例,在Oracle Data Cartridge的索引扩展机制提供了一套现成的框架,可以自己定义索引并实现Operator,自行编写索引在Create Index、Insert、Delete、Update语句执行、以及Scan Index发生时的相应处理代码。通过该机制,可以使用自定义的扩展加密索引,这样当使用该索引对数据库加密数据进行检索时,可以进行正常的排序及比较,这也就解决了加密后数据检索的难题,大幅度提升了密文检索的效率。3.4 通过外部接口调用实现独立于数据库的权限控制和国产加密算法在实现透明加密访问和高效索引访问之外,另一重要目的是实现对国产加密算法的调用和独立于数据库的权限控制。实现这一目的的技术关键是外部程序调用和外部通讯支持。在数据库中支持外部程序调用,只要定义好通讯接口即可。那么这种方案可以将加密函数和解密函数做成外部调用,
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 供电局微笑服务演讲稿
- 员工代表演讲稿
- 企业普通员工年终工作总结
- 去音标课件教学课件
- 晚上做课件教学课件
- 探矿全证办理流程
- 《EDA技术与设计》全套教学课件
- 深度多模态数据融合 Deep Multimodal Data Fusion
- 部编版历史九年级上册第三单元 第10课《拜占庭帝国和查士丁尼法典》说课稿
- 实数复习课件教学课件
- 建筑节能和绿色建筑监理实施细则
- 基础工程施工月进度计划表
- 高压交流电动机试验报告
- 楼地面裂缝的原因及防治措施
- 10000中国普通人名大全
- 铣削深搅水泥土搅拌墙技术规程-中国土木工程学会
- 仓库租赁合同电子版
- 倪海厦人纪之针灸 全
- 《学前教育专业导论》课程教学大纲
- 小腿免荷支具矫形器制作流程【培训课件】
- DB11-T 1863-2021医疗机构保洁服务规范
评论
0/150
提交评论