密鑰存資料庫
資料庫加密的方式從最早到現在有4種技術,首先是前置代理加密技術,該技術的思路是在資料庫之前增加一道安全代理服務,所有訪問資料庫的行為都必須經過該安全代理服務,在此服務中實現如數據加解密、存取控制等安全策略,安全代理服務通過資料庫的訪問介面實現數據存儲。安全代理服務存在於客戶端應用與資料庫存儲引擎之間,負責完成數據的加解密工作,加密數據存儲在安全代理服務中。
然後是應用加密技術,該技術是應用系統通過加密API對敏感數據進行加密,將加密數據存儲到資料庫的底層文件中;在進行數據檢索時,將密文數據取回到客戶端,再進行解密,應用系統自行管理密鑰體系。
其次是文件系統加解密技術,該技術不與資料庫自身原理融合,只是對數據存儲的載體從操作系統或文件系統層面進行加解密。這種技術通過在操作系統中植入具有一定入侵性的「鉤子」進程,在數據存儲文件被打開的時候進行解密動作,在數據落地的時候執行加密動作,具備基礎加解密能力的同時,能夠根據操作系統用戶或者訪問文件的進程ID進行基本的訪問許可權控制。
最後後置代理技術,該技術是使用「視圖」「觸發器」「擴展索引」「外部調用」的方式實現數據加密,同時保證應用完全透明。核心思想是充分利用資料庫自身提供舉行的應用陵答粗定製擴展能力,分別使用其觸發器擴展能力、索引擴展能力、自定義函數擴展能力以及視圖等技術來滿足尺鎮數據存儲加密,加密後數據檢索,對應用無縫透明等核心需求。安華金和的加密技術在國內是唯一支持TDE的資料庫加密產品廠商。
2. 密鑰管理中心的密鑰生成及其存儲
系統中的密鑰共分為以下幾種:
1、CA的密鑰:CA( Certification Authority ,證書認證中心)的密鑰是整個系統的核心機密,它在系統安裝時產生,生成之後加密存儲在存儲伺服器的資料庫或硬體主機加密伺服器中。
2、 用戶的密鑰:用戶的簽名密鑰由客戶端產生,生成後加密存儲在客戶端本機文件或操作系統安全區中。