數(shù)據(jù)庫不同于電腦，它所儲存的數(shù)據(jù)更多，也更容易受到黑客的攻擊，因此，需要足夠高的安全保護(hù)。今天我們就來了解一種適用于數(shù)據(jù)庫加密的方法——外掛加密。

數(shù)據(jù)庫外掛加密的原理

數(shù)據(jù)庫外掛加密通過針對數(shù)據(jù)庫定制開發(fā)外掛進(jìn)程，使進(jìn)入數(shù)據(jù)庫的明文先進(jìn)入到外掛程序中進(jìn)行加密，形成密文后再插入數(shù)據(jù)庫表中。

這種技術(shù)是用“觸發(fā)器”+“多層視圖”+“擴展索引”+“外部調(diào)用”的方式實現(xiàn)數(shù)據(jù)加密，可保證應(yīng)用完全透明。通過擴展的接口和機制，數(shù)據(jù)庫系統(tǒng)用戶可以通過外部接口調(diào)用的方式實現(xiàn)對數(shù)據(jù)的加解密處理。

視圖可實現(xiàn)對表內(nèi)數(shù)據(jù)的過濾、投影、聚集、關(guān)聯(lián)和函數(shù)運算，在視圖內(nèi)實現(xiàn)對敏感列解密函數(shù)的調(diào)用，實現(xiàn)數(shù)據(jù)解密。

數(shù)據(jù)庫外掛加密的應(yīng)用場景

如果查詢涉及的加密列不多，查詢結(jié)果集中，且包含的數(shù)據(jù)記錄也相對不多時，可以考慮使用數(shù)據(jù)庫外掛加密技術(shù)對數(shù)據(jù)庫進(jìn)行加密。

數(shù)據(jù)庫外掛加密的優(yōu)勢

• 獨立權(quán)控體系

使用數(shù)據(jù)庫外掛加密技術(shù)，可以在外置的安全服務(wù)中提供獨立于數(shù)據(jù)庫自有權(quán)控體系之外的權(quán)限控制體系，適用于對“獨立權(quán)控體系”有相關(guān)需求的場景，可以有效防止特權(quán)用戶（如DBA）對敏感數(shù)據(jù)的越權(quán)訪問。

數(shù)據(jù)庫外掛加密的不足

• 僅支持Oracle等少量數(shù)據(jù)庫類型

數(shù)據(jù)庫外掛加密，目前大多數(shù)的技術(shù)實現(xiàn)形式，存在功能性依賴，僅支持開放高級接口的Oracle等少量數(shù)據(jù)庫。

• 數(shù)據(jù)庫性能損耗較高

數(shù)據(jù)庫外掛加密是通過觸發(fā)器、多級視圖，進(jìn)行外部接口調(diào)用來實現(xiàn)加解密，觸發(fā)器或視圖的運行機制要求對加密表中的每一條數(shù)據(jù)中的每個加密列的讀寫都會進(jìn)行外部接口調(diào)用，因此，當(dāng)遇到比如“查詢中涉及的加密列較多”等情況時，會對數(shù)據(jù)庫的讀寫性能存在明顯影響。

• 可擴展性差

在業(yè)務(wù)變化引起數(shù)據(jù)庫表結(jié)構(gòu)發(fā)生變化時，需要對外掛程序業(yè)務(wù)邏輯進(jìn)行調(diào)整，甚至需重新定制開發(fā)，存在后期維護(hù)成本。

免責(zé)聲明：素材源于網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系刪稿。

cc

收藏 海報分享