在前面的文章中，我們簡單了解了前置代理加密技術(shù)，那么聰明的小伙伴就一定猜到了，有“前置”就一定會有“后置”。所以，今天我們文章的主角就是數(shù)據(jù)庫后置代理加密技術(shù)。

后置代理加密技術(shù)簡介

后置代理加密技術(shù)是基于數(shù)據(jù)庫自身能力的一種加密技術(shù)，可充分利用數(shù)據(jù)庫自身提供的定制擴(kuò)展能力實(shí)現(xiàn)數(shù)據(jù)的存儲加密、加密后數(shù)據(jù)檢索和應(yīng)用透明等目標(biāo)。

后置代理加密技術(shù)的核心思想就是充分利用數(shù)據(jù)庫自身提供的應(yīng)用定制擴(kuò)展能力，分別使用其觸發(fā)器擴(kuò)展能力、索引擴(kuò)展能力、自定義函數(shù)擴(kuò)展能力以及視圖等技術(shù)來滿足數(shù)據(jù)存儲加密，加密后數(shù)據(jù)檢索，對應(yīng)用無縫透明等核心需求。

目前，能夠完美實(shí)現(xiàn)后置代理加密的典型代表是Oracle數(shù)據(jù)庫，它可以通過“視圖+觸發(fā)器+擴(kuò)展索引+外部方法調(diào)用”的方式實(shí)現(xiàn)數(shù)據(jù)加密，同時保證應(yīng)用的完全透明。

后置代理加密技術(shù)的適用場景

后置代理加密技術(shù)的價值主要體現(xiàn)在“應(yīng)用透明和獨(dú)立權(quán)控”兩大能力上，這也是它最突出的優(yōu)點(diǎn)。因此，當(dāng)有以下需求時，可以考慮使用后置代理加密技術(shù)：

• 不希望在加密時對應(yīng)用系統(tǒng)進(jìn)行改造；
• 希望對數(shù)據(jù)庫超級用戶的訪問權(quán)限進(jìn)行控制；
• 希望降低加密對數(shù)據(jù)庫系統(tǒng)性能的影響。

后置代理加密技術(shù)的優(yōu)勢

• 應(yīng)用透明

后置代理加密是在數(shù)據(jù)庫層面對敏感數(shù)據(jù)進(jìn)行處理，應(yīng)用系統(tǒng)對數(shù)據(jù)本身及處理過程完全無感的。因此，應(yīng)用系統(tǒng)不用做任何改造即可實(shí)現(xiàn)后置代理加密。

• 獨(dú)立權(quán)控

后置代理加密可以在外置的安全服務(wù)中，提供獨(dú)立于數(shù)據(jù)庫自有權(quán)控體系之外的權(quán)限控制體系，可以有效防止特權(quán)用戶（如DBA）對敏感數(shù)據(jù)的越權(quán)訪問。

后置代理加密技術(shù)的不足

• 開放性差

后置代理加密的實(shí)現(xiàn)需要數(shù)據(jù)庫具備外部接口調(diào)用能力，但并非所有的數(shù)據(jù)庫都具備這樣的能力。所以，并非所有的數(shù)據(jù)庫都能使用后置代理加密技術(shù)。

• 性能一般

一般來說，后置代理加密是可以降低加密對數(shù)據(jù)庫系統(tǒng)性能的影響，但在一些特殊情況下，它依舊會對數(shù)據(jù)庫的整體性能帶來一定的影響，甚至在極端情況下會導(dǎo)致業(yè)務(wù)無法正常運(yùn)行。

免責(zé)聲明：素材源于網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系刪稿。

cc

收藏 海報分享