在前面的文章中，我們簡單了解了前置代理加密技術，那么聰明的小伙伴就一定猜到了，有“前置”就一定會有“后置”。所以，今天我們文章的主角就是數(shù)據(jù)庫后置代理加密技術。

后置代理加密技術簡介

后置代理加密技術是基于數(shù)據(jù)庫自身能力的一種加密技術，可充分利用數(shù)據(jù)庫自身提供的定制擴展能力實現(xiàn)數(shù)據(jù)的存儲加密、加密后數(shù)據(jù)檢索和應用透明等目標。

后置代理加密技術的核心思想就是充分利用數(shù)據(jù)庫自身提供的應用定制擴展能力，分別使用其觸發(fā)器擴展能力、索引擴展能力、自定義函數(shù)擴展能力以及視圖等技術來滿足數(shù)據(jù)存儲加密，加密后數(shù)據(jù)檢索，對應用無縫透明等核心需求。

目前，能夠完美實現(xiàn)后置代理加密的典型代表是Oracle數(shù)據(jù)庫，它可以通過“視圖+觸發(fā)器+擴展索引+外部方法調用”的方式實現(xiàn)數(shù)據(jù)加密，同時保證應用的完全透明。

后置代理加密技術的適用場景

后置代理加密技術的價值主要體現(xiàn)在“應用透明和獨立權控”兩大能力上，這也是它最突出的優(yōu)點。因此，當有以下需求時，可以考慮使用后置代理加密技術：

• 不希望在加密時對應用系統(tǒng)進行改造；
• 希望對數(shù)據(jù)庫超級用戶的訪問權限進行控制；
• 希望降低加密對數(shù)據(jù)庫系統(tǒng)性能的影響。

后置代理加密技術的優(yōu)勢

• 應用透明

后置代理加密是在數(shù)據(jù)庫層面對敏感數(shù)據(jù)進行處理，應用系統(tǒng)對數(shù)據(jù)本身及處理過程完全無感的。因此，應用系統(tǒng)不用做任何改造即可實現(xiàn)后置代理加密。

• 獨立權控

后置代理加密可以在外置的安全服務中，提供獨立于數(shù)據(jù)庫自有權控體系之外的權限控制體系，可以有效防止特權用戶（如DBA）對敏感數(shù)據(jù)的越權訪問。

后置代理加密技術的不足

• 開放性差

后置代理加密的實現(xiàn)需要數(shù)據(jù)庫具備外部接口調用能力，但并非所有的數(shù)據(jù)庫都具備這樣的能力。所以，并非所有的數(shù)據(jù)庫都能使用后置代理加密技術。

• 性能一般

一般來說，后置代理加密是可以降低加密對數(shù)據(jù)庫系統(tǒng)性能的影響，但在一些特殊情況下，它依舊會對數(shù)據(jù)庫的整體性能帶來一定的影響，甚至在極端情況下會導致業(yè)務無法正常運行。

免責聲明：素材源于網絡，如有侵權，請聯(lián)系刪稿。

cc

收藏 海報分享