数据库安全管理加密系统..
数据库安全性管理与加密技术研究
数据库安全性管理与加密技术研究简介:数据库安全性管理是在信息科技高度发展的背景下,对数据库系统中存储和处理的敏感数据进行保护的重要措施。
随着数据库技术与互联网的深入融合,数据库安全面临了更多的挑战与威胁。
为了解决这些问题,加密技术是目前最常用和有效的数据保护手段之一。
本文将介绍数据库安全性管理与加密技术的研究现状和发展趋势。
一、数据库安全性管理的重要性数据库是企业和组织中储存大量敏感数据的核心系统,包括客户信息、员工信息、财务数据等。
这些数据的泄露和篡改将对组织的经济利益、声誉和合规性造成重大损失。
因此,数据库安全性管理应作为信息管理中的重要组成部分,得到足够的重视和投入。
首先,数据库安全性管理可以保护数据的机密性。
通过限制未经授权用户的访问权限,可以防止敏感数据被泄露给外部攻击者或内部人员。
其次,数据库安全性管理可以保护数据的完整性。
通过定义适当的数据访问和修改规则,可以防止非法更改、删除和篡改数据,确保数据的真实性和可信性。
最后,数据库安全性管理可以保护数据的可用性。
通过备份和灾难恢复策略,可以确保在系统故障或意外事件发生时快速恢复数据,保证数据的正常使用。
二、数据库安全性管理的挑战随着数据库规模的不断扩大和信息交换的增加,数据库面临着越来越多的安全挑战。
首先,数据库面临着外部攻击者的威胁。
黑客、网络犯罪分子和竞争对手可能利用漏洞和弱点获取数据库中的敏感信息或对数据库进行破坏性攻击。
其次,数据库还面临着内部威胁。
不良员工可能利用其特殊权限或职务滥用数据库,泄露、篡改或删除数据,造成组织严重损失。
另外,数据库还可能受到恶意软件的感染,如病毒、木马和僵尸网络,这些恶意软件可能导致数据质量下降、数据丢失或服务中断。
此外,随着云计算和大数据技术的快速发展,数据库安全面临新的挑战,如数据共享、数据隐私和合规性问题等。
三、数据库加密技术研究现状数据库加密技术可以对敏感数据进行加密,以达到保护数据的目的。
安华金和数据库加密系统(DBCoffer)
安华金和数据库加密系统系统(DBCoffer)一. 产品概述安华金和数据库加密系统(简称DBCoffer) 是一款基于透明加密技术的数据库防泄漏产品,该产品能够实现对数据库中的敏感数据加密存储、访问控制增强、应用访问安全、安全审计以及三权分立功能。
安华金和数据库加密系统能够防止明文存储引起的数据泄密、防止突破边界防护的外部黑客攻击、防止内部高权限用户的数据窃取,从根源上防止敏感数据泄漏。
安华金和数据库加密系统通过独创的、专利的三层透明视图技术、密文索引技术和应用绑定技术,突破传统数据库安全加固产品的技术瓶颈,真正实现数据高度安全、应用完全透明、密文高效访问。
二. 产品价值2.1 全方位主动预防数据泄密预防外部黑客窃取数据威胁:数据库权限提升是当前数据库漏洞中黑客使用率最高的攻击手段,通过该手段黑客直接获得DBA身份,任意访问敏感数据。
防护:安华金和数据库加密系统的密文访问控制体系,可以保证即使数据库自身的权限被突破,非授权用户仍然无法访问密文数据。
防止开发人员绕过合法应用威胁:业务系统的数据库账户常被开发或运维人员掌握,通过该账户这些人员可以直接访问数据库。
防护:安华金和数据库加密系统的应用身份鉴别,确保第三方人员无法绕开合法的业务系统,直接访问敏感数据。
预防存储层明文泄密威胁:硬件设备、备份磁盘丢失,数据文件、备份文件的拷贝,都将引起机密数据泄漏。
防护:通过安华金和数据库加密系统,将关键信息进行加密,加密后的数据在存储层以密文形态存在,保证他人即使拿到数据文件,也“看不懂”。
防止数据库运维人员操作敏感数据威胁:数据库的运维人员,往往有最高范围权限,一般为DBA,可看到数据库中的所有敏感信息,不符合安全管理要求。
防护:安华金和数据库加密系统通过独立的二次权限控制、三权分立,保证即使是高权限运维用户,在得不到特殊授权时也无法访问敏感数据,同时不会影响其日常运维工作。
2.2 符合信息安全政策需求等级保护:要求三级以上系统应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。
数据库加密技术PPT
5.2 数据库加密的实现机制
3. 数据库加密实现对比
库内加密模式 库外加密模式
加解密执行者
对数据库应用是否透明
DBMS
是
专门的密码服务器或 客户端 否 基本无影响 专门保护,风险小
影响索引等部分功能
服务器端性能影响 密钥管理
是否影响DBMS功能 密码服务能力
服务器运行负担大 库内存储,风险大
完全不影响
5.3 关键影响因素
6. 密文数据的查询
(1) 不用解密而直接操作密文数据的方法。不用对密文数据进 行解密,就能够直接对它进行常规的数据库操作。这是一种 非常理想的方法,可以大大提高系统性能。(秘密同态加密 技术) (2) 快速解密的方法。能够快速地解密数据库中的密文数据, 从而提高系统的查询性能。(子密钥加密技术、智能卡加密 技术等) (3) 缩小解密范围的方法。只需要对数据库中的部分密文数据 解密,大大地减少解密的工作,从而提高系统的性能。(过 滤技术、索引技术)
emp.eid五个分区的识别器,如:
属性emp.eid的分区和识别函数 函数ident的函数值是唯一的, 即
.用户所持密钥量应较小,但同时又要保证一个用户可存取多
个数据,一个数据可被多个用户存取,存在安全与保证效率 的矛盾。
5.3 关键影响因素
4.密钥管理
(2)分级密钥管理——多级密钥管理体制
.整个系统设置一个主密钥MK,它由系统随机产生, 利用它可以对表密钥进行加密 .每个数据库的表都有一个表密钥TK,用来生成数据 项密钥的密钥加密密钥。表密钥的保护是将表密钥用 MK加密后,以密文的形式存放在数据字典中 .数据项加密密钥是对数据项进行加/脱密的工作密钥, 它由TK以及行列参数通过函数的方法动态生成。
使用MySQL进行数据加密与保护
使用MySQL进行数据加密与保护随着互联网和信息技术的快速发展,数据安全问题变得越来越重要。
对于数据库来说,尤其是存储着大量敏感数据的数据库,加密和保护数据变得至关重要。
MySQL作为一种广泛使用的关系型数据库管理系统,提供了一些有效的手段来实现数据的加密与保护。
本文将探讨如何使用MySQL进行数据加密与保护。
1. 数据库连接加密数据库连接是客户端与数据库之间交换数据的重要通道,保证连接的安全性至关重要。
MySQL提供了一种称为SSL(Secure Sockets Layer)的加密协议,可以对数据库连接进行加密保护。
使用SSL可以保证数据在传输过程中不被窃取或篡改。
要使用SSL加密数据库连接,首先需要启用MySQL服务器上的SSL功能。
然后,客户端与服务器之间的连接将会通过SSL通道进行加密。
通过在MySQL连接属性中设置相应的选项,如ssl_ca、ssl_cert和ssl_key,可以指定用于连接服务器的SSL证书和密钥。
2. 数据加密算法MySQL支持多种数据加密算法,例如AES(Advanced Encryption Standard)、RSA(Rivest-Shamir-Adleman)和SHA(Secure Hash Algorithm)等。
这些算法可以应用于不同的场景,以实现数据的加密和解密。
AES是一种对称加密算法,它可以使用相同的密钥来进行加密和解密。
在MySQL中,可以使用AES函数对数据进行加密和解密。
例如,可以使用AES_ENCRYPT函数对数据进行加密,使用AES_DECRYPT函数对加密的数据进行解密。
这样做可以避免在存储和传输过程中敏感数据的泄露。
RSA是一种非对称加密算法,它使用公钥和私钥来加密和解密数据。
在MySQL中,可以使用RSA函数对数据进行加密和解密。
首先,需要生成一对公钥和私钥。
然后,使用公钥进行数据加密,使用私钥进行数据解密。
这种方式适用于数据的传输和存储过程中的加密需求。
使用MySQL进行数据加密和安全存储
使用MySQL进行数据加密和安全存储随着互联网的快速发展,数据安全成为一个备受关注的问题。
在很多应用中,数据库是存储和管理大量数据的关键组件。
为了防止敏感数据被恶意获取和滥用,数据的加密和安全存储变得非常重要。
在本文中,我们将探讨如何使用MySQL进行数据加密和安全存储的方法和技巧。
1. 数据加密的重要性和需求数据加密是将明文数据转换为密文数据的过程,通过加密可以有效地保护数据的机密性和完整性。
在许多行业和领域,如医疗保健、金融服务和电子商务等,存在大量的敏感数据,例如个人身份信息、财务数据和交易记录等。
如果这些数据泄漏或被非法访问,将对个人隐私和企业利益造成严重威胁。
因此,对数据库中的敏感数据进行加密以保护其安全非常重要。
2. MySQL数据加密方法MySQL是一个流行的开源关系型数据库管理系统,提供了多种数据加密方法来保护数据的安全。
下面介绍几种常用的MySQL数据加密方法。
2.1 使用AES加密算法AES(Advanced Encryption Standard)是一种对称加密算法,被广泛应用于数据保护领域。
MySQL提供了AES_ENCRYPT和AES_DECRYPT函数,可以使用AES算法对数据进行加密和解密。
下面是一个使用AES加密函数的示例:```mysqlCREATE TABLE users (id INT AUTO_INCREMENT PRIMARY KEY,username VARCHAR(255),password VARBINARY(255));INSERT INTO users (username, password) VALUES ('alice',AES_ENCRYPT('secret', 'encryption_key'));INSERT INTO users (username, password) VALUES ('bob',AES_ENCRYPT('password', 'encryption_key'));SELECT username, AES_DECRYPT(password, 'encryption_key') FROM users;```在上面的示例中,我们通过AES_ENCRYPT函数将密码加密后存储到数据库中,并使用AES_DECRYPT函数在需要时解密密码进行验证。
如何使用MySQL进行数据加密和安全保护
如何使用MySQL进行数据加密和安全保护在当今互联网时代,数据安全和隐私保护显得尤为重要。
对于企业来说,数据库是其核心业务数据的集中存储地,因此,数据库的安全保护显得尤为关键。
而MySQL作为市场上最常见的关系型数据库之一,本文将探讨如何使用MySQL进行数据加密和安全保护,以保障数据的机密性和完整性。
一、MySQL数据加密的基本概念数据库中的数据加密,是通过将明文数据转化为密文数据,确保其只能通过授权的解密过程才能获得原始明文数据。
在MySQL中,数据加密可以通过多种方式实现,包括对整个数据库进行加密、对敏感字段进行加密等。
1.1 整个数据库加密对于整个数据库加密,可以使用MySQL的Transparent Data Encryption(TDE)功能。
TDE能够在存储层面对整个数据库进行加密,使得数据库文件在磁盘上存储时以加密的形式存在。
启用TDE功能可以通过配置MySQL的插件来实现。
一个常见的TDE插件是MySQL Enterprise Transparent Data Encryption(MySQL Enterprise TDE),它提供了对InnoDB存储引擎的透明数据加密能力。
1.2 敏感字段加密除了整个数据库的加密外,对于一些敏感字段,如用户的密码、信用卡号等,我们可以采用字段级加密的方式进行保护。
常见的字段级加密方式有对称加密和非对称加密。
对称加密可以使用MySQL的内置函数来实现,例如AES_ENCRYPT和AES_DECRYPT函数。
这意味着我们可以在查询和插入数据时使用这些函数来加密和解密敏感字段。
使用对称加密时,需要注意合理的密钥管理。
非对称加密可以使用公钥和私钥来实现,其中公钥用于加密,私钥用于解密。
常见的非对称加密算法有RSA和ECC等。
我们可以将私钥存储在数据库服务器中,而将公钥存储在应用程序中,以实现对敏感字段的加密和解密。
二、MySQL数据安全保护除了数据加密外,MySQL还提供了其他一些功能来保护数据库的安全性,包括访问控制、网络安全、备份和恢复等。
MySQL中的数据加密和身份认证技术
MySQL中的数据加密和身份认证技术1、引言数据安全一直是互联网时代中的一个重要话题。
在大数据时代,MySQL作为最常用的关系型数据库管理系统,其数据安全性尤为重要。
本文将重点探讨MySQL中的数据加密和身份认证技术,以提高数据安全性。
2、数据加密技术数据加密是一种常用的保护数据安全的手段,通过将明文转换成密文,即使数据泄露,也无法轻易获得明文信息。
在MySQL中,可以使用多种加密算法来实现数据加密。
2.1 对称加密算法对称加密算法使用相同的密钥进行加密和解密,加密速度快,适合大规模数据的加密。
MySQL中支持的对称加密算法有AES、DES等。
开启对称加密后,只有拥有密钥的用户才能解密数据,提高了数据的安全性。
2.2 非对称加密算法非对称加密算法使用一对公钥和私钥进行加密和解密,公钥可以公开,私钥只有拥有者才能获得。
MySQL中支持的非对称加密算法有RSA、DSA等。
通过使用非对称加密算法,可以实现用户之间的安全通信,确保数据传输的安全性。
2.3 哈希算法哈希算法是一种通过将数据映射为一个固定长度的字符串,将明文信息转化为不可逆的字符串。
在MySQL中,常用的哈希算法有MD5、SHA-1等。
通过对密码进行哈希处理,可以防止密码泄露导致的安全问题。
3、身份认证技术身份认证是保证数据安全的基础,通过验证用户的身份来确定其是否具有访问数据库的权限。
MySQL提供了多种身份认证技术,以满足不同应用场景的需求。
3.1 密码认证密码认证是最常见的身份认证方式,用户提交登录请求时,需要通过输入正确的用户名和密码来验证其身份。
MySQL支持多种密码认证插件,如原始认证插件、加密认证插件等。
使用强密码、定期修改密码可以提高密码认证的安全性。
3.2 SSL/TLS认证SSL/TLS认证通过使用数字证书对通信双方的身份进行验证,保证数据在传输过程中的安全性。
MySQL中可通过配置SSL证书实现SSL/TLS认证,确保数据传输的机密性和完整性。
数据库管理中的数据加密与保护方法(十)
数据库管理中的数据加密与保护方法在当今信息时代,数据安全已成为各个领域亟需解决的难题。
尤其对于数据库管理者来说,数据加密与保护是至关重要的工作。
本文将从数据加密的应用、技术和方法三个方面进行探讨。
一、数据加密的应用数据加密技术在数据库管理中有着广泛的应用。
首先,数据加密可以保护敏感数据的隐私。
例如,银行数据库中存储的客户信息,若被未经授权的人员获取,将对客户造成严重的财产甚至人身损失。
而对这些数据进行加密,可以有效地避免在数据传输或存储中被第三方窃取。
其次,数据加密还可以防止数据被篡改。
通过对数据库中的数据使用哈希函数或数字签名等技术,可以在数据传输过程中验证数据的完整性,防止非法修改。
此外,数据加密还可以提高数据库的安全性,防止黑客入侵和攻击。
二、数据加密的技术1. 对称加密技术:对称加密算法使用同一个密钥来加密和解密数据。
这种加密技术速度较快,适合对大量数据进行加密。
常见的对称加密算法有DES、AES等。
2. 非对称加密技术:非对称加密算法使用一对密钥来加密和解密数据,其中一个为公钥,另一个为私钥。
数据使用公钥加密后,只能使用对应的私钥进行解密。
这种加密技术安全性较高,但速度较慢。
常见的非对称加密算法有RSA、DSA等。
3. 哈希函数:哈希函数将数据映射为固定长度的哈希值,并具有不可逆性。
通过对数据进行哈希操作,可以验证数据的完整性和一致性。
常见的哈希函数有MD5、SHA-1等。
三、数据加密的方法1. 存储加密:将数据库中的数据进行加密后再存储。
这种方法可以有效地保护数据的隐私,但也会增加数据库的存储空间和访问开销。
2. 传输加密:在数据传输过程中加密数据。
通过使用SSL/TLS协议或VPN技术等,可以保证数据在传输过程中的安全性。
3. 访问权限控制:对数据库的访问进行权限控制,只有经过认证和授权的用户才能访问数据库。
这种方法可以有效地防止非法访问和数据泄漏。
4. 审计跟踪:对数据库的操作进行审计和跟踪,记录下每一次的操作,以便发现和追踪异常行为。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
数据库信息系统必备数据库安全管理加密系统《数据库安全管理加密系统》以软硬件结合方式彻底解决数据泄密问题,即使数据库非法侵入或拷贝,得到的也是一堆无法可解的乱码,而目前银行、电信部门客户数据外泄案频发,公安部门对保密要求更高,数据库裸放在服务器中,随时有泄密危险。
目录1.产品背景 (3)2.产品简介 (5)3.产品架构 (6)3.1 DBLOCK安全平台 (6)3.2 服务器端代理(Server Agent) (7)3.3 WEB管理控制台(Console) (8)3.4 安全策略和安全审计中心 (9)4.产品功能及特点 (10)4.1 数据库数据透明加密 (10)4.2 数据库透明访问,不需对应用作任何修改 (10)4.3 数据传输加密 (11)4.4 透明安全代理 (11)4.5 三权分立管理 (13)4.6 完善的系统审计功能 (14)4.7 支持多数据库系统 (14)4.8 DBLOCK系统特点 (14)数据库安全管理加密系统最近几年,个人信息大规模泄露、造成巨大损失的事件时有发生:1、招商银行、工商银行员工兜售客户信息,造成损失达3000多万元。
2、京东商城客户账号泄密案件。
3、CSDN几百万用户注册信息库被黑客盗取。
4、天涯社区论坛4000万用户数据泄露。
5、taobao泄密事件.6、开心网账号泄密事件1.产品背景随着计算机技术的飞速发展,各类信息系统的应用已深入到各个领域。
但随之而来应用系统和数据库的安全问题尤为凸显。
数据库系统作为信息的聚集体,是计算机信息系统的核心部件,其安全性至关重要。
小则关系到企业兴衰、大则关系到国家安全。
在涉密单位或者大型企事业单位中,广泛的实施了安全防护措施,包括机房安全、物理隔离、防火墙、入侵检测、加密传输等等。
但就应用系统本身和数据库的安全问题却一直得不到应有的重视。
同时,之前的市场上也缺乏有效的应用系统和数据库安全的统一解决方案。
这就致使数据库及其应用系统在安全方面普遍存在一些安全隐患。
其中比较严峻的几个方面表现在:(1)应用系统身份验证强度问题。
目前许多应用系统本身缺乏有效的强身份认证安全机制,应用服务提供者如何验证用户的有效身份,用户如何验证服务提供者的身份,如何保证在网络上传输的数据不被篡改。
(2)数据库安全问题。
由于国内只能购买到C2安全级别的数据库安全系统,该类系统采用自主访问控制(DAC)模式,DBA角色能拥有至高的权限,权限可以不受限制的传播。
这就使得获取DBA角色的权限成为攻击者的目标。
一旦攻击者获得DBA角色的权限,数据库将对其彻底暴露,毫无任何安全性可言。
数据库系统是一个复杂的系统,根据已经公布的资料,数据库存在许多漏洞,其中不少是致命的缺陷和漏洞。
举例来说,号称拥有全球最安全的数据库产品的Oracle 公司在2006 年1 月发布了其季度安全补丁包,该补丁包修补了多个产品中的80 多个漏洞。
其中不少漏洞可以非常容易地被黑客利用,一旦遭到攻击将给用户造成严重影响。
数据库及其应用系统每天都可能受到包括SQL注入攻击在内的广泛的攻击。
攻击者利用应用程序设计中的漏洞,对数据库系统发起攻击,获得不应该具有的权限,甚至下载整个数据库文件,给数据库的安全造成严重威胁。
C2级数据库采用基于口令的认证方式。
本身缺乏有效的登录口令管理机制,口令更换周期长,使用复杂口令很困难,口令泄露的风险大。
由于C2级商业数据库管理系统在上述各个安全方面的不可信,攻击者可能通过非正常途径来访问数据库,破坏系统的安全性。
2.产品简介DBLOCK数据库安全管理系统(简称“DBLOCK 系统”)是一款多数据库平台安全加固系统,该产品能够实现对数据库数据的加密存储、强制权限控制、敏感数据访问审计。
DBLOCK系统可以防止绕过企业边界(FireWall、IDS\IPS等)防护的外部数据攻击、来自于内部的高权限用户(DBA、开发人员、第三方外包服务提供商)的数据窃取、以及由于磁盘、磁带失窃等引起的数据泄密。
在对现有应用不做任何更改的情况下,DBLOCK系统可以对数据库应用系统中的数据,进行数据透明加密;并在现有的数据库权限访问控制的基础上,增加了数据安全管理员(DSA)进行加密数据的加密和解密权限控制,有效防止数据库特权用户访问敏感数据;同时增加了数据审计员(DAA)对安全行为和敏感信息的访问进行审计追踪。
当前主流数据库安全加固方案包括前置代理、应用加密和数据库自带加密选件TDE。
前置代理需要应用大幅改造、大量数据库核心特性无法使用;应用加密必须由应用实现数据加密,加密数据无法检索。
同时需对应用系统进行大幅度的改造,已有系统无法透明移植;另外国外数据库所提供的TDE 不能集成国产加密算法,不符合国家密码政策。
因此这几种方案一直未能得到有效推广。
DBLOCK 通过自主专利SQL 智能分析引擎和密文索引等核心技术,突破了传统数据库安全产品的技术瓶颈,可以实现数据高度安全、应用完全透明、密文高效访问。
DBLOCK系统当前支持Oracle、SQL server、DB2、Sybase 等多种数据库平台,满足用户的多种部署需求。
3.产品架构DBLOCK 系统由三部分组成:客户端代理(Client Agent)、DBLOCK安全平台、服务器代理(Server Agent)。
客户端代理:运行在所需保护的应用客户端或连接数据库的应用服务器上面,支持Windows、Unix、Linux主流操作系统平台。
DBLOCK安全平台:独立的硬件设备,安装在网络环境中,主要完成基于机器特征的身份认证、资源访问权限控制、密钥管理、数据库数据实时加/解密、安全策略管理、Web Service均由核心设备完成。
服务器代理:驻留在数据库内部,主要实现数据库与DBLOCK安全通讯,表空间内的密文数据索引,和密文数据存储。
3.1 DBLOCK安全平台DBLOCK安全平台由WEB管理控制台、API 调用库、安全守护进程构成。
主要为客户端代理(Client Agent)、服务器端代理(Server Agent)和WEB管理控制台服务,并实现对加密设备的兼容,系统配置信息和审计日志存储在“ODBC数据存储中心”中。
WEB管理控制台负责安全守护进程加解密功能的启动和停止。
API 调用库,对外供服务器端代理(Server Agent)调用完成加解密功能,供服务器端代理(Server Agent)获得加密设备信息和密钥生成;同时对客户端代理(Client Agent)提供终端安全认证;对内供WEB管理控制台完成加解密功能的启动。
安全守护进程是一个独立运行的服务进程,负责提供远程或进程间的服务形式,可以通过远程TCP/IP 方式或进程间通讯方式(Shared Memory)与客户端进行通讯;主要提供数据的授权控制下加解密服务,密钥的生成和更新功能。
3.2 服务器端代理(Server Agent)服务端代理是DBLOCK系统实现应用透明和性能管理的关键部分。
该子系统驻留在数据库实例内部,由数据库扩展存储过程、视图、触发器、SQL 语法分析工具、外部程序和专属于DBLOCK系统的“系统表”构成,互相协作,实现对敏感数据的透明加密和对加密数据的高性能访问。
服务器端代理(Server Agent)的核心机制包括:1)利用“服务端代理”中的SQL 分析模块对提交的SQL语句【包括Insert、Update 和Delete 操作的INSTEAD OF 类型】进行语法分析和扩展,根据DBMS 中的“加密字典”对SQL语句进行“解析扩展”。
例如:解析前的语句“SELECT yhmm FROM ybxxb”;解析后“SELECT dbo.str_Decode(‘yhmm’) as yhmm FROM ybxxb”。
其中yhmm为数据库中的密文字段,str_Decode()为用户自定义函数UDF(User Defined Function),dbo为DBMS中str_Decode()的拥有者。
2)加密系统将重组后的SQL语句提交给DBMS,DBMS通过“数据库对象【视图】”调用“加/解密动态库”对数据库中的密文数据进行解密,并将解密后的结果反馈给“数据库对象【视图】”。
3)利用数据库的视图在被加密列所在的表上创建二个视图。
一个内层视图包含ROWID 伪列信息来标识行数据;另一个与原表同名的视图作为对外的视图(透明视图),屏蔽了ROWID 列,以保证表结构的一致性。
前面提到的触发器是建立在内层视图上的,可以利用该视图的ROWID 列信息来定位数据更新。
在视图的select 语句中包含有相应加密列的解密操作,完成对外的加密数据透明访问。
4)利用数据库的索引和优化器扩展机制实现密文索引查询和约束处理通过实现数据库的Data Cartridges 提供的索引扩展和优化器扩展接口,来支持对密文数据的索引功能和相应的Optimizer 统计功能,提供索引方式的等于和范围查询,提高查询性能。
同时,通过密文索引,可以实现对各种数据库约束的处理(例如唯一值约束、主键约束等)5)通过实现数据预取和专门的缓存机制解决性能瓶颈结合密文索引和借鉴数据库自身的优化器机制,设计、实现面向全表扫描、索引扫描、跳跃扫描三种查询方式的数据预取和缓存管理,大范围的减少频繁的PL/SQL 程序调用(减少SQL引擎和PL/SQL 引擎切换的开销)和外部加解密程序调用,全面的提升系统的性能。
6)严格遵守数据库的事务管理特性,保证数据的正确性保证性能的同时,严格遵循数据库的MVCC、读一致性和隔离级别(读提交、串行化)特性,并遵循这些特性来实现内部的密文缓存管理、密文索引管理,保证在并发事务模型下的事务正确性、并发读一致性和持久性。
3.3 WEB管理控制台(Console)“WEB管理控制台”是DBLOCK 系统提供的图形化集成环境,用于DSA 可视化进行用户权限控制、密钥及算法管理、加解密处理、密文索引维护等安全管理工作。
“WEB管理控制台”通过HTTPS建立连接,直接和安全代理模块进行通讯,同时通过访问安全服务模块和安全策略中心,从而为系统的DSA 提供各种可视化操作。
“WEB管理控制台”的核心功能包括:1)可视化导航数据库对象可以按树形模型展示模式、表、列、用户等Oracle 数据库对象,方便DSA 进行各种安全管理操作。
2)用户安全权限控制DSA 可以将数据库中任一用户的属性信息同步到安全策略中心,从而将该用户注册到DBLOCK 系统中。
通过“WEB管理控制台”,DSA 可以对一个用户设置列级安全访问权限,包括对某一列的加密、解密、明文访问、密钥转化等四种权限。
3)加解密处理“WEB管理控制台”提供对单列、以及多列同时进行加解密处理,包括对主外键、Unique、not null 等约束列的加解密,同时可以支持V ARCHAR、V ARCHAR2、CHAR、NUMBER、DATE、CLOB、BLOB 等核心数据类型。