數(shù)據(jù)庫加密作為近年來興起的數(shù)據(jù)庫安防技術，已經(jīng)被越來越多的人所重視。這種基于存儲層加密的防護方式，不僅可以有效解決數(shù)據(jù)庫明文存儲引起的泄密風險，也可以防止來自內(nèi)部或者外部的入侵及越權訪問行為。

從技術手段上來看，現(xiàn)今數(shù)據(jù)庫加密技術主要有三大類，分別是前置代理及加密網(wǎng)關方式、應用層加密方式以及后置代理方式，其中后置代理技術有有兩種不同的技術路線，分別為：基于視圖和觸發(fā)器的后置代理技術和基于TDE技術的加密技術：

（1）前置代理及加密網(wǎng)關技術

該技術思路是在數(shù)據(jù)庫之前增加一道安全代理服務，對數(shù)據(jù)庫訪問的用戶必須經(jīng)過該安全代理服務，在此服務中實現(xiàn)如數(shù)據(jù)加解密、存取控制等安全策略;然后安全代理服務通過數(shù)據(jù)庫的訪問接口實現(xiàn)數(shù)據(jù)在庫中的最終存儲。安全代理服務存在于客戶端應用與數(shù)據(jù)庫存儲引擎之間，負責完成庫中數(shù)據(jù)的加解密工作，加密數(shù)據(jù)存儲在安全代理服務中。

（2）應用層加密技術

應用層加密的主要技術原理在于，應用系統(tǒng)通過加密API(JDBC,ODBC,C API等)對敏感數(shù)據(jù)進行加密，將加密數(shù)據(jù)存儲到數(shù)據(jù)庫的底層文件中；在進行數(shù)據(jù)檢索時，將密文數(shù)據(jù)取回客戶端，再進行解密。另外應用系統(tǒng)將自行管理密鑰體系。

（3）基于視圖和觸發(fā)器的后置代理技術

這種技術使用“視圖”+“觸發(fā)器”+“擴展索引”+“外部調(diào)用”的方式實現(xiàn)數(shù)據(jù)加密，同時保證應用完全透明。它的核心思想是充分利用數(shù)據(jù)庫自身提供的應用定制擴展能力，分別使用其觸發(fā)器擴展能力、索引擴展能力、自定義函數(shù)擴展能力以及視圖等技術來滿足數(shù)據(jù)存儲加密，加密后數(shù)據(jù)檢索，對應用無縫透明等最主要需求。

（4）基于TDE技術的加密技術

這種加密方式是利用TDE (Transparent Data Encryption)技術：一種透明數(shù)據(jù)加密技術,在數(shù)據(jù)庫主程序啟動時加載擴展的TDE插件，利用該TDE插件在數(shù)據(jù)寫入存儲介質(zhì)前將數(shù)據(jù)進行加密，實現(xiàn)數(shù)據(jù)的存儲加密；在從存儲介質(zhì)加載數(shù)據(jù)到內(nèi)存前進行數(shù)據(jù)解密，實現(xiàn)數(shù)據(jù)的解密使用；在TDE插件中增加訪問控制功能實現(xiàn)獨立于數(shù)據(jù)庫原有權限體系的增強的權控要求。

這種加密技術在性能、透明性上帶來質(zhì)的飛躍，適應OLTP、OLAP等所有應用場景，使國家和行業(yè)規(guī)范中關于數(shù)據(jù)加密的要求能夠技術落地，極大促進安全合規(guī)需求滿足。

918搏天堂數(shù)據(jù)庫加密產(chǎn)品DBCoffer采用的加密技術，既有基于視圖和觸發(fā)器的后置代理技術的數(shù)據(jù)庫加密產(chǎn)品，也有基于TDE技術的數(shù)據(jù)庫加產(chǎn)品。早在2010年918搏天堂基于視圖和觸發(fā)器的后置代理技術的數(shù)據(jù)庫加密產(chǎn)品就已經(jīng)研發(fā)成功，2017年918搏天堂又在國內(nèi)率先推出基于TDE技術的數(shù)據(jù)庫加密產(chǎn)品。

無論基于哪種技術的數(shù)據(jù)庫加密技術，安全、易用、高效，是成熟的數(shù)據(jù)庫加解密技術必須具備的三大特點，也是數(shù)據(jù)庫加解密產(chǎn)品必須確保的基本能力。918搏天堂數(shù)據(jù)庫加解密產(chǎn)品團隊正是以這三點為產(chǎn)品基石，以更安全、更易用和更高效為努力目標，在數(shù)據(jù)庫加密技術領域不斷進行探索和技術創(chuàng)新，為用戶的數(shù)據(jù)安全貢獻自己的力量。