数据库加密方式有哪些

数据库加密方式有：1.全盘系统加密；2.文件系统加密；3.应用系统加密；4.数据库自带加密；5.前置代理加密；6.后置代理加密。全盘系统加密也可以称为磁盘加密，这种加密方式工作在存储层，可防止磁盘丢失时敏感数据的泄漏。

1.全盘系统加密

采用全盘加密系统或者存储加密网关系统，将数据库文件所在的磁盘扇区进行加密。当数据库访问磁盘扇区的时候，对加密扇区再进行解密。这种方式对于数据库自身来说是透明的，数据库管理系统也感觉不到加密解密过程的存在。

这种加密方式工作在存储层，仅能防止磁盘丢失时敏感数据遭受泄漏。所有对磁盘具有访问权限的用户都可以访问到真实的数据库文件。因而，对于控制了操作系统的攻击者来说，并没有防护能力。

2.文件系统加密

在操作系统文件驱动层将数据库的存储文件经过加密后存储到磁盘上。当数据库访问存储文件的时候，再进行解密。这种方式对于数据库自身来说也是透明的，数据库管理系统也感觉不到加密解密过程的存在。这种加密方式能防止磁盘丢失和文件被复制导致的敏感数据泄漏。但是，对于控制了数据库系统的攻击者来说，文件还是开放的，因而也没有真正的防护能力。

3.应用系统加密

应用系统通过加密API对敏感数据进行加密，将加密数据存储到数据库的底层文件中；在进行数据检索时，将密文数据取回到客户端，再进行解密，应用系统自行管理密钥体系。

4.数据库自带加密

某些数据库自身提供了加密机制，在数据库内核实现了存储的加密。这种加密方式能防止磁盘丢失和文件被复制导致的敏感数据泄漏。但是，对于控制了数据库系统的攻击者来说却是开放的，并没有防护能力。而且其密钥管理通常不会对数据库用户开放，安全性得不到保证，也得不到国内相关评测机构的认可。

5.前置代理加密

前置代理加密的思路是在数据库之前增加一道安全代理服务，所有访问数据库的行为都必须经过该安全代理服务，在此服务中实现如数据加解密、存取控制等安全策略，安全代理服务通过数据库的访问接口实现数据存储。安全代理服务存在于客户端应用与数据库存储引擎之间，负责完成数据的加解密工作，加密数据存储在安全代理服务中。

6.后置代理加密

后置代理技术，该技术是使用“视图”+“触发器”+“扩展索引”+“外部调用”的方式实现数据加密，同时保证应用完全透明。核心思想是充分利用数据库自身提供的应用定制扩展能力，分别使用其触发器扩展能力、索引扩展能力、自定义函数扩展能力以及视图等技术来满足数据存储加密，加密后数据检索，对应用无缝透明等核心需求。安华金和的加密技术在国内是少数支持TDE的数据库加密产品厂商。

延伸阅读

数据库加密算法有哪些

加密是保持数据安全的通用过程，数据库的加密算法目前主要有三种，即对称密钥加密、非对称密钥加密和混合密钥加密。

1.对称密钥加密

对称密钥加密非常适合需要快速加密数据，或随着时间的推移可能没有可用于发送密钥的安全通道的情况，例如：与位于世界另一端的人通信。

对称密钥加密比非对称密钥加密更快的解密时间。更小的密钥大小，更容易安全地存储或传输，并且不需要分发密钥或证书，因为它使用了共享秘密的概念。共享密钥是一组只有参与安全通信的人员才知道的字符。

2.非对称密钥加密

非对称加密（也称为公钥加密）使用两个单独的密钥对数据进行加密和解密，它们被称为“公钥”和“私钥”。非对称加密的主要好处是提高了数据安全性。用户不需要透露他们的私钥，从而减少了网络犯罪分子在传输过程中发现用户密钥并获得数据访问权限的机会。

非对称加密使用比对称加密更长的密钥来提供比对称密钥加密更好的安全性。然而，虽然较长的密钥长度并不是一个缺点，但它会导致加密速度变慢。

3.混合密钥加密

所有公钥密码学的实际实现都采用某种形式的混合加密。流行的例子包括 TLS 和 SSH 协议，它们使用公钥机制进行密钥交换（例如 Diffie-Hellman）和对称密钥机制进行数据封装（例如 AES）。

当需要快速进行数据加密但对系统性能的影响较小时，混合加密非常有用。加密过程的工作原理是使用对称加密仅加密对称密钥，然后使用非对称加密使用此对称密钥加密整个消息，这使得解密时间比传统加密更快。