數(shù)字經(jīng)濟時代的數(shù)據(jù)存儲保護方法研究

摘 要

數(shù)據(jù)作為新型生產(chǎn)要素，是我國數(shù)字經(jīng)濟發(fā)展戰(zhàn)略的重要基石，數(shù)據(jù)自身的安全是數(shù)字經(jīng)濟健康發(fā)展的基本保障?！吨腥A人民共和國數(shù)據(jù)安全法》明確，需采取必要措施確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。亟需運用密碼技術(shù)構(gòu)建數(shù)據(jù)安全防護體系，維護數(shù)據(jù)的完整性、保密性和可用性，保障我國數(shù)字經(jīng)濟健康發(fā)展。論述了數(shù)據(jù)存儲的方式及面臨的安全威脅，以及應用層、驅(qū)動 / 內(nèi)核層、塊 / 簇層基于密碼的數(shù)據(jù)保護模式，實現(xiàn)了數(shù)據(jù)存儲的安全保護。

內(nèi)容目錄：

1 數(shù)據(jù)存儲方式及安全威脅

2 應用層數(shù)據(jù)安全存儲方法

2.1 業(yè)務層通用保護模式

2.2 數(shù)據(jù)庫透明保護模式

3 驅(qū)動 / 內(nèi)核層數(shù)據(jù)安全存儲方案

4 塊 / 簇層數(shù)據(jù)安全存儲方式

5 方案比較

6 結(jié) 語

隨著數(shù)字技術(shù)的蓬勃發(fā)展和創(chuàng)新應用，數(shù)字經(jīng)濟已逐漸成為構(gòu)建現(xiàn)代化經(jīng)濟體系的主要經(jīng)濟形態(tài)?！笆奈濉币?guī)劃和 2035 年遠景目標建議提出，“迎接數(shù)字時代，激活數(shù)據(jù)要素潛能，推進網(wǎng)絡強國建設，加快建設數(shù)字經(jīng)濟、數(shù)字社會、數(shù)字政府，以數(shù)字化轉(zhuǎn)型整體驅(qū)動生產(chǎn)方式、生活方式和治理方式變革”。據(jù)此，2021 年 12 月，國務院發(fā)布《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》（以下簡稱《規(guī)劃》），《規(guī)劃》指出“數(shù)據(jù)要素是數(shù)字經(jīng)濟深化發(fā)展的核心引擎，是最具時代特征的生產(chǎn)要素，數(shù)據(jù)的爆發(fā)增長、海量集聚蘊藏了巨大的價值，為智能化發(fā)展帶來了新的機遇，切實用好數(shù)據(jù)要素，將為經(jīng)濟社會數(shù)字化發(fā)展帶來強勁動力”。在數(shù)字化時代，數(shù)據(jù)已經(jīng)成為數(shù)字化轉(zhuǎn)型的基礎性、戰(zhàn)略性資源。

數(shù)據(jù)對數(shù)字經(jīng)濟發(fā)展至關(guān)重要，數(shù)據(jù)自身的安全也決定著數(shù)字經(jīng)濟能否穩(wěn)定健康發(fā)展。2021 年 9 月 1 日施行的《中華人民共和國數(shù)據(jù)安全法》明確指出，需采取必要措施確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力 。與《數(shù)據(jù)安全法》同期施行的《關(guān)鍵信息基礎設施安全保護條例》要求，保障關(guān)鍵信息基礎設施安全穩(wěn)定運行，維護數(shù)據(jù)的完整性、保密性和可用性 。

密碼是一種被實踐檢驗過的安全、經(jīng)濟的數(shù)據(jù)保護手段。通過密碼技術(shù)可實現(xiàn)數(shù)據(jù)安全主動防御，使得數(shù)據(jù)在缺少授權(quán)的情況下“拿不走、改不了、看不懂”，增強了數(shù)據(jù)自身安全保障。2020 年 1 月 1 日，《中華人民共和國密碼法》正式頒布實施，密碼的應用和發(fā)展上升到法律高度 ?！丁笆奈濉睌?shù)字經(jīng)濟發(fā)展規(guī)劃》提出，著力強化數(shù)字經(jīng)濟安全體系，促進數(shù)據(jù)加密等網(wǎng)絡安全技術(shù)應用。數(shù)據(jù)安全已成為總體國家安全觀的重要組成部分，采用密碼技術(shù)保障數(shù)據(jù)安全是數(shù)據(jù)存儲保護的必然趨勢。有學者針對特定應用場景開展了數(shù)據(jù)加密技術(shù)研究 ，對數(shù)據(jù)存儲保護具有借鑒意義。本文立足數(shù)據(jù)存儲的安全保護，探索不同數(shù)據(jù)存儲方式下基于密碼技術(shù)的數(shù)據(jù)保護模式，給出對應方式下的數(shù)據(jù)加密保護技術(shù)路線，并從不同角度進行了比較和分析，為數(shù)據(jù)保護方案設計提供技術(shù)參考。

1 數(shù)據(jù)存儲方式及安全威脅

數(shù)據(jù)整體上可分為結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)兩大類。結(jié)構(gòu)化數(shù)據(jù)也稱作行數(shù)據(jù)，由二維表結(jié)構(gòu)來邏輯表達和實現(xiàn)，嚴格遵循數(shù)據(jù)格式與長度規(guī)范，主要通過關(guān)系型數(shù)據(jù)庫進行存儲和管理；非結(jié)構(gòu)化數(shù)據(jù)的數(shù)據(jù)結(jié)構(gòu)不規(guī)則或不完整，沒有預定義的數(shù)據(jù)模型，不方便用數(shù)據(jù)庫二維邏輯表來表現(xiàn)，包括所有格式的辦公文檔、文本、報表、圖像和音頻 / 視頻信息等。數(shù)據(jù)以二進制的方式進行存儲。根據(jù)數(shù)據(jù)存儲的邏輯順序，其存儲寫入流程如圖 1 所示。

圖 1 數(shù)據(jù)存儲寫入流程

數(shù)據(jù)經(jīng)過應用層產(chǎn)生，可根據(jù)應用的需要進行數(shù)據(jù)內(nèi)容格式的自行定義，方便后續(xù)滿足特定的應用需求。例如，采用紅黑樹等數(shù)據(jù)結(jié)構(gòu)，方便數(shù)據(jù)檢索的數(shù)據(jù)庫存儲格式；可以自行 封 裝 為 可 擴 展 標 記 語 言（Extensible Markup Language，XML）、JavaScript 對象簡譜（JavaScriptObject  Notation，JSON）等便于應用層解析的數(shù)據(jù)結(jié)構(gòu)等。

數(shù) 據(jù) 內(nèi) 容 經(jīng) 應 用 層 定 義 后， 由 操 作 系 統(tǒng)下發(fā)至驅(qū)動 / 內(nèi)核層。對操作系統(tǒng)來講，數(shù)據(jù)的存儲不僅是數(shù)據(jù)內(nèi)容本身，還需要一個在操作系統(tǒng)中訪問的路徑。文件內(nèi)容及訪問路徑的存儲往往與操作系統(tǒng)的分區(qū)方式緊密關(guān)聯(lián)，如Windows 下通過新技術(shù)文件系統(tǒng)（New Technology File System，NTFS） 分 區(qū) 方 式 進 行 存 放，Linux下基于第二代擴展文件系統(tǒng)（Second Extended Filesystem，Ext2）分區(qū)方式進行存放等。

數(shù)據(jù)信息（包括數(shù)據(jù)內(nèi)容、訪問路徑及其他屬性信息）最終以塊 / 簇的方式存儲在物理設備中。

按照圖 1 的數(shù)據(jù)存儲寫入流程，可以通過技術(shù)手段在應用層、驅(qū)動 / 內(nèi)核層、塊 / 簇層實現(xiàn)業(yè)務接管，威脅數(shù)據(jù)安全。在原有的業(yè)務流程中增加對數(shù)據(jù)進行密碼處理的操作流程，可實現(xiàn)數(shù)據(jù)存儲的安全保護。本文論述了應用層、驅(qū)動 /內(nèi)核層、塊 / 簇層下基于密碼的數(shù)據(jù)保護模式。

2 應用層數(shù)據(jù)安全存儲方法

在業(yè)務層面實現(xiàn)數(shù)據(jù)安全防護是目前最為常用的一種技術(shù)路線，適用于結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)。密鑰存儲在專用的密碼模塊中（如密碼卡、密碼機等），對于數(shù)據(jù)機密性保護，在數(shù)據(jù)存儲前通過密碼模塊提供的接口將數(shù)據(jù)送入密碼模塊進行加密操作，轉(zhuǎn)換成密文數(shù)據(jù)后再對數(shù)據(jù)進行存儲；使用數(shù)據(jù)時則將上述密文數(shù)據(jù)通過接口送入密碼模塊進行解密，得到解密后的原文信息，加解密流程如圖 2 所示。對于數(shù)據(jù)完整性校驗，在數(shù)據(jù)存儲前通過密碼模塊提供的接口將數(shù)據(jù)送入密碼模塊轉(zhuǎn)換成完整性校驗值后進行存儲；使用數(shù)據(jù)時則將原文信息通過接口送入密碼模塊進行完整性校驗值計算，并比較前后完整性校驗值是否一致，完整性校驗計算流程如圖 3 所示。

圖 3 完整性校驗計算流程

上述功能的實現(xiàn)，需要業(yè)務系統(tǒng)集成密碼模塊的接口。在業(yè)務代碼層面進行安全功能集成，可以結(jié)合場景需求將數(shù)據(jù)安全保護的顆粒度細化到每個比特，以實現(xiàn)數(shù)據(jù)完整性、機密性或同時實現(xiàn)完整機密保護，但是帶來的代價是業(yè)務系統(tǒng)需要在代碼級對密碼模塊進行集成、測試及發(fā)布。

數(shù)據(jù)庫作為結(jié)構(gòu)化數(shù)據(jù)的存儲計算工具，已經(jīng)發(fā)展多年。現(xiàn)有的數(shù)據(jù)庫對數(shù)據(jù)的安全保護往往聚焦于如何透明地實現(xiàn)數(shù)據(jù)的加解密能力。近幾年，隨著商用密碼安全性評估（以下簡稱“密評”）的推進，信息系統(tǒng)中重要數(shù)據(jù)存儲的機密性和完整性保護如何滿足密評要求成為一大挑戰(zhàn)，尤其是由于某些原因無法進行代碼改造實現(xiàn)密碼保護，使得實現(xiàn)數(shù)據(jù)庫透明密碼保護成為各商用密碼廠商致力解決的一個問題。截至目前，基于數(shù)據(jù)庫實現(xiàn)數(shù)據(jù)透明密碼保護的路線主要有以下幾種。

（1）透明數(shù)據(jù)加密。透明數(shù)據(jù)加密（Trans parent Data Encryption，TDE）是數(shù)據(jù)庫廠商作為開發(fā)方向最終用戶提供的一套自帶的數(shù)據(jù)安全保護方案，能夠透明地實現(xiàn)列或者表空間的加解密。在技術(shù)上，依托動態(tài)庫替換等手段能夠?qū)⒋用軘?shù)據(jù)引流到自定義的業(yè)務流程中，再通過自有代碼實現(xiàn)商用密碼算法應用，如調(diào)用密碼模塊實現(xiàn)加解密，采用新的算法模式同步解決完整性問題等。

其 優(yōu) 點 是 對 應 用 透 明， 管 理 簡 便， 無 需應用設置，加解密后性能損耗較少，具備多層密鑰體系且能夠以密鑰管理互操作協(xié)議（Key Management Interoperability Protocol，KMIP） 對接外部密鑰管理系統(tǒng)，保障密鑰安全。缺點也相當突出：功能與數(shù)據(jù)庫版本緊密關(guān)聯(lián)，低版本數(shù)據(jù)庫無法使用此功能；對數(shù)據(jù)庫存儲索引方式有特定要求；不支持商用密碼算法；不具備數(shù)據(jù)完整性保護能力等。

這種方式雖然在技術(shù)層面實現(xiàn)了對商用密碼算法的支持和功能擴展，但是動態(tài)庫替換等方式存在不穩(wěn)定風險，可能造成數(shù)據(jù)丟失，甚至引起知識產(chǎn)權(quán)糾紛。

（2）用戶自定義函數(shù) + 觸發(fā)器。用戶自定義函數(shù)（User Defined Function，UDF）是數(shù)據(jù)庫面向用戶提供二次開發(fā)，進行功能擴展的接口；觸發(fā)器（Trigger）針對字段進行數(shù)據(jù)庫操作時實現(xiàn)自定義流程處理。通過將兩者有機結(jié)合，能夠透明地實現(xiàn)數(shù)據(jù)庫字段級的密碼防護。在具體實現(xiàn)上，通過 UDF 的方式封裝自定義接口函數(shù)，在接口中與密碼模塊進行連接調(diào)用，實現(xiàn)數(shù)據(jù)加解密、完整性保護等功能；將開發(fā)后的UDF 模塊導入到數(shù)據(jù)庫中，使數(shù)據(jù)庫具備上述密碼功能接口；根據(jù)業(yè)務場景需要，針對需要進行密碼保護的字段在其觸發(fā)器中進行流程改造，按需調(diào)用上述密碼功能接口，實現(xiàn)數(shù)據(jù)在存儲 / 讀取時的安全防護，最終透明地實現(xiàn)數(shù)據(jù)的加解密和完整性保護功能。

上述實現(xiàn)方式能夠?qū)⑸逃妹艽a算法進行封裝，并依托合規(guī)的密碼模塊完成密鑰的安全管理，滿足合規(guī)、正確及有效的密碼保護。但是受限于觸發(fā)器機制，其性能損耗較大，僅適用于對數(shù)據(jù)存儲讀取效率要求不高的場景。另外，UDF 的安裝需要數(shù)據(jù)庫服務器操作系統(tǒng)的存儲權(quán)限，云計算環(huán)境下的數(shù)據(jù)庫多以實例的方式面向租戶提供服務，不具備 UDF 安裝的條件，使得上述方案在云計算場景下應用較難。

（3）數(shù)據(jù)庫驅(qū)動。數(shù)據(jù)庫驅(qū)動（Database Driver）通常是指面向業(yè)務系統(tǒng)與數(shù)據(jù)庫建立連接、進行輸入輸出的標準化組件，數(shù)據(jù)庫驅(qū)動連接如圖 4 所示。

圖 4 數(shù)據(jù)庫驅(qū)動連接

數(shù)據(jù)庫驅(qū)動往往與開發(fā)語言緊密相關(guān)，每個數(shù)據(jù)庫針對每種開發(fā)語言都會提供單獨的一套對應的驅(qū)動文件，如面向 Java 開發(fā)語言的 Java 數(shù)據(jù)庫 連 接（Java Database Connectivity，JDBC）（ 涵蓋 Oracle、MySQL 等）；面向 C/C++ 的 Oracle 調(diào)用接口（Oracle Call Interface，OCI）、Oracle C++調(diào)用接口（Oracle C++ Call Interface，OCCI）等。

數(shù)據(jù)庫驅(qū)動是銜接業(yè)務系統(tǒng)與數(shù)據(jù)庫之間通信的必經(jīng)之路，通過在這個層面上進行業(yè)務流程接管，將需要進行保護的字段數(shù)據(jù)引導至自定義流程，完成數(shù)據(jù)的密碼安全性處理后，再送回原有業(yè)務流程，即可透明地實現(xiàn)安全防護。在實際工程應用中，多以替換數(shù)據(jù)庫驅(qū)動文件的方式實現(xiàn)密碼保護功能升級。

數(shù)據(jù)庫驅(qū)動層能夠非常方便地拿到傳輸?shù)臉I(yè)務數(shù)據(jù)，識別出進行通信的表、字段、數(shù)據(jù)庫操作的行為（增、刪、改、查），可以結(jié)合擬定的密碼策略針對上述數(shù)據(jù)進行字段級的安全性防護，幾乎是“零改造”即可實現(xiàn)密碼功能升級。其優(yōu)勢為代碼零改造，升級成本低，安全顆粒度小，技術(shù)路線較為成熟穩(wěn)定等。缺點是其與開發(fā)語言緊密結(jié)合，小眾的開發(fā)語言、數(shù)據(jù)庫或一些不開源的數(shù)據(jù)庫驅(qū)動連接方式，無法通過上述方式來實現(xiàn)密碼功能的升級。另外，現(xiàn)有的技術(shù)路線多采用替換文件的方式實現(xiàn)功能升級，實施過程中需要業(yè)務系統(tǒng)重新加載被替換后的文件并發(fā)布應用，無法做到“熱切換升級”。上述實現(xiàn)方式是基于數(shù)據(jù)庫驅(qū)動層面實現(xiàn)密碼功能升級，對于執(zhí)行存儲過程的一些場景缺乏有效的技術(shù)干預手段，還需要進一步完善。

（4）數(shù)據(jù)庫網(wǎng)關(guān)。數(shù)據(jù)庫網(wǎng)關(guān)（DataBase GateWay）以反向代理的方式串聯(lián)在業(yè)務服務器與數(shù)據(jù)庫服務器之間，通過接管網(wǎng)絡通信，并解析內(nèi)部數(shù)據(jù)庫通信協(xié)議，透明地實現(xiàn)特定字段信息的安全防護，數(shù)據(jù)庫網(wǎng)關(guān)架構(gòu)如圖 5 所示。

圖 5 數(shù)據(jù)庫網(wǎng)關(guān)架構(gòu)

由于數(shù)據(jù)庫網(wǎng)關(guān)是基于網(wǎng)絡層來完成業(yè)務流程的接管，通過控制流量轉(zhuǎn)發(fā)的方式，即可實現(xiàn)業(yè)務系統(tǒng)“零改造”“不停機”，將數(shù)據(jù)庫訪問信息轉(zhuǎn)發(fā)至數(shù)據(jù)庫網(wǎng)關(guān)。數(shù)據(jù)庫網(wǎng)關(guān)根據(jù)監(jiān)聽到的業(yè)務系統(tǒng)與數(shù)據(jù)庫服務器通信報文分析業(yè)務行為、業(yè)務數(shù)據(jù)，并根據(jù)擬定的數(shù)據(jù)保護策略，將符合策略保護的數(shù)據(jù)在網(wǎng)關(guān)中先行進行密碼處理，按照數(shù)據(jù)傳輸流向封裝成對應格式的報文進行傳遞。

數(shù)據(jù)庫網(wǎng)關(guān)將網(wǎng)絡接管能力、數(shù)據(jù)庫通信分析能力及密碼安全應用能力進行了整合，在技術(shù)層面上能夠真正做到零改造（無需替換文件、無需重啟服務）實現(xiàn)密碼保護。但是，其流程中多了報文解析、組裝，從實現(xiàn)原理上分析，性能較數(shù)據(jù)庫驅(qū)動實現(xiàn)方式弱。另外，數(shù)據(jù)庫通信協(xié)議的多樣性、不同版本之間的差異性、數(shù)據(jù)庫通信協(xié)議的保密性等問題，都是數(shù)據(jù)庫網(wǎng)關(guān)應用的重點和難點。

3 驅(qū)動 / 內(nèi)核層數(shù)據(jù)安全存儲方案

數(shù)據(jù)在應用層面寫入或讀取，都會通過文件驅(qū)動或操作系統(tǒng)內(nèi)核向塊 / 簇層面完成交互。技術(shù)路線上，也可以在驅(qū)動 / 內(nèi)核層面進行業(yè)務流程接管，最終實現(xiàn)數(shù)據(jù)存儲或者讀取時的透明密碼操作。

通過對文件驅(qū)動或操作系統(tǒng)內(nèi)核進行流程干預，當發(fā)現(xiàn)當前文件符合保護策略時，即進入密碼保護處理流程。在驅(qū)動 / 內(nèi)核層面，能夠獲取待操作文件存儲路徑、文件內(nèi)容、訪問進程等具體信息，可依托白名單等機制來實現(xiàn)是否進行自動加解密、完整性校驗或文件的重定向等操作，待操作完成后即可按照原有業(yè)務流程進行處理。通常都會在應用中設定安全區(qū)、安全訪問白名單，對存放在該區(qū)域內(nèi)的文件自動進行機密性和完整性操作，只有在白名單內(nèi)的進程進行訪問時，方可自動進行解密或完成完整性校驗，保障非授權(quán)訪問的安全。

本節(jié)密碼透明安全防護的技術(shù)路線以文件為最小單位，適用于數(shù)據(jù)庫文件和其他常規(guī)文件，保護的執(zhí)行效率較高，適用于大量非結(jié)構(gòu)化數(shù)據(jù)統(tǒng)一進行安全存儲的應用場景。由于該技術(shù)路線中防護對象的最小單位為文件，因此無法實現(xiàn)數(shù)據(jù)庫字段級安全防護需求。

4 塊 / 簇層數(shù)據(jù)安全存儲方式

塊 / 簇存儲保護與驅(qū)動 / 內(nèi)核保護原理基本一致，只是執(zhí)行的層面是在更底層，處理的對象不再是文件數(shù)據(jù)，而是塊 / 簇數(shù)據(jù)。

數(shù)據(jù)最終以塊 / 簇數(shù)據(jù)的方式進行存儲，當進行數(shù)據(jù)寫入時，通常采用符合塊 / 簇保護模式的密碼算法快速實現(xiàn)數(shù)據(jù)加密處理，既保證安全性和計算效率，也要考慮數(shù)據(jù)隨機讀取的實際需求。當數(shù)據(jù)讀取時，可以采用同樣的加密模式進行解密，還原出原文信息。

數(shù)據(jù)的完整性計算往往會改變原有數(shù)據(jù)的大小。在塊 / 簇存儲模式下都是以固定字節(jié)大小的單位來實現(xiàn)存儲，數(shù)據(jù)長度的變化很可能會引起跨塊 / 簇存儲，因此，在存儲設備中實現(xiàn)塊 /簇層完整性校驗值存儲的挑戰(zhàn)較大，故現(xiàn)有的塊存儲安全手段多以加密主，同時兼顧完整性防護的較少。

相比于驅(qū)動 / 內(nèi)核存儲，塊 / 簇存儲的顆粒度更大，效率更高，其運行在存儲的更底層，對 FC SAN、IP SAN 等新型網(wǎng)絡存儲也完全兼容，但是與驅(qū)動 / 內(nèi)核存儲一樣，由于顆粒度更大，無法實現(xiàn)更加精細化的策略控制，適用于海量大數(shù)據(jù)加密存儲。

5 方案比較

上文依次對應用層、驅(qū)動 / 內(nèi)核層以及塊 /簇層的數(shù)據(jù)存儲保護的技術(shù)路線進行了說明，從技術(shù)原理等角度初步說明了各種模式下的數(shù)據(jù)保護方式。針對幾種不同的數(shù)據(jù)存儲保護方式，本文從不同角度進行了比較，結(jié)果如表 1 所示。

表 1 不同模式下數(shù)據(jù)安全存儲方案比較

通過上表可以看出，若需對數(shù)據(jù)進行顆粒度較小的保護，不適合選擇文件和磁盤加密模式；若需零改造實現(xiàn)數(shù)據(jù)的國密算法保護，采用數(shù)據(jù)庫進行處理時，數(shù)據(jù)庫網(wǎng)關(guān)模式是較好的方式；若基于文件進行處理，則文件加密方式是較好的實現(xiàn)方式；若需支持高性能大數(shù)據(jù)量的加解密服務，文件和磁盤加密則是較好的選擇；若綜合考慮集成改造成本、運算效率、保護顆粒度等因素，針對數(shù)據(jù)庫來講，數(shù)據(jù)庫驅(qū)動模式則是較優(yōu)的選擇，而對于文件來講，則推薦采用文件保護模式。

6 結(jié) 語

數(shù)據(jù)已經(jīng)發(fā)展成為新型生產(chǎn)要素，也是數(shù)字經(jīng)濟的重要支撐，其安全性將大大影響數(shù)字經(jīng)濟的健康發(fā)展，密碼技術(shù)是保障數(shù)據(jù)安全行之有效、經(jīng)濟實用的手段。本文結(jié)合現(xiàn)階段數(shù)據(jù)類型以及數(shù)據(jù)的存儲邏輯，逐層從技術(shù)原理、優(yōu)缺點等方面闡述了主流數(shù)據(jù)存儲保護的技術(shù)路線和效果，為系統(tǒng)運營者選擇適合自己的數(shù)據(jù)保護手段提供參考。