数据安全架构设计与实战~如何加密结构化数据_数据库结构化数据的加密存储(存储的完整性一并考虑),同时包括数据解密,获取数据阶

针对结构化数据（数据库、key-value等），加密主要有两种方式：

1、应用层字段加密，数据在入库前加密，直接向数据库中写入字段密文；

2、存储系统透明加密（静态加密），加密仅在存储系统内部自动完成，应用系统使用明文。

每种方式分别又有两种管理密钥的方式：

1、自管理密钥；

2、配合KMS（Key Management System，密钥管理系统）。

加密方式对比

一个安全的加密系统，至少需要二级的加密机制。推荐的最低加密方式就是至少使用两种密钥：

DEK（Data Encryption Key，数据加密密钥）：即对数据进行加密的密钥；

KEK（Key Encryption Key，密钥加密密钥）：即对DEK进行加密的密钥。

 对于DEK，应具备：

1、每条记录均使用不同的DEK（随机生成）；

2、DEK不能明文存储，需要使用KEK再次加密；

3、DEK在加密后建议随密文数据一起存储，可用于大数据场景。当只有少量的DEK且预计不会增长时，才考虑存储KMS（不推荐）。

对于KEK，应具备：

1、每个应用或每个用户在每个应用中应该使用不同的KEK；

2、KEK加密存储在KMS系统中，不随密文数据一起存储。