欄位加密

系統支援資料庫中特定機密欄位的加密。這項支援包括擷取加密資料的雜湊值以供搜尋之用。

請參考應用程式加密以瞭解如何設定您要加密的欄位。

本主題中的小節提供有關定義加密和雜湊金鑰值以及金鑰輪替支援的詳細資訊。

對稱金鑰

產品提供 AES 對稱金鑰業務物件。它會使用 AES 256 演算法產生加密金鑰。

為此業務物件定義金鑰環時，您提供 3 個字元的「包裝」前綴，在「對稱金鑰」類別的金鑰環間是唯一的。這有助於金鑰輪替，如下所述。

業務物件支援與金鑰相關的金鑰輪替。如需有關金鑰輪替的詳細資訊，請參閱下節。

定義對稱金鑰環且您至少有一個現用金鑰後，就可以在組態中設定要加密的欄位並參考此金鑰環。如需詳細資訊，請參考應用程式加密。

產品提供 HMAC 雜湊金鑰業務物件。系統會產生 HMAC 金鑰並以 PEM 格式儲存。

為此業務物件定義金鑰環時，您提供 3 個字元的「包裝」前綴，在「雜湊金鑰」類別的金鑰環間是唯一的。這有助於金鑰輪替，如下所述。

定義雜湊金鑰環且您至少有一個現用金鑰後，您就可以為支援雜湊值的加密欄位在組態中參考此金鑰環。如需詳細資訊，請參考應用程式加密。

使用金鑰環定義您的加密和雜湊金鑰可進行金鑰輪替。

當系統加密資料或建立雜湊欄位時，會使用標記，讓系統知道使用哪個金鑰環和金鑰來加密/雜湊資料。資料會使用目前現用金鑰來加密/雜湊。
如果您的組織想要為對稱金鑰環或雜湊金鑰環引入新的金鑰，請使用「產生金鑰」按鈕來建立新的金鑰。按一下該「金鑰」旁的「啟用」按鈕，使其成為所有後續新增或更新之資料所用的金鑰。上一個金鑰被標示為「停用」。
後續新增或更新的所有記錄都會使用新金鑰。
若要將金鑰輪替至所有以先前金鑰加密/雜湊的現有資料，您需提交批次。如需詳細資訊，請參考大量金鑰輪替。

對稱金鑰環與雜湊金鑰環的個別業務物件會定義用於產生金鑰的演算法。如果您要使用不同的演算法來產生對稱加密金鑰或雜湊金鑰，則需要新的業務物件，以便可以定義新的所需演算法。下列各點重點說明變更金鑰產生演算法所需的步驟。

定義使用案例的新業務物件 (對稱加密金鑰或雜湊金鑰)。確定與「產生金鑰」狀態相關的演算法具有所需的金鑰產生邏輯。此業務物件應包含「包裝前綴」的欄位，類似於為對稱金鑰環或雜湊金鑰環提供的產品業務物件。
為新業務物件定義新的金鑰環，並確定選擇其他包裝前綴值。金鑰輪替需要此項目。
產生金鑰環的金鑰並加以啟用。
移至功能選項組態，並更新所有項目的 keyRing 或 hashKeyRing 參考以指向新的金鑰環。
後續新增或更新的所有記錄都會使用新的金鑰環及其現用金鑰。
若要將金鑰輪替至所有以先前金鑰環及其金鑰加密/雜湊的現有資料，您需提交批次。如需詳細資訊，請參考大量金鑰輪替。