CN102098282B - 数据库的安全加密方法 - Google Patents
数据库的安全加密方法 Download PDFInfo
- Publication number
- CN102098282B CN102098282B CN201010577531.9A CN201010577531A CN102098282B CN 102098282 B CN102098282 B CN 102098282B CN 201010577531 A CN201010577531 A CN 201010577531A CN 102098282 B CN102098282 B CN 102098282B
- Authority
- CN
- China
- Prior art keywords
- data
- scc
- encryption
- database
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 23
- 238000006243 chemical reaction Methods 0.000 claims abstract description 9
- 230000005540 biological transmission Effects 0.000 claims abstract description 4
- 239000002131 composite material Substances 0.000 claims description 14
- 238000012545 processing Methods 0.000 claims description 10
- 230000008569 process Effects 0.000 claims description 8
- 238000013501 data transformation Methods 0.000 claims description 2
- 238000012795 verification Methods 0.000 claims description 2
- 238000004891 communication Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000007812 deficiency Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
公开了一种无需用户键盘输入加密密钥、通过软件无法破译、数据传输安全的数据库的安全加密方法,在数据库的客户端和服务器上安装安全加密组件SCC,其包括身份认证接口、数据块加密接口、数据块摘要接口、数据流连接认证接口、数据流加密接口、安全策略组合模块、安全指令转化模块;数据库引擎输入待处理的数据后,SCC调用所述接口,被调用的接口通过安全策略组合模块制定安全策略并根据安全指令转化模块组合成应用协议数据单元发送给高速移动存储设备,然后SCC将结果数据取回返回给数据库。
Description
技术领域
本发明属于计算机的技术领域,具体地涉及对数据库文件进行加密的方法。
背景技术
由于数据库系统在计算机操作系统下都是以文件形式进行管理的,因此入侵者可以直接利用操作系统的漏洞窃取数据库文件,或者直接利用操作系统工具来非法伪造、篡改数据库文件内容。这种隐患一般数据库用户难以察觉,这就要求数据库管理系统必须有一套强有力的安全机制。解决这一问题的有效方法之一是数据库管理系统对数据库文件进行加密处理,使得即使数据不幸泄露或者丢失,也难以被人破译和阅读。
目前主流的大中小数据库均有将数据加密的功能,但常用做法是用户指定加密密钥,由数据库使用软件算法对敏感数据进行加解密。用户为了保证能够记住密钥,且希望通过键盘的方式输入,一般都会选用一些有意义的字符串作为密钥,这样必然使得密钥更容易被泄漏和盗取;同时软件算法因较常见,入侵者在得到密文和密钥后,也能自行使用软件算法进行破译。
另一安全隐患是在传输过程中数据的安全性、完整性和不可篡改性无法得到保证。
发明内容
本发明的技术解决问题是:克服现有技术的不足,提供一种无需用户键盘输入加密密钥、通过软件无法破译、数据传输安全的数据库的安全加密方法。
本发明的技术解决方案是:在数据库的客户端和服务器上安装安全加密组件SCC,其包括身份认证接口、数据块加密接口、数据块摘要接口、数据流连接认证接口、数据流加密接口、安全策略组合模块、安全指令转化模块;数据库引擎输入需要处理的数据后,SCC调用所述接口,被调用的接口通过安全策略组合模块制定安全策略并根据该安全策略组合成应用协议数据单元发送给高速移动存储设备,安全指令转化模块转化并发送安全指令给高速移动存储设备,然后SCC将结果数据取回返回给数据库。
由于加密密钥由高速移动存储设备提供并通过SCC的身份认证接口与ESADB通讯,从而加密密钥可以是不可见的二进制字符,且加解密运算在高速移动存储设备内完成,所以无需用户键盘输入加密密钥、通过软件无法破译,由于加密数据通过SCC的数据块加密接口、数据块摘要接口、数据流连接认证接口、数据流加密接口与ESADB通讯,从而保证了数据传输的安全。
附图说明
图1示出了ESADB数据库调用SCC的部分;
图2示出了根据本发明的方法的示意图;
图3示出了SCC调用数据流连接认证接口的流程图。
具体实施方式
下面通过附图,对本发明的技术方案做进一步的详细描述。
图2示出了根据本发明的方法的示意图。本发明的技术解决方案是:在数据库的客户端和服务器上安装安全加密组件SCC,其包括身份认证接口、数据块加密接口、数据块摘要接口、数据流连接认证接口、数据流加密接口、安全策略组合模块、安全指令转化模块;数据库引擎输入需要处理的数据后,SCC调用所述接口,被调用的接口通过安全策略组合模块制定安全策略并根据该安全策略组合成应用协议数据单元发送给高速移动存储设备,安全指令转化模块转化并发送安全指令给高速移动存储设备,然后SCC将结果数据取回返回给数据库。
图1示出了ESADB数据库调用SCC的部分。其中ESADB数据库的客户端提供了应用程序访问数据库服务器的多种接口,保证了大部分常见类型的应用程序(java/C++/.net)能够通过数据库客户端访问服务器。另外,数据库客户端支持多种通信协议保证其能够访问多种类型的数据库服务器。而ESADB服务器分为个人数据库服务器和网络数据库服务器两种,主要是为本地(远程)用户提供数据查询、存储服务以及远程数据访问服务。同时利用日志文件进行数据的备份和恢复。图1中花型的位置表示使用了加密功能的地方。从中可以看到调用SCC的位置大致可分为两部分:一部分是将数据存储到系统中时,另一部分是ESADB客户端和ESADB服务器交互数据时,因此采用本发明的方法从根本上解决了上述的两个安全威胁。
优选地,所述高速移动存储设备是智能密码钥匙。图2中所示的KUX110是申请人研制的一种智能密码钥匙。
优选地,SCC调用身份认证接口包括以下步骤:
(4.1)ESADB数据库将SQL请求中的用户名、密码和认证串通过SCC的身份认证接口传递给SCC;
(4.2)SCC接收数据后,通过安全策略组合模块确定数据处理的安全策略;
(4.3)根据安全策略将用户名和密码进行组合,转化为智能密码钥匙的数据加密指令;
(4.4)将数据加密指令发送给智能密码钥匙进行处理;
(4.5)智能密码钥匙处理指令完毕后,将处理结果返回SCC;
(4.6)SCC将密文和认证串进行比较,如果一致,则用户通过身份认证,如不一致,则认为身份认证失败,从而ESADB数据库登陆失败。
优选地,SCC调用数据块加密接口包括以下步骤:
(5.1)ESADB数据库将SQL请求中需要加密的数据块通过SCC的数据加密块接口传递给SCC;
(5.2)SCC接收数据后,通过安全策略组合模块确定数据加密的安全策略和加密密钥;
(5.3)将需要加密的数据按照智能密码钥匙单次加解密最大块进行分组,转化为智能密码钥匙的数据加密指令;
(5.4)将数据加密指令发送给智能密码钥匙进行处理;
(5.5)智能密码钥匙处理指令完毕后,将处理结果返回SCC;
(5.6)SCC将处理结果返回ESADB数据库。
优选地,SCC调用数据块摘要接口包括以下步骤:
(6.1)ESADB数据库将SQL请求中需要摘要的数据块通过SCC的数据块摘要接口传递给SCC;
(6.2)SCC接收数据后,通过安全策略组合模块确定数据摘要的安全策略;
(6.3)将需要摘要的数据转化为智能密码钥匙的数据摘要指令,发送给智能密码钥匙进行处理;
(6.4)智能密码钥匙处理指令完毕后,将摘要结果(处理结果)返回SCC;
(6.5)SCC将摘要结果返回ESADB数据库。
图3示出了SCC调用数据流连接认证接口的流程图。优选地,SCC调用数据流连接认证接口包括以下步骤:
(7.1)客户端获取根证书中的公钥验证服务器证书,验证通过后,客户端从服务器证书中取出信息进行匹配;
(7.2)客户端生成一个随机字节数据,并用服务器的公钥对该段数据进行加密;
(7.3)客户端将加密后的数据发送到服务器;
(7.4)服务器用私钥对数据进行解密,解密后得到客户端产生的随机数;
(7.5)服务器使用该随机数作为对称密钥将一个固定字符串加密,并发回到客户端;
(7.6)客户端接到数据后用所述随机数进行解密,比对是否是上述固定字符串,如果是代表数据流连接成功,客户端可以继续发送数据,否则代表数据流连接失败。
优选地,SCC调用数据流加密接口包括以下步骤:
(8.1)ESADB数据库将SQL请求中需要加密的数据块通过SCC的数据流加密块接口传递给SCC;
(8.2)SCC接收数据后,通过安全策略组合模块确定数据加密的安全策略和加密密钥,并获取数据流连接认证后的传输会话密钥;
(8.3)将需要加密的数据按照智能密码钥匙单次加解密最大块进行分组,转化为智能密码钥匙的数据加密指令;
(8.4)将数据加密指令发送给智能密码钥匙进行处理;
(8.5)智能密码钥匙处理指令完毕后,将密文(处理结果)返回SCC;
(8.6)SCC将处理结果返回ESADB数据库。
表1给出了本文及附图中涉及的英文的中文译文或解释。
表1
以上所述,仅是本发明的较佳实施例,并非对本发明作任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属本发明技术方案的保护范围。
Claims (5)
1.数据库的安全加密方法,其特征在于,在数据库的客户端和服务器上安装安全加密组件SCC,其包括身份认证接口、数据块加密接口、数据块摘要接口、数据流连接认证接口、数据流加密接口、安全策略组合模块、安全指令转化模块;数据库引擎输入需要处理的数据后,SCC调用上述各个接口,被调用的接口通过安全策略组合模块制定安全策略并根据该安全策略组合成应用协议数据单元发送给安全指令转化模块,安全指令转化模块转化并发送安全指令给高速移动存储设备,然后SCC将结果数据取回返回给数据库,
所述数据库是Eport SQL Anywhere DataBase,即ESADB数据库,所述高速移动存储设备是采用32位高性能处理器的智能密码钥匙,SCC调用身份认证接口包括以下步骤:
(4.1)ESADB数据库将SQL请求中的用户名、密码和认证串通过SCC的身份认证接口传递给SCC;
(4.2)SCC接收数据后,通过安全策略组合模块确定数据处理的安全策略;
(4.3)根据安全策略将用户名和密码进行组合,转化为智能密码钥匙的数据加密指令;
(4.4)将数据加密指令发送给智能密码钥匙进行处理;
(4.5)智能密码钥匙处理指令完毕后,将处理结果返回SCC;
(4.6)SCC将处理结果和认证串进行比较,如果一致,则用户通过身份认证,如不一致,则认为身份认证失败,从而ESADB数据库登陆失败。
2.根据权利要求1所述的方法,其特征在于:SCC调用数据块加密接口包括以下步骤:
(5.1)ESADB数据库将SQL请求中需要加密的数据块通过SCC的数据加密块接口传递给SCC;
(5.2)SCC接收数据后,通过安全策略组合模块确定数据加密的安全策略和加密密钥;
(5.3)将需要加密的数据按照智能密码钥匙单次加解密最大块进行分组,转化为智能密码钥匙的数据加密指令;
(5.4)将数据加密指令发送给智能密码钥匙进行处理;
(5.5)智能密码钥匙处理指令完毕后,将处理结果返回SCC;
(5.6)SCC将处理结果返回ESADB数据库。
3.根据权利要求2所述的方法,其特征在于:SCC调用数据块摘要接口包括以下步骤:
(6.1)ESADB数据库将SQL请求中需要摘要的数据块通过SCC的数据块摘要接口传递给SCC;
(6.2)SCC接收数据后,通过安全策略组合模块确定数据摘要的安全策略;
(6.3)将需要摘要的数据转化为智能密码钥匙的数据摘要指令,发送给智能密码钥匙进行处理;
(6.4)智能密码钥匙处理指令完毕后,将处理结果返回SCC;
(6.5)SCC将处理结果返回ESADB数据库。
4.根据权利要求3所述的方法,其特征在于:SCC调用数据流连接认证接口包括以下步骤:
(7.1)客户端获取根证书中的公钥验证服务器证书,验证通过后,客户端从服务器证书中取出信息进行匹配;
(7.2)客户端生成一个随机字节数据,并用服务器的公钥对该随机字节数据进行加密;
(7.3)客户端将加密后的数据发送到服务器;
(7.4)服务器用私钥对数据进行解密,解密后得到客户端产生的随机数;
(7.5)服务器使用该随机数作为对称密钥将一个固定字符串加密,并发回到客户端;
(7.6)客户端接到数据后用所述随机数进行解密,比对是否是上述固定字符串,如果是代表数据流连接成功,客户端可以继续发送数据,否则代表数据流连接失败。
5.根据权利要求4所述的方法,其特征在于:SCC调用数据流加密接口包括以下步骤:
(8.1)ESADB数据库将SQL请求中需要加密的数据块通过SCC的数据流加密块接口传递给SCC;
(8.2)SCC接收数据后,通过安全策略组合模块确定数据加密的安全策略,并获取数据流连接认证后的传输会话密钥;
(8.3)将需要加密的数据按照智能密码钥匙单次加解密最大块进行分组,转化为智能密码钥匙的数据加密指令;
(8.4)将数据加密指令发送给智能密码钥匙进行处理;
(8.5)智能密码钥匙处理指令完毕后,将处理结果返回SCC;
(8.6)SCC将处理结果返回ESADB数据库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010577531.9A CN102098282B (zh) | 2010-12-02 | 2010-12-02 | 数据库的安全加密方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010577531.9A CN102098282B (zh) | 2010-12-02 | 2010-12-02 | 数据库的安全加密方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102098282A CN102098282A (zh) | 2011-06-15 |
| CN102098282B true CN102098282B (zh) | 2015-01-21 |
Family
ID=44131147
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010577531.9A Expired - Fee Related CN102098282B (zh) | 2010-12-02 | 2010-12-02 | 数据库的安全加密方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102098282B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103647636B (zh) * | 2013-12-31 | 2016-08-24 | 厦门市美亚柏科信息股份有限公司 | 安全访问数据的方法及装置 |
| CN107623679B (zh) * | 2017-08-16 | 2020-06-23 | 奇安信科技集团股份有限公司 | 一种数据标记化处理方法、装置及存储介质 |
| CN110493236B (zh) * | 2019-08-23 | 2020-09-25 | 星环信息科技(上海)有限公司 | 一种通信方法、计算机设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1089194A2 (en) * | 1999-09-30 | 2001-04-04 | Casio Computer Co., Ltd. | Database management apparatus and encrypting/decrypting system |
| CN101420427A (zh) * | 2007-09-28 | 2009-04-29 | 东芝解决方案株式会社 | 密码加密模块选择设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1558580B (zh) * | 2004-02-03 | 2010-04-28 | 胡祥义 | 一种基于密码技术的网络数据安全防护方法 |
-
2010
- 2010-12-02 CN CN201010577531.9A patent/CN102098282B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1089194A2 (en) * | 1999-09-30 | 2001-04-04 | Casio Computer Co., Ltd. | Database management apparatus and encrypting/decrypting system |
| CN101420427A (zh) * | 2007-09-28 | 2009-04-29 | 东芝解决方案株式会社 | 密码加密模块选择设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102098282A (zh) | 2011-06-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102761521B (zh) | 云安全存储及共享服务平台 | |
| EP1662355A2 (en) | Method and apparatus for storing data on the application layer in mobile devices | |
| CN111783075A (zh) | 基于密钥的权限管理方法、装置、介质及电子设备 | |
| US8321924B2 (en) | Method for protecting software accessible over a network using a key device | |
| CN110489996B (zh) | 一种数据库数据安全管理方法及系统 | |
| US20120254622A1 (en) | Secure Access to Electronic Devices | |
| US20110035582A1 (en) | Network authentication service system and method | |
| CN103248479A (zh) | 云存储安全系统、数据保护以及共享方法 | |
| CN102685093A (zh) | 一种基于移动终端的身份认证系统及方法 | |
| CN1319294A (zh) | 具有保密功能的适配器及使用这种适配器的计算机保密系统 | |
| CN103457733A (zh) | 一种云计算环境数据共享方法和系统 | |
| KR20060003319A (ko) | 기기 인증 시스템 | |
| CN1326629A (zh) | 鉴定及利用计算机系统安全资源的方法和系统 | |
| CN1773994A (zh) | 一种数据安全存储业务的实现方法 | |
| CN105760764A (zh) | 一种嵌入式存储设备文件的加解密方法、装置及终端 | |
| CN113849847B (zh) | 用于对敏感数据进行加密和解密的方法、设备和介质 | |
| CN110225014B (zh) | 基于指纹集中下发式的物联网设备身份认证方法 | |
| US20020021804A1 (en) | System and method for data encryption | |
| CN110225028B (zh) | 一种分布式防伪系统及其方法 | |
| CN109981579B (zh) | 基于SGX的Hadoop秘钥管理服务安全加强方法 | |
| CN102098282B (zh) | 数据库的安全加密方法 | |
| CN110572392A (zh) | 一种基于Hyperledger网络的身份认证方法 | |
| CN202495964U (zh) | 一种基于移动终端的身份认证系统 | |
| CN114282189A (zh) | 一种数据安全存储方法、系统、客户端以及服务器 | |
| CN109214198A (zh) | 一种可加密搜索的安全云文档系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150121 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |