CN105160272A - 一种基于自主可控数据库的安全加密方法及系统 - Google Patents
一种基于自主可控数据库的安全加密方法及系统 Download PDFInfo
- Publication number
- CN105160272A CN105160272A CN201510540658.6A CN201510540658A CN105160272A CN 105160272 A CN105160272 A CN 105160272A CN 201510540658 A CN201510540658 A CN 201510540658A CN 105160272 A CN105160272 A CN 105160272A
- Authority
- CN
- China
- Prior art keywords
- encryption
- data
- user
- authentication
- database
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供一种基于自主可控数据库的安全加密方法及系统,本发明主要是在数据管理系统中植入加密保险箱来实现数据库的内核加密。采用透明的属性密码加解密技术,原始数据的敏感关键词采用屏蔽技术,数据部分采用AES算法进行对称式加解密,AES的密钥采用RAS加密算法对密钥进行非对称式的加解密。这种加密方法功能强,不影响数据库管理系统(DBMS)正常使用,实现机密技术和数据库管理系统完美无缝的结合。
Description
技术领域
本发明涉及信息安全领域,尤其涉及一种自主可控数据库安全加密技术。
背景技术
随着信息技术的在广泛的运用,越来越多的信息系统的数据在不断的被泄密。主要原因之一是通过各种手段对数据库的攻击导致数据的泄密。
因此如何以技术手段保障数据库的安全是一个亟待解决的问题。同时数据库的加密可以增加攻击者的破解成本,如果破解不了加密数据,非法获取的数据库的数据是无用数据。因此对数据库的数据进行加密是非常有必要的。
发明内容
本发明要解决的技术问题是,针对现有数据泄密,提供一种在数据库服务器上面的数据库的安全加密技术,解决数据库的数据的泄密问题。本发明采用的AES256位加密技术对数据库服务器端的数据库管理系统(DBMS)的内核进行的数据透明加密,并使用RSA非对称的加密算法对AES的加解密的密钥进行加解密。
本法发明通过在数据管理系统中植入加密的模块(加密保险箱)来实现数据库的内核加密。该加密保险箱的基本功能如下:
功能1:身份认证和访问控制功能,用户只有通过身份认证才能访问加密保险箱,对数据进行加密,非法用户是不能访问加密保险箱对数据进行访问;
功能2:创建加密表空间功能,对通过身份认证的用户可以创建信任的安全路径和文件夹,建立加密表空间,创建的时候强制选择加密选项,系统默认了AES256的加密算法进行加密,把即将加密的文件放在统一的路径,对创建的空间采用访问控制,没有通过身份认证的用户,即使是操作系统的最高权限的管理员和数据库的最高管理员都无法访问该加密空间的数据,他们不能使用编辑器和SQL语句进行查看数据,必选是通过认证的合法用户;
功能3:存储和加密AES的加密密钥,加密保险里面存储了通过AES算法对数据进行加解密的密钥,可以根据用户的密码属性,并使用RAS算法对AES加解密的密钥进行加解密;
功能4:动态数据屏蔽,可以根据用户的密码属性,根据在数据库的表的列对数据库的敏感的列的级别数据进行转换屏蔽,这个只是做简单的置换,防止数据被合法用户访问时泄密。
进一步地,该加密保险箱具有支持文件加密功能,用户可以自主选择需要加密的文件,对文件进行加密;
进一步地,该加密保险箱支持属性密码,可以根据用户的需要设置密码的属性,符合属性的用户可以访问数据库的相关的表,不符合属性的用户不能访问相关的数据库的相关表,从而实现数据库的表级别的安全。
作为本发明的进一步改进,功能1的身份认证支持两类认证方式:
a.支持动态口令牌的双因子认证子模块,
b.支持用户自主设置账户密码但设置强口令的安全策略的子模块;
作为本发明的进一步改进,功能1中的身份认证的加密算法是RSA算法。
附图说明
附图为加密保险箱的整体示意图。
具体实施方式
以下结合附图及实施例,对本发明进行进一步详细说明。应当理解为,此处所描述的实例仅用以解释本发明,并不用于限定本发明。
现有的加密技术是基于公司自主研发的面向企业级应用的分析型数据库管理软件(POWER-DB),该软件是以先进的开源数据库PostgreSQL为核心进行二次开发和封装而成,集成易学、易用、好用的管理界面和辅助工具,满足电力行业对数据库软件产品要求的稳定性、安全性和简敏性。在保证管理软件的安全性、高可用性和扩展性的同时,开发团队尽量降低软件的整体成本,增强软件的易用性。该数据库管理软件根据处理流程以及功能划分,将管理系统划分为连接管理系统、编译执行系统、存储管理系统、事务管理系统、系统表五大部分组成。本法发明通过在POWER-DBDBMS中植入加密的模块(加密保险箱)来实现数据库的内核加密。此发明加密功能强,不影响数据库管理系统(DBMS)正常使用,实现机密技术和数据库管理系统完美无缝的结合。
采用用的是C语言编写的代码,方式流程如下:
1.先进行身份认证登录
对用户的身份进行认证,支持两类认证方式:一:支持动态口令牌的双因子认证子模块,二:支持用户自主设置账户密码但设置强口令的安全策略的子模块。只有通过用户认证的用户才能访问加密保险箱,操作系统和数据库管理员账户不能访问数据库里面的数据。
2.设置属性密码
对登录的用户设置属性密码的规则,只有符合该属性的用户才能访问相关文件。
3.创建加密表空间
对通过身份认证的用户可以创建信任的安全路径和文件夹,建立加密表空间,创建的时候强制选择加密选项,系统默认了AES256的加密算法进行加密,把即将加密的文件放在统一的路径,对创建的空间采用访问控制;设置该文件的属性密码,例如:根据部门来设置属性密码,登录用户根据部门来访问不同的文件。
4.动态数据屏蔽
设置属性密码,可以根据在数据库的表的原始数据的列级别数据进行转换屏蔽,这个只是做简单的置换,防止数据被合法用户访问时泄密明文数据。
5.加密屏蔽数据
把经过屏蔽的数据文件填加密保险里面,通过AES算法对数据进行加密,
6.存储加密AES的密钥
存储通过AES算法对数据进行加解密的密钥,并使用RAS算法对AES加解密的密钥进行加密,并设置该AES密钥加密文件的属性密码。
7.RAS算法解密AES的密钥
先判断用户的密码的属性,符合属性密码的用户对该AES密钥的加密文件进行RAS解密,获得AES的解密密钥。
8.AES解密数据
使用获得AES密钥,对加密的数据进行AES解密。
9.解屏蔽数据返回给用户
先判断属性密码,如果是满足的该密码的属性的用户可以对通过AES解密的屏蔽的数据进行解屏蔽之后,返回给用户。
对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思及精神的前提下,通过若干简单推演或替换,都应视为属于本发明的保护范围。
Claims (6)
1.一种基于自主可控数据库的安全加密系统,其特征在于:
在数据管理系统中植入加密保险箱进行加密,该加密保险箱有以下功能:
功能1:身份认证和访问控制功能,用户只有通过身份认证才能访问加密保险箱,对数据进行加密,非法用户是不能访问加密保险箱对数据进行访问;
功能2:创建加密表空间功能,对通过身份认证的用户可以创建信任的安全路径和文件夹,建立加密表空间,创建的时候强制选择加密选项,系统默认了AES256的加密算法进行加密,把即将加密的文件放在统一的路径,对创建的空间采用访问控制,没有通过身份认证的用户,即使是操作系统的最高权限的管理员和数据库的最高管理员都无法访问该加密空间的数据,他们不能使用编辑器和SQL语句进行查看数据,必选是通过认证的合法用户;
功能3:存储和加密AES的加密密钥,加密保险里面存储了通过AES算法对数据进行加解密的密钥,可以根据用户的密码属性,并使用RAS算法对AES加解密的密钥进行加解密;
功能4:动态数据屏蔽,可以根据用户的密码属性,根据在数据库的表的列对数据库的敏感的列的级别数据进行转换屏蔽,这个只是做简单的置换,防止数据被合法用户访问时泄密。
2.根据权利要求1所述的一种基于自主可控数据库的安全加密系统,其特征在于:该加密保险箱具有支持文件加密功能,用户可以自主选择需要加密的文件,对文件进行加密。
3.根据权利要求1所述的一种基于自主可控数据库的安全加密系统,其特征在于:该加密保险箱支持属性密码,可以根据用户的需要设置密码的属性,符合属性的用户可以访问数据库的相关的表,不符合属性的用户不能访问相关的数据库的相关表,从而实现数据库的表级别的安全。
4.根据权利要求1所述的一种基于自主可控数据库的安全加密系统,其特征在于:功能1的身份认证支持两类认证方式:a.支持动态口令牌的双因子认证子模块;b.支持用户自主设置账户密码但设置强口令的安全策略的子模块。
5.根据权利要求4所述的一种基于自主可控数据库的安全加密系统,其特征在于:功能1中的身份认证的加密算法是RSA算法。
6.一种基于自主可控数据库的安全加密方法,其特征在于:
该方法依次包含以下步骤:步骤1.先进行身份认证登录;步骤2.设置属性密码;步骤3.创建加密表空间;步骤4.动态数据屏蔽;步骤5.加密屏蔽数据;步骤6.存储加密AES的密钥;步骤7.RAS算法解密AES的密钥;步骤8.AES解密数据;步骤9.解屏蔽数据返回给用户。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510540658.6A CN105160272B (zh) | 2015-08-28 | 2015-08-28 | 一种基于自主可控数据库的安全加密方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510540658.6A CN105160272B (zh) | 2015-08-28 | 2015-08-28 | 一种基于自主可控数据库的安全加密方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105160272A true CN105160272A (zh) | 2015-12-16 |
CN105160272B CN105160272B (zh) | 2018-10-26 |
Family
ID=54801124
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510540658.6A Active CN105160272B (zh) | 2015-08-28 | 2015-08-28 | 一种基于自主可控数据库的安全加密方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105160272B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106096448A (zh) * | 2016-06-20 | 2016-11-09 | 浪潮电子信息产业股份有限公司 | 一种基于ssr加密技术的数据库安全加固方法和系统 |
CN106709373A (zh) * | 2017-01-18 | 2017-05-24 | 北京许继电气有限公司 | 实现自主可控数据库自定义函数加密的方法 |
CN109635577A (zh) * | 2018-12-03 | 2019-04-16 | 北京安华金和科技有限公司 | 一种离线解密oracle tde加密的数据文件的方法 |
CN110598440A (zh) * | 2019-08-08 | 2019-12-20 | 中腾信金融信息服务(上海)有限公司 | 一种分布式自动加解密系统 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110807199A (zh) * | 2019-08-06 | 2020-02-18 | 杭州美创科技有限公司 | MySQL无需重启启用透明加密的方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101162493A (zh) * | 2007-10-11 | 2008-04-16 | 天津理工大学 | 维护数据库安全的方法和系统 |
CN101587479A (zh) * | 2008-06-26 | 2009-11-25 | 北京人大金仓信息技术股份有限公司 | 面向数据库管理系统内核的数据加解密系统及其方法 |
CN102752109A (zh) * | 2012-06-05 | 2012-10-24 | 西安邮电大学 | 应用于数据库列加密的密钥管理方法和装置 |
CN103632082A (zh) * | 2013-12-10 | 2014-03-12 | 惠州华阳通用电子有限公司 | 一种通用权限管理系统及方法 |
-
2015
- 2015-08-28 CN CN201510540658.6A patent/CN105160272B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101162493A (zh) * | 2007-10-11 | 2008-04-16 | 天津理工大学 | 维护数据库安全的方法和系统 |
CN101587479A (zh) * | 2008-06-26 | 2009-11-25 | 北京人大金仓信息技术股份有限公司 | 面向数据库管理系统内核的数据加解密系统及其方法 |
CN102752109A (zh) * | 2012-06-05 | 2012-10-24 | 西安邮电大学 | 应用于数据库列加密的密钥管理方法和装置 |
CN103632082A (zh) * | 2013-12-10 | 2014-03-12 | 惠州华阳通用电子有限公司 | 一种通用权限管理系统及方法 |
Non-Patent Citations (3)
Title |
---|
刘盛: "抵御信息泄露,解析Oracle11g新特性之加密表空间", 《HTTP://WWW.CSDN.NET/ARTICLE/1970-01-01/2823428》 * |
林树泽: "《Oracle数据库管理之道》", 31 August 2012 * |
王郑飞: "外包数据库中数据加密的设计与实现", 《计算机工程与应用》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106096448A (zh) * | 2016-06-20 | 2016-11-09 | 浪潮电子信息产业股份有限公司 | 一种基于ssr加密技术的数据库安全加固方法和系统 |
CN106709373A (zh) * | 2017-01-18 | 2017-05-24 | 北京许继电气有限公司 | 实现自主可控数据库自定义函数加密的方法 |
CN109635577A (zh) * | 2018-12-03 | 2019-04-16 | 北京安华金和科技有限公司 | 一种离线解密oracle tde加密的数据文件的方法 |
CN110598440A (zh) * | 2019-08-08 | 2019-12-20 | 中腾信金融信息服务(上海)有限公司 | 一种分布式自动加解密系统 |
Also Published As
Publication number | Publication date |
---|---|
CN105160272B (zh) | 2018-10-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101371608B1 (ko) | Dbms 및 데이터베이스에서 암호화 방법 | |
US9158933B2 (en) | Protection of encryption keys in a database | |
US9881164B1 (en) | Securing data | |
US11652813B2 (en) | Systems and methods for real-time identity verification using a token code | |
US20090240956A1 (en) | Transparent encryption using secure encryption device | |
CN105160272A (zh) | 一种基于自主可控数据库的安全加密方法及系统 | |
Deshmukh et al. | Transparent Data Encryption--Solution for Security of Database Contents | |
US20090225987A1 (en) | Key rotation | |
WO2016189293A1 (en) | Encryption and decryption system and method | |
CN105960775A (zh) | 用于迁移密钥的方法和装置 | |
CN102855448B (zh) | 一种字段级数据库加密装置 | |
CN104794388B (zh) | 应用程序存取保护方法及应用程序存取保护装置 | |
GB2595167A (en) | Secure, multi-level access to obfuscated data for analytics | |
US10657275B2 (en) | Encryption directed database management system and method | |
US12027073B2 (en) | Polymorphic encryption for security of a data vault | |
CN106022039A (zh) | 一种电子信息安全存储系统及存储方法 | |
CN107689957A (zh) | 一种数字证书管理方法、电子设备、存储介质 | |
US20110107109A1 (en) | Storage system and method for managing data security thereof | |
US10341110B2 (en) | Securing user credentials | |
US11757626B1 (en) | Deterministic cryptography deidentification with granular data destruction | |
US11997191B2 (en) | System and method for protecting secret data items using multiple tiers of encryption and secure element | |
US11283600B2 (en) | Symmetrically encrypt a master passphrase key | |
CN104463003A (zh) | 一种文件加密保护方法 | |
CN109711181A (zh) | 一种基于可信格式数据的文件内容细粒度保护方法 | |
CN103617400B (zh) | 一种文件保险柜口令重置方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |