CN106203168A - 数据库安全访问系统 - Google Patents

数据库安全访问系统 Download PDF

Info

Publication number
CN106203168A
CN106203168A CN201610539695.XA CN201610539695A CN106203168A CN 106203168 A CN106203168 A CN 106203168A CN 201610539695 A CN201610539695 A CN 201610539695A CN 106203168 A CN106203168 A CN 106203168A
Authority
CN
China
Prior art keywords
data
user
access
key
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610539695.XA
Other languages
English (en)
Other versions
CN106203168B (zh
Inventor
不公告发明人
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Yingxun Information Technology Co Ltd
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN201610539695.XA priority Critical patent/CN106203168B/zh
Publication of CN106203168A publication Critical patent/CN106203168A/zh
Application granted granted Critical
Publication of CN106203168B publication Critical patent/CN106203168B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了数据库安全访问系统,包括数据库、访问身份验证模块、存储数据加密模块、存储数据解密模块。本发明通过标签验证方式确定访用户的身份信息,为数据库的访问区分安全级别,并赋予相应的处理权限,同时为写入的数据提供加密服务,为读取的数据提供解密服务,在保证数据库安全性的同时,提高了数据库信息共享的效率。

Description

数据库安全访问系统
技术领域
本发明涉及云计算技术领域,具体涉及数据库安全访问系统。
背景技术
相关技术中的数据库安全访问控制包括以下几个方面:(1)授权用户的回收和发放;(2)数据保密性的审查,根据大量的数据查询日志进行人工抽查,挑选涉及敏感数据且返回结果数量较大的情况询问相关人员是否有正式的审批手续,以满足保密性要求。上述工作均耗费大量人力和时间,不但审查的覆盖面和准确度无法保证,而且部分高危行为的事后审查难以满足时效性要求,更没有实现实时访问控制。因此,上述的数据库安全访问控制的方法存在的滞后性和粗粒度性都无法满足数据系统的数据安全,存在严重的安全隐患。
发明内容
针对上述问题,本发明提供数据库安全访问系统。
本发明的目的采用以下技术方案来实现:
数据库安全访问系统,包括数据库、访问身份验证模块、存储数据加密模块、存储数据解密模块:
所述数据库以注册对象为单位进行存储空间的初始化分,所述存储空间用于存储有由存储数据加密模块加工过的加密数据;
所述访问身份验证模块与数据库的访问接口连接,用于采用标签验证的方式验证访问用户是否为合法用户,具体为:所述访问身份验证模块预先对通过身份验证的注册对象分配一级标签和二级标签,当接收到访问用户的访问请求时,其对访问用户的一级标签或二级标签进行校验,若一级标签校验通过,开放数据库中对应注册对象空间的读、写权限;若二级标签校验通过,开放数据库中对应注册对象空间的只读权限;
所述存储数据加密模块用于在合法访问用户在数据库对应空间中写入数据前对数据进行预处理和加密;
所述存储数据解密模块用于在合法访问用户读取数据库对应空间中存储的加密数据时为用户提供数据解密服务。
进一步地,所述数据库安全访问系统还包括报警模块,与访问身份验证模块连接,其在访问身份验证模块验证访问用户为非法用户时发出警报信息,提示非法人员登录。
进一步地,所述数据库安全访问系统还包括与报警模块连接的远程通讯模块,所述远程通讯模块在报警模块发出二次警报信息时向指定的数据库管理员的管理号码发送警示信息。
其中,所述对数据进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码合法访问用户在数据库对应空间中写入的数据,根据所述访问结构树将编码后的写入数据分为N个访问级别,N的取值范围为[4,8]。
其中所述存储数据加密模块对合法访问用户在数据库对应空间中写入的数据进行加密,包括:
1)对预处理后的写入数据m采用由用户属主选取的对称密钥Km进行加密,得到密文Cm
2)采用由用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:
其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;
3)对所述密钥密文进行加密,为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:
式中,kgs表示共享会话密钥。
优选地,所述共享会话密钥采用公钥加密体制及密钥协商协议生成。
其中,所述存储数据解密模块在合法访问用户读取数据库对应空间中存储的加密数据进行解密时,具体执行:
1)对用户组属性密钥进行解密,解密时根据三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥
2)对三重加密密文C″m进行解密;
3)对密钥密文Cm′进行解密:
4)对密文Cm进行解密;
5)采用码分复用对解密后的存储数据进行解码。
本发明的有益效果为:
1、通过标签验证方式确定访用户的身份信息,同时为数据库的访问区分安全级别,并赋予相应的处理权限,从而在保证数据库安全性的同时,提高了数据库信息共享的效率;
2、通过码分复用编码合法访问用户在数据库对应空间中写入的数据,减少了加密数据的存储空间,优化了访问系统;
3、对预处理后的写入数据进行三重加密,并设置相应的数据解密方式,不仅能实现细粒度访问控制,还能有效减轻系统的加密、解密的计算开销。
附图说明
利用附图对本发明作进一步说明,但附图中的实施例不构成对本发明的任何限制,对于本领域的普通技术人员,在不付出创造性劳动的前提下,还可以根据以下附图获得其它的附图。
图1是本发明各模块的连接示意图;
图2是本发明存储数据加密模块的加密运作流程示意图。
附图标记:
数据库1、访问身份验证模块2、存储数据加密模块3、存储数据解密模块4。
具体实施方式
结合以下实施例对本发明作进一步描述。
实施例1
参见图1、图2,本实施例的数据库安全访问系统,包括数据库1、访问身份验证模块2、存储数据加密模块3、存储数据解密模块4:
所述数据库1以注册对象为单位进行存储空间的初始化分,所述存储空间用于存储有由存储数据加密模块3加工过的加密数据;
所述访问身份验证模块2与数据库1的访问接口连接,用于采用标签验证的方式验证访问用户是否为合法用户,具体为:所述访问身份验证模块2预先对通过身份验证的注册对象分配一级标签和二级标签,当接收到访问用户的访问请求时,其对访问用户的一级标签或二级标签进行校验,若一级标签校验通过,开放数据库1中对应注册对象空间的读、写权限;若二级标签校验通过,开放数据库1中对应注册对象空间的只读权限;
所述存储数据加密模块3用于在合法访问用户在数据库1对应空间中写入数据前对数据进行预处理和加密;
所述存储数据解密模块4用于在合法访问用户读取数据库1的对应空间中存储的加密数据时为用户提供数据解密服务。
其中,所述对数据进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码合法访问用户在数据库1对应空间中写入的数据,根据所述访问结构树将编码后的写入数据分为N个访问级别,N的取值范围为[4,8]。
其中所述存储数据加密模块3对合法访问用户在数据库1对应空间中写入的数据进行加密,包括:
1)对预处理后的写入数据m采用由用户属主选取的对称密钥Km进行加密,得到密文Cm
2)采用由用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:
其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;
3)对所述密钥密文进行加密,为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:
式中,kgs表示共享会话密钥,所述共享会话密钥采用公钥加密体制及密钥协商协议生成。
其中,所述存储数据解密模块4在合法访问用户读取数据库1对应空间中存储的加密数据进行解密时,具体执行:
1)对用户组属性密钥进行解密,解密时根据三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥
2)对三重加密密文C″m进行解密;
3)对密钥密文Cm′进行解密:
4)对密文Cm进行解密;
5)采用码分复用对解密后的存储数据进行解码。
本实施例通过标签验证方式确定访用户的身份信息,同时为数据库1的访问区分安全级别,并赋予相应的处理权限,从而在保证数据库1安全性的同时,提高了数据库信息共享的效率;通过码分复用编码合法访问用户在数据库1对应空间中写入的数据,减少了加密数据的存储空间,优化了访问系统;对预处理后的写入数据进行三重加密,并设置相应的数据解密方式,不仅能实现细粒度访问控制,还能有效减轻系统的加密、解密的计算开销;其中设定访问级别数N=4,存储空间相对减少了8%。
实施例2
参见图1、图2,本实施例的数据库安全访问系统,包括数据库1、访问身份验证模块2、存储数据加密模块3、存储数据解密模块4:
所述数据库1以注册对象为单位进行存储空间的初始化分,所述存储空间用于存储有由存储数据加密模块3加工过的加密数据;
所述访问身份验证模块2与数据库1的访问接口连接,用于采用标签验证的方式验证访问用户是否为合法用户,具体为:所述访问身份验证模块2预先对通过身份验证的注册对象分配一级标签和二级标签,当接收到访问用户的访问请求时,其对访问用户的一级标签或二级标签进行校验,若一级标签校验通过,开放数据库1中对应注册对象空间的读、写权限;若二级标签校验通过,开放数据库1中对应注册对象空间的只读权限;
所述存储数据加密模块3用于在合法访问用户在数据库1对应空间中写入数据前对数据进行预处理和加密;
所述存储数据解密模块4用于在合法访问用户读取数据库1的对应空间中存储的加密数据时为用户提供数据解密服务。
其中,所述对数据进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码合法访问用户在数据库1对应空间中写入的数据,根据所述访问结构树将编码后的写入数据分为N个访问级别,N的取值范围为[4,8]。
其中所述存储数据加密模块3对合法访问用户在数据库1对应空间中写入的数据进行加密,包括:
1)对预处理后的写入数据m采用由用户属主选取的对称密钥Km进行加密,得到密文Cm
2)采用由用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:
其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;
3)对所述密钥密文进行加密,为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:
式中,kgs表示共享会话密钥,所述共享会话密钥采用公钥加密体制及密钥协商协议生成。
其中,所述存储数据解密模块4在合法访问用户读取数据库1对应空间中存储的加密数据进行解密时,具体执行:
1)对用户组属性密钥进行解密,解密时根据三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥
2)对三重加密密文C″m进行解密;
3)对密钥密文Cm′进行解密:
4)对密文Cm进行解密;
5)采用码分复用对解密后的存储数据进行解码。
本实施例通过标签验证方式确定访用户的身份信息,同时为数据库1的访问区分安全级别,并赋予相应的处理权限,从而在保证数据库1安全性的同时,提高了数据库信息共享的效率;通过码分复用编码合法访问用户在数据库1对应空间中写入的数据,减少了加密数据的存储空间,优化了访问系统;对预处理后的写入数据进行三重加密,并设置相应的数据解密方式,不仅能实现细粒度访问控制,还能有效减轻系统的加密、解密的计算开销;其中设定访问级别数N=5,存储空间相对减少了6.5%。
实施例3
参见图1、图2,本实施例的数据库安全访问系统,包括数据库1、访问身份验证模块2、存储数据加密模块3、存储数据解密模块4:
所述数据库1以注册对象为单位进行存储空间的初始化分,所述存储空间用于存储有由存储数据加密模块3加工过的加密数据;
所述访问身份验证模块2与数据库1的访问接口连接,用于采用标签验证的方式验证访问用户是否为合法用户,具体为:所述访问身份验证模块2预先对通过身份验证的注册对象分配一级标签和二级标签,当接收到访问用户的访问请求时,其对访问用户的一级标签或二级标签进行校验,若一级标签校验通过,开放数据库1中对应注册对象空间的读、写权限;若二级标签校验通过,开放数据库1中对应注册对象空间的只读权限;
所述存储数据加密模块3用于在合法访问用户在数据库1对应空间中写入数据前对数据进行预处理和加密;
所述存储数据解密模块4用于在合法访问用户读取数据库1的对应空间中存储的加密数据时为用户提供数据解密服务。
其中,所述对数据进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码合法访问用户在数据库1对应空间中写入的数据,根据所述访问结构树将编码后的写入数据分为N个访问级别,N的取值范围为[4,8]。
其中所述存储数据加密模块3对合法访问用户在数据库1对应空间中写入的数据进行加密,包括:
1)对预处理后的写入数据m采用由用户属主选取的对称密钥Km进行加密,得到密文Cm
2)采用由用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:
其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;
3)对所述密钥密文进行加密,为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:
式中,kgs表示共享会话密钥,所述共享会话密钥采用公钥加密体制及密钥协商协议生成。
其中,所述存储数据解密模块4在合法访问用户读取数据库1对应空间中存储的加密数据进行解密时,具体执行:
1)对用户组属性密钥进行解密,解密时根据三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥
2)对三重加密密文C″m进行解密;
3)对密钥密文Cm′进行解密:
4)对密文Cm进行解密;
5)采用码分复用对解密后的存储数据进行解码。
本实施例通过标签验证方式确定访用户的身份信息,同时为数据库1的访问区分安全级别,并赋予相应的处理权限,从而在保证数据库1安全性的同时,提高了数据库信息共享的效率;通过码分复用编码合法访问用户在数据库1对应空间中写入的数据,减少了加密数据的存储空间,优化了访问系统;对预处理后的写入数据进行三重加密,并设置相应的数据解密方式,不仅能实现细粒度访问控制,还能有效减轻系统的加密、解密的计算开销;其中设定访问级别数N=6,存储空间相对减少了4%。
实施例4
参见图1、图2,本实施例的数据库安全访问系统,包括数据库1、访问身份验证模块2、存储数据加密模块3、存储数据解密模块4:
所述数据库1以注册对象为单位进行存储空间的初始化分,所述存储空间用于存储有由存储数据加密模块3加工过的加密数据;
所述访问身份验证模块2与数据库1的访问接口连接,用于采用标签验证的方式验证访问用户是否为合法用户,具体为:所述访问身份验证模块2预先对通过身份验证的注册对象分配一级标签和二级标签,当接收到访问用户的访问请求时,其对访问用户的一级标签或二级标签进行校验,若一级标签校验通过,开放数据库1中对应注册对象空间的读、写权限;若二级标签校验通过,开放数据库1中对应注册对象空间的只读权限;
所述存储数据加密模块3用于在合法访问用户在数据库1对应空间中写入数据前对数据进行预处理和加密;
所述存储数据解密模块4用于在合法访问用户读取数据库1的对应空间中存储的加密数据时为用户提供数据解密服务。
其中,所述对数据进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码合法访问用户在数据库1对应空间中写入的数据,根据所述访问结构树将编码后的写入数据分为N个访问级别,N的取值范围为[4,8]。
其中所述存储数据加密模块3对合法访问用户在数据库1对应空间中写入的数据进行加密,包括:
1)对预处理后的写入数据m采用由用户属主选取的对称密钥Km进行加密,得到密文Cm
2)采用由用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:
其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;
3)对所述密钥密文进行加密,为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:
式中,kgs表示共享会话密钥,所述共享会话密钥采用公钥加密体制及密钥协商协议生成。
其中,所述存储数据解密模块4在合法访问用户读取数据库1对应空间中存储的加密数据进行解密时,具体执行:
1)对用户组属性密钥进行解密,解密时根据三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥
2)对三重加密密文C″m进行解密;
3)对密钥密文Cm′进行解密:
4)对密文Cm进行解密;
5)采用码分复用对解密后的存储数据进行解码。
本实施例通过标签验证方式确定访用户的身份信息,同时为数据库1的访问区分安全级别,并赋予相应的处理权限,从而在保证数据库1安全性的同时,提高了数据库信息共享的效率;通过码分复用编码合法访问用户在数据库1对应空间中写入的数据,减少了加密数据的存储空间,优化了访问系统;对预处理后的写入数据进行三重加密,并设置相应的数据解密方式,不仅能实现细粒度访问控制,还能有效减轻系统的加密、解密的计算开销;其中设定访问级别数N=7,存储空间相对减少了3.5%。
实施例5
参见图1、图2,本实施例的数据库安全访问系统,包括数据库1、访问身份验证模块2、存储数据加密模块3、存储数据解密模块4:
所述数据库1以注册对象为单位进行存储空间的初始化分,所述存储空间用于存储有由存储数据加密模块3加工过的加密数据;
所述访问身份验证模块2与数据库1的访问接口连接,用于采用标签验证的方式验证访问用户是否为合法用户,具体为:所述访问身份验证模块2预先对通过身份验证的注册对象分配一级标签和二级标签,当接收到访问用户的访问请求时,其对访问用户的一级标签或二级标签进行校验,若一级标签校验通过,开放数据库1中对应注册对象空间的读、写权限;若二级标签校验通过,开放数据库1中对应注册对象空间的只读权限;
所述存储数据加密模块3用于在合法访问用户在数据库1对应空间中写入数据前对数据进行预处理和加密;
所述存储数据解密模块4用于在合法访问用户读取数据库1的对应空间中存储的加密数据时为用户提供数据解密服务。
其中,所述对数据进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码合法访问用户在数据库1对应空间中写入的数据,根据所述访问结构树将编码后的写入数据分为N个访问级别,N的取值范围为[4,8]。
其中所述存储数据加密模块3对合法访问用户在数据库1对应空间中写入的数据进行加密,包括:
1)对预处理后的写入数据m采用由用户属主选取的对称密钥Km进行加密,得到密文Cm
2)采用由用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:
其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;
3)对所述密钥密文进行加密,为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:
式中,kgs表示共享会话密钥,所述共享会话密钥采用公钥加密体制及密钥协商协议生成。
其中,所述存储数据解密模块4在合法访问用户读取数据库1对应空间中存储的加密数据进行解密时,具体执行:
1)对用户组属性密钥进行解密,解密时根据三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥
2)对三重加密密文C″m进行解密;
3)对密钥密文Cm′进行解密:
4)对密文Cm进行解密;
5)采用码分复用对解密后的存储数据进行解码。
本实施例通过标签验证方式确定访用户的身份信息,同时为数据库1的访问区分安全级别,并赋予相应的处理权限,从而在保证数据库1安全性的同时,提高了数据库信息共享的效率;通过码分复用编码合法访问用户在数据库1对应空间中写入的数据,减少了加密数据的存储空间,优化了访问系统;对预处理后的写入数据进行三重加密,并设置相应的数据解密方式,不仅能实现细粒度访问控制,还能有效减轻系统的加密、解密的计算开销;其中设定访问级别数N=8,存储空间相对减少了3.5%。
最后应当说明的是,以上实施例仅用以说明本发明的技术方案,而非对本发明保护范围的限制,尽管参照较佳实施例对本发明作了详细地说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的实质和范围。

Claims (7)

1.数据库安全访问系统,其特征在于,包括数据库、访问身份验证模块、存储数据加密模块、存储数据解密模块:
所述数据库以注册对象为单位进行存储空间的初始化分,所述存储空间用于存储有由存储数据加密模块加工过的加密数据;
所述访问身份验证模块与数据库的访问接口连接,用于采用标签验证的方式验证访问用户是否为合法用户,具体为:所述访问身份验证模块预先对通过身份验证的注册对象分配一级标签和二级标签,当接收到访问用户的访问请求时,其对访问用户的一级标签或二级标签进行校验,若一级标签校验通过,开放数据库中对应注册对象空间的读、写权限;若二级标签校验通过,开放数据库中对应注册对象空间的只读权限;
所述存储数据加密模块用于在合法访问用户在数据库对应空间中写入数据前对数据进行预处理和加密;
所述存储数据解密模块用于在合法访问用户读取数据库对应空间中存储的加密数据时为用户提供数据解密服务。
2.根据权利要求1所述的数据库安全访问系统,其特征在于,还包括报警模块,与访问身份验证模块连接,其在访问身份验证模块验证访问用户为非法用户时发出警报信息,提示非法人员登录。
3.根据权利要求1所述的数据库安全访问系统,其特征在于,还包括与报警模块连接的远程通讯模块,所述远程通讯模块在报警模块发出二次警报信息时向指定的数据库管理员的管理号码发送警示信息。
4.根据权利要求1所述的数据库安全访问系统,其特征在于,所述对数据进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码合法访问用户在数据库对应空间中写入的数据,根据所述访问结构树将编码后的写入数据分为N个访问级别,N的取值范围为[4,8]。
5.根据权利要求4所述的数据库安全访问系统,其特征在于,所述存储数据加密模块对合法访问用户在数据库对应空间中写入的数据进行加密,包括:
1)对预处理后的写入数据m采用由用户属主选取的对称密钥Km进行加密,得到密文Cm
2)采用由用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:
其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;
3)对所述密钥密文进行加密,为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:
式中,kgs表示共享会话密钥。
6.根据权利要求5所述的数据库安全访问系统,其特征在于,所述共享会话密钥采用公钥加密体制及密钥协商协议生成。
7.根据权利要求6所述的数据库安全访问系统,其特征在于,所述存储数据解密模块在合法访问用户读取数据库对应空间中存储的加密数据进行解密时,具体执行:
1)对用户组属性密钥进行解密,解密时根据三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥
2)对三重加密密文C″m进行解密;
3)对密钥密文Cm′进行解密:
4)对密文Cm进行解密;
5)采用码分复用对解密后的存储数据进行解码。
CN201610539695.XA 2016-07-06 2016-07-06 数据库安全访问系统 Active CN106203168B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610539695.XA CN106203168B (zh) 2016-07-06 2016-07-06 数据库安全访问系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610539695.XA CN106203168B (zh) 2016-07-06 2016-07-06 数据库安全访问系统

Publications (2)

Publication Number Publication Date
CN106203168A true CN106203168A (zh) 2016-12-07
CN106203168B CN106203168B (zh) 2019-01-25

Family

ID=57473470

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610539695.XA Active CN106203168B (zh) 2016-07-06 2016-07-06 数据库安全访问系统

Country Status (1)

Country Link
CN (1) CN106203168B (zh)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107133528A (zh) * 2017-05-02 2017-09-05 山东浪潮通软信息科技有限公司 一种数据库存储的密级保护实现方法及装置
CN107563221A (zh) * 2017-09-04 2018-01-09 安徽爱她有果电子商务有限公司 一种用于加密数据库的认证解码安全管理系统
CN108960762A (zh) * 2018-05-28 2018-12-07 安徽鼎龙网络传媒有限公司 一种商业活动管理平台智能扩展辅助系统
CN109029564A (zh) * 2018-07-12 2018-12-18 江苏慧学堂系统工程有限公司 一种用于环境检测的计算机网络系统
CN109344600A (zh) * 2018-10-09 2019-02-15 象翌微链科技发展有限公司 一种分布式系统以及基于该系统的数据处理方法
CN110309673A (zh) * 2019-07-04 2019-10-08 华盾技术(深圳)有限责任公司 一种自适应可定制的加密云数据库系统及加密方法
CN112287365A (zh) * 2020-10-23 2021-01-29 烽火通信科技股份有限公司 基于二进制的数据库权限控制方法、设备、介质及系统
CN112287310A (zh) * 2020-11-06 2021-01-29 深圳安捷丽新技术有限公司 一种安全管控存储系统
CN113505352A (zh) * 2021-07-06 2021-10-15 湖州市吴兴区数字经济技术研究院 一种数字经济信息管理系统及方法
CN116702110A (zh) * 2023-06-15 2023-09-05 深圳千岸科技股份有限公司 供应链大数据共享方法、装置、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101587479A (zh) * 2008-06-26 2009-11-25 北京人大金仓信息技术股份有限公司 面向数据库管理系统内核的数据加解密系统及其方法
CN102063431A (zh) * 2009-11-13 2011-05-18 郭承运 信息数据库系统以及控制信息数据库系统访问的方法
CN102402664A (zh) * 2011-12-28 2012-04-04 用友软件股份有限公司 数据访问控制装置和数据访问控制方法
CN104063334A (zh) * 2014-07-11 2014-09-24 中国人民公安大学 一种基于数据属性的加密方法和系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101587479A (zh) * 2008-06-26 2009-11-25 北京人大金仓信息技术股份有限公司 面向数据库管理系统内核的数据加解密系统及其方法
CN102063431A (zh) * 2009-11-13 2011-05-18 郭承运 信息数据库系统以及控制信息数据库系统访问的方法
CN102402664A (zh) * 2011-12-28 2012-04-04 用友软件股份有限公司 数据访问控制装置和数据访问控制方法
CN104063334A (zh) * 2014-07-11 2014-09-24 中国人民公安大学 一种基于数据属性的加密方法和系统

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107133528A (zh) * 2017-05-02 2017-09-05 山东浪潮通软信息科技有限公司 一种数据库存储的密级保护实现方法及装置
CN107563221A (zh) * 2017-09-04 2018-01-09 安徽爱她有果电子商务有限公司 一种用于加密数据库的认证解码安全管理系统
CN108960762A (zh) * 2018-05-28 2018-12-07 安徽鼎龙网络传媒有限公司 一种商业活动管理平台智能扩展辅助系统
CN109029564A (zh) * 2018-07-12 2018-12-18 江苏慧学堂系统工程有限公司 一种用于环境检测的计算机网络系统
CN109344600A (zh) * 2018-10-09 2019-02-15 象翌微链科技发展有限公司 一种分布式系统以及基于该系统的数据处理方法
CN110309673A (zh) * 2019-07-04 2019-10-08 华盾技术(深圳)有限责任公司 一种自适应可定制的加密云数据库系统及加密方法
CN112287365A (zh) * 2020-10-23 2021-01-29 烽火通信科技股份有限公司 基于二进制的数据库权限控制方法、设备、介质及系统
CN112287310A (zh) * 2020-11-06 2021-01-29 深圳安捷丽新技术有限公司 一种安全管控存储系统
CN113505352A (zh) * 2021-07-06 2021-10-15 湖州市吴兴区数字经济技术研究院 一种数字经济信息管理系统及方法
CN116702110A (zh) * 2023-06-15 2023-09-05 深圳千岸科技股份有限公司 供应链大数据共享方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN106203168B (zh) 2019-01-25

Similar Documents

Publication Publication Date Title
CN106203168A (zh) 数据库安全访问系统
CN108234515B (zh) 一种基于智能合约的自认证数字身份管理系统及其方法
CN108023894B (zh) 基于区块链的签证信息系统及其处理方法
CN108564182B (zh) 一种基于区块链技术的设备全生命周期管理系统及其方法
CN100464315C (zh) 移动存储器失泄密防护的方法和系统
US12058252B2 (en) Key security management system and method, medium, and computer program
CN110535833B (zh) 一种基于区块链的数据共享控制方法
CN109688133B (zh) 一种基于免账号登录的通信方法
CN102236766B (zh) 安全的数据项级数据库加密方法
CN103246842B (zh) 用于验证和数据加密的方法和设备
CN108009830A (zh) 基于区块链的产品流通跟踪方法与系统
US20140237231A1 (en) Computer system for storing and retrieval of encrypted data items, client computer, computer program product and computer-implemented method
CN109740363A (zh) 文档分级脱敏加密方法
US11405198B2 (en) System and method for storing and managing keys for signing transactions using key of cluster managed in trusted execution environment
CN101110728A (zh) Rfid产权证安全验证系统和验证方法
JPH10508438A (ja) キー・エスクローおよびデータ・エスクロー暗号化のためのシステムおよび方法
JP2002538702A (ja) 安全な情報の取り扱いのための方法及びシステム
CN106326763A (zh) 获取电子文件的方法及装置
JP5013931B2 (ja) コンピューターログインをコントロールする装置およびその方法
CN107864157A (zh) 基于权属的数据加密保护和权属授权解密应用方法及系统
CN106572076A (zh) 一种Web服务访问方法、一种客户端、一种服务端
CN106203137B (zh) 一种机密文件访问安全系统
CN104484628B (zh) 一种具有加密解密功能的多应用智能卡
TW200822670A (en) Content control system and method using versatile control structure
CN106973046A (zh) 网关间数据传输方法、源网关及目的网关

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20181128

Address after: 522000 No. 502, 19 Blocks, New Henan District, Jianyang Road, Rongcheng District, Jieyang City, Guangdong Province

Applicant after: Guangdong Yingxun Information Technology Co., Ltd.

Address before: 315200 No. 555 north tunnel road, Zhenhai District, Ningbo, Zhejiang

Applicant before: Yang Bing

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant