CN106971119A - 可信身份的数据库关键数据安全读写认证方法 - Google Patents
可信身份的数据库关键数据安全读写认证方法 Download PDFInfo
- Publication number
- CN106971119A CN106971119A CN201710101692.2A CN201710101692A CN106971119A CN 106971119 A CN106971119 A CN 106971119A CN 201710101692 A CN201710101692 A CN 201710101692A CN 106971119 A CN106971119 A CN 106971119A
- Authority
- CN
- China
- Prior art keywords
- data
- user
- key
- server
- write
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明提出了一种可信身份的数据库关键数据安全读写认证的方法,利用了服务器公私钥对进行互联网的关键数据的传输,通过对用户可信身份的识别认证,实现了数据库中关键数据的加密、解密和安全传输的过程,此方式多重保护了用户对数据库中的关键数据的存取,防止了别有用心之人窃取并篡改数据库中的机密信息,此发明的方法实施方便,过程简洁明了,操作简单,适宜推广使用。
Description
技术领域
本发明涉及信息安全技术领域,特别是可信身份的数据库关键数据读取认证,采用国密对称加密算法目前为SM4.。
背景技术
在大数据环境下,安全是一个容易被忽略的特性。特别是数据库安全对许多企业来说是非常重要的,甚至关系到一个企业的生存和发展。因而企业常常采取一定的措施:如采取数据库备份、防火墙等来保护系统的安全,但是这些传统的安全保护措施具有一定的局限性和不足。在绝大多数信息系统中,没有加密的数据库就如同没有上锁的文件柜,对别有用心的人而言,剽窃、篡改易如反掌。因此,如何有效地保证数据库系统的安全,实现数据的保密性、完整性和有效性,数据库的安全管理日益成为人们关注的焦点之一。解决这一问题的关键是要对数据库中的数据本身进行加密,即使数据不幸泄露或丢失,也难以被人破译。目前对数据库的管理系统本身进行加密操作是不现实的,这属于核心层加密,如果没有数据库开发商的配合,其实现难度相对较大。
发明内容
本发明所要解决的技术问题是规避目前数据库整体加密导致的效率降低,克服现有技术的缺陷,但针对核心数据的提取和保存,提供一种可信身份的数据库关键数据安全读写认证方法。
为解决上述技术问题,本发明提供一种可信身份的数据库关键数据安全读写认证方法,其特征是,
应用服务器调用密码机通过国密对称算法生成密钥d并通过非对称算法生成服务器密钥对(b,r),服务器公钥b对通过国密对称算法生成的密钥d加密,加密后的密钥d1存放于应用服务器内存中的某个固定处隐藏;
用户向数据库服务器写入数据或者从数据库服务器读取数据时,首先对用户进行可信身份的验证,验证通过为可信身份时才允许用户写入或读取数据;
用户写入数据时,用户向Web页面输入用户信息并写入数据,Web页面发送写入数据请求到应用服务器,应用服务器接受用户的数据并且验证用户的个人数字证书可信后,由服务器私钥r对加密的密钥d1解密,利用解密后的密钥d将用户写入的数据加密,再将加密后的数据写入数据库服务器中;
用户读取数据时,用户发送读取数据的请求到Web页面,Web页面发送用户读取数据的请求给应用服务器,应用服务器接受用户的读取数据请求并且验证用户的个人数字证书可信后,应用服务器发送用户请求到数据库服务器,数据库服务器将用户请求读取的数据返回给应用服务器,应用服务器利用服务器私钥r对加密的密钥d1解密,利用解密后的密钥d将用户需要的数据通过国密对称算法进行解密,解密后的数据返回至Web页面并显示给用户。
对用户写入的数据加密或读取的数据解密完成以后,在应用服务器内存中消除本次服务器私钥r解密出来的密钥d,而通过服务器公钥b加密后的密钥d1仍存放于应用服务器内存中的某个固定处隐藏,下次使用时再直接调用。
用户可信身份认证的步骤为:
用户首先插入个人数字证书usbkey并输入PIN码,Web页面对由服务器生成的随机数进行签名,并发送签名值到应用服务器,应用服务器验证签名值,读取用户个人数字证书信息,验证用户是否是可信身份及是否具备数据库服务器读取权限,验证结束后返回验证结果到Web页面来确定用户是否为可信身份。
用户的数据写入数据库服务器中后,应用服务器返回用户请求写入数据成功与否的结果至Web页面并显示给用户。
数据库服务器中存储的需要保密的数据包括结构化数据的核心字段和非结构化数据集。
写入数据库服务器中的加密数据是以国密对称算法进行加密的。
在加密前对数据库服务器中需要保密的数据建立1-20个关键索引字,通过关键索引字建立快速索引。
本发明所达到的有益效果:
本发明提出了一种可信身份的数据库关键数据安全读取认证的方法,其中数据库的关键数据包括结构化数据的核心字段(需要保密的字段内容)和非结构化数据集(文档等数据),是一种基于可信身份的关键数据的读取识别方法,并且利用了服务器公私钥对进行互联网的关键数据的传输,通过对用户可信身份的识别认证,实现了数据库中关键数据的加密、解密和安全传输的过程,此方式多重保护了用户对数据库中的关键数据的存取,防止了别有用心之人窃取并篡改数据库中的机密信息,此发明的方法实施方便,过程简洁明了,操作简单,适宜推广使用。
附图说明
图1是用户可信身份认证的流程图;
图2是用户写入数据加密方法的流程图;
图3是用户读取数据库数据的方法流程图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
本发明的方法主要包括用户可信身份认证的步骤、用户写入数据加密的步骤和用户读取数据库数据的步骤。
用户可信身份认证的步骤为:
用户写入数据或者读取数据时,都需要对用户进行可信身份的验证,如图1所示,用户首先插入个人数字证书usbkey并输入PIN码,Web页面对由服务器生成的随机数进行签名,并发送签名值到应用服务器,应用服务器验证签名值,读取用户个人数字证书信息,验证用户是否是可信身份及是否具备数据库服务器读取权限,验证结束后返回验证结果到Web页面来确定用户是否为可信身份,为可信身份时才允许用户写入或读取数据。
用户写入数据加密的步骤为:
用户写入数据前,应用服务器调用密码机通过国密对称算法生成密钥d和通过非对称算法生成服务器密钥对(b,r),服务器公钥b对通过国密对称算法生成的密钥d加密,加密后的密钥d1存放于应用服务器内存中的某个固定处隐藏;
写入数据时,用户向Web页面输入用户信息并写入数据,Web页面发送写入数据请求到应用服务器,应用服务器接受用户的数据并且验证用户的个人数字证书是否可信,不可信则直接拒绝。如可信则由服务器私钥r对加密的密钥d1解密,解密后的密钥d将用户写入的数据加密,而后将加密后的数据写入数据库服务器中并存放于对应字段。最后应用服务器返回用户请求写入数据成功与否的结果至Web页面并显示给用户,如图2所示。
数据库服务器中需要保密的关键数据包括结构化数据的核心字段(需要保密的字段内容)和非结构化数据集(文档等数据),需要保密的关键数据内容(结构与非结构)以国密对称算法进行加密。
需要保密的关键数据(结构或非结构)在加密前为了检索方便,可设置建立1-20个关键索引字,以便建立快速索引。
用户读取数据库数据的步骤为:
数据读取前,应用服务器调用密码机通过国密对称算法生成密钥d和通过非对称算法生成服务器密钥对(b,r),服务器公钥b对通过国密对称算法生成的密钥d加密,加密后的密钥d1存放于应用服务器内存中的某个固定处隐藏;
用户读取数据时发送读取数据的请求到Web页面,Web页面发送用户读取数据的请求给应用服务器,应用服务器接受用户的读取数据请求并且验证用户的个人数字证书是否可信,不可信则直接拒绝。如可信则应用服务器发送用户请求到数据库服务器,数据库服务器将用户请求读取的数据返回给应用服务器,应用服务器中服务器私钥r对加密的密钥d1解密,解密后的密钥d将用户需要的数据通过国密对称算法进行解密,解密后的数据返回至Web页面并显示给用户,如图3所示。
数据加解密完则在应用服务器内存中消除服务器私钥r解密出来的密钥d,而通过服务器公钥b加密后的密钥d1则仍存放于应用服务器内存中的某个固定处隐藏,下次使用时再直接调用。
Claims (7)
1.一种可信身份的数据库关键数据安全读写认证方法,其特征是,
应用服务器调用密码机通过国密对称算法生成密钥d并通过非对称算法生成服务器密钥对(b,r),服务器公钥b对通过国密对称算法生成的密钥d加密,加密后的密钥d1存放于应用服务器内存中的某个固定处隐藏;
用户向数据库服务器写入数据或者从数据库服务器读取数据时,首先对用户进行可信身份的验证,验证通过为可信身份时才允许用户写入或读取数据;
用户写入数据时,用户向Web页面输入用户信息并写入数据,Web页面发送写入数据请求到应用服务器,应用服务器接受用户的数据并且验证用户的个人数字证书可信后,由服务器私钥r对加密的密钥d1解密,利用解密后的密钥d将用户写入的数据加密,再将加密后的数据写入数据库服务器中;
用户读取数据时,用户发送读取数据的请求到Web页面,Web页面发送用户读取数据的请求给应用服务器,应用服务器接受用户的读取数据请求并且验证用户的个人数字证书可信后,应用服务器发送用户请求到数据库服务器,数据库服务器将用户请求读取的数据返回给应用服务器,应用服务器利用服务器私钥r对加密的密钥d1解密,利用解密后的密钥d将用户需要的数据通过国密对称算法进行解密,解密后的数据返回至Web页面并显示给用户。
2.根据权利要求1所述的可信身份的数据库关键数据安全读写认证方法,其特征是,
对用户写入的数据加密或读取的数据解密完成以后,在应用服务器内存中消除本次服务器私钥r解密出来的密钥d,而通过服务器公钥b加密后的密钥d1仍存放于应用服务器内存中的某个固定处隐藏,下次使用时再直接调用。
3.根据权利要求1所述的可信身份的数据库关键数据安全读写认证方法,其特征是,用户可信身份认证的步骤为:
用户首先插入个人数字证书usbkey并输入PIN码,Web页面对由服务器生成的随机数进行签名,并发送签名值到应用服务器,应用服务器验证签名值,读取用户个人数字证书信息,验证用户是否是可信身份及是否具备数据库服务器读取权限,验证结束后返回验证结果到Web页面来确定用户是否为可信身份。
4.根据权利要求1所述的可信身份的数据库关键数据安全读写认证方法,其特征是,用户的数据写入数据库服务器中后,应用服务器返回用户请求写入数据成功与否的结果至Web页面并显示给用户。
5.根据权利要求1所述的可信身份的数据库关键数据安全读写认证方法,其特征是,数据库服务器中存储的需要保密的数据包括结构化数据的核心字段和非结构化数据集。
6.根据权利要求1所述的可信身份的数据库关键数据安全读写认证方法,其特征是,写入数据库服务器中的加密数据是以国密对称算法进行加密的。
7.根据权利要求1所述的可信身份的数据库关键数据安全读写认证方法,其特征是,在加密前对数据库服务器中需要保密的数据建立1-20个关键索引字,通过关键索引字建立快速索引。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710101692.2A CN106971119A (zh) | 2017-02-24 | 2017-02-24 | 可信身份的数据库关键数据安全读写认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710101692.2A CN106971119A (zh) | 2017-02-24 | 2017-02-24 | 可信身份的数据库关键数据安全读写认证方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106971119A true CN106971119A (zh) | 2017-07-21 |
Family
ID=59328292
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710101692.2A Pending CN106971119A (zh) | 2017-02-24 | 2017-02-24 | 可信身份的数据库关键数据安全读写认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106971119A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107743063A (zh) * | 2017-10-31 | 2018-02-27 | 北京小米移动软件有限公司 | 数据处理方法及装置 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101459661A (zh) * | 2007-12-14 | 2009-06-17 | 鸿富锦精密工业(深圳)有限公司 | 电子文档保护系统及方法 |
CN101778381A (zh) * | 2009-12-31 | 2010-07-14 | 卓望数码技术(深圳)有限公司 | 数字证书生成方法、用户密钥获取方法、移动终端及设备 |
CN101872404A (zh) * | 2009-04-21 | 2010-10-27 | 普天信息技术研究院有限公司 | 一种保护Java软件程序的方法 |
CN102855448A (zh) * | 2012-08-10 | 2013-01-02 | 深圳市黎明网络系统有限公司 | 一种字段级数据库加密装置 |
CN103684765A (zh) * | 2013-12-24 | 2014-03-26 | 歌尔声学股份有限公司 | 管理系统中加密、解密数据的方法及装置 |
CN104809365A (zh) * | 2014-01-27 | 2015-07-29 | 宇瞻科技股份有限公司 | 数字权管理系统、管理方法及其信息传送系统与方法 |
CN105653970A (zh) * | 2015-05-13 | 2016-06-08 | 宇龙计算机通信科技(深圳)有限公司 | 一种密钥处理方法及装置 |
-
2017
- 2017-02-24 CN CN201710101692.2A patent/CN106971119A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101459661A (zh) * | 2007-12-14 | 2009-06-17 | 鸿富锦精密工业(深圳)有限公司 | 电子文档保护系统及方法 |
CN101872404A (zh) * | 2009-04-21 | 2010-10-27 | 普天信息技术研究院有限公司 | 一种保护Java软件程序的方法 |
CN101778381A (zh) * | 2009-12-31 | 2010-07-14 | 卓望数码技术(深圳)有限公司 | 数字证书生成方法、用户密钥获取方法、移动终端及设备 |
CN102855448A (zh) * | 2012-08-10 | 2013-01-02 | 深圳市黎明网络系统有限公司 | 一种字段级数据库加密装置 |
CN103684765A (zh) * | 2013-12-24 | 2014-03-26 | 歌尔声学股份有限公司 | 管理系统中加密、解密数据的方法及装置 |
CN104809365A (zh) * | 2014-01-27 | 2015-07-29 | 宇瞻科技股份有限公司 | 数字权管理系统、管理方法及其信息传送系统与方法 |
CN105653970A (zh) * | 2015-05-13 | 2016-06-08 | 宇龙计算机通信科技(深圳)有限公司 | 一种密钥处理方法及装置 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107743063A (zh) * | 2017-10-31 | 2018-02-27 | 北京小米移动软件有限公司 | 数据处理方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102402664B (zh) | 数据访问控制装置和数据访问控制方法 | |
CN110324143A (zh) | 数据传输方法、电子设备及存储介质 | |
CN108737374A (zh) | 一种区块链中数据存储的隐私保护方法 | |
CN106104562A (zh) | 机密数据安全储存和恢复系统及方法 | |
CN105100083B (zh) | 一种隐私保护且支持用户撤销的基于属性加密方法和系统 | |
CN109543434B (zh) | 区块链信息加密方法、解密方法、存储方法及装置 | |
CN103780393B (zh) | 一种面向多安全等级的虚拟桌面安全认证系统及方法 | |
CN106650482A (zh) | 电子文件加密解密方法、装置和系统 | |
CN103378971B (zh) | 一种数据加密系统及方法 | |
CN102567688B (zh) | 一种安卓操作系统上的文件保密系统及其保密方法 | |
CN110519046A (zh) | 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和系统 | |
CN107359998A (zh) | 一种便携式智能口令管理体制的建立与操作方法 | |
CN103095452A (zh) | 需要采用穷举法解密的随机加密方法 | |
CN103546421A (zh) | 基于pki技术的网络工作交流安全保密系统及其实现方法 | |
CN106452764A (zh) | 一种标识私钥自动更新的方法及密码系统 | |
CN106936579A (zh) | 基于可信第三方代理的云存储数据存储及读取方法 | |
CN103973698B (zh) | 一种云存储环境中的用户访问权限回收方法 | |
CN110138548A (zh) | 基于非对称密钥池对和dh协议的量子通信服务站密钥协商方法和系统 | |
CN109829333A (zh) | 一种基于OpenID的关键信息保护方法及系统 | |
CN103607273B (zh) | 一种基于时间期限控制的数据文件加解密方法 | |
CN110225014B (zh) | 基于指纹集中下发式的物联网设备身份认证方法 | |
CN100476844C (zh) | 电子钥匙与计算机之间实现绑定功能的方法 | |
CN107911221A (zh) | 固态盘数据安全存储的密钥管理方法 | |
Hu | Study of file encryption and decryption system using security key | |
CN106254341A (zh) | 针对集中式电子数据保全系统的数据指纹提取方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170721 |