CN106971119A - 可信身份的数据库关键数据安全读写认证方法 - Google Patents

可信身份的数据库关键数据安全读写认证方法 Download PDF

Info

Publication number
CN106971119A
CN106971119A CN201710101692.2A CN201710101692A CN106971119A CN 106971119 A CN106971119 A CN 106971119A CN 201710101692 A CN201710101692 A CN 201710101692A CN 106971119 A CN106971119 A CN 106971119A
Authority
CN
China
Prior art keywords
data
user
key
server
write
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710101692.2A
Other languages
English (en)
Inventor
椤惧郴
顾峻
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Source For A Long Time Mdt Infotech Ltd
Original Assignee
Jiangsu Source For A Long Time Mdt Infotech Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Source For A Long Time Mdt Infotech Ltd filed Critical Jiangsu Source For A Long Time Mdt Infotech Ltd
Priority to CN201710101692.2A priority Critical patent/CN106971119A/zh
Publication of CN106971119A publication Critical patent/CN106971119A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提出了一种可信身份的数据库关键数据安全读写认证的方法,利用了服务器公私钥对进行互联网的关键数据的传输,通过对用户可信身份的识别认证,实现了数据库中关键数据的加密、解密和安全传输的过程,此方式多重保护了用户对数据库中的关键数据的存取,防止了别有用心之人窃取并篡改数据库中的机密信息,此发明的方法实施方便,过程简洁明了,操作简单,适宜推广使用。

Description

可信身份的数据库关键数据安全读写认证方法
技术领域
本发明涉及信息安全技术领域,特别是可信身份的数据库关键数据读取认证,采用国密对称加密算法目前为SM4.。
背景技术
在大数据环境下,安全是一个容易被忽略的特性。特别是数据库安全对许多企业来说是非常重要的,甚至关系到一个企业的生存和发展。因而企业常常采取一定的措施:如采取数据库备份、防火墙等来保护系统的安全,但是这些传统的安全保护措施具有一定的局限性和不足。在绝大多数信息系统中,没有加密的数据库就如同没有上锁的文件柜,对别有用心的人而言,剽窃、篡改易如反掌。因此,如何有效地保证数据库系统的安全,实现数据的保密性、完整性和有效性,数据库的安全管理日益成为人们关注的焦点之一。解决这一问题的关键是要对数据库中的数据本身进行加密,即使数据不幸泄露或丢失,也难以被人破译。目前对数据库的管理系统本身进行加密操作是不现实的,这属于核心层加密,如果没有数据库开发商的配合,其实现难度相对较大。
发明内容
本发明所要解决的技术问题是规避目前数据库整体加密导致的效率降低,克服现有技术的缺陷,但针对核心数据的提取和保存,提供一种可信身份的数据库关键数据安全读写认证方法。
为解决上述技术问题,本发明提供一种可信身份的数据库关键数据安全读写认证方法,其特征是,
应用服务器调用密码机通过国密对称算法生成密钥d并通过非对称算法生成服务器密钥对(b,r),服务器公钥b对通过国密对称算法生成的密钥d加密,加密后的密钥d1存放于应用服务器内存中的某个固定处隐藏;
用户向数据库服务器写入数据或者从数据库服务器读取数据时,首先对用户进行可信身份的验证,验证通过为可信身份时才允许用户写入或读取数据;
用户写入数据时,用户向Web页面输入用户信息并写入数据,Web页面发送写入数据请求到应用服务器,应用服务器接受用户的数据并且验证用户的个人数字证书可信后,由服务器私钥r对加密的密钥d1解密,利用解密后的密钥d将用户写入的数据加密,再将加密后的数据写入数据库服务器中;
用户读取数据时,用户发送读取数据的请求到Web页面,Web页面发送用户读取数据的请求给应用服务器,应用服务器接受用户的读取数据请求并且验证用户的个人数字证书可信后,应用服务器发送用户请求到数据库服务器,数据库服务器将用户请求读取的数据返回给应用服务器,应用服务器利用服务器私钥r对加密的密钥d1解密,利用解密后的密钥d将用户需要的数据通过国密对称算法进行解密,解密后的数据返回至Web页面并显示给用户。
对用户写入的数据加密或读取的数据解密完成以后,在应用服务器内存中消除本次服务器私钥r解密出来的密钥d,而通过服务器公钥b加密后的密钥d1仍存放于应用服务器内存中的某个固定处隐藏,下次使用时再直接调用。
用户可信身份认证的步骤为:
用户首先插入个人数字证书usbkey并输入PIN码,Web页面对由服务器生成的随机数进行签名,并发送签名值到应用服务器,应用服务器验证签名值,读取用户个人数字证书信息,验证用户是否是可信身份及是否具备数据库服务器读取权限,验证结束后返回验证结果到Web页面来确定用户是否为可信身份。
用户的数据写入数据库服务器中后,应用服务器返回用户请求写入数据成功与否的结果至Web页面并显示给用户。
数据库服务器中存储的需要保密的数据包括结构化数据的核心字段和非结构化数据集。
写入数据库服务器中的加密数据是以国密对称算法进行加密的。
在加密前对数据库服务器中需要保密的数据建立1-20个关键索引字,通过关键索引字建立快速索引。
本发明所达到的有益效果:
本发明提出了一种可信身份的数据库关键数据安全读取认证的方法,其中数据库的关键数据包括结构化数据的核心字段(需要保密的字段内容)和非结构化数据集(文档等数据),是一种基于可信身份的关键数据的读取识别方法,并且利用了服务器公私钥对进行互联网的关键数据的传输,通过对用户可信身份的识别认证,实现了数据库中关键数据的加密、解密和安全传输的过程,此方式多重保护了用户对数据库中的关键数据的存取,防止了别有用心之人窃取并篡改数据库中的机密信息,此发明的方法实施方便,过程简洁明了,操作简单,适宜推广使用。
附图说明
图1是用户可信身份认证的流程图;
图2是用户写入数据加密方法的流程图;
图3是用户读取数据库数据的方法流程图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
本发明的方法主要包括用户可信身份认证的步骤、用户写入数据加密的步骤和用户读取数据库数据的步骤。
用户可信身份认证的步骤为:
用户写入数据或者读取数据时,都需要对用户进行可信身份的验证,如图1所示,用户首先插入个人数字证书usbkey并输入PIN码,Web页面对由服务器生成的随机数进行签名,并发送签名值到应用服务器,应用服务器验证签名值,读取用户个人数字证书信息,验证用户是否是可信身份及是否具备数据库服务器读取权限,验证结束后返回验证结果到Web页面来确定用户是否为可信身份,为可信身份时才允许用户写入或读取数据。
用户写入数据加密的步骤为:
用户写入数据前,应用服务器调用密码机通过国密对称算法生成密钥d和通过非对称算法生成服务器密钥对(b,r),服务器公钥b对通过国密对称算法生成的密钥d加密,加密后的密钥d1存放于应用服务器内存中的某个固定处隐藏;
写入数据时,用户向Web页面输入用户信息并写入数据,Web页面发送写入数据请求到应用服务器,应用服务器接受用户的数据并且验证用户的个人数字证书是否可信,不可信则直接拒绝。如可信则由服务器私钥r对加密的密钥d1解密,解密后的密钥d将用户写入的数据加密,而后将加密后的数据写入数据库服务器中并存放于对应字段。最后应用服务器返回用户请求写入数据成功与否的结果至Web页面并显示给用户,如图2所示。
数据库服务器中需要保密的关键数据包括结构化数据的核心字段(需要保密的字段内容)和非结构化数据集(文档等数据),需要保密的关键数据内容(结构与非结构)以国密对称算法进行加密。
需要保密的关键数据(结构或非结构)在加密前为了检索方便,可设置建立1-20个关键索引字,以便建立快速索引。
用户读取数据库数据的步骤为:
数据读取前,应用服务器调用密码机通过国密对称算法生成密钥d和通过非对称算法生成服务器密钥对(b,r),服务器公钥b对通过国密对称算法生成的密钥d加密,加密后的密钥d1存放于应用服务器内存中的某个固定处隐藏;
用户读取数据时发送读取数据的请求到Web页面,Web页面发送用户读取数据的请求给应用服务器,应用服务器接受用户的读取数据请求并且验证用户的个人数字证书是否可信,不可信则直接拒绝。如可信则应用服务器发送用户请求到数据库服务器,数据库服务器将用户请求读取的数据返回给应用服务器,应用服务器中服务器私钥r对加密的密钥d1解密,解密后的密钥d将用户需要的数据通过国密对称算法进行解密,解密后的数据返回至Web页面并显示给用户,如图3所示。
数据加解密完则在应用服务器内存中消除服务器私钥r解密出来的密钥d,而通过服务器公钥b加密后的密钥d1则仍存放于应用服务器内存中的某个固定处隐藏,下次使用时再直接调用。

Claims (7)

1.一种可信身份的数据库关键数据安全读写认证方法,其特征是,
应用服务器调用密码机通过国密对称算法生成密钥d并通过非对称算法生成服务器密钥对(b,r),服务器公钥b对通过国密对称算法生成的密钥d加密,加密后的密钥d1存放于应用服务器内存中的某个固定处隐藏;
用户向数据库服务器写入数据或者从数据库服务器读取数据时,首先对用户进行可信身份的验证,验证通过为可信身份时才允许用户写入或读取数据;
用户写入数据时,用户向Web页面输入用户信息并写入数据,Web页面发送写入数据请求到应用服务器,应用服务器接受用户的数据并且验证用户的个人数字证书可信后,由服务器私钥r对加密的密钥d1解密,利用解密后的密钥d将用户写入的数据加密,再将加密后的数据写入数据库服务器中;
用户读取数据时,用户发送读取数据的请求到Web页面,Web页面发送用户读取数据的请求给应用服务器,应用服务器接受用户的读取数据请求并且验证用户的个人数字证书可信后,应用服务器发送用户请求到数据库服务器,数据库服务器将用户请求读取的数据返回给应用服务器,应用服务器利用服务器私钥r对加密的密钥d1解密,利用解密后的密钥d将用户需要的数据通过国密对称算法进行解密,解密后的数据返回至Web页面并显示给用户。
2.根据权利要求1所述的可信身份的数据库关键数据安全读写认证方法,其特征是,
对用户写入的数据加密或读取的数据解密完成以后,在应用服务器内存中消除本次服务器私钥r解密出来的密钥d,而通过服务器公钥b加密后的密钥d1仍存放于应用服务器内存中的某个固定处隐藏,下次使用时再直接调用。
3.根据权利要求1所述的可信身份的数据库关键数据安全读写认证方法,其特征是,用户可信身份认证的步骤为:
用户首先插入个人数字证书usbkey并输入PIN码,Web页面对由服务器生成的随机数进行签名,并发送签名值到应用服务器,应用服务器验证签名值,读取用户个人数字证书信息,验证用户是否是可信身份及是否具备数据库服务器读取权限,验证结束后返回验证结果到Web页面来确定用户是否为可信身份。
4.根据权利要求1所述的可信身份的数据库关键数据安全读写认证方法,其特征是,用户的数据写入数据库服务器中后,应用服务器返回用户请求写入数据成功与否的结果至Web页面并显示给用户。
5.根据权利要求1所述的可信身份的数据库关键数据安全读写认证方法,其特征是,数据库服务器中存储的需要保密的数据包括结构化数据的核心字段和非结构化数据集。
6.根据权利要求1所述的可信身份的数据库关键数据安全读写认证方法,其特征是,写入数据库服务器中的加密数据是以国密对称算法进行加密的。
7.根据权利要求1所述的可信身份的数据库关键数据安全读写认证方法,其特征是,在加密前对数据库服务器中需要保密的数据建立1-20个关键索引字,通过关键索引字建立快速索引。
CN201710101692.2A 2017-02-24 2017-02-24 可信身份的数据库关键数据安全读写认证方法 Pending CN106971119A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710101692.2A CN106971119A (zh) 2017-02-24 2017-02-24 可信身份的数据库关键数据安全读写认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710101692.2A CN106971119A (zh) 2017-02-24 2017-02-24 可信身份的数据库关键数据安全读写认证方法

Publications (1)

Publication Number Publication Date
CN106971119A true CN106971119A (zh) 2017-07-21

Family

ID=59328292

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710101692.2A Pending CN106971119A (zh) 2017-02-24 2017-02-24 可信身份的数据库关键数据安全读写认证方法

Country Status (1)

Country Link
CN (1) CN106971119A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107743063A (zh) * 2017-10-31 2018-02-27 北京小米移动软件有限公司 数据处理方法及装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101459661A (zh) * 2007-12-14 2009-06-17 鸿富锦精密工业(深圳)有限公司 电子文档保护系统及方法
CN101778381A (zh) * 2009-12-31 2010-07-14 卓望数码技术(深圳)有限公司 数字证书生成方法、用户密钥获取方法、移动终端及设备
CN101872404A (zh) * 2009-04-21 2010-10-27 普天信息技术研究院有限公司 一种保护Java软件程序的方法
CN102855448A (zh) * 2012-08-10 2013-01-02 深圳市黎明网络系统有限公司 一种字段级数据库加密装置
CN103684765A (zh) * 2013-12-24 2014-03-26 歌尔声学股份有限公司 管理系统中加密、解密数据的方法及装置
CN104809365A (zh) * 2014-01-27 2015-07-29 宇瞻科技股份有限公司 数字权管理系统、管理方法及其信息传送系统与方法
CN105653970A (zh) * 2015-05-13 2016-06-08 宇龙计算机通信科技(深圳)有限公司 一种密钥处理方法及装置

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101459661A (zh) * 2007-12-14 2009-06-17 鸿富锦精密工业(深圳)有限公司 电子文档保护系统及方法
CN101872404A (zh) * 2009-04-21 2010-10-27 普天信息技术研究院有限公司 一种保护Java软件程序的方法
CN101778381A (zh) * 2009-12-31 2010-07-14 卓望数码技术(深圳)有限公司 数字证书生成方法、用户密钥获取方法、移动终端及设备
CN102855448A (zh) * 2012-08-10 2013-01-02 深圳市黎明网络系统有限公司 一种字段级数据库加密装置
CN103684765A (zh) * 2013-12-24 2014-03-26 歌尔声学股份有限公司 管理系统中加密、解密数据的方法及装置
CN104809365A (zh) * 2014-01-27 2015-07-29 宇瞻科技股份有限公司 数字权管理系统、管理方法及其信息传送系统与方法
CN105653970A (zh) * 2015-05-13 2016-06-08 宇龙计算机通信科技(深圳)有限公司 一种密钥处理方法及装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107743063A (zh) * 2017-10-31 2018-02-27 北京小米移动软件有限公司 数据处理方法及装置

Similar Documents

Publication Publication Date Title
CN102402664B (zh) 数据访问控制装置和数据访问控制方法
CN110324143A (zh) 数据传输方法、电子设备及存储介质
CN108737374A (zh) 一种区块链中数据存储的隐私保护方法
CN106104562A (zh) 机密数据安全储存和恢复系统及方法
CN105100083B (zh) 一种隐私保护且支持用户撤销的基于属性加密方法和系统
CN109543434B (zh) 区块链信息加密方法、解密方法、存储方法及装置
CN103780393B (zh) 一种面向多安全等级的虚拟桌面安全认证系统及方法
CN106650482A (zh) 电子文件加密解密方法、装置和系统
CN103378971B (zh) 一种数据加密系统及方法
CN102567688B (zh) 一种安卓操作系统上的文件保密系统及其保密方法
CN110519046A (zh) 基于一次性非对称密钥对和qkd的量子通信服务站密钥协商方法和系统
CN107359998A (zh) 一种便携式智能口令管理体制的建立与操作方法
CN103095452A (zh) 需要采用穷举法解密的随机加密方法
CN103546421A (zh) 基于pki技术的网络工作交流安全保密系统及其实现方法
CN106452764A (zh) 一种标识私钥自动更新的方法及密码系统
CN106936579A (zh) 基于可信第三方代理的云存储数据存储及读取方法
CN103973698B (zh) 一种云存储环境中的用户访问权限回收方法
CN110138548A (zh) 基于非对称密钥池对和dh协议的量子通信服务站密钥协商方法和系统
CN109829333A (zh) 一种基于OpenID的关键信息保护方法及系统
CN103607273B (zh) 一种基于时间期限控制的数据文件加解密方法
CN110225014B (zh) 基于指纹集中下发式的物联网设备身份认证方法
CN100476844C (zh) 电子钥匙与计算机之间实现绑定功能的方法
CN107911221A (zh) 固态盘数据安全存储的密钥管理方法
Hu Study of file encryption and decryption system using security key
CN106254341A (zh) 针对集中式电子数据保全系统的数据指纹提取方法及系统

Legal Events

Date Code Title Description
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20170721