CN108614972A - 一种数据库存储安全加密的方法 - Google Patents

一种数据库存储安全加密的方法 Download PDF

Info

Publication number
CN108614972A
CN108614972A CN201810438274.7A CN201810438274A CN108614972A CN 108614972 A CN108614972 A CN 108614972A CN 201810438274 A CN201810438274 A CN 201810438274A CN 108614972 A CN108614972 A CN 108614972A
Authority
CN
China
Prior art keywords
user
encryption
key
encrypted
encrypted object
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810438274.7A
Other languages
English (en)
Inventor
陈焕耀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Ice Sea Network Technology Co Ltd
Original Assignee
Guangzhou Ice Sea Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Ice Sea Network Technology Co Ltd filed Critical Guangzhou Ice Sea Network Technology Co Ltd
Priority to CN201810438274.7A priority Critical patent/CN108614972A/zh
Publication of CN108614972A publication Critical patent/CN108614972A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0478Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种数据库存储安全加密的方法,所采用的方法是:将加密算法的相关信息与加密对象相关联,由数据库管理员事先设定,密钥则与用户信息相关联,由用户事先设定,加密算法的相关信息与密钥分别存放,在需要对加密对象进行加解密时再将它们结合起来使用。由于本发明采用将加密算法的相关信息与密钥分别存放,在需要对加密对象进行加解密时再将它们结合起来使用,使得本发明既可实现对不同的加密对象采用不同的加密算法,使用起来非常灵活,不用改变已有的应用系统,移植性非常好,同时又能很好地保护用户私有的敏感数据,而且对加密对象的数据类型没有限制。

Description

一种数据库存储安全加密的方法
技术领域
本发明涉及数据库应用技术领域,尤其涉及一种数据库存储安全加密的方法。
背景技术
在政府、军队以及企业等数据库应用环境中,数据库中存放了大量敏感数据,这些数据一旦被敌手获取会造成灾难性的损失。为了保护这些敏感数据,各大安全数据库厂商都提供了存储加密方法,对敏感数据进行加密。当前所提供的加密方法可以分为透明加密和非透明加密两种。
透明加密指的是将加密算法的相关信息和密钥保存在数据库中,当用户对敏感数据进行操作时,由数据库管理系统自动完成加解密过程,该过程对用户不可见。透明加密能够在不改变上层应用系统的同时有效保护敏感数据在存储介质上的安全,且不限制加密对象的数据类型,但透明加密并不能阻止其它合法的数据库用户对这些敏感数据的访问。
非透明加密则是将密钥以及加密算法相关信息由用户保管,并对外提供专门的加解密接口,敏感数据的加解密过程由用户显式调用加解密接口完成。非透明加密能够有效保护用户私有的敏感数据,以这种方法加密后的数据只有拥有解密密钥的用户才能查看。不过非透明加密要求用户显式提供加密算法相关信息,操作较为繁琐,对已有的应用系统来说,移植也非常困难,而且非透明加密对加密对象的数据类型存在限制,一般只能是VARCHAR或VARBINARY类型。
发明内容
有鉴于此,有必要针对现有技术的缺点,提供一种数据库存储安全加密的方法。
为了实现上述目的,本发明解决其技术问题所采用的方法是:将加密算法的相关信息与加密对象相关联,由数据库管理员事先设定,密钥则与用户信息相关联,由用户事先设定,加密算法的相关信息与密钥分别存放,在需要对加密对象进行加解密时再将它们结合起来使用。
上述方法的具体步骤是:
第一步骤:由数据库管理员事先为加密对象设置加密算法的相关信息,并保存在与加密对象关联的元数据中,当用户对加密对象进行操作时,数据库管理系统自动查询元数据,获取加密对象上加密算法的相关信息;
第二步骤:将用户使用的加解密密钥交由用户自己管理,用户将密钥保存到与用户信息关联的元数据中,作为缺省的密钥,当用户登录到数据库中之后,系统自动将用户的缺省密钥设置到用户会话中,供数据库管理系统自动完成加解密操作;
第三步骤:当用户对加密对象进行操作时,自动调用第一步骤中应用在加密对象上的加密算法,并利用第二步骤中保存在用户会话中的密钥完成加解密操作;
上述第三步骤中还提供允许用户动态改变其会话密钥的接口。
由于本发明采用将加密算法的相关信息与密钥分别存放,在需要对加密对象进行加解密时再将它们结合起来使用,使得本发明既可实现对不同的加密对象采用不同的加密算法,使用起来非常灵活,不用改变已有的应用系统,移植性非常好,同时又能很好地保护用户私有的敏感数据,而且对加密对象的数据类型没有限制。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。
图1为本发明的系统框图。
图2为本发明实施例系统框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。
如图1、图2所示,本发明中将存储加密的要素分为加密算法的相关信息和密钥两部分分别管理,首先由用户在定义存储敏感数据的加密对象时,给出加密算法、工作模式、是否加盐、是否进行完整性检查等信息。而密钥由用户事先保存在用户元数据中或在会话过程中动态进行改变。本发明由于事先设定加密算法,使得可以不限制加密对象的数据类型。
本发明将密钥与用户及其建立的会话关联,加密算法的相关信息则与加密对象关联;在加解密的过程中不需要用户显式调用加解密接口。在定义用户时,可以设置用户的缺省密钥,在会话开始时,用户将密钥保存到会话中,数据库管理系统自动利用密钥对敏感数据进行加解密,且在交互的过程中用户能够调用系统接口更换该会话中保存的密钥。在定义加密对象时,可以设置加密算法相关信息,当用户访问该对象时,数据库管理系统自动利用对象的加密算法相关信息对敏感数据进行加解密,同时,当加密对象为列时,不限制其数据类型。
实施例:
①由用户1定义一个存放了敏感数据的表Table1,定义Table1时指定了加密表Table1中的数据所使用的加密算法;
②用户2登录到数据库中,利用自己的密钥在Table1上执行插入、查询等操作。在插入和查询的过程中由数据库管理系统自动调用Table1的加密算法并利用用户2的密钥完成加解密过程;
③当用户3登录到数据库中之后,想要查看用户2在表Table1中插入的数
据时,由于不知道用户2的解密密钥,系统无法对用户2插入的数据正确
解密,从而无法获取用户2的敏感数据。同样用户2在不知道用户3的解
密密钥时,也无法查看用户3在表Table1中存放的敏感数据。。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明一些示例性实施例,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (3)

1.一种数据库存储安全加密的方法,其特征在于,所采用的方法是:将加密算法的相关信息与加密对象相关联,由数据库管理员事先设定,密钥则与用户信息相关联,由用户事先设定,加密算法的相关信息与密钥分别存放,在需要对加密对象进行加解密时再将它们结合起来使用。
2.如权利要求1所述的数据库存储安全加密的方法,其特征在于,其具体步骤是:第一步骤:由数据库管理员事先为加密对象设置加密算法的相关信息,并保存在与加密对象关联的元数据中,当用户对加密对象进行操作时,数据库管理系统自动查询元数据,获取加密对象上加密算法的相关信息;第二步骤:将用户使用的加解密密钥交由用户自己管理,用户将密钥保存到与用户信息关联的元数据中,作为缺省的密钥,当用户登录到数据库中之后,系统自动将用户的缺省密钥设置到用户会话中,供数据库管理系统自动完成加解密操作;第三步骤:当用户对加密对象进行操作时自动调用第一步骤中应用在加密对象上的加密算法并利用第二步骤中保存在用户会话中的密钥完成加解密操作。
3.如权利要求2所述的数据库存储安全加密的方法,其特征在于,第三步骤中还提供允许用户动态改变其会话密钥的接口。
CN201810438274.7A 2018-05-09 2018-05-09 一种数据库存储安全加密的方法 Pending CN108614972A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810438274.7A CN108614972A (zh) 2018-05-09 2018-05-09 一种数据库存储安全加密的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810438274.7A CN108614972A (zh) 2018-05-09 2018-05-09 一种数据库存储安全加密的方法

Publications (1)

Publication Number Publication Date
CN108614972A true CN108614972A (zh) 2018-10-02

Family

ID=63662482

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810438274.7A Pending CN108614972A (zh) 2018-05-09 2018-05-09 一种数据库存储安全加密的方法

Country Status (1)

Country Link
CN (1) CN108614972A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110535870A (zh) * 2019-09-06 2019-12-03 李炳勇 一种传感器数据加密方法及系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101183419A (zh) * 2007-12-07 2008-05-21 武汉达梦数据库有限公司 基于会话的数据库存储加密方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101183419A (zh) * 2007-12-07 2008-05-21 武汉达梦数据库有限公司 基于会话的数据库存储加密方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110535870A (zh) * 2019-09-06 2019-12-03 李炳勇 一种传感器数据加密方法及系统
CN110535870B (zh) * 2019-09-06 2021-09-28 青岛明华电子仪器有限公司 一种传感器数据加密方法及系统

Similar Documents

Publication Publication Date Title
Wu et al. A user sensitive subject protection approach for book search service
CN101183419A (zh) 基于会话的数据库存储加密方法
US5414852A (en) Method for protecting data in a computer system
CN107292183A (zh) 一种数据处理方法及设备
WO2012063546A1 (ja) 匿名化装置及び匿名化方法
CN106302449A (zh) 一种密文存储与密文检索开放云服务方法和系统
EP1757006A2 (en) Structure preserving database encryption method and system
CN106022155A (zh) 用于数据库安全管理的方法及服务器
EP1496427A3 (en) Data processing method with restricted data arrangement, storage area management method, and data processing system
CN101349998A (zh) Usb存储设备
CN111132172A (zh) 一种基于区块链防止电信诈骗的方法、设备及介质
CN104268469A (zh) 一种移动终端及其信息安全保护方法和装置
CN107864157A (zh) 基于权属的数据加密保护和权属授权解密应用方法及系统
US20190251280A1 (en) System and method for a secured cloud file system
FR2828607A1 (fr) Procede de securisation de bases de donnees
CN112651039A (zh) 一种融合业务场景的电力数据差异化脱敏方法及装置
CN105868625A (zh) 一种拦截文件被重启删除的方法及装置
CN108614972A (zh) 一种数据库存储安全加密的方法
CN101382919A (zh) 一种基于身份的存储数据隔离方法
Badertscher et al. Composable and robust outsourced storage
CN110516469B (zh) 一种基于区块链的共享大数据应用场景中的防黑客方法
CN111008386A (zh) 一种基于区块链管理户籍的方法、设备及介质
CN112115448B (zh) 一种用于智能加密防止文档丢失的管理系统
CN109598137A (zh) 一种用于安全处理数据的方法及其系统
Srinivasan et al. FROST: Anti-Forensics Digital-Dead-DROp Information Hiding RobuST to Detection & Data Loss with Fault tolerance

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20181002

WD01 Invention patent application deemed withdrawn after publication