CN110489996A - 一种数据库数据安全管理方法及系统 - Google Patents
一种数据库数据安全管理方法及系统 Download PDFInfo
- Publication number
- CN110489996A CN110489996A CN201910701687.4A CN201910701687A CN110489996A CN 110489996 A CN110489996 A CN 110489996A CN 201910701687 A CN201910701687 A CN 201910701687A CN 110489996 A CN110489996 A CN 110489996A
- Authority
- CN
- China
- Prior art keywords
- database
- key
- data
- management system
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及信息安全技术领域,公开了一种数据库数据安全管理方法,包括:接收客户端发送的数据库访问请求,对所述数据库访问请求进行合法性验证,验证通过时,将所述数据库访问请求发送至密钥管理系统;接收所述密钥管理系统响应于所述数据库访问请求返回的授权信息,根据所述授权信息获取数据密钥,利用所述数据密钥对数据库文件进行透明加密和/或解密操作。本发明从系统文件层面利用数据密钥进行透明加解密操作,可以保证加解密数据的快捷性;并且通过秘钥管理系统控制数据密钥的权限,实现了在保证加解密数据快捷性的情况下,兼顾了安全性。本发明还公开了一种数据库数据安全管理系统。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种数据库数据安全管理方法及系统。
背景技术
随着网络的普及与发展,基于数据库技术的网上应用越来越多为客户提供服务。数据库技术在给用户带来便捷应用的同时也带来了许多问题,其中数据库信息安全问题尤其突出。数据库管理员可以采取一些预防措施来帮助保护数据库的安全,如设计一个安全系统、加密网络传输以及在数据库服务器的周围构建防火墙,但是如果遇到介质(如驱动器或备份)被盗或高权限数据库用户恶意绕开合法业务访问核心数据的情况,恶意破坏方只需还原或附加数据库即可浏览数据库的数据信息,现有的方法无法有效保证数据库数据的安全。
发明内容
本发明所要解决的技术问题是针对现有技术存在的问题,提供一种数据库数据安全管理方法及系统。
为解决上述技术问题,本发明实施例提供一种数据库数据安全管理方法,包括:
接收客户端发送的数据库访问请求,对所述数据库访问请求进行合法性验证,验证通过时,将所述数据库访问请求发送至密钥管理系统;
接收所述密钥管理系统响应于所述数据库访问请求返回的授权信息,根据所述授权信息获取数据密钥,利用所述数据密钥对数据库文件进行透明加密和/或解密操作;
其中,所述授权信息为密钥管理系统对所述数据库访问请求进行鉴权,鉴权通过时,生成的包含数据密钥的授权信息。
为解决上述技术问题,本发明实施例还提供一种数据库数据安全管理系统,包括数据库服务端和密钥管理系统;
所述数据库服务端包括合法性验证模块和透明加解密模块;
所述合法性验证模块,用于接收客户端发送的数据库访问请求,对所述数据库访问请求进行合法性验证,验证通过时,将所述数据库访问请求发送至密钥管理系统;
所述透明加解密模块,用于接收所述密钥管理系统响应于所述数据库访问请求返回的授权信息,根据所述授权信息获取数据密钥,利用所述数据密钥对数据库文件进行透明加密和/或解密操作;
其中,所述授权信息为密钥管理系统对所述数据库访问请求进行鉴权,鉴权通过时,生成的包含数据密钥的授权信息。
本发明的有益效果是:每个数据库文件通过数据密钥进透明加解密,且通过密钥管理系统对数据密钥进行统一管理;在访问已加密数据库文件时,首先要符合数据库权限,在符合数据库权限的情况下,再获取对应的数据密钥,获取对应的数据密钥需要符合密钥调用权限,在符合密钥调用权限的情况下,利用获取的数据密钥对数据库文件进行相应的操作。数据库透明加密是基于文件级的透明加解密,其透明加密自身较少的参与数据库自身技术逻辑,仅对数据库的信息存储的载体(存储文件),从系统文件层面进行透明的加密和解密操作,对数据库外部应用透明使用,这样可以保证加解密数据的快捷性;而要对数据库文件进行透明加解密,则需要对应的数据密钥,本发明通过控制数据密钥的权限,只有访问请求通过数据库和密钥管理系统的的双层验证,才能获得对应的数据密钥,进而对数据库文件进行相应操作,从而降低了数据库管理员权限过高造成的泄密风险,在保证加解密数据快捷性的情况下,兼顾了安全性。
附图说明
图1为本发明实施例提供的数据库数据安全管理方法的流程图;
图2为本发明实施例提供的数据库数据安全管理系统结构框图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
图1为本发明实施例提供的数据库数据安全管理方法的示意性流程图。如图1所示,该方法包括:
S1,接收客户端发送的数据库访问请求,对所述数据库访问请求进行合法性验证,验证通过时,将所述数据库访问请求发送至密钥管理系统;
S2,接收所述密钥管理系统响应于所述数据库访问请求返回的授权信息,根据所述授权信息获取数据密钥,利用所述数据密钥对数据库文件进行透明加密和/或解密操作;
其中,所述授权信息为密钥管理系统对所述数据库访问请求进行鉴权,鉴权通过时,生成的包含数据密钥的授权信息。
上述实施例中,S1如果满足数据库自身权限,则将数据库访问请求发送到秘钥管理系统;如果不满足数据库自身的权限,直接返回数据库错误信息;S2是判断第三方授权,即秘钥管理系统对访问及操作的授权,如满足第三方权限,则获取数据密钥,将数据密钥传输给数据库;如果不满足,返回错误信息,数据库获取后返回错误信息。数据库获取密钥后,能够根据权限及操作找到数据库缓存,做完操作后会将缓存对存储落盘的数据进行透明加密或者解密操作;具体可以为在数据读取到缓存时,使用数据秘钥透明解密密文数据,在缓存数据落盘时,使用数据秘钥透明加密密文数据。
需要说明的是,当前数据库数据存储安全存在多种问题:1.存储层的明文泄露:数据的私密性没有保障。文件采用明文方式存储在存储介质上,存储介质的运输、返厂维修、废弃、丢失、失窃、或使用第三方灾备服务商代理数据备份业务等过程,都会有数据泄露的风险。2.内部高权限人员泄密:运维管理员或开发人员往往具有最高权限,可不受控制的访问数据库上的所有数据,一旦内部高权限主动泄密,损失将不可估量。3.外部黑客窃取:防不胜防的黑客攻击手段,普通的黑客从进入到退出一次数据攻击只需用不到10秒钟时间就可完成。4.数据处理影响:普通数据模糊处理,对数据库数据检索、模糊查询、数据恢复等具有致命影响,同时掌握一定规律即可破解。5.密码算法支持:主流数据库厂商使用的加密算法不支持国密算法。6.数据密钥安全:传统数据加密会带来密钥管理的任务,如果密钥泄漏,则会导致数据泄漏;如果密钥丢失,则会导致数据永远不会再被解密。
传统的数据库透明加密一般为在数据库与应用间增加一道安全代理服务,对数据库访问的应用或用户都必须经过该安全代理服务,在此服务中实现如数据加解密、存取控制等安全策略。安全中间件透明加密代理服务通过数据库的访问接口实现数据存储。安全中间件透明加密代理服务存在于客户端应用与数据库存储引擎之间,负责完成数据的加解密工作,加密数据存储在安全代理服务中。
由于数据库在业务中需要执行大量的查询操作,这要求数据库在加密或者解密数据时既要保证系统的安全性同时要保证对加密解密数据的快捷性,但目前已知的数据加解密算法数学特性不能同时满足安全性与易用性的要求,表现为如下不足:由于在安全增强代理中需要存储加密数据,因此要解决与数据库存储数据的一致性问题,这基本不可实现。数据的联合检索问题:由于在数据库内外都存在数据,这些数据的联合检索将变得很困难;SQL语法的完全兼容也非常困难。数据库的优化处理、事务处理、并发处理等特性都无法使用:查询分析、优化处理、事务处理、并发处理工作都需要在安全增强器中完成,无法使用数据库在并发处理和查询优化上的优势,系统的性能和稳定性更多地依赖于安全代理;对存储过程、触发器、函数等存储程序的实现支持也非常困难。
而本发明上述实施例中,实现了数据库透明加密和解密功能。数据库用户只需要声明需要加密哪个表,当用户插入数据的时候,数据库透明加密数据,然后存储加密后的数据;当用户读取数据时,数据库自动进行解密。加解密操作对应用程序来说都是透明的,数据库表加密和解密没有任何额外的编码及数据类型或模式修改。
每个数据库文件通过数据密钥进透明加解密,且通过密钥管理系统对数据密钥进行统一管理;在访问已加密数据库文件时,首先要符合数据库权限,在符合数据库权限的情况下,再获取对应的数据密钥,获取对应的数据密钥需要符合密钥调用权限,在符合密钥调用权限的情况下,利用获取的数据密钥对数据库文件进行相应的操作。数据库透明加密是基于文件级的透明加解密,其透明加密自身较少的参与数据库自身技术逻辑,仅对数据库的信息存储的载体(存储文件),从系统文件层面进行透明的加密和解密操作,对数据库外部应用透明使用,这样可以保证对加解密数据的快捷性;而要对数据库文件进行透明加解密,则需要对应的数据密钥,本发明通过控制数据密钥的权限,只有访问请求通过数据库和密钥管理系统的的双层验证,才能获得对应的数据密钥,进而对数据库文件进行相应操作,从而降低了数据库管理员权限过高造成的泄密风险,在保证加解密数据快捷性的情况下,兼顾了安全性。
可选地,对所述数据库访问请求进行合法性验证,验证通过时,将所述数据库访问请求发送至密钥管理系统,包括:
获取所述数据库访问请求中的访问会话信息,根据所述访问会话信息判断所述会话连接的合法性,验证通过时,则获取所述数据库访问请求中的数据库操作信息,验证通过时,将所述访问会话信息和所述数据库操作信息发送至密钥管理系统。
所述密钥管理系统对所述数据库访问请求进行鉴权,鉴权通过时,生成包含数据密钥的授权信息,包括:
密钥管理系统鉴权所述数据库访问请求中的访问会话信息和数据库操作信息,鉴权通过,则调用主密钥解密与所述数据库操作信息对应的数据密钥,将所述数据库操作信息和所述数据密钥作为授权信息返回给数据库服务端。
上述实施例中,该数据库透明加密技术通过在操作系统中植入具有一定入侵性的进程,使得数据库在打开数据存储文件的时候进行透明解密操作,在数据库数据存储的时候执行透明加密操作。具备基础透明加密与解密能力的同时,能够获取数据库的访问会话信息及数据库操作信息。根据数据库操作信息获取对应的数据密钥,根据访问会话信息与密钥管理系统密钥授权信息判断密钥权限,最终完成数据库透明加密操作及第三方的密钥管理。
该专利使用双层密钥机制,分为主密钥及数据密钥。主密钥是密钥管理系统中可信跟密钥,存储在密钥管理系统中的硬件密码设备中。数据密钥为数据库文件加密密钥,存储在密钥管理系统受主密钥加密保护,密钥管理系统对数据密钥进行管理及授权。
可选地,所述密钥管理系统鉴权所述数据库访问请求中的访问会话信息和数据库操作信息,包括:
根据所述数据库操作信息获取对应的数据密钥,根据所述访问会话信息与所述密钥管理系统预存的密钥授权信息确定所述数据密钥的权限;当所述数据密钥的权限与所述数据库操作信息对应的操作匹配时,则鉴权通过。
可选地,所述根据所述数据库操作信息获取对应的数据密钥,包括:
根据所述数据库操作信息获取待操作的数据库文件信息,根据所述待操作文件信息获取对应的数据密钥;其中,所述待操作的数据库文件的文件标题中存储所述数据密钥的唯一标识。
该实施例中,加密文件的文件标题中存储数据密钥的唯一标识,通过该唯一标识调用密钥管理系统可使用该数据密钥进行密码操作。
可选地,所述利用所述数据密钥对数据库文件进行透明加密和/或解密操作,包括:
当数据库缓存中不存在待操作的数据库数据时,利用所述数据密钥对待操作的数据库文件进行相应的透明加密或解密操作,获取所述待操作的数据库数据到数据库缓存中;根据所述数据库操作信息对所述数据库数据进行相应的数据操作。
上述各实施例的技术方案,可以使用SM4算法作为加密与解密算法,软算法使用符合CPU算法加速的指令,同时可配置为使用标准国密密码卡芯片进行硬件计算。
上文结合图1,详细描述了根据本发明实施例提供的数据库数据安全管理方法。下面结合图2,详细描述本发明实施例提供的数据库数据安全管理系统。
如图2所示,一种数据库数据安全管理系统,包括数据库服务端和密钥管理系统;所述数据库服务端包括合法性验证模块和透明加解密模块;所述合法性验证模块,用于接收客户端发送的数据库访问请求,对所述数据库访问请求进行合法性验证,验证通过时,将所述数据库访问请求发送至密钥管理系统;所述透明加解密模块,用于接收所述密钥管理系统响应于所述数据库访问请求返回的授权信息,根据所述授权信息获取数据密钥,利用所述数据密钥对数据库文件进行透明加密和/或解密操作;其中,所述授权信息为密钥管理系统对所述数据库访问请求进行鉴权,验证通过时,生成的包含数据密钥的授权信息。
上述实施例中,每个数据库文件通过数据密钥进透明加解密,且通过密钥管理系统对数据密钥进行统一管理;在访问已加密数据库文件时,首先要符合数据库权限,在符合数据库权限的情况下,再获取对应的数据密钥,获取对应的数据密钥需要符合密钥调用权限,在符合密钥调用权限的情况下,利用获取的数据密钥对数据库文件进行相应的操作。数据库透明加密是基于文件级的透明加解密,其透明加密自身较少的参与数据库自身技术逻辑,仅对数据库的信息存储的载体(存储文件),从系统文件层面进行透明的加密和解密操作,对数据库外部应用透明使用,这样可以保证对加解密数据的快捷性;而要对数据库文件进行透明加解密,则需要对应的数据密钥,本发明通过控制数据密钥的权限,只有访问请求通过数据库和密钥管理系统的的双层验证,才能获得对应的数据密钥,进而对数据库文件进行相应操作,从而降低了数据库管理员权限过高造成的泄密风险,在保证加解密数据快捷性的情况下,兼顾了安全性。
可选地,所述合法性验证模块包括数据库会话模块和数据库操作模块,所述数据库会话模块,用于获取所述数据库访问请求中的访问会话信息,根据所述访问会话信息判断所述会话连接的合法性,验证通过时,则调用所述数据库操作模块;所述数据库操作模块,用于获取所述数据库访问请求中的数据库操作信息,验证通过时,将所述访问会话信息和所述数据库操作信息发送至密钥管理系统。
可选地,所述密钥管理系统包括密钥管理模块和授权模块;
所述密钥管理模块,用于存储主密钥和经主密钥加密的数据密钥;
授权模块,用于鉴权所述数据库访问请求中的访问会话信息和数据库操作信息的合法性,鉴权通过,则调用主密钥解密与所述数据库操作信息对应的数据密钥,将所述数据库操作信息和所述数据密钥作为授权信息返回给数据库服务端。
可选地,所述密钥管理系统鉴权所述数据库访问请求中的访问会话信息和数据库操作信息,包括:
根据所述数据库操作信息获取对应的数据密钥,根据所述访问会话信息与所述密钥管理系统预存的密钥授权信息确定所述数据密钥的权限;当所述数据密钥的权限与所述数据库操作信息对应的操作匹配时,则验证通过。
可选地,所述根据所述数据库操作信息获取对应的数据密钥,包括:根据所述数据库操作信息获取待操作的数据库文件信息,根据所述待操作文件信息获取对应的数据密钥;其中,所述待操作的数据库文件的文件标题中存储所述数据密钥的唯一标识。
可选地,数据库服务端还包括数据库缓存模块,所述利用所述数据密钥对数据库文件进行透明加密和/或解密操作,包括:当数据库缓存模块中不存在待操作的数据库数据时,利用所述数据密钥对待操作的数据库文件进行相应的透明加密或解密操作,获取所述待操作的数据库数据到数据库缓存模块中;根据所述数据库操作信息对所述数据库数据进行相应的数据操作。
上述实施例中数据库数据安全管理系统的数据处理流程如下。
数据库用户对数据库进行加密声明,密钥管理系统生成密钥,获取密钥唯一标识及获取密钥,对声明的敏感数据表进行文件透明加密处理,密钥唯一标识存储于加密文件中。
密钥管理系统管理服务对加密的表进行访问授权,授权数据库用户、访问IP、日期、时间及操作对应的增、删、改、查权限。
数据库客户端进行数据库连接访问,保持会话后进行数据库插入、查询、更新、删除等操作。
数据库服务在会话模块获取客户端的访问会话信息,并判断连接是否合法。
数据库服务在操作模块获取数据库操作信息,并判断操作是否合法。
数据库服务启用数据库透明加密后,将数据库客户端会话连接信息及数据库操作信息发送给密钥管理系统。
密钥管理系统获取数据库客户端的访问会话信息后,将所述访问会话信息和数据库操作信息与已设置的授权信息比对,符合授权,调用主密钥解密与数据库操作信息对应的数据密钥,将数据库操作信息和数据密钥发送到数据库服务端。
数据库服务获取数据库操作信息和数据密钥,如果缓存中无所需数据,则与加密的数据库存储文件进行透明加密或解密操作,获取数据到数据库缓存中。
数据库服务完成操作信息,获取回复信息后返回给数据库服务端客户端。
本发明实施例还提供计算机可读存储介质,包括指令,当所述指令在计算机上运行时,使所述计算机执行上述技术方案所述的数据库数据安全管理方法。
本发明实施例还提供计算机设备,包括存储器、处理器及存储在所述存储器上的并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现上述方案所述的数据库数据安全管理方法。
上述各实施例的技术方案,能够对数据库高端特性兼容,对查询分析、优化处理、事务处理、并发处理等数据库特性无影响,无需对应用程序、基础设施、业务结构进行更改就能实现加密保护,部署和使用不需要考虑额外的因素,且整个加解密过程对于数据库应用来说是透明的。访问控制增强,数据库透明加密通过控制加密解密的密钥权限,增设安全管理员,只有同时经过DBA和安全管理员联合授权的用户才能以明文的形式看到加密后的数据,从而降低DBA权限过高造成的泄密风险。整体来说,对查询检索性能保障及统计分析效率等关键技术指标均有较好的适应情况。
并且,插入输出性能损耗低,保障数据库复杂的查询检索性能及统计分析效率,其最大的优势在于对数据库的性能损耗低,其插入性能损耗及输出性能损耗均控制在5%以内。
密钥安全性高,密钥完全由密钥管理系统保护,并且密码硬件符合国家密码管理局的认证,具有国密局颁发的型号证书,可通过硬件保证密钥防窃取。密钥管理系统与数据库之间的通信基于TLS1.2协议,保障数据密钥在传输过程中的安全性。
系统高可用,密钥管理系统本身支持双机、集群等部署模式,可保证与数据库的交互实现高可用,避免因单点故障而导致的业务中断。
密钥备份与恢复,密钥管理系统提供了密钥备份的介质,可通过该介质实现密钥的更新与恢复,防止由于人为或环境等因素下导致的密钥损坏和丢失。
密文备份与恢复,支持明文备份及加密备份,支持异地恢复机制。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统和方法,可以通过其它的方式实现。例如,以上所描述的系统实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种数据库数据安全管理方法,其特征在于,包括:
接收客户端发送的数据库访问请求,对所述数据库访问请求进行合法性验证,验证通过时,将所述数据库访问请求发送至密钥管理系统;
接收所述密钥管理系统响应于所述数据库访问请求返回的授权信息,根据所述授权信息获取数据密钥,利用所述数据密钥对数据库文件进行透明加密和/或解密操作;
其中,所述授权信息为密钥管理系统对所述数据库访问请求进行鉴权,鉴权通过时,生成的包含数据密钥的授权信息。
2.根据权利要求1所述的方法,其特征在于,所述对所述数据库访问请求进行合法性验证,验证通过时,将所述数据库访问请求发送至密钥管理系统,包括:
获取所述数据库访问请求中的访问会话信息,根据所述访问会话信息判断所述会话连接的合法性,验证通过时,则获取所述数据库访问请求中的数据库操作信息,验证通过时,将所述访问会话信息和所述数据库操作信息发送至密钥管理系统。
3.根据权利要求1所述的方法,其特征在于,所述密钥管理系统对所述数据库访问请求进行鉴权,鉴权通过时,生成包含数据密钥的授权信息,包括:
密钥管理系统鉴权所述数据库访问请求中的访问会话信息和数据库操作信息,鉴权通过,则调用主密钥解密与所述数据库操作信息对应的数据密钥,将所述数据库操作信息和所述数据密钥作为授权信息返回给数据库服务端。
4.根据权利要求3所述的方法,其特征在于,所述密钥管理系统鉴权所述数据库访问请求中的访问会话信息和数据库操作信息,包括:
根据所述数据库操作信息获取对应的数据密钥,根据所述访问会话信息与所述密钥管理系统预存的密钥授权信息确定所述数据密钥的权限;当所述数据密钥的权限与所述数据库操作信息对应的操作匹配时,则鉴权通过。
5.根据权利要求4所述的方法,其特征在于,所述根据所述数据库操作信息获取对应的数据密钥,包括:
根据所述数据库操作信息获取待操作的数据库文件信息,根据所述待操作文件信息获取对应的数据密钥;其中,所述待操作的数据库文件的文件标题中存储所述数据密钥的唯一标识。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述利用所述数据密钥对数据库文件进行透明加密和/或解密操作,包括:
当数据库缓存中不存在待操作的数据库数据时,利用所述数据密钥对待操作的数据库文件进行相应的透明加密或解密操作,获取所述待操作的数据库数据到数据库缓存中;根据所述数据库操作信息对所述数据库数据进行相应的数据操作。
7.一种数据库数据安全管理系统,其特征在于,包括数据库服务端和密钥管理系统;
所述数据库服务端包括合法性验证模块和透明加解密模块;
所述合法性验证模块,用于接收客户端发送的数据库访问请求,对所述数据库访问请求进行合法性验证,验证通过时,将所述数据库访问请求发送至密钥管理系统;
所述透明加解密模块,用于接收所述密钥管理系统响应于所述数据库访问请求返回的授权信息,根据所述授权信息获取数据密钥,利用所述数据密钥对数据库文件进行透明加密和/或解密操作;
其中,所述授权信息为密钥管理系统对所述数据库访问请求进行鉴权,鉴权通过时,生成的包含数据密钥的授权信息。
8.根据权利要求7所述的系统,其特征在于,所述密钥管理系统包括密钥管理模块和授权模块;
所述密钥管理模块,用于存储主密钥和经主密钥加密的数据密钥;
授权模块,用于鉴权所述数据库访问请求中的访问会话信息和数据库操作信息,鉴权通过,则调用主密钥解密与所述数据库操作信息对应的数据密钥,将所述数据库操作信息和所述数据密钥作为授权信息返回给数据库服务端。
9.根据权利要求8所述的系统,其特征在于,所述密钥管理系统鉴权所述数据库访问请求中的访问会话信息和数据库操作信息,包括:
根据所述数据库操作信息获取对应的数据密钥,根据所述访问会话信息与所述密钥管理系统预存的密钥授权信息确定所述数据密钥的权限;当所述数据密钥的权限与所述数据库操作信息对应的操作匹配时,则鉴权通过。
10.根据权利要求9所述的系统,其特征在于,所述根据所述数据库操作信息获取对应的数据密钥,包括:
根据所述数据库操作信息获取待操作的数据库文件信息,根据所述待操作文件信息获取对应的数据密钥;其中,所述待操作的数据库文件的文件标题中存储所述数据密钥的唯一标识。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910701687.4A CN110489996B (zh) | 2019-07-31 | 2019-07-31 | 一种数据库数据安全管理方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910701687.4A CN110489996B (zh) | 2019-07-31 | 2019-07-31 | 一种数据库数据安全管理方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110489996A true CN110489996A (zh) | 2019-11-22 |
| CN110489996B CN110489996B (zh) | 2021-04-13 |
Family
ID=68549155
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910701687.4A Active CN110489996B (zh) | 2019-07-31 | 2019-07-31 | 一种数据库数据安全管理方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110489996B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111859430A (zh) * | 2020-07-23 | 2020-10-30 | 深圳市纳研科技有限公司 | 一种企业数据安全管理方法、系统及电子设备 |
| CN112491787A (zh) * | 2020-10-18 | 2021-03-12 | 苏州浪潮智能科技有限公司 | 一种用户数据的安全管理的方法和设备 |
| CN112632625A (zh) * | 2020-12-31 | 2021-04-09 | 深圳昂楷科技有限公司 | 数据库安全网关系统、数据处理方法、电子设备 |
| CN112800439A (zh) * | 2020-12-02 | 2021-05-14 | 中国电子科技集团公司第三十研究所 | 一种面向安全存储的密钥管理协议设计方法及系统 |
| CN112988888A (zh) * | 2021-02-19 | 2021-06-18 | 平安科技(深圳)有限公司 | 密钥管理方法、装置、电子设备及存储介质 |
| CN113065161A (zh) * | 2021-04-21 | 2021-07-02 | 湖南快乐阳光互动娱乐传媒有限公司 | 针对Redis数据库的安全控制方法及装置 |
| CN114266554A (zh) * | 2021-12-27 | 2022-04-01 | 上海齐屹信息科技有限公司 | 一种智能动态数据库管理系统 |
| CN114611145A (zh) * | 2022-03-14 | 2022-06-10 | 穗保(广州)科技有限公司 | 一种基于互联网在线文档的数据安全共享平台 |
| CN116127510A (zh) * | 2023-01-10 | 2023-05-16 | 广州集联信息技术有限公司 | 一种物联网数据的加密通信系统 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020138769A1 (en) * | 2001-03-23 | 2002-09-26 | Fishman Jayme Matthew | System and process for conducting authenticated transactions online |
| US20030018904A1 (en) * | 2001-06-14 | 2003-01-23 | Disanto Frank J. | Method and system for preventing computer worm dissemination using encryption |
| EP1544705A1 (en) * | 2003-12-10 | 2005-06-22 | Alcatel | Method for software protection |
| CN1633084A (zh) * | 2004-12-28 | 2005-06-29 | 北京邮电大学 | 用于应用服务器的基于令牌的细粒度访问控制系统及方法 |
| CN101162493A (zh) * | 2007-10-11 | 2008-04-16 | 天津理工大学 | 维护数据库安全的方法和系统 |
| US20130262318A1 (en) * | 2004-03-25 | 2013-10-03 | International Business Machines Corporation | Method and system for performing a commercial transaction by using a short message service terminal |
| CN104901949A (zh) * | 2015-04-21 | 2015-09-09 | 成都汇智远景科技有限公司 | 一种数据加密方法 |
| CN106529327A (zh) * | 2016-10-08 | 2017-03-22 | 西安电子科技大学 | 混合云环境下面向加密数据库的数据存取系统及方法 |
| CN109697371A (zh) * | 2018-12-12 | 2019-04-30 | 泰康保险集团股份有限公司 | 数据库管理方法、装置、介质及电子设备 |
-
2019
- 2019-07-31 CN CN201910701687.4A patent/CN110489996B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020138769A1 (en) * | 2001-03-23 | 2002-09-26 | Fishman Jayme Matthew | System and process for conducting authenticated transactions online |
| US20030018904A1 (en) * | 2001-06-14 | 2003-01-23 | Disanto Frank J. | Method and system for preventing computer worm dissemination using encryption |
| EP1544705A1 (en) * | 2003-12-10 | 2005-06-22 | Alcatel | Method for software protection |
| US20130262318A1 (en) * | 2004-03-25 | 2013-10-03 | International Business Machines Corporation | Method and system for performing a commercial transaction by using a short message service terminal |
| CN1633084A (zh) * | 2004-12-28 | 2005-06-29 | 北京邮电大学 | 用于应用服务器的基于令牌的细粒度访问控制系统及方法 |
| CN101162493A (zh) * | 2007-10-11 | 2008-04-16 | 天津理工大学 | 维护数据库安全的方法和系统 |
| CN104901949A (zh) * | 2015-04-21 | 2015-09-09 | 成都汇智远景科技有限公司 | 一种数据加密方法 |
| CN106529327A (zh) * | 2016-10-08 | 2017-03-22 | 西安电子科技大学 | 混合云环境下面向加密数据库的数据存取系统及方法 |
| CN109697371A (zh) * | 2018-12-12 | 2019-04-30 | 泰康保险集团股份有限公司 | 数据库管理方法、装置、介质及电子设备 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111859430B (zh) * | 2020-07-23 | 2024-04-16 | 深圳市纳研科技有限公司 | 一种企业数据安全管理方法、系统及电子设备 |
| CN111859430A (zh) * | 2020-07-23 | 2020-10-30 | 深圳市纳研科技有限公司 | 一种企业数据安全管理方法、系统及电子设备 |
| CN112491787B (zh) * | 2020-10-18 | 2022-12-27 | 苏州浪潮智能科技有限公司 | 一种用户数据的安全管理的方法和设备 |
| CN112491787A (zh) * | 2020-10-18 | 2021-03-12 | 苏州浪潮智能科技有限公司 | 一种用户数据的安全管理的方法和设备 |
| CN112800439A (zh) * | 2020-12-02 | 2021-05-14 | 中国电子科技集团公司第三十研究所 | 一种面向安全存储的密钥管理协议设计方法及系统 |
| CN112800439B (zh) * | 2020-12-02 | 2022-02-08 | 中国电子科技集团公司第三十研究所 | 一种面向安全存储的密钥管理协议设计方法及系统 |
| CN112632625A (zh) * | 2020-12-31 | 2021-04-09 | 深圳昂楷科技有限公司 | 数据库安全网关系统、数据处理方法、电子设备 |
| CN112988888A (zh) * | 2021-02-19 | 2021-06-18 | 平安科技(深圳)有限公司 | 密钥管理方法、装置、电子设备及存储介质 |
| CN112988888B (zh) * | 2021-02-19 | 2024-05-07 | 平安科技(深圳)有限公司 | 密钥管理方法、装置、电子设备及存储介质 |
| CN113065161A (zh) * | 2021-04-21 | 2021-07-02 | 湖南快乐阳光互动娱乐传媒有限公司 | 针对Redis数据库的安全控制方法及装置 |
| CN114266554A (zh) * | 2021-12-27 | 2022-04-01 | 上海齐屹信息科技有限公司 | 一种智能动态数据库管理系统 |
| CN114266554B (zh) * | 2021-12-27 | 2024-04-26 | 上海齐屹信息科技有限公司 | 一种智能动态数据库管理系统 |
| CN114611145A (zh) * | 2022-03-14 | 2022-06-10 | 穗保(广州)科技有限公司 | 一种基于互联网在线文档的数据安全共享平台 |
| CN116127510A (zh) * | 2023-01-10 | 2023-05-16 | 广州集联信息技术有限公司 | 一种物联网数据的加密通信系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110489996B (zh) | 2021-04-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110489996A (zh) | 一种数据库数据安全管理方法及系统 | |
| CN111191286B (zh) | Hyperledger Fabric区块链隐私数据存储与访问系统及其方法 | |
| CN110535833B (zh) | 一种基于区块链的数据共享控制方法 | |
| EP2731040B1 (en) | Computer system for storing and retrieval of encrypted data items, client computer, computer program product and computer-implemented method | |
| CN103685282B (zh) | 一种基于单点登录的身份认证方法 | |
| US9317708B2 (en) | Hardware trust anchors in SP-enabled processors | |
| CN104320389B (zh) | 一种基于云计算的融合身份保护系统及方法 | |
| CN104468562B (zh) | 一种面向移动应用透明的数据安全保护便携式终端 | |
| CN108810017B (zh) | 业务处理安全验证方法及装置 | |
| CN109995530B (zh) | 一种适用于移动定位系统的安全分布式数据库交互系统 | |
| CN106992851A (zh) | 基于TrustZone的数据库文件口令加解密方法、装置及终端设备 | |
| WO2022206453A1 (zh) | 提供跨链隐私数据的方法和装置 | |
| CN113779612A (zh) | 一种基于区块链与隐藏策略属性加密的数据共享方法与系统 | |
| CN103020542B (zh) | 存储用于全球数据中心的秘密信息的技术 | |
| CN116436682A (zh) | 数据处理方法、装置及系统 | |
| JP2003530739A (ja) | ネットワークシステム | |
| CN109474431A (zh) | 客户端认证方法及计算机可读存储介质 | |
| CN106992978A (zh) | 网络安全管理方法及服务器 | |
| EP2920732B1 (en) | Computer system for storing and retrieval of encrypted data items, client computer, computer program product and computer-implemented method | |
| CN114329395A (zh) | 一种基于区块链的供应链金融隐私保护方法和系统 | |
| JP7107241B2 (ja) | 鍵共有方法、鍵共有システム、エージェント端末 | |
| Katre et al. | Trusted third party for data security in cloud environment | |
| CN108667843A (zh) | 一种针对byod环境的信息安全保护系统与方法 | |
| CN105187398B (zh) | 一种身份认证识别方法 | |
| CN115758396B (zh) | 基于可信执行环境的数据库安全访问控制技术 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |