CN112182616B - 核心表数据的密码技术安全控制方法及系统 - Google Patents
核心表数据的密码技术安全控制方法及系统 Download PDFInfo
- Publication number
- CN112182616B CN112182616B CN202011052084.5A CN202011052084A CN112182616B CN 112182616 B CN112182616 B CN 112182616B CN 202011052084 A CN202011052084 A CN 202011052084A CN 112182616 B CN112182616 B CN 112182616B
- Authority
- CN
- China
- Prior art keywords
- data
- frequency
- user
- information
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000005516 engineering process Methods 0.000 claims abstract description 15
- 238000012795 verification Methods 0.000 claims description 30
- 230000008569 process Effects 0.000 claims description 24
- 230000006399 behavior Effects 0.000 claims description 20
- 230000002159 abnormal effect Effects 0.000 claims description 6
- 239000000284 extract Substances 0.000 abstract 1
- 238000012423 maintenance Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 230000006872 improvement Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000000547 structure data Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及核心表数据的密码技术安全控制方法及系统,对数据库中存储的数据表进行改造,提取用户表和权限表整合成访问控制表,并基于用户表和权限表数据统计用户访问信息,按照访问频率的倍率进行统计分类,设定n级访问频率,建立频率表,将纯数据类表对应频率表结构中的频率等级,建立相应的多级数据库索引表;对访问控制表、频率表中的关键数据形成密文;在用户身份认证后,从用户登录信息和检索信息中截取关键字,从频率表、访问控制表中搜索包含关键字的记录,获取相应密文并解密,访问数据库中对应的数据表。本发明的方法和系统可在无法对数据库表的所有数据进行全量加密解密保护的情况下,实现对数据库核心表结构数据的安全控制和明文保密存储。
Description
技术领域
本发明属于信息安全及密码学技术领域,具体涉及针对数据库系统进行加密保护前提下,如何实现对其核心表结构数据的密码技术安全控制方法及系统。
背景技术
数据表是数据库中一种重要的数据存储形式,而现有的数据表数据管理还存在很多安全隐患,包括:1、系统管理员对信息系统的核心数据表的全权限拥有;2、系统的数据库是采用表的方式对结构化、非结构化数据进行管理;3、数据库表的访问在经过访问登录认定后直接采用SQL进行操作,处于过程无监管状态;4、数据库表数据存放采用明文存取的方式。
基于此,本发明提出了一种核心表数据的密码技术安全控制方法和系统,可在无法对数据库表的所有数据进行全量加密解密保护的情况下,实现对数据库核心表结构数据的安全控制和明文保密存储。
发明内容
本发明的目的在于提供一种对于需要加密保护的数据库系统采用核心表数据结构方式的密码技术安全控制方法及系统,以实现在尽量不降低运算效率、不大幅增加硬件设备投入情况下,对信息系统采用密码技术实现有效保护的技术方案,且杜绝角色伪造、仿冒所带来的信息系统数据库控制权限失控的风险。
为实现上述技术目的,本发明采用如下技术方案:
一种信息系统数据库的核心表数据的密码技术安全控制方法,包括:
S1表结构改造;
S10提取信息系统数据库中用户表结构和权限表结构整合成访问控制表;访问控制表中保留用户ID、索引ID为明文数据,对其他信息加密形成密文;
S11基于用户表和权限表数据统计用户访问信息,按照访问频率的倍率进行统计分类,设定n级访问频率,建立频率表,存储索引ID、关键字及相应的频率等级和频率属性,所述频率属性存储对应的数据库索引表所包含的属性结构,包括数据路径、数据特征;保留索引ID为和关键字为明文数据,对其他信息加密形成密文;
S12将纯数据类表对应频率表结构中的频率等级,建立相应的多级数据库索引表;表中保留索引ID、频率等级、对应频率的常用关键字作为明文,对其他信息加密形成密文;
S2身份认证与鉴权验证;
用户通过身份认证后,从用户登录信息和检索信息中截取关键字,从频率表、访问控制表中搜索包含关键字的记录,获取相应密文并解密;
S3基于解密的密文形成访问控制数据集,对数据库进行相应的数据访问。
通过本方法同时实现系统管理员的权限的严格控制,使得该角色只能实现对信息系统的维护作用,但无法访问或获取信息系统数据。而访问者(非系统管理员)也无法仿冒系统管理员权限,对信息系统进行非法操作。
作为本发明的进一步改进,在鉴权验证后,累计登录信息,包括登录的时间、IP地址、身份/证书信息、检索和访问相关数据记录的关键字统计,并将累计的登录信息追加至频率表的对应属性中,形成登录状态数据链;根据更新信息动态调整频率等级,并设置非正常登录异常报警的频率调整警示信息。
作为本发明的进一步改进,还包括,表的加解密过程中通过频率等级对表结构的数据进行定期维护和刷新;由系统内的定时维护触发机制或动态维护规则触发刷新维护;由系统管理员的数字证书或者标识密码信息进行识别与认证,并将此操作过程全部记录到行为数据表结构中;数据记录和加密后,再由密码主管对上述行为与数据进行签名。
作为本发明的进一步改进,还包括记录当次访问的所有身份认证、鉴权验证过程、操作指令、操作数据范围、数据变化前和变化后的值,形成操作行为数据链,对所述操作行为数据链加密后存储,以便追溯。
作为本发明的进一步改进,所述其他信息采用对称加密的方式加密;优选采用设备密码机进行对称加密的方式加密,使得使用在设备内存储的对称密钥的安全性最高。
作为本发明的进一步改进,所述用户身份认证的方式为账号+口令模式、人体生物特征模式、数字证书模式、标识密码方式、分割密钥方式中的一种或多种;优选标识密码方式。
作为本发明的进一步改进,所述鉴权验证过程如下:
S21基于身份认证时获得的用户身份信息/证书信息和检索信息,截取s个字段的关键字;
S22基于关键字进入频率表中搜索到包含该关键字的记录,并从中获得索引ID和对应的加密内容;由获取的索引ID和i个字段的关键字(i∈[1,s])进入访问控制表中搜索到包含所述i个字段的关键字的记录,从中获得用户名及对应的加密内容;
S23对上述加密内容进行解密,从中获得该用户在该信息系统中的真实属性的数据结构,形成访问控制数据集,包括频率等级、频率属性、用户名、用户属性、权限、权限属性数据,完成该次的鉴权验证过程。
进一步的,所述数据访问过程包括:
S31基于密文解密后获得的访问控制数据集,获取用户访问数据范围和访问权限信息;
S32根据上述用户访问数据范围、访问权限信息从频率表中检索出相应的数据记录;
S33再次验证访问者身份和访问权限,在鉴权验证通过后,对S32检索出的数据记录所对应的数据库记录进行提取并解密。
本发明的另一目的在于提供核心表数据的密码技术安全控制系统,包括:
数据库,用于存储业务数据的各类表的集合;
加密模块,用于加密数据库操作过程中的各类数据;
认证模块,包括用户身份认证模块与鉴权验证模块,用于用户身份认证及鉴权验证;
数据访问模块,基于认证模块提取的访问控制数据集,用于数据访问;
其中,所述数据库中存储的数据表基于如下方式处理:提取数据库中用户表结构和权限表结构建立用于数据库的访问控制表,并基于用户表和权限表数据统计用户访问信息,按照访问频率的倍率进行统计分类,设定n级访问频率,建立频率表,存储索引ID、关键字及相应的频率等级和频率属性,所述频率属性存储对应的数据库索引表所包含的属性结构,包括数据路径、数据特征;将纯数据类表对应频率表结构中的频率等级,建立相应的多级数据库索引表;索引表中保留索引ID、对应频率的常用关键字作为明文,对其他信息加密形成密文;
所述用户身份认证模块获取用户身份认证信息,进行系统登录;所述鉴权验证模块在用户身份认证模块通过认证,登录系统后,从用户登录信息和检索信息中截取关键字,从频率表、访问控制表中搜索包含关键字的记录,获取相应密文并解密;
所述数据访问模块,基于解密的密文形成访问控制数据集,访问数据库中相应的数据表。
进一步的,所述系统还包括行为记录模块,采用密码技术对操作行为和数据变化进行记录,用于对所有操作行为的签名与记录保护。
本发明的系统能够实现如下有益效果:
1、数据库表结构可以实现部分、全部加密保存,却不大幅降低访问数据库的效率;
2、数据库的访问、关键信息检索均实现通过密码算法技术验证的可信访问,使得安全性符合国家密码安全等级要求;
3、数据采取摘要预置,即用即取,分级授权加解密,杜绝非可信身份访问和黑客的攻击的同时,降低对计算机运算能力的要求;
4、采用多级密码索引的方式,实现数据库表结构的数据的分级使用、过程安全保密和可控;
5、所有数据库表访问和数据加工的操作过程可追溯、防抵赖。
6、信息系统数据库的各类角色无法被仿冒、伪造,使得信息系统被攻击和非法获取真实信息的可能性极大的降低,从根本上解决信息系统数据库的数据被泄露、偷窃、伪造、篡改的可能。
附图说明
图1是常规信息系统数据库的用户表结构、权限表结构图。
图2是本发明的访问控制表结构图。
图3是本发明的频率表结构图。
图4是本发明的频率表及频率表中存储的对应的数据库索引表所包含的数据路径、特征等属性结构。
图5是本发明访问控制表与频率表结构关联关系及属性描述示意图。
图6是本发明的数据库索引表的维护、加解密和校验监督控制过程。
图7是本发明的数据库索引表结构示意图。
图8是本发明的数据库访问流程示意图。
具体实施方式
实施例1
本实施例具体说明本发明方法的实施方式。
1、对数据库表结构及数据按常规的用户表结构、权限表结构、纯数据类表结构分类
现有信息系统均大体采用用户表、权限表、业务数据表进行大致分类,也有对用户及权限进行整合成单张表,或按数据量进行分级索引的方式建表。无论如何建表,其目的都是为了实现在最小的运算量前提下的应用设计,以提高信息系统的响应速度。
本系统对此进行数据重整,相当于对表结构进行初始化,为后续的密码技术实现工作做准备,常规信息系统数据库的用户表结构、权限表结构图如图1所示。
2、从数据库中提取用户表结构和权限表结构,根据这两个表结构结合登录频次、用户等级、数据库的数据容量、数据库访问特性、访问频率等统计数据,建立n级频率表。
现有信息系统通常按用户表、权限表、业务数据的模式来设定数据库总体控制模式,也有将用户表和权限表合并至一张表或分拆成若干张表的情况。本发明中做了统一整合,将目前常规信息系统数据库的用户表结构和权限表结构进行改造、且使用加密技术保护的数据库访问控制表,其结构如图2所示。
为了实现对数据库数据的保密,采用全库加密的方式。但同时也需考虑加密对数据访问的影响,且尽量不降低计算机运行效率,不增加额外更多硬件设备的成本投入,在提取用户表和权限表形成数据库访问控制表后,根据登录频次、用户等级、数据库的数据容量和数据库访问特性、访问频率,通过统计学方法设置n级访问频率,对应n个层级的频率表,并对频率表进行定期或不定期的数据刷新,以便对常用访问信息、不同用户的访问习惯频次等进行动态管理,分层定义。
频率表结构示意如图3所示,频率表-频率属性结构如图4所示,频率属性存储对应的数据库索引表所包含的数据路径、特征等属性结构,从而在访问时基于频率表快速定位到数据库索引表。
频率表实现的功能是将访问信息系统的用户按照访问频率的倍率进行统计分类,形成n级频率表。而按照倍率计算,目的是能够实现在访问量翻倍的情况下,信息系统仍然能够维持计算性能。
改造后的频率表结构中的索引ID、用户ID、频率表中的关键字均为明文,其余内容为由设备密码机采用对称加密的方法进行加密后的密文,存储于频率表结构中。如此,形成了可以对关键信息进行保护,对关键字这类形成不了完整信息呈现的数据以明文形式存放,从而数据库核心控制数据的保护由此产生。
访问控制表与频率表结构关联关系如图5所示。
3、提取结构化数据表结构和非结构化数据表结构,建立数据库多级索引表
目前绝大部分信息系统的数据库中纯业务数据根据数据特点和检索性能特点分为结构化数据和非结构化数据。
本发明方案在实现运行效率和密码保护数据之间的效率冲突中,选择了折中的方式。即:统计对这些业务数据的访问频率、提炼出高频关键字和表记录号,对应前述基于访问这些数据的访问者的权限、访问频率等统计数据设计出的频率等级,建立出对应频率等级的多级数据库索引表,以便在根据频率表确定具体数据库操作时,能够提供最快速度的数据检索和数据加工处理。
在每一级数据库索引表中,只保留索引号、对应频率的常用关键字作为明文外,索引表中所对应的数据库记录号、记录的简要描述等全部经过设备密码机采用对称加密方式予以加密存储。以保证这些数据在经验证和授权后,只能由设备密码机的私钥方可解密。结构示意图如图7。
这么做的好处是:即便黑客攻击了信息系统数据库,他获得了小部分的明文数据,但无法与数据库中的完整数据记录进行对应。
数据库多级索引表的维护、加解密和校验监督控制过程如图6所示。
该表的加解密过程中通过频率等级对表结构的数据进行定期维护和刷新。每次刷新时是由系统内的定时或动态维护触发机制,触发此维护,数据维护为了确保安全,由系统管理员的数字证书/标识密码信息进行识别与认证,并将此操作过程全部记录到行为数据表结构中。数据记录和加密后,再由密码主管对上述行为与数据进行签名,以确保数据修改时能够被及时校验和互相监督。
4、采用密码技术进行访问控制的完整步骤
经过上述三步,基本完成了对现有信息系统的数据清洗与表结构改造的过程,启动实施密码技术安全控制的过程。
4.1用户登录与鉴权验证
用户采用的方式有多种,其中包括现在常用的账号+口令模式,人体生物特征模式、也可采用数字证书模式、标识密码方式或分割密钥方式进行登录。登录认证方式除了账号+口令模式、人体生物特征模式外,本文主要以密码方式实现安全登录与鉴权验证的模式。
A、用户向信息系统发送登录申请,并将自己的公钥随附;
B、信息系统设备密码机产生一个随机数,用密码机的签名私钥签名后,用用户的公钥进行加密,并将加密后的数据包发送给用户;
C、用户接收到数据包后,用自己的私钥解密,并用信息系统设备密码机的公钥来计算签名值。
D、用户将自己的身份信息/证书信息用自己的签名私钥签名,并用接收到的随机数加密后,再用设备密码机的加密公钥进行加密。
E、设备密码机接收到数据后,用设备密码机的解密私钥进行解密,获得数据后使用随机数进行解密,对解密后的数据用用户的签名公钥验证。
经过上述登录步骤,完成用户与信息系统的身份信息的安全交互和签名验证。此后进入鉴权验证步骤。
A、根据所获得的用户身份信息/证书信息和检索信息,截取s个字段的关键字。
B、由s个字段的关键字进入频率表结构中搜索到包含该关键字的记录,并从中获得索引ID和对应的加密内容(频率等级和频率属性);由访问者的索引ID和i个字段的关键字(i∈[1,s])进入访问控制表结构中搜索到包含所述i个字段关键字的记录,从中获得用户名及对应的加密内容(用户属性、权限和权限属性信息等)。
C、设备密码机对上述加密内容进行解密,从中获得该用户在该信息系统中的真实属性的数据结构,些真实属性的数据结构的内容就形成了一个允许访问数据的访问控制数据集,该访问控制数据集包含了允许该用户访问数据的范围和访问数据的权限等参数,即频率等级和频率属性、用户名和用户属性、权限和权限属性数据等,完成本次的鉴权验证过程。
4.2累计登录信息,包括历次登录的时间、IP地址、身份/证书信息、检索和访问相关数据记录的关键字统计,并把登录信息追加到频率属性中,形成登录状态数据链。根据登录频次、用户等级、数据库的数据容量、数据库访问特性、访问频率等统计数据,动态调整频率等级,并设置非正常登录异常报警的频率调整警示信息。以实现对有异于平常的登录频次进行比对、预警、锁死。防止恶意登录和攻击。
4.3信息系统根据访问控制数据集的用户访问权限、访问数据范围从数据库频率表中检索出相应的数据记录。
4.4信息系统的设备密码机再次验证访问者身份和访问权限。在鉴权验证通过后,对4.3步检索出的数据记录所对应的数据库记录进行提取并解密。由信息系统按照用户请求对解密后的数据集合进行数据加工处理。加工处理完成后的结果进行打包形成输出数据。
4.5设备密码机将本次的所有验签、鉴权验证过程、操作指令、操作数据范围、数据变化前和变化后的值进行记录。这些过程数据形成一条操作行为数据链,附上用户的公钥、用户签名值、签名时间等属性值后,对这一整体数据用设备密码机的签名私钥进行签名,再用设备密码机的私钥进行对称加密,将加密数据予以保存。
综上步骤,完成用户对信息系统访问的可信身份识别、认证、数据加密保护、数据检索与加工、操作行为的全过程的防抵赖、可追溯的记录的过程。能够实现信息系统的密码技术保护与信息系统访问效率的有效结合,兼顾安全与时间损耗。
实施例2
本实施例具体说明本发明系统的实施方式。
一种核心表数据的密码技术安全控制系统,包括:
数据库,用于存储业务数据的各类表的集合;
所述数据库中存储的数据表基于如下方式处理:提取数据库中用户表结构和权限表结构建立用于数据库的访问控制表,并基于用户表和权限表数据统计用户访问信息,按照访问频率的倍率进行统计分类,设定n级访问频率,建立频率表,存储索引ID、关键字及相应的频率等级和频率属性,所述频率属性存储对应的数据库索引表所包含的属性结构,包括数据路径、数据特征;将纯数据类表对应频率表结构中的频率等级,建立相应的多级数据库索引表;表中保留索引ID、对应频率的常用关键字作为明文,对其他信息加密形成密文;
加密模块,用于加密数据库操作过程中的各类数据;
认证模块,包括用户身份认证模块与鉴权验证模块,用于用户身份认证及鉴权验证;
所述用户身份认证模块获取用户身份认证信息,进行系统登录;所述鉴权验证模块在用户身份认证模块通过认证,登录系统后,从用户登录信息和检索信息中截取关键字,从频率表、访问控制表中搜索包含关键字的记录,获取相应密文并解密;
数据访问模块,基于认证模块提取的访问控制数据集,访问数据库中相应的数据表;
行为记录模块,采用密码技术对操作行为和数据变化进行记录,用于对所有操作行为的签名与记录保护。
Claims (10)
1.一种信息系统数据库的核心表数据的密码技术安全控制方法,其特征在于,包括:
S1表结构改造;
S10提取信息系统数据库中用户表结构和权限表结构整合成访问控制表;访问控制表中保留用户ID、索引ID为明文数据,对其他信息加密形成密文;
S11基于用户表和权限表数据统计用户访问信息,按照访问频率的倍率进行统计分类,设定n级访问频率,建立频率表,存储索引ID、关键字及相应的频率等级和频率属性,所述频率属性存储对应的数据库索引表所包含的属性结构,包括数据路径、数据特征;保留索引ID和关键字为明文数据,对其他信息加密形成密文;
S12将纯数据类表对应频率表结构中的频率等级,建立相应的多级数据库索引表;表中保留索引ID、频率等级、对应频率的常用关键字作为明文,对其他信息加密形成密文;
S2身份认证与鉴权验证;
用户通过身份认证后,从用户登录信息和检索信息中截取关键字,从频率表、访问控制表中搜索包含关键字的记录,获取相应密文并解密;
S3基于解密的密文形成访问控制数据集,对数据库进行相应的数据访问。
2.根据权利要求1所述的方法,其特征在于,还包括,在鉴权验证后,累计登录信息,包括历次登录的时间、IP地址、用户身份信息或证书信息、检索和访问相关数据记录的关键字统计,并将累计的登录信息追加至频率属性中,形成登录状态数据链;根据更新信息动态调整频率等级,并设置非正常登录异常报警的频率调整警示信息。
3.根据权利要求1所述的方法,其特征在于,还包括记录当次访问的所有身份认证、鉴权验证过程、操作指令、操作数据范围、数据变化前和变化后的值,形成操作行为数据链,对所述操作行为数据链加密后存储。
4.根据权利要求1所述的方法,其特征在于,所述其他信息采用对称加密的方式加密。
5.根据权利要求1所述的方法,其特征在于,所述身份认证的方式为账号+口令模式、人体生物特征模式、数字证书模式、标识密码方式、分割密钥方式中的一种或多种。
6.根据权利要求5所述的方法,其特征在于,所述身份认证的方式为标识密码方式。
7.根据权利要求1所述的方法,其特征在于,所述鉴权验证过程如下:
S21基于身份认证时获得的用户身份信息或证书信息和检索信息,截取s个字段的关键字;
S22基于s个字段的关键字进入频率表中搜索到包含该关键字的记录,并从中获得索引ID和对应的加密内容;由获取的索引ID和i个字段的关键字进入访问控制表中搜索到包含所述i个字段的关键字的记录,从中获得用户名及对应的加密内容;i∈ [1,s];
S23对上述加密内容进行解密,从中获得该用户在该信息系统中的真实属性的数据结构,形成访问控制数据集,包括频率等级、频率属性、用户名、用户属性、权限、权限属性数据,完成鉴权验证过程。
8.根据权利要求7所述的方法,其特征在于,所述数据访问过程包括:
S31基于密文解密后获得的访问控制数据集,获取用户访问数据范围和访问权限信息;
S32根据上述用户访问数据范围、访问权限信息从频率表中检索出相应的数据记录;
S33再次验证访问者身份和访问权限,在鉴权验证通过后,对S32检索出的数据记录所对应的数据库记录进行提取并解密。
9.一种核心表数据的密码技术安全控制系统,其特征在于,包括:
数据库,用于存储业务数据的各类表的集合;
加密模块,用于加密数据库操作过程中的各类数据;
认证模块,包括用户身份认证模块与鉴权验证模块,用于用户身份认证及鉴权验证;
数据访问模块,基于认证模块提取的访问控制数据集,用于数据访问;
其中,所述数据库中存储的数据表基于如下方式处理:提取数据库中用户表结构和权限表结构建立用于数据库的访问控制表,并基于用户表和权限表数据统计用户访问信息,按照访问频率的倍率进行统计分类,设定n级访问频率,建立频率表,存储索引ID、关键字及相应的频率等级和频率属性,所述频率属性存储对应的数据库索引表所包含的属性结构,包括数据路径、数据特征;将纯数据类表对应频率表结构中的频率等级,建立相应的多级数据库索引表;表中保留索引ID、对应频率的常用关键字作为明文,对其他信息加密形成密文;
所述用户身份认证模块获取用户身份认证信息,进行系统登录;所述鉴权验证模块在用户身份认证模块通过认证,登录系统后,从用户登录信息和检索信息中截取关键字,从频率表、访问控制表中搜索包含关键字的记录,获取相应密文并解密;
所述数据访问模块,基于解密的密文形成访问控制数据集,访问数据库中相应的数据表。
10.根据权利要求9所述的系统,其特征在于,还包括:行为记录模块,采用密码技术对操作行为和数据变化进行记录,用于对所有操作行为的签名与记录保护。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011052084.5A CN112182616B (zh) | 2020-09-29 | 2020-09-29 | 核心表数据的密码技术安全控制方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011052084.5A CN112182616B (zh) | 2020-09-29 | 2020-09-29 | 核心表数据的密码技术安全控制方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112182616A CN112182616A (zh) | 2021-01-05 |
CN112182616B true CN112182616B (zh) | 2024-05-17 |
Family
ID=73945858
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011052084.5A Active CN112182616B (zh) | 2020-09-29 | 2020-09-29 | 核心表数据的密码技术安全控制方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112182616B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113688365B (zh) * | 2021-08-26 | 2022-06-21 | 广东电力信息科技有限公司 | 应用于数据库运维中基于身份鉴权的数据访问方法及系统 |
CN116595573B (zh) * | 2023-04-14 | 2024-01-19 | 敦源信息科技(广州)有限公司 | 交管信息系统的数据安全加固方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005119960A2 (en) * | 2004-06-01 | 2005-12-15 | Ben-Gurion University Of The Negev Research And Development Authority | Structure preserving database encryption method and system |
CN101647006A (zh) * | 2005-10-12 | 2010-02-10 | 数据城堡公司 | 用于数据备份的方法和系统 |
CN101655858A (zh) * | 2009-08-26 | 2010-02-24 | 华中科技大学 | 一种基于分块组织的密文索引结构及其管理方法 |
CN106547805A (zh) * | 2015-09-23 | 2017-03-29 | 北京奇虎科技有限公司 | 优化数据库索引的方法和装置 |
CN108900483A (zh) * | 2018-06-13 | 2018-11-27 | 江苏物联网研究发展中心 | 云存储细粒度访问控制方法、数据上传和数据访问方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7689547B2 (en) * | 2006-09-06 | 2010-03-30 | Microsoft Corporation | Encrypted data search |
US8577029B2 (en) * | 2010-09-10 | 2013-11-05 | International Business Machines Corporation | Oblivious transfer with hidden access control lists |
-
2020
- 2020-09-29 CN CN202011052084.5A patent/CN112182616B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005119960A2 (en) * | 2004-06-01 | 2005-12-15 | Ben-Gurion University Of The Negev Research And Development Authority | Structure preserving database encryption method and system |
CN101647006A (zh) * | 2005-10-12 | 2010-02-10 | 数据城堡公司 | 用于数据备份的方法和系统 |
CN101655858A (zh) * | 2009-08-26 | 2010-02-24 | 华中科技大学 | 一种基于分块组织的密文索引结构及其管理方法 |
CN106547805A (zh) * | 2015-09-23 | 2017-03-29 | 北京奇虎科技有限公司 | 优化数据库索引的方法和装置 |
CN108900483A (zh) * | 2018-06-13 | 2018-11-27 | 江苏物联网研究发展中心 | 云存储细粒度访问控制方法、数据上传和数据访问方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112182616A (zh) | 2021-01-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106529327B9 (zh) | 混合云环境下面向加密数据库的数据存取系统及方法 | |
EP2731040B1 (en) | Computer system for storing and retrieval of encrypted data items, client computer, computer program product and computer-implemented method | |
He et al. | Cryptography and relational database management systems | |
CN112989375B (zh) | 一种分级优化加密无损隐私保护方法 | |
CN112182616B (zh) | 核心表数据的密码技术安全控制方法及系统 | |
CN111274599A (zh) | 一种基于区块链的数据共享方法及相关装置 | |
CN111954211B (zh) | 一种移动终端新型认证密钥协商系统 | |
US20210234673A1 (en) | Intelligent encryption based on user and data profiling | |
CN106789029A (zh) | 一种基于量子堡垒机的审计系统和审计方法以及量子堡垒机系统 | |
KR20170142872A (ko) | 데이터 재-암호화를 통하여 민감한 데이터를 보호하기 위한 컴퓨터-구현 시스템 및 방법 | |
CN105659231A (zh) | 实现对数据的访问 | |
CN110225014B (zh) | 基于指纹集中下发式的物联网设备身份认证方法 | |
CN111464503A (zh) | 基于随机多维变换的网络动态防御方法、装置及系统 | |
CN103391192A (zh) | 一种基于隐私保护的跨安全域访问控制系统及其控制方法 | |
CN103780393A (zh) | 一种面向多安全等级的虚拟桌面安全认证系统及方法 | |
CN106934301A (zh) | 一种支持密文数据操作的关系型数据库安全外包数据处理方法 | |
CN109829333A (zh) | 一种基于OpenID的关键信息保护方法及系统 | |
Mattsson | Database encryption-how to balance security with performance | |
CN116432193A (zh) | 一种金融数据库数据保护改造方法及其金融数据保护系统 | |
Said et al. | A multi-factor authentication-based framework for identity management in cloud applications | |
Zhang et al. | Encrypted and compressed key-value store with pattern-analysis security in cloud systems | |
US11102005B2 (en) | Intelligent decryption based on user and data profiling | |
Ren et al. | A reconstruction attack scheme on secure outsourced spatial dataset in vehicular ad-hoc networks | |
CN108345801B (zh) | 一种面向密文数据库的中间件动态用户认证方法及系统 | |
Sirisha et al. | ’Protection of encroachment on bigdata aspects’ |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |