CN116455603A - 一种基于隔离加密的数据库访问方法及系统 - Google Patents

一种基于隔离加密的数据库访问方法及系统 Download PDF

Info

Publication number
CN116455603A
CN116455603A CN202310236590.7A CN202310236590A CN116455603A CN 116455603 A CN116455603 A CN 116455603A CN 202310236590 A CN202310236590 A CN 202310236590A CN 116455603 A CN116455603 A CN 116455603A
Authority
CN
China
Prior art keywords
database
access
key
data
access device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310236590.7A
Other languages
English (en)
Inventor
吕爱妮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Anqing Lugeni Network Technology Co ltd
Original Assignee
Anqing Lugeni Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anqing Lugeni Network Technology Co ltd filed Critical Anqing Lugeni Network Technology Co ltd
Priority to CN202310236590.7A priority Critical patent/CN116455603A/zh
Publication of CN116455603A publication Critical patent/CN116455603A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本申请实施例提供了一种基于隔离加密的数据库访问方法及系统。用于访问设备与数据库进行数据访问;该方法包括:访问设备上的登陆用户通过访问设备向数据库发送认证信息;认证信息包括登陆访问设备的登陆用户标识;数据库根据认证信息打开数据交互通道;访问设备通过数据交互通道向数据库发送访问指令;访问指令用于指示需要访问的数据;数据库根据访问指令,通过第一密钥对需要访问的数据进行加密,得到加密数据包,并反馈加密数据包和第二密钥;第二密钥用于根据还原编码规则得到第一密钥;访问设备根据第二密钥和还原编码规则,得到第一密钥,并根据第一密钥对加密数据包进行解密,得到需要访问的数据。本申请实施例提高了数据的安全性。

Description

一种基于隔离加密的数据库访问方法及系统
技术领域
本申请涉及数据云交互技术领域,尤其涉及一种基于隔离加密的数据库访问方法及系统。
背景技术
在现有的数据存储中,为了数据存储的便捷性等。采用云存储的方式进行数据的存储。多个用户(租户)将需要存储的数据存储至云端的数据库内,而后通过访问设备来访问云端的数据库,以实现对云端的数据库内的数据的访问。当因每个用户都通过云端的协议来实现数据的访问,网络协议存在被破译和入侵的风险,从而导致用户的访问数据有被入侵、损坏、删除等的风险。
现有的技术常常采用密钥对需要访问的数据进行加密,而后通过云协议的数据交互通道进行传输。但单层的密钥的安全性有限,容易被破解,在一些安全性较高,或者用户量较大的应用场景下,难以保证每个用户的数据安全。
发明内容
本申请实施例提供一种基于隔离加密的数据库访问方法及系统,提高了用户从数据库中访问数据的安全性。
为达到上述目的,本申请的实施例采用如下技术方案:
第一方面,提供了一种基于隔离加密的数据库访问方法,其特征在于,用于访问设备与数据库进行数据访问;所述方法包括:
所述访问设备上的登陆用户通过所述访问设备向所述数据库发送认证信息;所述认证信息包括登陆所述访问设备的登陆用户标识;
所述数据库根据所述认证信息打开数据交互通道;
所述访问设备通过所述数据交互通道向所述数据库发送访问指令;所述访问指令用于指示需要访问的数据;
所述数据库根据所述访问指令,通过第一密钥对所述需要访问的数据进行加密,得到加密数据包,并反馈所述加密数据包和第二密钥;所述第二密钥用于根据还原编码规则得到所述第一密钥;
所述访问设备根据所述第二密钥和所述还原编码规则,得到所述第一密钥,并根据所述第一密钥对所述加密数据包进行解密,得到所述需要访问的数据。
在本申请实施例中,所有用户的数据均通过云存储在数据库中,用户通过访问设备登录数据库,从而访问该用户存储在数据库中的需要访问的数据。在这个过程中,用户首先在访问设备上向数据库发送认证信息,该认证信息包括用户的用户标识。数据库根据用户标识判断是否为该用户,而后根据认证信息打开数据交互通道。而后用户根据访问设备,通过数据交互通道向数据库发送访问指令,该访问指令用来指示用户需要从数据库中访问的数据。数据库接收到访问指令后,根据访问指令调取出需要访问的数据。因每个用户与数据库之间都通过云连接的数据交互通道实现数据交互,故数据库直接向访问设备发送需要访问的数据会存在泄密风险。故,数据库将需要访问的数据进行加密后,再通过数据交互通道发送到访问设备。在加密的过程中,传统的采用密钥对数据进行加密的方式存在一定的不可靠性,容易被破解。在本申请中,数据库和访问设备中都嵌入有还原编码规则单元。数据库生成第二密钥,根据第二密钥,采用还原编码规则单元生成第一密钥,由第一密钥对需要访问的数据进行加密,得到加密数据包,而后,通过数据交互通道将加密数据包和第二密钥传输至访问设备。访问设备接收到加密数据包和第二密钥后,通过还原编码规则和第二密钥得到第一密钥,并通过第一密钥解密得到加密数据包中的需要访问的数据,从而完成了用户通过访问设备从数据库中访问数据的操作。通过该访问方式,可以增加多用户的应用场景下,每个用户(租户)访问数据库的数据安全性。
在一种可能的实施方式中,所述访问指令还包括所述登陆用户的用户密码。
在一种可能的实施方式中,所述访问指令还包括所述访问设备的设备标识。
在一种可能的实施方式中,使用双向传输层安全性协议机制进行认证信息验证,并构造数据交互通道。
第二方面,本申请实施例还提供了一种基于隔离加密的数据库访问系统,其特征在于,所述数据库访问系统包括访问设备和数据库;
所述访问设备用于,向所述数据库发送认证信息;所述认证信息包括登陆所述访问设备的登陆用户的登陆用户标识;
所述数据库用于,根据所述认证信息打开数据交互通道;
所述访问设备还用于,通过所述数据交互通道向所述数据库发送访问指令;所述访问指令用于指示需要访问的数据;
所述数据库还用于,根据所述访问指令,通过第一密钥对所述需要访问的数据进行加密,得到加密数据包,并反馈所述加密数据包和第二密钥;所述第二密钥用于根据还原编码规则得到所述第一密钥;
所述访问设备还用于,根据所述第二密钥和所述还原编码规则,得到所述第一密钥,并根据所述第一密钥对所述加密数据包进行解密,得到所述需要访问的数据。
在一种可能的实施方式中,所述访问指令还包括所述登陆用户的用户密码。
在一种可能的实施方式中,所述访问指令还包括所述访问设备的设备标识。
在一种可能的实施方式中,所述访问设备中包括还原编码规则单元;所述还原编码规则单元内存储有所述还原编码规则;所述还原编码规则单元用于,根据所述第二密钥和所述还原编码规则得到所述第一密钥。
在一种可能的实施方式中,所述数据库还用于,使用双向传输层安全性协议机制进行认证信息验证,并构造数据交互通道。
第三方面,本申请实施例还提供了一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括指令;当指令在如第二方面所述的基于隔离加密的数据库访问系统上运行时,使得所述基于隔离加密的数据库访问系统执行如第一方面所述的方法。
关于第二方面和第三方面的技术效果,可参考第一方面的相关描述,在此不再赘述。
附图说明
图1为本申请实施例提供的一种基于隔离加密的数据库访问系统的结构示意图;
图2为本申请实施例提供的一种基于隔离加密的数据库访问方法的流程示意图;
图3为本申请实施例提供的一种访问设备的结构示意图;
图4为本申请实施例提供的一种数据库的结构示意图。
具体实施方式
需要说明的是,本申请实施例涉及的术语“第一”、“第二”等仅用于区分同一类型特征的目的,不能理解为用于指示相对重要性、数量、顺序等。
本申请实施例涉及的术语“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
本申请实施例涉及的术语“耦合”、“连接”应做广义理解,例如,可以指物理上的直接连接,也可以指通过电子器件实现的间接连接,例如通过电阻、电感、电容或其他电子器件实现的连接。
本申请实施例提出了一种基于隔离加密的数据库访问系统1000,如图1所示,数据库访问系统1000包括访问设备100和数据库200;
访问设备100用于,向数据库200发送认证信息;认证信息包括登陆访问设备100的登陆用户的登陆用户标识;
数据库200用于,根据认证信息打开数据交互通道;
访问设备100还用于,通过数据交互通道向数据库200发送访问指令;访问指令用于指示需要访问的数据;
数据库200还用于,根据访问指令,通过第一密钥对需要访问的数据进行加密,得到加密数据包,并反馈加密数据包和第二密钥;第二密钥用于根据还原编码规则得到第一密钥;
访问设备100还用于,根据第二密钥和还原编码规则,得到第一密钥,并根据第一密钥对加密数据包进行解密,得到需要访问的数据。
在本申请实施例中,所有用户的数据均通过云存储在数据库200中,用户通过访问设备100登录数据库200,从而访问该用户存储在数据库200中的需要访问的数据。在这个过程中,用户首先在访问设备100上向数据库200发送认证信息,该认证信息包括用户的用户标识。数据库200根据用户标识判断是否为该用户,而后根据认证信息打开数据交互通道。而后用户根据访问设备100,通过数据交互通道向数据库200发送访问指令,该访问指令用来指示用户需要从数据库200中访问的数据。数据库200接收到访问指令后,根据访问指令调取出需要访问的数据。因每个用户与数据库200之间都通过云连接的数据交互通道实现数据交互,故数据库200直接向访问设备100发送需要访问的数据会存在泄密风险。故,数据库200将需要访问的数据进行加密后,再通过数据交互通道发送到访问设备100。在加密的过程中,传统的采用密钥对数据进行加密的方式存在一定的不可靠性,容易被破解。在本申请中,数据库200和访问设备100中都嵌入有还原编码规则单元。数据库200生成第二密钥,根据第二密钥,采用还原编码规则单元生成第一密钥,由第一密钥对需要访问的数据进行加密,得到加密数据包,而后,通过数据交互通道将加密数据包和第二密钥传输至访问设备100。访问设备100接收到加密数据包和第二密钥后,通过还原编码规则和第二密钥得到第一密钥,并通过第一密钥解密得到加密数据包中的需要访问的数据,从而完成了用户通过访问设备100从数据库200中访问数据的操作。通过该访问方式,可以增加多用户的应用场景下,每个用户(租户)访问数据库200的数据安全性。
在一些可能的实施方式中,访问指令还包括登陆用户的用户密码。
在本申请实施例中,一般用户的用户标识还对应着用户的登录的用户密码,通过用户标识结合用户密码的形式,提高对用户进行认证的安全性。
在一些可能的实施方式中,访问指令还包括访问设备100的设备标识。
在本申请实施例中,在一些安全性要求更高的应用场景下,还需要限定每个登录用户有自己认证的专属的一个或多个访问设备100。通过每个用户对应的访问设备100才能实现从数据库200中访问数据。当用户的标识信息和访问设备100的设备标识不对应时,也不能通过认证,即不会打开数据交互通道。
在一些可能的实施方式中,数据库200使用双向传输层安全性协议(TransportLayer Security,TLS)机制进行认证信息验证,并构造数据交互通道。
基于上述如图1的系统,可以执行如下图2所示的一种基于隔离加密的数据库200访问方法:
S110、访问设备100上的登陆用户通过访问设备100向数据库200发送认证信息。
在一些可能的实施方式中,数据库200和访问设备100之间使用双向传输层安全性协议机制进行认证信息验证,并构造数据交互通道。
在一些可能的实施方式中,认证信息包括登陆访问设备100的登陆用户标识。
在本申请实施例中,数据库200通过登录用户标识实现对访问设备100上的用户的验证。
在一些可能的实施方式中,访问指令还包括登陆用户的用户密码。
在本申请实施例中,数据库200通过登录用户的用户标识及用户密码来实现对用户的认证验证。
在一些可能的实施方式中,访问指令还包括访问设备100的设备标识。
在本申请实施例中,数据库200通过登录用户的用户标识及用户密码来实现对用户的认证验证,同时,在验证的过程中,还需要识别访问设备100的设备标识与用户标识之间的一致性。
S120、数据库200根据认证信息打开数据交互通道。
在本申请实施例中,数据库200通过认证信息验证用户是否为正确的用户,若验证通过,则打开数据交互通道,反之,则关闭数据交互通道。
S130、访问设备100通过数据交互通道向数据库200发送访问指令;访问指令用于指示需要访问的数据。
在本申请实施例中,当数据交互通道打开时,代表数据库200验证通过,此时,访问设备100上登录的用户即可根据需要选择需要访问的数据,并向数据库200发送对应的访问指令。
S140、数据库200根据访问指令,通过第一密钥对需要访问的数据进行加密,得到加密数据包,并反馈加密数据包和第二密钥;第二密钥用于根据还原编码规则得到第一密钥。
在本申请实施例中,为了数据访问的安全性,数据库200需要对需要访问的数据进行加密。在加密的过程中,传统的采用密钥对数据进行加密的方式存在一定的不可靠性,容易被破解。在本申请中,数据库200和访问设备100中都嵌入有还原编码规则单元。数据库200生成第二密钥,根据第二密钥,采用还原编码规则单元生成第一密钥,由第一密钥对需要访问的数据进行加密,得到加密数据包,而后,通过数据交互通道将加密数据包和第二密钥传输至访问设备100。
S150、访问设备100根据第二密钥和还原编码规则,得到第一密钥,并根据第一密钥对加密数据包进行解密,得到需要访问的数据。
在本申请实施例中,访问设备100接收到加密数据包和第二密钥后,通过还原编码规则和第二密钥得到第一密钥,并通过第一密钥解密得到加密数据包中的需要访问的数据,从而完成了用户通过访问设备100从数据库200中访问数据的操作。通过该访问方式,可以增加多用户的应用场景下,每个用户(租户)访问数据库200的数据安全性。
在一些可能的实施方式中,如图3所示,访问设备100中包括处理器10和存储器20。存储器中包括计算机可读存储介质,该计算机可读存储介质上包括指令;当指令在上述访问设备100上运行时,使得所述访问设备100执行如上图2所述的方法。
在一些可能的实施方式中,如图4所示,数据库200中包括处理器10和存储器20。存储器中包括计算机可读存储介质,该计算机可读存储介质上包括指令;当指令在上述访问设备100上运行时,使得所述访问设备100执行如上图2所述的方法。
本申请实施例涉及的处理器可以是一个芯片。例如,可以是现场可编程门阵列(field programmablegatearray,FPGA),可以是专用集成芯片(applicationspecificintegratedcircuit,ASIC),还可以是系统芯片(systemonchip,SoC),还可以是中央处理器(centralprocessorunit,CPU),还可以是网络处理器(networkprocessor,NP),还可以是数字信号处理电路(digital signalprocessor,DSP),还可以是微控制器(microcontrollerunit,MCU),还可以是可编程控制器(programmablelogicdevice,PLD)或其他集成芯片。
本申请实施例涉及的存储器可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(read-onlymemory,ROM)、可编程只读存储器(programmableROM,PROM)、可擦除可编程只读存储器(erasablePROM,EPROM)、电可擦除可编程只读存储器(electricallyEPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(randomaccessmemory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(staticRAM,SRAM)、动态随机存取存储器(dynamicRAM,DRAM)、同步动态随机存取存储器(synchronousDRAM,SDRAM)、双倍数据速率同步动态随机存取存储器(doubledatarateSDRAM,DDRSDRAM)、增强型同步动态随机存取存储器(enhancedSDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlinkDRAM,SLDRAM)和直接内存总线随机存取存储器(directrambusRAM,DRRAM)。应注意,本文描述的系统和方法的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的模块及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个设备,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个设备,或者也可以分布到多个设备上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个设备中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个设备中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(DigitalSubscriberLine,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如,软盘、硬盘、磁带),光介质(例如,DVD)、或者半导体介质(例如固态硬盘(SolidStateDisk,SSD))等。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种基于隔离加密的数据库访问方法,其特征在于,用于访问设备与数据库进行数据访问;所述方法包括:
所述访问设备上的登陆用户通过所述访问设备向所述数据库发送认证信息;所述认证信息包括登陆所述访问设备的登陆用户标识;
所述数据库根据所述认证信息打开数据交互通道;
所述访问设备通过所述数据交互通道向所述数据库发送访问指令;所述访问指令用于指示需要访问的数据;
所述数据库根据所述访问指令,通过第一密钥对所述需要访问的数据进行加密,得到加密数据包,并反馈所述加密数据包和第二密钥;所述第二密钥用于根据还原编码规则得到所述第一密钥;
所述访问设备根据所述第二密钥和所述还原编码规则,得到所述第一密钥,并根据所述第一密钥对所述加密数据包进行解密,得到所述需要访问的数据。
2.根据权利要求1所述的方法,其特征在于,所述访问指令还包括所述登陆用户的用户密码。
3.根据权利要求1所述的方法,其特征在于,所述访问指令还包括所述访问设备的设备标识。
4.根据权利要求1-3任一项所述的方法,其特征在于,使用双向传输层安全性协议机制进行认证信息验证,并构造数据交互通道。
5.一种基于隔离加密的数据库访问系统,其特征在于,所述数据库访问系统包括访问设备和数据库;
所述访问设备用于,向所述数据库发送认证信息;所述认证信息包括登陆所述访问设备的登陆用户的登陆用户标识;
所述数据库用于,根据所述认证信息打开数据交互通道;
所述访问设备还用于,通过所述数据交互通道向所述数据库发送访问指令;所述访问指令用于指示需要访问的数据;
所述数据库还用于,根据所述访问指令,通过第一密钥对所述需要访问的数据进行加密,得到加密数据包,并反馈所述加密数据包和第二密钥;所述第二密钥用于根据还原编码规则得到所述第一密钥;
所述访问设备还用于,根据所述第二密钥和所述还原编码规则,得到所述第一密钥,并根据所述第一密钥对所述加密数据包进行解密,得到所述需要访问的数据。
6.根据权利要求5所述的系统,其特征在于,所述访问指令还包括所述登陆用户的用户密码。
7.根据权利要求5所述的系统,其特征在于,所述访问指令还包括所述访问设备的设备标识。
8.根据权利要求5所述的系统,其特征在于,所述访问设备中包括还原编码规则单元;所述还原编码规则单元内存储有所述还原编码规则;所述还原编码规则单元用于,根据所述第二密钥和所述还原编码规则得到所述第一密钥。
9.根据权利要求5-8任一项所述的系统,其特征在于,所述数据库还用于,使用双向传输层安全性协议机制进行认证信息验证,并构造数据交互通道。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括指令;当指令在如权利要求5-9任一项所述的基于隔离加密的数据库访问系统上运行时,使得所述基于隔离加密的数据库访问系统执行如权利要求1-4任一项所述的方法。
CN202310236590.7A 2023-03-13 2023-03-13 一种基于隔离加密的数据库访问方法及系统 Pending CN116455603A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310236590.7A CN116455603A (zh) 2023-03-13 2023-03-13 一种基于隔离加密的数据库访问方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310236590.7A CN116455603A (zh) 2023-03-13 2023-03-13 一种基于隔离加密的数据库访问方法及系统

Publications (1)

Publication Number Publication Date
CN116455603A true CN116455603A (zh) 2023-07-18

Family

ID=87129210

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310236590.7A Pending CN116455603A (zh) 2023-03-13 2023-03-13 一种基于隔离加密的数据库访问方法及系统

Country Status (1)

Country Link
CN (1) CN116455603A (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101312398A (zh) * 2007-05-23 2008-11-26 三星电子株式会社 加密并发送内容的方法和设备以及解密内容的方法和设备
CN108875004A (zh) * 2018-06-15 2018-11-23 江苏神州信源系统工程有限公司 资源访问方法及装置
CN110232292A (zh) * 2019-05-06 2019-09-13 平安科技(深圳)有限公司 数据访问权限认证方法、服务器及存储介质
US20200202031A1 (en) * 2017-05-10 2020-06-25 Siemens Aktiengesellschaft Apparatus and method for providing a secure database access
CN111783075A (zh) * 2020-06-28 2020-10-16 平安普惠企业管理有限公司 基于密钥的权限管理方法、装置、介质及电子设备
CN111935094A (zh) * 2020-07-14 2020-11-13 北京金山云网络技术有限公司 数据库访问方法、装置、系统及计算机可读存储介质
CN113010911A (zh) * 2021-02-07 2021-06-22 腾讯科技(深圳)有限公司 一种数据访问控制方法、装置及计算机可读存储介质
CN115374424A (zh) * 2022-08-19 2022-11-22 平安壹钱包电子商务有限公司 数据库的访问方法、装置、电子设备及存储介质

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101312398A (zh) * 2007-05-23 2008-11-26 三星电子株式会社 加密并发送内容的方法和设备以及解密内容的方法和设备
US20200202031A1 (en) * 2017-05-10 2020-06-25 Siemens Aktiengesellschaft Apparatus and method for providing a secure database access
CN108875004A (zh) * 2018-06-15 2018-11-23 江苏神州信源系统工程有限公司 资源访问方法及装置
CN110232292A (zh) * 2019-05-06 2019-09-13 平安科技(深圳)有限公司 数据访问权限认证方法、服务器及存储介质
CN111783075A (zh) * 2020-06-28 2020-10-16 平安普惠企业管理有限公司 基于密钥的权限管理方法、装置、介质及电子设备
CN111935094A (zh) * 2020-07-14 2020-11-13 北京金山云网络技术有限公司 数据库访问方法、装置、系统及计算机可读存储介质
CN113010911A (zh) * 2021-02-07 2021-06-22 腾讯科技(深圳)有限公司 一种数据访问控制方法、装置及计算机可读存储介质
CN115374424A (zh) * 2022-08-19 2022-11-22 平安壹钱包电子商务有限公司 数据库的访问方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
US11470054B2 (en) Key rotation techniques
CN109150835B (zh) 云端数据存取的方法、装置、设备及计算机可读存储介质
CN105103119B (zh) 数据安全服务系统
US7231526B2 (en) System and method for validating a network session
CN110990827A (zh) 一种身份信息验证方法、服务器及存储介质
CN105516110B (zh) 移动设备安全数据传送方法
US9721071B2 (en) Binding of cryptographic content using unique device characteristics with server heuristics
CA2899027C (en) Data security service
US11750395B2 (en) System and method for blockchain-based multi-factor security authentication between mobile terminal and IoT device
US20090063861A1 (en) Information security transmission system
CN103246842A (zh) 用于验证和数据加密的方法和设备
CN104662870A (zh) 数据安全管理系统
US11336627B2 (en) Packet inspection and forensics in an encrypted network
CN106789024B (zh) 一种远程解锁方法、装置和系统
US20220014367A1 (en) Decentralized computing systems and methods for performing actions using stored private data
CN106685973A (zh) 记住登录信息的方法及装置、登录控制方法及装置
US11468177B2 (en) Apparatus and method for encrypting data in a data storage system
US11811739B2 (en) Web encryption for web messages and application programming interfaces
US20230269078A1 (en) Key sharing method, key sharing system, authenticating device, authentication target device, recording medium, and authentication method
CN103152326A (zh) 一种分布式认证方法及认证系统
CN111510288B (zh) 密钥管理方法、电子设备及存储介质
CN114679299B (zh) 通信协议加密方法、装置、计算机设备和存储介质
CN111291398A (zh) 基于区块链的认证方法、装置、计算机设备及存储介质
WO2014158197A1 (en) Securing user credentials
US11520935B2 (en) Methods and apparatus for performing secure back-up and restore

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20230718