CN117272358A - 数据存储加密方法、装置、电子设备和计算机程序产品 - Google Patents

数据存储加密方法、装置、电子设备和计算机程序产品 Download PDF

Info

Publication number
CN117272358A
CN117272358A CN202210672472.6A CN202210672472A CN117272358A CN 117272358 A CN117272358 A CN 117272358A CN 202210672472 A CN202210672472 A CN 202210672472A CN 117272358 A CN117272358 A CN 117272358A
Authority
CN
China
Prior art keywords
data
sensitive
data stream
encryption
field
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210672472.6A
Other languages
English (en)
Inventor
林素标
陈智扬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Guangdong Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Guangdong Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Guangdong Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202210672472.6A priority Critical patent/CN117272358A/zh
Publication of CN117272358A publication Critical patent/CN117272358A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

本申请涉及信息安全技术领域,提供一种数据存储加密方法、装置、电子设备和计算机程序产品。所述方法包括:根据面向数据切面AOD组件引入应用系统的第一数据流;确定第一数据流的字段属性,根据字段属性以及加密密钥对第一数据流中的敏感数据进行加密,并将加密后的第一数据流存储至数据库;获取数据库基于数据访问请求返回的第二数据流,根据解密密钥对第二数据流中的敏感数据进行解密,并将解密后的第二数据流发送至应用系统。通过AOD服务器对入库数据加密,出库数据解密,无需改造并增加应用系统额外开销,从而提高了数据加解密的效率。

Description

数据存储加密方法、装置、电子设备和计算机程序产品
技术领域
本申请涉及信息安全技术领域,具体涉及一种数据存储加密方法、装置、电子设备和计算机程序产品。
背景技术
目前,在业务网络系统中,通常在网络中直接使用明文传输和存储,导致数据容易被不法分子截取或篡改,安全性隐患大,所以对客户端与服务端的传输数据加密,是网络通信中必不可少的。目前,主流的加密手段措施包括:硬件加密方式、公私钥加密方式、SDK控件加密方式、AOE-ODBC加密方式等。但是,现有的加解密方式需要改造并增加系统额外开销,从而影响系统的性能,继而降低数据加解密效率。
发明内容
本申请实施例提供一种数据存储加密方法、装置、电子设备和计算机程序产品,用以解决数据加解密效率低的技术问题。
第一方面,本申请实施例提供一种数据存储加密方法,包括:
根据面向数据切面AOD组件引入应用系统的第一数据流;
确定所述第一数据流的字段属性,根据所述字段属性以及加密密钥对所述第一数据流中的敏感数据进行加密,并将加密后的第一数据流存储至数据库;
获取所述数据库基于数据访问请求返回的第二数据流,根据解密密钥对所述第二数据流中的敏感数据进行解密,并将解密后的第二数据流发送至所述应用系统。
在一个实施例中,所述根据所述字段属性以及加密密钥对所述第一数据流中的敏感数据进行加密,包括:
若所述字段属性为敏感字段,则根据所述加密密钥对所述敏感字段中的每个字符进行加密,所述敏感字段包括所述敏感数据;
若所述字段属性为目标字段,则确定所述目标字段的敏感数据,根据所述加密密钥对所述敏感数据中的每个字符进行加密。
在一个实施例中,所述确定所述目标字段的敏感数据,包括:
根据敏感模型对所述目标字段进行敏感识别,得到所述目标字段的敏感数据。
在一个实施例中,所述根据所述字段属性以及加密密钥对所述第一数据流中的敏感数据进行加密之前,包括:
接收数据加密系统基于密钥轮换机制发送的加密密钥;
将所述加密密钥替换历史加密密钥,并保存所述历史加密密钥。
在一个实施例中,所述根据所述字段属性以及加密密钥对所述第一数据流中的敏感数据进行加密,并将加密后的第一数据流存储至数据库之后,所述方法,还包括:
接收数据的查询指令;
根据所述加密密钥对所述查询指令中的每个字符进行加密,将加密后的查询指令与所述数据库中的加密数据进行匹配;
根据匹配结果确定查询结果。
在一个实施例中,所述根据解密密钥对所述第二数据流中的敏感数据进行解密之前,包括:
根据所述数据访问请求确定请求方的访问权限;
若所述请求方的访问权限为有权访问,则执行根据解密密钥对所述第二数据流中的敏感数据进行解密的步骤;
若所述请求方的访问权限为无权访问,则将所述第二数据流发送至所述应用系统。
在一个实施例中,所述根据解密密钥对所述第二数据流中的敏感数据进行解密,包括:
根据数据库协议对所述第二数据流进行解析得到解析数据,确定所述解析数据的字段属性;
若所述字段属性为敏感字段,则根据密钥标识从数据加密系统中获取所述解密密钥;
根据所述解密密钥对所述敏感字段中的敏感数据进行解密。
第二方面,本申请实施例提供一种数据存储加密装置,包括:
引流模块,用于根据面向数据切面AOD组件引入应用系统的第一数据流;
加密模块,用于确定所述第一数据流的字段属性,根据所述字段属性以及加密密钥对所述第一数据流中的敏感数据进行加密,并将加密后的第一数据流存储至数据库;
解密模块,用于获取所述数据库基于数据访问请求返回的第二数据流,根据解密密钥对所述第二数据流中的敏感数据进行解密,并将解密后的第二数据流发送至所述应用系统。
第三方面,本申请实施例提供一种电子设备,包括处理器和存储有计算机程序的存储器,所述处理器执行所述程序时实现第一方面所述的数据存储加密方法的步骤。
第四方面,本申请实施例提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现第一方面所述的数据存储加密方法的步骤。
本申请实施例提供的数据存储加密方法、装置、电子设备和计算机程序产品,通过根据面向数据切面AOD组件引入应用系统的第一数据流;确定第一数据流的字段属性,根据字段属性以及加密密钥对第一数据流中的敏感数据进行加密,并将加密后的第一数据流存储至数据库;获取数据库基于数据访问请求返回的第二数据流,根据解密密钥对第二数据流中的敏感数据进行解密,并将解密后的第二数据流发送至应用系统。通过AOD服务器对入库数据加密,出库数据解密,无需改造并增加应用系统额外开销,从而提高了数据加解密的效率。
附图说明
为了更清楚地说明本申请或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的数据存储加密方法的流程示意图之一;
图2是本申请实施例提供的数据存储加密方法的流程示意图之二;
图3是本申请实施例提供的数据存储加密方法的流程示意图之三;
图4是本申请实施例提供的数据存储加密方法的流程示意图之四;
图5是本申请实施例提供的AOD服务器的工作流程示意图;
图6是本申请实施例提供的AOD加密原理示意图;
图7是本申请实施例提供的AOD解密原理示意图;
图8是本申请实施例提供的数据存储加密装置的结构示意图;
图9是本申请实施例提供的电子设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1是本申请实施例提供的数据存储加密方法的流程示意图之一。参照图1,本申请实施例提供一种数据存储加密方法,可以包括:
步骤S10,根据面向数据切面AOD组件引入应用系统的第一数据流;
需要说明的是,本申请在应用系统中引入AOD(Aspect Oriented data,面向数据切面)组件,也即将AOD组件切入应用系统与数据库之间的TCP链接,实现对敏感数据存储加解密,将AOD组件部署到应用系统后,可以为数据访问层增强安全模块。其中,AOD组件对应有AOD服务器,AOD服务器通过AOD组件引流方式来解析SQL(Structured Query Language,结构化查询语言)和识别用户身份,对入库数据加密,对出库数据解密。同时,通过AOD组件引流方式可以为数据库中的敏感数据提供安全访问机制,形成面向业务应用系统的部署模式,实现向应用系统提供零改造的自动化动态E&D(Encode&Decode,加密/解密)敏感数据策略服务的能力。
可以理解的是,AOD服务器相当于一个代理服务器,用于对入库数据加密,出库数据解密,新增字段精准监控、敏感数据识别、密钥轮换等。可选地,AOD服务器可以与应用系统安装在同一服务器中,分别对应不同的服务程序。
应用系统设有AOD插件,通过AOD插件与AOD服务器连接,当应用系统写入数据到数据库时,通过AOD组件进行数据切入处理,将应用系统写入数据库的第一数据流引入到AOD服务器中,其中,应用系统通过TCP链接与数据库通信,AOD组件引流是指将TCP链接的数据(即应用系统与数据库的通信数据)引入到AOD服务器中。
步骤S20,确定所述第一数据流的字段属性,根据所述字段属性以及加密密钥对所述第一数据流中的敏感数据进行加密,并将加密后的第一数据流存储至数据库;
AOD服务器在获取第一数据流后,对该数据流进行解析,然后确定第一数据流的字段属性,该字段属性包括白名单、未知字段(即目标字段)和敏感字段,其中,白名单不包括敏感数据、未知字段可能包括敏感数据、敏感字段包括敏感数据,可以理解的是,敏感数据可以包括用户电话号码、身份证号码、用户名、邮箱等信息。
为保证信息的安全,需要对敏感数据进行加密处理,具体地,在确定字段属性后,基于该字段属性确定敏感数据,然后采用加密密钥对敏感数据进行加密,并将加密后的第一数据流存储至数据库,其中,加密后的第一数据流包括加密的敏感数据以及未加密的非敏感数据。
需要说明的是,本申请基于国密算法(对称加密使用SM4,不对称加密使用SM2)对敏感数据进行加密。
在一个实施例中,所述根据所述字段属性以及加密密钥对所述第一数据流中的敏感数据进行加密,包括:
步骤S21,若所述字段属性为敏感字段,则根据所述加密密钥对所述敏感字段中的每个字符进行加密,所述敏感字段包括所述敏感数据;
步骤S22,若所述字段属性为目标字段,则确定所述目标字段的敏感数据,根据所述加密密钥对所述敏感数据中的每个字符进行加密。
具体地,如果字段属性为敏感字段,则根据加密密钥对敏感字段中的每个字符进行加密,也即,在加密敏感字段的敏感数据时以单个字符为颗粒度进行加密操作,例如,假设敏感数据为邮箱12306@qq.com,在加密时,对每个字符(如数字、符号和字母)进行加密。
如果字段属性为目标字段,则确定目标字段的敏感数据,然后根据加密密钥对敏感数据中的每个字符进行加密,例如,如果字段属性为未知字段,则对未知字段进行敏感识别确定敏感数据,然后采用加密密钥对敏感数据中的每个字符进行加密。
本申请实施例通过对敏感数据进行加密,提升敏感资产的管理能力,防范敏感数据泄露安全风险,从而提高了信息的安全性,同时,通过AOD服务器对敏感数据进行加密,降低了敏感数据的管理成本。
在一个实施例中,所述确定所述目标字段的敏感数据,包括:
步骤S220,根据敏感模型对所述目标字段进行敏感识别,得到所述目标字段的敏感数据。
在进行敏感数据识别时,将目标字段的数据输入敏感模型,通过敏感模型对数据进行自动识别,得到目标字段的敏感数据,其中,该敏感模型可以为NPL(Natural LanguageProcessing,自然语言处理)敏感模型。
需要说明的是,如果单次需要识别的数据比较多,也即需要处理的SQL数据比较长,为减少服务器性能负载,可以动态设置处理的SQL数据行数,例如,每次处理100行数据,应用NPL敏感模型智能识别手段进行采集匹配,当发现敏感数据时,自动或手动添加敏感级别标签、采集样本数据,并对敏感字段进行收录到数据仓库登记,同时,对于一些应用数据需要忽略处理的表字段,通过白名单进行忽略处理。
本申请实施例通过敏感模型对敏感字段进行自动识别,无需操作管理人员手工配置对指定库表字段的加密数据,从而提高了敏感数据的识别效率。
在一个实施例中,参考图6,基于AOD服务器的加密原理为:
1、应用系统引入AOD组件;
2、应用系统写入数据到数据库;
3、AOD组件切入处理;
4、通过AOD组件引流,针对业务连接数据库信息进行协议解析,实现对数据库操作命令获取,完成对应字段加密处理;
5、判断数据的字段属性,如果字段属性为白名单不做处理,直接将白名单数据存储至数据库;
6、如果字段属性为未知字段,则通过NLP敏感模型识别是否为敏感数据;如果是敏感数据,则增加敏感数据所在的字段为敏感字段,并对敏感字段进行加密处理;如果不是敏感数据,则直接将该数据存储至数据库;
7、如果字段属性为敏感字段,直接对敏感字段进行加密处理;
8、将加密后的数据流引出,并写入数据库。
本申请实施例通过对应用服务与数据库之间的TCP链接进行透明引流的方式对数据库中的敏感字段进行字段级别加密保护,提高了信息的安全性以及数据的加密效率。
步骤S30,获取所述数据库基于数据访问请求返回的第二数据流,根据解密密钥对所述第二数据流中的敏感数据进行解密,并将解密后的第二数据流发送至所述应用系统。
当用户由前端发出数据访问请求时,数据库基于该数据访问请求向AOD服务器返回第二数据流,AOD服务器获取到该第二数据流后,采用解密密钥对第二数据流中的敏感数据进行解密,然后将解密后的第二数据流发送至应用系统。
在一个实施例中,所述根据解密密钥对所述第二数据流中的敏感数据进行解密,包括:
步骤S31,根据数据库协议对所述第二数据流进行解析得到解析数据,确定所述解析数据的字段属性;
步骤S32,若所述字段属性为敏感字段,则根据密钥标识从数据加密系统中获取所述解密密钥;
步骤S33,根据所述解密密钥对所述敏感字段中的敏感数据进行解密。
具体地,AOD服务器基于数据库协议对第二数据流进行解析得到解析数据,然后确定该解析数据的字段属性,如果字段属性为敏感字段,则根据密钥标识从数据加密系统中获取解密密钥,可以理解的是,正常数据加密后会添加密钥标识,在数据解密时,直接通过密钥标识在数据加密系统中获取对应的解密密钥。采用该解密密钥对敏感字段中的敏感数据进行解密,如果敏感字段为白名单,说明不是敏感数据,则无需解密处理。
本申请实施例通过AOD服务器对第二数据流进行解析,以及确定字段属性,并对字段属性为敏感字段的数据进行解密,而对于白名单数据则直接输出,从而提高数据的解密效率。
在一个实施例中,参考图7,基于AOD服务器的解密原理为:
1、通过AOD组件捕获数据库访问返回的数据流,针对数据库协议进行解析;
2、判断数据库返回的数据流的字段属性,如果字段属性为敏感字段,则进行解密操作;
3、如果字段属性为白名单,则直接输出;
4、返回处理结果给应用系统。
本申请实施例通过AOD组件捕获数据库访问返回的数据流,基于该数据流的字段属性进行解密操作,提高了数据的解密效率。
本申请实施例提供的数据存储加密方法,通过根据面向数据切面AOD组件引入应用系统的第一数据流;确定第一数据流的字段属性,根据字段属性以及加密密钥对第一数据流中的敏感数据进行加密,并将加密后的第一数据流存储至数据库;获取数据库基于数据访问请求返回的第二数据流,根据解密密钥对第二数据流中的敏感数据进行解密,并将解密后的第二数据流发送至应用系统。通过AOD服务器对入库数据加密,出库数据解密,无需改造并增加应用系统额外开销,从而提高了数据加解密的效率。
参考图2,图2是本申请实施例提供的数据存储加密方法的流程示意图之二。在本申请实施例中,所述根据所述字段属性以及加密密钥对所述第一数据流中的敏感数据进行加密之前,包括:
步骤S23,接收数据加密系统基于密钥轮换机制发送的加密密钥;
步骤S24,将所述加密密钥替换历史加密密钥,并保存所述历史加密密钥。
需要说明的是,数据的安全依赖于密钥的安全,如果重复使用相同的加密密钥,会对加密密钥的安全造成风险,因此,为了确保加密密钥的安全性,本申请采用密钥轮换机制更新密钥,以减少每个密钥加密的数据量,增强应对安全事件的能力以及加强对数据的隔离能力。
AOD服务器与数据加密系统后端加密机对接,数据加密系统向AOD服务器提供加密、解密、策略推送等功能,通过心跳连接的方式定期分发更新密钥给AOD服务器使用,AOD服务器利用数据加密系统提供相应密码运算能力采用组件方式接入到应用流程中。具体地,数据加密系统通过心跳连接的方式将新的加密密钥基于密钥传输通道进行密钥传输,其中,密钥传输通道为国密加密安全通道,能防止密钥被捕获、整个密钥落地和密码运算符合密码安全标准要求,满足密码服务的合规性、完整性和安全性要求。AOD服务器接收到新的加密密钥后,将新的加密密钥替换历史加密密钥,并自动保存历史加密密钥,同时,采用新的加密密钥对敏感数据进行加密。
本申请实施例采用统一集中密钥管控和轮换机制,实现数据加密密钥隔离存放,根据密钥安全策略,及时对密钥进行轮换,通过密钥传输通道传输加密密钥,采用对应的方式对密钥进行安全解密后使用,消灭密钥信息孤岛并杜绝业务系中自存密钥模式,也即将密码应用从传统“内嵌式”升级为“外挂式”,有效保护重要数据资产加解密的安全,消除监守自盗的风险,防范密钥泄露,为应用提供一致性的密钥管理策略,易于配置和管理,减少密钥管理的维护成本。
参考图3,图3是本申请实施例提供的数据存储加密方法的流程示意图之三。在本申请实施例中,所述根据所述字段属性以及加密密钥对所述第一数据流中的敏感数据进行加密,并将加密后的第一数据流存储至数据库之后,所述方法,还包括:
步骤S40,接收数据的查询指令;
步骤S50,根据所述加密密钥对所述查询指令中的每个字符进行加密,将加密后的查询指令与所述数据库中的加密数据进行匹配;
步骤S60,根据匹配结果确定查询结果。
本申请支持对加密后的数据进行模糊查询操作,具体地,当用户由前端发出数据的查询指令时,该查询指令经应用系统发送至AOD服务器,AOD服务器在接收到该查询指令后,采用加密密钥对该查询指令中的每个字符进行加密,然后,将加密后的查询指令与数据库中的加密数据进行匹配,基于匹配结果确定查询结果。例如,假设查询指令为“查询电话号码为13855506666的用户”,确定该查询指令中的敏感数据对应的加密密钥,然后使用该加密密钥对查询指令中的每个字符进行加密,再将加密后的每个字符拼接起来,将拼接后的加密数据与数据库中的加密数据进行匹配查询。
本本申请实施例通过对查询指令进行加密处理,基于加密后的查询指令实现对数据库中的加密数据进行模糊查询,从而提高数据的查询效率。
参考图4,图4是本申请实施例提供的数据存储加密方法的流程示意图之四。在本申请实施例中,所述根据解密密钥对所述第二数据流中的敏感数据进行解密之前,包括:
步骤S34,根据所述数据访问请求确定请求方的访问权限;
步骤S35,若所述请求方的访问权限为有权访问,则执行根据解密密钥对所述第二数据流中的敏感数据进行解密的步骤;
步骤S36,若所述请求方的访问权限为无权访问,则将所述第二数据流发送至所述应用系统。
为保证信息的安全,当用户访问数据库中的数据时,需要确定用户的访问权限,基于访问权限对数据进行处理。具体地,AOD服务器基于数据访问请求确定请求方的访问权限,其中,请求方包括用户或者其他平台。如果请求方的访问权限为有权访问,根据解密密钥对第二数据流中的敏感数据进行解密,并将解密后的第二数据流发送至应用系统;如果请求方的访问权限为无权访问,则无需对第二数据流进行解密处理,直接将第二数据流发送至应用系统。例如,对数据源加密存储的表字段进行细粒度的授权,通过IP地址、端口号、数据库实例等信息,确认应用链接所属的数据库实例,从而确认敏感表字段不会重复,当授权的IP和应用系统访问数据源时,可以获得解密后明文,而未授权应用只能获取密文。
本申请实施例通过数据访问请求确定请求方的访问权限,如果请求方有访问权限,则返回解密后的明文,如果请求方没有访问权限,则返回密文,基于此,提高了信息的安全性。
参考图5,图5是本申请实施例提供的AOD服务器的工作流程示意图。
本申请在应用系统中引入AOD组件,将AOD组件切入应用系统与数据库之间的TCP链接,实现对敏感数据存储加解密,其中,应用系统包括前端、后端以及AOD插件,前端与用户对接,用于接收用户发送的各种控制指令,应用系统基于AOD插件与AOD服务器连接。
本申请支持多种类型的数据库,如人大金仓数据库、达梦数据库等,目标是持续改善和保护企业内部敏感信息资产的梳理和治理。
AOD服务器重新封装和覆盖数据库访问连接的组件模块,完成对数据库访问过程中的敏感数据进行透明加解密处理,并通过AOD服务器获取数据加密系统的密钥,再使用密钥加解密数据。例如,当用户由前端发出加密服务请求时,由AOD服务器获取数据加密系统的对应数据库敏感字段的密钥,AOD服务器通过密钥对数据进行加密服务。当用户由前端发出解密服务请求,由AOD服务器获取数据加密系统的对应数据库敏感字段的密钥,AOD服务器通过密钥对数据进行解密服务,将明文返回给用户。可理解的是,AOD服务器用于对写入数据库的数据进行加密,对出数据库的数据进行解密,同时,还可以对新增字段精准监控、敏感模型识别、密钥轮换等。
需要说明的是,本申请为微组件式能力输出模式,方便部署调用,以不改造应用的方式,对数据进行字段级加解密,为原有应用系统增强数据安全能力。敏捷实施数据加密,能在较短时间以低风险实现数据安全防护效果,核心加解密能力以组件的形态部署到原有的应用系统中,其他的子系统、模块则以独立模式进行工作,不会影响到原有系统的运行,同时,加密系统对于原有系统是透明的,不需要原有系统进行任何架构上的、程序上的调整。
基于AOD组件方式,可适应不同场景的加解密能力,通过网络侧透明集成AOD安全能力即可完成平台相关能力调用,支持免开发式改造、部署上线快、资源投入少、对原业务系统变更造成的使用影响比较小(可忽略不计),实现加解密能力与应用共生,具备行业应用的通用性及可推广性,可一键复制,方便部署推广。
本申请实施例对应用系统进行零改造的加密算法对接,实现自动化处理敏感字段并具备监控新增字段功能和密钥自动定期轮换功能,应用AOD服务器对存储数据进行加解密,具备兼容多种数据源类型、支持结构化数据加解密,同时对于结构化数据中常见的关系型数据库,针对数据库访问采用透明引流方式进行数据库连接解析和加解密处理。业务应用系统不必改造,对于业务系统接收的明文转为密文后,基于数据库加密存储的自动化精准防护,可以适用于对IP和应用系统账号有绑定需求的场景,只有授权的IP和应用系统账号访问数据源时,才能获得明文,而未授权应用只能获取密文,基于此,不改造数据库驱动,适合通用型数据库驱动、专用型数据库驱动或各种原生数据库驱动,从而提高数据加解密的效率。
下面对本申请实施例提供的数据存储加密装置进行描述,下文描述的数据存储加密装置与上文描述的数据存储加密方法可相互对应参照。
参考图8,图8是本申请实施例提供的数据存储加密装置的结构示意图,本申请实施例提供的数据存储加密装置包括引流模块801、加密模块802和解密模块803。
所述引流模块801,用于根据面向数据切面AOD组件引入应用系统的第一数据流;
所述加密模块802,用于确定所述第一数据流的字段属性,根据所述字段属性以及加密密钥对所述第一数据流中的敏感数据进行加密,并将加密后的第一数据流存储至数据库;
所述解密模块803,用于获取所述数据库基于数据访问请求返回的第二数据流,根据解密密钥对所述第二数据流中的敏感数据进行解密,并将解密后的第二数据流发送至所述应用系统。
本申请实施例提供的数据存储加密装置,通过根据面向数据切面AOD组件引入应用系统的第一数据流;确定第一数据流的字段属性,根据字段属性以及加密密钥对第一数据流中的敏感数据进行加密,并将加密后的第一数据流存储至数据库;获取数据库基于数据访问请求返回的第二数据流,根据解密密钥对第二数据流中的敏感数据进行解密,并将解密后的第二数据流发送至应用系统。通过AOD服务器对入库数据加密,出库数据解密,无需改造并增加应用系统额外开销,从而提高了数据加解密的效率。
在一个实施例中,所述加密模块802具体用于:
若所述字段属性为敏感字段,则根据所述加密密钥对所述敏感字段中的每个字符进行加密,所述敏感字段包括所述敏感数据;
若所述字段属性为目标字段,则确定所述目标字段的敏感数据,根据所述加密密钥对所述敏感数据中的每个字符进行加密。
在一个实施例中,所述加密模块802具体用于:
根据敏感模型对所述目标字段进行敏感识别,得到所述目标字段的敏感数据。
在一个实施例中,所述加密模块802具体用于:
接收数据加密系统基于密钥轮换机制发送的加密密钥;
将所述加密密钥替换历史加密密钥,并保存所述历史加密密钥。
所述方法,还包括接收模块、查询模块和确定模块;
所述接收模块,用于接收数据的查询指令;
所述查询模块,用于根据所述加密密钥对所述查询指令中的每个字符进行加密,将加密后的查询指令与所述数据库中的加密数据进行匹配;
所述确定模块,用于根据匹配结果确定查询结果。
在一个实施例中,所述解密模块803具体用于:
根据所述数据访问请求确定请求方的访问权限;
若所述请求方的访问权限为有权访问,则执行根据解密密钥对所述第二数据流中的敏感数据进行解密的步骤;
若所述请求方的访问权限为无权访问,则将所述第二数据流发送至所述应用系统。
在一个实施例中,所述解密模块803具体用于:
根据数据库协议对所述第二数据流进行解析得到解析数据,确定所述解析数据的字段属性;
若所述字段属性为敏感字段,则根据密钥标识从数据加密系统中获取所述解密密钥;
根据所述解密密钥对所述敏感字段中的敏感数据进行解密。
图9示例了一种电子设备的实体结构示意图,如图9所示,该电子设备可以包括:处理器(processor)910、通信接口(Communication Interface)920、存储器(memory)930和通信总线940,其中,处理器910,通信接口920,存储器930通过通信总线940完成相互间的通信。处理器910可以调用存储器930中的计算机程序,以执行数据存储加密方法的步骤,例如包括:
根据面向数据切面AOD组件引入应用系统的第一数据流;
确定所述第一数据流的字段属性,根据所述字段属性以及加密密钥对所述第一数据流中的敏感数据进行加密,并将加密后的第一数据流存储至数据库;
获取所述数据库基于数据访问请求返回的第二数据流,根据解密密钥对所述第二数据流中的敏感数据进行解密,并将解密后的第二数据流发送至所述应用系统。
此外,上述的存储器930中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本申请实施例还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,所述计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各实施例所提供的数据存储加密方法的步骤,例如包括:
根据面向数据切面AOD组件引入应用系统的第一数据流;
确定所述第一数据流的字段属性,根据所述字段属性以及加密密钥对所述第一数据流中的敏感数据进行加密,并将加密后的第一数据流存储至数据库;
获取所述数据库基于数据访问请求返回的第二数据流,根据解密密钥对所述第二数据流中的敏感数据进行解密,并将解密后的第二数据流发送至所述应用系统。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (10)

1.一种数据存储加密方法,其特征在于,包括:
根据面向数据切面AOD组件引入应用系统的第一数据流;
确定所述第一数据流的字段属性,根据所述字段属性以及加密密钥对所述第一数据流中的敏感数据进行加密,并将加密后的第一数据流存储至数据库;
获取所述数据库基于数据访问请求返回的第二数据流,根据解密密钥对所述第二数据流中的敏感数据进行解密,并将解密后的第二数据流发送至所述应用系统。
2.根据权利要求1所述的数据存储加密方法,其特征在于,所述根据所述字段属性以及加密密钥对所述第一数据流中的敏感数据进行加密,包括:
若所述字段属性为敏感字段,则根据所述加密密钥对所述敏感字段中的每个字符进行加密,所述敏感字段包括所述敏感数据;
若所述字段属性为目标字段,则确定所述目标字段的敏感数据,根据所述加密密钥对所述敏感数据中的每个字符进行加密。
3.根据权利要求2所述的数据存储加密方法,其特征在于,所述确定所述目标字段的敏感数据,包括:
根据敏感模型对所述目标字段进行敏感识别,得到所述目标字段的敏感数据。
4.根据权利要求1所述的数据存储加密方法,其特征在于,所述根据所述字段属性以及加密密钥对所述第一数据流中的敏感数据进行加密之前,包括:
接收数据加密系统基于密钥轮换机制发送的加密密钥;
将所述加密密钥替换历史加密密钥,并保存所述历史加密密钥。
5.根据权利要求1所述的数据存储加密方法,其特征在于,所述根据所述字段属性以及加密密钥对所述第一数据流中的敏感数据进行加密,并将加密后的第一数据流存储至数据库之后,所述方法,还包括:
接收数据的查询指令;
根据所述加密密钥对所述查询指令中的每个字符进行加密,将加密后的查询指令与所述数据库中的加密数据进行匹配;
根据匹配结果确定查询结果。
6.根据权利要求1所述的数据存储加密方法,其特征在于,所述根据解密密钥对所述第二数据流中的敏感数据进行解密之前,包括:
根据所述数据访问请求确定请求方的访问权限;
若所述请求方的访问权限为有权访问,则执行根据解密密钥对所述第二数据流中的敏感数据进行解密的步骤;
若所述请求方的访问权限为无权访问,则将所述第二数据流发送至所述应用系统。
7.根据权利要求1所述的数据存储加密方法,其特征在于,所述根据解密密钥对所述第二数据流中的敏感数据进行解密,包括:
根据数据库协议对所述第二数据流进行解析得到解析数据,确定所述解析数据的字段属性;
若所述字段属性为敏感字段,则根据密钥标识从数据加密系统中获取所述解密密钥;
根据所述解密密钥对所述敏感字段中的敏感数据进行解密。
8.一种数据存储加密装置,其特征在于,包括:
引流模块,用于根据面向数据切面AOD组件引入应用系统的第一数据流;
加密模块,用于确定所述第一数据流的字段属性,根据所述字段属性以及加密密钥对所述第一数据流中的敏感数据进行加密,并将加密后的第一数据流存储至数据库;
解密模块,用于获取所述数据库基于数据访问请求返回的第二数据流,根据解密密钥对所述第二数据流中的敏感数据进行解密,并将解密后的第二数据流发送至所述应用系统。
9.一种电子设备,包括处理器和存储有计算机程序的存储器,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述的数据存储加密方法的步骤。
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7任一项所述的数据存储加密方法的步骤。
CN202210672472.6A 2022-06-14 2022-06-14 数据存储加密方法、装置、电子设备和计算机程序产品 Pending CN117272358A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210672472.6A CN117272358A (zh) 2022-06-14 2022-06-14 数据存储加密方法、装置、电子设备和计算机程序产品

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210672472.6A CN117272358A (zh) 2022-06-14 2022-06-14 数据存储加密方法、装置、电子设备和计算机程序产品

Publications (1)

Publication Number Publication Date
CN117272358A true CN117272358A (zh) 2023-12-22

Family

ID=89218356

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210672472.6A Pending CN117272358A (zh) 2022-06-14 2022-06-14 数据存储加密方法、装置、电子设备和计算机程序产品

Country Status (1)

Country Link
CN (1) CN117272358A (zh)

Similar Documents

Publication Publication Date Title
US7587608B2 (en) Method and apparatus for storing data on the application layer in mobile devices
US11025415B2 (en) Cryptographic operation method, method for creating working key, cryptographic service platform, and cryptographic service device
US8621036B1 (en) Secure file access using a file access server
CN110889130B (zh) 基于数据库的细粒度数据加密方法、系统及装置
US20070061870A1 (en) Method and system to provide secure data connection between creation points and use points
JP2003228519A (ja) デジタル資産にパーベイシブ・セキュリティを提供する方法及びアーキテクチャ
US20170099144A1 (en) Embedded encryption platform comprising an algorithmically flexible multiple parameter encryption system
CN107426223B (zh) 云文档加密及解密方法、加密及解密装置、以及处理系统
CN112699399A (zh) 加密数据库系统、实现加密数据库系统的方法以及装置
CN115118419B (zh) 安全芯片的数据传输方法、安全芯片装置、设备及介质
CN106992851A (zh) 基于TrustZone的数据库文件口令加解密方法、装置及终端设备
CN112861157A (zh) 一种基于去中心化身份和代理重加密的数据共享方法
JPH08320847A (ja) パスワード管理システム
US8402278B2 (en) Method and system for protecting data
CN106992978A (zh) 网络安全管理方法及服务器
CN108399341B (zh) 一种基于移动端的Windows双重文件管控系统
CN114372242A (zh) 密文数据的处理方法、权限管理服务器和解密服务器
CN111917798B (zh) 一种物联网终端管控和安全通信方法
CN108092937B (zh) 防止Web系统越权访问的方法及系统
CN110807210B (zh) 一种信息处理方法、平台、系统及计算机存储介质
CN101106451B (zh) 一种数据的传送方法和设备
KR102542213B1 (ko) 네트워크 기반 스토리지의 데이터 실시간 암복호화 보안 시스템 및 방법
CN109587134B (zh) 接口总线的安全认证的方法、装置、设备和介质
CN113901507B (zh) 一种多参与方的资源处理方法及隐私计算系统
CN117272358A (zh) 数据存储加密方法、装置、电子设备和计算机程序产品

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination