本發明專利技術適用于信息安全領域,提供了一種字段級數據庫加密裝置,包括:用戶信息存儲單元,用于存儲經用戶公共密鑰加密后的數據庫加密對稱密鑰;數據庫字段加密設置單元,用于設置數據庫中的字段是否加密;以及數據庫訪問前置處理器,用于根據解密后的數據庫加密對稱密鑰和所述數據庫字段加密設置單元中的字段加密設置信息,對數據庫訪問語句進行加密轉換或解密轉換。通過本發明專利技術實施例,用戶可以根據不同加密強度的需要選取數據庫系統所支持的不同的對稱加密算法,應用程序不需要對數據庫進行加密和解密操作,所有的數據加解密操作由數據庫系統來完成,可以支持數據項的全文檢索功能,原有的數據庫訪問語句不需要進行變更處理,直接透明使用。
【技術實現步驟摘要】
本專利技術屬于信息安全領域,尤其涉及一種字段級數據庫加密裝置。
技術介紹
數據庫是現代軟件系統中數據存儲的重要方法,數據庫中所存儲的數據往往是用戶敏感的數據,加密成為保護數據信息不被泄露的重要手段。目前,對于存儲在數據庫中的數據,根據數據性質的不同往往采用兩種不同的加密的方式。一種加密方式是不可逆的加密方式。這種方式對明文數據進行數據散列運算獲得數據的特征值,將特征值存儲到數據庫中,明文數據不存儲。由于存儲的數據僅僅保存數據的特征值,所以數據是不可還原的,具有比較大的局限性,只能用于一些特殊的數據類型,例如用戶密碼往往都采用這種方式來進行存儲,目的用于驗證用戶密碼的特征值。另外一種加密方式是可逆的加密方式,對明文數據采用加密算法進行加密,并采用相應的解密算法可以將數據解密。這種方式不會有上一種方式的局限,對各種數據都可以進行加密和解密。目前,有各種對稱算法和非對稱的算法來實現對數據庫的加密,但數據加密以后,會給數據庫訪問的操作帶來很多不良影響,包括數據解密的速度、數據字段的檢索、數據的搜索、數據的共享訪問等。具體而言,存在以下問題I、性能問題一般應用中往往采用客戶端數據解密的方式,將加密后的數據從數據庫取出后進行處理,嚴重影響數據庫訪問的性能,在數據記錄比較大的情況下,基本不能使用;2、不能進行全文檢索由于數據庫存放密文,一般采用將密文取出解密后再進行全文檢索,效率比數據庫系統直接檢索慢,對系統的開銷也很大;3、不同的用戶不能共享由于數據采用了用戶專用的密鑰進行加密,在數據需要共享的場合,則對數據不能加密;4、對字段加密不能設置對數據庫字段的加密與否不能靈活選擇,導致數據加密性能問題嚴重;5、應用系統訪問數據庫不透明應用系統需要對數據進行加密和解密的操作,不透明。
技術實現思路
本專利技術實施例提供一種字段級數據庫加密裝置,在有效地對數據庫數據加密保護的同時,能夠保留數據庫操作的各種功能。本專利技術實施例是這樣實現的,一種字段級數據庫加密裝置,所述裝置包括用戶信息存儲單元,用于存儲經用戶公共密鑰加密后的數據庫加密對稱密鑰;數據庫字段加密設置單元,用于設置數據庫中的字段是否加密;以及數據庫訪問前置處理器,用于根據解密后的數據庫加密對稱密鑰和所述數據庫字段加密設置單元中的字段加密設置信息,對數據庫訪問語句進行加密轉換或解密轉換。通過本專利技術實施例,用戶可以根據不同加密強度的需要選取數據庫系統所支持的不同的對稱加密算法,應用程序不需要對數據庫進行加密和解密操作,所有的數據加解密操作由數據庫系統來完成,可以支持數據項的全文檢索功能,原有的數據庫訪問語句不需要進行變更處理,直接透明使用,用戶僅僅在數據庫操作之前進行數據庫訪問語句的前置處理。附圖說明圖I是本專利技術實施例 提供的字段級數據庫加密裝置的結構圖;圖2是本專利技術實施例提供的應用程序對數據庫進行訪問的處理流程圖;圖3是本專利技術實施例提供的對SQL語句進行處理的流程圖。具體實施例方式為了使本專利技術的目的、技術方案及優點更加清楚明白,以下結合附圖及實施例,對本專利技術進行進一步詳細說明。應當理解,此處所描述的具體實施例僅僅用以解釋本專利技術,并不用于限定本專利技術。在本專利技術實施例中,采用用戶公共密鑰對數據庫加密對稱密鑰加密,通過對應用程序的數據庫訪問語句進行加解密轉換,在有效地對數據庫數據加密保護的同時,保留數據庫操作的各種功能。圖I示出了本專利技術實施例提供的字段級數據庫加密裝置的結構,為了便于描述和理解,僅示出了與本專利技術實施例相關的部分。用戶信息存儲單元11存儲經用戶公共密鑰Kup加密的數據庫加密對稱密鑰Kdb。在本專利技術實施例中,利用數據庫加密對稱密鑰Kdb對數據庫中的字段加密,數據庫加密對稱密鑰由數據庫管理員或應用管理員統一設置,其他人員不能修改。本專利技術實施例中,可以采用高級加密標準(Advanced Encryption Standard, AES)加密算法等數據庫系統所支持的加密算法設置數據庫加密對稱密鑰Kdb,系統管理員可以通過Web界面設置一串密碼作為密鑰。系統管理員設置數據庫加密對稱密鑰Kdb時,使用各個用戶的公共密鑰Kup對數據庫加密對稱密鑰Kdb加密,存儲到用戶信息存儲單元11中。應用程序在使用數據庫加密對稱密鑰Kdb時,利用用戶的私鑰Kus將加密后的數據庫加密對稱密鑰Kdb解密,就可以獲得數據庫加密對稱密鑰Kdb,然后可以進行后續的數據庫字段的加解密操作。每個數據庫由若干個數據表組成,每個數據表由若干個數據字段組成。數據庫字段加密設置單元12用于設置數據庫中的字段是否加密。字段的加密設置由系統管理員完成,可以通過前端界面設置。 在本專利技術實施例中,在每個數據庫中建立一個數據庫字段加密設置單元,設置相應數據庫的字段是否加密。數據庫訪問前置處理器13根據解密后的數據庫加密對稱密鑰Kdb和數據庫字段加密設置單元12中的數據庫字段加密設置信息對數據庫訪問語句進行加密轉換或解密轉換。圖2示出了應用程序對數據庫進行訪問的處理流程,詳述如下在步驟S201中,使用用戶私鑰Kus解密出數據庫加密對稱密鑰Kdb ;在步驟S202中,調用數據訪問前置處理器;在本專利技術實施例中,應用程序在調用數據訪問前置處理器13時,將解密后的數據庫加密對稱密鑰Kdb傳遞給數據訪問前置處理器13 ;在步驟S203中,使用數據訪問前置處理器13處理后的數據庫訪問語句訪問數據庫,進行相應的操作。本專利技術實施例中的數據庫一般為數據庫管理系統(Data Base ManagementSystem, DBMS),可以采用MySQL,應用程序采用超級文本預處理語言(HypertextPreprocessor, PHP),用戶端通過瀏覽器訪問,數據庫訪問一般采用數據庫結構化查詢語言(Structured Query Language, SQL)。在本專利技術實施例中,數據庫訪問前置處理器13是一個通用的SQL處理程序,根據數據庫字段加密設置單元12所設置的數據庫字段加密設置信息將SQL語句進行預處理,形成滿足加密和解密需要的SQL語句。為了提高處理性能,數據庫訪問前置處理器13通過C++實現。當用戶訪問數據庫中的數據時,應用程序通過用戶的登錄信息獲取用戶私鑰Kus,使用用戶私鑰Kus將用戶信息存儲單元11中保存的利用用戶公開密鑰Kup加密后的數據庫加密對稱密鑰Kdb進行解密,獲得數據庫加密對稱密鑰Kdb的明文。應用程序對于每個SQL語句,調用數據庫訪問前置處理器13,將數據庫加密對稱密鑰Kdb的明文傳遞給數據庫訪問前置處理器13,數據庫訪問前置處理器13根據據庫加密對稱密鑰Kdb的明文和數據庫字段加密設置信息,對SQL語句進行加解密處理,向應用程序返回處理后的SQL語句,應用程序根據處理后的SQL語句對數據庫進行訪問。如圖3所示,數據庫訪問前置處理器13根據應用程序的SQL語句的種類對SQL語句進行加解密轉換處理如果SQL語句是讀語句,則數據庫訪問前置處理器13查詢數據庫字段加密設置單元12,查看數據庫中哪些字段加密,則利用數據庫加密對稱密鑰Kdb將SQL語句轉換為解密語句,返回應用程序;如果SQL語句是寫語句,則數據庫訪問前置處理器13查詢數據庫字段加密設置單元12,查看數據庫中哪些字段需要加密,則利用數據庫加密對稱密鑰Kd本文檔來自技高網...
【技術保護點】
一種字段級數據庫加密裝置,其特征在于,所述裝置包括:用戶信息存儲單元,用于存儲經用戶公共密鑰加密后的數據庫加密對稱密鑰;數據庫字段加密設置單元,用于設置數據庫中的字段是否加密;以及數據庫訪問前置處理器,用于根據解密后的數據庫加密對稱密鑰和所述數據庫字段加密設置單元中的字段加密設置信息,對數據庫訪問語句進行加密轉換或解密轉換。
【技術特征摘要】
【專利技術屬性】
技術研發人員:鄧一輝,龔智輝,
申請(專利權)人:深圳市黎明網絡系統有限公司,深圳市商通信息技術有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。