CN105160272B - 一种基于自主可控数据库的安全加密方法及*** - Google Patents

一种基于自主可控数据库的安全加密方法及*** Download PDF

Info

Publication number
CN105160272B
CN105160272B CN201510540658.6A CN201510540658A CN105160272B CN 105160272 B CN105160272 B CN 105160272B CN 201510540658 A CN201510540658 A CN 201510540658A CN 105160272 B CN105160272 B CN 105160272B
Authority
CN
China
Prior art keywords
encryption
user
data
aes
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510540658.6A
Other languages
English (en)
Other versions
CN105160272A (zh
Inventor
缪燕
王艳
邢艳
李海
吕志来
张学深
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
Beijing Xuji Electric Co Ltd
Original Assignee
State Grid Corp of China SGCC
Beijing Xuji Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, Beijing Xuji Electric Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201510540658.6A priority Critical patent/CN105160272B/zh
Publication of CN105160272A publication Critical patent/CN105160272A/zh
Application granted granted Critical
Publication of CN105160272B publication Critical patent/CN105160272B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明提供一种基于自主可控数据库的安全加密方法及***,本发明主要是在数据管理***中植入加密保险箱来实现数据库的内核加密。采用透明的属性密码加解密技术,原始数据的敏感关键词采用屏蔽技术,数据部分采用AES算法进行对称式加解密,AES的密钥采用RAS加密算法对密钥进行非对称式的加解密。这种加密方法功能强,不影响数据库管理***(DBMS)正常使用,实现机密技术和数据库管理***完美无缝的结合。

Description

一种基于自主可控数据库的安全加密方法及***
技术领域
本发明涉及信息安全领域,尤其涉及一种自主可控数据库安全加密技术。
背景技术
随着信息技术的在广泛的运用,越来越多的信息***的数据在不断的被泄密。主要原因之一是通过各种手段对数据库的攻击导致数据的泄密。
因此如何以技术手段保障数据库的安全是一个亟待解决的问题。同时数据库的加密可以增加攻击者的破解成本,如果破解不了加密数据,非法获取的数据库的数据是无用数据。因此对数据库的数据进行加密是非常有必要的。
发明内容
本发明要解决的技术问题是,针对现有数据泄密,提供一种在数据库服务器上面的数据库的安全加密技术,解决数据库的数据的泄密问题。本发明采用的AES 256位加密技术对数据库服务器端的数据库管理***(DBMS)的内核进行的数据透明加密,并使用RSA非对称的加密算法对AES的加解密的密钥进行加解密。
本法发明通过在数据管理***中植入加密的模块(加密保险箱)来实现数据库的内核加密。该加密保险箱的基本功能如下:
功能1:身份认证和访问控制功能,用户只有通过身份认证才能访问加密保险箱,对数据进行加密,非法用户是不能访问加密保险箱对数据进行访问;
功能2:创建加密表空间功能,对通过身份认证的用户可以创建信任的安全路径和文件夹,建立加密表空间,创建的时候强制选择加密选项,***默认了AES256的加密算法进行加密,把即将加密的文件放在统一的路径,对创建的空间采用访问控制,没有通过身份认证的用户,即使是操作***的最高权限的管理员和数据库的最高管理员都无法访问该加密空间的数据,他们不能使用编辑器和SQL语句进行查看数据,必选是通过认证的合法用户;
功能3:存储和加密AES的加密密钥,加密保险里面存储了通过AES算法对数据进行加解密的密钥,可以根据用户的密码属性,并使用RAS算法对AES加解密的密钥进行加解密;
功能4:动态数据屏蔽,可以根据用户的密码属性,根据在数据库的表的列对数据库的敏感的列的级别数据进行转换屏蔽,这个只是做简单的置换,防止数据被合法用户访问时泄密。
进一步地,该加密保险箱具有支持文件加密功能,用户可以自主选择需要加密的文件,对文件进行加密;
进一步地,该加密保险箱支持属性密码,可以根据用户的需要设置密码的属性,符合属性的用户可以访问数据库的相关的表,不符合属性的用户不能访问相关的数据库的相关表,从而实现数据库的表级别的安全。
作为本发明的进一步改进,功能1的身份认证支持两类认证方式:
a.支持动态口令牌的双因子认证子模块,
b.支持用户自主设置账户密码但设置强口令的安全策略的子模块;
作为本发明的进一步改进,功能1中的身份认证的加密算法是RSA算法。
附图说明
附图为加密保险箱的整体示意图。
具体实施方式
以下结合附图及实施例,对本发明进行进一步详细说明。应当理解为,此处所描述的实例仅用以解释本发明,并不用于限定本发明。
现有的加密技术是基于公司自主研发的面向企业级应用的分析型数据库管理软件(POWER-DB),该软件是以先进的开源数据库PostgreSQL为核心进行二次开发和封装而成,集成易学、易用、好用的管理界面和辅助工具,满足电力行业对数据库软件产品要求的稳定性、安全性和简敏性。在保证管理软件的安全性、高可用性和扩展性的同时,开发团队尽量降低软件的整体成本,增强软件的易用性。该数据库管理软件根据处理流程以及功能划分,将管理***划分为连接管理***、编译执行***、存储管理***、事务管理***、***表五大部分组成。本法发明通过在POWER-DB DBMS中植入加密的模块(加密保险箱)来实现数据库的内核加密。此发明加密功能强,不影响数据库管理***(DBMS)正常使用,实现机密技术和数据库管理***完美无缝的结合。
采用用的是C语言编写的代码,方式流程如下:
1.先进行身份认证登录
对用户的身份进行认证,支持两类认证方式:一:支持动态口令牌的双因子认证子模块,二:支持用户自主设置账户密码但设置强口令的安全策略的子模块。只有通过用户认证的用户才能访问加密保险箱,操作***和数据库管理员账户不能访问数据库里面的数据。
2.设置属性密码
对登录的用户设置属性密码的规则,只有符合该属性的用户才能访问相关文件。
3.创建加密表空间
对通过身份认证的用户可以创建信任的安全路径和文件夹,建立加密表空间,创建的时候强制选择加密选项,***默认了AES256的加密算法进行加密,把即将加密的文件放在统一的路径,对创建的空间采用访问控制;设置该文件的属性密码,例如:根据部门来设置属性密码,登录用户根据部门来访问不同的文件。
4.动态数据屏蔽
设置属性密码,可以根据在数据库的表的原始数据的列级别数据进行转换屏蔽,这个只是做简单的置换,防止数据被合法用户访问时泄密明文数据。
5.加密屏蔽数据
把经过屏蔽的数据文件填加密保险里面,通过AES算法对数据进行加密,
6.存储加密AES的密钥
存储通过AES算法对数据进行加解密的密钥,并使用RAS算法对AES加解密的密钥进行加密,并设置该AES密钥加密文件的属性密码。
7.RAS算法解密AES的密钥
先判断用户的密码的属性,符合属性密码的用户对该AES密钥的加密文件进行RAS解密,获得AES的解密密钥。
8.AES解密数据
使用获得AES密钥,对加密的数据进行AES解密。
9.解屏蔽数据返回给用户
先判断属性密码,如果是满足的该密码的属性的用户可以对通过AES解密的屏蔽的数据进行解屏蔽之后,返回给用户。
对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思及精神的前提下,通过若干简单推演或替换,都应视为属于本发明的保护范围。

Claims (5)

1.一种基于自主可控数据库的安全加密***,其特征在于:
在数据管理***中植入加密保险箱进行加密,该加密保险箱有以下功能:
功能1:身份认证和访问控制功能,用户只有通过身份认证才能访问加密保险箱,对数据进行加密,非法用户是不能访问加密保险箱对数据进行访问;其中所述身份认证包括以下的至少一种:a.支持动态口令牌的双因子认证子模块;b.支持用户自主设置账户密码但设置强口令的安全策略的子模块;
功能2:创建加密表空间功能,对通过身份认证的用户可以创建信任的安全路径和文件夹,建立加密表空间,创建的时候强制选择加密选项,***默认了AES256的加密算法进行加密,把即将加密的文件放在统一的路径,对创建的空间采用访问控制;具体包括:根据部门来设置属性密码,登录用户根据部门来访问不同的加密表空间;且创建的加密表空间采用访问控制,任何未通过身份认证的用户都无法访问该加密表空间内的数据;
功能3:存储和加密AES的加密密钥,加密保险里面存储了通过AES算法对数据进行加解密的密钥,可以根据用户的密码属性,并使用RAS算法对AES加解密的密钥进行加解密;
功能4:动态数据屏蔽,可以根据用户的密码属性,根据在数据库的表的列对数据库的敏感的列的级别数据进行转换屏蔽,这个只是做简单的置换,防止数据被合法用户访问时泄密。
2.根据权利要求1所述的一种基于自主可控数据库的安全加密***,其特征在于:该加密保险箱具有支持文件加密功能,用户可以自主选择需要加密的文件,对文件进行加密。
3.根据权利要求1所述的一种基于自主可控数据库的安全加密***,其特征在于:该加密保险箱支持属性密码,可以根据用户的需要设置密码的属性,符合属性的用户可以访问数据库的相关的表,不符合属性的用户不能访问相关的数据库的相关表,从而实现数据库的表级别的安全。
4.根据权利要求1所述的一种基于自主可控数据库的安全加密***,其特征在于:功能1中的身份认证的加密算法是RSA算法。
5.一种利用如权利要求1-4任一项所述的***的基于自主可控数据库的安全加密方法,其特征在于:
该方法依次包含以下步骤:步骤1.先进行身份认证登录;步骤2.设置属性密码;步骤3.创建加密表空间;步骤4.动态数据屏蔽;步骤5.加密屏蔽数据;步骤6.存储加密AES的密钥;步骤7.RAS算法解密AES的密钥;步骤8.AES解密数据;步骤9.解屏蔽数据返回给用户。
CN201510540658.6A 2015-08-28 2015-08-28 一种基于自主可控数据库的安全加密方法及*** Active CN105160272B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510540658.6A CN105160272B (zh) 2015-08-28 2015-08-28 一种基于自主可控数据库的安全加密方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510540658.6A CN105160272B (zh) 2015-08-28 2015-08-28 一种基于自主可控数据库的安全加密方法及***

Publications (2)

Publication Number Publication Date
CN105160272A CN105160272A (zh) 2015-12-16
CN105160272B true CN105160272B (zh) 2018-10-26

Family

ID=54801124

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510540658.6A Active CN105160272B (zh) 2015-08-28 2015-08-28 一种基于自主可控数据库的安全加密方法及***

Country Status (1)

Country Link
CN (1) CN105160272B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110807199A (zh) * 2019-08-06 2020-02-18 杭州美创科技有限公司 MySQL无需重启启用透明加密的方法

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106096448A (zh) * 2016-06-20 2016-11-09 浪潮电子信息产业股份有限公司 一种基于ssr加密技术的数据库安全加固方法和***
CN106709373A (zh) * 2017-01-18 2017-05-24 北京许继电气有限公司 实现自主可控数据库自定义函数加密的方法
CN109635577A (zh) * 2018-12-03 2019-04-16 北京安华金和科技有限公司 一种离线解密oracle tde加密的数据文件的方法
CN110598440B (zh) * 2019-08-08 2023-05-09 中腾信金融信息服务(上海)有限公司 一种分布式自动加解密***

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101162493A (zh) * 2007-10-11 2008-04-16 天津理工大学 维护数据库安全的方法和***
CN101587479A (zh) * 2008-06-26 2009-11-25 北京人大金仓信息技术股份有限公司 面向数据库管理***内核的数据加解密***及其方法
CN102752109A (zh) * 2012-06-05 2012-10-24 西安邮电大学 应用于数据库列加密的密钥管理方法和装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103632082B (zh) * 2013-12-10 2016-08-17 惠州华阳通用电子有限公司 一种通用权限管理***及方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101162493A (zh) * 2007-10-11 2008-04-16 天津理工大学 维护数据库安全的方法和***
CN101587479A (zh) * 2008-06-26 2009-11-25 北京人大金仓信息技术股份有限公司 面向数据库管理***内核的数据加解密***及其方法
CN102752109A (zh) * 2012-06-05 2012-10-24 西安邮电大学 应用于数据库列加密的密钥管理方法和装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
外包数据库中数据加密的设计与实现;王郑飞;《计算机工程与应用》;20101231;正文第3节,第4.2-4.3节 *
抵御信息泄露,解析Oracle11g新特性之加密表空间;刘盛;《http://www.csdn.net/article/1970-01-01/2823428》;20150106;章节:理论;章节:TDE使用场景 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110807199A (zh) * 2019-08-06 2020-02-18 杭州美创科技有限公司 MySQL无需重启启用透明加密的方法

Also Published As

Publication number Publication date
CN105160272A (zh) 2015-12-16

Similar Documents

Publication Publication Date Title
US9946895B1 (en) Data obfuscation
US9805210B2 (en) Encryption-based data access management
CN105160272B (zh) 一种基于自主可控数据库的安全加密方法及***
EP2430789B1 (en) Protection of encryption keys in a database
US11290446B2 (en) Access to data stored in a cloud
CN112513857A (zh) 可信执行环境中的个性化密码安全访问控制
US20090240956A1 (en) Transparent encryption using secure encryption device
KR101371608B1 (ko) Dbms 및 데이터베이스에서 암호화 방법
US11483147B2 (en) Intelligent encryption based on user and data properties
CN104794388B (zh) 应用程序存取保护方法及应用程序存取保护装置
CN105960775A (zh) 用于迁移密钥的方法和装置
CN103246850A (zh) 文件处理方法和装置
CN109936546B (zh) 数据加密存储方法和装置以及计算设备
US20230005391A1 (en) Polymorphic encryption for security of a data vault
US20170262640A1 (en) Database operation method and device
US11425143B2 (en) Sleeper keys
US10341110B2 (en) Securing user credentials
US11997191B2 (en) System and method for protecting secret data items using multiple tiers of encryption and secure element
US11102005B2 (en) Intelligent decryption based on user and data profiling
Syed et al. Notice of Violation of IEEE Publication Principles: The rise of Bring Your Own Encryption (BYOE) for secure data storage in Cloud databases
CN102426635A (zh) 文件信息显示装置、显示方法及***
CN109711181B (zh) 一种基于可信格式数据的文件内容细粒度保护方法
CN116738448A (zh) 一种计算机的加解密方法及装置
Śmieszek et al. Electronic safe for passwords storage
EP2881887A1 (en) System and method of applying access rules to files transmitted between computers

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant