CN111753320A - 基于***的数据加密方法、装置及计算机设备 - Google Patents
基于***的数据加密方法、装置及计算机设备 Download PDFInfo
- Publication number
- CN111753320A CN111753320A CN202010595278.3A CN202010595278A CN111753320A CN 111753320 A CN111753320 A CN 111753320A CN 202010595278 A CN202010595278 A CN 202010595278A CN 111753320 A CN111753320 A CN 111753320A
- Authority
- CN
- China
- Prior art keywords
- result set
- interceptor
- sql statement
- key
- authentication information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/242—Query formulation
- G06F16/2433—Query languages
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/242—Query formulation
- G06F16/2433—Query languages
- G06F16/2448—Query languages for particular applications; for extensibility, e.g. user defined types
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Computational Linguistics (AREA)
- Mathematical Physics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了基于***的数据加密方法、装置、计算机设备及存储介质,涉及大数据及区块链技术,包括若通过Mybatis***拦截到第一预编译SQL语句,通过反射机制获取个人验证信息;获取随机生成的初始主密钥和初始工作密钥,以初始工作密钥对个人验证信息进行加密得到加密后个人验证信息;将其保存至当前数据表得到更新后数据表;若通过Mybatis***拦截到第二预编译SQL语句,在数据库的更新后数据表中获取对应的结果集;将其解密得到的解密后结果集。该方法实现了个人验证信息在进入数据库前自动被加密,在出来的时候又自动地被解密,提高了数据安全性,而且加密解密过程全自动进行,提高了加密解密效率。
Description
技术领域
本发明涉及大数据的数据处理技术领域,尤其涉及一种基于***的数据加密方法、装置、计算机设备及存储介质。
背景技术
目前,若使用MySQL数据库中存储数据时,若数据中包括个人验证信息等敏感数据,一般采用两种方式进行加密。第一种是通过对存储有个人验证信息的表空间进行加密,第二种是调用Utils这一加密工具对个人验证信息实现加解密。
当采用对表空间的加密方式时,一般采用MySQL社区版的keyring_file插件(其是一种加密插件),keyring_file插件对表空间加密后得到的Master Key(Master Key用于对表空间进行解密),该Master Key一般存储于本地数据库服务器中,表空间中的数据安全仍得不到保障。而且数据库管理员在表空间加密的情况下,仍有权限查看其中的数据,也使得数据安全性降低。
当采用调用Utils这一加密工具对个人验证信息实现加解密时,不同开发人员定义的个人验证信息有不同的形式,调用Utils这一加密工具对不同形式的个人验证信息进行加密时,对Utils这一加密工具的编辑者专业要求高,加密实现的人工成本较高,且效率低下。
发明内容
本发明实施例提供了一种基于***的数据加密方法、装置、计算机设备及存储介质,旨在解决现有技术中数据表中存储有个人验证信息等敏感数据时一般是采用对整个数据表进行整体加密或是采用专用加密工具进行局部加密,不仅加密操作复杂,而且加密后仍有管理员权限可查看数据,导致数据安全性低的问题。
第一方面,本发明实施例提供了一种基于***的数据加密方法,其包括:
判断是否通过Mybatis***拦截到第一预编译SQL语句;其中,所述第一预编译SQL语句对应的原始SQL语句用于在数据库中增加个人验证信息;
若通过Mybatis***拦截到第一预编译SQL语句,通过反射机制获取第一预编译SQL语句的入参中包括的个人验证信息;
获取随机生成的初始主密钥和初始工作密钥,以所述初始工作密钥为密钥对所述个人验证信息进行加密,得到加密后个人验证信息;
将所述加密后个人验证信息保存至当前数据表,得到更新后数据表;
判断是否通过Mybatis***拦截到第二预编译SQL语句;其中,所述第二预编译SQL语句对应的原始SQL语句用于查询个人验证信息;以及
若通过Mybatis***拦截到第二预编译SQL语句,在数据库的更新后数据表中获取对应的结果集;
将所述结果集解密得到的解密后结果集发送至用户端。
第二方面,本发明实施例提供了一种基于***的数据加密装置,其包括:
第一语句拦截单元,用于判断是否通过Mybatis***拦截到第一预编译SQL语句;其中,所述第一预编译SQL语句对应的原始SQL语句用于在数据库中增加个人验证信息;
个人验证信息获取单元,用于若通过Mybatis***拦截到第一预编译SQL语句,通过反射机制获取第一预编译SQL语句的入参中包括的个人验证信息;
信息加密单元,用于获取随机生成的初始主密钥和初始工作密钥,以所述初始工作密钥为密钥对所述个人验证信息进行加密,得到加密后个人验证信息;
数据表更新单元,用于将所述加密后个人验证信息保存至当前数据表,得到更新后数据表;
第二语句拦截单元,用于判断是否通过Mybatis***拦截到第二预编译SQL语句;其中,所述第二预编译SQL语句对应的原始SQL语句用于查询个人验证信息;以及
结果集获取单元,用于若通过Mybatis***拦截到第二预编译SQL语句,在数据库的更新后数据表中获取对应的结果集;
解密发送单元,用于将所述结果集解密得到的解密后结果集发送至用户端。
第三方面,本发明实施例又提供了一种计算机设备,其包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述第一方面所述的基于***的数据加密方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其中所述计算机可读存储介质存储有计算机程序,所述计算机程序当被处理器执行时使所述处理器执行上述第一方面所述的基于***的数据加密方法。
本发明实施例提供了一种基于***的数据加密方法、装置、计算机设备及存储介质,包括判断是否通过Mybatis***拦截到第一预编译SQL语句;若通过Mybatis***拦截到第一预编译SQL语句,通过反射机制获取第一预编译SQL语句的入参中包括的个人验证信息;获取随机生成的初始主密钥和初始工作密钥,以所述初始工作密钥为密钥对所述个人验证信息进行加密,得到加密后个人验证信息;将所述加密后个人验证信息保存至当前数据表,得到更新后数据表;判断是否通过Mybatis***拦截到第二预编译SQL语句;以及若通过Mybatis***拦截到第二预编译SQL语句,在数据库的更新后数据表中获取对应的结果集;将所述结果集解密得到的解密后结果集发送至用户端。该方法实现了个人验证信息在进入数据库前自动被加密,在出来的时候又自动地被解密,提高了数据安全性,而且加密解密过程全自动进行,提高了加密解密效率。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的基于***的数据加密方法的应用场景示意图;
图2为本发明实施例提供的基于***的数据加密方法的流程示意图;
图3为本发明实施例提供的基于***的数据加密方法的子流程示意图;
图4为本发明实施例提供的基于***的数据加密方法的另一子流程示意图;
图5为本发明实施例提供的基于***的数据加密方法的另一子流程示意图;
图6为本发明实施例提供的基于***的数据加密装置的示意性框图;
图7为本发明实施例提供的基于***的数据加密装置的子单元示意性框图;
图8为本发明实施例提供的基于***的数据加密装置的另一子单元示意性框图;
图9为本发明实施例提供的基于***的数据加密装置的另一子单元示意性框图;
图10为本发明实施例提供的计算机设备的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
请参阅图1和图2,图1为本发明实施例提供的基于***的数据加密方法的应用场景示意图;图2为本发明实施例提供的基于***的数据加密方法的流程示意图,该基于***的数据加密方法应用于服务器中,该方法通过安装于服务器中的应用软件进行执行。
如图2所示,该方法包括步骤S110~S170。
S110、判断是否通过Mybatis***拦截到第一预编译SQL语句;其中,所述第一预编译SQL语句对应的原始SQL语句用于在数据库中增加个人验证信息。
在本实施例中,为了更清楚的理解本申请的技术方案,下面对所涉及的终端进行详细介绍。本申请是在服务器的角度描述技术方案。
第一是用户端,用户端具体实施时可以是台式电脑、笔记本电脑、平板电脑等终端。用户在与服务器对应的用户交互界面上,可输入SQL语句(SQLde的全称是StructuredQuery Language,表示结构化查询语言),在用户端进行预编译后发送至服务器。
第一预编译SQL语句对应的原始SQL语句,其用于向服务器的数据库中写入数据,所写入的数据中包括个人验证信息(英文简称是PII,英文全称是PersonallyIdentifiable Information),个人验证信息是有关一个人的任何数据,这些数据能帮助识别这个人,如姓名、指纹或其他生物特征资料、电子邮件地址、电话号码或社会安全号码等。
第二是服务器,在服务器中部署有MySQL数据库及Mybatis Plus,其中MybatisPlus是Mybatis的增强版,Mybatis是一个基于Java的持久层框架。服务器在接收到用户端上传的第一预编译SQL语句后,可以通过Mybatis Plus对应的***对第一预编译SQL语句进行拦截,之后进行一些语句参数修改后再对MySQL数据库进行对应数据操作。
Mybatis Plus对应的持久层框架一般如下:
1)加载配置:配置来源于两个地方,一处是配置文件,一处是Java代码的注解,将SQL的配置信息加载成为MappedStatement对象(包括了传入参数映射配置、执行的SQL语句、结果映射配置),存储在内存中。
2)SQL解析:当API接口层接收到调用请求时,会接收到传入SQL的ID和传入对象(可以是Map、JavaBean或者基本数据类型),Mybatis会根据SQL的ID找到对应的MappedStatement,然后根据传入参数对象对MappedStatement进行解析,解析后可以得到最终要执行的SQL语句和参数。
3)SQL执行:将最终得到的SQL和参数拿到数据库进行执行,得到操作数据库的结果。
4)结果映射:将操作数据库的结果按照映射的配置进行转换,可以转换成HashMap、JavaBean或者基本数据类型,并将最终结果返回。
其中,当在服务器上部署了MybatisPlus框架,其可以通过Mybatis***对任意一个已预编译的SQL语句进行拦截。
S120、若通过Mybatis***拦截到第一预编译SQL语句,通过反射机制获取第一预编译SQL语句的入参中包括的个人验证信息。
在本实施例中,当通过服务器中的Mybatis***拦截到由用户端上传的第一预编译SQL语句后,此时可通过反射机制获取第一预编译SQL语句的入参中包括的个人验证信息。
反射机制是指在程序的运行状态中,可以构造任意一个类的对象,可以了解任意一个对象所属的类,可以了解任意一个类的成员变量和方法,可以调用任意一个对象的属性和方法。这种动态获取程序信息以及动态调用对象的功能称为Java语言的反射机制,反射被视为动态语言的关键。
一般第一预编译SQL语句中包括入参Entity(Entity表示实体),本申请中的入参Entity是包括个人验证信息的。
本申请中的个人验证信息一般是预先被注解标记,反射机制可以快速的获取入参中已被注解标记过的个人验证信息。
S130、获取随机生成的初始主密钥和初始工作密钥,以所述初始工作密钥为密钥对所述个人验证信息进行加密,得到加密后个人验证信息。
在本实施例中,采用二级密钥的机制进行加密。在二级密钥机制中,一般使用两类密钥:一类是主密钥,另一类是工作密钥。其中,主密钥用于对工作密钥加密,其支持更换;工作密钥用于对待加密数据进行加密(例如个人验证信息),其不支持更换。采用二级密钥机制进行加密时,可以灵活地支持密钥的轮换从而保持个人验证信息的安全性。
在一实施例中,如图3所示,作为步骤S130的第一实施例,步骤S130包括:
S1311、以所述个人验证信息为明文,以所述初始工作密钥为密钥,对所述个人验证信息进行加密,得到初始加密后个人验证信息;
S1312、将加密标记增加至所述加密后个人验证信息的前缀,以得到加密后个人验证信息。
在本实施例中,采用二级密钥机制对所述个人验证信息进行加密时,具体过程如下:在密钥管理***先生成一个主密钥A(该主密钥A即为初始主密钥),并生成一个工作密钥B(该工作密钥B即为初始工作密钥)。接着使用A加密B得到C。之后将工作密钥B从密钥管理***上删除,并将C(被A加密过的密文B)放置到配置中心加密保管,并且在使用时应用获取A并且用其解开C得到B。之后如需轮换密钥,只需要用A解开C得到B后在密钥管理***生成一个新的主密钥D,并且用D加密B(用A解开C得到的)得到E后,删除旧主密钥A并更新E在配置中心里。
作为步骤S130的第一实施例,当以所述个人验证信息为明文,以所述初始工作密钥为密钥进行加密时,即可得到初始加密后个人验证信息。之后为了便于后续解密,此时可将加密标记增加至所述加密后个人验证信息的前缀,后续解密过程中一旦发现有加密标记,就会去搜索需要解密的字段进行解密,提高解密效率。
在一实施例中,如图4所示,作为步骤S130的第二实施例,步骤S130包括:
S1321、以所述个人验证信息为明文,以所述初始工作密钥为密钥,对所述个人验证信息进行加密,得到初始加密后个人验证信息;
S1322、将预先定义的解密注解增加至所述加密后个人验证信息的前缀,以得到加密后个人验证信息。
在本实施例中,作为步骤S130的第二实施例,当以所述个人验证信息为明文,以所述初始工作密钥为密钥进行加密时,即可得到初始加密后个人验证信息。之后为了便于后续解密,此时可将预先定义的解密注解至所述加密后个人验证信息的前缀,后续解密过程中一旦发现有解密注解,就会去搜索需要解密的字段进行解密,提高解密效率。
通过上述两种方式对初始加密后个人验证信息进行加密后,一旦发现有加密标记或解密注解,就会去搜索需要解密的字段进行解密。
S140、将所述加密后个人验证信息保存至当前数据表,得到更新后数据表。
在本实施例中,当在服务器中完成了数据表中的个人验证信息加密后,将将所述加密后个人验证信息保存至当前数据表,以得到更新后数据表,使得数据表得到及时更新。
在一实施例中,步骤S140之后还包括:
将所述更新后数据表上传至区块链网络。
在本实施例中,区块链网络对应的区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层。将所述更新后数据表上传至区块链网络,其可以在区块链网络进行长久的保留,便于后续溯源查询。
S150、判断是否通过Mybatis***拦截到第二预编译SQL语句;其中,所述第二预编译SQL语句对应的原始SQL语句用于查询个人验证信息。
在本实施例中,第二预编译SQL语句对应的原始SQL语句,其用于向服务器的数据库中获取个人验证信息,也即是具有查询功能的SQL语句。服务器对第二预编译SQL语句进行检测,即是判断是否有用户端发起请求以查询数据。
S160、若通过Mybatis***拦截到第二预编译SQL语句,在数据库的更新后数据表中获取对应的结果集。
在本实施例中,当服务器对第二预编译SQL语句进行检测且检测到第二预编译SQL语句时,此时先通过Mybatis***拦截到第二预编译SQL语句,之后若第二预编译SQL语句对应有权限获取个人验证数据时,则在数据表中获取对应的结果集并反馈至用户端即可。
在一实施例中,如图5所示,步骤S160包括:
S161、获取所述第二预编译SQL语句对应的ID和传入对象;
S162、在本地的数据库中根据ID和传入对象获取对应的初始结果集;
S163、将所述初始结果集根据预先设置的映射配置,将初始结果集进行数据类型转化,得到结果集。
在本实施例中,即当通过查询语句获取本地的数据库中已存储的个人验证信息相关的数据时,是数据库的API接口层先接收到传入SQL的ID和传入对象(可以是Map、JavaBean或者基本数据类型),Mybatis会根据SQL的ID找到对应的MappedStatement,然后根据传入参数对象对MappedStatement进行解析,解析后可以得到最终要执行的SQL语句和参数。
之后将最终得到的SQL和参数拿到本地的MySQL数据库进行执行,得到操作数据库的结果,也即得到了初始结果集。该初始结果集还需按照映射的配置进行转换,可以转换成HashMap、JavaBean或者基本数据类型,并将最终结果返回,也即返回结果集。
S170、将所述结果集解密得到的解密后结果集发送至用户端。
在本实施例中,为了加快数据处理效率,当Mybatis***获取到根据第二预编译SQL语句查询到的结果集后,自动对所述结果集解密得到的解密后结果集发送至用户端。
在一实施例中,步骤S170包括:
判断所述结果集中是否存在加密标记或解密注解;
若所述结果集中存在加密标记或解密注解,获取对应的目标结果集,对所述目标结果集通过与所述初始工作密钥对应的当前工作密钥进行解密,得到解密后结果集。
在本实施例中,若所获取的结果集中有部分数据存在加密标记或解密注解,此时在被Mybatis***拦截到这些目标结果集时,此时获取当前的工作密钥对目标结果集进行解密,得到解密后结果集,将该解密后结果集发送至用户端。
这一过程对应了解密过程,同样也是在Mybatis***中完成,也即数据在对用户端反馈时是自动解密,无需用户手动解密,提高了解密效率。
该方法实现了个人验证信息在进入数据库前自动被加密,在出来的时候又自动地被解密,提高了数据安全性,而且加密解密过程全自动进行,提高了加密解密效率。
本发明实施例还提供一种基于***的数据加密装置,该基于***的数据加密装置用于执行前述基于***的数据加密方法的任一实施例。具体地,请参阅图6,图6是本发明实施例提供的基于***的数据加密装置的示意性框图。该基于***的数据加密装置100可以配置于服务器中。
如图6所示,基于***的数据加密装置100包括:第一语句拦截单元110、个人验证信息获取单元120、信息加密单元130、数据表更新单元140、第二语句拦截单元150、结果集获取单元160、解密发送单元170。
第一语句拦截单元110,用于判断是否通过Mybatis***拦截到第一预编译SQL语句;其中,所述第一预编译SQL语句对应的原始SQL语句用于在数据库中增加个人验证信息。
在本实施例中,第一预编译SQL语句对应的原始SQL语句,其用于向服务器的数据库中写入数据,所写入的数据中包括个人验证信息(英文简称是PII,英文全称是Personally Identifiable Information),个人验证信息是有关一个人的任何数据,这些数据能帮助识别这个人,如姓名、指纹或其他生物特征资料、电子邮件地址、电话号码或社会安全号码等。
Mybatis Plus对应的持久层框架一般如下:
1)加载配置:配置来源于两个地方,一处是配置文件,一处是Java代码的注解,将SQL的配置信息加载成为MappedStatement对象(包括了传入参数映射配置、执行的SQL语句、结果映射配置),存储在内存中。
2)SQL解析:当API接口层接收到调用请求时,会接收到传入SQL的ID和传入对象(可以是Map、JavaBean或者基本数据类型),Mybatis会根据SQL的ID找到对应的MappedStatement,然后根据传入参数对象对MappedStatement进行解析,解析后可以得到最终要执行的SQL语句和参数。
3)SQL执行:将最终得到的SQL和参数拿到数据库进行执行,得到操作数据库的结果。
4)结果映射:将操作数据库的结果按照映射的配置进行转换,可以转换成HashMap、JavaBean或者基本数据类型,并将最终结果返回。
其中,当在服务器上部署了Mybatis Plus框架,其可以通过Mybatis***对任意一个已预编译的SQL语句进行拦截。
个人验证信息获取单元120,用于若通过Mybatis***拦截到第一预编译SQL语句,通过反射机制获取第一预编译SQL语句的入参中包括的个人验证信息。
在本实施例中,当通过服务器中的Mybatis***拦截到由用户端上传的第一预编译SQL语句后,此时可通过反射机制获取第一预编译SQL语句的入参中包括的个人验证信息。
反射机制是指在程序的运行状态中,可以构造任意一个类的对象,可以了解任意一个对象所属的类,可以了解任意一个类的成员变量和方法,可以调用任意一个对象的属性和方法。这种动态获取程序信息以及动态调用对象的功能称为Java语言的反射机制,反射被视为动态语言的关键。
一般第一预编译SQL语句中包括入参Entity(Entity表示实体),本申请中的入参Entity是包括个人验证信息的。
本申请中的个人验证信息一般是预先被注解标记,反射机制可以快速的获取入参中已被注解标记过的个人验证信息。
信息加密单元130,用于获取随机生成的初始主密钥和初始工作密钥,以所述初始工作密钥为密钥对所述个人验证信息进行加密,得到加密后个人验证信息。
在本实施例中,采用二级密钥的机制进行加密。在二级密钥机制中,一般使用两类密钥:一类是主密钥,另一类是工作密钥。其中,主密钥用于对工作密钥加密,其支持更换;工作密钥用于对待加密数据进行加密(例如个人验证信息),其不支持更换。采用二级密钥机制进行加密时,可以灵活地支持密钥的轮换从而保持个人验证信息的安全性。
在一实施例中,如图7所示,作为信息加密单元130的第一实施例,信息加密单元130包括:
第一加密单元1311,用于以所述个人验证信息为明文,以所述初始工作密钥为密钥,对所述个人验证信息进行加密,得到初始加密后个人验证信息;
加密标记单元1312,用于将加密标记增加至所述加密后个人验证信息的前缀,以得到加密后个人验证信息。
在本实施例中,采用二级密钥机制对所述个人验证信息进行加密时,具体过程如下:在密钥管理***先生成一个主密钥A(该主密钥A即为初始主密钥),并生成一个工作密钥B(该工作密钥B即为初始工作密钥)。接着使用A加密B得到C。之后将工作密钥B从密钥管理***上删除,并将C(被A加密过的密文B)放置到配置中心加密保管,并且在使用时应用获取A并且用其解开C得到B。之后如需轮换密钥,只需要用A解开C得到B后在密钥管理***生成一个新的主密钥D,并且用D加密B(用A解开C得到的)得到E后,删除旧主密钥A并更新E在配置中心里。
作为信息加密单元130的第一实施例,当以所述个人验证信息为明文,以所述初始工作密钥为密钥进行加密时,即可得到初始加密后个人验证信息。之后为了便于后续解密,此时可将加密标记增加至所述加密后个人验证信息的前缀,后续解密过程中一旦发现有加密标记,就会去搜索需要解密的字段进行解密,提高解密效率。
在一实施例中,如图8所示,作为信息加密单元130的第二实施例,信息加密单元130包括:
第二加密单元1321,用于以所述个人验证信息为明文,以所述初始工作密钥为密钥,对所述个人验证信息进行加密,得到初始加密后个人验证信息;
解密注解单元1322,用于将预先定义的解密注解增加至所述加密后个人验证信息的前缀,以得到加密后个人验证信息。
在本实施例中,作为信息加密单元130的第二实施例,当以所述个人验证信息为明文,以所述初始工作密钥为密钥进行加密时,即可得到初始加密后个人验证信息。之后为了便于后续解密,此时可将预先定义的解密注解至所述加密后个人验证信息的前缀,后续解密过程中一旦发现有解密注解,就会去搜索需要解密的字段进行解密,提高解密效率。
通过上述两种方式对初始加密后个人验证信息进行加密后,一旦发现有加密标记或解密注解,就会去搜索需要解密的字段进行解密。
数据表更新单元140,用于将所述加密后个人验证信息保存至当前数据表,得到更新后数据表。
在本实施例中,当在服务器中完成了数据表中的个人验证信息加密后,将将所述加密后个人验证信息保存至当前数据表,以得到更新后数据表,使得数据表得到及时更新。
在一实施例中,基于***的数据加密装置100还包括:
数据上链单元,用于将所述更新后数据表上传至区块链网络。
在本实施例中,区块链网络对应的区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层。将所述更新后数据表上传至区块链网络,其可以在区块链网络进行长久的保留,便于后续溯源查询。
第二语句拦截单元150,用于判断是否通过Mybatis***拦截到第二预编译SQL语句;其中,所述第二预编译SQL语句对应的原始SQL语句用于查询个人验证信息。
在本实施例中,第二预编译SQL语句对应的原始SQL语句,其用于向服务器的数据库中获取个人验证信息,也即是具有查询功能的SQL语句。服务器对第二预编译SQL语句进行检测,即是判断是否有用户端发起请求以查询数据。
结果集获取单元160,用于若通过Mybatis***拦截到第二预编译SQL语句,在数据库的更新后数据表中获取对应的结果集。
在本实施例中,当服务器对第二预编译SQL语句进行检测且检测到第二预编译SQL语句时,此时先通过Mybatis***拦截到第二预编译SQL语句,之后若第二预编译SQL语句对应有权限获取个人验证数据时,则在数据表中获取对应的结果集并反馈至用户端即可。
在一实施例中,如图9所示,结果集获取单元160包括:
语句解析单元161,用于获取所述第二预编译SQL语句对应的ID和传入对象;
初始结果集获取单元162,用于在本地的数据库中根据ID和传入对象获取对应的初始结果集;
数据类型转化单元163,用于将所述初始结果集根据预先设置的映射配置,将初始结果集进行数据类型转化,得到结果集。
在本实施例中,即当通过查询语句获取本地的数据库中已存储的个人验证信息相关的数据时,是数据库的API接口层先接收到传入SQL的ID和传入对象(可以是Map、JavaBean或者基本数据类型),Mybatis会根据SQL的ID找到对应的MappedStatement,然后根据传入参数对象对MappedStatement进行解析,解析后可以得到最终要执行的SQL语句和参数。
之后将最终得到的SQL和参数拿到本地的MySQL数据库进行执行,得到操作数据库的结果,也即得到了初始结果集。该初始结果集还需按照映射的配置进行转换,可以转换成HashMap、JavaBean或者基本数据类型,并将最终结果返回,也即返回结果集。
解密发送单元170,用于将所述结果集解密得到的解密后结果集发送至用户端。
在本实施例中,为了加快数据处理效率,当Mybatis***获取到根据第二预编译SQL语句查询到的结果集后,自动对所述结果集解密得到的解密后结果集发送至用户端。
在一实施例中,解密发送单元170包括:
结果集判断单元,用于判断所述结果集中是否存在加密标记或解密注解;
结果集解密单元,用于若所述结果集中存在加密标记或解密注解,获取对应的目标结果集,对所述目标结果集通过与所述初始工作密钥对应的当前工作密钥进行解密,得到解密后结果集。
在本实施例中,若所获取的结果集中有部分数据存在加密标记或解密注解,此时在被Mybatis***拦截到这些目标结果集时,此时获取当前的工作密钥对目标结果集进行解密,得到解密后结果集,将该解密后结果集发送至用户端。
这一过程对应了解密过程,同样也是在Mybatis***中完成,也即数据在对用户端反馈时是自动解密,无需用户手动解密,提高了解密效率。
该装置实现了个人验证信息在进入数据库前自动被加密,在出来的时候又自动地被解密,提高了数据安全性,而且加密解密过程全自动进行,提高了加密解密效率。
上述基于***的数据加密装置可以实现为计算机程序的形式,该计算机程序可以在如图10所示的计算机设备上运行。
请参阅图10,图10是本发明实施例提供的计算机设备的示意性框图。该计算机设备500是服务器,服务器可以是独立的服务器,也可以是多个服务器组成的服务器集群。
参阅图10,该计算机设备500包括通过***总线501连接的处理器502、存储器和网络接口505,其中,存储器可以包括非易失性存储介质503和内存储器504。
该非易失性存储介质503可存储操作***5031和计算机程序5032。该计算机程序5032被执行时,可使得处理器502执行基于***的数据加密方法。
该处理器502用于提供计算和控制能力,支撑整个计算机设备500的运行。
该内存储器504为非易失性存储介质503中的计算机程序5032的运行提供环境,该计算机程序5032被处理器502执行时,可使得处理器502执行基于***的数据加密方法。
该网络接口505用于进行网络通信,如提供数据信息的传输等。本领域技术人员可以理解,图10中示出的结构,仅仅是与本发明方案相关的部分结构的框图,并不构成对本发明方案所应用于其上的计算机设备500的限定,具体的计算机设备500可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
其中,所述处理器502用于运行存储在存储器中的计算机程序5032,以实现本发明实施例公开的基于***的数据加密方法。
本领域技术人员可以理解,图10中示出的计算机设备的实施例并不构成对计算机设备具体构成的限定,在其他实施例中,计算机设备可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。例如,在一些实施例中,计算机设备可以仅包括存储器及处理器,在这样的实施例中,存储器及处理器的结构及功能与图10所示实施例一致,在此不再赘述。
应当理解,在本发明实施例中,处理器502可以是中央处理单元(CentralProcessing Unit,CPU),该处理器502还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
在本发明的另一实施例中提供计算机可读存储介质。该计算机可读存储介质可以为非易失性的计算机可读存储介质。该计算机可读存储介质存储有计算机程序,其中计算机程序被处理器执行时实现本发明实施例公开的基于***的数据加密方法。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的设备、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为逻辑功能划分,实际实现时可以有另外的划分方式,也可以将具有相同功能的单元集合成一个单元,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种基于***的数据加密方法,其特征在于,包括:
判断是否通过Mybatis***拦截到第一预编译SQL语句;其中,所述第一预编译SQL语句对应的原始SQL语句用于在数据库中增加个人验证信息;
若通过Mybatis***拦截到第一预编译SQL语句,通过反射机制获取第一预编译SQL语句的入参中包括的个人验证信息;
获取随机生成的初始主密钥和初始工作密钥,以所述初始工作密钥为密钥对所述个人验证信息进行加密,得到加密后个人验证信息;
将所述加密后个人验证信息保存至当前数据表,得到更新后数据表;
判断是否通过Mybatis***拦截到第二预编译SQL语句;其中,所述第二预编译SQL语句对应的原始SQL语句用于查询个人验证信息;以及
若通过Mybatis***拦截到第二预编译SQL语句,在数据库的更新后数据表中获取对应的结果集;
将所述结果集解密得到的解密后结果集发送至用户端。
2.根据权利要求1所述的基于***的数据加密方法,其特征在于,所述将所述结果集解密得到的解密后结果集发送至用户端,包括:
判断所述结果集中是否存在加密标记或解密注解;
若所述结果集中存在加密标记或解密注解,获取对应的目标结果集,对所述目标结果集通过与所述初始工作密钥对应的当前工作密钥进行解密,得到解密后结果集。
3.根据权利要求1所述的基于***的数据加密方法,其特征在于,所述以所述初始工作密钥为密钥对所述个人验证信息进行加密,得到加密后个人验证信息,包括:
以所述个人验证信息为明文,以所述初始工作密钥为密钥,对所述个人验证信息进行加密,得到初始加密后个人验证信息;
将加密标记增加至所述加密后个人验证信息的前缀,以得到加密后个人验证信息。
4.根据权利要求1所述的基于***的数据加密方法,其特征在于,所述以所述初始工作密钥为密钥对所述个人验证信息进行加密,得到加密后个人验证信息,包括:
以所述个人验证信息为明文,以所述初始工作密钥为密钥,对所述个人验证信息进行加密,得到初始加密后个人验证信息;
将预先定义的解密注解增加至所述加密后个人验证信息的前缀,以得到加密后个人验证信息。
5.根据权利要求1所述的基于***的数据加密方法,其特征在于,所述在数据库的更新后数据表中获取对应的结果集,包括:
获取所述第二预编译SQL语句对应的ID和传入对象;
在本地的数据库中根据ID和传入对象获取对应的初始结果集;
将所述初始结果集根据预先设置的映射配置,将初始结果集进行数据类型转化,得到结果集。
6.根据权利要求1所述的基于***的数据加密方法,其特征在于,所述将所述加密后个人验证信息保存至当前数据表,得到更新后数据表之后,还包括:
将所述更新后数据表上传至区块链网络。
7.一种基于***的数据加密装置,其特征在于,包括:
第一语句拦截单元,用于判断是否通过Mybatis***拦截到第一预编译SQL语句;其中,所述第一预编译SQL语句对应的原始SQL语句用于在数据库中增加个人验证信息;
个人验证信息获取单元,用于若通过Mybatis***拦截到第一预编译SQL语句,通过反射机制获取第一预编译SQL语句的入参中包括的个人验证信息;
信息加密单元,用于获取随机生成的初始主密钥和初始工作密钥,以所述初始工作密钥为密钥对所述个人验证信息进行加密,得到加密后个人验证信息;
数据表更新单元,用于将所述加密后个人验证信息保存至当前数据表,得到更新后数据表;
第二语句拦截单元,用于判断是否通过Mybatis***拦截到第二预编译SQL语句;其中,所述第二预编译SQL语句对应的原始SQL语句用于查询个人验证信息;以及
结果集获取单元,用于若通过Mybatis***拦截到第二预编译SQL语句,在数据库的更新后数据表中获取对应的结果集;
解密发送单元,用于将所述结果集解密得到的解密后结果集发送至用户端。
8.根据权利要求7所述的基于***的数据加密装置,其特征在于,所述解密发送单元,包括:
结果集判断单元,用于判断所述结果集中是否存在加密标记或解密注解;
结果集解密单元,用于若所述结果集中存在加密标记或解密注解,获取对应的目标结果集,对所述目标结果集通过与所述初始工作密钥对应的当前工作密钥进行解密,得到解密后结果集。
9.一种计算机设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6中任一项所述的基于***的数据加密方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序当被处理器执行时使所述处理器执行如权利要求1至6任一项所述的基于***的数据加密方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010595278.3A CN111753320A (zh) | 2020-06-23 | 2020-06-23 | 基于***的数据加密方法、装置及计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010595278.3A CN111753320A (zh) | 2020-06-23 | 2020-06-23 | 基于***的数据加密方法、装置及计算机设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111753320A true CN111753320A (zh) | 2020-10-09 |
Family
ID=72677445
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010595278.3A Pending CN111753320A (zh) | 2020-06-23 | 2020-06-23 | 基于***的数据加密方法、装置及计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111753320A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112711762A (zh) * | 2020-12-22 | 2021-04-27 | 航天信息股份有限公司 | 一种数据库透明加密的方法 |
| CN113127505A (zh) * | 2021-05-17 | 2021-07-16 | 北京奇艺世纪科技有限公司 | 结构化查询语言sql***的监控方法、装置及电子设备 |
| CN113486326A (zh) * | 2021-07-02 | 2021-10-08 | 重庆沄析工业互联网有限公司 | 一种基于Mybatis***实现数据行权限的方法 |
| CN113779598A (zh) * | 2021-08-27 | 2021-12-10 | 北京达佳互联信息技术有限公司 | 数据处理方法、装置、服务器及存储介质 |
| CN114297699A (zh) * | 2022-03-10 | 2022-04-08 | 好享家舒适智能家居股份有限公司 | 一种复杂结构数据自动加密解密方法及*** |
| CN115643063A (zh) * | 2022-10-12 | 2023-01-24 | 平安银行股份有限公司 | 一种报文数据处理方法、装置、电子设备及介质 |
| CN113779598B (zh) * | 2021-08-27 | 2024-07-30 | 北京达佳互联信息技术有限公司 | 数据处理方法、装置、服务器及存储介质 |
-
2020
- 2020-06-23 CN CN202010595278.3A patent/CN111753320A/zh active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112711762A (zh) * | 2020-12-22 | 2021-04-27 | 航天信息股份有限公司 | 一种数据库透明加密的方法 |
| CN113127505A (zh) * | 2021-05-17 | 2021-07-16 | 北京奇艺世纪科技有限公司 | 结构化查询语言sql***的监控方法、装置及电子设备 |
| CN113127505B (zh) * | 2021-05-17 | 2024-04-23 | 北京奇艺世纪科技有限公司 | 结构化查询语言sql***的监控方法、装置及电子设备 |
| CN113486326A (zh) * | 2021-07-02 | 2021-10-08 | 重庆沄析工业互联网有限公司 | 一种基于Mybatis***实现数据行权限的方法 |
| CN113779598A (zh) * | 2021-08-27 | 2021-12-10 | 北京达佳互联信息技术有限公司 | 数据处理方法、装置、服务器及存储介质 |
| CN113779598B (zh) * | 2021-08-27 | 2024-07-30 | 北京达佳互联信息技术有限公司 | 数据处理方法、装置、服务器及存储介质 |
| CN114297699A (zh) * | 2022-03-10 | 2022-04-08 | 好享家舒适智能家居股份有限公司 | 一种复杂结构数据自动加密解密方法及*** |
| CN115643063A (zh) * | 2022-10-12 | 2023-01-24 | 平安银行股份有限公司 | 一种报文数据处理方法、装置、电子设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111753320A (zh) | 基于***的数据加密方法、装置及计算机设备 | |
| US10284372B2 (en) | Method and system for secure management of computer applications | |
| US10129028B2 (en) | Relational encryption for password verification | |
| EP2778951B1 (en) | Database encryption system, method and program | |
| US9600677B2 (en) | Database apparatus, method, and program | |
| CN111884986B (zh) | 一种数据加密处理方法、装置及存储介质 | |
| CN109787956B (zh) | 数据表加密方法、装置、计算机设备及存储介质 | |
| CN109936546B (zh) | 数据加密存储方法和装置以及计算设备 | |
| JP2019057822A (ja) | 医療データ検索システム、医療データ検索方法および医療データ検索プログラム | |
| CN111917711B (zh) | 数据访问方法、装置、计算机设备和存储介质 | |
| CN108170753B (zh) | 一种共有云中Key-Value数据库加密与安全查询的方法 | |
| CN112733180A (zh) | 数据查询方法、装置和电子设备 | |
| US11748521B2 (en) | Privacy-enhanced computation via sequestered encryption | |
| WO2022232353A1 (en) | System and method for secure internet communications | |
| CN112434094A (zh) | 基于加密算法的数据库连接方法、装置及计算机设备 | |
| WO2022002352A1 (en) | Data storage server and client devices for securely storing data | |
| CN113434535B (zh) | 数据处理方法、通信***、设备、产品及存储介质 | |
| CN115361198A (zh) | 解密方法、加密方法、装置、计算机设备和存储介质 | |
| US11455404B2 (en) | Deduplication in a trusted execution environment | |
| CN114329596A (zh) | 一种物联网设备的固件更新方法、装置及*** | |
| CN110166452B (zh) | 一种基于JavaCard共享接口的访问控制方法及*** | |
| CN109933994B (zh) | 数据分级存储方法和装置以及计算设备 | |
| EP4154149B1 (en) | Data storage server and client devices for securely storing data | |
| CN117527193B (zh) | 一种基于国密ceph对象存储的加密方法及装置 | |
| CN117313144A (zh) | 敏感数据的管理方法、装置、存储介质和电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |