一種基於數據屬性的加密方法和系統的製作方法
2023-08-10 07:02:26 1
一種基於數據屬性的加密方法和系統的製作方法
【專利摘要】本發明提供一種基於數據屬性的加密方法,首先,選擇需要加密的部分欄位,採用不同的加密方式對不同的欄位進行加密;對於不同的用戶身份配置不同的權限,用戶根據其權限對允許其查看的欄位進行解密。該方案中採用了對資料庫中的部分欄位進行加密的方式,對於資料庫中文件中的部分欄位,或者結構化數據中的部分欄位,可以根據需要進行加密,大大降低了對所有數據加密的數據處理量,在大量數據的情況下只根據需要進行加密,大大提高了加密的速度,在加密的方式上可以採用不同的加密方式來對不同的欄位進行加密,不僅利於根據用戶的身份配置不同的權限,而且使得加密的方式在選擇上更加靈活,提高工作效率,提高了數據使用過程的安全性。
【專利說明】一種基於數據屬性的加密方法和系統
【技術領域】
[0001] 本發明涉及一種加密方法和系統,具體地說是一種基於數據屬性的加密方法和系 統。
【背景技術】
[0002] 數據信息資源共享應用是信息化建設的基本原則。各個企業都有自己的企業系 統,存放一些可以公開的信息,另外還有一些企業之間存在著信息共享,隨著信息化的深入 發展,這些信息資源的共享和應用的需求日益旺盛,但存在一定數量共享使用相關信息資 源的業務系統信息安全保障能力偏弱,安全風險形式嚴峻。有些數據信息若發生洩露和濫 用的安全問題,則會直接產生惡劣社會影響,並直接威脅社會穩定和國家安全。
[0003] 隨著資料庫技術在日常經濟生活中應用的不斷增加,資料庫安全日益成為人們關 注的熱點。而目前資料庫的安全性主要通過訪問控制來保障,但是當訪問控制被攻破時整 個資料庫的安全體系也隨之瓦解。目前解決此問題的主要方法是採用資料庫加密。為了保 護數據的安全,採取對資料庫加密的方式,資料庫加密後,數據得到保護,當向資料庫中寫 數據的時候,以密文的方式存儲,當讀取資料庫中的數據的時候,對數據進行解密。
[0004] 在中國專利文件CN103107992A中公開了一種面向雲存儲加密數據共享的多級權 限管理方法,對於需要加密的文件,首先隨機選擇對稱加密密鑰,應用對稱加密算法算法加 密數據或文件,生成內容密文;然後針對不同用戶對文件具有的不同權限,採用屬性基加密 方法對不同權限結構進行加密,生成權限密文;最後根據對文件具有訪問權限的用戶訪問 結構,採用屬性基加密方法加密對稱密鑰和權限密文,並將其以文件頭的形式與內容密文 結合,作為數據或文件的完整密文。解密時,首先若且唯若用戶私鑰的屬性集滿足訪問策略 時,用戶才能解密文件頭,獲得對稱密鑰和權限密文;同時若且唯若用戶私鑰的屬性集滿足 相應的權限策略時,才能解密相應部分,獲得其權限信息。這樣避免雲計算服務商獲知數據 內容,同時在數據被加密的情況下,實現數據擁有者將符合指定條件的數據交給特定用戶 進行共享,達到對共享加密文件的訪問以及權限控制。
[0005] 但是,在該方案中,對需要加密的文件進行加密時,是對整個文件進行加密,而對 於一些文件中既有需要加密的部分,又有無需加密的部分,則無法進行合理的加密。
【發明內容】
[0006] 為此,本發明所要解決的技術問題在於現有技術中對文件進行整體加密,不能滿 足文件加密多樣性的需求。針對現有技術的該缺陷,提出一種防止大量敏感數據的洩漏、保 護信息的安全的、基於數據屬性的加密方法。
[0007] 為解決上述技術問題,本發明的一種基於數據屬性的加密方法,包括:選擇需要加 密的部分欄位;採用不同的加密方式對不同的欄位進行加密;對於不同的用戶身份配置不 同的權限;用戶根據其權限對允許其查看的欄位進行解密。
[0008] 優選地,採用不同的加密方式對不同的欄位進行加密時,包括:根據欄位的屬性進 行加密,不同的屬性使用不同的方式進行加密。
[0009] 優選地,採用不同的加密方式對不同的欄位進行加密時,包括:當數據量大但又不 是關鍵項時採用對稱加密方式;數據量小但為關鍵數據時採用對稱解密算法進行加密,同 時使用非對稱的加密方式對對稱密鑰進行保護。
[0010] 優選地,資料庫中的不同欄位根據系統配置在存入前進行加密。
[0011] 優選地,資料庫中的加密欄位在應用系統讀取時也是加密的,當應用系統使用時, 根據用戶的解密權限對獲得的數據進行解密。
[0012] 一種基於數據屬性的加密系統,包括:
[0013] 資料庫層,存儲有數據信息,所述數據信息加密存儲;
[0014] 應用層,集成有資料庫中間件和數據安全中間件,資料庫中間件接管所述資料庫 層的訪問接口,具有訪問所述資料庫層的代理作用;數據安全中間件對資料庫層返回給應 用層的數據進行敏感數據的加密和解密作用,對需要加密的部分欄位,採用不同的加密方 式對不同的欄位進行加密,對於應用層中來自不同的用戶身份配置不同的權限,使得用戶 根據其權限對允許其查看的欄位進行解密。
[0015] 優選地,所述數據安全中間件包括屬性加密子單元,根據欄位的屬性進行加密,不 同的屬性使用不同的方式進行加密。
[0016] 優選地,所述屬性加密子單元,包括:
[0017] 第一加密子單元:當數據量大但又不是關鍵項時採用對稱加密方式;
[0018] 第二加密子單元:數據量小但為關鍵數據時採用對稱解密算法進行加密,同時使 用非對稱的加密方式對對稱密鑰進行保護。
[0019] 優選地,資料庫中的不同欄位根據系統配置在存入前進行加密。
[0020] 本發明的上述技術方案相比現有技術具有以下優點,
[0021] (1)本發明提供一種基於數據屬性的加密方法,首先,選擇需要加密的部分欄位, 採用不同的加密方式對不同的欄位進行加密;對於不同的用戶身份配置不同的權限,用戶 根據其權限對允許其查看的欄位進行解密。該方案中採用了對資料庫中的部分欄位進行加 密的方式,對於資料庫中文件中的部分欄位,或者結構化數據中的部分欄位,可以根據需要 進行加密,大大降低了對所有數據加密的數據處理量,在大量數據的情況下只根據需要進 行加密,大大提高了加密的速度,在加密的方式上可以採用不同的加密方式來對不同的字 段進行加密,不僅利於根據用戶的身份配置不同的權限,而且使得加密的方式在選擇上更 加靈活,提高工作效率,提高了數據使用過程的安全性。
[0022] (2)本發明所述的基於數據屬性的加密方法,根據欄位的屬性進行加密,不同的屬 性使用不同的方式進行加密,當數據量大但又不是關鍵項時採用對稱加密方式;數據量小 但為關鍵數據時採用對稱解密算法進行加密,同時使用非對稱的加密方式對對稱密鑰進行 保護。通過對關鍵數據和非關鍵數據的採用不同的加密方式,提高了數據加密的效率,同時 也保證了數據的安全性能。
[0023] (3)本發明還提供一種基於數據屬性的加密系統,通過資料庫中間件和數據安全 中間件來對資料庫的應用進行安全管理,首先通過資料庫中間件來進行對資料庫訪問的代 理,從而實現對資料庫細粒度的權限管控,當應用系統接受到資料庫返回的信息時,數據安 全中間件對資料庫返回的信息進行加密,根據不同的欄位屬性採用不同的方式加密,對於 應用層中有訪問權限的用戶給予解密,大大提高了數據使用的安全性。
【專利附圖】
【附圖說明】
[0024] 為了使本發明的內容更容易被清楚的理解,下面根據本發明的具體實施例並結合 附圖,對本發明作進一步詳細的說明,其中
[0025] 圖1是本發明的基於數據屬性的加密方法的流程圖;
[0026] 圖2是本發明的基於數據屬性的加密方法的使用流程圖;
[0027] 圖3是本發明的基於數據屬性的加密系統的結構示意圖。
【具體實施方式】
[0028] 實施例1 :
[0029] 本實施例中提供一種基於數據屬性的加密方法,流程圖如圖1所示,包括:選擇需 要加密的部分欄位,採用不同的加密方式對不同的欄位進行加密;對於不同的用戶身份配 置不同的權限,用戶根據其權限對允許其查看的欄位進行解密。
[0030] 上述採用不同的加密方式對不同的欄位進行加密時,包括:根據欄位的屬性進行 加密,不同的屬性使用不同的方式進行加密。當數據量大但又不是關鍵項時採用對稱加密 方式;數據量小但為關鍵數據時採用對稱解密算法進行加密,同時使用非對稱的加密方式 對對稱密鑰進行保護。通過對關鍵數據和非關鍵數據的採用不同的加密方式,提高了數據 加密的效率,同時也保證了數據的安全性能。
[0031] 資料庫中的不同欄位根據系統配置在存入前進行加密。資料庫中的加密欄位在應 用系統讀取時也是加密的,當應用系統使用時,根據用戶的解密權限對獲得的數據進行解 r t I ο
[0032] 該加密方法還適用於資料庫系統針對外部應用系統返回的查詢數據的加密,在某 些情況下,外部應用系統對資料庫系統進行查詢,但是查詢結果中的數據有些特殊的欄位 是保密的,通過該針對欄位的特殊的加密方式,根據用戶的權限返回加密數據,對於有權限 的用戶可以解密,對於無權限的用戶,則無法解密。
[0033] 該方案中採用了對資料庫中的部分欄位進行加密的方式,對於資料庫中文件中的 部分欄位,或者結構化數據中的部分欄位,可以根據需要進行加密,大大降低了對所有數據 加密的數據處理量,在大量數據的情況下只根據需要進行加密,大大提高了加密的速度,在 加密的方式上可以採用不同的加密方式來對不同的欄位進行加密,不僅利於根據用戶的身 份配置不同的權限,而且使得加密的方式在選擇上更加靈活,提高工作效率,提高了數據使 用過程的安全性。
[0034] 本實施例中提供資料庫部分欄位進行加密和不同角色(即用戶身份)針對不同字 段進行解密的一種方法,並且加密時對不同的欄位能採用不同的加密方法。具體哪些欄位 可以加密哪些欄位不用加密是通過系統配置來進行實現的,而解密時亦是如此。能通過配 置不同的角色(即不同的用戶身份),對加密過的欄位進行解密。各角色能解密哪些欄位 也是可以根據需要來進行配置。而本技術實現後所存在的形式一般是採用中間件的方式存 在。本實施中的方案能減少現有的資料庫加解密的壓力,根據需要進行加解密,並能針對不 同的欄位及其保密程度的高低採用不同的加密方式,提高安全性及使用時的靈活程度。
[0035] 本實施例中的方案,實現過程中主要有以下幾個方面,如圖2所示:
[0036] l)http協議分析,根據不同用戶角色對不同的屬性數據進行加密存儲。
[0037] 通過HTTP協議加密方式在傳輸過程中對用戶查詢的數據結果集進行加密,對於 不同的屬性具有不同的密鑰,具有HTTP接收解密的客戶端,自動解密被HTTP協議加密的文 件。
[0038] 2)用戶角色、加密欄位、加密方式配置。
[0039] 不同的角色配置不同的權限,他們根據自己的權限查看到可以查看的內容,對於 某些敏感數據,只有具有一定權限的人員才能看到。對於不同的數據表可以根據需要配置 不同的加密欄位。加密時各個欄位也可以採用不同的加密方式,其方式也是可以配置的。
[0040] 3)客戶端登錄信息驗證。
[0041] 客戶端登錄成功之後,利用查詢頁面查詢時對身份角色進行驗證。
[0042] 客戶端登錄失敗或者未登錄狀態,無法使用查詢頁面或者查詢結果都為加密內 容。
[0043] 4)終端解密模塊。
[0044] 為了保護數據,數據共享安全網關輸出的數據採用了加密處理,通過終端解密組 件對數據共享網關傳輸過來的信息資源進行解密使用,解密組件是信息資源系統既實現保 護,又不影響業務使用的關鍵組件。
[0045] 本方案中資料庫中的加密欄位直到應用系統取出來前一直都是加密傳輸的,當業 務系統在使用時才會根據用戶的解密權限對所查到的數據內容進行解密。從而避免了使用 系統的所有人都能查看到所有的數據。
[0046] 實施例2 :
[0047] 本實施例中提供一種基於數據屬性的加密系統,結構框圖如圖3所示,對應上述 實施例1中的給予數據屬性的加密方法,包括:
[0048] 資料庫層,存儲有數據信息,所述數據信息加密存儲;其中,資料庫中的不同欄位 根據系統配置在存入前進行加密。
[0049] 應用層,集成有資料庫中間件和數據安全中間件,資料庫中間件接管所述資料庫 層的訪問接口,具有訪問所述資料庫層的代理作用;數據安全中間件對資料庫層返回給應 用層的數據進行敏感數據的加密和解密作用,對需要加密的部分欄位,採用不同的加密方 式對不同的欄位進行加密,對於應用層中來自不同的用戶身份配置不同的權限,使得用戶 根據其權限對允許其查看的欄位進行解密。
[0050] 所述數據安全中間件包括屬性加密子單元,根據欄位的屬性進行加密,不同的屬 性使用不同的方式進行加密。所述屬性加密子單元,包括:
[0051] 第一加密子單元:當數據量大但又不是關鍵項時採用對稱加密方式;
[0052] 第二加密子單元:數據量小但為關鍵數據時採用對稱解密算法進行加密,同時使 用非對稱的加密方式對對稱密鑰進行保護。
[0053] 本實施例中的基於數據屬性的加密系統,通過資料庫中間件和數據安全中間件來 對資料庫的應用進行安全管理,首先通過資料庫中間件來進行對資料庫訪問的代理,從而 實現對資料庫細粒度的權限管控,當應用系統接受到資料庫返回的信息時,數據安全中間 件對資料庫返回的信息進行加密,根據不同的欄位屬性採用不同的方式加密,對於應用層 中有訪問權限的用戶給予解密,大大提高了數據使用的安全性。
[0054] 部署本實施例中的安全方案後,上層的http應用對數據源進行提取。在實際應用 系統裡集成了資料庫中間件和安全中間件,資料庫中間件接管了原有的資料庫訪問接口, 起到了資料庫訪問的代理作用,通過資料庫中間件可以實現細粒度的權限管控;而數據安 全中間件起到的對敏感數據的加解密作用。因此系統核心技術就是通過資料庫中間件和數 據安全中間件實現生產環境資料庫敏感數據源導出過程的安全保護,可以支持不同的數據 庫。
[0055] 本方案的加密系統中,系統配置中可以配置角色,並能給角色賦予不同的權限。該 權限與加密欄位相關,不同的欄位也可以採用不同的加解密方式進行加解密。當數據量大 但又不是關鍵項時採用對稱加密,而數據量小但是關鍵數據可採用對稱加密算法進行加 密,再使用非對稱的加密方式對對稱密鑰進行保護。資料庫中的不同欄位根據系統配置在 存入前進行加密,一般的DBA有資料庫的訪問權限查出來的數據也是加密的,從而加固了 安全性。
[0056] 本實施例中的基於數據屬性的加密系統,對資料庫欄位進行選擇性的加密,一是 在大量數據的情況下只根據需要進行加密,大大提高了加密的速度;二是其在加密的方法 和方式的選擇上更靈活,提高工作效率;三是通過存入的數據加密,更大程度的限定了管理 員的操作權限,這樣提高了數據使用過程的安全性。
[〇〇57] 顯然,上述實施例僅僅是為清楚地說明所作的舉例,而並非對實施方式的限定。對 於所屬領域的普通技術人員來說,在上述說明的基礎上還可以做出其它不同形式的變化或 變動。這裡無需也無法對所有的實施方式予以窮舉。而由此所引伸出的顯而易見的變化或 變動仍處於本發明創造的保護範圍之中。
【權利要求】
1. 一種基於數據屬性的加密方法,其特徵在於,包括: 選擇需要加密的部分欄位; 採用不同的加密方式對不同的欄位進行加密; 對於不同的用戶身份配置不同的權限; 用戶根據其權限對允許其查看的欄位進行解密。
2. 根據權利要求1所述的基於數據屬性的加密方法,其特徵在於,採用不同的加密方 式對不同的欄位進行加密時,包括: 根據欄位的屬性進行加密,不同的屬性使用不同的方式進行加密。
3. 根據權利要求1或2所述的基於數據屬性的加密方法,其特徵在於,採用不同的加密 方式對不同的欄位進行加密時,包括: 當數據量大但又不是關鍵項時採用對稱加密方式; 數據量小但為關鍵數據時採用對稱解密算法進行加密,同時使用非對稱的加密方式對 對稱密鑰進行保護。
4. 根據權利要求1或2所述的基於數據屬性的加密方法,其特徵在於,資料庫中的不同 欄位根據系統配置在存入前進行加密。
5. 根據權利要求4所述的基於數據屬性的加密方法,其特徵在於,資料庫中的加密字 段在應用系統讀取時也是加密的,當應用系統使用時,根據用戶的解密權限對獲得的數據 進行解密。
6. -種基於數據屬性的加密系統,其特徵在於,包括: 資料庫層,存儲有數據信息,所述數據信息加密存儲; 應用層,集成有資料庫中間件和數據安全中間件,資料庫中間件接管所述資料庫層的 訪問接口,具有訪問所述資料庫層的代理作用;數據安全中間件對資料庫層返回給應用層 的數據進行敏感數據的加密和解密作用,對需要加密的部分欄位,採用不同的加密方式對 不同的欄位進行加密,對於應用層中來自不同的用戶身份配置不同的權限,使得用戶根據 其權限對允許其查看的欄位進行解密。
7. 根據權利要求6所述的加密系統,其特徵在於,所述數據安全中間件包括屬性加密 子單元,根據欄位的屬性進行加密,不同的屬性使用不同的方式進行加密。
8. 根據權利要求7所述的加密系統,其特徵在於,所述屬性加密子單元,包括: 第一加密子單元:當數據量大但又不是關鍵項時採用對稱加密方式; 第二加密子單元:數據量小但為關鍵數據時採用對稱解密算法進行加密,同時使用非 對稱的加密方式對對稱密鑰進行保護。
9. 根據權利要求8所述的加密系統,其特徵在於,資料庫中的不同欄位根據系統配置 在存入前進行加密。
【文檔編號】G06F12/14GK104063334SQ201410327745
【公開日】2014年9月24日 申請日期:2014年7月11日 優先權日:2014年7月11日
【發明者】李欣, 吳昌明 申請人:中國人民公安大學