[发明专利]一种字段级数据库加密装置

说明书

技术领域

本发明属于信息安全领域，尤其涉及一种字段级数据库加密装置。

背景技术

数据库是现代软件系统中数据存储的重要方法，数据库中所存储的数据往往是用户敏感的数据，加密成为保护数据信息不被泄露的重要手段。

目前，对于存储在数据库中的数据，根据数据性质的不同往往采用两种不同的加密的方式。

一种加密方式是不可逆的加密方式。这种方式对明文数据进行数据散列运算获得数据的特征值，将特征值存储到数据库中，明文数据不存储。由于存储的数据仅仅保存数据的特征值，所以数据是不可还原的，具有比较大的局限性，只能用于一些特殊的数据类型，例如用户密码往往都采用这种方式来进行存储，目的用于验证用户密码的特征值。

另外一种加密方式是可逆的加密方式，对明文数据采用加密算法进行加密，并采用相应的解密算法可以将数据解密。这种方式不会有上一种方式的局限，对各种数据都可以进行加密和解密。

目前，有各种对称算法和非对称的算法来实现对数据库的加密，但数据加密以后，会给数据库访问的操作带来很多不良影响，包括数据解密的速度、数据字段的检索、数据的搜索、数据的共享访问等。

具体而言，存在以下问题：

1、性能问题：一般应用中往往采用客户端数据解密的方式，将加密后的数据从数据库取出后进行处理，严重影响数据库访问的性能，在数据记录比较大的情况下，基本不能使用；

2、不能进行全文检索：由于数据库存放密文，一般采用将密文取出解密后再进行全文检索，效率比数据库系统直接检索慢，对系统的开销也很大；

3、不同的用户不能共享：由于数据采用了用户专用的密钥进行加密，在数据需要共享的场合，则对数据不能加密；

4、对字段加密不能设置：对数据库字段的加密与否不能灵活选择，导致数据加密性能问题严重；

5、应用系统访问数据库不透明：应用系统需要对数据进行加密和解密的操作，不透明。

发明内容

本发明实施例提供一种字段级数据库加密装置，在有效地对数据库数据加密保护的同时，能够保留数据库操作的各种功能。

本发明实施例是这样实现的，一种字段级数据库加密装置，所述装置包括：

用户信息存储单元，用于存储经用户公共密钥加密后的数据库加密对称密钥；

数据库字段加密设置单元，用于设置数据库中的字段是否加密；以及

数据库访问前置处理器，用于根据解密后的数据库加密对称密钥和所述数据库字段加密设置单元中的字段加密设置信息，对数据库访问语句进行加密转换或解密转换。

通过本发明实施例，用户可以根据不同加密强度的需要选取数据库系统所支持的不同的对称加密算法，应用程序不需要对数据库进行加密和解密操作，所有的数据加解密操作由数据库系统来完成，可以支持数据项的全文检索功能，原有的数据库访问语句不需要进行变更处理，直接透明使用，用户仅仅在数据库操作之前进行数据库访问语句的前置处理。

附图说明

图1是本发明实施例提供的字段级数据库加密装置的结构图；

图2是本发明实施例提供的应用程序对数据库进行访问的处理流程图；

图3是本发明实施例提供的对SQL语句进行处理的流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

在本发明实施例中，采用用户公共密钥对数据库加密对称密钥加密，通过对应用程序的数据库访问语句进行加解密转换，在有效地对数据库数据加密保护的同时，保留数据库操作的各种功能。

图1示出了本发明实施例提供的字段级数据库加密装置的结构，为了便于描述和理解，仅示出了与本发明实施例相关的部分。

用户信息存储单元11存储经用户公共密钥Kup加密的数据库加密对称密钥Kdb。

在本发明实施例中，利用数据库加密对称密钥Kdb对数据库中的字段加密，数据库加密对称密钥由数据库管理员或应用管理员统一设置，其他人员不能修改。

本发明实施例中，可以采用高级加密标准（Advanced Encryption Standard，AES）加密算法等数据库系统所支持的加密算法设置数据库加密对称密钥Kdb，系统管理员可以通过Web界面设置一串密码作为密钥。

系统管理员设置数据库加密对称密钥Kdb时，使用各个用户的公共密钥Kup对数据库加密对称密钥Kdb加密，存储到用户信息存储单元11中。