[发明专利]可信身份的数据库关键数据安全读写认证方法

说明书

技术领域

本发明涉及信息安全技术领域，特别是可信身份的数据库关键数据读取认证，采用国密对称加密算法目前为SM4.。

背景技术

在大数据环境下，安全是一个容易被忽略的特性。特别是数据库安全对许多企业来说是非常重要的，甚至关系到一个企业的生存和发展。因而企业常常采取一定的措施：如采取数据库备份、防火墙等来保护系统的安全，但是这些传统的安全保护措施具有一定的局限性和不足。在绝大多数信息系统中，没有加密的数据库就如同没有上锁的文件柜，对别有用心的人而言，剽窃、篡改易如反掌。因此，如何有效地保证数据库系统的安全，实现数据的保密性、完整性和有效性，数据库的安全管理日益成为人们关注的焦点之一。解决这一问题的关键是要对数据库中的数据本身进行加密，即使数据不幸泄露或丢失，也难以被人破译。目前对数据库的管理系统本身进行加密操作是不现实的，这属于核心层加密，如果没有数据库开发商的配合，其实现难度相对较大。

发明内容

本发明所要解决的技术问题是规避目前数据库整体加密导致的效率降低，克服现有技术的缺陷，但针对核心数据的提取和保存，提供一种可信身份的数据库关键数据安全读写认证方法。

为解决上述技术问题，本发明提供一种可信身份的数据库关键数据安全读写认证方法，其特征是，

应用服务器调用密码机通过国密对称算法生成密钥d并通过非对称算法生成服务器密钥对（b，r），服务器公钥b对通过国密对称算法生成的密钥d加密，加密后的密钥d¹存放于应用服务器内存中的某个固定处隐藏；

用户向数据库服务器写入数据或者从数据库服务器读取数据时，首先对用户进行可信身份的验证，验证通过为可信身份时才允许用户写入或读取数据；

用户写入数据时，用户向Web页面输入用户信息并写入数据，Web页面发送写入数据请求到应用服务器，应用服务器接受用户的数据并且验证用户的个人数字证书可信后，由服务器私钥r对加密的密钥d¹解密，利用解密后的密钥d将用户写入的数据加密，再将加密后的数据写入数据库服务器中；

用户读取数据时，用户发送读取数据的请求到Web页面，Web页面发送用户读取数据的请求给应用服务器，应用服务器接受用户的读取数据请求并且验证用户的个人数字证书可信后，应用服务器发送用户请求到数据库服务器，数据库服务器将用户请求读取的数据返回给应用服务器，应用服务器利用服务器私钥r对加密的密钥d¹解密，利用解密后的密钥d将用户需要的数据通过国密对称算法进行解密，解密后的数据返回至Web页面并显示给用户。

对用户写入的数据加密或读取的数据解密完成以后，在应用服务器内存中消除本次服务器私钥r解密出来的密钥d，而通过服务器公钥b加密后的密钥d1仍存放于应用服务器内存中的某个固定处隐藏，下次使用时再直接调用。

用户可信身份认证的步骤为：

用户首先插入个人数字证书usbkey并输入PIN码，Web页面对由服务器生成的随机数进行签名，并发送签名值到应用服务器，应用服务器验证签名值，读取用户个人数字证书信息，验证用户是否是可信身份及是否具备数据库服务器读取权限，验证结束后返回验证结果到Web页面来确定用户是否为可信身份。

用户的数据写入数据库服务器中后，应用服务器返回用户请求写入数据成功与否的结果至Web页面并显示给用户。

数据库服务器中存储的需要保密的数据包括结构化数据的核心字段和非结构化数据集。

写入数据库服务器中的加密数据是以国密对称算法进行加密的。

在加密前对数据库服务器中需要保密的数据建立1-20个关键索引字，通过关键索引字建立快速索引。

本发明所达到的有益效果：

本发明提出了一种可信身份的数据库关键数据安全读取认证的方法，其中数据库的关键数据包括结构化数据的核心字段（需要保密的字段内容）和非结构化数据集（文档等数据），是一种基于可信身份的关键数据的读取识别方法，并且利用了服务器公私钥对进行互联网的关键数据的传输，通过对用户可信身份的识别认证，实现了数据库中关键数据的加密、解密和安全传输的过程，此方式多重保护了用户对数据库中的关键数据的存取，防止了别有用心之人窃取并篡改数据库中的机密信息，此发明的方法实施方便，过程简洁明了，操作简单，适宜推广使用。

附图说明

图1是用户可信身份认证的流程图；

图2是用户写入数据加密方法的流程图；

图3是用户读取数据库数据的方法流程图。