[发明专利]一种数据库存储安全加密的方法

说明书

本发明涉及一种数据库存储安全加密的方法，所采用的方法是：将加密算法的相关信息与加密对象相关联，由数据库管理员事先设定，密钥则与用户信息相关联，由用户事先设定，加密算法的相关信息与密钥分别存放，在需要对加密对象进行加解密时再将它们结合起来使用。由于本发明采用将加密算法的相关信息与密钥分别存放，在需要对加密对象进行加解密时再将它们结合起来使用，使得本发明既可实现对不同的加密对象采用不同的加密算法，使用起来非常灵活，不用改变已有的应用系统，移植性非常好，同时又能很好地保护用户私有的敏感数据，而且对加密对象的数据类型没有限制。

技术领域

本发明涉及数据库应用技术领域，尤其涉及一种数据库存储安全加密的方法。

背景技术

在政府、军队以及企业等数据库应用环境中，数据库中存放了大量敏感数据，这些数据一旦被敌手获取会造成灾难性的损失。为了保护这些敏感数据，各大安全数据库厂商都提供了存储加密方法，对敏感数据进行加密。当前所提供的加密方法可以分为透明加密和非透明加密两种。

透明加密指的是将加密算法的相关信息和密钥保存在数据库中，当用户对敏感数据进行操作时，由数据库管理系统自动完成加解密过程，该过程对用户不可见。透明加密能够在不改变上层应用系统的同时有效保护敏感数据在存储介质上的安全，且不限制加密对象的数据类型，但透明加密并不能阻止其它合法的数据库用户对这些敏感数据的访问。

非透明加密则是将密钥以及加密算法相关信息由用户保管，并对外提供专门的加解密接口，敏感数据的加解密过程由用户显式调用加解密接口完成。非透明加密能够有效保护用户私有的敏感数据，以这种方法加密后的数据只有拥有解密密钥的用户才能查看。不过非透明加密要求用户显式提供加密算法相关信息，操作较为繁琐，对已有的应用系统来说，移植也非常困难，而且非透明加密对加密对象的数据类型存在限制，一般只能是VARCHAR或VARBINARY类型。

发明内容

有鉴于此，有必要针对现有技术的缺点，提供一种数据库存储安全加密的方法。

为了实现上述目的，本发明解决其技术问题所采用的方法是：将加密算法的相关信息与加密对象相关联，由数据库管理员事先设定，密钥则与用户信息相关联，由用户事先设定，加密算法的相关信息与密钥分别存放，在需要对加密对象进行加解密时再将它们结合起来使用。

上述方法的具体步骤是：

第一步骤：由数据库管理员事先为加密对象设置加密算法的相关信息，并保存在与加密对象关联的元数据中，当用户对加密对象进行操作时，数据库管理系统自动查询元数据，获取加密对象上加密算法的相关信息；

第二步骤：将用户使用的加解密密钥交由用户自己管理，用户将密钥保存到与用户信息关联的元数据中，作为缺省的密钥，当用户登录到数据库中之后，系统自动将用户的缺省密钥设置到用户会话中，供数据库管理系统自动完成加解密操作；

第三步骤：当用户对加密对象进行操作时，自动调用第一步骤中应用在加密对象上的加密算法，并利用第二步骤中保存在用户会话中的密钥完成加解密操作；

上述第三步骤中还提供允许用户动态改变其会话密钥的接口。

由于本发明采用将加密算法的相关信息与密钥分别存放，在需要对加密对象进行加解密时再将它们结合起来使用，使得本发明既可实现对不同的加密对象采用不同的加密算法，使用起来非常灵活，不用改变已有的应用系统，移植性非常好，同时又能很好地保护用户私有的敏感数据，而且对加密对象的数据类型没有限制。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。

图1为本发明的系统框图。

图2为本发明实施例系统框图。