[发明专利]基于用户态文件系统的数据库透明加解密实现方法及系统

说明书

本发明公开了一种基于用户态文件系统的数据库透明加解密实现方法，包括以下步骤：调用用户态文件系统；基于用户态文件系统构建用户态加密文件系统；在数据库中创建用于存放密文的密文目录和用于存放明文的明文目录；基于用户态加密文件系统对密文目录进行初始化处理，以得到目标密文目录；将目标密文目录挂载到明文目录，以实现数据库透明加解密。本发明还公开了一种基于用户态文件系统的数据库透明加解密实现系统。本发明涉及数据库加解密技术领域。本发明可在保证对用户无感的数据库透明加密的同时也保证加密的效率，以及可对不同数据库支持国密算法SM4。

技术领域

本发明涉及数据库加解密技术领域，具体而言，涉及一种基于用户态文件系统的数据库透明加解密实现方法及系统。

背景技术

现有的数据库的透明加密技术TDE，只能依赖于数据库本身的实现，比如ORACLE本身的TDE技术，以及MYSQL的keyring技术，数据库自身支持的TDE配置复杂，健壮性不高。并且实现的不足是对所有加密的数据库和表只能提供一个密钥，对密钥管理造成一定困难，并且不支持国密算法SM4，无法在需要使用国密算法的地方使用。

发明内容

为了克服上述问题或者至少部分地解决上述问题，本发明实施例提供一种基于用户态文件系统的数据库透明加解密实现方法及系统，可在保证对用户无感的数据库透明加密的同时也保证加密的效率，以及可对不同数据库支持国密算法SM4。

本发明的实施例是这样实现的：

第一方面，本发明实施例提供一种基于用户态文件系统的数据库透明加解密实现方法，包括以下步骤：

调用用户态文件系统；

基于用户态文件系统构建用户态加密文件系统；

在数据库中创建用于存放密文的密文目录和用于存放明文的明文目录；

基于用户态加密文件系统对密文目录进行初始化处理，以得到目标密文目录；

将目标密文目录挂载到明文目录，以实现数据库透明加解密。

本发明基于用户文件系统构建加密系统，进而支持不同数据库的加密算法，实现对数据库的透明有效的加密和解密，解决了现有技术中不支持国密算法SM4的技术问题。用户态文件系统由3部分组成：内核模块、用户态库文件以及mount工具。内核模块提供内核的接入口；用户态库给用户提供一系列的编程接口；Mount工具用于挂载用户编写的文件系统。用户程序只需要和用户态库以及mount工具进行交互。为了实现对不同数据库的加密支撑，首先，调用一个基础的用户态文件系统，以此为基础，在用户态文件系统的基础上构建并实现对各个函数的调用以构建一个用户态加密文件系统，进而通过用户态加密文件系统实现后续的数据库加密，无需进行其他操作即可对接各个不同数据库，实现数据库的加解密操作。用户态加密文件系统构建完成后，在此基础上为对应的数据库创建用于存放密文的密文目录和用于存放明文的明文目录，然后对密文目录进行初始化处理，以得到目标密文目录，并在初始化处理过程会在cipher生成密钥配置文件，然后将目标密文目录挂载到明文目录，为后续用户在明文目录中的操作提供加密基础，基于密文目录和明文目录之间的关联，用户在明文目录中写入的数据内容也会直接进行加密，进而实现数据库透明加密。用户对数据进行解密查看时，只需要通过调用用户态加密文件系统中的解密函数即可实现数据的解密，方便快捷的进行加解密。

本方法基于用户文件系统构建加密系统，可支持不同数据库的加密算法，无需多余的操作配置只需要调用用户态加密文件系统中的加解密函数即可实现对数据内容的加密和解密，实现对数据库的透明有效的加密和解密。

基于第一方面，在本发明的一些实施例中，上述基于用户态文件系统构建用户态加密文件系统的方法包括以下步骤：