[发明专利]一种不落盘的数据库局内加密密钥加密方法、装置及电子设备

说明书

本发明实施例公开了一种不落盘的数据库局内加密密钥加密方法、装置及电子设备。该方法包括：通过Oracle提供的库内函数格式，编写自定义加密函数和密钥交换函数；将所述自定义加密函数封装为动态库文件；将所述动态库文件加载到数据库中，生成密钥；同步所述密钥管理系统中的密钥到本地临时密钥表；数据解密，所述数据解密包括查询所述本地临时密钥表，获取密钥，对加密数据进行解密，若要获取的密钥不存在于所述本地临时密钥表中，则再次同步所述密钥管理系统中的密钥到所述本地临时密钥表，再次查询所述本地临时密钥表，获取所述密钥。通过上述方式，本发明实施例能够实现自定加加解密函数的密钥管理,部署方式更便捷、安全，能够适应更多的库内加密场景。

技术领域

本发明实施方式涉及数据库加密领域，特别是涉及一种不落盘的数据库局内加密密钥加密方法、装置及电子设备。

背景技术

在目前的大数据环境下，数据安全是一个容易被忽视的特性，由于忽视数据的安全管理，从而造成数据泄露和暴露的现象已非常普遍，由于数据库技术广泛运用到各种信息管理系统、交易系统，以及各种社交软件、社交网站、网络论坛等社交系统。在这些数据库中，存储了大量客户的姓名、身份证号、个人密码等个人隐私资料，有的还存储了客户银行卡卡号和有效期等金融隐私资料。只要数据库中存储了任何人的任意个人数据，无论是用户还是公司员工，数据库的安全都变得至关重要，如果不采取有效的保护措施，一旦机密资料被不法分子窃取，不仅会导致客户个人隐私资料泄漏，更甚者还可能导致客户经济损失，随着黑市对数据需求的上升，数据泄露利润的上涨，数据库安全的问题显得愈发重要，在大数据安全问题的解决方案中，通常通过数据库加密来增加数据安全。

数据库加密分为前置代理加密、库内加密、操作系统层面加密、硬件层面的加密等技术路线。在库内加密上，主要采用数据库自身的一些触发器、视图、函数等特性，构造数据库加解密的方案，如何解决数据库加密管理端和库内加密端的密钥安全交换问题非常关键。

针对库内加密密钥交换，当前主要采用在数据库段运行一个独立的进程，通过该进程与加密管理端进行通信，将密钥保存在数据库本地目录中进行落盘，然后库内加解密模块读取密钥文件进行加解密操作。在数据库主机需要安装额外安装程序，在一些云数据库显然是不合适的，在RDS上无法直接安装相关程序，同时独立运行的程序给部署也带来了成本和风险。

发明内容

本发明实施方式主要解决的技术问题是提供一种不落盘的数据库局内加密密钥加密方法、装置及电子设备，能够实现自定加加解密函数的密钥管理,部署方式更便捷、安全，能够适应更多的库内加密场景。。

为解决上述技术问题，本发明实施方式采用的一个技术方案是：提供一种不落盘的数据库库内加密密钥交换方法，该方法包括：通过Oracle提供的库内函数格式，编写自定义加密函数和密钥交换函数；将所述自定义加密函数和密钥交换函数封装为动态库文件；将所述动态库文件加载到数据库中，生成密钥；同步密钥，所述同步密钥包括通过密钥交换函数，编写TCP通讯函数，调用所述TCP通讯函数和密钥交换函数，同步所述密钥管理系统中的密钥到本地临时密钥表；数据解密，所述数据解密包括查询所述本地临时密钥表，获取密钥，对加密数据进行解密；若要获取的密钥不存在于所述本地临时密钥表中，则再次调用TCP通讯函数和密钥交换函数，同步所述密钥管理系统中的密钥到所述本地临时密钥表，再次查询所述本地临时密钥表，获取所述密钥。

在本发明的一个实施例中，所述同步密钥还包括：通过Oracle自带的UTL_TCP软件包，编写通讯程序，同步所述密钥管理系统中的密钥到本地临时密钥表。

在本发明的一个实施例中，所述数据解密还包括查询所述本地临时密钥表，获取密钥，对加密数据进行解密；若要获取的密钥不存在于所述本地临时密钥表中，则再次调用通讯程序，同步所述密钥管理系统中的密钥到所述本地临时密钥表，再次查询所述本地临时密钥表，获取所述密钥。

在本发明的一个实施例中，所述密钥管理系统用于管理密钥生成、存储和分发。