[发明专利]基于双列处理的列加解密方法和装置

说明书

本发明提供一种基于双列处理的列加解密方法和装置，其中方法包括：获取当前应用环境下的数据库描述信息，并基于数据库描述信息确定当前应用环境下使用的数据库是否支持移动数据表中列的位置；若当前应用环境下使用的数据库支持移动数据表中列的位置，且当前的加解密标记为未加密，则在目标数据表中紧邻待加密列之后的位置处插入加密辅助列；读取待加密列中的待加密数据并进行加密，得到待加密列的已加密数据后，将待加密列的已加密数据更新至加密辅助列中；删除待加密列，并将加密辅助列的列名改为待加密列的列名；若当前的加解密标记为已加密，解密方式类似上述加密方式。本发明提高了敏感列加解密过程中数据库的安全性。

技术领域

本发明涉及数据库安全技术领域，尤其涉及一种基于双列处理的列加解密方法和装置。

背景技术

数据安全日益重要，对数据库中的数据进行加密的必要性越来越高。其中，数据库加密，也就是对数据库中各个数据表的敏感列进行加密是非常重要的安全手段。然而，随着数据表中数据的大幅度膨胀，如何高效且安全地对敏感列中海量的数据进行加密和解密，同时不影响整个数据库的使用安全，是一个亟待解决的难题。

目前在对数据表的敏感列进行加密时，通常采用的是双表策略。即，在对数据表的敏感列进行加密时，通过新增一张与目标数据表A（即包含敏感列的数据表）的表结构一致的辅助表B，将目标数据表A中非敏感列的所有数据拷贝到辅助表B中的对应列中，将目标数据表A中敏感列的数据加密后拷贝到辅助表B中的对应列中，完成之后删除目标数据表A，并将辅助表B的表名修改为目标数据表A的表名。

然而，上述双表策略中通过新增一张表以替换原表的方式实现加密，本质上用户的原表已丢失，只是将其中的数据以密文的形式存在于同名的新表中。一方面，此方案需要将原表中所有的数据拷贝到新表中，在数据量很大时该方案的效率会较低。更重要的是，删除原表会后，原表上携带的关联关系（例如在原表上建立的外键、引用、视图、触发器等）丢失，导致数据库的整体环境被破坏。即使在删除原表后在新表上重建上述关联关系，在表结构复杂、关联关系较多时，重建上述关联关系需要额外耗费更多的时间成本且存在遗漏风险。此外，在原表的数据量较大的情况下，在删除原表的过程中一旦出错导致原表删除不成功，原表中部分数据被删除而部分数据被保留时，极易导致整个数据库崩溃，影响用户的生产环境安全。因此，上述双表方案存在加密效率较低且安全性不足的问题。

发明内容

本发明提供一种基于双列处理的列加解密方法和装置，用以解决现有技术中双表方案存在加密效率较低且安全性不足的缺陷。

本发明提供一种基于双列处理的列加解密方法，包括：

获取当前应用环境下的数据库描述信息，并基于所述数据库描述信息确定当前应用环境下使用的数据库是否支持移动数据表中列的位置；

若当前应用环境下使用的数据库支持移动数据表中列的位置，确定当前的加解密标记；

若当前的加解密标记为未加密，则在目标数据表中紧邻待加密列之后的位置处插入加密辅助列；读取所述待加密列中的待加密数据并进行加密，得到所述待加密列的已加密数据后，将所述待加密列的已加密数据更新至所述加密辅助列中；删除所述待加密列，并将所述加密辅助列的列名改为所述待加密列的列名；

若当前的加解密标记为已加密，则在目标数据表中紧邻待解密列之后的位置处插入解密辅助列；读取所述待解密列中的待解密数据并进行解密，得到所述待解密列的已解密数据后，将所述待解密列的已解密数据更新至所述解密辅助列中；删除所述待解密列，并将所述解密辅助列的列名改为所述待解密列的列名。

根据本发明提供的一种基于双列处理的列加解密方法，所述读取所述待加密列中的待加密数据并进行加密，得到所述待加密列的已加密数据后，将所述待加密列的已加密数据更新至所述加密辅助列中，具体包括：

基于select语句读取所述待加密列中的待加密数据并将所述待加密数据按所述目标数据表的主键顺序排列；