一种基于数据属性的加密方法和系统的制作方法
【专利摘要】本发明提供一种基于数据属性的加密方法,首先,选择需要加密的部分字段,采用不同的加密方式对不同的字段进行加密;对于不同的用户身份配置不同的权限,用户根据其权限对允许其查看的字段进行解密。该方案中采用了对数据库中的部分字段进行加密的方式,对于数据库中文件中的部分字段,或者结构化数据中的部分字段,可以根据需要进行加密,大大降低了对所有数据加密的数据处理量,在大量数据的情况下只根据需要进行加密,大大提高了加密的速度,在加密的方式上可以采用不同的加密方式来对不同的字段进行加密,不仅利于根据用户的身份配置不同的权限,而且使得加密的方式在选择上更加灵活,提高工作效率,提高了数据使用过程的安全性。
【专利说明】一种基于数据属性的加密方法和系统
【技术领域】
[0001] 本发明涉及一种加密方法和系统,具体地说是一种基于数据属性的加密方法和系 统。
【背景技术】
[0002] 数据信息资源共享应用是信息化建设的基本原则。各个企业都有自己的企业系 统,存放一些可以公开的信息,另外还有一些企业之间存在着信息共享,随着信息化的深入 发展,这些信息资源的共享和应用的需求日益旺盛,但存在一定数量共享使用相关信息资 源的业务系统信息安全保障能力偏弱,安全风险形式严峻。有些数据信息若发生泄露和滥 用的安全问题,则会直接产生恶劣社会影响,并直接威胁社会稳定和国家安全。
[0003] 随着数据库技术在日常经济生活中应用的不断增加,数据库安全日益成为人们关 注的热点。而目前数据库的安全性主要通过访问控制来保障,但是当访问控制被攻破时整 个数据库的安全体系也随之瓦解。目前解决此问题的主要方法是采用数据库加密。为了保 护数据的安全,采取对数据库加密的方式,数据库加密后,数据得到保护,当向数据库中写 数据的时候,以密文的方式存储,当读取数据库中的数据的时候,对数据进行解密。
[0004] 在中国专利文件CN103107992A中公开了一种面向云存储加密数据共享的多级权 限管理方法,对于需要加密的文件,首先随机选择对称加密密钥,应用对称加密算法算法加 密数据或文件,生成内容密文;然后针对不同用户对文件具有的不同权限,采用属性基加密 方法对不同权限结构进行加密,生成权限密文;最后根据对文件具有访问权限的用户访问 结构,采用属性基加密方法加密对称密钥和权限密文,并将其以文件头的形式与内容密文 结合,作为数据或文件的完整密文。解密时,首先当且仅当用户私钥的属性集满足访问策略 时,用户才能解密文件头,获得对称密钥和权限密文;同时当且仅当用户私钥的属性集满足 相应的权限策略时,才能解密相应部分,获得其权限信息。这样避免云计算服务商获知数据 内容,同时在数据被加密的情况下,实现数据拥有者将符合指定条件的数据交给特定用户 进行共享,达到对共享加密文件的访问以及权限控制。
[0005] 但是,在该方案中,对需要加密的文件进行加密时,是对整个文件进行加密,而对 于一些文件中既有需要加密的部分,又有无需加密的部分,则无法进行合理的加密。
【发明内容】
[0006] 为此,本发明所要解决的技术问题在于现有技术中对文件进行整体加密,不能满 足文件加密多样性的需求。针对现有技术的该缺陷,提出一种防止大量敏感数据的泄漏、保 护信息的安全的、基于数据属性的加密方法。
[0007] 为解决上述技术问题,本发明的一种基于数据属性的加密方法,包括:选择需要加 密的部分字段;采用不同的加密方式对不同的字段进行加密;对于不同的用户身份配置不 同的权限;用户根据其权限对允许其查看的字段进行解密。
[0008] 优选地,采用不同的加密方式对不同的字段进行加密时,包括:根据字段的属性进 行加密,不同的属性使用不同的方式进行加密。
[0009] 优选地,采用不同的加密方式对不同的字段进行加密时,包括:当数据量大但又不 是关键项时采用对称加密方式;数据量小但为关键数据时采用对称解密算法进行加密,同 时使用非对称的加密方式对对称密钥进行保护。
[0010] 优选地,数据库中的不同字段根据系统配置在存入前进行加密。
[0011] 优选地,数据库中的加密字段在应用系统读取时也是加密的,当应用系统使用时, 根据用户的解密权限对获得的数据进行解密。
[0012] 一种基于数据属性的加密系统,包括:
[0013] 数据库层,存储有数据信息,所述数据信息加密存储;
[0014] 应用层,集成有数据库中间件和数据安全中间件,数据库中间件接管所述数据库 层的访问接口,具有访问所述数据库层的代理作用;数据安全中间件对数据库层返回给应 用层的数据进行敏感数据的加密和解密作用,对需要加密的部分字段,采用不同的加密方 式对不同的字段进行加密,对于应用层中来自不同的用户身份配置不同的权限,使得用户 根据其权限对允许其查看的字段进行解密。
[0015] 优选地,所述数据安全中间件包括属性加密子单元,根据字段的属性进行加密,不 同的属性使用不同的方式进行加密。
[0016] 优选地,所述属性加密子单元,包括:
[0017] 第一加密子单元:当数据量大但又不是关键项时采用对称加密方式;
[0018] 第二加密子单元:数据量小但为关键数据时采用对称解密算法进行加密,同时使 用非对称的加密方式对对称密钥进行保护。
[0019] 优选地,数据库中的不同字段根据系统配置在存入前进行加密。
[0020] 本发明的上述技术方案相比现有技术具有以下优点,
[0021] (1)本发明提供一种基于数据属性的加密方法,首先,选择需要加密的部分字段, 采用不同的加密方式对不同的字段进行加密;对于不同的用户身份配置不同的权限,用户 根据其权限对允许其查看的字段进行解密。该方案中采用了对数据库中的部分字段进行加 密的方式,对于数据库中文件中的部分字段,或者结构化数据中的部分字段,可以根据需要 进行加密,大大降低了对所有数据加密的数据处理量,在大量数据的情况下只根据需要进 行加密,大大提高了加密的速度,在加密的方式上可以采用不同的加密方式来对不同的字 段进行加密,不仅利于根据用户的身份配置不同的权限,而且使得加密的方式在选择上更 加灵活,提高工作效率,提高了数据使用过程的安全性。
[0022] (2)本发明所述的基于数据属性的加密方法,根据字段的属性进行加密,不同的属 性使用不同的方式进行加密,当数据量大但又不是关键项时采用对称加密方式;数据量小 但为关键数据时采用对称解密算法进行加密,同时使用非对称的加密方式对对称密钥进行 保护。通过对关键数据和非关键数据的采用不同的加密方式,提高了数据加密的效率,同时 也保证了数据的安全性能。
[0023] (3)本发明还提供一种基于数据属性的加密系统,通过数据库中间件和数据安全 中间件来对数据库的应用进行安全管理,首先通过数据库中间件来进行对数据库访问的代 理,从而实现对数据库细粒度的权限管控,当应用系统接受到数据库返回的信息时,数据安 全中间件对数据库返回的信息进行加密,根据不同的字段属性采用不同的方式加密,对于 应用层中有访问权限的用户给予解密,大大提高了数据使用的安全性。
【专利附图】
【附图说明】
[0024] 为了使本发明的内容更容易被清楚的理解,下面根据本发明的具体实施例并结合 附图,对本发明作进一步详细的说明,其中
[0025] 图1是本发明的基于数据属性的加密方法的流程图;
[0026] 图2是本发明的基于数据属性的加密方法的使用流程图;
[0027] 图3是本发明的基于数据属性的加密系统的结构示意图。
【具体实施方式】
[0028] 实施例1 :
[0029] 本实施例中提供一种基于数据属性的加密方法,流程图如图1所示,包括:选择需 要加密的部分字段,采用不同的加密方式对不同的字段进行加密;对于不同的用户身份配 置不同的权限,用户根据其权限对允许其查看的字段进行解密。
[0030] 上述采用不同的加密方式对不同的字段进行加密时,包括:根据字段的属性进行 加密,不同的属性使用不同的方式进行加密。当数据量大但又不是关键项时采用对称加密 方式;数据量小但为关键数据时采用对称解密算法进行加密,同时使用非对称的加密方式 对对称密钥进行保护。通过对关键数据和非关键数据的采用不同的加密方式,提高了数据 加密的效率,同时也保证了数据的安全性能。
[0031] 数据库中的不同字段根据系统配置在存入前进行加密。数据库中的加密字段在应 用系统读取时也是加密的,当应用系统使用时,根据用户的解密权限对获得的数据进行解 r t I ο
[0032] 该加密方法还适用于数据库系统针对外部应用系统返回的查询数据的加密,在某 些情况下,外部应用系统对数据库系统进行查询,但是查询结果中的数据有些特殊的字段 是保密的,通过该针对字段的特殊的加密方式,根据用户的权限返回加密数据,对于有权限 的用户可以解密,对于无权限的用户,则无法解密。
[0033] 该方案中采用了对数据库中的部分字段进行加密的方式,对于数据库中文件中的 部分字段,或者结构化数据中的部分字段,可以根据需要进行加密,大大降低了对所有数据 加密的数据处理量,在大量数据的情况下只根据需要进行加密,大大提高了加密的速度,在 加密的方式上可以采用不同的加密方式来对不同的字段进行加密,不仅利于根据用户的身 份配置不同的权限,而且使得加密的方式在选择上更加灵活,提高工作效率,提高了数据使 用过程的安全性。
[0034] 本实施例中提供数据库部分字段进行加密和不同角色(即用户身份)针对不同字 段进行解密的一种方法,并且加密时对不同的字段能采用不同的加密方法。具体哪些字段 可以加密哪些字段不用加密是通过系统配置来进行实现的,而解密时亦是如此。能通过配 置不同的角色(即不同的用户身份),对加密过的字段进行解密。各角色能解密哪些字段 也是可以根据需要来进行配置。而本技术实现后所存在的形式一般是采用中间件的方式存 在。本实施中的方案能减少现有的数据库加解密的压力,根据需要进行加解密,并能针对不 同的字段及其保密程度的高低采用不同的加密方式,提高安全性及使用时的灵活程度。
[0035] 本实施例中的方案,实现过程中主要有以下几个方面,如图2所示:
[0036] l)http协议分析,根据不同用户角色对不同的属性数据进行加密存储。
[0037] 通过HTTP协议加密方式在传输过程中对用户查询的数据结果集进行加密,对于 不同的属性具有不同的密钥,具有HTTP接收解密的客户端,自动解密被HTTP协议加密的文 件。
[0038] 2)用户角色、加密字段、加密方式配置。
[0039] 不同的角色配置不同的权限,他们根据自己的权限查看到可以查看的内容,对于 某些敏感数据,只有具有一定权限的人员才能看到。对于不同的数据表可以根据需要配置 不同的加密字段。加密时各个字段也可以采用不同的加密方式,其方式也是可以配置的。
[0040] 3)客户端登录信息验证。
[0041] 客户端登录成功之后,利用查询页面查询时对身份角色进行验证。
[0042] 客户端登录失败或者未登录状态,无法使用查询页面或者查询结果都为加密内 容。
[0043] 4)终端解密模块。
[0044] 为了保护数据,数据共享安全网关输出的数据采用了加密处理,通过终端解密组 件对数据共享网关传输过来的信息资源进行解密使用,解密组件是信息资源系统既实现保 护,又不影响业务使用的关键组件。
[0045] 本方案中数据库中的加密字段直到应用系统取出来前一直都是加密传输的,当业 务系统在使用时才会根据用户的解密权限对所查到的数据内容进行解密。从而避免了使用 系统的所有人都能查看到所有的数据。
[0046] 实施例2 :
[0047] 本实施例中提供一种基于数据属性的加密系统,结构框图如图3所示,对应上述 实施例1中的给予数据属性的加密方法,包括:
[0048] 数据库层,存储有数据信息,所述数据信息加密存储;其中,数据库中的不同字段 根据系统配置在存入前进行加密。
[0049] 应用层,集成有数据库中间件和数据安全中间件,数据库中间件接管所述数据库 层的访问接口,具有访问所述数据库层的代理作用;数据安全中间件对数据库层返回给应 用层的数据进行敏感数据的加密和解密作用,对需要加密的部分字段,采用不同的加密方 式对不同的字段进行加密,对于应用层中来自不同的用户身份配置不同的权限,使得用户 根据其权限对允许其查看的字段进行解密。
[0050] 所述数据安全中间件包括属性加密子单元,根据字段的属性进行加密,不同的属 性使用不同的方式进行加密。所述属性加密子单元,包括:
[0051] 第一加密子单元:当数据量大但又不是关键项时采用对称加密方式;
[0052] 第二加密子单元:数据量小但为关键数据时采用对称解密算法进行加密,同时使 用非对称的加密方式对对称密钥进行保护。
[0053] 本实施例中的基于数据属性的加密系统,通过数据库中间件和数据安全中间件来 对数据库的应用进行安全管理,首先通过数据库中间件来进行对数据库访问的代理,从而 实现对数据库细粒度的权限管控,当应用系统接受到数据库返回的信息时,数据安全中间 件对数据库返回的信息进行加密,根据不同的字段属性采用不同的方式加密,对于应用层 中有访问权限的用户给予解密,大大提高了数据使用的安全性。
[0054] 部署本实施例中的安全方案后,上层的http应用对数据源进行提取。在实际应用 系统里集成了数据库中间件和安全中间件,数据库中间件接管了原有的数据库访问接口, 起到了数据库访问的代理作用,通过数据库中间件可以实现细粒度的权限管控;而数据安 全中间件起到的对敏感数据的加解密作用。因此系统核心技术就是通过数据库中间件和数 据安全中间件实现生产环境数据库敏感数据源导出过程的安全保护,可以支持不同的数据 库。
[0055] 本方案的加密系统中,系统配置中可以配置角色,并能给角色赋予不同的权限。该 权限与加密字段相关,不同的字段也可以采用不同的加解密方式进行加解密。当数据量大 但又不是关键项时采用对称加密,而数据量小但是关键数据可采用对称加密算法进行加 密,再使用非对称的加密方式对对称密钥进行保护。数据库中的不同字段根据系统配置在 存入前进行加密,一般的DBA有数据库的访问权限查出来的数据也是加密的,从而加固了 安全性。
[0056] 本实施例中的基于数据属性的加密系统,对数据库字段进行选择性的加密,一是 在大量数据的情况下只根据需要进行加密,大大提高了加密的速度;二是其在加密的方法 和方式的选择上更灵活,提高工作效率;三是通过存入的数据加密,更大程度的限定了管理 员的操作权限,这样提高了数据使用过程的安全性。
[〇〇57] 显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对 于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或 变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或 变动仍处于本发明创造的保护范围之中。
【权利要求】
1. 一种基于数据属性的加密方法,其特征在于,包括: 选择需要加密的部分字段; 采用不同的加密方式对不同的字段进行加密; 对于不同的用户身份配置不同的权限; 用户根据其权限对允许其查看的字段进行解密。
2. 根据权利要求1所述的基于数据属性的加密方法,其特征在于,采用不同的加密方 式对不同的字段进行加密时,包括: 根据字段的属性进行加密,不同的属性使用不同的方式进行加密。
3. 根据权利要求1或2所述的基于数据属性的加密方法,其特征在于,采用不同的加密 方式对不同的字段进行加密时,包括: 当数据量大但又不是关键项时采用对称加密方式; 数据量小但为关键数据时采用对称解密算法进行加密,同时使用非对称的加密方式对 对称密钥进行保护。
4. 根据权利要求1或2所述的基于数据属性的加密方法,其特征在于,数据库中的不同 字段根据系统配置在存入前进行加密。
5. 根据权利要求4所述的基于数据属性的加密方法,其特征在于,数据库中的加密字 段在应用系统读取时也是加密的,当应用系统使用时,根据用户的解密权限对获得的数据 进行解密。
6. -种基于数据属性的加密系统,其特征在于,包括: 数据库层,存储有数据信息,所述数据信息加密存储; 应用层,集成有数据库中间件和数据安全中间件,数据库中间件接管所述数据库层的 访问接口,具有访问所述数据库层的代理作用;数据安全中间件对数据库层返回给应用层 的数据进行敏感数据的加密和解密作用,对需要加密的部分字段,采用不同的加密方式对 不同的字段进行加密,对于应用层中来自不同的用户身份配置不同的权限,使得用户根据 其权限对允许其查看的字段进行解密。
7. 根据权利要求6所述的加密系统,其特征在于,所述数据安全中间件包括属性加密 子单元,根据字段的属性进行加密,不同的属性使用不同的方式进行加密。
8. 根据权利要求7所述的加密系统,其特征在于,所述属性加密子单元,包括: 第一加密子单元:当数据量大但又不是关键项时采用对称加密方式; 第二加密子单元:数据量小但为关键数据时采用对称解密算法进行加密,同时使用非 对称的加密方式对对称密钥进行保护。
9. 根据权利要求8所述的加密系统,其特征在于,数据库中的不同字段根据系统配置 在存入前进行加密。
【文档编号】G06F12/14GK104063334SQ201410327745
【公开日】2014年9月24日 申请日期:2014年7月11日 优先权日:2014年7月11日
【发明者】李欣, 吴昌明 申请人:中国人民公安大学