数据库安全访问系统的制作方法

文档序号:11951668阅读:272来源:国知局
导航: X技术> 最新专利>计算;推算;计数设备的制造及其应用技术
数据库安全访问系统的制作方法与工艺

本发明涉及云计算技术领域,具体涉及数据库安全访问系统。



背景技术:

相关技术中的数据库安全访问控制包括以下几个方面:(1)授权用户的回收和发放;(2)数据保密性的审查,根据大量的数据查询日志进行人工抽查,挑选涉及敏感数据且返回结果数量较大的情况询问相关人员是否有正式的审批手续,以满足保密性要求。上述工作均耗费大量人力和时间,不但审查的覆盖面和准确度无法保证,而且部分高危行为的事后审查难以满足时效性要求,更没有实现实时访问控制。因此,上述的数据库安全访问控制的方法存在的滞后性和粗粒度性都无法满足数据系统的数据安全,存在严重的安全隐患。



技术实现要素:

针对上述问题,本发明提供数据库安全访问系统。

本发明的目的采用以下技术方案来实现:

数据库安全访问系统,包括数据库、访问身份验证模块、存储数据加密模块、存储数据解密模块:

所述数据库以注册对象为单位进行存储空间的初始化分,所述存储空间用于存储有由存储数据加密模块加工过的加密数据;

所述访问身份验证模块与数据库的访问接口连接,用于采用标签验证的方式验证访问用户是否为合法用户,具体为:所述访问身份验证模块预先对通过身份验证的注册对象分配一级标签和二级标签,当接收到访问用户的访问请求时,其对访问用户的一级标签或二级标签进行校验,若一级标签校验通过,开放数据库中对应注册对象空间的读、写权限;若二级标签校验通过,开放数据库中对应注册对象空间的只读权限;

所述存储数据加密模块用于在合法访问用户在数据库对应空间中写入数据前对数据进行预处理和加密;

所述存储数据解密模块用于在合法访问用户读取数据库对应空间中存储的加密数据时为用户提供数据解密服务。

进一步地,所述数据库安全访问系统还包括报警模块,与访问身份验证模块连接,其在访问身份验证模块验证访问用户为非法用户时发出警报信息,提示非法人员登录。

进一步地,所述数据库安全访问系统还包括与报警模块连接的远程通讯模块,所述远程通讯模块在报警模块发出二次警报信息时向指定的数据库管理员的管理号码发送警示信息。

其中,所述对数据进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码合法访问用户在数据库对应空间中写入的数据,根据所述访问结构树将编码后的写入数据分为N个访问级别,N的取值范围为[4,8]。

其中所述存储数据加密模块对合法访问用户在数据库对应空间中写入的数据进行加密,包括:

1)对预处理后的写入数据m采用由用户属主选取的对称密钥Km进行加密,得到密文Cm

2)采用由用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:

其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;

3)对所述密钥密文进行加密,为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:

式中,kgs表示共享会话密钥。

优选地,所述共享会话密钥采用公钥加密体制及密钥协商协议生成。

其中,所述存储数据解密模块在合法访问用户读取数据库对应空间中存储的加密数据进行解密时,具体执行:

1)对用户组属性密钥进行解密,解密时根据三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥

2)对三重加密密文C″m进行解密;

3)对密钥密文Cm′进行解密:

4)对密文Cm进行解密;

5)采用码分复用对解密后的存储数据进行解码。

本发明的有益效果为:

1、通过标签验证方式确定访用户的身份信息,同时为数据库的访问区分安全级别,并赋予相应的处理权限,从而在保证数据库安全性的同时,提高了数据库信息共享的效率;

2、通过码分复用编码合法访问用户在数据库对应空间中写入的数据,减少了加密数据的存储空间,优化了访问系统;

3、对预处理后的写入数据进行三重加密,并设置相应的数据解密方式,不仅能实现细粒度访问控制,还能有效减轻系统的加密、解密的计算开销。

附图说明

利用附图对本发明作进一步说明,但附图中的实施例不构成对本发明的任何限制,对于本领域的普通技术人员,在不付出创造性劳动的前提下,还可以根据以下附图获得其它的附图。

图1是本发明各模块的连接示意图;

图2是本发明存储数据加密模块的加密运作流程示意图。

附图标记:

数据库1、访问身份验证模块2、存储数据加密模块3、存储数据解密模块4。

具体实施方式

结合以下实施例对本发明作进一步描述。

实施例1

参见图1、图2,本实施例的数据库安全访问系统,包括数据库1、访问身份验证模块2、存储数据加密模块3、存储数据解密模块4:

所述数据库1以注册对象为单位进行存储空间的初始化分,所述存储空间用于存储有由存储数据加密模块3加工过的加密数据;

所述访问身份验证模块2与数据库1的访问接口连接,用于采用标签验证的方式验证访问用户是否为合法用户,具体为:所述访问身份验证模块2预先对通过身份验证的注册对象分配一级标签和二级标签,当接收到访问用户的访问请求时,其对访问用户的一级标签或二级标签进行校验,若一级标签校验通过,开放数据库1中对应注册对象空间的读、写权限;若二级标签校验通过,开放数据库1中对应注册对象空间的只读权限;

所述存储数据加密模块3用于在合法访问用户在数据库1对应空间中写入数据前对数据进行预处理和加密;

所述存储数据解密模块4用于在合法访问用户读取数据库1的对应空间中存储的加密数据时为用户提供数据解密服务。

其中,所述对数据进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码合法访问用户在数据库1对应空间中写入的数据,根据所述访问结构树将编码后的写入数据分为N个访问级别,N的取值范围为[4,8]。

其中所述存储数据加密模块3对合法访问用户在数据库1对应空间中写入的数据进行加密,包括:

1)对预处理后的写入数据m采用由用户属主选取的对称密钥Km进行加密,得到密文Cm

2)采用由用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:

其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;

3)对所述密钥密文进行加密,为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:

式中,kgs表示共享会话密钥,所述共享会话密钥采用公钥加密体制及密钥协商协议生成。

其中,所述存储数据解密模块4在合法访问用户读取数据库1对应空间中存储的加密数据进行解密时,具体执行:

1)对用户组属性密钥进行解密,解密时根据三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥

2)对三重加密密文C″m进行解密;

3)对密钥密文Cm′进行解密:

4)对密文Cm进行解密;

5)采用码分复用对解密后的存储数据进行解码。

本实施例通过标签验证方式确定访用户的身份信息,同时为数据库1的访问区分安全级别,并赋予相应的处理权限,从而在保证数据库1安全性的同时,提高了数据库信息共享的效率;通过码分复用编码合法访问用户在数据库1对应空间中写入的数据,减少了加密数据的存储空间,优化了访问系统;对预处理后的写入数据进行三重加密,并设置相应的数据解密方式,不仅能实现细粒度访问控制,还能有效减轻系统的加密、解密的计算开销;其中设定访问级别数N=4,存储空间相对减少了8%。

实施例2

参见图1、图2,本实施例的数据库安全访问系统,包括数据库1、访问身份验证模块2、存储数据加密模块3、存储数据解密模块4:

所述数据库1以注册对象为单位进行存储空间的初始化分,所述存储空间用于存储有由存储数据加密模块3加工过的加密数据;

所述访问身份验证模块2与数据库1的访问接口连接,用于采用标签验证的方式验证访问用户是否为合法用户,具体为:所述访问身份验证模块2预先对通过身份验证的注册对象分配一级标签和二级标签,当接收到访问用户的访问请求时,其对访问用户的一级标签或二级标签进行校验,若一级标签校验通过,开放数据库1中对应注册对象空间的读、写权限;若二级标签校验通过,开放数据库1中对应注册对象空间的只读权限;

所述存储数据加密模块3用于在合法访问用户在数据库1对应空间中写入数据前对数据进行预处理和加密;

所述存储数据解密模块4用于在合法访问用户读取数据库1的对应空间中存储的加密数据时为用户提供数据解密服务。

其中,所述对数据进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码合法访问用户在数据库1对应空间中写入的数据,根据所述访问结构树将编码后的写入数据分为N个访问级别,N的取值范围为[4,8]。

其中所述存储数据加密模块3对合法访问用户在数据库1对应空间中写入的数据进行加密,包括:

1)对预处理后的写入数据m采用由用户属主选取的对称密钥Km进行加密,得到密文Cm

2)采用由用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:

其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;

3)对所述密钥密文进行加密,为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:

式中,kgs表示共享会话密钥,所述共享会话密钥采用公钥加密体制及密钥协商协议生成。

其中,所述存储数据解密模块4在合法访问用户读取数据库1对应空间中存储的加密数据进行解密时,具体执行:

1)对用户组属性密钥进行解密,解密时根据三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥

2)对三重加密密文C″m进行解密;

3)对密钥密文Cm′进行解密:

4)对密文Cm进行解密;

5)采用码分复用对解密后的存储数据进行解码。

本实施例通过标签验证方式确定访用户的身份信息,同时为数据库1的访问区分安全级别,并赋予相应的处理权限,从而在保证数据库1安全性的同时,提高了数据库信息共享的效率;通过码分复用编码合法访问用户在数据库1对应空间中写入的数据,减少了加密数据的存储空间,优化了访问系统;对预处理后的写入数据进行三重加密,并设置相应的数据解密方式,不仅能实现细粒度访问控制,还能有效减轻系统的加密、解密的计算开销;其中设定访问级别数N=5,存储空间相对减少了6.5%。

实施例3

参见图1、图2,本实施例的数据库安全访问系统,包括数据库1、访问身份验证模块2、存储数据加密模块3、存储数据解密模块4:

所述数据库1以注册对象为单位进行存储空间的初始化分,所述存储空间用于存储有由存储数据加密模块3加工过的加密数据;

所述访问身份验证模块2与数据库1的访问接口连接,用于采用标签验证的方式验证访问用户是否为合法用户,具体为:所述访问身份验证模块2预先对通过身份验证的注册对象分配一级标签和二级标签,当接收到访问用户的访问请求时,其对访问用户的一级标签或二级标签进行校验,若一级标签校验通过,开放数据库1中对应注册对象空间的读、写权限;若二级标签校验通过,开放数据库1中对应注册对象空间的只读权限;

所述存储数据加密模块3用于在合法访问用户在数据库1对应空间中写入数据前对数据进行预处理和加密;

所述存储数据解密模块4用于在合法访问用户读取数据库1的对应空间中存储的加密数据时为用户提供数据解密服务。

其中,所述对数据进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码合法访问用户在数据库1对应空间中写入的数据,根据所述访问结构树将编码后的写入数据分为N个访问级别,N的取值范围为[4,8]。

其中所述存储数据加密模块3对合法访问用户在数据库1对应空间中写入的数据进行加密,包括:

1)对预处理后的写入数据m采用由用户属主选取的对称密钥Km进行加密,得到密文Cm

2)采用由用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:

其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;

3)对所述密钥密文进行加密,为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:

式中,kgs表示共享会话密钥,所述共享会话密钥采用公钥加密体制及密钥协商协议生成。

其中,所述存储数据解密模块4在合法访问用户读取数据库1对应空间中存储的加密数据进行解密时,具体执行:

1)对用户组属性密钥进行解密,解密时根据三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥

2)对三重加密密文C″m进行解密;

3)对密钥密文Cm′进行解密:

4)对密文Cm进行解密;

5)采用码分复用对解密后的存储数据进行解码。

本实施例通过标签验证方式确定访用户的身份信息,同时为数据库1的访问区分安全级别,并赋予相应的处理权限,从而在保证数据库1安全性的同时,提高了数据库信息共享的效率;通过码分复用编码合法访问用户在数据库1对应空间中写入的数据,减少了加密数据的存储空间,优化了访问系统;对预处理后的写入数据进行三重加密,并设置相应的数据解密方式,不仅能实现细粒度访问控制,还能有效减轻系统的加密、解密的计算开销;其中设定访问级别数N=6,存储空间相对减少了4%。

实施例4

参见图1、图2,本实施例的数据库安全访问系统,包括数据库1、访问身份验证模块2、存储数据加密模块3、存储数据解密模块4:

所述数据库1以注册对象为单位进行存储空间的初始化分,所述存储空间用于存储有由存储数据加密模块3加工过的加密数据;

所述访问身份验证模块2与数据库1的访问接口连接,用于采用标签验证的方式验证访问用户是否为合法用户,具体为:所述访问身份验证模块2预先对通过身份验证的注册对象分配一级标签和二级标签,当接收到访问用户的访问请求时,其对访问用户的一级标签或二级标签进行校验,若一级标签校验通过,开放数据库1中对应注册对象空间的读、写权限;若二级标签校验通过,开放数据库1中对应注册对象空间的只读权限;

所述存储数据加密模块3用于在合法访问用户在数据库1对应空间中写入数据前对数据进行预处理和加密;

所述存储数据解密模块4用于在合法访问用户读取数据库1的对应空间中存储的加密数据时为用户提供数据解密服务。

其中,所述对数据进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码合法访问用户在数据库1对应空间中写入的数据,根据所述访问结构树将编码后的写入数据分为N个访问级别,N的取值范围为[4,8]。

其中所述存储数据加密模块3对合法访问用户在数据库1对应空间中写入的数据进行加密,包括:

1)对预处理后的写入数据m采用由用户属主选取的对称密钥Km进行加密,得到密文Cm

2)采用由用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:

其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;

3)对所述密钥密文进行加密,为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:

式中,kgs表示共享会话密钥,所述共享会话密钥采用公钥加密体制及密钥协商协议生成。

其中,所述存储数据解密模块4在合法访问用户读取数据库1对应空间中存储的加密数据进行解密时,具体执行:

1)对用户组属性密钥进行解密,解密时根据三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥

2)对三重加密密文C″m进行解密;

3)对密钥密文Cm′进行解密:

4)对密文Cm进行解密;

5)采用码分复用对解密后的存储数据进行解码。

本实施例通过标签验证方式确定访用户的身份信息,同时为数据库1的访问区分安全级别,并赋予相应的处理权限,从而在保证数据库1安全性的同时,提高了数据库信息共享的效率;通过码分复用编码合法访问用户在数据库1对应空间中写入的数据,减少了加密数据的存储空间,优化了访问系统;对预处理后的写入数据进行三重加密,并设置相应的数据解密方式,不仅能实现细粒度访问控制,还能有效减轻系统的加密、解密的计算开销;其中设定访问级别数N=7,存储空间相对减少了3.5%。

实施例5

参见图1、图2,本实施例的数据库安全访问系统,包括数据库1、访问身份验证模块2、存储数据加密模块3、存储数据解密模块4:

所述数据库1以注册对象为单位进行存储空间的初始化分,所述存储空间用于存储有由存储数据加密模块3加工过的加密数据;

所述访问身份验证模块2与数据库1的访问接口连接,用于采用标签验证的方式验证访问用户是否为合法用户,具体为:所述访问身份验证模块2预先对通过身份验证的注册对象分配一级标签和二级标签,当接收到访问用户的访问请求时,其对访问用户的一级标签或二级标签进行校验,若一级标签校验通过,开放数据库1中对应注册对象空间的读、写权限;若二级标签校验通过,开放数据库1中对应注册对象空间的只读权限;

所述存储数据加密模块3用于在合法访问用户在数据库1对应空间中写入数据前对数据进行预处理和加密;

所述存储数据解密模块4用于在合法访问用户读取数据库1的对应空间中存储的加密数据时为用户提供数据解密服务。

其中,所述对数据进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码合法访问用户在数据库1对应空间中写入的数据,根据所述访问结构树将编码后的写入数据分为N个访问级别,N的取值范围为[4,8]。

其中所述存储数据加密模块3对合法访问用户在数据库1对应空间中写入的数据进行加密,包括:

1)对预处理后的写入数据m采用由用户属主选取的对称密钥Km进行加密,得到密文Cm

2)采用由用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:

其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;

3)对所述密钥密文进行加密,为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:

式中,kgs表示共享会话密钥,所述共享会话密钥采用公钥加密体制及密钥协商协议生成。

其中,所述存储数据解密模块4在合法访问用户读取数据库1对应空间中存储的加密数据进行解密时,具体执行:

1)对用户组属性密钥进行解密,解密时根据三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥

2)对三重加密密文C″m进行解密;

3)对密钥密文Cm′进行解密:

4)对密文Cm进行解密;

5)采用码分复用对解密后的存储数据进行解码。

本实施例通过标签验证方式确定访用户的身份信息,同时为数据库1的访问区分安全级别,并赋予相应的处理权限,从而在保证数据库1安全性的同时,提高了数据库信息共享的效率;通过码分复用编码合法访问用户在数据库1对应空间中写入的数据,减少了加密数据的存储空间,优化了访问系统;对预处理后的写入数据进行三重加密,并设置相应的数据解密方式,不仅能实现细粒度访问控制,还能有效减轻系统的加密、解密的计算开销;其中设定访问级别数N=8,存储空间相对减少了3.5%。

最后应当说明的是,以上实施例仅用以说明本发明的技术方案,而非对本发明保护范围的限制,尽管参照较佳实施例对本发明作了详细地说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的实质和范围。

完整全部详细技术资料下载
当前第1页1 2 3 
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:不公告发明人;
  • 技术所有人:杨炳;
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
数据库的安全访问控制相关技术
数据库安全审计系统相关技术
远程访问数据库相关技术
数据库系统安全相关技术
数据库安全监测系统相关技术
系统安全访问控制策略相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2