根据本发明专利技术的一种实施方式,公开了一种数据库安全管理方法。所述方法可以包括:从永久存储介质或存储器读取按列(column)级加密的一个以上数据的步骤;解密所述按列级加密的一个以上数据,生成一个以上解密的数据的步骤;生成基于所述生成的一个以上解密的数据的索引表的步骤;及执行把所述生成的索引表按块(block)级加密的动作的步骤。
【技术实现步骤摘要】
本专利技术涉及数据库安全管理,更具体而言,涉及一种用于生成关于加密的数据库的索引的方法及服务器。
技术介绍
随着计算机及互联网技术的发展,用于高效存储大量数据并按所需检索条件轻松、迅速查找的数据库的重要性正在增加。现在的数据库系统允许存储及检索大量的信息。这种信息中的一部分信息例如会包括诸如信用卡号等的敏感信息。特别是在金融圈、互联网门户网站等,收集并管理个人信息的数据库的安全,是为了防止无权限的使用者判断或不当地记录计算机中处理的信息,而保护具有正当权限的使用者的信息处理服务不被计算机系统拒绝,以及为了在保管大容量资料的数据库管理系统中保障数据的完整性、机密性、可用性所必不可少的。最近,由数据库服务器管理员及开发者泄露密钥导致的信息泄露正在成为严重的问题。即顺应信息集成度日益提高的趋势,企业内存在的数据库中积累的信息的量也在与之成比例地增加,因此,假设通信公司管理的客户信息数据库中所储存的客户信息(居民身份证号、电话号码、帐号等)通过不正当途径泄露时,其危害的波及效果将是巨大的。这种数据的泄露虽然存在由企业外部的黑客进行的入侵(hacking)、对数据存储空间的物理访问等引起的情形,但实质上大部分信息泄露是由对数据库拥有正当访问权限的内部人员(例如,数据库管理员(administrator))而引起的,这种内部人员造成的信息泄露会导致比从外部发生的入侵事件更严重、更致命性的危害。管理这种数据库安全的现有技术中,使用向各个客户端分配的安全文件中规定的访问控制方式,限制特定使用者对特定信息的访问。这种技术可以切断客户端访问未认可的信息。但是,这种以往的技术存在无法切断拥有正当访问权限的内部人员(例如,数据库管理员)或拥有OS权限(OS privilege)人员的不正当行为的缺点。为了解决这种问题,提出了在使用者应用程序内对机密信息加密的方式,但就这种方式而言,处置机密信息的所有使用者应用程序均需要加密/解密,因而存在需要提供在这种所有使用者应用程序中的加密/解密代码的不便。进一步而言,其它的现有技术提出了对数据库表单的列数据进行加密(列级加密)并存储于磁盘的技术。就这种现有技术而言,虽然在数据存储于磁盘时已加密,但在数据提取到存储器时会解密,因此从使用者立场来说,能够查看未加密的数据。但是,这种现有技术由于按列单位体现加密,因而在构建以列值为基准生成的索引方面有可能会发生问题。即由于索引是以列值为基准生成的,但如果这种列值自身被加密时,则会无法进行基于值范围的索引范围扫描(index range scan)。即在无法进行索引范围扫描的情况下,会发生对数据库的本质性能(即迅速、高效的检索)的严重影响。就这种技术而言,仅能够进行用于单纯查找一个值的固有检索(unique search),但在应用加盐(Salt)时,这也会变得不可能实现。因此,该行业存在对以高效的方式保护数据库系统内的机密信息,并且即使不变更使用者应用程序也能够切断内部人员等的不正当行为的数据安全技术的需要。【现有技术文献】【专利文献】韩国公开专利公报第10-2006-0058546号美国授权专利公报US 7,111,005号
技术实现思路
本专利技术要解决的技术问题本专利技术正是鉴于前述内容而研发的,本专利技术旨在提供一种用于以高效的方式保护数据库系统内的机密信息,并且保持数据库的本质性功能的技术。另外,本专利技术旨在提供一种能够允许索引范围扫描的高效的数据库安全管理技术。技术方案本专利技术公开了一种用于实现如前所述的课题的数据库安全管理方法。上述方法可以包括:从永久存储介质或存储器读取按列(column)级加密的一个以上数据的步骤;解密上述按列级加密的一个以上数据,生成一个以上解密的数据的步骤;生成基于上述生成的一个以上解密的数据的索引表的步骤;及执行把上述生成的索引
表按块(block)级加密的动作的步骤。根据本专利技术的一实施例,公开一种用于数据库安全管理的数据库服务器。上述数据库服务器可以包括:至少一个处理器,其对按列级加密的一个以上数据进行解密,从而生成一个以上解密的数据,且上述至少一个处理器生成基于上述一个以上解密的数据的索引表,并执行将生成的索引表按块级加密的动作;及永久存储介质(persistent storage),其存储包括上述按列级加密的数据的数据表及上述按块级加密的索引表。根据本专利技术的另一实施例,公开一种数据库安全管理方法。其中,上述方法可以包括:响应索引查询请求,从永久存储介质读取按块级加密的索引表的步骤;解密上述按块级加密的索引表,生成解密的索引表的步骤;基于上述解密的索引表,执行索引扫描的步骤;从永久存储介质读取与上述索引扫描结果对应的按列级加密的一个以上数据的步骤;及解密上述按列级加密的一个以上数据,生成一个以上解密的数据的步骤。根据本专利技术的另一实施例,公开一种提供数据库安全管理的数据库服务器。上述数据库服务器可以包括:至少一个处理器,其响应索引查询请求,从永久存储介质读取按块级加密的索引表,且上述至少一个处理器解密上述按块级加密的索引表,生成解密的索引表,并以上述解密的索引表为基础执行索引扫描,并且从永久存储介质读取与上述索引扫描的结果对应的按列级加密的一个以上数据,并解密上述按列级加密的一个以上数据,生成一个以上解密的数据;及永久存储介质(persistent storage),其存储包括上述按列级加密的数据的数据表及上述按块级加密的索引表。有益效果根据本专利技术的一实施例,能够提供一种数据加密技术,用于以高效的方式保护数据库系统内的机密信息,并且即使不变更使用者应用程序,也能够切断内部人员的不正当行为。另外,根据本专利技术的一实施例,提供一种能够允许索引范围扫描的、高效的数据库安全管理技术。附图说明以下,参照附图记载了多种实施方式,其中,类似的附图标记用于统一指称类
似的构成要素。在以下的实施方式中,出于说明的目的而提出多个特定详细事项,用于帮助对一个以上的实施方式的总体理解。但是显而易见,即使没有这种特定详细事项,这些实施方式也是可以实施的。在其它示例中,公知的结构及装置为了方便记载于一个以上的实施方式而以框图形态图示。图1示例性地图示根据本专利技术一实施例的数据库系统。图2示例性地图示根据本专利技术一实施例的数据库服务器的组件。图3图示关于根据本专利技术一实施例的数据存储及索引构建(build)进程(process)的示例性流程图。图4图示关于根据本专利技术一实施例的索引扫描及查询进程(process)的示例性流程图。图5图示关于根据本专利技术一实施例的数据查询进程(process)的示例性流程图。图6示例性地图示了根据本专利技术一实施例的、数据及索引在永久存储介质中进行加密并存储的加密方式。图7图示关于根据本专利技术一实施例的数据存储及索引构建(或更新)的示例性顺序图。图8图示关于根据本专利技术一实施例的索引查询的示例性顺序图。具体实施方式以下,将参照附图,公开多种实施例及/或实施方式。在下述说明中,以说明为目的,为了帮助对一个以上实施例的的全面理解,公开了多个具体的详细事项。但是,本专利技术所属
的技术人员可认识到,即使没有这些具体的详细事项,这些实施例也能够实施。以下的记载及附带的附图将详细记述一个以上实施方式的特定示例本文档来自技高网...
【技术保护点】
一种数据库安全管理方法,其特征在于,所述方法包括:从永久存储介质或存储器读取按列级加密的一个以上数据的步骤;解密所述按列级加密的一个以上数据,生成一个以上解密的数据的步骤;基于所述生成的一个以上解密的数据生成索引表的步骤;及执行将所述生成的索引表按块级加密的动作的步骤。
【技术特征摘要】
2015.03.24 KR 10-2015-00405831.一种数据库安全管理方法,其特征在于,所述方法包括:从永久存储介质或存储器读取按列级加密的一个以上数据的步骤;解密所述按列级加密的一个以上数据,生成一个以上解密的数据的步骤;基于所述生成的一个以上解密的数据生成索引表的步骤;及执行将所述生成的索引表按块级加密的动作的步骤。2.根据权利要求1所述的数据库安全管理方法,其特征在于,还包括:将所述按块级加密的索引表存储于所述永久存储介质的步骤。3.根据权利要求1所述的数据库安全管理方法,其特征在于,将所述生成的索引表按块级加密的动作,是在后台进程要把存储器内的块记录到所述永久存储介质时执行。4.根据权利要求1所述的数据库安全管理方法,其特征在于,还包括:接收所述一个以上数据的存储请求的步骤;判断所述一个以上数据将要存储的列是否为加密的列及所述一个以上数据将要存储的列是否为设置索引的列的步骤;及当所述一个以上数据将要存储的列为加密的列、且所述一个以上数据将要存储的列为设置索引的列时,将所述一个以上数据按列级进行加密并存储的步骤。5.根据权利要求4所述的数据库安全管理方法,其特征在于,将所述一个以上数据按列级进行加密并存储的步骤包括:将按列级进行加密的所述一个以上数据存储于所述永久存储介质的数据段的步骤。6.根据权利要求4所述的数据库安全管理方法,其特征在于,所述列级加密按列单位生成第1密钥,所述块级加密按块单位或块以上的单位生成第2密钥,且所述第1密钥及所述第2密钥具有不同的值。7.根据权利要求6所述的数据库安全管理方法,其特征在于,所述第1密钥及所述第2密钥存储于所述永久存储介质或存储器的数据字典。8.根据权利要求7所述的数据库安全管理方法,其特征在于,所述第1密钥及所述第2密钥通过主密钥进行加密并存储于所述数据字典,并且,所述主密钥存储于外部存储介质或数据库服务器。9.根据权利要求1所述的数据库安全管理方法,其特征在于,还包括:将所述按块级加密的索引表存储于所述永久存储介质的索引段的步骤。10.根据权利要求1所述的数据库安全管理方法,其特征在于,生成所述索引表的步骤包括:至少部分地基于所述一个以上解密的数据将被存储的...
【专利技术属性】
技术研发人员:尹晶一,朴相永,
申请(专利权)人:株式会社特迈数据,
类型:发明
国别省市:韩国;KR
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。