本发明专利技术公开了数据库安全访问系统,包括数据库、访问身份验证模块、存储数据加密模块、存储数据解密模块。本发明专利技术通过标签验证方式确定访用户的身份信息,为数据库的访问区分安全级别,并赋予相应的处理权限,同时为写入的数据提供加密服务,为读取的数据提供解密服务,在保证数据库安全性的同时,提高了数据库信息共享的效率。
【技术实现步骤摘要】
本专利技术涉及云计算
,具体涉及数据库安全访问系统。
技术介绍
相关技术中的数据库安全访问控制包括以下几个方面:(1)授权用户的回收和发放;(2)数据保密性的审查,根据大量的数据查询日志进行人工抽查,挑选涉及敏感数据且返回结果数量较大的情况询问相关人员是否有正式的审批手续,以满足保密性要求。上述工作均耗费大量人力和时间,不但审查的覆盖面和准确度无法保证,而且部分高危行为的事后审查难以满足时效性要求,更没有实现实时访问控制。因此,上述的数据库安全访问控制的方法存在的滞后性和粗粒度性都无法满足数据系统的数据安全,存在严重的安全隐患。
技术实现思路
针对上述问题,本专利技术提供数据库安全访问系统。本专利技术的目的采用以下技术方案来实现:数据库安全访问系统,包括数据库、访问身份验证模块、存储数据加密模块、存储数据解密模块:所述数据库以注册对象为单位进行存储空间的初始化分,所述存储空间用于存储有由存储数据加密模块加工过的加密数据;所述访问身份验证模块与数据库的访问接口连接,用于采用标签验证的方式验证访问用户是否为合法用户,具体为:所述访问身份验证模块预先对通过身份验证的注册对象分配一级标签和二级标签,当接收到访问用户的访问请求时,其对访问用户的一级标签或二级标签进行校验,若一级标签校验通过,开放数据库中对应注册对象空间的读、写权限;若二级标签校验通过,开放数据库中对应注册对象空间的只读权限;所述存储数据加密模块用于在合法访问用户在数据库对应空间中写入数据前对数据进行预处理和加密;所述存储数据解密模块用于在合法访问用户读取数据库对应空间中存储的加密数据时为用户提供数据解密服务。进一步地,所述数据库安全访问系统还包括报警模块,与访问身份验证模块连接,其在访问身份验证模块验证访问用户为非法用户时发出警报信息,提示非法人员登录。进一步地,所述数据库安全访问系统还包括与报警模块连接的远程通讯模块,所述远程通讯模块在报警模块发出二次警报信息时向指定的数据库管理员的管理号码发送警示信息。其中,所述对数据进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码合法访问用户在数据库对应空间中写入的数据,根据所述访问结构树将编码后的写入数据分为N个访问级别,N的取值范围为[4,8]。其中所述存储数据加密模块对合法访问用户在数据库对应空间中写入的数据进行加密,包括:1)对预处理后的写入数据m采用由用户属主选取的对称密钥Km进行加密,得到密文Cm:2)采用由用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;3)对所述密钥密文进行加密,为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:式中,kgs表示共享会话密钥。优选地,所述共享会话密钥采用公钥加密体制及密钥协商协议生成。其中,所述存储数据解密模块在合法访问用户读取数据库对应空间中存储的加密数据进行解密时,具体执行:1)对用户组属性密钥进行解密,解密时根据三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥2)对三重加密密文C″m进行解密;3)对密钥密文Cm′进行解密:4)对密文Cm进行解密;5)采用码分复用对解密后的存储数据进行解码。本专利技术的有益效果为:1、通过标签验证方式确定访用户的身份信息,同时为数据库的访问区分安全级别,并赋予相应的处理权限,从而在保证数据库安全性的同时,提高了数据库信息共享的效率;2、通过码分复用编码合法访问用户在数据库对应空间中写入的数据,减少了加密数据的存储空间,优化了访问系统;3、对预处理后的写入数据进行三重加密,并设置相应的数据解密方式,不仅能实现细粒度访问控制,还能有效减轻系统的加密、解密的计算开销。附图说明利用附图对本专利技术作进一步说明,但附图中的实施例不构成对本专利技术的任何限制,对于本领域的普通技术人员,在不付出创造性劳动的前提下,还可以根据以下附图获得其它的附图。图1是本专利技术各模块的连接示意图;图2是本专利技术存储数据加密模块的加密运作流程示意图。附图标记:数据库1、访问身份验证模块2、存储数据加密模块3、存储数据解密模块4。具体实施方式结合以下实施例对本专利技术作进一步描述。实施例1参见图1、图2,本实施例的数据库安全访问系统,包括数据库1、访问身份验证模块2、存储数据加密模块3、存储数据解密模块4:所述数据库1以注册对象为单位进行存储空间的初始化分,所述存储空间用于存储有由存储数据加密模块3加工过的加密数据;所述访问身份验证模块2与数据库1的访问接口连接,用于采用标签验证的方式验证访问用户是否为合法用户,具体为:所述访问身份验证模块2预先对通过身份验证的注册对象分配一级标签和二级标签,当接收到访问用户的访问请求时,其对访问用户的一级标签或二级标签进行校验,若一级标签校验通过,开放数据库1中对应注册对象空间的读、写权限;若二级标签校验通过,开放数据库1中对应注册对象空间的只读权限;所述存储数据加密模块3用于在合法访问用户在数据库1对应空间中写入数据前对数据进行预处理和加密;所述存储数据解密模块4用于在合法访问用户读取数据库1的对应空间中存储的加密数据时为用户提供数据解密服务。其中,所述对数据进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码合法访问用户在数据库1对应空间中写入的数据,根据所述访问结构树将编码后的写入数据分为N个访问级别,N的取值范围为[4,8]。其中所述存储数据加密模块3对合法访问用户在数据库1对应空间中写入的数据进行加密,包括:1)对预处理后的写入数据m采用由用户属主选取的对称密钥Km进行加密,得到密文Cm:2)采用由用户属主定义的访问策略树对所述对称密钥Km进行加密,得到密钥密文Cm′:其中,T表示所述访问策略树,任意选取q∈Zp且q=px(0),X表示所有访问策略树的所有叶子节点的集合;是自定义的一个公开映射函数;3)对所述密钥密文进行加密,为每一个用户组属性Gi随机选择一个用户组属性密钥为每一个用户组属性Gi建立三重加密密文C″m,并利用共享会话密钥来加密用户组属性密钥进而得到对应于三重加密密文C″m的一个消息头Hdr:式中,kgs表示共享会话密钥,所述共享会话密钥采用公钥加密体制及密钥协商协议生成。其中,所述存储数据解密模块4在合法访问用户读取数据库1对应空间中存储的加密数据进行解密时,具体执行:1)对用户组属性密钥进行解密,解密时根据三重加密密文及其对应的消息头,利用共享会话密钥kgs解密得到用户组属性密钥2)对三重加密密文C″m进行解密;3)对密钥密文Cm′进行解密:4)对密文Cm进行解密;5)采用码分复用对解密后的存储数据进行解码。本实施例通过标签验证方式确定访用户的身份信息,同时为数据库1的访问区分安全级别,并赋予相应的处理权限,从而在保证数据库1安全性的同时,提高了数据库信息共享的效率;通过码分复用编码合法访问用户在数据库1对应空间中写入的数据,减少了本文档来自技高网...
【技术保护点】
数据库安全访问系统,其特征在于,包括数据库、访问身份验证模块、存储数据加密模块、存储数据解密模块:所述数据库以注册对象为单位进行存储空间的初始化分,所述存储空间用于存储有由存储数据加密模块加工过的加密数据;所述访问身份验证模块与数据库的访问接口连接,用于采用标签验证的方式验证访问用户是否为合法用户,具体为:所述访问身份验证模块预先对通过身份验证的注册对象分配一级标签和二级标签,当接收到访问用户的访问请求时,其对访问用户的一级标签或二级标签进行校验,若一级标签校验通过,开放数据库中对应注册对象空间的读、写权限;若二级标签校验通过,开放数据库中对应注册对象空间的只读权限;所述存储数据加密模块用于在合法访问用户在数据库对应空间中写入数据前对数据进行预处理和加密;所述存储数据解密模块用于在合法访问用户读取数据库对应空间中存储的加密数据时为用户提供数据解密服务。
【技术特征摘要】
1.数据库安全访问系统,其特征在于,包括数据库、访问身份验证模块、存储数据加密模块、存储数据解密模块:所述数据库以注册对象为单位进行存储空间的初始化分,所述存储空间用于存储有由存储数据加密模块加工过的加密数据;所述访问身份验证模块与数据库的访问接口连接,用于采用标签验证的方式验证访问用户是否为合法用户,具体为:所述访问身份验证模块预先对通过身份验证的注册对象分配一级标签和二级标签,当接收到访问用户的访问请求时,其对访问用户的一级标签或二级标签进行校验,若一级标签校验通过,开放数据库中对应注册对象空间的读、写权限;若二级标签校验通过,开放数据库中对应注册对象空间的只读权限;所述存储数据加密模块用于在合法访问用户在数据库对应空间中写入数据前对数据进行预处理和加密;所述存储数据解密模块用于在合法访问用户读取数据库对应空间中存储的加密数据时为用户提供数据解密服务。2.根据权利要求1所述的数据库安全访问系统,其特征在于,还包括报警模块,与访问身份验证模块连接,其在访问身份验证模块验证访问用户为非法用户时发出警报信息,提示非法人员登录。3.根据权利要求1所述的数据库安全访问系统,其特征在于,还包括与报警模块连接的远程通讯模块,所述远程通讯模块在报警模块发出二次警报信息时向指定的数据库管理员的管理号码发送警示信息。4.根据权利要求1所述的数据库安全访问系统,其特征在于,所述对数据进行预处理,包括:根据系统预先定义的访问结构树创建多个用户属性集,通过码分复用编码合法访问用户在...
【专利技术属性】
技术研发人员:不公告发明人,
申请(专利权)人:杨炳,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。