一种数据加密处理方法、装置和存储介质制造方法及图纸

本发明专利技术提出了一种数据加密处理方法、装置和存储介质，用以提高数据托管服务中数据访问的安全性。数据加密处理方法，包括：接收并解析客户端发来的原始的数据表创建语句，所述原始的数据表创建语句中携带有敏感列标识和需要支持的第一数据操作类型；根据所述敏感列标识，针对相应的第一敏感列数据生成密钥；利用生成的密钥对第一敏感列数据加密得到对应的第一密文；根据所述第一数据操作类型，针对第一敏感列数据生成第一洋葱列；根据所述第一密文和第一洋葱列，向数据托管服务器发送改造后的数据表创建语句。

【技术实现步骤摘要】
一种数据加密处理方法、装置和存储介质
本专利技术涉及数据库加密安全
，尤其涉及一种数据加密处理方法、装置和存储介质。
技术介绍
随着云数据库技术的发展，数据安全的问题一直受到广泛的关注。使用第三方的数据托管服务意味着数据需要全部交与对方保管，难免存在数据泄露的问题。对于数据库托管服务的数据加密问题，采用I/O层的透明加密。此方案在数据向磁盘读写时的I/O层进行加密，保证在磁盘上的数据文件都是密文，该方案虽然可以防止磁盘丢失或者直接盗窃数据文件造成的数据泄露，但是因为在数据库服务器中访问数据会自动解密成明文，无法阻止通过数据库服务器来获取数据，甚至第三方不可信的数据库管理员可以随意访问数据，造成很大的风险。由此可见，如何提高数据托管服务中数据访问的安全性成为现有技术中亟待解决的技术问题之一。
技术实现思路
本专利技术实施例提供一种数据加密处理方法、装置和存储介质，用以提高数据托管服务中数据访问的安全性。第一方面，本专利技术实施例提供一种数据加密处理方法，包括：接收并解析原始的数据表创建语句，所述原始的数据表创建语句中携带有敏感列标识和需要支持的第一数据操作类型；根据所述敏感列标识，针对相应的第一敏感列生成密钥；利用生成的密钥对第一敏感列数据加密得到对应的第一密文；根据所述第一数据操作类型，针对第一敏感列生成第一洋葱列；根据所述第一密文和第一洋葱列，向数据托管服务器发送改造后的数据表创建语句。在一种实施方式中，根据所述需要支持的第一数据操作类型，针对第一敏感列生成第一洋葱列，包括：根据所述需要支持的第一数据操作类型，确定第一洋葱列的操作层级；针对第一洋葱列的每一操作层级，分别生成该操作层级对应的密钥；并按照第一洋葱列的操作层级，利用每一操作层级对应的密钥分别对所述第一敏感列加密得到第一洋葱列。在一种实施方式中，本专利技术实施例提供的数据加密处理方法，还包括：接收原始的数据查询语句，所述第一数据语句中携带有针对数据表的第二数据操作类型；如果所述数据表包含有第二敏感列且本次数据表操作涉及第二敏感列数据操作，则判断数据表操作是否支持所述第二数据操作类型；如果数据表操作支持所述第二数据操作类型，则根据所述第二数据操作类型对应的操作层级向数据托管服务器发送洋葱操作层级调整命令，以将洋葱列调整到所述第二数据操作类型对应的可操作层级；利用存储的洋葱列密钥对原始的数据查询语句中包含的第二敏感列数据进行加密处理得到改造后的数据查询语句并发送给所述数据托管服务器；接收所述数据托管服务器针对所述改造后的数据查询语句返回的满足条件的第一筛选数据；利用第二敏感列对应的密钥对第一筛选数据中包含的第二敏感列数据进行解密后发送给请求方。在一种实施方式中，如果数据表操作不支持所述第二数据操作类型，则所述方法还包括：从所述原始的数据查询语句中拆分出不涉及第二敏感列数据操作的子句并发送给所述数据托管服务器；接收所述数据托管服务器针对所述子句返回的满足条件的第二筛选数据；针对第二筛选数据，利用第二敏感列对应的密钥对第二敏感列进行解密并执行涉及第二敏感列数据操作的子句得到满足条件的第三筛选数据发送给请求方。第二方面，本专利技术还提供一种数据加密处理装置，包括：第一接收单元，用于接收并解析原始的数据表创建语句，所述原始的数据表创建语句中携带有敏感列标识和需要支持的第一数据操作类型；密钥生成单元，用于根据所述敏感列标识，针对相应的第一敏感列生成密钥；加密单元，用于利用生成的密钥对第一敏感列数据加密得到对应的第一密文；洋葱列生成单元，用于根据所述第一数据操作类型，针对第一敏感列生成第一洋葱列；发送单元，用于根据所述第一密文和第一洋葱列，向数据托管服务器发送改造后的数据表创建语句。在一种实施方式中，所述洋葱列生成单元，具体用于根据所述需要支持的第一数据操作类型，确定第一洋葱列的操作层级；针对第一洋葱列的每一操作层级，分别生成该操作层级对应的密钥；并按照第一洋葱列的操作层级，利用每一操作层级对应的密钥分别对所述第一敏感列加密得到第一洋葱列。在一种实施方式中，本专利技术实施例提供的数据加密处理装置，还包括判断单元、加密单元、第二接收单元和解密单元，其中：所述第一接收单元，还用于接收原始的数据查询语句，所述第一数据语句中携带有针对数据表的第二数据操作类型；判断单元，用于如果所述数据表包含有第二敏感列且本次数据表操作涉及第二敏感列数据操作，则判断数据表操作是否支持所述第二数据操作类型；所述发送单元，还用于如果数据表操作支持所述第二数据操作类型，则根据所述第二数据操作类型对应的操作层级向数据托管服务器发送洋葱操作层级调整命令，以将洋葱列调整到所述第二数据操作类型对应的可操作层级；以及利用第二敏感列对应的密钥对第一筛选数据中包含的第二敏感列数据进行解密后发送给请求方；加密单元，用于利用存储的洋葱列密钥对原始的数据查询语句中包含的第二敏感列数据进行加密处理得到改造后的数据查询语句并发送给所述数据托管服务器；第二接收单元，用于接收所述数据托管服务器针对所述改造后的数据查询语句返回的满足条件的第一筛选数据。在一种实施方式中，本专利技术实施例提供的数据加密处理装置，还包括拆分单元，其中：所述拆分单元，用于从所述原始的数据查询语句中拆分出不涉及第二敏感列数据操作的子句并发送给所述数据托管服务器；所述第二接收单元，还用于接收所述数据托管服务器针对所述子句返回的满足条件的第二筛选数据；所述发送单元，还用于针对第二筛选数据，利用第二敏感列对应的密钥对第二敏感列进行解密并执行涉及第二敏感列数据操作的子句得到满足条件的第三筛选数据发送给请求方。第三方面，本专利技术实施例提供一种计算装置，所述计算装置包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现上述任一项所述的方法的步骤。第四方面，本专利技术实施例提供一种计算机存储介质，所述计算机存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一项所述的方法的步骤。采用上述技术方案，本专利技术至少具有下列优点：本专利技术所述的数据加密处理方法、装置和存储介质，针对用户需要严格保护的敏感数据列，利用加密算法对其进行加密后存储，并针对敏感列创建可以支持不通数据操作类型的洋葱列，对于洋葱列进行不同操作层级的加密，根据加密后的敏感列密文数据及其对应的洋葱列向数据托管服务器发送数据表创建语句，由此可见，在数据托管服务器中存储的数据为敏感列密文数据，由此提高了数据托管服务中数据访问的安全性。附图说明图1为根据本专利技术实施方式的应用场景示意图；图2为根据本专利技术实施方式的数据加密处理方法流程示意图；图3为根据本专利技术实施方式的数据插入方法流程示意图；图4为根据本专利技术实施方式的数本文档来自技高网...

【技术保护点】
1.一种数据加密处理方法，其特征在于，包括：/n接收并解析客户端发来的原始的数据表创建语句，所述原始的数据表创建语句中携带有敏感列标识和需要支持的第一数据操作类型；/n根据所述敏感列标识，针对相应的第一敏感列数据生成密钥；/n利用生成的密钥对第一敏感列数据加密得到对应的第一密文；/n根据所述第一数据操作类型，针对第一敏感列数据生成第一洋葱列；/n根据所述第一密文和第一洋葱列，向数据托管服务器发送改造后的数据表创建语句。/n

【技术特征摘要】
1.一种数据加密处理方法，其特征在于，包括：
接收并解析客户端发来的原始的数据表创建语句，所述原始的数据表创建语句中携带有敏感列标识和需要支持的第一数据操作类型；
根据所述敏感列标识，针对相应的第一敏感列数据生成密钥；
利用生成的密钥对第一敏感列数据加密得到对应的第一密文；
根据所述第一数据操作类型，针对第一敏感列数据生成第一洋葱列；
根据所述第一密文和第一洋葱列，向数据托管服务器发送改造后的数据表创建语句。


2.根据权利要求1所述的方法，其特征在于，根据所述需要支持的第一数据操作类型，针对第一敏感列生成第一洋葱列，包括：
根据所述需要支持的第一数据操作类型，确定第一洋葱列的操作层级；
针对第一洋葱列的每一操作层级，分别生成该操作层级对应的密钥；并
按照第一洋葱列的操作层级，利用每一操作层级对应的密钥分别对所述第一敏感列数据加密得到第一洋葱列。


3.根据权利要求1或2所述的方法，其特征在于，还包括：
接收客户端发来的原始的数据查询语句，所述原始的数据查询语句中携带有针对任一数据表的第二数据操作类型；
如果所述任一数据表包含有第二敏感列数据且本次数据表操作涉及第二敏感列数据操作，则判断本次数据表操作是否支持所述第二数据操作类型；
如果本次数据表操作支持所述第二数据操作类型，则根据所述第二数据操作类型对应的操作层级向数据托管服务器发送洋葱列的操作层级调整命令，以将洋葱列调整到所述第二数据操作类型对应的可操作层级；
利用存储的洋葱列密钥对原始的数据查询语句中包含的第二敏感列数据进行加密处理得到改造后的数据查询语句并发送给所述数据托管服务器；
接收所述数据托管服务器针对所述改造后的数据查询语句返回的满足条件的第一筛选数据；
利用第二敏感列数据对应的密钥对第一筛选数据中包含的第二敏感列数据进行解密后发送给客户端。


4.根据权利要求3所述的方法，其特征在于，如果本次数据表操作不支持所述第二数据操作类型，则所述方法还包括：
从所述原始的数据查询语句中拆分出不涉及第二敏感列数据操作的子句并发送给所述数据托管服务器；
接收所述数据托管服务器针对所述子句返回的满足条件的第二筛选数据；
针对第二筛选数据，利用第二敏感列数据对应的密钥对第二敏感列数据进行解密并执行涉及第二敏感列数据操作的子句得到满足条件的第三筛选数据发送给请求方。


5.一种数据加密处理装置，其特征在于，包括：
第一接收单元，用于接收并解析原始的数据表创建语句，所述原始的数据表创建语句中携带有敏感列标识和需要支持的第一数据操作类型；
密钥生成单元，用于根据所述敏感列标识，针对相应...

【专利技术属性】
技术研发人员：苗健，陈泽，卢健，李鹏，范翊，
申请(专利权)人：瀚高基础软件股份有限公司，
类型：发明
国别省市：山东;37