本申请公开了一种数据库的操作方法、系统、存储介质以及计算机终端。其中,该方法包括:将数据库引擎发送的密文操作请求传输至处理器的片上存储,其中,密文操作请求用于表征对原始操作请求进行加密所得到的操作请求;在片上存储中通过原子操作模块对原始操作请求进行处理,得到原始操作结果,其中,原子操作模块运行在处理器的可信区域中;将密文操作结果从片上存储返回至数据库引擎,其中,密文操作结果用于表征对原始操作结果进行加密所得到的操作结果,数据库引擎用于基于密文操作结果对数据库中存储的数据进行操作。本申请解决了相关技术中数据库运行在处理器的可信区域中,对数据库进行操作的安全性不高的技术问题。对数据库进行操作的安全性不高的技术问题。对数据库进行操作的安全性不高的技术问题。
【技术实现步骤摘要】
数据库的操作方法、系统、存储介质以及计算机终端
[0001]本申请涉及数据库的操作领域,具体而言,涉及一种数据库的操作方法、系统、存储介质以及计算机终端。
技术介绍
[0002]目前,云计算客户对于公有云数据的安全性、可靠性等需求愈加迫切,通过安全处理器提供的隔离或加密等硬件特性可以保证数据安全,目前所采用的处理器本身并不提供对安全内存的保密性和完整性的保护,因此,对于运行在处理器中的数据库进行操作的安全性不高。
[0003]针对上述的问题,目前尚未提出有效的解决方案。
技术实现思路
[0004]本申请实施例提供了一种数据库的操作方法、系统、存储介质以及计算机终端,以至少解决相关技术中数据库运行在处理器的可信区域中,对数据库进行操作的安全性不高的技术问题。
[0005]根据本申请实施例的一个方面,提供了一种数据库的操作方法,包括:将数据库引擎发送的密文操作请求传输至处理器的片上存储,其中,密文操作请求用于表征对原始操作请求进行加密所得到的操作请求;在片上存储中通过原子操作模块对原始操作请求进行处理,得到原始操作结果,其中,原子操作模块运行在处理器的可信区域中;将密文操作结果从片上存储返回至数据库引擎,其中,密文操作结果用于表征对原始操作结果进行加密所得到的操作结果,数据库引擎用于基于密文操作结果对数据库中存储的数据进行操作。
[0006]根据本申请实施例的另一方面,还提供了一种数据库的操作系统,包括:数据库引擎,用于发送密文操作请求,其中,密文操作请求用于表征对原始操作请求进行加密所得到的操作请求;处理器,与数据库引擎连接,包括:片上存储和可信区域,可信区域中运行有原子操作模块,处理器用于将密文操作请求传输至片上存储,在片上存储中通过原子操作模块对原始操作请求进行处理,得到原始操作结果,并将密文操作结果从片上存储返回至数据库引擎,其中,密文操作结果用于表征对原始操作结果进行加密所得到的操作结果;数据库引擎还用于基于密文操作结果对数据库中存储的数据进行操作。
[0007]根据本申请实施例的另一方面,还提供了一种计算机可读存储介质,计算机可读存储介质包括存储的程序,其中,在程序运行时控制计算机可读存储介质所在设备执行上述的数据库的操作方法。
[0008]根据本申请实施例的另一方面,还提供了一种计算机终端,包括:存储器和处理器,处理器用于运行存储器中存储的程序,其中,程序运行时执行上述的数据库的操作方法。
[0009]在本申请实施例中,首先,可以将数据库引擎发送的密文操作请求传输至处理器的片上存储,其中,密文操作请求用于表征对原始操作请求进行加密所得到的操作请求;在
片上存储中通过原子操作模块对原始操作请求进行处理,得到原始操作结果,其中,原子操作模块运行在处理器的可信区域中;将密文操作结果从片上存储返回至数据库引擎,其中,密文操作结果用于表征对原始操作结果进行加密所得到的操作结果,数据库引擎用于基于密文操作结果对数据库中存储的数据进行操作,实现了将数据库引擎与实际进行操作处理的模块进行物理层面和软件层面上的隔离,提高数据处理的安全性,可以将原子操作模块放入到处理器的可信区域中,并且数据库引擎操作的过程中只能接触到密文数据,从而提高数据库操作的安全性,进而解决了相关技术中数据库运行在处理器的可信区域中,对数据库进行操作的安全性不高的技术问题。
附图说明
[0010]此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
[0011]图1是根据本申请实施例的一种用于实现数据库的操作方法的计算机终端(或移动设备)的硬件结构框图;
[0012]图2是根据本申请实施例的一种数据库的操作方法的流程图;
[0013]图3是根据本申请实施例的一种加密结构的示意图;
[0014]图4是根据本申请实施例的一种数据库操作系统的整体架构示意图;
[0015]图5是根据本申请实施例的一种数据库的操作装置的示意图;
[0016]图6是根据本申请实施例的一种计算机终端的结构框图。
具体实施方式
[0017]为了使本
的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
[0018]需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0019]首先,在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释:
[0020]片上计算(On
‑
Chip Computing):片上计算是一种可信计算技术,利用CPU内部的片上存储作为运行内存,当内存页被换出到普通内存时进行加密。利用片上计算技术可以实现软件的全内存加密,防止针对内存的攻击,如总线嗅探、冷启动等。
[0021]可信执行环境TEE(Trusted Execution Environment):可信执行环境是处理器的
一个安全区域,保证其内部加载的代码和数据的机密性和完整性能得到保护。它提供了一个隔离的执行空间安全区,在其中运行的受信任程序可以防止普通应用程序,操作系统(OS)甚至是虚拟机检测器(Hypervisor)的侵害。
[0022]ARM可信区域(ARM TrustZone):ARM TrustZone是ARM处理器所特有的安全计算环境。它们允许用户定义内存的可信区域,其内容受完整性保护并且无法被可信区域以外的任何软件所访问。
[0023]目前,国内云市场对保密计算和国产处理器的需求紧密相关。一方面,使用国产处理器可满足自主可控的安全需求,另一方面,也能将权责问题落实到国内厂商。在云计算环境面临的复杂安全问题背景下,需要利用国产ARM处理器的TrustZone特性实现云环境场景下的,加密数据库方案。
[0024]其中,TrustZone作为ARM处理器体系架构的安全扩展,在硬件层面提供了多种物理资源的隔离能力,包括内存隔离、中断隔离、设备隔离等。但是ARM TrustZone本身并不提供安全内存的保密性和完整性保护,需要利用ARM上配置的片上存储(OCM),引入内存加密技术来抵御物理攻击。
[0本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种数据库的操作方法,其特征在于,包括:将数据库引擎发送的密文操作请求传输至处理器的片上存储,其中,所述密文操作请求用于表征对原始操作请求进行加密所得到的操作请求;在所述片上存储中通过原子操作模块对所述原始操作请求进行处理,得到原始操作结果,其中,所述原子操作模块运行在处理器的可信区域中;将密文操作结果从所述片上存储返回至所述数据库引擎,其中,所述密文操作结果用于表征对所述原始操作结果进行加密所得到的操作结果,所述数据库引擎用于基于所述密文操作结果对数据库中存储的数据进行操作。2.根据权利要求1所述的方法,其特征在于,通过原子操作模块对所述原始操作请求进行处理,得到原始操作结果包括:通过所述原子操作模块包含的解密算子对所述密文操作请求进行解密,得到所述原始操作请求;通过所述原子操作模块包含的目标操作算子对所述原始操作请求进行处理,得到所述原始操作结果;通过所述原子操作模块包含的加密算子对所述原始操作结果进行加密,得到所述密文操作结果。3.根据权利要求2所述的方法,其特征在于,所述原始操作请求包括:目标操作数和至少一个目标操作符,其中,通过所述原子操作模块包含的目标操作算子对所述原始操作请求进行处理,得到所述原始操作结果包括:从所述原子操作模块包含的多个操作算子中获取每个目标操作符对应的操作算子;将所述至少一个目标操作符对应的操作算子进行组合,得到所述目标操作算子;通过所述目标操作算子对所述目标操作数进行处理,得到所述原始操作结果。4.根据权利要求3所述的方法,其特征在于,在所述目标操作符为多个的情况下,从所述原子操作模块包含的多个操作算子中获取每个目标操作符对应的操作算子包括:将所述多个操作算子保存为多个副本;从每个副本中获取所述每个目标操作符对应的所述操作算子。5.根据权利要求2所述的方法,其特征在于,在通过所述原子操作模块包含的解密算子对所述密文操作请求进行解密,得到所述原始操作请求之前,所述方法还包括:检测发送所述密文操作请求的客户端是否认证成功;在检测到所述客户端认证成功的情况下,通过所述解密算子对所述密文操作请求进行解密,得到所述原始操作请求。6.根据权利要求1所述的方法,其特征在于,所述方法还包括:在检测到所述片上存储的剩余存储空间小于预设值的情况下,对所述片上存储中存储的原始数据进行加密,得到密文数据;将所述密文数据存储至内存中。7.根据权利要求6所述的方法,其特征在于,所述方法还包括:从所述内存中读取所述密文数据;对所述密文数据进行解密,得到...
【专利技术属性】
技术研发人员:汪晟,李飞飞,
申请(专利权)人:阿里巴巴中国有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。