【技术实现步骤摘要】
数据库透明加密与访问控制方法、装置及设备
[0001]本专利技术涉及数据库安全
,特别涉及数据库透明加密与访问控制方法、装置及设备。
技术介绍
[0002]敏感数据在数据库中以明文形式存储,并缺乏有效的访问控制措施,导致数据泄露事件频繁发生。外部敌手入侵盗取数据、内部高权限用户窃取数据、存储介质丢失泄露数据,是当前数据库安全面临的主要问题。数据库加密存储是数据库安全防护体系建设的最后一道防线,数据库透明加密技术自诞生以来,一直处于持续发展状态。目前,数据库透明加密主要包含如下四种实现方式:
[0003]1)基于数据库代理驱动的应用内透明加密系统:例如图1所示的一种具体的应用内透明加密系统的原理示意图,将数据库代理驱动安装在需要访问数据库的应用系统中,实时监听应用进程拦截入库SQL(Structured Query Language serverdatabase,即结构化查询语言数据库),并根据安全策略对敏感数据加密,然后调用数据库驱动将密文数据存入数据库。
[0004]2)基于数据库加密网关的前置代理透明加密系统:例如图2所示的一种具体的前置代理透明加密系统的原理示意图,前置代理加密技术是在数据保存到数据库之前对敏感数据进行加密,并将密文存储到数据库中。前置代理加密通常是以数据库加密网关的形式实现。
[0005]3)基于触发器+视图+UDF(User
‑
DefinedFunction,即用户自定义函数)+密文索引的后置代理透明加密系统:例如图3所示的一种具体的后置代理透 ...
【技术保护点】
【技术特征摘要】
1.一种数据库透明加密与访问控制方法,其特征在于,包括:基于安全策略,并利用透明加密与访问控制插件建立应用服务器与数据库之间的目标连接;其中,所述安全策略包括访问控制策略、加密策略以及解密策略;当所述透明加密与访问控制插件通过所述目标连接接收到所述应用服务器的写入请求时,基于所述写入请求中的第一目标信息和所述访问控制策略的匹配结果,判断所述写入请求是否为受限访问,若否则利用所述加密策略将所述写入请求中的待写入数据写入所述数据库;当所述透明加密与访问控制插件通过所述目标连接接收到所述应用服务器的读取请求时,获取所述数据库返回的与所述读取请求对应的读取结果,基于所述读取结果的第二目标信息和所述访问控制策略的匹配结果,判断所述读取请求是否为所述受限访问,若否则利用所述解密策略将所述读取结果发送至所述应用服务器。2.根据权利要求1所述的数据库透明加密与访问控制方法,其特征在于,所述基于安全策略,并利用透明加密与访问控制插件建立应用服务器与数据库之间的目标连接,包括:通过透明加密与访问控制插件获取应用服务器发送的连接请求,并利用所述透明加密与访问控制插件识别所述连接请求中的第三目标信息,并基于所述第三目标信息和安全策略,判断所述连接请求是否合法;其中,所述第三目标信息包括数据库名称、数据库账号和IP地址中任意一种或几种目标信息;若是,则建立所述应用服务器与数据库之间的目标连接。3.根据权利要求1所述的数据库透明加密与访问控制方法,其特征在于,所述基于安全策略,并利用透明加密与访问控制插件建立应用服务器与数据库之间的目标连接,包括:若数据库服务器中的数据库本地透明加密与访问控制插件接收到应用服务器发送的连接请求,则基于安全策略,并利用所述数据库本地透明加密与访问控制插件建立所述应用服务器与所述数据库服务器中的第一数据库之间的目标连接。4.根据权利要求3所述的数据库透明加密与访问控制方法,其特征在于,所述利用所述加密策略将所述写入请求中的待写入数据写入所述数据库,包括:通过数据库引擎调用所述数据库本地透明加密与访问控制插件获取所述数据库服务器中的数据库安全代理发送的加密策略,并利用所述加密策略对所述写入请求中的待写入数据进行加密,以得到加密后数据;所述数据库本地透明加密与访问控制插件将所述加密后数据返回至所述数据库引擎,以便所述数据库引擎将所述加密后数据写入所述第一数据库;相应的,所述利用所述解密策略将所述读取结果发送至所述应用服务器,包括:通过所述数据库引擎调用所述数据库本地透明加密与访问控制插件获取所述数据库服务器中的数据库安全代理发送的解密策略,并利用所述解密策略将所述读取结果进行解密,以得到解密后读取结果,然后将所述解密后读取结果返回至所述数据库引擎,以便所述数据库引擎所述解密后读取结果发送至所述应用服务器。5.根据权利要求1所述的数据库透明加密与访问控制方法,其特征在于,所述基于安全策略,并利用透明加密与访问控制插件建立应用服务器与数据库之间的目标连接,包括:若应用服务器中的...
【专利技术属性】
技术研发人员:宣兆新,李博,邹雷,李东,杨彬彬,
申请(专利权)人:成都卫士通信息产业股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。