本发明专利技术公开了一种非关系型数据库数据安全防护方法及系统,方法包括获取数据属主的写操作请求,对写入的明文数据进行加密获得密文数据,将密文数据上传至数据库服务器;获取数据用户的明文读操作请求,将明文读操作请求转换为密文读操作请求,并提交给数据库服务器获取密文数据,对获得的密文数据进行解密,恢复明文数据并呈现给数据用户。数据的加解密方法采用本发明专利技术所设计的基于关键字属性基的加解密算法(KW
【技术实现步骤摘要】
非关系型数据库数据安全防护方法及系统
[0001]本专利技术涉及信息安全
,特别涉及一种非关系型数据库数据安全防护方法及系统。
技术介绍
[0002]随着非关系型数据库云服务化的不断推进,许多用户开始将数据存储至云端数据库,包括NoSQL数据库,其中非关系型数据库MongoDB被广泛应用。然而,NoSQL数据库是为了解决海量数据的存储、并发访问要求而开发的,在设计时并未考虑数据的安全性问题,致使存储未涉及有效的安全防护措施。就MongoDB而言也存在着许多数据安全问题,譬如,早期的MongoDB未对其数据存储提供安全保护措施,所有数据均以明文形式存储,超级管理员可以不经数据源用户同意就可以对用户的数据文件直接进行查询、修改等访问操作,存在数据泄露的安全风险。直到2019年推出了MongoDB4.2企业版才引入了字段级别加密,但这种字段级加密的自动加密功能仅在MongoDB 4.2Enterprise和MongoDB Atlas 4.2集群中可用,而且仅支持HMAC
‑
SHA
‑
512MAC与AES
‑
256
‑
CBC加密算法的组合。为保护NoSQL数据库用户数据安全和访问可控,需要针对非关系型(NoSQL)数据库,研究提供一种关于数据加密存储的安全机制与防护方法,以保障非关系型数据库所存储数据的机密性、完整性和可用性。
技术实现思路
[0003]本专利技术提供了一种非关系型数据库数据安全防护方法及系统,其优点是能够透明地为数据属主提供数据加密存储服务,提高数据存储的安全性。
[0004]本专利技术的技术方案如下:
[0005]本申请提供一种非关系型数据库数据安全防护方法,包括
[0006]获取数据属主的写操作请求,对写入的明文数据进行加密获得密文数据,将密文数据上传至数据库服务器;
[0007]获取数据用户的明文读操作请求,将明文读操作请求转换为密文读操作请求,并提交给数据库服务器获取密文数据,对获得的密文数据进行解密,恢复明文数据并呈现给数据用户。
[0008]进一步的,通过基于关键字属性基的加解密算法(KW
‑
ABE)对明文数据进行加密,包括步骤:
[0009]通过给定的安全参数λ和关键字属性集U,生成与关键字属性关联的主公钥MPK和主私钥MSK;
[0010]根据主公钥MPK、主私钥MSK以及用户标识ID生成与用户标识ID关联的公钥PK和私钥SK;
[0011]根据关键字属性集U生成与关键字属性集U相关联的数字指纹h;
[0012]根据明文数据M、公钥PK及访问结构T,将明文数据M加密后输出包含访问结构T的密文数据C。
[0013]进一步的,所述访问结构T与明文数据M对应,所述访问结构T至少包含一个关键字。
[0014]进一步的,密文数据上传至数据库服务器时,重写数据操作请求,将加密后的密文数据C、关键字数字指纹h和访问结构T上传到数据库服务器,以密文形态存入非关系型数据库中。
[0015]进一步的,在对明文数据加密时,对于数据属主提供的任意明文M分割成为若干个单元m
i
(i=1,2,3
…
,n0,并加密生成对应的密文单元c
i
(i=1,2,3
…
,n)。
[0016]进一步的,获取数据用户的明文读操作请求后,对用户标识ID进行验证:
[0017]若存在与该用户标识ID对应的公钥PK和私钥SK,该用户标识ID通过验证;
[0018]若不存在与该用户标识ID对应的公钥PK和私钥SK,则拒绝该数据用户的请求。
[0019]进一步的,获取数据用户的明文读操作请求后,识别明文读操作请求中的关键字,生成与关键字属性集关联的密文读操作请求,提交给非关系型数据库服务器,获取密文C。
[0020]进一步的,对密文数据的解密方法为:
[0021]输入密文数据C、私钥SK和公钥PK,若数据用户私钥SK对应的用户标识ID满足密文C中的访问结构T,则解密输出明文数据M;否则解密失败。
[0022]本申请提供一种非关系型数据库数据安全防护系统,包括数据属主、数据用户、代理组件以及非关系型数据库服务器;所述代理组件用于执行上述任意一项所述的非关系型数据库数据安全防护方法。
[0023]本申请提供一种计算机可读介质,存储有计算机程序,所述计算机程序被计算机调用并运行时,执行上述任意一项所述的非关系型数据库数据安全防护方法。
[0024]综上所述,本专利技术的有益效果有:
[0025]1.本专利技术能够透明地为用户提供数据加密存储服务,加解密步骤在数据库外进行,因此,所用加解密算法可以灵活选择、扩展扩充;数据通过加密处理后以密文形态存储在数据库中;
[0026]2.用户数据在进入数据库前就进行了加密处理,从数据库返回后才予以解密,即便是具有最高访问权限的系统管理员、数据库管理员也难以识别数据库系统中数据信息,有效解决了具有最高访问权限的管理员可能泄露数据的安全风险;
[0027]3.数据库中的数据始终以密文形态存储处理,数据库用户只有在通过验证的情况下才能解密数据,切实保障了用户数据的机密性、完整性和可用性。
附图说明
[0028]图1是本申请非关系型数据库数据安全防护系统的示意图;
[0029]图2是本申请非关系型数据库数据安全防护系统模型的示意图;
[0030]图3是本申请基于关键字属性基加解密算法的流程示意图;
[0031]图4是本申请加解密代理组件工作流程图。
具体实施方式
[0032]下面结合附图详细说明本专利技术的具体实施方式。
[0033]本申请实施例以文本型MongoDB数据库为具体实例进行说明。
[0034]实施例:如图1所示,本申请提供一种非关系型数据库数据安全防护系统,包括客户端用户、加解密代理组件、数据库集群(数据库服务器)及其非关系型(NoSQL)数据库。其中,客户端用户包括数据属主和数据用户,数据库配置有NoSQL数据库防火墙和数据库漏洞扫描系统,防火墙用于对客户端用户访问数据进行系列分析,解决身份认证、细粒度访问控制等问题,同时对用户单位时间内的登录次数进行限时禁止,防止数据库被穷举攻击或拒绝服务;同时基于防火墙对NoSQL数据库的语法解析还可提炼特定特征,以阻止NoSQL注入和CVE漏洞攻击,防止用户越权操作;同时将加解密代理组件与NoSQL防火墙联动,用以保证只有具备访问目标value值的用户获取的返回值才是明文,其他用户即使获取了数据也是密文形态的不可识别字符。数据库漏洞扫描系统主要用于实时监视、感知数据库系统的安全风险,为运维管控中心及时打补丁或通过漏洞防护技术进行防护提供依据。
[0035]该数据库数据安全防护系统启动运行后,主要工作步骤为:
①
客户端用户登录,与加解密代理组件进行交互;...
【技术保护点】
【技术特征摘要】
1.非关系型数据库数据安全防护方法,其特征在于,包括获取数据属主的写操作请求,对写入的明文数据进行加密获得密文数据,将密文数据上传至数据库服务器;获取数据用户的明文读操作请求,将明文读操作请求转换为密文读操作请求,并提交给数据库服务器获取密文数据,对获得的密文数据进行解密,恢复明文数据并呈现给数据用户。2.根据权利要求1所述的非关系型数据库数据安全防护方法,其特征在于,通过基于关键字属性基的加解密算法(KW
‑
ABE)对明文数据进行加密,包括步骤:通过给定的安全参数λ和关键字属性集U,生成与关键字属性关联的主公钥MPK和主私钥MSK;根据主公钥MPK、主私钥MSK以及用户标识ID生成与用户标识ID关联的公钥PK和私钥SK;根据关键字属性集U生成与关键字属性集U相关联的数字指纹h;根据明文数据M、公钥PK及访问结构T,将明文数据M加密后输出包含访问结构T的密文数据C。3.根据权利要求2所述的非关系型数据库数据安全防护方法,其特征在于,所述访问结构T与明文数据M对应,所述访问结构T至少包含一个关键字。4.根据权利要求3所述的非关系型数据库数据安全防护方法,其特征在于,密文数据上传至数据库服务器时,重写数据操作请求,将加密后的密文数据C、关键字数字指纹h和访问结构T上传到数据库服务器,以密文形态存入非关系型数据库中。5.根据权利要求4所述的非关系型数据库数据安全防护方法,其特征在于,在对明文数据加密时,对于数据属主提供的任意明文M分割成为若干个单元m
...
【专利技术属性】
技术研发人员:刘化君,李杰,曹鹏飞,
申请(专利权)人:三江学院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。