【技术实现步骤摘要】
本专利技术涉及数据库加密,更具体地说,本专利技术涉及一种混合云下安全通用的数据库密钥管理系统。
技术介绍
1、随着集团公司“云改数转”战略深入推进和底层技术去ioe的实施,用基于开源化自主研发的数据库等技术替换国外商用数据库成为趋势,对数据库安全稳定运营的要求也越来越高。目前,针对数据库安全问题,学术界提出了一些以密码学为基础的新技术,在混合云场景下,需要用密码来加密不同用户的数据,来保证通信安全;如何保护数据安全使之不被窃取、不被篡改或破坏等问题越来越受到人们的重视。
2、在现有的技术中,申请公开号为cn107609420a的申请文件,公开了一种数据库加密系统,包括权限管理模块、密钥管理模块、sql解析重构模块和加/解密模块,本系统采用库内加密和库外加密相结合;权限管理模块针对用户权限检查和限制制度的设置,根据用户安全等级来衡量用户权限;密钥管理模块用于管理密文的数据库,用于密钥的设置、保存和获取;sql解析重构模块实现数据库内数据明文与密文的互换;用户在获取解密密钥的过程中需将密钥管理模块和加/解密模块进行交换和调用。该专利技术保证了系统的安全性能,还具有稳定实用等优势,该系统虽然可对数据库内的重要信息进行封闭式储存,当用户需从数据库系统中查询或获取信息时,必须通过系统的审核,只有明文批准的用户才能进入数据库系统,然而在加密过程中,不能保证数据的安全性,并且无法使得用户对底层数据的加密无感知。
技术实现思路
1、为了克服现有技术的上述缺陷,本专利技术的实施例提供一种
2、为实现上述目的,本专利技术提供如下技术方案:一种混合云下安全通用的数据库密钥管理系统,包括:安全api模块、控制中心模块、密钥生成模块、kms服务模块、密钥存储模块以及日志管理模块;
3、所述安全api模块是系统与外部通信的接口,用于提供teledb数据库的访问权限和生成密钥,还用于提供teledb管控平台访问需求的安装和卸载透明加密插件;所述api使用对称加密算法进行加密;
4、所述控制中心模块用于协调和管理各个模块;
5、所述密钥生成模块根据生成安全密钥请求生成安全密钥;
6、所述kms服务模块根据生成安全密钥请求进行运行;
7、所述密钥存储模块对安全密钥进行缓存并存储;
8、所述日志管理模块负责对所有的用户与本密钥管理系统、本系统与kms服务的交互信息进行记录。
9、进一步地,在卸载teledb数据库透明插件之前,预先检查当前teledb数据库是否具有加密表数据,若有,则说明加密表数据返回失败并提醒用户先解密表数据,否则卸载透明加密插件导致出错,在安装teledb数据库透明加密插件后,等待插件发送的安装成功信息。
10、进一步地,所述安全api模块使用对称加密算法进行加密的内容包括:
11、首先,通过安全随机数生成器生成一个对称密钥;其中,通过使用对称加密算法使用相同的密钥进行加密和解密;
12、将生成的对称密钥安全分发至通信双方;
13、使用对称密钥对传输数据进行加密,其中将传输数据和密钥输入到对称加密算法中,生成密文数据;
14、将加密后的密文数据通过api发生给接收方;
15、接收方使用相同的密钥对接收到的密钥数据进行解密,
16、解密后,接收方对数据进行处理,以便在应用程序中使用。
17、进一步地,所述安全api模块在接收teledb数据库发送的生成密钥请求后,将生成密钥请求转发至控制中心模块,控制中心模块根据当前云场景自适应选择对应的密钥生成方式;若是公有云场景,选择kms服务生成teledb数据库的第三方密钥,若是私有云场景自行生成安全密钥。
18、进一步地,所述控制中心模块的协调过程包括如下:
19、控制中心模块从安全api模块接收请求,并根据请求进行验证、权限检查;
20、控制中心模块根据系统环境信息确定请求并转发至相应的模块,相应的模块执行请求操作,生成结果;
21、控制中心模块安全地将结果返回至安全api模块;
22、同时,控制中心模块定时向teledb管控平台发送心跳包以维持连接,并监测与teledb管控平台的连接状态;
23、控制中心模块与位置系统连接,支持位置感知功能。
24、进一步地,所述密钥生成模块根据生成安全密钥请求生成安全密钥的内容包括:
25、具体地,密钥生成模块接受生成密钥请求,并检测到生成密钥请求来自私有云场景,获取teledb数据库信息中的实例信息;
26、将teledb数据库的实例信息作为盐值;
27、将teledb数据库发送的key作为密钥派生器的密码;
28、利用bouncy castle生成安全密钥;
29、将生成的安全密钥存储至密钥存储模块。
30、进一步地,利用bouncy castle生成安全密钥的内容包括如下:
31、引入bouncy castle库,并选择密钥生成算法;所述密钥生成算法包括对称密钥算法或非对称密钥算法;
32、初始化密钥生成器;
33、根据安全需求设置生成密钥的长度;
34、调用密钥生成器的算法,生成安全密钥;
35、将生成的安全密钥传输至接收方或密钥存储模块。
36、进一步地,所述kms服务模块的运行过程包括如下:
37、kms服务模块接送控制中心模块的生成密钥请求,并根据实力信息查找当前key是否已经存在;
38、若不存在,kms服务模块向kms服务发起生成主密钥cmk的请求;
39、kms服务相应生成主密钥请求,返回主密钥的uuid;
40、使用得到的主密钥uuid,kms服务模块向kms服务发起生成数据密钥dek的请求;
41、kms服务响应生成数据密钥请求,返回dek及相应的key标识和cmkuuid;
42、kms服务模块将得到的key、cmkuuid、dek对应关系返回给控制中心模块。
43、进一步地,所述密钥存储模块的运行过程包括如下:
44、密钥存储模块负责缓存并存储密钥生成模块或kms服务模块返回的安全密钥;
45、接受控制中心的获取密钥请求并给出安全密钥;
46、密钥存储模块接收到安全密钥,先将安全密钥存储在缓存中,并存储在zookeeper对应的set实例节点上,最后保存在teledb数据库中。
47、进一步地,所述记录包括向kms服务请求的次数、返回的结果、请求的api、请求时间、用户请求的次数、返回的结果、请求的api以及请求时间,保存本地并存在teledb数据库中。
48、本专利技术的技术效果和优点:
49本文档来自技高网...
【技术保护点】
1.一种混合云下安全通用的数据库密钥管理系统,其特征在于,包括:安全API模块、控制中心模块、密钥生成模块、KMS服务模块、密钥存储模块以及日志管理模块;
2.根据权利要求1所述的一种混合云下安全通用的数据库密钥管理系统,其特征在于,在卸载TeleDB数据库透明插件之前,预先检查当前TeleDB数据库是否具有加密表数据,若有,则说明加密表数据返回失败并提醒用户先解密表数据,否则卸载透明加密插件导致出错,在安装TeleDB数据库透明加密插件后,等待插件发送的安装成功信息。
3.根据权利要求2所述的一种混合云下安全通用的数据库密钥管理系统,其特征在于,所述安全API模块使用对称加密算法进行加密的内容包括:
4.根据权利要求3所述的一种混合云下安全通用的数据库密钥管理系统,其特征在于,所述安全API模块在接收TeleDB数据库发送的生成密钥请求后,将生成密钥请求转发至控制中心模块,控制中心模块根据当前云场景自适应选择对应的密钥生成方式;若是公有云场景,选择KMS服务生成TeleDB数据库的第三方密钥,若是私有云场景自行生成安全密钥。
5.
6.根据权利要求5所述的一种混合云下安全通用的数据库密钥管理系统,其特征在于,所述密钥生成模块根据生成安全密钥请求生成安全密钥的内容包括:
7.根据权利要求6所述的一种混合云下安全通用的数据库密钥管理系统,其特征在于,利用Bouncy Castle生成安全密钥的内容包括如下:
8.根据权利要求7所述的一种混合云下安全通用的数据库密钥管理系统,其特征在于,所述KMS服务模块的运行过程包括如下:
9.根据权利要求8所述的一种混合云下安全通用的数据库密钥管理系统,其特征在于,所述密钥存储模块的运行过程包括如下:
10.根据权利要求9所述的一种混合云下安全通用的数据库密钥管理系统,其特征在于,所述记录包括向KMS服务请求的次数、返回的结果、请求的API、请求时间、用户请求的次数、返回的结果、请求的API以及请求时间,保存本地并存在TeleDB数据库中。
...【技术特征摘要】
1.一种混合云下安全通用的数据库密钥管理系统,其特征在于,包括:安全api模块、控制中心模块、密钥生成模块、kms服务模块、密钥存储模块以及日志管理模块;
2.根据权利要求1所述的一种混合云下安全通用的数据库密钥管理系统,其特征在于,在卸载teledb数据库透明插件之前,预先检查当前teledb数据库是否具有加密表数据,若有,则说明加密表数据返回失败并提醒用户先解密表数据,否则卸载透明加密插件导致出错,在安装teledb数据库透明加密插件后,等待插件发送的安装成功信息。
3.根据权利要求2所述的一种混合云下安全通用的数据库密钥管理系统,其特征在于,所述安全api模块使用对称加密算法进行加密的内容包括:
4.根据权利要求3所述的一种混合云下安全通用的数据库密钥管理系统,其特征在于,所述安全api模块在接收teledb数据库发送的生成密钥请求后,将生成密钥请求转发至控制中心模块,控制中心模块根据当前云场景自适应选择对应的密钥生成方式;若是公有云场景,选择kms服务生成teledb数据库的第三方密钥,若是私有云场景自...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。