本发明专利技术提供一种云计算环境下数据库加密保护系统和加密保护方法。本发明专利技术加密保护系统包括应用接口、任务管理子系统、资源管理子系统和加解密引擎池。本发明专利技术主要有以下优点:1.采用加解密引擎池,避免因加解密模块超负荷工作而影响数据库性能下降;2.应用系统对数据库的最终用户是完全透明的,可以根据需要进行明文和密文的转换工作;3.加解密引擎完全独立于数据库和应用系统,无须改动数据库和应用系统就能实现数据加密功能;4.采用基于虚拟化技术构建的加解密引擎池具有很好的可管理性和弹性,可以按需创建,解决了关系型数据库应用中的细颗粒度、大并发量存取的瓶颈问题,资源合理化使用,提高了数据库服务器的能力和效率。
【技术实现步骤摘要】
本专利技术涉及云计算环境下信息安全领域,特别涉及,通过虚拟化技术构建数据加解密引擎池,依据加解密负载情况动态创建和调度加解密引擎,适用于大并发细颗粒度访问的数据加密保护。
技术介绍
云计算是一种基于互联网的大众参与的计算模式,其计算资源是动态的,可伸缩、虚拟化的,而且以服务的方式提供。用户从以前购买软件,转化为云计算下通过互联网来租赁相应应用软件;从以前购买服务器和修建机房,转为到云计算下通过互联网来租赁远程虚拟计算能力。以云计算为代表的信息技术正促使信息产业从提供独立的软硬件产品走向提供社会化、集约化和专业化的信息服务。数据库存储安全是保障云计算安全的基础。云计算环境下,部署传统的安全措施如访问控制、防火墙和入侵检测等保护数据库,有两种情况容易造成机密信息泄露1)数据库管理员的权限过大,有权访问全部/部分机密数据;2)备份介质丢失,维护数据库系统安全需要对数据库中的数据进行定期备份,大量的数据备份文件存储在无保护的磁性和光学介质中,流失的隐患相当大,从而可能造成机密信息的泄露。
技术实现思路
针对上述的传统数据库安全保护措施在云计算环境中存在的问题,本专利技术提供。本专利技术主要解决,当存储在云计算数据库服务器中的加密数据形成规模之后,对数据实现高效的加密/解密。在传统安全措施的基础上,采用数据加密技术将数据库中的机密数据加密,这样即使入侵者绕过或攻破了各种系统安全机制,得到的也只是加密后的密文数据,备份数据的流失也不会造成机密信息的泄露。本专利技术的第一方面提供了一种云计算环境下数据库加密保护系统,包括应用接口(I)、任务管理子系统(2)、资源管理子系统(3)、虚拟主机加解密引擎池(4),所述系统包括I)应用接口( I)是任务管理子系统(2)与应用服务器进行交互的接口,一方面将应用服务器的SQL请求提交给任务管理子系统(2),另一方面将任务管理子系统(2)收集的运行结果提供给应用服务器;2)任务管理子系统(2),解析各种数据库访问请求,通过访问控制安全审核,将允许访问的SQL请求分解为多个执行子任务,并对这些子任务进行发布、维护、监视和更新等控制管理工作; 3)资源管理子系统(3),一方面收集所有虚拟机和物理机的信息;另一方面按照任务管理子系统发布的执行子任务的需求部署虚拟机,提供加解密引擎的创建、回收服务,实现虚拟加解密引擎按需分配功能;4)加解密引擎池(4),系统最核心的部分,由多个基于虚拟化技术动态的加解密引擎组成,这些加解密引擎由资源管理子系统(3)在虚拟机中创建,是任务管理子系统(2)中任务的执行单元,负责为用户的数据业务提供加解密服务和数据安全访问服务。本专利技术的第二方面提供了一种云计算环境下数据库加密保护方法,避免因为加解密模块超负荷工作而影响数据库性能下降等问题。对加解密引擎部署结构进行优化,按照加解密功能软件化、分布化、承载方式虚拟化的思路实现加解密资源按需服务。数据库加密保护方法包括以下步骤步骤一应用服务器的SQL请求通过应用接口(I)发送给任务管理子系统(2),任务管理子系统(2)对该请求进行语句合法性验证,判断其语句是否合法;并对其做并行任务处理; 步骤二 任务管理子系统(2)将所有任务进行分析排序,把可以立即执行的任务发送给资源管理子系统(3),存在资源竞争冲突的任务放入任务等待队列,同时对任务队列进行检测,将等待超时的任务根据任务执行策略决定继续等待或者丢弃;步骤三资源管理子系统(3)收集系统中物理机的信息,预测系统对虚拟主机的需求,按照虚拟机部署策略在物理机中部署需求的虚拟主机;步骤四资源管理子系统(3)将从任务管理子系统(2)收到的任务按优先级进行排序,选择为其分配资源任务,根据资源分配策略在虚拟资源列表中选择匹配的虚拟资源,即虚拟机,若虚拟资源不足,不能满足任务的资源需求,则转到步骤三;步骤五在任务分配的虚拟机中检测加解密引擎程序并启动该程序,若启动成功告知任务管理子系统(2)任务正在执行,转到步骤六;否则告知任务执行异常,由任务管理子系统(2)撤销任务,执行步骤七;步骤六任务开始执行,通过创建的加解密引擎程序完成数据库访问和数据加密服务,向任务管理子系统(2)返回结果;步骤七资源管理子系统(3)对任务执行完成的虚拟机,进行回收,销毁解密引擎程序。本专利技术解决了云计算环境下数据库加密保护问题,主要有以下优点I.采用加解密引擎池,避免因加解密模块超负荷工作而影响数据库性能下降;2.应用系统对数据库的最终用户是完全透明的,可以根据需要进行明文和密文的转换工作;3.加解密引擎完全独立于数据库和应用系统,无须改动数据库和应用系统就能实现数据加密功能;4.采用基于虚拟化技术构建的加解密引擎池具有很好的可管理性和弹性,可以按需创建,解决了关系型数据库应用中的细颗粒度、大并发量存取的瓶颈问题,资源合理化使用,提高了数据库服务器的能力和效率。附图说明图I是本专利技术的数据库加密保护系统结构示意图;图2是本专利技术的数据库加密保护方法流程图;图3是根据本专利技术实施例的云计算环境的数据保护的应用系统结构图4是根据本专利技术实施例的数据库加密保护的应用系统的工作流程图。具体实施例方式下面结合附图对本专利技术的云计算环境下数据库加密保护的实现方法和系统进行详细描述说明。描述中给出了许多具体细节,以确保本专利技术实例的透彻理解。如图I所示,根据本专利技术实施例的数据库加密保护系统,云计算环境下数据库加密保护系统包括应用接口 1,任务管理子系统2,资源管理子系统3,加解密引擎池4。应用接口 1,提供给任务管理子系统2与应用服务器进行交互的接口,一方面将应用服务器的SQL请求提交给任务管理子系统2,另一方面将任务管理子系统2收集的运行结果提供给应用服务器; 任务管理子系统2,解析各种数据库访问请求,通过访问控制安全审核,将允许访问的SQL请求分解为多个执行子任务,并对这些子任务进行发布、维护、监视和更新等控制管理工作;资源管理子系统3,一方面负责收集所有虚拟机和物理机的信息,并将这些信息作为任务管理子系统2任务分发部署和运行的依据;另一方面按照任务管理子系统2发布的执行子任务的需求部署虚拟机,提供加解密引擎的创建、回收服务,实现虚拟加解密引擎按需分配功能;加解密引擎池4,系统最核心的部分,由多个基于虚拟化技术动态的加解密引擎组成,这些加解密引擎由资源管理子系统3在虚拟机中创建,是任务管理子系统2中任务的执行单元,负责为用户的数据业务提供加解密服务和数据安全访问服务。如图2所示,根据本专利技术实施例的数据库加密保护系统,云计算环境下数据库加密保护方法包括以下步骤步骤一应用服务器的SQL请求通过应用接口 I发送给任务管理子系统2,任务管理子系统性对该请求进行语句合法性验证,判断其语句是否合法;并对其做并行任务处理;步骤二 任务管理子系统2将所有任务进行分析排序,把可以立即执行的任务发送给资源管理子系统3,存在资源竞争冲突的任务放入任务等待队列,同时对任务队列进行检测,将等待超时的任务根据任务执行策略决定继续等待或者丢弃;步骤三资源管理子系统3负责收集系统中物理机的信息,预测系统对虚拟主机的需求,按照虚拟机部署策略在物理机中部署需求的虚拟主机;步骤四资源管理子系统3将从任务管理子系统2收到的任务按优先级进行排序,选择为其分配资源任务,根本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种云计算环境下数据库加密保护系统,其特征在于,包括 .1)应用接口(I)是任务管理子系统(2)与应用服务器进行交互的接口,一方面将应用服务器的SQL请求提交给任务管理子系统(2),另一方面将任务管理子系统(2)收集的运行结果提供给应用服务器; .2)任务管理子系统(2),解析各种数据库访问请求,通过访问控制安全审核,将允许访问的SQL请求分解为多个执行子任务,并对这些子任务进行发布、维护、监视和更新控制管理工作; .3)资源管理子系统(3),一方面负责收集所有虚拟机和物理机的信息;另一方面按照任务管理子系统(2)发布的执行子任务的需求部署虚拟机,提供加解密引擎的创建、回收服务,实现虚拟加解密引擎按需分配功能; .4)加解密引擎池(4),系统最核心的部分,由多个基于虚拟化技术动态的加解密引擎组成,这些加解密引擎由资源管理子系统(3)在虚拟机中创建,是任务管理子系统(2)中任务的执行单元,负责为用户的数据业务提供加解密服务和数据安全访问服务。2.—种云计算环境下数据库加密保护方法,其特征在于包括以下步骤 步骤一应用服务器的SQL请求通过应用接口(I)发送给任务管理子系统(2),任务管理子系统(...
【专利技术属性】
技术研发人员:朱志祥,王茜,许成鹏,黄仕富,王佩,李安颖,任学强,史晨昱,梁小江,
申请(专利权)人:西安未来国际信息股份有限公司,西安邮电大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。