1.基于存儲(chǔ)加密的數(shù)據(jù)庫(kù)安全保密系統(tǒng)，其特征在于：其包括數(shù)據(jù)庫(kù)加密服務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)加密擴(kuò)展組件、安全數(shù)據(jù)庫(kù)訪問(wèn)接口和管理工具；數(shù)據(jù)庫(kù)加密服務(wù)系統(tǒng)運(yùn)行在裝有密碼裝置的加密服務(wù)器上，該服務(wù)系統(tǒng)對(duì)所述數(shù)據(jù)庫(kù)安全保密系統(tǒng)中處理的數(shù)據(jù)進(jìn)行加脫密，并集中實(shí)施安全控制與管理；數(shù)據(jù)庫(kù)加密擴(kuò)展組件注冊(cè)到數(shù)據(jù)庫(kù)管理系統(tǒng)中，該組件連接數(shù)據(jù)庫(kù)加密服務(wù)系統(tǒng)和數(shù)據(jù)庫(kù)管理系統(tǒng)，調(diào)用數(shù)據(jù)庫(kù)加密服務(wù)系統(tǒng)上的密碼服務(wù)功能實(shí)現(xiàn)常規(guī)數(shù)據(jù)的加脫密；安全數(shù)據(jù)庫(kù)訪問(wèn)接口運(yùn)行在應(yīng)用系統(tǒng)進(jìn)程空間，為應(yīng)用系統(tǒng)提供安全透明的數(shù)據(jù)庫(kù)訪問(wèn)支持，安全數(shù)據(jù)庫(kù)訪問(wèn)接口一方面連接到數(shù)據(jù)庫(kù)加密服務(wù)系統(tǒng)，另一方面連接到數(shù)據(jù)庫(kù)管理系統(tǒng)；管理工具是管理人員進(jìn)行各項(xiàng)安全配置管理的工具，可運(yùn)行在管理控制臺(tái)計(jì)算機(jī)上。

2.如權(quán)利要求1所述的數(shù)據(jù)庫(kù)安全保密系統(tǒng)，其特征在于：管理工具包括密鑰管理工具、系統(tǒng)管理工具、表加密管理工具和交互命令處理器；數(shù)據(jù)庫(kù)加密服務(wù)系統(tǒng)提供系統(tǒng)管理角色、安全管理角色、審計(jì)管理角色；密鑰管理工具對(duì)應(yīng)密鑰管理角色，用于密鑰的生成、備份、恢復(fù)，解鎖特權(quán)用戶；安全管理角色負(fù)責(zé)對(duì)用戶的鎖定與解鎖，對(duì)系統(tǒng)管理員和系統(tǒng)用戶進(jìn)行監(jiān)督和控制；系統(tǒng)管理角色通過(guò)系統(tǒng)管理工具對(duì)全部用戶和系統(tǒng)進(jìn)行管理和維護(hù)；審計(jì)管理角色負(fù)責(zé)審計(jì)日志的查詢、分析和歸檔；表加密管理工具用于定義表中需要加密的列，同時(shí)可進(jìn)行表中數(shù)據(jù)的查看、導(dǎo)入導(dǎo)出；交互命令處理器執(zhí)行用戶輸入的SQL語(yǔ)句，并顯示執(zhí)行結(jié)果。

3.如權(quán)利要求2所述的數(shù)據(jù)庫(kù)安全保密系統(tǒng)，其特征在于：在對(duì)常規(guī)數(shù)據(jù)進(jìn)行查詢時(shí)，將常規(guī)數(shù)據(jù)組成視圖，并通過(guò)數(shù)據(jù)庫(kù)加密擴(kuò)展組件和數(shù)據(jù)庫(kù)加密服務(wù)系統(tǒng)對(duì)常規(guī)數(shù)據(jù)進(jìn)行加脫密，常規(guī)數(shù)據(jù)的加密通過(guò)視圖上的觸發(fā)器執(zhí)行，常規(guī)數(shù)據(jù)的脫密通過(guò)視圖執(zhí)行；大數(shù)據(jù)對(duì)象的加脫密則在安全數(shù)據(jù)庫(kù)訪問(wèn)接口中執(zhí)行。

4.如權(quán)利要求1所述的數(shù)據(jù)庫(kù)安全保密系統(tǒng)，其特征在于安全數(shù)據(jù)庫(kù)訪問(wèn)接口包括：

ADODBC，該接口是供應(yīng)用系統(tǒng)訪問(wèn)加密數(shù)據(jù)用的ODBC?Driver；

ADJDBC，該接口是供應(yīng)用系統(tǒng)訪問(wèn)加密數(shù)據(jù)用的JDBC?Driver；

ADOLEDB，該接口是供應(yīng)用系統(tǒng)訪問(wèn)加密數(shù)據(jù)用的OLE?DB?Provider。

5.如權(quán)利要求3所述的數(shù)據(jù)庫(kù)安全保密系統(tǒng)，其特征在于表加密管理工具定義需要加密的列屬性的過(guò)程如下：

5.1)通過(guò)表加密管理工具將列加密定義寫到列加密數(shù)據(jù)字典；

5.2)創(chuàng)建一個(gè)存儲(chǔ)加密數(shù)據(jù)的基表，保證表名未被使用，且不同于待加密表名；

5.3)創(chuàng)建名為待加密表名的視圖，從存儲(chǔ)加密數(shù)據(jù)的基表取數(shù)據(jù)，若在選擇出的列中，涉及常規(guī)加密數(shù)據(jù)的，則在SELECT子句中調(diào)用解密函數(shù)解密；

5.4)在視圖上創(chuàng)建INSERT觸發(fā)器，接收插入的明文數(shù)據(jù)，調(diào)用加密函數(shù)，將涉及的常規(guī)加密數(shù)據(jù)加密后，寫入存儲(chǔ)加密數(shù)據(jù)的基表；

5.5)在視圖上創(chuàng)建UPDATE觸發(fā)器，接收更新的明文數(shù)據(jù)，調(diào)用加密函數(shù)，將涉及的常規(guī)加密數(shù)據(jù)加密后，寫入存儲(chǔ)加密數(shù)據(jù)的基表以覆蓋原數(shù)據(jù)。

6.如權(quán)利要求5所述的數(shù)據(jù)庫(kù)安全保密系統(tǒng)，其特征在于安全數(shù)據(jù)庫(kù)訪問(wèn)接口對(duì)數(shù)據(jù)加脫密的步驟為：

6.1)通過(guò)安全數(shù)據(jù)庫(kù)訪問(wèn)接口對(duì)SQL進(jìn)行詞法和語(yǔ)法分析；

6.2)比較列加密數(shù)據(jù)字典，判斷SQL是否涉及加密大數(shù)據(jù)對(duì)象的更新或查詢，若是對(duì)大數(shù)據(jù)對(duì)象進(jìn)行更新，轉(zhuǎn)至步驟6.3)，若是對(duì)大數(shù)據(jù)對(duì)象進(jìn)行查詢，轉(zhuǎn)至步驟6.4)，其它情況直接交數(shù)據(jù)庫(kù)管理系統(tǒng)執(zhí)行；

6.3)安全數(shù)據(jù)庫(kù)訪問(wèn)接口通過(guò)數(shù)據(jù)庫(kù)加密系統(tǒng)，將SQL參數(shù)中大數(shù)據(jù)對(duì)象對(duì)應(yīng)的值加密為一新的大數(shù)據(jù)對(duì)象，并提交密文數(shù)據(jù)庫(kù)保存；

6.4)安全數(shù)據(jù)庫(kù)訪問(wèn)接口通過(guò)數(shù)據(jù)庫(kù)加密系統(tǒng)，將SQL結(jié)果集中大數(shù)據(jù)對(duì)象的值脫密為一新的大數(shù)據(jù)對(duì)象，并返回給應(yīng)用系統(tǒng)。

7.如權(quán)利要求1～6中任一項(xiàng)所述的數(shù)據(jù)庫(kù)安全保密系統(tǒng)，其特征在于應(yīng)用系統(tǒng)通過(guò)安全數(shù)據(jù)庫(kù)訪問(wèn)接口連接到加密數(shù)據(jù)庫(kù)的步驟為：首先安全數(shù)據(jù)庫(kù)訪問(wèn)接口從應(yīng)用系統(tǒng)獲取或直接讀取身份認(rèn)證信息，并連接到數(shù)據(jù)庫(kù)加密服務(wù)系統(tǒng)，請(qǐng)求系統(tǒng)對(duì)用戶進(jìn)行身份認(rèn)證；如果身份認(rèn)證失敗，則給應(yīng)用系統(tǒng)返回錯(cuò)誤代碼或拋出異常，停止連接過(guò)程；如果成功，則返回訪問(wèn)安全數(shù)據(jù)庫(kù)的令牌；接下來(lái)安全數(shù)據(jù)庫(kù)訪問(wèn)接口連接到數(shù)據(jù)庫(kù)管理系統(tǒng)，并把該令牌作為參數(shù)調(diào)用數(shù)據(jù)庫(kù)加密擴(kuò)展組件的相關(guān)函數(shù)，使該組件連接到數(shù)據(jù)庫(kù)加密服務(wù)系統(tǒng)。

8.如權(quán)利要求2、3、5、6中任一項(xiàng)所述的數(shù)據(jù)庫(kù)安全保密系統(tǒng)，其特征在于交互命令處理器執(zhí)行用戶輸入的SQL語(yǔ)句，并顯示執(zhí)行結(jié)果，其處理流程包括：用戶輸入完成SQL語(yǔ)句后，交互命令處理器對(duì)輸入的SQL進(jìn)行詞法和語(yǔ)法分析，并判斷是否是SELECT語(yǔ)句，如果是就從數(shù)據(jù)庫(kù)取數(shù)據(jù)并以表格方式顯示；如果不是就交數(shù)據(jù)庫(kù)執(zhí)行并顯示執(zhí)行的結(jié)果狀態(tài)。