技術領域

本發明屬于計算機信息安全領域，特別是涉及數據庫安全保密系統。

背景技術

信息安全問題是影響信息化進程的重要因素之一。近年來，業界對信息安全的重要性有了很深的認識，采取了大量積極有效的措施，但都偏重于網絡和操作系統的保護，對數據庫中的信息實施直接保護的并不多。實際上，數據庫是信息存放的倉庫，其安全性是信息安全的核心，也是信息安全的最后一道防線。目前普遍采用的商品化數據庫管理系統在用戶身份驗證、權限控制等方面一般不能滿足安全級別要求比較高的系統需要，因此，這些系統經常在應用中采取一些安全增強的辦法，比如對敏感數據進行加密。

在應用中對敏感的數據庫數據進行加密，可以防止因為網絡、操作系統、數據庫管理系統、存儲介質出現安全問題導致的對數據庫內容機密性和完整性的破壞，對提升數據庫應用系統的安全性具有重要作用。但是在應用中對數據庫內容進行加密會顯著增加應用系統開發和維護的難度，也不適用于無法獲得源代碼的系統，應用范圍受到很大限制。

發明內容

本發明所要解決的技術問題是：提供一種基于存儲加密的數據庫安全保密系統，本系統采用中間件，不用修改應用系統，提高了數據庫的安全性。

本發明所采用的技術方案是：基于存儲加密的數據庫安全保密系統，包括數據庫加密服務系統、數據庫加密擴展組件、安全數據庫訪問接口和管理工具；數據庫加密服務系統運行在裝有密碼裝置的加密服務器上，該服務系統對所述數據庫安全保密系統中所有數據進行加脫密，并集中實施安全控制與管理；數據庫加密擴展組件注冊到密文數據庫上運行的數據庫管理系統中，該組件連接數據庫加密服務系統和數據庫管理系統，調用數據庫加密服務系統上的密碼服務功能實現常規數據的加脫密；安全數據庫訪問接口運行在應用服務器上運行的應用系統進程空間，為應用系統提供安全透明的數據庫訪問支持；管理工具是管理人員進行各項安全配置管理的工具，該工具運行在加密服務器上。

本發明的優點：本發明提供符合數據庫訪問標準的接口，支持常規數據和大數據對象的透明加密。本發明為應用系統屏蔽了安全功能的復雜細節，使得應用系統無需修改就可以實現安全升級。本發明實現了安全功能的封裝和隔離，達到了安全功能的應用無關和透明的效果，減少了安全功能對應用開發和維護的影響。

附圖說明

圖1是本發明的安全數據庫訪問接口的示意圖。

圖2是本發明的功能結構圖。

圖3是本發明的系統總體結構圖。

圖4是安全數據庫訪問接口中連接建立的流程圖。

圖5是安全數據庫訪問接口中SQL(結構化查詢語言)處理流程圖。

圖6是表加密管理工具中定義表加密的流程圖。

圖7是交互命令處理器工作流程圖。

具體實施方式

本發明的設計思想：采用中間件技術，從數據庫訪問接口入手，通過提供安全的數據庫訪問接口，就可以截獲應用系統對數據庫的操作，然后根據操作的語義自動進行數據庫加密。安全數據庫訪問接口遵循數據庫訪問接口的工業標準，這樣，訪問密文的應用系統就像訪問明文一樣訪問數據庫，應用系統不用修改，不會因為數據庫內容的加密帶來應用系統開發、維護難度和工作量的增加，沒有源代碼的應用系統也可以實施數據庫內容加密。本發明還綜合應用增強身份認證、訪問控制、安全審計等安全措施，提升了數據庫應用系統的安全性。普通數據庫應用中，最底層為操作系統，操作系統操控數據庫管理系統向應用系統提供數據庫服務。操作系統可采用Windows、Linux或Unix，數據庫管理系統可采用Oracle、SQLServer、DB2或Sybase。

為做到安全功能對應用系統的封裝和隔離，實現應用系統對加密數據的透明訪問，在應用系統和數據庫管理系統間增加安全數據庫訪問接口(如圖1)，接管應用系統和數據庫管理系統間的操作，然后根據操作的語義進行數據加密、訪問控制、審計等安全處理。因為該接口符合數據庫訪問的工業標準，所以應用系統不需要修改。安全數據庫訪問接口運行在應用系統進程空間，在其內部不可能直接實現各種安全功能，因此需要一套系統來支持這些安全功能的實現。