本發明提供一種基于自主可控數據庫的安全加密方法及系統，本發明主要是在數據管理系統中植入加密保險箱來實現數據庫的內核加密。采用透明的屬性密碼加解密技術，原始數據的敏感關鍵詞采用屏蔽技術，數據部分采用AES算法進行對稱式加解密，AES的密鑰采用RAS加密算法對密鑰進行非對稱式的加解密。這種加密方法功能強，不影響數據庫管理系統(DBMS)正常使用，實現機密技術和數據庫管理系統完美無縫的結合。

技術領域

本發明涉及信息安全領域，尤其涉及一種自主可控數據庫安全加密技術。

背景技術

隨著信息技術的在廣泛的運用，越來越多的信息系統的數據在不斷的被泄密。主要原因之一是通過各種手段對數據庫的攻擊導致數據的泄密。

因此如何以技術手段保障數據庫的安全是一個亟待解決的問題。同時數據庫的加密可以增加攻擊者的破解成本，如果破解不了加密數據，非法獲取的數據庫的數據是無用數據。因此對數據庫的數據進行加密是非常有必要的。

發明內容

本發明要解決的技術問題是，針對現有數據泄密，提供一種在數據庫服務器上面的數據庫的安全加密技術，解決數據庫的數據的泄密問題。本發明采用的AES 256位加密技術對數據庫服務器端的數據庫管理系統(DBMS)的內核進行的數據透明加密，并使用RSA非對稱的加密算法對AES的加解密的密鑰進行加解密。

本法發明通過在數據管理系統中植入加密的模塊(加密保險箱)來實現數據庫的內核加密。該加密保險箱的基本功能如下：

功能1：身份認證和訪問控制功能，用戶只有通過身份認證才能訪問加密保險箱，對數據進行加密，非法用戶是不能訪問加密保險箱對數據進行訪問；

功能2：創建加密表空間功能，對通過身份認證的用戶可以創建信任的安全路徑和文件夾，建立加密表空間，創建的時候強制選擇加密選項，系統默認了AES256的加密算法進行加密，把即將加密的文件放在統一的路徑，對創建的空間采用訪問控制，沒有通過身份認證的用戶，即使是操作系統的最高權限的管理員和數據庫的最高管理員都無法訪問該加密空間的數據，他們不能使用編輯器和SQL語句進行查看數據，必選是通過認證的合法用戶；

功能3：存儲和加密AES的加密密鑰，加密保險里面存儲了通過AES算法對數據進行加解密的密鑰，可以根據用戶的密碼屬性，并使用RAS算法對AES加解密的密鑰進行加解密；

功能4：動態數據屏蔽，可以根據用戶的密碼屬性，根據在數據庫的表的列對數據庫的敏感的列的級別數據進行轉換屏蔽，這個只是做簡單的置換，防止數據被合法用戶訪問時泄密。

進一步地，該加密保險箱具有支持文件加密功能，用戶可以自主選擇需要加密的文件，對文件進行加密；

進一步地，該加密保險箱支持屬性密碼，可以根據用戶的需要設置密碼的屬性，符合屬性的用戶可以訪問數據庫的相關的表，不符合屬性的用戶不能訪問相關的數據庫的相關表，從而實現數據庫的表級別的安全。

作為本發明的進一步改進，功能1的身份認證支持兩類認證方式：

a.支持動態口令牌的雙因子認證子模塊，

b.支持用戶自主設置賬戶密碼但設置強口令的安全策略的子模塊；

作為本發明的進一步改進，功能1中的身份認證的加密算法是RSA算法。

附圖說明

附圖為加密保險箱的整體示意圖。

具體實施方式

以下結合附圖及實施例，對本發明進行進一步詳細說明。應當理解為，此處所描述的實例僅用以解釋本發明，并不用于限定本發明。