本發明提供一種基于ODBC驅動代理的結構化數據細粒度加解密的方法和系統，系統包括數據攔截組件、遠程數據加密設備和數據加密管理組件；當應用對數據庫操作時，操作被攔截并發送至遠程數據加密設備進行操作分析和權限判斷，然后根據情況使用加解密策略中的加密方法將敏感數據加密并替換后，將結果發回至數據攔截組件，數據攔截組件將加密結果發送至數據庫引擎，獲得結果集并發送至遠程加密設備處理，遠程加密設備對結果集進行分析，并按實體權限解密或脫敏替換后，將結果發回至數據攔截組件，數據庫攔截組件將遠程加密設備發回的數據返回應用。本發明基于ODBC驅動代理技術，從數據的存儲態、傳輸態和使用態三個層次防護敏感數據，保證企業的數據安全。

技術領域

本發明涉及數據加密領域，尤其涉及一種基于ODBC驅動代理的結構化數據細粒度加解密的方法和系統。

背景技術

企業信息系統中有著大量高價值數據，這些數據一般存儲在數據庫中，是企業的核心資產，同時也是攻擊者的目標。數據一旦泄露，會給企業帶來不可估量的損失。為了維護企業利益，必須重視保護企業的數據安全，而數據庫是安全防護的重點。對企業數據庫中關鍵、敏感的數據進行加密，是安全防護中最為經濟有效的手段。當前業界使用的數據庫加密方案主要有如下幾種:一是應用層改造：應用系統進行數據增刪改時,通過加解密API對敏感數據進行加密，將加密數據通過原有數據庫驅動接口存儲到數據庫中；進行數據檢索時，將密文數據取回到應用側，再通過加解密API進行解密。該方案的缺點是應用程序必須進行大規模改造，增加調用加解密API的邏輯，對數據進行加解密，從而增加了編程復雜度，而且無法對現有應用系統做到透明，改造難度巨大。二是前置代理及加密網關：在數據庫之前增加安全代理服務，應用側對數據庫的訪問都必須經過該安全代理服務，在此服務中實現數據加解密、存取控制，然后安全代理服務通過數據庫的訪問接口實現數據存儲。該方案的缺點是需要適配數據庫內部通訊協議，不同數據庫產品，或同一數據庫產品的不同版本之間，協議接口都有不同，有些協議內容還是非公開的，導致適配的工作量很大。另外該方案還容易形成單點故障和性能瓶頸，以及難于實現訪問控制。三是后置代理：數據庫引擎收到應用系統的操作請求后，通過使用視圖,觸發器,擴展索引及自定義函數的方式實現數據加解密，加密后數據檢索。該方案的缺點是大數據量的場景下，觸發器性能會顯著降低，另外視圖的使用需要應用側的些許改造，無法做到對應用完全透明，以及難于實現訪問控制。四是數據庫透明加密：使用數據庫產品自身具有的透明加解密功能，實現數據列的數據加解密。該方案的缺點是不能使用中國商用密碼算法，另外數據保護范圍過窄，只能預防“拔盤”等風險。五是文件級加密：該方案通過在數據庫服務器的操作系統中植入攔截進程，在數據存儲文件被打開的時候進行解密處理，在寫數據文件時執行加密處理，并根據操作系統用戶或者訪問文件的進程進行訪問控制。該方案的缺點同數據庫透明加密一樣，數據保護范圍過窄，只能預防“拔盤”等風險。六是通用型驅動代理加密：該方案在應用系統與通用型數據庫驅動之間增加代理服務,通過攔截經由通用型數據庫驅動接口的讀寫訪問,實現數據列的數據加解密。該方案的缺點是基于通用型數據庫驅動加載，很難適配其他專用型數據庫驅動或各種原生數據庫驅動。

發明內容

針對現有技術的不足，本發明提供一種基于ODBC驅動代理的結構化數據細粒度加解密的方法和系統，基于ODBC驅動代理技術，于應用層攔截應用系統對數據庫驅動訪問的操作，經由遠程數據加密設備實現結構化數據的細粒度加密的方法、系統及裝置，通過識別敏感數據并加密、基于應用中的實體信息建立細粒度的訪問控制，從數據的存儲態、傳輸態和使用態三個層次防護敏感數據，保證企業的數據安全。

具體地，本發明的一個方式的基于ODBC驅動代理的結構化數據細粒度加解密的方法，包括如下步驟：

一種基于ODBC驅動代理的結構化數據細粒度加解密的方法，其特征在于，其包括如下步驟：

S1、將數據攔截組件以插件的形式安裝在每個需要訪問數據庫的應用中；

S2、重新啟動應用程序，使得應用程序能夠加載所述數據攔截組件；