本發明公開了一種基于TCP代理的數據庫動態加解密的實現方法，包括以下步驟：在數據庫客戶端和數據庫服務器之間建立TCP代理；對數據庫客戶端的請求和數據庫服務器的響應內容進行攔截；根據預設的策略匹配規則對數據庫客戶端的請求和數據庫服務器的響應內容進行過濾與匹配，以得到待加解密的存儲信息；對待加解密的存儲信息進行加解密處理，以得到加解密數據；對加解密數據進行解析重組，以得到重組數據，并將重組數據發送給對應的數據庫客戶端或數據庫服務器。本發明還公開了一種基于TCP代理的數據庫動態加解密的實現系統。本發明在客戶端與服務器之間部署TCP代理軟件，減少運算資源損耗，實現對客戶端訪問數據庫動態加解密的功能。

技術領域

本發明涉及加解密技術領域，具體而言，涉及一種基于TCP代理的數據庫動態加解密的實現方法及系統。

背景技術

現有的動態加密系統，同樣是以TCP代理的方式，部署在客戶端與關系型數據庫服務端之間，通過對客戶端訪問數據庫的SQL語句的解析和重構，在存儲類型的SQL語句上增加加密函數，在查詢類型的SQL語句上增加對應的解密函數來實現對數據庫訪問的加解密功能。

現有方案的缺點有：

1.加解密算法需要數據庫的支持；2.加解密的實際過程是在數據庫服務器上完成的，加解密操作會消耗數據庫的運算資源；3.對于不支持SQL查詢的數據庫無法進行加解密；4.加解密模塊是一個單點故障點。

發明內容

為了克服上述問題或者至少部分地解決上述問題，本發明實施例提供一種基于TCP代理的數據庫動態加解密的實現方法及系統，在客戶端與服務器之間部署TCP代理軟件，減少運算資源的損耗，實現對客戶端訪問數據庫動態加解密的功能。

本發明的實施例是這樣實現的：

第一方面，本發明實施例提供一種基于TCP代理的數據庫動態加解密的實現方法，包括以下步驟：

在數據庫客戶端和數據庫服務器之間建立TCP代理；

通過TCP代理對數據庫客戶端的請求和數據庫服務器的響應內容進行攔截；

根據預設的策略匹配規則對數據庫客戶端的請求和數據庫服務器的響應內容進行過濾與匹配，以得到待加解密的存儲信息；

對待加解密的存儲信息進行加解密處理，以得到加解密數據；

獲取并根據對應的數據庫協議對加解密數據進行解析重組，以得到重組數據，并將重組數據發送給對應的數據庫客戶端或數據庫服務器。

通過在客戶端與數據庫之間部署TCP代理軟件，實現對客戶端訪問數據庫動態加解密的功能，通過數據庫客戶端與數據庫服務器之間的TCP連接的代理對數據庫客戶端的請求和數據庫服務器的響應的內容進行攔截，經過規則與策略匹配，對需要加解密的存儲字段/響應內容進行加解密處理，然后重新根據對應的數據庫協議格式組織數據內容，相對應地，把修改重組后的請求內容交給數據庫服務器，把修改重組后的響應內容發送給數據庫客戶端。對于數據庫客戶端而言，不需要做任何代碼上的修改，同時對于數據庫又完全透明，在數據庫服務器上不需要做任何配置和修改，也沒有任何額外的運算負擔；不僅可以使用軟件的方法進行加解密，也可以與現有的硬件加密機對接，實現高速加解密功能；如果與合適的負載均衡設備進行對接，可以輕松地實現加解密的集群，快速提高性能與高可用性。

本方法通過在客戶端與服務器之間部署TCP代理軟件，結合TCP代理軟件，減少運算資源的損耗，實現對客戶端訪問數據庫動態加解密的功能。

基于第一方面，在本發明的一些實施例中，所述根據預設的策略匹配規則對數據庫客戶端的請求和數據庫服務器的響應內容進行過濾與匹配，以得到待加解密的存儲信息的方法包括以下步驟：