本發(fā)明提出了一種基于虛擬塊設(shè)備的數(shù)據(jù)庫透明加解密實現(xiàn)方法及系統(tǒng)，涉及數(shù)據(jù)安全技術(shù)領(lǐng)域。一種基于虛擬塊設(shè)備的數(shù)據(jù)庫透明加解密實現(xiàn)方法包括：當(dāng)用戶寫入數(shù)據(jù)時，通過dm?crypt自動對塊設(shè)備下的數(shù)據(jù)進行加密再寫入磁盤；當(dāng)用戶讀取數(shù)據(jù)時，對塊設(shè)備下的數(shù)據(jù)自動解密返回給應(yīng)用程序。其能夠通過使用Device Mapper機制，實現(xiàn)POSTGRESQL數(shù)據(jù)庫的TDE功能，由于加解密是操作在塊設(shè)備級別，對數(shù)據(jù)庫的任何操作都無影響，但是磁盤的數(shù)據(jù)是加密存儲的，從而滿足用戶的透明加密需求。此外本發(fā)明還提出了一種基于虛擬塊設(shè)備的數(shù)據(jù)庫透明加解密實現(xiàn)系統(tǒng)，包括：加密模塊及解密模塊。

技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)安全技術(shù)領(lǐng)域，具體而言，涉及一種基于虛擬塊設(shè)備的數(shù)據(jù)庫透明加解密實現(xiàn)方法及系統(tǒng)。

背景技術(shù)

PostgreSQL是自由的對象-關(guān)系型數(shù)據(jù)庫服務(wù)器，在靈活的BSD風(fēng)格許可證下發(fā)行。它在其他開放源代碼數(shù)據(jù)庫系統(tǒng)和專有系統(tǒng)之外，為用戶又提供了一種選擇。可靠性是PostgreSQL的最高優(yōu)先級。它以堅如磐石的品質(zhì)和良好的工程化而聞名，支持高事務(wù)、任務(wù)關(guān)鍵型應(yīng)用。PostgreSQL的文檔非常精良，提供了大量免費的在線手冊，還針對舊版本提供了歸檔的參考手冊。PostgreSQL的社區(qū)支持是非常棒的，還有來自于獨立廠商的商業(yè)支持。

數(shù)據(jù)一致性與完整性也是PostgreSQL的高優(yōu)先級特性。PostgreSQL是完全支持ACID特性的，它對于數(shù)據(jù)庫訪問提供了強大的安全性保證，充分利用了企業(yè)安全工具，如Kerberos與OpenSSL等。可以定義自己的檢查，根據(jù)自己的業(yè)務(wù)規(guī)則確保數(shù)據(jù)質(zhì)量。

數(shù)據(jù)的安全，保密性在現(xiàn)在的生活中顯得越來越重要。隨著數(shù)字化的時代的來臨，越來越多的數(shù)據(jù)被數(shù)字化，特別是更多有關(guān)于我們隱私的數(shù)據(jù)在不斷生成，甚至還有我們需要離線保存的密鑰等。而且通常我們使用磁盤，USB閃存，SD卡等存儲介質(zhì)進行存儲，即便我們已經(jīng)離線存儲，仍然不能保證該存儲介質(zhì)不會丟失，如果丟失那么對于我們來說有可能是災(zāi)難性的事件。因此對這些離線存儲的重要數(shù)據(jù)，再次進行加密是非常有必要的。

對于PostgreSQL數(shù)據(jù)庫，采用的加密方式可以是插入數(shù)據(jù)之前加密，在讀取之后進行解密，或者是調(diào)用數(shù)據(jù)庫的加密函數(shù)進行數(shù)據(jù)加密，這需要在應(yīng)用和數(shù)據(jù)庫之間添加加解密設(shè)備，對存儲過程和索引都會產(chǎn)生影響，沒有達到完全透明的效果。

現(xiàn)有對PostgreSQL數(shù)據(jù)庫的加密都是在數(shù)據(jù)庫層面進行，直接把表中的明文信息加密為密文，這樣實現(xiàn)的缺點對模糊查詢也支持不好，效率也不高。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種基于虛擬塊設(shè)備的數(shù)據(jù)庫透明加解密實現(xiàn)方法，其能夠通過使用Device Mapper機制，實現(xiàn)POSTGRESQL數(shù)據(jù)庫的TDE功能，由于加解密是操作在塊設(shè)備級別，對數(shù)據(jù)庫的任何操作都無影響，但是磁盤的數(shù)據(jù)是加密存儲的，從而滿足用戶的透明加密需求。

本發(fā)明的另一目的在于提供一種基于虛擬塊設(shè)備的數(shù)據(jù)庫透明加解密實現(xiàn)系統(tǒng)，其能夠運行一種基于虛擬塊設(shè)備的數(shù)據(jù)庫透明加解密實現(xiàn)方法。

本發(fā)明的實施例是這樣實現(xiàn)的：

第一方面，本申請實施例提供一種基于虛擬塊設(shè)備的數(shù)據(jù)庫透明加解密實現(xiàn)方法，其包括當(dāng)用戶寫入數(shù)據(jù)時，通過dm-crypt自動對塊設(shè)備下的數(shù)據(jù)進行加密再寫入磁盤；當(dāng)用戶讀取數(shù)據(jù)時，對塊設(shè)備下的數(shù)據(jù)自動解密返回給應(yīng)用程序。

在本發(fā)明的一些實施例中，上述當(dāng)用戶寫入數(shù)據(jù)時，通過dm-crypt自動對塊設(shè)備下的數(shù)據(jù)進行加密再寫入磁盤包括：dm-crypt通過DM虛擬一個塊設(shè)備，將物理塊設(shè)備映射到虛擬設(shè)備。

在本發(fā)明的一些實施例中，上述數(shù)據(jù)進行加密包括：創(chuàng)建虛擬盤，然后使用luks方式格式化該虛擬盤。

在本發(fā)明的一些實施例中，上述還包括：映射虛擬盤，執(zhí)行映射虛擬盤的命令后，虛擬盤會被映射到預(yù)設(shè)目錄下，通過預(yù)設(shè)指令進行查看。