[发明专利]一种通用数据库透明加密系统

说明书

本发明涉及一种通用数据库透明加密系统，属于信息安全以及数据库加密技术领域。本发明首先对已有的数据表进行加密改造：记加密字段P1所在表为T1，首先，基于加密字段P1建立密文索引字段I1；然后，基于保序哈希函数将待加密字段内容映射到哈希值，并将其作为索引值插入I1字段。系统包括SQL网关模块和加密插件模块，SQL网关模块用于接收并重写客户端发起的SQL语句，然后发送到数据库服务器，并将数据库服务器返回的结果转发到客户端；加密插件模块位于数据库内，主要包括一系列用户自定义函数UDF，根据重写后的SQL语句，实现加密、解密、以及密文索引功能。对比现有技术，本发明实现了真正通用的数据库加密系统。

技术领域

本发明涉及一种网关式数据库透明加密系统，属于信息安全以及数据库加密技术领域。

背景技术

目前，数据泄露事件频频发生，各行各领域都不能幸免。明文数据在数据库中的存储是不安全的，攻击者能通过社会工程和技术入侵等手段来进行数据窃取。数据库的安全日益重要，对数据库中的敏感字段进行加密是有效的安全手段。

对数据库敏感字段加密可以通过触发器和视图结合的方式来实现，这是一种库内加密的方式。它的核心思想在于利用数据库自己提供的视图和触发器来进行原表数据的隐藏和实现对数据增删改查等操作中的加密和解密，并且利用数据库提供的自定义索引机制来实现加密后对数据的快速检索。但是这种方式受制于数据库自身的自定义索引的机制，仅适用于ORACLE等少数数据库，并不是通用的方案。

CRYPTDB是一种网关式数据库加密系统原型，通过改写SQL语句实现了透明加密。它将数据嵌套进多个加密层，每层都使用不同的加密方法以支持不同的查询操作。虽然其理论上可以支持所有的数据库，但是由于其加密解密发生在网关上，使得其不能支持全部的SQL语句，尤其是字段上的运算和函数，所以也不是通用的方案。

上述已有的数据库加密技术虽然能在某些数据库上或者对某些SQL请求实现敏感数据的加密，以起到保护用户数据的效果。然而，在具有多类数据库和多种SQL语句的系统下，并不能满足需求。本发明的目的是致力于解决上述不能支持通用数据库和通用SQL的技术缺陷，提出一种通用的数据库透明加密系统。

发明内容

本发明的目的是针对现有数据库加密技术存在的不支持通用数据库类型和通用SQL语句类型的问题，提出一种通用的数据库透明加密系统，该系统能够在不同的数据库上实现，并且能够兼容所有的SQL语句类型。

本发明的目的是通过以下技术方案实现的：

一种通用数据库透明加密系统，基于现有数据库管理系统，首先对已有的数据表进行如下加密改造：记加密字段P1所在表为T1,首先，基于加密字段P1建立密文索引字段I1，然后，基于保序哈希函数将待加密字段内容映射到哈希值H1，并将H1存入T1中的I1字段，此时，映射后的哈希值偏序关系体现了待加密字段内容的偏序关系，基于这种关系，可以实现对加密字段的等值查询和范围查询；

包括SQL网关模块和加密插件模块；SQL网关模块与数据库管理系统相连接，数据库管理系统与加密插件模块相连接；

SQL网关模块，位于数据库客户端和数据库服务器之间，是客户端访问数据库服务器的代理；用于接收客户端发起的SQL语句，并对客户端发起的SQL请求进行重写，然后发送到数据库服务器；并将数据库服务器返回的结果转发到客户端；所述对客户端发起的SQL请求进行重写就是将客户端发起的SQL语句改写成所述加密插件模块可识别并处理的SQL语句；

加密插件模块，位于数据库内，主要包含一系列用户自定义函数UDF，根据重写后的SQL语句，实现加密、解密，以及密文索引功能。

作为优选，所述SQL网关模块对接收的SQL请求进行重写，加密插件实现加密解密函数以及索引函数的调用，具体为：