[发明专利]一种面向密文数据库的中间件动态用户认证方法及系统

说明书

本发明公开了一种面向密文数据库的中间件动态用户认证方法，实现对密文数据库用户的安全管理。本发明主要包括获取数据使用者身份属性，计算其权限、获取数据使用者的认证信息，判断认证信息是否一致、更新认证信息、根据数据使用者权限创建密文数据库临时用户、数据使用者退出时，中间件销毁数据库临时用户五个步骤。通过这五个步骤，可以有效防止非法用户使用重放攻击进入密文数据库以及合法用户的越权操作，从而在用户管理方面保证了密文数据库的安全性。本发明还提出一种面向密文数据库支持动态用户管理的中间件系统。

技术领域

本发明涉及一种面向密文数据库的中间件动态用户认证方法及系统，属于信息安全技术领域。

背景技术

为了保障数据库中数据的机密性，防止非法用户恶意探查、泄露和篡改隐私数据的发生，对敏感数据加密后存入数据库是一种有效的方法。目前常用的数据库加密方法是在DBMS外层对数据进行加密，DBMS外层实现加密的优点是不会加重数据库服务器的负担，但是加密功能可能会受到一定的限制，并且与数据库管理系统的耦合性较差。因此，很多用户使用中间件来实现明文数据的加密操作，中间件系统部署在数据库客户端与服务器端之间，可以在保证数据安全性的同时灵活调整加解密算法，在不修改上层应用的同时实现与数据库服务器的松耦合。

虽然现有的数据库中间件可以在一定程度上保证数据的机密性，但是对数据使用者不能进行很好的管理，一旦有非法用户通过重放攻击获得进入密文数据库的权限，便可以通过使用中间件查看、恶意篡改和删除密文数据库中的数据，而且合法用户也可能进行越权操作。因此不对访问密文数据库的用户进行有效的管理将会影响到数据的机密性、完整性和可用性。

发明内容

目的：为了克服现有技术中存在的不足，本发明提供一种面向密文数据库的中间件动态用户认证方法及系统。

技术方案：为解决上述技术问题，本发明采用的技术方案为：

一种面向密文数据库的中间件动态用户认证方法，包括如下步骤，

步骤一：获取数据使用者身份属性，计算其权限；

中间件获取数据使用者的若干个身份属性，通过权限访问模型计算数据使用者的权重值，并判断用户权限，最后把数据使用者的用户名、身份属性和权限存入用户属性表中，其中用户属性表用于保存数据使用者的身份属性和权限；

步骤二：获取数据使用者认证信息，判断认证信息是否一致；

数据使用者对密文数据库进行第i+1次访问，i≥1，对数据使用者拥有的认证信息进行加密，并将加密的认证信息En_i传递给中间件；

数据使用者通过对密钥进行更新，保存新的密钥k_i+1，其中表示对的哈希函数；

中间件通过De_i＝D(k_i,En_i)对En_i进行解密，将De_i与用户认证表中的认证信息进行比较，如果相同则认证成功并进入步骤三，否则提示数据使用者认证失败；

步骤三：更新认证信息；

中间件更新密钥k_i+1，生成新的认证信息c_i+1，并对用户认证表中的信息进行更新；

使用新密钥k_i+1对c_i+1进行加密，得到新的加密认证信息En_i+1，中间件将新的加密认证信息发送给数据使用者；

数据使用者使用密钥k_i+1对加密的认证信息En_i+1解密，保存新的认证信息c_i+1；

步骤四：根据数据使用者权限创建密文数据库临时用户；