[发明专利]一种数据库加密方法和装置

权利要求书

1.一种数据库加密方法，其特征在于，通过库内密钥、数据库主密钥和服务器主密钥对数据库进行逐级加密管理，包括：

对于数据库内的不同数据，分别采用不同的库内密钥对应进行加密；

对于所述不同的库内密钥，分别采用不同的数据库主密钥对应进行加密；

对于所述不同的数据库主密钥，分别采用不同的服务器主密钥对应进行加密；

其中，服务器主密钥、数据库主密钥以及库内密钥之间存在一一对应的映射关系，三层密钥均保存在数据库的数据字典中，且服务器主密钥由第一负责人管理，数据库主密钥由第二负责人管理，库内密钥由数据库管理员管理；

当数据库管理员进行数据访问时，向所述第一负责人和第二负责人请求获取相应的密钥权限，请求通过后获取相应的数据，完成数据访问；

当用户进行数据访问时，数据库根据数据字典中的与要访问的数据相对应的各层密钥进行自主解密，使用户完成数据访问。

2.根据权利要求1所述的数据库加密方法，其特征在于，当所述数据库管理员访问任一经服务器主密钥、数据库主密钥和库内密钥三层加密后的数据i时，访问过程具体为：

所述数据库管理员向所述第二负责人发送访问所述数据i的请求；

所述第二负责人接收并同意所述数据库管理员的请求后，继续向所述第一负责人转发访问所述数据i的请求；

所述第一负责人接收并同意所述第二负责人的请求后，将解密后的数据i发送给所述数据库管理员。

3.根据权利要求2所述的数据库加密方法，其特征在于，所述数据库管理员向所述第二负责人发送的请求中携带有所述数据库管理员的身份信息，则所述第二负责人接收到所述数据库管理员的请求后，所述方法还包括：

所述第二负责人从服务器获取所述数据i对应的索引信息，并根据所述索引信息以及所述数据库管理员的身份信息，初步判断所述数据i是否在所述数据库管理员的访问权限内，进而决定是否同意所述数据库管理员的请求；

如果所述第二负责人初步判断所述数据i在所述数据库管理员的访问权限内，则同意所述数据库管理员的请求，并继续向所述第一负责人转发访问所述数据i的请求；如果所述第二负责人初步判断所述数据i不在所述数据库管理员的访问权限内，则直接驳回所述数据库管理员的请求。

4.根据权利要求3所述的数据库加密方法，其特征在于，所述索引信息包括数据摘要、数据目录、数据类别和数据重要等级中的一项或多项。

5.根据权利要求3所述的数据库加密方法，其特征在于，所述第二负责人向所述第一负责人发送的请求中携带有所述数据库管理员的身份信息，则在所述第一负责人接收到所述第二负责人的请求后，所述方法还包括：

所述第一负责人从数据库获取解密后的数据i，并根据所述解密后的数据i以及所述数据库管理员的身份信息，进一步判断所述数据i是否在所述数据库管理员的访问权限内，进而决定是否同意所述第二负责人的请求；

如果所述数据i在所述数据库管理员的访问权限内，则同意所述第二负责人的请求，并将解密后的数据i发送给所述数据库管理员；如果所述数据i不在所述数据库管理员的访问权限内，则驳回所述第二负责人的请求。

6.根据权利要求5所述的数据库加密方法，其特征在于，所述第一负责人从数据库获取解密后的数据i具体为：

所述第一负责人向服务器发送获取解密后的数据i的请求，所述服务器根据所述第一负责人的请求，调取与所述数据i对应的库内密钥、数据库主密钥和服务器主密钥，利用调取出的三层密钥完成数据i的解密，并将解密后的数据i呈现给所述第一负责人。

7.根据权利要求6所述的数据库加密方法，其特征在于，所述利用调取出的三层密钥完成数据i的解密具体为：利用调取出的服务器主密钥对调取出的数据库主密钥进行解密，利用解密后的数据库主密钥对调取出的库内密钥进行解密，利用解密后的库内密钥对数据库内的数据i进行解密。