[发明专利]一种数据加密、解密方法、装置、计算机设备及存储介质

说明书

本发明涉及数据存储技术领域，公开了一种数据加密、解密方法、装置、计算机设备及存储介质，方法应用于加密插件，加密插件部署在ORM持久化层，方法包括：拦截业务系统通过ORM持久化层发送的目标数据，并判断目标数据是否需要加密；当目标数据需要加密时，获取通信配置参数；根据通信配置参数与硬件加密机建立通信连接；将目标数据发送至硬件加密机，以使硬件加密机对目标数据进行加密，并将加密得到的密文数据发送至数据库。本发明解决了相关技术加密逻辑配置难度大，难以达到加密要求的问题。

技术领域

本发明涉及数据存储领域，具体涉及一种数据加密、解密方法、装置、计算机设备及存储介质。

背景技术

应《信息安全等级保护评估标准》(GB/T 22239-2017)中的要求，数据的加密存储变得越来越重要。目前，对于业务系统的数据加密入库，通常是对业务系统的业务代码进行修改，使其输出和查询数据的接口具有加解密功能，例如业务系统为账号注册系统，将账号注册系统和数据库的连接接口进行加解密改造，使用户注册的账号信息通过接口加密再保存到数据库。但是这种手段对业务系统的代码入侵多，配置复杂，当加密逻辑需要调整时改造周期长。为解决这一问题，如图1所示，一些技术将ORM(Object Relational Mapping，对象关系映射)持久化层(例如MyBatis框架)设置在业务系统中，用于管理业务系统和数据库之间的数据传输，并在MyBatis框架中添加MyBatis插件，使MyBatis插件作为拦截器，在数据通过MyBatis框架到数据库的过程中对其半路拦截，经过MyBatis插件为数据添加加密逻辑，再将加密后的数据发送到数据库中，这种方法实现了加解密逻辑和业务系统解耦，使业务系统的代码不需要改造。但是当数据库对业务系统的加密要求较高时，MyBatis插件的加密逻辑开发任务大、开发任务复杂，MyBatis插件支持的加密逻辑有限，难以达到加密要求。

发明内容

有鉴于此，本发明提供了一种数据加密、解密方法、装置、计算机设备及存储介质，解决了相关技术加密逻辑配置难度大，难以达到加密要求的问题。

第一方面，本发明提供了一种数据加密方法，应用于加密插件，加密插件部署在ORM持久化层，方法包括：拦截业务系统通过ORM持久化层发送的目标数据，并判断目标数据是否需要加密；当目标数据需要加密时，获取通信配置参数；根据通信配置参数与硬件加密机建立通信连接；将目标数据发送至硬件加密机，以使硬件加密机对目标数据进行加密，并将加密得到的密文数据发送至数据库。

本发明实施例提供了一种加密插件和硬件加密机结合的加密方法为入库数据进行加密。在加密插件中设有通信模块，用于根据预先配置的通信配置参数确定对应的硬件加密机并与之建立通信连接，当业务系统需要上传目标数据到数据库时，目标数据首先到ORM持久化层，通过加密插件拦截目标数据，之后插件自身不对目标数据进行加密，而是将目标数据发送到预先建立通信连接的硬件加密机，使用硬件加密机大量且复杂的加密逻辑对数据进行加密，当数据加密完成后，密文数据不再返回加密插件通过加密插件进入数据库，而是通过硬件加密机直接进入数据库。一方面，基于硬件加密机的加密功能实现了较高的加密要求，同时插件开发人员无需开发复杂加密逻辑，降低了开发难度；另一方面，相比单独使用硬件加密机，硬件加密机不再通过jar包和HTTP协议的形式与业务系统进行通信，只需通过TCP协议与加密插件进行数据传输即可，降低配置难度。

在一种可选的实施方式中，获取通信配置参数，包括：接收业务系统发送的通信配置文件，通信配置文件由预设的监控管理系统配置得到；解析通信配置文件，得到通信配置参数，通信配置参数包括硬件加密机的ip地址、连接数调度表和密钥唯一ID，连接数调度表用于调度硬件加密机支持的最大信道数量，密钥唯一ID用于确定硬件加密机中对应的加密逻辑。

在一种可选的实施方式中，根据通信配置参数与硬件加密机建立通信连接，包括：获取业务系统的当前业务吞吐量；根据当前业务吞吐量从连接数调度表中查询当前连接数；按照当前连接数表示的信道数量与硬件加密机建立通信连接。