一种基于MySQL数据库加密方法[发明专利]

(12)发明专利申请

(10)申请公布号 CN 108537060 A(43)申请公布日 2018.09.14

(21)申请号 201810327771.X(22)申请日 2018.04.12

(71)申请人 北京聚通达科技股份有限公司

地址 100088 北京市海淀区北三环中路31

号4号楼4层405号(72)发明人 侯战斌　

(74)专利代理机构 北京七夏专利代理事务所

(普通合伙) 11632

代理人 王晓丰(51)Int.Cl.

G06F 21/62(2013.01)G06F 17/30(2006.01)

权利要求书1页 说明书4页 附图1页

CN 108537060 A()发明名称

一种基于MySQL数据库加密方法(57)摘要

本发明提出了一种基于MySQL数据库加密方法，涉及数据库加密技术技术领域，包括表空间数据加密、权限控制、安全服务、透明访问和离线恢复；其中，表空间数据加密，针对共享表空间可做表空间级加密，对表空间内的所有数据全部进行加密，增强数据安全性，针对共享表空间可做表级加密；权限控制，在不影响数据库本身权限的同时，安华金和数据库加密系统增强了权限控制，分别从数据库用户，客户端IP，应用系统等不同层面对权限增强；本发明的数据库加密方法使数据被加密的位置离用户越近，安全性越高，同时实现的难度也越大，数据加密的位置离用户是逐步靠近的，防护能力也是逐步提升的；较DBSecurity更加紧贴用户，基本做到无缝无感知，数据加密更严格。

CN 108537060 A

权　利　要　求　书

1/1页

1.一种基于MySQL数据库加密方法，其特征在于：包括表空间数据加密、权限控制、安全服务、透明访问和离线恢复；其中，

表空间数据加密，针对共享表空间可做表空间级加密，对表空间内的所有数据全部进行加密，增强数据安全性，针对共享表空间可做表级加密，增强安全的同时又兼具灵活性；

权限控制，在不影响数据库本身权限的同时，安华金和数据库加密系统增强了权限控制，分别从数据库用户，客户端IP，应用系统等不同层面对权限增强，全面防止越权访问，防止数据泄露；

安全服务，安全服务组件实现对密钥的管理，包含加密密钥生成，分配，备份，恢复，密钥不出设备，让用户自己掌握密钥，即使数据被盗也无法查看明文；

透明访问，在实现数据安全加密的同时，另一个非常重要的特性就是应用透明，使用者和应用系统不需要关心系统进行了哪些保护；

离线恢复，除正常的通过web控制台进行数据解密外，另提供离线数据恢复工具，防止在极端情况下数据不可恢复的情况发生，最大程度保证数据恢复到可用状态。

2.根据权利要求1所述的一种基于MySQL数据库加密方法，其特征在于：所述透明性主要体现在以下方面：

SQL语句透明：对语句进行操作，应用程序不用作修改即可拥有安全特性；存储程序透明：对于应用透明支持的含义还包括对存储过程和函数透明的支持；开发接口透明：提供对应用开发接口的全面透明支持；管理工具透明：mysql提供的图形管理工具，及常用的第三方管理工具仍然可以正常使用。

3.根据权利要求2所述的一种基于MySQL数据库加密方法，其特征在于：所述SQL语句包括SELECT、UPDATE、INSERT和DELETE中的一种或几种。

4.根据权利要求3所述的一种基于MySQL数据库加密方法，其特征在于：所述开发接口包括JDBC、ODBC的一种或两种。

5.根据权利要求4所述的一种基于MySQL数据库加密方法，其特征在于：所述第三方管理工具包括TOAD、navicat一种或两种。

2

CN 108537060 A

说　明　书

一种基于MySQL数据库加密方法

1/4页

技术领域

[0001]本发明涉及数据库加密技术技术领域，具体的讲涉及一种基于MySQL数据库加密方法。

背景技术

[0002]聚通达DBSecurity是一款基于透明加密技术的数据防泄漏产品，该产品能够实现对数据库中的敏感数据加密存储、访问控制增强、应用访问安全、密文访问审计以及三权分立等功能。

[0003]DBSecurity突破传统列加密技术，再添数据表(表空间)透明加解密能力，并且可以兼容国际加密算法，具有极强的场景适应能力和合规性。

[0004]通过数据加密能够有效防止明文存储引起的数据内部泄密、高权限用户的数据窃取，从根源上防止敏感数据泄漏。DBSecurity通过三层透明视图、密文索引技术和独创的应用绑定技术，突破传统数据库安全加固产品的技术瓶颈，真正实现应用完全透明、密文高效访问、数据高度安全。然而DBSecurity紧贴用户方面较差，不能做到无缝无感知。发明内容

[0005]因此本发明提出一种基于MySQL数据库加密方法，实现数据库数据安全的信息交换，并更加紧贴用户，基本做到无缝无感知，数据加密更严格。[0006]本发明的技术方案是这样实现的：一种基于MySQL数据库加密方法，包括表空间数据加密、权限控制、安全服务、透明访问和离线恢复；其中，

[0007]表空间数据加密针对共享表空间可做表空间级加密，对表空间内的所有数据全部进行加密，增强数据安全性，针对共享表空间可做表级加密，增强安全的同时又兼具灵活性；

[0008]权限控制，在不影响数据库本身权限的同时，安华金和数据库加密系统增强了权限控制，分别从数据库用户，客户端IP，应用系统等不同层面对权限增强，全面防止越权访问，防止数据泄露；[0009]安全服务，安全服务组件实现对密钥的管理，包含加密密钥生成，分配，备份，恢复，密钥不出设备，让用户自己掌握密钥，即使数据被盗也无法查看明文；[0010]透明访问，在实现数据安全加密的同时，另一个非常重要的特性就是应用透明，使用者和应用系统不需要关心系统进行了哪些保护；[0011]离线恢复，除正常的通过web控制台进行数据解密外，另提供离线数据恢复工具，防止在极端情况下数据不可恢复的情况发生，最大程度保证数据恢复到可用状态。[0012]进一步地，透明性主要体现在以下方面：[0013]SQL语句透明：对语句进行操作，应用程序不用作修改即可拥有安全特性；[0014]存储程序透明：对于应用透明支持的含义还包括对存储过程和函数透明的支持；[0015]开发接口透明：提供对应用开发接口的全面透明支持；

3

CN 108537060 A[0016]

说　明　书

2/4页

管理工具透明：mysql提供的图形管理工具，及常用的第三方管理工具仍然可以正

常使用。

[0017]更进一步地，SQL语句包括SELECT、UPDATE、INSERT和DELETE中的一种或几种。[0018]更进一步地，开发接口包括JDBC、ODBC的一种或两种。[0019]更进一步地，开三方管理工具包括TOAD、navicat一种或两种。[0020]通过上述公开内容，本发明的有益效果为：本发明的数据库加密方法使数据被加密的位置离用户越近，安全性越高，同时实现的难度也越大，数据加密的位置离用户是逐步靠近的，防护能力也是逐步提升的；较DBSecurity更加紧贴用户，基本做到无缝无感知，数据加密更严格。

附图说明

[0021]图1为本发明的工作流程示意图。

具体实施方式

[0022]下面将结合本发明实施例中的附图对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。[0023]实施例一

[0024]本发明提出一种基于MySQL数据库加密方法，包括表空间数据加密、权限控制、安全服务、透明访问和离线恢复；其中，[0025]表空间数据加密，针对共享表空间可做表空间级加密，对表空间内的所有数据全部进行加密，增强数据安全性，针对共享表空间可做表级加密，增强安全的同时又兼具灵活性；

[0026]权限控制，在不影响数据库本身权限的同时，安华金和数据库加密系统增强了权限控制，分别从数据库用户，客户端IP，应用系统等不同层面对权限增强，全面防止越权访问，防止数据泄露；[0027]安全服务，安全服务组件实现对密钥的管理，包含加密密钥生成，分配，备份，恢复，密钥不出设备，让用户自己掌握密钥，即使数据被盗也无法查看明文；[0028]透明访问，在实现数据安全加密的同时，另一个非常重要的特性就是应用透明，使用者和应用系统不需要关心系统进行了哪些保护；[0029]离线恢复，除正常的通过web控制台进行数据解密外，另提供离线数据恢复工具，防止在极端情况下数据不可恢复的情况发生，最大程度保证数据恢复到可用状态。[0030]透明性主要体现在以下方面：[0031]SQL语句透明：对SELECT语句进行操作，应用程序不用作修改即可拥有安全特性；[0032]存储程序透明：对于应用透明支持的含义还包括对存储过程和函数透明的支持；[0033]开发接口透明：提供对应用开发接口JDBC的全面透明支持；[0034]管理工具透明：mysql提供的图形管理工具workbench，及常用的第三方管理工具TOAD 仍然可以正常使用。

4

CN 108537060 A[0035]

说　明　书

3/4页

实施例二

[0036]本发明提出一种基于MySQL数据库加密方法，包括表空间数据加密、权限控制、安全服务、透明访问和离线恢复；其中，

[0037]表空间数据加密针对共享表空间可做表空间级加密，对表空间内的所有数据全部进行加密，增强数据安全性，针对共享表空间可做表级加密，增强安全的同时又兼具灵活性；

[0038]权限控制，在不影响数据库本身权限的同时，安华金和数据库加密系统增强了权限控制，分别从数据库用户，客户端IP，应用系统等不同层面对权限增强，全面防止越权访问，防止数据泄露；[0039]安全服务，安全服务组件实现对密钥的管理，包含加密密钥生成，分配，备份，恢复，密钥不出设备，让用户自己掌握密钥，即使数据被盗也无法查看明文；[0040]透明访问，在实现数据安全加密的同时，另一个非常重要的特性就是应用透明，使用者和应用系统不需要关心系统进行了哪些保护；[0041]离线恢复，除正常的通过web控制台进行数据解密外，另提供离线数据恢复工具，防止在极端情况下数据不可恢复的情况发生，最大程度保证数据恢复到可用状态。[0042]透明性主要体现在以下方面：[0043]SQL语句透明：对INSERT语句进行操作，应用程序不用作修改即可拥有安全特性；[0044]存储程序透明：对于应用透明支持的含义还包括对存储过程和函数透明的支持；[0045]开发接口透明：提供对应用开发接口ODBC的全面透明支持；[0046]管理工具透明：mysql提供的图形管理工具workbench，及常用的第三方管理工具navicat 仍然可以正常使用。[0047]实施例三

[0048]本发明提出一种基于MySQL数据库加密方法，包括表空间数据加密、权限控制、安全服务、透明访问和离线恢复；其中，

[0049]表空间数据加密针对共享表空间可做表空间级加密，对表空间内的所有数据全部进行加密，增强数据安全性，针对共享表空间可做表级加密，增强安全的同时又兼具灵活性；

[0050]权限控制，在不影响数据库本身权限的同时，安华金和数据库加密系统增强了权限控制，分别从数据库用户，客户端IP，应用系统等不同层面对权限增强，全面防止越权访问，防止数据泄露；[0051]安全服务，安全服务组件实现对密钥的管理，包含加密密钥生成，分配，备份，恢复，密钥不出设备，让用户自己掌握密钥，即使数据被盗也无法查看明文；[0052]透明访问，在实现数据安全加密的同时，另一个非常重要的特性就是应用透明，使用者和应用系统不需要关心系统进行了哪些保护；[0053]离线恢复，除正常的通过web控制台进行数据解密外，另提供离线数据恢复工具，防止在极端情况下数据不可恢复的情况发生，最大程度保证数据恢复到可用状态。[00]透明性主要体现在以下方面：[0055]SQL语句透明：对DELETE语句进行操作，应用程序不用作修改即可拥有安全特性；[0056]存储程序透明：对于应用透明支持的含义还包括对存储过程和函数透明的支持；

5

CN 108537060 A[0057]

说　明　书

4/4页

开发接口透明：提供对应用开发接口JDBC的全面透明支持；

[0058]管理工具透明：mysql提供的图形管理工具workbench，及常用的第三方管理工具navicat 仍然可以正常使用。[0059]参照图1

[0060]本发明的工作原理：针对共享表空间可做表空间级加密，对表空间内的所有数据全部进行加密，增强数据安全性，针对共享表空间可做表级加密，增强安全的同时又兼具灵活性；在不影响数据库本身权限的同时，安华金和数据库加密系统增强了权限控制，分别从数据库用户，客户端IP，应用系统等不同层面对权限增强，全面防止越权访问，防止数据泄露；安全服务组件实现对密钥的管理，包含加密密钥生成，分配，备份，恢复，密钥不出设备，让用户自己掌握密钥，即使数据被盗也无法查看明文；在实现数据安全加密的同时，另一个非常重要的特性就是应用透明，使用者和应用系统不需要关心系统进行了哪些保护；除正常的通过web控制台进行数据解密外，另提供离线数据恢复工具，防止在极端情况下数据不可恢复的情况发生，最大程度保证数据恢复到可用状态。[0061]最后说明的是，以上实施例仅用以说明本发明的技术方案而非，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的宗旨和范围，其均应涵盖在本发明的权利要求范围当中。

6

CN 108537060 A

说　明　书　附　图

1/1页

图1

7