买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：北京炼石网络技术有限公司

摘要：本发明提供一种基于ODBC驱动代理的结构化数据细粒度加解密的方法和系统，系统包括数据拦截组件、远程数据加密设备和数据加密管理组件；当应用对数据库操作时，操作被拦截并发送至远程数据加密设备进行操作分析和权限判断，然后根据情况使用加解密策略中的加密方法将敏感数据加密并替换后，将结果发回至数据拦截组件，数据拦截组件将加密结果发送至数据库引擎，获得结果集并发送至远程加密设备处理，远程加密设备对结果集进行分析，并按实体权限解密或脱敏替换后，将结果发回至数据拦截组件，数据库拦截组件将远程加密设备发回的数据返回应用。本发明基于ODBC驱动代理技术，从数据的存储态、传输态和使用态三个层次防护敏感数据，保证企业的数据安全。

主权项：1.一种基于ODBC驱动代理的结构化数据细粒度加解密的方法，其特征在于，其包括如下步骤：S1、将数据拦截组件以插件的形式安装在每个需要访问数据库的应用中；S2、重新启动应用程序，使得应用程序能够加载所述数据拦截组件；S3、提取数据库中敏感数据的元信息，并将元信息提交到数据加密管理组件存储；所述敏感数据的元信息包括敏感数据所在的数据库的库信息、表信息、列信息及行信息；S4、在所述数据加密管理组件中配置数据库中敏感数据的加解密策略，所述敏感数据的加解密策略包括字段元信息、主密钥ID、密钥的派生因子、加密算法、加密初始化向量、脱敏算法、被加密数据的定位信息及具备使用原始敏感数据权限的实体信息；S5、所述加解密策略通过所述数据加密管理组件推送或定时轮询的方式，下发到所述数据拦截组件及远程数据加密设备上；S6、将数据库中的存量数据使用加解密策略里的加密方法执行批量加密，一次性将原有的明文数据加密为密文；S7、当应用对数据库执行操作时，所述数据拦截组件于应用层拦截应用系统对数据库驱动访问的操作，并将数据库操作及实体信息作为指令发送至所述远程数据加密设备；S8、所述远程数据加密设备在接收指令后，首先对数据库的操作请求进行语义分析，判断数据库操作对象是否为数据库中的敏感数据，具体步骤如下：S81、所述远程数据加密设备首先取得策略中的主密钥ID、密钥派生因子通过网络向所述数据加密管理设备请求派生并获取加密密钥；S82、获取加密密钥后，所述远程数据加密设备调用加密算法接口，向算法接口传入包括加密密钥、加密初始化向量和待加密敏感数据参数后进行加密，并取得加密后的敏感数据；S83、对操作请求进行语义分析；所述远程数据加密设备对数据库操作中的逻辑进行拆分，从中区分出操作动作，包括插入、更新、删除、查询；以及操作的数据库元信息，包括数据库名称、表名称、字段名称和操作的数据的值；S84、对分析结果与敏感数据加解密策略进行匹配；所述远程数据加密设备对数据库操作进行分析之后，通过对比数据库操作中所操作数据的元信息和加解密策略中的敏感数据元信息是否匹配，判断是否需要对数据的值进行加密；S85、当数据库操作中所操作数据的元信息与加解密策略中的敏感数据的元信息匹配时，判断数据库操作对象为数据库中的敏感数据，当数据库操作对象为敏感数据时，将对敏感数据进行加密；S9、在所述远程数据加密设备加密敏感数据后，将之前分析结果中明文状态的敏感数据替换，将操作动作、操作数据的元信息和加密后的敏感数据组合为与原数据库操作一致的新的数据库操作发送给所述数据拦截组件；S10、所述数据拦截组件将从所述远程数据加密设备发回的加密敏感数据后的数据库操作，通过调用ODBC接口将加密结果发送至数据库引擎，并获得数据库引擎返回的结果集，然后将结果集发送至远程加密设备处理；S11、所述远程数据加密设备在接收指令后，通过还原其进程中的上下文信息获得实体信息，通过对比该实体信息和加解密策略中的具备使用原始敏感数据权限的实体信息是否匹配，判断当前操作实体是否具备使用原始敏感数据的权限；S12、根据步骤11的判断结果，当判断数据库操作是针对数据库中的敏感数据并且实体具备使用原始敏感数据权限时，执行步骤S13，否则执行步骤S14；S13、按照加解密策略对敏感数据的值进行解密处理，在所述远程数据加密设备取得解密后的明文状态敏感数据后，将之前分析结果集中密文状态的敏感数据替换为明文，将操作动作、操作数据的元信息和解密后的敏感数据组合为与原数据库操作一致的新的数据库操作发送给所述数据拦截组件；S14、按照加解密策略对敏感数据的值进行解密处理，然后按照加解密策略对敏感数据的值进行脱敏处理，在所述远程数据加密设备取得脱敏后的敏感数据后，将之前分析结果集中密文状态的敏感数据替换为脱敏数据，将操作动作、操作数据的元信息和解密后的敏感数据组合为与原数据库操作一致的新的数据库操作发送给所述数据拦截组件；S15、据库拦截组件将远程加密设备发回的数据返回应用，加密结束。

全文数据：

权利要求：

百度查询： 北京炼石网络技术有限公司 基于ODBC驱动代理的结构化数据细粒度加解密的方法和系统