[发明专利]一种基于数据属性的加密方法和系统

说明书

技术领域

本发明涉及一种加密方法和系统，具体地说是一种基于数据属性的加密方法和系统。

背景技术

数据信息资源共享应用是信息化建设的基本原则。各个企业都有自己的企业系统，存放一些可以公开的信息，另外还有一些企业之间存在着信息共享，随着信息化的深入发展，这些信息资源的共享和应用的需求日益旺盛，但存在一定数量共享使用相关信息资源的业务系统信息安全保障能力偏弱，安全风险形式严峻。有些数据信息若发生泄露和滥用的安全问题，则会直接产生恶劣社会影响，并直接威胁社会稳定和国家安全。

随着数据库技术在日常经济生活中应用的不断增加，数据库安全日益成为人们关注的热点。而目前数据库的安全性主要通过访问控制来保障，但是当访问控制被攻破时整个数据库的安全体系也随之瓦解。目前解决此问题的主要方法是采用数据库加密。为了保护数据的安全，采取对数据库加密的方式，数据库加密后，数据得到保护，当向数据库中写数据的时候，以密文的方式存储，当读取数据库中的数据的时候，对数据进行解密。

在中国专利文件CN103107992A中公开了一种面向云存储加密数据共享的多级权限管理方法，对于需要加密的文件，首先随机选择对称加密密钥，应用对称加密算法算法加密数据或文件，生成内容密文；然后针对不同用户对文件具有的不同权限，采用属性基加密方法对不同权限结构进行加密，生成权限密文；最后根据对文件具有访问权限的用户访问结构，采用属性基加密方法加密对称密钥和权限密文，并将其以文件头的形式与内容密文结合，作为数据或文件的完整密文。解密时，首先当且仅当用户私钥的属性集满足访问策略时，用户才能解密文件头，获得对称密钥和权限密文；同时当且仅当用户私钥的属性集满足相应的权限策略时，才能解密相应部分，获得其权限信息。这样避免云计算服务商获知数据内容，同时在数据被加密的情况下，实现数据拥有者将符合指定条件的数据交给特定用户进行共享，达到对共享加密文件的访问以及权限控制。

但是，在该方案中，对需要加密的文件进行加密时，是对整个文件进行加密，而对于一些文件中既有需要加密的部分，又有无需加密的部分，则无法进行合理的加密。

发明内容

为此，本发明所要解决的技术问题在于现有技术中对文件进行整体加密，不能满足文件加密多样性的需求。针对现有技术的该缺陷，提出一种防止大量敏感数据的泄漏、保护信息的安全的、基于数据属性的加密方法。

为解决上述技术问题，本发明的一种基于数据属性的加密方法，包括：选择需要加密的部分字段；采用不同的加密方式对不同的字段进行加密；对于不同的用户身份配置不同的权限；用户根据其权限对允许其查看的字段进行解密。

优选地，采用不同的加密方式对不同的字段进行加密时，包括：根据字段的属性进行加密，不同的属性使用不同的方式进行加密。

优选地，采用不同的加密方式对不同的字段进行加密时，包括：当数据量大但又不是关键项时采用对称加密方式；数据量小但为关键数据时采用对称解密算法进行加密，同时使用非对称的加密方式对对称密钥进行保护。

优选地，数据库中的不同字段根据系统配置在存入前进行加密。

优选地，数据库中的加密字段在应用系统读取时也是加密的，当应用系统使用时，根据用户的解密权限对获得的数据进行解密。

一种基于数据属性的加密系统，包括：

数据库层，存储有数据信息，所述数据信息加密存储；

应用层，集成有数据库中间件和数据安全中间件，数据库中间件接管所述数据库层的访问接口，具有访问所述数据库层的代理作用；数据安全中间件对数据库层返回给应用层的数据进行敏感数据的加密和解密作用，对需要加密的部分字段，采用不同的加密方式对不同的字段进行加密，对于应用层中来自不同的用户身份配置不同的权限，使得用户根据其权限对允许其查看的字段进行解密。

优选地，所述数据安全中间件包括属性加密子单元，根据字段的属性进行加密，不同的属性使用不同的方式进行加密。

优选地，所述属性加密子单元，包括：

第一加密子单元：当数据量大但又不是关键项时采用对称加密方式；

第二加密子单元：数据量小但为关键数据时采用对称解密算法进行加密，同时使用非对称的加密方式对对称密钥进行保护。

优选地，数据库中的不同字段根据系统配置在存入前进行加密。

本发明的上述技术方案相比现有技术具有以下优点，