[发明专利]一种基于虚拟块设备的数据库透明加解密实现方法及系统

说明书

本发明提出了一种基于虚拟块设备的数据库透明加解密实现方法及系统，涉及数据安全技术领域。一种基于虚拟块设备的数据库透明加解密实现方法包括：当用户写入数据时，通过dm‑crypt自动对块设备下的数据进行加密再写入磁盘；当用户读取数据时，对块设备下的数据自动解密返回给应用程序。其能够通过使用Device Mapper机制，实现POSTGRESQL数据库的TDE功能，由于加解密是操作在块设备级别，对数据库的任何操作都无影响，但是磁盘的数据是加密存储的，从而满足用户的透明加密需求。此外本发明还提出了一种基于虚拟块设备的数据库透明加解密实现系统，包括：加密模块及解密模块。

技术领域

本发明涉及数据安全技术领域，具体而言，涉及一种基于虚拟块设备的数据库透明加解密实现方法及系统。

背景技术

PostgreSQL是自由的对象-关系型数据库服务器，在灵活的BSD风格许可证下发行。它在其他开放源代码数据库系统和专有系统之外，为用户又提供了一种选择。可靠性是PostgreSQL的最高优先级。它以坚如磐石的品质和良好的工程化而闻名，支持高事务、任务关键型应用。PostgreSQL的文档非常精良，提供了大量免费的在线手册，还针对旧版本提供了归档的参考手册。PostgreSQL的社区支持是非常棒的，还有来自于独立厂商的商业支持。

数据一致性与完整性也是PostgreSQL的高优先级特性。PostgreSQL是完全支持ACID特性的，它对于数据库访问提供了强大的安全性保证，充分利用了企业安全工具，如Kerberos与OpenSSL等。可以定义自己的检查，根据自己的业务规则确保数据质量。

数据的安全，保密性在现在的生活中显得越来越重要。随着数字化的时代的来临，越来越多的数据被数字化，特别是更多有关于我们隐私的数据在不断生成，甚至还有我们需要离线保存的密钥等。而且通常我们使用磁盘，USB闪存，SD卡等存储介质进行存储，即便我们已经离线存储，仍然不能保证该存储介质不会丢失，如果丢失那么对于我们来说有可能是灾难性的事件。因此对这些离线存储的重要数据，再次进行加密是非常有必要的。

对于PostgreSQL数据库，采用的加密方式可以是插入数据之前加密，在读取之后进行解密，或者是调用数据库的加密函数进行数据加密，这需要在应用和数据库之间添加加解密设备，对存储过程和索引都会产生影响，没有达到完全透明的效果。

现有对PostgreSQL数据库的加密都是在数据库层面进行，直接把表中的明文信息加密为密文，这样实现的缺点对模糊查询也支持不好，效率也不高。

发明内容

本发明的目的在于提供一种基于虚拟块设备的数据库透明加解密实现方法，其能够通过使用Device Mapper机制，实现POSTGRESQL数据库的TDE功能，由于加解密是操作在块设备级别，对数据库的任何操作都无影响，但是磁盘的数据是加密存储的，从而满足用户的透明加密需求。

本发明的另一目的在于提供一种基于虚拟块设备的数据库透明加解密实现系统，其能够运行一种基于虚拟块设备的数据库透明加解密实现方法。

本发明的实施例是这样实现的：

第一方面，本申请实施例提供一种基于虚拟块设备的数据库透明加解密实现方法，其包括当用户写入数据时，通过dm-crypt自动对块设备下的数据进行加密再写入磁盘；当用户读取数据时，对块设备下的数据自动解密返回给应用程序。

在本发明的一些实施例中，上述当用户写入数据时，通过dm-crypt自动对块设备下的数据进行加密再写入磁盘包括：dm-crypt通过DM虚拟一个块设备，将物理块设备映射到虚拟设备。

在本发明的一些实施例中，上述数据进行加密包括：创建虚拟盘，然后使用luks方式格式化该虚拟盘。

在本发明的一些实施例中，上述还包括：映射虚拟盘，执行映射虚拟盘的命令后，虚拟盘会被映射到预设目录下，通过预设指令进行查看。