[发明专利]基于数据分级分类的数据存储系统及数据库透明加解密方法

权利要求书

1.一种基于数据分级分类的数据存储系统，其特征在于，所述系统包括加解密数据库和本地业务数据库；

所述加解密数据库用于存储敏感度高于或等于预设等级的业务数据的密文以及与所述密文对应的明文掩码；所述业务数据的明文、密文和明文掩码一一对应；

所述本地业务数据库用于存储所述明文掩码以及敏感度低于预设等级的业务数据的明文。

2.根据权利要求1所述的一种基于数据分级分类的数据存储系统，其特征在于，业务数据的敏感度等级按照以下方式确定：

获取业务数据中包括的敏感字段；

根据所述敏感字段的敏感度对所述业务数据进行分类，得到所述业务数据的敏感度等级。

3.根据权利要求1或2所述的一种基于数据分级分类的数据存储系统，其特征在于，所述敏感度等级从高到低包括：绝密、机密、秘密、内部公开和外部公开。

4.根据权利要求3所述的一种基于数据分级分类的数据存储系统，其特征在于，所述预设等级为秘密。

5.根据权利要求1所述的一种基于数据分级分类的数据存储系统，其特征在于，所述明文掩码为所述业务数据中各个敏感字段的明文掩码；每个敏感字段的明文掩码符合所述敏感字段的有效明文规则。

6.根据权利要求5所述的一种基于数据分级分类的数据存储系统，其特征在于，所述敏感字段的明文掩码包括：第一预设数位的原始明文数据和第二预设数位的经加密处理后的明文掩码数据。

7.一种基于数据分级分类的数据库透明加密方法，其特征在于，应用于权利要求1～6任一项所述的数据存储系统，所述方法包括：

当用户发送写入数据请求时，截获用户写入数据的敏感字段，基于所述敏感字段确定所述数据的敏感度等级；

若用户请求写入的数据为高于或等于预设等级的数据，则相应数据在写入内存后，通过代理服务对相应的敏感字段内容进行加密并返回生成的掩码；

经过加密的密文会与生成的掩码一同写入加解密数据库，由代理服务返回的掩码将替换内存中的明文数据被写入本地的业务数据库中。

8.根据权利要求7所述的基于数据分级分类的数据库透明加密方法，其特征在于，若用户希望写入的是被划分为低于预设等级的数据，则直接将数据写入本地的业务数据库中。

9.一种基于数据分级分类的数据库透明解密方法，其特征在于，应用于权利要求1～6任一项所述的数据存储系统，所述方法包括：

当用户发送读取数据请求时，获取用户申请读取数据的敏感字段对应的敏感度等级；

若用户希望读取的是低于预设等级的业务数据，则直接业务数据库中读取相应明文数据；

若用户请求读取的数据为高于或等于预设等级的业务数据，则验证用户权限；如通过验证，则从业务数据库中读取对应数据的掩码至内存，代理服务在截获内存中的掩码数据后，从加解密数据库中读取所述掩码数据对应的密文，解密后用明文数据替换内存中的掩码数据，最终显示给用户。

10.根据权利要求9所述的基于数据分级分类的数据库透明解密方法，其特征在于，如未通过验证，则不启用代理服务，内存中的掩码数据不会被替换，用户只能看到相应数据的掩码。