本發(fā)明涉及數(shù)據(jù)庫和數(shù)據(jù)安全，具體地涉及一種基于硬件密碼卡的數(shù)據(jù)存儲加密方法、裝置、介質(zhì)和產(chǎn)品。

背景技術(shù)：

1、隨著各類信息系統(tǒng)和數(shù)據(jù)中心的快速建設(shè)和發(fā)展，敏感業(yè)務(wù)數(shù)據(jù)的數(shù)據(jù)量逐漸增加，由此帶來的數(shù)據(jù)存儲的安全問題也越來越突出。相應(yīng)地，數(shù)據(jù)庫存儲加密技術(shù)也不斷發(fā)展，現(xiàn)有的數(shù)據(jù)庫存儲加密主要通過加密軟件進(jìn)行，并且加密密鑰通過云服務(wù)或者本地文件系統(tǒng)進(jìn)行管理。

2、由于軟件系統(tǒng)的加密效率低，并且加密密鑰容易被不當(dāng)獲取，因此，難以滿足數(shù)據(jù)安全存儲的要求。

技術(shù)實(shí)現(xiàn)思路

1、鑒于上述問題，本發(fā)明提供了基于硬件密碼卡的數(shù)據(jù)存儲加密方法、裝置、介質(zhì)和產(chǎn)品。

2、根據(jù)本發(fā)明的第一個方面，提供了一種基于硬件密碼卡的數(shù)據(jù)存儲加密方法，該方法包括：響應(yīng)于用戶的數(shù)據(jù)存儲請求，從數(shù)據(jù)存儲請求中確定待存儲數(shù)據(jù)和第一目標(biāo)數(shù)據(jù)表；從數(shù)據(jù)庫表級存儲空間中獲取與第一目標(biāo)數(shù)據(jù)表相對應(yīng)的加密開關(guān)和用于加密待存儲數(shù)據(jù)的加密算法；在加密開關(guān)為開啟狀態(tài)的情況下，從與第一目標(biāo)數(shù)據(jù)表相關(guān)的表加密數(shù)據(jù)中獲取加密密鑰在硬件密碼卡中的存儲位置信息；利用硬件密碼卡基于存儲位置信息，獲取加密密鑰；利用硬件密碼卡基于加密算法、加密密鑰和加密隨機(jī)值對待存儲數(shù)據(jù)進(jìn)行加密操作，得到加密數(shù)據(jù)；對加密數(shù)據(jù)和加密密鑰的存儲位置信息進(jìn)行重構(gòu)，得到存儲數(shù)據(jù)。

3、待存儲數(shù)據(jù)為明文數(shù)據(jù)，第一目標(biāo)數(shù)據(jù)表為待存儲數(shù)據(jù)的待存儲空間。加密算法與第一目標(biāo)數(shù)據(jù)表存在映射關(guān)系。

4、根據(jù)本發(fā)明的實(shí)施例，從與第一目標(biāo)數(shù)據(jù)表相關(guān)的表加密數(shù)據(jù)中獲取加密密鑰在硬件密碼卡的存儲位置信息，包括：從預(yù)定存儲空間中確定與第一目標(biāo)數(shù)據(jù)表相關(guān)的表加密數(shù)據(jù)；對表加密數(shù)據(jù)按照預(yù)設(shè)解析格式進(jìn)行解析，得到表加密元素集；從表加密元素集中確定加密密鑰在硬件密碼卡中的存儲位置信息。

5、根據(jù)本發(fā)明的實(shí)施例，該方法還包括：在創(chuàng)建第一目標(biāo)數(shù)據(jù)表之后，確定第一目標(biāo)數(shù)據(jù)表的加密算法；將加密算法和第一目標(biāo)數(shù)據(jù)表的基本信息輸入至密碼卡，生成第一目標(biāo)數(shù)據(jù)表的加密密鑰，并將加密密鑰存儲至硬件密碼卡中，得到存儲位置信息；對第一目標(biāo)數(shù)據(jù)表的基本信息和第一目標(biāo)數(shù)據(jù)表的加密密鑰的存儲位置信息進(jìn)行重構(gòu)，得到與第一目標(biāo)數(shù)據(jù)表相關(guān)的表加密數(shù)據(jù)。

6、待存儲數(shù)據(jù)的數(shù)量為多個。

7、根據(jù)本發(fā)明的實(shí)施例，該方法還包括：在待存儲數(shù)據(jù)的數(shù)量滿足預(yù)設(shè)數(shù)量閾值時(shí)，依次將多個存儲數(shù)據(jù)落盤至用于存儲第一目標(biāo)數(shù)據(jù)表的磁盤。

8、根據(jù)本發(fā)明的實(shí)施例，該方法還包括：在數(shù)據(jù)表的加密算法與第一目標(biāo)數(shù)據(jù)表的加密算法相同的情況下，將第一目標(biāo)數(shù)據(jù)表的加密密鑰的存儲位置信息確定為數(shù)據(jù)表的加密密鑰的存儲位置信息；對數(shù)據(jù)表的基本信息和第一目標(biāo)數(shù)據(jù)表的加密密鑰的存儲位置信息進(jìn)行重構(gòu)，得到數(shù)據(jù)表的表加密數(shù)據(jù)。

9、數(shù)據(jù)表用于存儲其他待存儲數(shù)據(jù)。

10、根據(jù)本發(fā)明的實(shí)施例，將加密算法和第一目標(biāo)數(shù)據(jù)表的基本信息輸入至硬件密碼卡，生成第一目標(biāo)數(shù)據(jù)表的加密密鑰，并將加密密鑰存儲至硬件密碼卡中，得到存儲位置信息包括：基于加密算法、第一目標(biāo)數(shù)據(jù)表的基本信息和表征將加密密鑰存儲至硬件密碼卡中的標(biāo)識信息，利用硬件密碼卡生成加密密鑰，并通過硬件密碼卡的加密密鑰生成接口獲取加密密鑰的存儲位置信息。

11、根據(jù)本發(fā)明的實(shí)施例，該方法還包括：響應(yīng)于用戶的數(shù)據(jù)查詢請求，從數(shù)據(jù)查詢請求中確定待查詢數(shù)據(jù)的數(shù)據(jù)標(biāo)識和第二目標(biāo)數(shù)據(jù)表；基于待查詢數(shù)據(jù)的數(shù)據(jù)標(biāo)識，從第二目標(biāo)數(shù)據(jù)表中獲取待查詢數(shù)據(jù)；從待查詢數(shù)據(jù)中提取解密密鑰的存儲位置信息、密文數(shù)據(jù)和解密隨機(jī)值；利用硬件密碼卡基于解密密鑰的存儲位置信息，獲取解密密鑰；利用硬件密碼卡基于解密算法、解密隨機(jī)值和解密密鑰對存儲數(shù)據(jù)進(jìn)行解密操作，得到第二目標(biāo)數(shù)據(jù)。

12、根據(jù)本發(fā)明的實(shí)施例，第二目標(biāo)數(shù)據(jù)表為待查詢數(shù)據(jù)的存儲空間。

13、根據(jù)本發(fā)明的實(shí)施例，解密密鑰的存儲位置信息與加密密鑰的存儲位置信息相同，解密隨機(jī)值與加密隨機(jī)值相同。

14、本發(fā)明的第二方面提供了一種基于硬件密碼卡的數(shù)據(jù)存儲加密裝置，包括：第一確定模塊，用于響應(yīng)于用戶的數(shù)據(jù)存儲請求，從數(shù)據(jù)存儲請求中確定待存儲數(shù)據(jù)和第一目標(biāo)數(shù)據(jù)表。

15、根據(jù)本發(fā)明的實(shí)施例，待存儲數(shù)據(jù)為明文數(shù)據(jù)，第一目標(biāo)數(shù)據(jù)表為待存儲數(shù)據(jù)的待存儲空間。

16、第一獲取模塊，用于從數(shù)據(jù)庫表級存儲空間中獲取與第一目標(biāo)數(shù)據(jù)表相對應(yīng)的加密開關(guān)和用于加密待存儲數(shù)據(jù)的加密算法。

17、加密算法與第一目標(biāo)數(shù)據(jù)表存在映射關(guān)系。

18、第二獲取模塊，用于在加密開關(guān)為開啟狀態(tài)的情況下，從與第一目標(biāo)數(shù)據(jù)表相關(guān)的表加密數(shù)據(jù)中獲取加密密鑰在硬件密碼卡中的存儲位置信息。

19、第三獲取模塊，用于利用硬件密碼卡基于存儲位置信息，獲取加密密鑰。

20、加密模塊，用于利用硬件密碼卡基于加密算法、加密密鑰和加密隨機(jī)值對待存儲數(shù)據(jù)進(jìn)行加密操作，得到加密數(shù)據(jù)。

21、重構(gòu)模塊，用于對加密數(shù)據(jù)和加密密鑰的存儲位置信息進(jìn)行重構(gòu)，得到存儲數(shù)據(jù)。

22、本發(fā)明的第三方面還提供了一種計(jì)算機(jī)可讀存儲介質(zhì)，其上存儲有計(jì)算機(jī)程序或指令，上述計(jì)算機(jī)程序或指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述方法的步驟。

23、本發(fā)明的第四方面還提供了一種計(jì)算機(jī)程序產(chǎn)品，包括計(jì)算機(jī)程序或指令，上述計(jì)算機(jī)程序或指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述方法的步驟。

24、根據(jù)本發(fā)明的實(shí)施例，從表加密數(shù)據(jù)中獲取加密密鑰在硬件密碼卡中的存儲位置信息，而非直接獲取加密密鑰，可以提升基于硬件密碼卡的數(shù)據(jù)存儲加密方法的安全性。通過將存儲位置信息、加密算法、加密隨機(jī)值和待存儲數(shù)據(jù)輸入硬件密碼卡，得到加密數(shù)據(jù)，與軟件加密系統(tǒng)的加密相比，由于硬件密碼卡無需復(fù)雜的部署，可以提升加密效率。通過存儲位置信息得到加密密鑰可以保證加密密鑰不被不當(dāng)獲取，進(jìn)而保證存儲數(shù)據(jù)的安全性。此外，由于存儲數(shù)據(jù)是密文數(shù)據(jù)，當(dāng)存儲數(shù)據(jù)被不當(dāng)獲取時(shí)也無法獲取真實(shí)的數(shù)據(jù)。通過重構(gòu)，使得存儲數(shù)據(jù)中包括加密密鑰的位置，因此，在后續(xù)對存儲數(shù)據(jù)進(jìn)行更改再存儲時(shí)，可以通過存儲數(shù)據(jù)直接獲取加密密鑰的存儲位置信息，提升處理效率。

技術(shù)特征：

1.一種基于硬件密碼卡的數(shù)據(jù)存儲加密方法，其特征在于，所述方法包括：

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述從與所述第一目標(biāo)數(shù)據(jù)表相關(guān)的表加密數(shù)據(jù)中獲取加密密鑰在硬件密碼卡的存儲位置信息，包括：

3.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述方法還包括：

4.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述待存儲數(shù)據(jù)的數(shù)量為多個，所述方法還包括：

5.根據(jù)權(quán)利要求3所述的方法，其特征在于，所述方法還包括：

6.根據(jù)權(quán)利要求3所述的方法，其特征在于，所述將所述加密算法和所述第一目標(biāo)數(shù)據(jù)表的基本信息輸入至所述硬件密碼卡，生成所述第一目標(biāo)數(shù)據(jù)表的加密密鑰，并將所述加密密鑰存儲至所述硬件密碼卡中，得到存儲位置信息，包括：

7.根據(jù)權(quán)利要求1~6中任一項(xiàng)所述的方法，其特征在于，所述方法還包括：

8.一種基于硬件密碼卡的數(shù)據(jù)存儲加密裝置，其特征在于，所述裝置包括：

9.一種計(jì)算機(jī)可讀存儲介質(zhì)，其上存儲有計(jì)算機(jī)程序或指令，其特征在于，所述計(jì)算機(jī)程序或指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)根據(jù)權(quán)利要求1~7中任一項(xiàng)所述方法的步驟。

10.一種計(jì)算機(jī)程序產(chǎn)品，包括計(jì)算機(jī)程序或指令，其特征在于，所述計(jì)算機(jī)程序或指令被處理器執(zhí)行時(shí)實(shí)現(xiàn)根據(jù)權(quán)利要求1~7中任一項(xiàng)所述方法的步驟。

技術(shù)總結(jié)
本發(fā)明提供了一種基于硬件密碼卡的數(shù)據(jù)存儲加密方法，可應(yīng)用于數(shù)據(jù)庫技術(shù)領(lǐng)域和數(shù)據(jù)安全技術(shù)領(lǐng)域。該方法包括：響應(yīng)于用戶的數(shù)據(jù)存儲請求，從數(shù)據(jù)存儲請求中確定待存儲數(shù)據(jù)和第一目標(biāo)數(shù)據(jù)表；從數(shù)據(jù)庫表級存儲空間中獲取與第一目標(biāo)數(shù)據(jù)表相對應(yīng)的加密開關(guān)和用于加密待存儲數(shù)據(jù)的加密算法；在加密開關(guān)為開啟狀態(tài)的情況下，從與第一目標(biāo)數(shù)據(jù)表相關(guān)的表加密數(shù)據(jù)中獲取加密密鑰在硬件密碼卡中的存儲位置信息；利用硬件密碼卡基于存儲位置信息，獲取加密密鑰；利用硬件密碼卡基于加密算法、加密密鑰和加密隨機(jī)值對待存儲數(shù)據(jù)進(jìn)行加密操作，得到加密數(shù)據(jù)；對加密數(shù)據(jù)和加密密鑰的存儲位置信息進(jìn)行重構(gòu)，得到存儲數(shù)據(jù)。

技術(shù)研發(fā)人員：林森
受保護(hù)的技術(shù)使用者：蘇州吉唄思數(shù)據(jù)技術(shù)有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/10/21