(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111627885.4 (22)申请日 2021.12.28 (71)申请人 航天信息股份有限公司 地址 100195 北京市海淀区杏石口路甲18 号 (72)发明人 周珅珅　梁宵　黎琳　李靖祎　 郝非非　刘春娜　 (74)专利代理 机构 北京工信联合知识产权代理 有限公司 1 1266 专利代理师 刘海蓉 (51)Int.Cl. G06F 21/60(2013.01) G06F 21/62(2013.01) G06F 21/64(2013.01) (54)发明名称 一种基于密码机设备的M ySQL透明数据加密 方法和装置 (57)摘要 本发明实施例公开了一种基于密码机设备 的MySQL透明数据加解密方法和装置， 所述方法 包括： 根据支持国产SM4密码算法的密码机设备 的接口函数特征， 将MySQL中与加解密相关的语 句和函数修改为调用国产SM4密码算法的语句和 函数； 配置支持国产SM4密码算法的密码机设备 的相关文件， 所述相关文件包括头文件， 配置文 件 和 动态 链 接 库文 件 ； 修改 M y SQ L中的 CMakeLists文件； 调用支持国产SM4密码算法的 密码机设备中的国产SM4密码算法， 并通过外部 安全模块生成的加解密的密钥以实现MySQL透明 数据加解密。 所述方法和装置实现了主流数据库 加密算法的国产化， 提高了数据库读写效率， 实 现了针对业务的即时部署， 且本发明针对MySQL 数据库原始数据库修改少， 有较好的向前兼容 性。 权利要求书3页 说明书10页 附图2页 CN 114491579 A 2022.05.13 CN 114491579 A 1.一种基于密码机设备的MySQ L透明数据加解密方法， 其特 征在于， 所述方法包括： 根据支持 国产SM4密码算法的密码机设备的接口函数特征， 将MySQL中与加解密相关的 语句和函数修改为调用国产SM4密码算法的语句和函数； 配置支持国产SM4密码算法的密码机设备的相关文件， 所述相关文件包括头文件， 配置 文件和动态 链接库文件； 修改MySQ L中的CMakeLists文件； 调用支持国产SM4密码算法的密码机设备中的国产SM4密码算法， 并通过外部安全模块 生成的加解密的密钥以实现MySQ L透明数据加解密。 2.根据权利要求1所述的方法， 其特征在于， 根据支持国产SM4密码算法的密码机设备 的接口函数特征， 将 MySQL中与加解密相关的语句和函数修改为调用国产S M4密码算法的语 句和函数包括： 将MySQL透明数据加解密使用AES密码算法修改为使用国产SM4密码算法， 具体地， 针对 涉及透明数据加解密密码算法调用的.cc文件row0quiesce.cc、 row0import.cc、 os0file.cc、 fsp0 fsp.cc、 my_default.cc， 将所述文件中的my_aes_encrypt()替换为my_ SM4_encrypt()和my_SM4_encrypt_tablespace()， 将my_aes_decrypt()替换为my_SM4_ decrypt()和my_SM4_decrypt_tablespace()， 其中my_SM4_encrypt()与my_SM4_ encrypt_tablespace()分别为调用密码机设备实现的加密表密钥和加密表空间的国产 SM4密码算法； my_SM4_decrypt()与my_SM4_decrypt_tablespace()分别为调用密码机设 备实现的解密表密钥和解密 表空间的国产SM4密码算法； 将fil0fil.cc中MySQL原本的生 成 密钥的函数Encrypti on::random_value替换为tablespace_key_gen()用于密钥生成。 3.根据权利要求2所述的方法， 其特征在于， 配置支持国产SM4密码算法的密码机设备 的相关文件 包括： 在声明密码算法的头文件my_aes.h中添加my_SM4_encrypt()、 my_SM4_encrypt_ tablespace()与my_SM4_decrypt()、 my_SM4_decrypt_tablespace()与tablespace_key_ gen()的函数名； 添加密码机设备的头文件fm_cpc_pub.h和fm_def.h 至/include目录下； 添加密码机设备的配置文件FMDevice.conf和FMDevice_key.conf至/etc目录下， 并正 确配置IP、 链接数目和日志存 储路径； 添加动态 链接库文件l ibfmapiv10 0.so至mysys_s sl/usr/l ib目录下。 4.根据权利要求3所述的方法， 其特 征在于， 修改MySQ L中的CMakeLists文件 包括： 修改mysys_ssl目录下的CMakeLists文件， 添加target_link_libraries指令， 其中， 所 述指令调用的动态 链接库文件为mysys_s sl/usr/l ib/目录下的l ibfmapiv10 0.so。 5.根据权利要求2所述的方法， 其特征在于， 调用支持国产SM4密码算法的密码机设备 中的国产S M4密码算法， 并通过外部安全模块生成的加解密的密钥以实现M ySQL透明数据加 解密包括： 打开支持国产SM4密码算法的密码机设备， 得到支持 国产SM4密码算法的密码机设备的 句柄handle； 基于句柄handle， 调用支持国产SM4密码算法的密码机设备采用国产SM4密码算法进行 加解密的接口以传入与my_SM4_encrypt()、 my_SM4_encrypt_tablespace()和my_SM4_权　利　要　求　书 1/3 页 2 CN 114491579 A 2decrypt()、 my_SM4_decrypt_tab lespace()相关的参数， 所述与my_SM4_encrypt()、 my_ SM4_encrypt_tablespace()和my_SM4_decrypt()、 my_SM4_decrypt_tablespace()相关 的参数包括加解密数据、 密钥、 加密模式、 加解密输出缓冲区在内的相关参数， 其中， my_ SM4_encrypt()、 my_SM4_encrypt_tablespace()为加密表密钥和加密表空间的加密算法， 实现时需传入加密有关参数， my_SM4_decrypt()、 my_SM4_decrypt_tablespace()为解密 表密钥和解密表空间的解密算法， 实现时传入解密有关参数； 将与my_SM4_encrypt()、 my_SM4_encrypt_tablespace()和my_SM4_decrypt()、 my_ SM4_decrypt_tablespace()相 关的参数补充到.cc文件my_aes_openssl.cc中， 并在my_ aes_opens sl.cc中添加tablespace_key_gen 函数； 关闭支持国产SM4密码算法的密码机设备； 根据外部安全模块通过调用的国产SM4密码算法生成的加解密的密钥以实现MySQL透 明数据加解密。 6.一种基于密码机设备的MySQ L透明数据加解密装置， 其特 征在于， 所述装置包括： 密码机设备， 其支 持国产SM4密码算法， 用于在MySQL进行透明数据加解密时， 为其提供 调用国产SM4密码算法的API； 基于MySQL的数据库， 用于根据支持国产SM4密码算法的密码机设备的接口函数特征， 将MySQL中与加解密相关的语句和函数修改为调用国产S M4密码算法的语句和函数； 配置支 持国产SM4密码算法的密码 机设备的相关文件， 所述相关文件包括头文件， 配置文件和 动态 链接库文件； 修改MySQL中的CMakeLists文件； 以及调用支持国产SM4密码算法的密码机设 备中的国产S M4密码算法， 并通过外部安全模块生 成加解密的密钥以实现M ySQL透明数据加 解密； 外部安全模块， 其用于根据调用的国产SM4密码算法生成加解密的密钥。 7.根据权利 要求6所述的装置， 其特征在于， 基于MySQL的数据库 根据支持 国产SM4密码 算法的密码机设备的接口函数特征， 将MySQL中与加解密相关的语句和函数修改为调用国 产SM4密码算法的语句和函数包括： 将MySQL透明数据加解密使用AES密码算法修改为使用国产SM4密码算法， 具体地， 针对 涉及透明数据加解密密码算法调用的.cc文件row0quiesce.cc、 row0import.cc、 os0file.cc、 fsp0 fsp.cc、 my_default.cc， 将所述文件中的my_aes_encrypt()替换为my_ SM4_encrypt()和my_SM4_encrypt_tablespace()， 将my_aes_decrypt()替换为my_SM4_ decrypt()和my_SM4_decrypt_tablespace()， 其中my_SM4_encrypt()与my_SM4_ encrypt_tablespace()分别为调用密码机设备实现的加密表密钥和加密表空间的国产 SM4密码算法； my_SM4_decrypt()与my_SM4_decrypt_tablespace()分别为调用密码机设 备实现的解密表