(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111440805.4 (22)申请日 2021.11.30 (71)申请人 杨东 地址 550000 贵州省贵阳市观山湖区龙海 路1号 (72)发明人 杨东　 (74)专利代理 机构 长沙智德知识产权代理事务 所(普通合伙) 43207 代理人 段芳萼 (51)Int.Cl. G06F 21/62(2013.01) G06F 21/64(2013.01) G06F 21/60(2013.01) H04L 9/08(2006.01) H04L 9/40(2022.01) (54)发明名称 一种基于国密SM4算法的数据库数据加密系 统 (57)摘要 本发明属于数据管 理领域， 具体公开了一种 基于国密SM4算法的数据库数据加解密系统， 包 括为数据库数据提供加解密操作的透明加密组 件和数据库加密系统， 所述数据库加密系统由密 钥管理模块、 基于国产密码SM4算法的密码运算 模块以及管 理控制模块组成。 本发 明采用国内自 主可控的SM4算法的透明加解密组件， 无需对应 用程序、 基础设施、 业务结构进行更改就能实现 加密保护， 部署和使用不需要考虑额外的因素； 系统支持密钥更新、 转加密功能， 数据库管理员 能够不关闭系统服务即可对加密数据密钥进行 定期、 就地的转换； 采用密钥存储与数据存储分 离方式， 确保密钥的生命周期和数据库底层静态 数据的安全。 权利要求书1页 说明书7页 附图3页 CN 114154195 A 2022.03.08 CN 114154195 A 1.一种基于国密SM4算法的数据库数据加解密系统， 其特征在于， 包括为数据库数据提 供加解密操作的透明加密组件和数据库加密系统， 所述数据库加密系统由密钥管理模块、 基于国产密码SM4 算法的密码运 算模块以及管理控制模块组成； 所述透明加密组件即安装在数据库实例上的数据库加密中间件， 通过SSL通道与数据 加解密系统进行交互， 调用数据库加密系统的加 解密运算能力， 结合密钥完成数据库中数 据列的加解密操作； 还包括密管用户， 是数据库加密系统的管理用户， 有权限建立数据库加密系统与数据 库实例间连接及透明加密组件的通信； 当数据库用户需要对数据库中的字段进行加解密操 作时， 需要透明加密组件与数据库加密系统进行连接， 需使用密管用户调用数据库加密系 统的功能实现数据库的目标 数据完成加解密操作； 具体业 务流程如下： S1、 针对需要加密的数据库侧安装数据加密中间件， 并建立数据库服务与数据库加密 系统中用户的映射关系； S2、 在数据库加密系统中创建数据库实例对应的密管用户， 仅密管用户可以创建数据 库加密系统与数据库实例间通信； S3、 密管用户可以在数据库加密系统中创建该数据库实例链接操作， 获取数据库的用 户及用户下的用户表/列， 确保数据库用户具 备调用数据加密系统中功能应用的权限； S4、 当数据库用户选中需加密的数据列， 调用加密中间件执行透明加密操作时， 加密的 数据列每列将自动生 成一个数据密钥Data  Key， 该加密列的数据密钥Data  Key使用数据库 加密系统提供主密钥Master  Key加密后保存在数据库的数据字典中； S5、 操作完成后， 数据以SM4算法加密后密文形式存储在数据库表空间， 数据密钥Data   Key从数据库缓存删除， 在数据字典中只保留数据密钥Data  Key的密文； S6、 针对读取加密后数据库数据解密过程与加密相似的情况， 通过主密钥解密在数据 库的数据字典中每 个加密列产生的数据密钥， 将数据列解密后进行读取应用。 2.根据权利要求1所述的一种基于国密SM4算法的数据库数据加解密系统， 其特征在 于： 步骤S2中， 密管用户内密钥默认仅由该 数据库实例使用。 3.根据权利要求1所述的一种基于国密SM4算法的数据库数据加解密系统， 其特征在 于： 其数据交 互流程包括如下 具体步骤： a、 首先在数据库侧部署加密组件， 针对数据库、 加密组件与数据库加密系统， 建立正常 的通信服 务； b、 数据库加密系统， 对加密组件进行管理， 获取数据库用户与表名、 表字段结构化信 息、 生成数据字典， 并生成主密钥Master  Key； c、 数据库用户发起数据请求， 由加密组件获取 数据库加密系统中主密钥Master  Key； d、 针对数据表中每 个数据列生成数据密钥， 加密组件 对请求数据进行加密处 理； e、 加密组件将每列数据以密文方式保存到数据库； 保存成功后返回消息 到加密组件； f、 由加密组件将数据保存成功的消息， 返回给 数据库用户； g、 加密组件将数据密钥Data  Key加密后， 以密文方式保存到数据库的数据字典表； h、 解密过程与加密过程相反， 数据库用户通过与加密组件交互中， 当加密组件识别查 询到需要解密的数据， 自动使用加密密钥进行解密， 获取主密钥Master  Key+数据字典 中数 据密钥Data  Key， 之后将数据返回给 数据库用户。权　利　要　求　书 1/1 页 2 CN 114154195 A 2一种基于国密SM4算法的数据库数据加密系统 技术领域 [0001]本发明涉及数据管理领域， 具体为 一种基于国密SM4 算法的数据库数据加密系统。 背景技术 [0002]随着网络 的普及与发展， 基于数据库技术的网上应用越来越多为客户提供服务。 数据库技术在给用户带来便捷应用的同时也带来了许多问题， 其中敏感信息安全问题尤其 突出。 数据库加密技 术是保证存放在数据库中敏感信息安全性的一种有效手段。 [0003]目前国内外的应用采用了大量的密码算法和协议。 密码算法大多是基于算法的密 码强度、 加 解密速度及所需空间大小这三点来设计的， 并没有充分考虑加密机制的实施对 整个数据库系统的功能及安全效率的影响， 并且很多密码算法是采用非自主 可控的国际算 法， 算法本身的安全性和机密性得不到切实的保障。 [0004]数据库数据存 储安全存在如下问题： （1） 存储层的明文泄露： 数据的私密性没有保障； 文件采用明文方式存储在存储介 质上， 在数据使用或数据库运维时， 都会有数据泄 露的风险。 [0005]（2） 外部窃取： 黑客可能通过S QL注入、 绕行等攻击手段， 发动数据攻击及窃取敏感 数据。 [0006]（3） 数据库业务影响： 普通数据模糊处理， 对数据库数据检索、 模糊查询、 数据 恢复 等具有致命影响， 同时掌握一定规 律即可破解。 [0007]（4） 密钥安全： 传统数据加密会带来密钥管理的任务， 不同数据库的加密密钥在数 据库侧明文存储， 导致存在大量分散的密钥， 难以管理和更新， 如果密钥泄漏， 则会导致数 据泄漏； 如果密钥丢失， 则会导 致数据永远不会再被解密。 [0008]（5） 国家政策： 用于强身份认证、 数据加解密的密码算法应符合国家密码管理局等 相关部委制定的政策、 法规， 以保证系统服 务的安全性。 [0009]基于上述问题， 需要针对数据库系统中敏感数据寻找到一种基于国密算法的数据 库数据加密系统。 发明内容 [0010]本发明的目的在于提供一种基于国密SM4算法的数据库数据加密系统， 以解决上 述背景技 术中提出的问题。 [0011]为实现上述目的， 本发明提供如下技术方案： 一种基于国密SM4算法的数据库数据 加密系统， 包括为数据库数据提供加 解密操作的透明加密组件和数据库加密系统， 所述数 据库加密系统由密钥管理模块、 基于 国产密码SM4算法的密码运算模块以及管理控制模块 组成； 所述透明加密组件即安装在数据库实例 上的数据库加密中间件， 通过SSL通道与 数据库加密系统进行交互， 调用数据库加密系统的加 解密运算能力， 结合密钥完成数据库 中数据列的加解密操作；说　明　书 1/7 页 3 CN 114154195 A 3