一种前置代理的智能数据库加密系统、方法、设备及介质与流程

1.本发明涉及信息安全技术领域，具体为一种前置代理的智能数据库加密系统、方法、设备及介质。


背景技术：

2.在各种开发语言(如java、c++、php、golang、python等语言)实现的业务模块中，大量的数据以明文的形式直接存储在业务数据库中，然而，随着信息化的发展，网络安全变得越来越重要，对于一些重要的数据或者个人敏感信息需要进行加密后存储，但是对于一些开发时间早、结构复杂的系统，如果需要进行数据重加密存储，就需要对对应的业务模块再次开发，然而对于开发时间早、结构复杂的系统来说重构意味着开发复杂度高、成本大、周期长。
3.现有的技术提出一种后置代理加密方法，该方法基于多级视图和触发器，通过外部接口调用外部组件实现加密和解密，该方法需要对业务数据库进行关联修改，影响业务数据库性能，产生较大风险，同时数据类型存在局限性。
4.现有的技术提出一种基于文件系统加解密方法，该方法基于加密文件系统encryptfs，通过基于操作系统内核行为进行加解密，该方法的加密和解密操作需要消耗大量的计算资源，如果加密和解密操作频繁进行，影响系统性能，同时使用文件系统加解密会产生安全风险，若操作系统或文件系统存在漏洞，攻击者能够利用漏洞来获取加密数据；同时，使用文件系统加解密技术需要进行额外的配置和管理工作，包括密钥管理、权限管理等，增加系统复杂性和管理成本。


技术实现要素：

5.鉴于以上所述现有技术的缺点，本发明提供一种前置代理的智能数据库加密系统、方法、设备及介质，以解决上述技术问题。
6.本发明提供的一种前置代理的智能数据库加密系统，包括：
7.数据治理安全扫描模块，所述数据治理安全扫描模块用于对业务数据库进行扫描监测，并基于业务数据库生成数据安全规则；
8.业务数据库，所述业务数据库与所述数据治理安全扫描模块通信连接，所述业务数据库用于存储加密后的密文；
9.前置代理加解密中间件，所述前置代理加解密中间件与所述数据治理安全扫描模块、所述业务数据库通信连接，所述前置代理加解密中间件用于接收数据安全规则并解析，基于数据安全规则调用预设加密机进行数据加密，并将加密密文存储至业务数据库；
10.业务模块，所述业务模块与所述前置代理加解密中间件通信连接，所述业务模块用于生成数据；
11.预设加密机，所述预设加密机与所述前置代理加解密中间件通信连接，所述预设加密机用于实现数据加密。
12.于本发明的一实施例中，所述前置代理加解密中间件连接一个或多个业务模块，所述前置代理加解密中间件连接一个或多个业务数据库。
13.本发明提供的一种前置代理的智能数据库加密方法，应用于前置代理的智能数据库加密系统，包括以下步骤：
14.s110：前置代理加解密中间件驱动连接业务模块；
15.s120：前置代理加解密中间件获取业务模块对应的业务数据库，并与业务数据库建立通信连接；
16.s130：前置代理加解密中间件根据数据治理安全扫描模块扫描业务数据库生成的数据安全规则选择加解密策略；
17.s140：前置代理加解密中间件根据加解密策略调用预设加密机进行数据加密，并将加密密文发送至业务数据库。
18.与本发明的一实施例中，步骤s130具体包括：
19.s210：数据治理安全扫描模块扫描业务数据库，并基于业务数据库生成数据安全规则；
20.s220：前置代理加解密中间件接收数据安全规则并解析；
21.s230：前置代理加解密中间件根据解析结果选择加解密策略。
22.与本发明的一实施例中，数据治理安全扫描模块扫描业务数据库的内容包括业务数据库的数据集、数据量、数据类型和风险类型中的至少一个。
23.与本发明的一实施例中，步骤s140还包括：
24.s310：前置代理加解密中间件接收业务数据库存储加密密文的响应结果；
25.s320：前置代理加解密中间件将响应结果发送至业务模块。
26.与本发明的一实施例中，预设加密机的加密算法包括国密sm1、sm2、sm3、sm4以及rsa、ecc、aes、des加密算法中的至少一种算法。
27.与本发明的一实施例中，该方法还包括：
28.s410：前置代理加解密中间件接收业务模块的数据查询请求，并解析获取加解密策略；
29.s420：前置代理加解密中间件连接业务数据库并发送数据查询请求获得加密密文；
30.s430：前置代理加解密中间件根据加解密策略和加密密文调用预设加密机进行解密，得到解密数据；
31.s440：前置代理加解密中间件将解密数据发送至业务模块。
32.本发明还提供一种电子设备，所述电子设备包括：
33.一个或多个处理器；
34.存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述电子设备实现如上述实施例中任一项所述的一种前置代理的智能数据库加密方法。
35.本发明还提供一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序被计算机的处理器执行时，使计算机执行如上述实施例中任一项所述的一种前置代理的智能数据库加密方法。
36.本发明的有益效果：本发明提供一种前置代理的智能数据库加密系统、方法、设备及介质，该系统包括数据治理安全扫描模块、业务数据库、前置代理加解密中间件、业务模块以及预设加密机，该方法通过前置代理加解密中间件驱动连接业务模块；获取业务模块对应的业务数据库，并与业务数据库建立通信连接；根据数据治理安全扫描模块扫描业务数据库生成的数据安全规则选择加解密策略；根据加解密策略调用预设加密机进行数据加密，并将加密密文发送至业务数据库。能够自能识别，自动生成的数据安全规则，通过前置代理加解密中间件自动完成代理的加解密表、密钥、规则，实现零配置的安全数据存储，同时通过前置代理加解密中间件实现业务数据库与业务模块之间的通信，有效防止数据泄露和网络攻击；前置代理加解密中间件是在业务数据库和业务模块之间实现的，不需要对现有应用程序进行修改；前置代理加解密中间件可以连接多个业务数据库和多个业务模块，具有较好的可扩展性。
37.上述说明仅是本技术技术方案的概述，为了能够更清楚了解本技术的技术手段，而可依照说明书的内容予以实施，并且为了让本技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本技术的具体实施方式。
附图说明
38.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：
39.图1为本发明的一示例性实施例示出的一种前置代理的智能数据库加密系统结构示意图；
40.图2为本发明的一示例性实施例示出的一种前置代理的智能数据库加密方法的流程图；
41.图3为本发明的一示例性实施例示出的一种前置代理的智能数据库加密方法中步骤s130的流程图；
42.图4为本发明的一示例性实施例示出的一种前置代理的智能数据库加密方法中步骤s140的流程图；
43.图5为本发明的一示例性实施例示出的一种前置代理的智能数据库加密方法中查询数据流程图；
44.图6为本发明的一示例性实施例示出的电子设备的计算机系统的结构示意图。
具体实施方式
45.以下将参照附图和优选实施例来说明本发明的实施方式，本领域技术人员可由本说明书中所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。应当理解，优选实施例仅为了说明本发明，而不是为了限制本发明的保护范围。
46.需要说明的是，以下实施例中所提供的图示仅以示意方式说明本发明的基本构
想，遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制，其实际实施时各组件的型态、数量及比例可为一种随意的改变，且其组件布局型态也可能更为复杂。
47.在下文描述中，探讨了大量细节，以提供对本发明实施例的更透彻的解释，然而，对本领域技术人员来说，可以在没有这些具体细节的情况下实施本发明的实施例是显而易见的，在其他实施例中，以方框图的形式而不是以细节的形式来示出公知的结构和设备，以避免使本发明的实施例难以理解。
48.首先需要说明的是，数据库加密是指对数据库中的敏感数据进行加密处理，以保护数据的机密性和安全性。其原理是通过对数据库进行加密和解密操作，保护数据库中的敏感信息不被非法访问、窃取、篡改等恶意攻击，确保数据库的安全性和完整性。
49.一般来说，数据库加密可以采用两种方式，分别是“透明加密”和“应用程序加密”。
50.透明加密：这种方式下，数据库系统负责对敏感数据进行加密和解密，而应用程序不需要做任何修改。透明加密的好处在于不需要修改应用程序代码，对系统集成的影响较小，但对系统性能有一定影响。
51.应用程序加密：这种方式下，应用程序需要对敏感数据进行加密和解密，而数据库系统不负责加密和解密操作。应用程序加密需要在应用程序中进行修改，对系统性能影响较小，但对应用程序的代码进行修改和维护较为麻烦。
52.在加密算法方面，目前常用的数据库加密算法包括对称加密算法和非对称加密算法。对称加密算法包括des、3des、aes等，这些算法的特点是加密解密速度快，适合对大量数据进行加密处理；非对称加密算法包括rsa、ecc等，这些算法的特点是安全性较高，适合对小量数据进行加密处理。
53.数据库加密是一种常用的数据保护手段，可以有效保护数据库中的敏感数据不被恶意攻击和窃取，提高数据安全性和机密性。
54.前置代理的智能数据库加密是指通过在数据库与业务应用之间插入一个智能的代理中间件，对数据库进行加密和解密操作，并自动形成安全规则策略，实现数据库的智能化保护。
55.该技术的原理是在前置代理中间件中实现加密算法，通过代理服务器对数据进行加密和解密操作，保证数据传输的安全性。同时，中间件能够自动识别数据类型，并根据安全规则策略对不同类型的数据进行相应的加密处理，从而实现数据库的智能加密。
56.智能数据库加密技术可以保护数据库中的敏感数据不被恶意获取或篡改，提高数据安全性和隐私保护能力。同时，由于该技术在代理中间件中实现加密算法，能够减轻数据库服务器的压力，提高系统性能。
57.图1为本发明的一示例性实施例示出的一种前置代理的智能数据库加密系统结构示意图；
58.如图1所示，本发明提供的一种前置代理的智能数据库加密系统，包括：
59.数据治理安全扫描模块101，所述数据治理安全扫描模块101用于对业务数据库102进行扫描监测，并基于业务数据库102生成数据安全规则；
60.业务数据库102，所述业务数据库102与所述数据治理安全扫描模块101通信连接，所述业务数据库102用于存储加密后的密文；
61.前置代理加解密中间件103，所述前置代理加解密中间件103与所述数据治理安全扫描模块101、所述业务数据库102通信连接，所述前置代理加解密中间件103用于接收数据安全规则并解析，基于数据安全规则调用预设加密机105进行数据加密，并将加密密文存储至业务数据库102；
62.业务模块104，所述业务模块104与所述前置代理加解密中间件103通信连接，所述业务模块104用于生成数据；
63.预设加密机105，所述预设加密机105与所述前置代理加解密中间件103通信连接，所述预设加密机105用于实现数据加密。
64.具体的，数据治理安全扫描模块101用于对业务数据库102进行扫描监测，并基于业务数据库102生成数据安全规则中，通过数据治理安全扫描模块101，对业务数据库102进行扫描监测，收集业务数据库102运行状态、异常日志、错误日志等信息，以及对应业务数据库102的结构、表、列等信息。
65.根据不同的数据安全级别，对业务数据库102进行分级分类扫描，以保证对重要数据的高度关注和保护。同时，数据治理安全扫描模块101还可支持特定的业务需求和规则。
66.在本发明的一实施例中，分级分类规则包括：分级规则和分类规则。分级规则如下表所示：
[0067][0068][0069]
分类规则如下表所示：
[0070]
[0071][0072]
根据扫描监测收集到的信息，基于业务数据库102生成数据安全规则。数据安全规则包括金融标准、个人信息保护要求、推荐敏感数据标准规则等。
[0073]
在扫描监测过程中，数据治理安全扫描模块101主动发现敏感数据，如身份证号码、银行账号、密码等，并形成数据加密安全规则。同时，也能够识别是否需要对应用或数据库客户端进行加密保护。
[0074]
根据生成的数据加密安全规则，可实现对应用或数据库客户端的智能透明方式加密保护。例如，在业务模块104连接业务数据库102时，前置代理加解密中间件103自动加载相应的加密插件，对数据进行加密传输和存储。用户无需手动开启加密功能，也不会影响正常业务使用。
[0075]
于本发明的一实施例中，系统不仅支持通过数据治理安全扫描模块101对业务数据库102进行扫描监测，并基于业务数据库102生成数据安全规则，还支持通过手动添加配置文件方式完成数据安全规则配置。
[0076]
在手动配置模式中：
[0077]
数据治理安全扫描模块101提供手动配置文件的接口，允许管理员或用户根据自
身需求进行安全配置。
[0078]
定义配置文件格式，包括需要加密的数据类型、加密算法、加密密钥等相关信息。
[0079]
用户可以根据自己的安全需求，手动编辑配置文件，指定需要加密的数据和相应的加密方式。
[0080]
系统根据配置文件中的信息，对数据库中的数据进行加密或其他安全处理。
[0081]
通过提供智能扫描和手动配置两种方式，用户可以根据自己的需求选择合适的方式进行数据安全管理。智能扫描能够自动监测和配置加密规则，减少用户的工作量和错误风险；而手动配置则提供了更大的灵活性，允许用户根据具体情况进行个性化的安全配置。若没有手动添加配置文件，则数据治理安全扫描模块101默认采用智能扫描方式扫描业务数据库102生成数据加密安全规则。
[0082]
于本发明的一实施例中，所述前置代理加解密中间件103连接一个或多个业务模块104，所述前置代理加解密中间件103连接一个或多个业务数据库102。具体的，通过前置代理加解密中间件103连接业务数据库102，可以保护敏感数据的安全性，有效防止数据库遭受攻击和数据泄露。同时，中间件可以根据安全策略对数据进行加密和解密，使得数据在传输过程中得到保护，降低了数据被窃取的风险。
[0083]
通过前置代理加解密中间件103连接多个业务模块104，可以简化业务模块104之间的通信，提高系统的整体性能和效率。同时，中间件可以对通信数据进行加密和解密，保障数据传输的安全性。
[0084]
通过前置代理加解密中间件103连接多个业务模块104和业务数据库102，可以统一管理和维护系统中的安全策略和加解密规则，简化系统的管理和维护工作。此外，中间件可以提供诊断和监控功能，帮助系统管理员及时发现和解决安全问题。
[0085]
图2为本发明的一示例性实施例示出的一种前置代理的智能数据库加密方法的流程图；
[0086]
如图2所示，本发明提供的一种前置代理的智能数据库加密方法，包括以下步骤：
[0087]
s110：前置代理加解密中间件103驱动连接业务模块104；
[0088]
s120：前置代理加解密中间件103获取业务模块104对应的业务数据库102，并与业务数据库102建立通信连接；
[0089]
s130：前置代理加解密中间件103根据数据治理安全扫描模块101扫描业务数据库102生成的数据安全规则选择加解密策略；
[0090]
s140：前置代理加解密中间件103根据加解密策略调用预设加密机105进行数据加密，并将加密密文发送至业务数据库102。
[0091]
具体的，加解密策略是指在数据加解密过程中所采用的具体算法、参数和配置的组合。它定义了在加密和解密操作中使用的加密算法、密钥管理方式、加密模式、填充方式。
[0092]
本发明采用的加解密策略包括：
[0093]
加密算法：加密算法包括对称加密算法和非对称加密算法。常见的对称加密算法包括aes、des、3des等，而常见的非对称加密算法包括rsa、ecc等。
[0094]
密钥长度：密钥长度是指加密算法中所使用的密钥的位数。通常情况下，密钥长度越长，加密强度越高，但也会增加计算和处理的复杂性。
[0095]
加密模式：加密模式定义了对明文进行分组加密的方式，如ecb(电子密码本模
式)、cbc(密码分组链接模式)、ctr(计数器模式)等。
[0096]
填充方式：填充方式用于在加密操作中对不满足块长度要求的数据进行填充，常见的填充方式有pkcs7、iso 10126、zero padding等。
[0097]
密钥管理：密钥管理涉及到密钥的生成、分发、存储和更新等方面的操作，包括密钥的安全存储和传输。
[0098]
本发明在制定加解密策略时，综合业务模块104以及业务数据库102的安全性、性能、可扩展性和兼容性等因素，通过数据治理安全扫描模块101扫描业务数据库102的内容(包括业务数据库102的数据集、数据量、数据类型和风险类型)，根据业务模块104和业务数据库102的实际需求选择合适的加密算法、密钥长度、加密模式、填充方式以及密钥管理方式。
[0099]
于本发明的一实施例中，预设加密机105的加密算法包括国密sm1、sm2、sm3、sm4以及rsa、ecc、aes、des加密算法中的至少一种算法。具体的，预设加密机105使用国密sm1、sm2、sm3、sm4加密算法，相比其他加密算法，国密算法具有更高的安全性和可信度，并能够抵御当前已知的主流密码攻击手段。同时，rsa、ecc、aes、des等算法也被广泛应用于信息安全领域，在不同的场景下发挥着重要的作用。
[0100]
使用预设加密机105可以保障数据传输的机密性、完整性和可用性，防止敏感信息泄漏、篡改和攻击。使用预设加密机105能够为业务数据提供更高的安全保障和可靠性。
[0101]
具体的，通过前置代理加解密中间件103的加密功能，可以对业务数据库102中的敏感数据进行加密，提升数据的安全性，防止数据泄露和非法访问。
[0102]
加密过程中使用的加密算法和密钥管理策略可以保护数据的完整性，确保数据在传输和存储过程中不被篡改。
[0103]
前置代理加解密中间件103根据数据治理安全扫描模块101生成的数据安全规则选择加解密策略，实现了根据不同的业务模块104与业务系统生成不同的加解密策略，简化了系统配置和管理的复杂性。
[0104]
业务模块104可以无需关心具体的加解密过程，通过前置代理加解密中间件103进行数据加解密操作，实现了系统对业务模块104的透明性，不影响业务逻辑的实现。
[0105]
通过前置代理加解密中间件103的驱动连接业务模块104和业务数据库102，可以支持多种业务模块104和数据库的接入，具备较高的灵活性和可扩展性，适应不同业务场景的需求。
[0106]
通过前置代理加解密中间件103的功能和机制，可以提供数据安全性的增强、数据完整性的保护，并简化系统配置和管理，实现对业务模块104的透明性和系统的灵活性。
[0107]
图3为本发明的一示例性实施例示出的一种前置代理的智能数据库加密方法中步骤s130的流程图；
[0108]
如图3所示，本发明提供的一种前置代理的智能数据库加密方法，所述方法中步骤s130具体包括：
[0109]
s210：数据治理安全扫描模块101扫描业务数据库102，并基于业务数据库102生成数据安全规则；
[0110]
s220：前置代理加解密中间件103接收数据安全规则并解析；
[0111]
s230：前置代理加解密中间件103根据解析结果选择加解密策略。
[0112]
于本发明的一实施例中，数据治理安全扫描模块101扫描业务数据库102的内容包括业务数据库102的数据集、数据量、数据类型和风险类型中的至少一个。
[0113]
具体实现s210步骤的方式可以根据具体业务需求和安全规则的定义进行设计。以下是本发明一种实施例的实现方法：
[0114]
数据库扫描：数据治理安全扫描模块101连接到业务数据库102，执行数据库扫描操作，遍历数据库中的表和字段，获取数据结构和敏感字段信息。
[0115]
敏感数据识别：对扫描得到的数据进行敏感数据识别，使用正则表达式、关键词匹配、数据模式匹配技术来判断字段是否属于敏感数据。例如，个人身份证号、银行账号等属于敏感数据。
[0116]
安全规则生成：根据扫描结果，生成数据安全规则。安全规则可以包括敏感字段的加密要求、访问控制策略、数据脱敏规则等。规则可以使用特定的数据结构或配置文件进行表示，以便后续的解析和应用。
[0117]
在实际实现中，可以根据具体业务需求，使用相关的技术和工具进行数据库扫描、敏感数据识别和规则生成。同时，需要考虑安全规则的更新和管理机制，以保证规则的实时性和有效性。
[0118]
具体实现s230步骤的方式可以根据解析结果和加解密策略的定义进行设计。以下是本发明一种实施例的实现方法：
[0119]
解析规则：前置代理加解密中间件103解析数据治理安全扫描模块101生成的数据安全规则。解析过程根据安全规则的表示方式进行解析，例如读取配置文件、解析特定的数据结构。
[0120]
加解密策略定义：根据解析结果，定义加解密策略。加解密策略包括使用的加密算法、密钥长度、加密模式、填充方式以及密钥管理方式。根据不同的规则和敏感字段的要求，可以针对每个字段或数据类别制定相应的加解密策略。
[0121]
策略匹配：根据解析得到的规则和字段信息，匹配相应的加解密策略。可以使用条件判断、规则匹配等方式进行策略匹配。
[0122]
加解密策略应用：根据匹配到的加解密策略，将策略应用于相应的数据。根据需求，对需要加密的字段进行加密处理，或者对已加密的字段进行解密处理。同时，可能需要进行密钥管理、访问控制等操作。
[0123]
在具体的业务场景中，前置代理加解密中间件103根据数据安全规则和业务场景选择最优的加解密算法和策略，确保数据安全性和保密性。此处不对数据安全规则和加解密策略做出具体限定。
[0124]
具体的，通过数据治理安全扫描模块101扫描业务数据库102的具体信息，根据具体信息生成数据安全规则，提高数据的安全性和完整性。同时，前置代理加解密中间件103能够根据数据安全规则动态地选择合适的加解密策略，保障数据的隐私和保密性。
[0125]
图4为本发明的一示例性实施例示出的一种前置代理的智能数据库加密方法中步骤s140的流程图；
[0126]
如图4所示，本发明提供的一种前置代理的智能数据库加密方法，所述方法中步骤s140具体包括：
[0127]
s310：前置代理加解密中间件103接收业务数据库102存储加密密文的响应结果；
[0128]
s320：前置代理加解密中间件103将响应结果发送至业务模块104。
[0129]
图5为本发明的一示例性实施例示出的一种前置代理的智能数据库加密方法中查询数据流程图；
[0130]
如图5所示，本发明提供的一种前置代理的智能数据库加密方法，所述方法中查询数据具体包括：
[0131]
s410：前置代理加解密中间件103接收业务模块104的数据查询请求，并解析获取加解密策略；
[0132]
s420：前置代理加解密中间件103连接业务数据库102并发送数据查询请求获得加密密文；
[0133]
s430：前置代理加解密中间件103根据加解密策略和加密密文调用预设加密机105进行解密，得到解密数据；
[0134]
s440：前置代理加解密中间件103将解密数据发送至业务模块104。
[0135]
具体的，上述通过前置代理加解密中间件103查询数据，实现了前置代理加解密中间件103作为一个安全网关的作用，对业务模块104的数据进行加密和解密，保障了数据的安全性和可靠性。
[0136]
通过前置代理加解密中间件103的加密和解密过程，业务模块104的数据得到了有效的保护和安全防护，有效避免了敏感信息的泄露和恶意攻击；通过前置代理加解密中间件103的数据查询请求和预设加密机105的解密过程，保障了业务模块104数据的完整性和准确性，有效降低了数据风险和业务风险；通过前置代理加解密中间件103对数据加密和解密的优化处理，有效提升了业务模块104的性能和效率，减少了数据传输的延迟和负载，提升了业务模块104的稳定性和可用性。
[0137]
需要说明的是，上述实施例所提供的一种前置代理的智能数据库加密系统与上述实施例所提供的一种前置代理的智能数据库加密方法属于同一构思，其中各个模块和单元执行操作的具体方式已经在方法实施例中进行了详细描述，此处不再赘述。上述实施例所提供的一种前置代理的智能数据库加密系统在实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将系统的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能，本处也不对此进行限制。
[0138]
本技术的实施例还提供了一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述电子设备实现上述各个实施例中提供的一种前置代理的智能数据库加密方法。
[0139]
图6示出了适于用来实现本技术实施例的电子设备的计算机系统的结构示意图。需要说明的是，图6示出的电子设备的计算机系统600仅是一个示例，不应对本技术实施例的功能和使用范围带来任何限制。
[0140]
如图6所示，计算机系统600包括中央处理单元(central processing unit，cpu)601，其可以根据存储在只读存储器(read-only memory，rom)602中的程序或者从储存部分608加载到随机访问存储器(random access memory，ram)603中的程序而执行各种适当的动作和处理，例如执行上述实施例中所述的方法。在ram 603中，还存储有系统操作所需的各种程序和数据。cpu 601、rom 602以及ram 603通过总线604彼此相连。输入/输出(input/output，i/o)接口605也连接至总线604。
[0141]
以下部件连接至i/o接口605：包括键盘、鼠标等的输入部分606；包括诸如阴极射线管(cathode ray tube，crt)、液晶显示器(liquid crystal display，lcd)等以及扬声器等的输出部分607；包括硬盘等的储存部分608；以及包括诸如lan(local area network，局域网)卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至i/o接口605。可拆卸介质611，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器610上，以便于从其上读出的计算机程序根据需要被安装入储存部分608。
[0142]
特别地，根据本技术的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本技术的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的计算机程序。在这样的实施例中，该计算机程序可以通过通信部分609从网络上被下载和安装，和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(cpu)601执行时，执行本技术的系统中限定的各种功能。
[0143]
需要说明的是，本技术实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(erasable programmable read only memory，eprom)、闪存、光纤、便携式紧凑磁盘只读存储器(compact disc read-only memory，cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本技术中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的计算机程序。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的计算机程序可以用任何适当的介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。
[0144]
附图中的流程图和框图，图示了按照本技术各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。其中，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
[0145]
描述于本技术实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现，所描述的单元也可以设置在处理器中。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定。
[0146]
本技术的另一方面还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如前所述的一种前置代理的智能数据库加密方法。该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的，也可以是单独存在，而未装配入该电子设备中。
[0147]
本技术的另一方面还提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述各个实施例中提供的一种前置代理的智能数据库加密方法。
[0148]
上述实施例仅示例性说明本发明的原理及其功效，而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下，对上述实施例进行修饰或改变。因此，但凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变，仍应由本发明的权利要求所涵盖。

技术特征：
1.一种前置代理的智能数据库加密系统，其特征在于,包括：数据治理安全扫描模块，所述数据治理安全扫描模块用于对业务数据库进行扫描监测，并基于业务数据库生成数据安全规则；业务数据库，所述业务数据库与所述数据治理安全扫描模块通信连接，所述业务数据库用于存储加密后的密文；前置代理加解密中间件，所述前置代理加解密中间件与所述数据治理安全扫描模块、所述业务数据库通信连接，所述前置代理加解密中间件用于接收数据安全规则并解析，基于数据安全规则调用预设加密机进行数据加密，并将加密密文存储至业务数据库；业务模块，所述业务模块与所述前置代理加解密中间件通信连接，所述业务模块用于生成数据；预设加密机，所述预设加密机与所述前置代理加解密中间件通信连接，所述预设加密机用于实现数据加密。2.根据权利要求1所述的一种前置代理的智能数据库加密系统，其特征在于，所述前置代理加解密中间件连接一个或多个业务模块，所述前置代理加解密中间件连接一个或多个业务数据库。3.一种前置代理的智能数据库加密方法，应用于前置代理的智能数据库加密系统，其特征在于，包括以下步骤：s110：前置代理加解密中间件驱动连接业务模块；s120：前置代理加解密中间件获取业务模块对应的业务数据库，并与业务数据库建立通信连接；s130：前置代理加解密中间件根据数据治理安全扫描模块扫描业务数据库生成的数据安全规则选择加解密策略；s140：前置代理加解密中间件根据加解密策略调用预设加密机进行数据加密，并将加密密文发送至业务数据库。4.根据权利要求3所述的一种前置代理的智能数据库加密方法，其特征在于，步骤s130具体包括：s210：数据治理安全扫描模块扫描业务数据库，并基于业务数据库生成数据安全规则；s220：前置代理加解密中间件接收数据安全规则并解析；s230：前置代理加解密中间件根据解析结果选择加解密策略。5.根据权利要求4所述的一种前置代理的智能数据库加密方法，其特征在于，数据治理安全扫描模块扫描业务数据库的内容包括业务数据库的数据集、数据量、数据类型和风险类型中的至少一个。6.根据权利要求3所述的一种前置代理的智能数据库加密方法，其特征在于，步骤s140还包括：s310：前置代理加解密中间件接收业务数据库存储加密密文的响应结果；s320：前置代理加解密中间件将响应结果发送至业务模块。7.根据权利要求3所述的一种前置代理的智能数据库加密方法，其特征在于，预设加密机的加密算法包括国密sm1、sm2、sm3、sm4以及rsa、ecc、aes、des加密算法中的至少一种算法。
8.根据权利要求3所述的一种前置代理的智能数据库加密方法，其特征在于，还包括：s410：前置代理加解密中间件接收业务模块的数据查询请求，并解析获取加解密策略；s420：前置代理加解密中间件连接业务数据库并发送数据查询请求获得加密密文；s430：前置代理加解密中间件根据加解密策略和加密密文调用预设加密机进行解密，得到解密数据；s440：前置代理加解密中间件将解密数据发送至业务模块。9.一种电子设备，其特征在于，所述电子设备包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述电子设备实现如权利要求3至8中任一项所述的一种前置代理的智能数据库加密方法。10.一种计算机可读存储介质，其特征在于，其上存储有计算机程序，当所述计算机程序被计算机的处理器执行时，使计算机执行权利要求3至8中任一项所述的一种前置代理的智能数据库加密方法。

技术总结
本发明提供一种前置代理的智能数据库加密系统、方法、设备及介质，该系统包括数据治理安全扫描模块、业务数据库、前置代理加解密中间件、业务模块以及预设加密机，该方法通过前置代理加解密中间件驱动连接业务模块；获取业务模块对应的业务数据库，并与业务数据库建立通信连接；根据数据治理安全扫描模块扫描业务数据库生成的数据安全规则选择加解密策略；根据加解密策略调用预设加密机进行数据加密，并将加密密文发送至业务数据库。通过前置代理加解密中间件实现业务数据库与业务模块之间的通信，有效防止数据泄露和网络攻击；同时，前置代理加解密中间件可以连接多个业务数据库和多个业务模块，具有较好的可扩展性。具有较好的可扩展性。具有较好的可扩展性。


技术研发人员：白云
受保护的技术使用者：深圳云创数安科技有限公司
技术研发日：2023.05.17
技术公布日：2023/8/21