(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211178363.5 (22)申请日 2022.09.26 (71)申请人 北京信格科技有限公司 地址 100089 北京市海淀区农大南路1号院 2号楼3层办公B- 302 (72)发明人 张俊　刘亚军　贺欢庆　代庆国　 (74)专利代理 机构 北京细软智谷知识产权代理 有限责任公司 1 1471 专利代理师 刘迪 (51)Int.Cl. G06F 21/60(2013.01) G06F 21/62(2013.01) G06F 21/64(2013.01) G06F 16/242(2019.01) (54)发明名称 一种非侵入式数据库加密方法、 系统和装置 (57)摘要 本发明涉及数据加密技术领域， 具体涉及一 种非侵入式数据库加密方法、 系统和装置， 本发 明客户端通过管控终端与动态脱敏 终端连接， 动 态脱敏终端与数据库连接， 管控终端用于对数据 进行加密处理， 本发明的技术方案中， 客户端的 请求通过管控终端进行处理后， 转发至数据库， 数据库返回的查询结果通过动态脱敏终端、 管控 终端进行处理后再传输至客户端， 本发明采用非 侵入式的技术方案实现了数据的加密， 且不需要 修改源代码或者往代码中插入其他的代码片段， 只需要在客户端将数据库地址修改为管控地址 即可实现， 不需要进行大量改造， 方便快捷， 用户 体验度好， 且可以快速的部署、 实施管控。 权利要求书1页 说明书6页 附图1页 CN 115510465 A 2022.12.23 CN 115510465 A 1.一种非侵入式数据库加密系统， 其特 征在于， 包括： 管控终端， 客户端通过所述管控终端与动态脱敏终端连接， 且所述动态脱敏终端与数 据库连接； 其中， 所述管控终端用于对数据进行加密处 理。 2.一种非侵入式数据库加密方法， 其特 征在于， 包括： 获取数据库的连接信息， 并对数据库中的数据进行聚合管理； 将聚合后的数据和加密规则发送至动态脱敏终端， 对聚合后的数据进行加密， 并返回 加密信息； 其中， 所述加密规则至少包括： 全量加密、 分词加密； 将所述加密信息以密文的方式保存到数据库中。 3.根据权利要求2所述的方法， 其特 征在于， 所述获取 数据库的连接信息， 包括： 获取数据库所在服务器的IP地址、 数据库的类型、 数据库连接的端口号、 数据库认证的 用户名和密码。 4.根据权利要求2所述的方法， 其特征在于， 所述对数据库中的数据进行聚合管理， 包 括： 将数据库中的多个数据表建立统一的映射关系， 并指定到数据集以形成逻辑虚拟层； 当需要访问数据集时， 根据所述逻辑虚拟层的信息， 映射到对应的数据表中。 5.根据权利要求2所述的方法， 其特 征在于， 所述加密规则， 具体为： 内置SM4、 AES、 DES算法和/或E CB、 CBC、 GC M、 FPE填充方式。 6.根据权利要求5所述的方法， 其特 征在于， 还 包括： 对数据集制定 权限控制策略。 7.根据权利要求6所述的方法， 其特征在于， 所述权限控制策略， 包括： 客户端对数据进 行操作、 可处 理的行级数据范围和对数据的加密方式。 8.根据权利要求7 所述的方法， 其特 征在于， 包括： 客户端对数据进行操作： 表新增权限、 表删除权限、 表修改权限、 表插入数据权限、 表查 询数据权限、 表删除数据权限、 表更新数据权限； 客户端可处理的行级数据范围： 将数据表放入数据集时， 通过过滤条件筛选出可加入 数据集的数据； 访问数据集时， 可访问筛 选后的行级数据。 9.根据权利要求2 ‑8任意一项所述的方法， 其特征在于， 所述客户端为： 移动网路设备、 PC浏览器、 和可访问数据库的设备或软件。 10.一种非侵入式数据库加密装置， 其特征在于， 包括如权利要求1 ‑7任意一项所述的 方法。权　利　要　求　书 1/1 页 2 CN 115510465 A 2一种非侵入式数据库加密方 法、 系统和装 置 技术领域 [0001]本发明涉及数据加密技术领域， 具体涉及一种非侵入式数据库加密方法、 系统和 装置。 背景技术 [0002]目前， 各大企业面临的计算环境和过去有很大的变化， 许多数据资源能够依靠网 络来远程存取， 而且越来越多的通讯依赖于公共网络(如Internet)， 而这些环境并不保证 实体间的安全通信， 数据在 传输过程可能被其它人读取或篡改。 [0003]隐私保护是数据库安全的重要内容， 其安全威胁主要来自于两方面。 一方面是数 据库系统外部， 利用系统的漏洞或者 非法获取访问权限， 从而窃取隐私数据； 另一方面是数 据库系统内部， 具有合法访问权限的数据库管理员， 存在探查、 泄 露隐私数据的可能性。 [0004]传统数据加密方法一般为在客户端进行管控， 针对不同类型的数据， 如： 身份证号 码、 银行卡号、 手机号等(列级)进行加密， 或针对不同数据范围， 如： 核心用户数据、 年终统 计数据等(行级)进行加密。 这种方式需要预先制定好规则， 通过硬编码的方式来实现。 其 中， 硬编码是侵入式， 需要将数据直接嵌入到程序或其他可执行对 象的源代码 中的软件开 发实践， 缺点为， 若规则发生变更， 客户终端需要进 行大量的代码改造， 改造难度系数大， 且 需要重新进 行测试、 部署、 上线， 带来不可预知的风险， 且后 期还需要厂商做专门的维护， 耗 费大量的人力物力。 发明内容 [0005]有鉴于此， 本 发明的目的在于提供一种非侵入式数据库加密方法、 系统和装置， 以 解决现有技术中采用硬编码对数据进行加密的方式， 在后期对数据进行改造时， 客户端也 需要进行改造， 耗费大量的人力物力的技 术问题。 [0006]根据本发明实施例的第一方面， 提供一种非侵入式数据库加密系统， 包括： [0007]管控终端， 客户端通过所述管控终端与动态脱敏终端连接， 且所述动态脱敏终端 与数据库连接； 其中， 所述管控终端用于对数据进行加密处 理。 [0008]根据本发明实施例的第二方面， 提供一种非侵入式数据库加密方法， 包括： [0009]获取数据库的连接信息， 并对数据库中的数据进行聚合管理； [0010]将聚合后的数据和加密规则发送至动态脱敏终端， 对聚合后的数据进行加密， 并 返回加密信息； 其中， 所述加密规则至少包括： 全量加密、 分词加密； [0011]将所述加密信息以密文的方式保存到数据库中。 [0012]优选地， 所述获取 数据库的连接信息， 包括： [0013]获取数据库所在服务器的IP 地址、 数据库的类型、 数据库连接的端口号、 数据库认 证的用户名和密码。 [0014]优选地， 所述对数据库中的数据进行聚合管理， 包括： [0015]将数据库中行级的多个数据表建立统一的映射关系， 并指定到数据集以形成逻辑说　明　书 1/6 页 3 CN 115510465 A 3