(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111643067.3 (22)申请日 2021.12.3 0 (65)同一申请的已公布的文献号 申请公布号 CN 114491580 A (43)申请公布日 2022.05.13 (73)专利权人 深圳市恒创智达信息技 术有限公 司 地址 518000 广东省深圳市福田区沙 头街 道天安社区泰然九路与泰然六路交汇 处红松大厦A区9B-2 (72)发明人 雷启明　 (74)专利代理 机构 深圳市深软翰琪知识产权代 理有限公司 4 4380 专利代理师 吴雅丽(51)Int.Cl. G06F 21/60(2013.01) G06F 21/62(2013.01) (56)对比文件 CN 110427779 A,2019.1 1.08 CN 110245513 A,2019.09.17 审查员 王青 (54)发明名称 一种数据库敏感信息加密方法及装置 (57)摘要 本发明公开一种数据库敏感信息加密方法 及装置， 该方法包括： 预先设计一字段加密标记， 将该字段加密标记添加在数据库中需要被加密 的字段上； 将加密密钥进行解密获得明文密钥， 以初始化值转换器； 对已添加字段加密标记的加 密字段进行解析， 为该加密字段添加对应的值转 换器； 从数据库中读取数据时， 值转换器从数据 库中获取数据， 并检查该数据是否已被加密， 如 果是， 则进行解密； 向数据库中写入数据时， 值转 换器预先检查该数据是否需要被加密的字段， 如 果是， 则检查该数据是否已被加密， 如果否， 则进 行加密后再将其写入数据库。 本发 明通过对需要 进行加密的字段进行字段加密标记， 实现了自动 根据字段加密标记添加数据库字段值转换器的 机制。 权利要求书2页 说明书7页 附图1页 CN 114491580 B 2022.10.04 CN 114491580 B 1.一种数据库敏感信息加密方法， 其特征在于： 基于.NET  Core支持的反射机制， 对数 据库中需要被加密的字段进行自动检测标记并进行加解密， 具体包括： 预先设计一字段加密标记， 将该字段加密标记添加在数据库中需要被加密的字段上， 作为已添加字段加密标记的加密字段； 将加密密钥进行解密获得明文密钥， 以用来初始化 值转换器； 对已添加字段加密标记的加密字段进行解析， 并为该加密字段 添加对应的值 转换器； 从数据库中读取数据时， 值转换器从数据库中获取数据， 并检查该数据 是否已被加密， 如果是， 则进行解密； 向数据库中写入数据时， 值转换器预先检查该数据 是否需要被加密的字段， 如果是， 则 检查该数据是否已被加密， 如果否， 则进行加密后再将其写入数据库； 其中， 所述初始化值 转换器包括如下 过程： 读取密钥配置文件， 获取 所有的加密后的加密 密钥； 获取到所有的加密密钥之后， 加载密钥服务器连接服务， 并将所有的加密密钥通过安 全信道传输给密钥服务器， 在密钥服务器中解密之后， 得到明文密钥并返回； 获取到所有的 明文密钥后， 将其存储在内存当中； 如果 获取明文密钥的过程中出现任何异常， 导致未能获 取到所有明文密钥， 则重新尝试获取密钥， 直到 完成获取 所有明文密钥； 获取所有明文密钥后， 读取配置项， 建立实体与数据库表的对应关系； 在读取配置项过 程中， 扫描实体中每个字段上的标记； 如果 实体的各字段上不包含任何标记， 则正常建立和 数据库字段的对应关系； 如果实体包含具有字段加密标记的字段， 则根据字段加密标记配 置计算得出对应的密钥编号， 并根据密钥编号获取字段对应的明文密钥， 使用该明文密钥 初始化值转换器， 并创建调用该值转换器的数据转换器； 之后在建立实体字段和数据库字 段的对应关系时， 将该 数据转换器添加到对应关系当中。 2.根据权利要求1所述的数据库 敏感信息加密方法， 其特征在于： 所述将字段加密标记 添加在数据库中需要被加密的字段上具体包括： 根据数据库表结构， 判断数据库中哪些字 段需要进行加密， 并在该需要进行加密的字段对应的实体字段上增加字段加密标记， 以表 明该字段需要 进行加密。 3.根据权利要求1所述的数据库 敏感信息加密方法， 其特征在于： 所述将字段加密标记 添加在数据库中需要被加密的字段上还包括： 完成字段加密标记后， 增加数据库连接初始 化代码和 服务初始化代码； 所述数据库连接初始化代码用于自动识别实体字段上 的标记， 并在建立与数据库的对应关系时增加数据转换器； 所述服务初始化代码用于增加密钥服务 器连接服 务， 用于将配置文件中的加密 密钥解密为实际可使用的明文密钥。 4.根据权利要求1所述的数据库 敏感信息加密方法， 其特征在于： 所述值转换器预先检 查该数据是否需要被加密的字段具体包括： 所述值转换器 自动识别数据的数据格式， 根据 数据格式判断该数据是否需要加解密； 如果数据包含特殊格式的数据头， 则在加密时不加 密该数据， 在解密时尝试解密该数据； 如果数据不包含该数据头， 则在加密时加密该数据， 在解密时不尝试解密该 数据。 5.根据权利要求1所述的数据库 敏感信息加密方法， 其特征在于： 从数据库中读取数据 时， 数据从数据库中读取出来后， 根据实体与数据库 表的对应关系进 行转换； 如果对应关系 中包含数据转换器， 则调用数据转换器中的值 转换器， 对数据进行解密。权　利　要　求　书 1/2 页 2 CN 114491580 B 26.根据权利要求1所述的数据库 敏感信息加密方法， 其特征在于： 向数据库中写入数据 时， 在数据写入数据库之前， 根据实体与数据库 表的对应关系进 行转换； 如果对应 关系中包 含数据转换器， 则调用数据转换器中的值 转换器， 对数据进行加密。 7.一种数据库敏感信息加密装置， 其特 征在于： 包括： 预处理单元， 该预处理单元预先设计一字段加密标记， 将该字段加密标记添加在数据 库中需要被加密的字段 上， 作为已添加字段加密标记的加密字段； 值转换器， 该值转换器用于对已添加字段加密标记的加密字段进行加密和解密； 初始 化单元， 该初始化单 元将加密 密钥进行解密获得明文密钥， 以用来初始化 值转换器； 分析器， 该分析器用于对已添加字段加密标记的加密字段进行解析， 并为该加密字段 添加对应的值 转换器； 执行单元， 该执行单元用于执行： 从数据库中读取数据时， 值转换器从数据库中获取数 据， 并检查该数据是否已被加密， 如果是， 则进 行解密； 向数据库中写入 数据时， 值转换器预 先检查该数据是否需要被加密的字段， 如果是， 则检查该数据是否已被加密， 如果否， 则进 行加密后再将其写入数据库； 其中， 所述初始化单 元的初始化 值转换器具体包括： 读取密钥配置文件， 获取 所有的加密后的加密 密钥； 获取到所有的加密密钥之后， 加载密钥服务器连接服务， 并将所有的加密密钥通过安 全信道传输给密钥服务器， 在密钥服务器中解密之后， 得到明文密钥并返回； 获取到所有的 明文密钥后， 将其存储在内存当中； 如果 获取明文密钥的过程中出现任何异常， 导致未能获 取到所有明文密钥， 则重新尝试获取密钥， 直到 完成获取 所有明文密钥； 获取所有明文密钥后， 读取配置项， 建立实体与数据库表的对应关系； 在读取配置项过 程中， 扫描实体中每个字段上的标记； 如果 实体的各字段上不包含任何标记， 则正常建立和 数据库字段的对应关系； 如果实体包含具有字段加密标记的字段， 则根据字段加密标记配 置计算得出对应的密钥编号， 并根据密钥编号获取字段对应的明文密钥， 使用该明文密钥 初始化值转换器， 并创建调用该值转换器的数据转换器； 之后在建立实体字段和数据库字 段的对应关系时， 将该 数据转换器添加到对应关系当中。 8.根据权利要求7所述的数据库 敏感信息加密装置， 其特征在于： 所述预处理单元执行 如下操作： 根据数据库 表结构， 判断数据库中哪些字段需要进 行加密， 并在该需要进 行加密 的字段对应的实体字段 上增加字段加密标记， 以表明该字段需要 进行加密。 9.根据权利要求7所述的数据库 敏感信息加密装置， 其特征在于： 所述预处理单元还执 行如下操作： 完成字段加密标记后， 增加数据库连接初始 化代码和服务初始 化代码； 所述数 据库连接初始化代码用于自动识别实体字段上的标记， 并在建立与数据库的对应关系时增 加数据转换器； 所述服务初始化代码用于增加密钥服务器连接服务， 用于将配置文件中的 加密密钥解密为实际可使用的明文密钥。权　利　要　求　书 2/2 页 3 CN 114491580 B 3