【GoldenDB】基于KMS服务的数据库透明加密方法、装置、设备和介质_CN202411928138.8_金篆信科有限责任公司.pdf

李奇

16页

0次

2025-04-02

免费下载

(19)国家知识产权局

(12)发明专利申请

(10)申请公布号

(43)申请公布日

(21)申请号 202411928138 .8

(22)申请日 2024 .12 .25

(71)申请人金篆信科有限责任公司

地址 100176 北京市大兴区经济技术开发

区科谷一街10号院8号楼18层(北京自

贸试验区高端产业片区亦庄组团)

(72)发明人姚帅鹏　

(74)专利代理机构北京品源专利代理有限公司

11332

专利代理师杨志欣

(51)Int.Cl.

G06F

21/60

(2013 .01)

G06F

21/62

(2013 .01)

(54)发明名称

基于KMS服务的数据库透明加密方法、装置、

设备和介质

(57)摘要

本发明公开了一种基于KMS服务的数据库透

明加密方法、装置、设备和介质。该方法包括应用

于分布式数据库系统的元数据管理模块，该方法

包括：响应于客户端下发的加密请求，确定KMS服

务端对应的KMS接口的接口标识信息；加密请求

为对目标数据库关联的敏感数据进行透明加密

的请求；确定目标数据库符合预设校验条件，则

依据接口标识信息从KMS服务端生成主密钥的明

文信息和密文信息，并将主密钥的密文信息保存

在元数据管理模块对应的备份单元中；依据主密

钥的明文信息对数据密钥进行加密，获得加密后

数据密钥，并将加密后数据密钥存储在备份单元

中。本发明技术方案实现保证分布式数据库合法

的服务，同时还能够使得数据库中加密数据得到

有效保护。

权利要求书2页说明书9页附图4页

CN 119740251 A

2025.04.01

CN 119740251 A

1 .一种基于KMS服务的数据库透明加密方法，其特征在于，应用于分布式数据库系统的

元数据管理模块，所述方法包括：

响应于客户端下发的加密请求，确定KMS服务端对应的KMS接口的接口标识信息；所述

加密请求为对目标数据库关联的敏感数据进行透明加密的请求；

确定所述目标数据库符合预设校验条件，则依据所述接口标识信息从所述KMS服务端

生成主密钥的明文信息和密文信息，并将所述主密钥的密文信息保存在所述元数据管理模

块对应的备份单元中；

依据所述主密钥的明文信息对数据密钥进行加密，获得加密后数据密钥，并将所述加

密后数据密钥存储在所述备份单元中；所述数据密钥为用于加密目标数据库关联的敏感数

据。

2 .根据权利要求1所述的方法，其特征在于，确定所述目标数据库符合预设校验条件，

包括：

通过数据库代理确定目标数据库对应的主备机状态；

若所述主备机状态处于正常状态，则确定所述目标数据库符合预设校验条件；

若所述主备机状态处于非正常状态，则确定所述目标数据库不符合预设校验条件，当

前透明加密任务失败。

3 .根据权利要求1所述的方法，其特征在于，依据所述接口标识信息从所述KMS服务端

生成主密钥的明文信息和密文信息，包括：

依据所述接口标识信息调用所述KMS服务端，接收所述KMS服务端生成并发送的主密钥

的明文信息和密文信息。

4 .根据权利要求1所述的方法，其特征在于，依据所述主密钥的明文信息对数据密钥进

行加密，包括：

将所述主密钥的明文信息下发至数据库代理，以使所述数据库代理将所述主密钥的明

文信息下发至所述目标数据库的数据节点，以使所述数据节点依据所述主密钥的明文信息

对数据密钥进行加密。

5 .根据权利要求1所述的方法，其特征在于，确定KMS服务端对应的KMS接口的接口标识

信息之后，所述方法还包括：将所述接口标识信息保存在所述备份单元中。

6 .根据权利要求5所述的方法，其特征在于，所述方法还包括：

响应于客户端下发的主密钥更新请求，从所述备份单元中获取所述接口标识信息和当

前主密钥的当前密文信息；

依据所述接口标识信息调用所述KMS服务端，并接受所述KMS服务端依据所述当前密文

信息生成的所述当前主密钥的当前明文信息；

根据所述当前明文信息，确定所述目标数据库是否符合密钥更新条件；

若符合，则依据所述接口标识信息从所述KMS服务端生成更新后主密钥的明文信息和

密文信息，并采用更新后主密钥的明文信息对所述数据密钥进行加密。

7 .根据权利要求6所述的方法，其特征在于，根据所述当前明文信息，确定所述目标数

据库是否符合密钥更新条件，包括：

若所述当前明文信息与当前缓存队列中的参考主密钥的参考明文信息一致，以及所述

目标数据库的主备机状态为正常状态，则确定所述目标数据库符合密钥更新条件。

权　利　要　求　书

1/2 页

CN 119740251 A

8.一种基于KMS服务的数据库透明加密装置，其特征在于，应用于分布式数据库系统的

元数据管理模块，所述装置包括：

标识信息确定模块，用于响应于客户端下发的加密请求，确定KMS服务端对应的KMS接

口的接口标识信息；所述加密请求为对目标数据库关联的敏感数据进行透明加密的请求；

密钥生成模块，用于确定所述目标数据库符合预设校验条件，则依据所述接口标识信

息从所述KMS服务端生成主密钥的明文信息和密文信息，并将所述主密钥的密文信息保存

在所述元数据管理模块对应的备份单元中；

加密模块，用于依据所述主密钥的明文信息对数据密钥进行加密，获得加密后数据密

钥，并将所述加密后数据密钥存储在所述备份单元中；所述数据密钥为用于加密目标数据

库关联的敏感数据。

9 .一种电子设备，其特征在于，所述电子设备包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所

述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1‑7中任一项所述的

基于KMS服务的数据库透明加密方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指

令，所述计算机指令用于使处理器执行时实现权利要求1‑7中任一项所述的基于KMS服务的

数据库透明加密方法。

权　利　要　求　书

2/2 页

CN 119740251 A

of 16

免费下载

goldendb patent

5浏览

【GoldenDB】查询计划生成方法、装置、存储介质及电子装置_CN202310442243.X_中兴通讯股份有限公司.pdf

5浏览

【GoldenDB】数据查询方法、服务器及存储介质_CN202310075275.0_中兴通讯股份有限公司.pdf

6浏览

【GoldenDB】指标查询方法、系统、电子设备和存储介质_CN202210901008.X_中兴通讯股份有限公司.pdf

6浏览

【GoldenDB】基于知识图谱的数据查询方法、系统、设备及存储介质_CN202111643082.8_中兴通讯股份有限公司.pdf

7浏览

CN119862170A 一种基于数据文件的分布式多副本高性能高可用方案.PDF

6浏览

chirpyli

关注

数据库内核开发工程师

相关文档

评论