(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111658174.3 (22)申请日 2021.12.3 0 (71)申请人 济南超级计算技术研究院 地址 250215 山东省济南市中国 （山 东） 自 由贸易试验区济南片区经十东路 28666号 (72)发明人 杨新群　李晓峰　戚勇　王继志　 (74)专利代理 机构 济南圣达知识产权代理有限 公司 372 21 专利代理师 闫圣娟 (51)Int.Cl. G06F 21/60(2013.01) G06F 16/21(2019.01) G06F 21/46(2013.01) G06F 21/62(2013.01) (54)发明名称 一种表字段级加密及安全访问控制方法及 系统 (57)摘要 本发明公开一种表字段级加密及安全访问 控制方法及系统， 包括： 通过虚拟登录密码连接 第一服务器， 并接收第一服务器的访问请求消 息； 解析访问请求消息， 得到待加密的查询参数 及其值， 并根据加密字段确定的加密类型、 列加 密密钥的密文和列主密钥， 根据列主密钥解密列 加密密钥的密文， 根据加密类型和解密后的列加 密密钥对查询参数的值进行加密， 将加密后的查 询参数封装至访问请求消息中， 并转发至第二服 务器； 接收第二服务器的响应消息， 解析并解密 响应消息， 将解密后的响应消息发送至第一服务 器。 实现列主密钥的集中存储、 轮换、 状态更新 等， 避免列主密钥的传播， 解决泄 露风险。 权利要求书2页 说明书7页 附图1页 CN 114462059 A 2022.05.10 CN 114462059 A 1.一种表字段级加密 及安全访问控制方法， 其特 征在于， 包括： 通过虚拟登录密码连接第一 服务器， 并接收第一 服务器的访问请求消息； 解析访问请求消息， 得到待加密的查询参数及其值， 并根据加密字段确定的加密类型、 列加密密钥的密文和列主密钥， 根据列主密钥解密列加密密钥的密文， 根据加密类型和解 密后的列加密密钥对查询参数的值进行加密， 将加密后的查询参数封装至访问请求消息 中， 并转发至第二 服务器； 接收第二服务器的响应消息， 解析并解密响应消息， 将解密后的响应消息发送至第一 服务器。 2.如权利要求1所述的一种表字段级加密及安全访问控制方法， 其特征在于， 连接第 一 服务器后建立与第一服务器的加密信道， 以接 收访问请求消息， 与第一服务器的连接方式 包括虚拟登录密码、 IP地址验证、 登录时间验证、 登录 机器名验证或登录程序验证。 3.如权利要求1所述的一种表字段级加密及安全访问控制方法， 其特征在于， 所述列主 密钥被统一管理， 包括列主密钥的集中存储、 轮换和状态更新， 根据对访问请求消息的解析 确定列主密钥指纹， 以获取对应的列主密钥， 并解密列加密 密钥的密文。 4.如权利要求1所述的一种表字段级加密及安全访问控制方法， 其特征在于， 解析并解 密响应消息的过程中， 获取列的加密元数据， 包括加密字段、 加密类型、 列加密密钥的密文 以及列主密钥指纹， 根据列主密钥指纹调取对应的列主密钥， 以解密列加密密钥的密 文， 根 据加密类型和解密后的列加密 密钥解密响应消息 。 5.如权利要求1所述的一种表字段级加密及安全访问控制方法， 其特征在于， 将加密后 的查询参数封装至访问请求消息中， 同时修改查询参数元数据类型， 以将加密后的查询参 数封装至访问请求消息中的SQ L语句中， 完成消息体的修改； 将解密后的响应消息的明文封装至响应消息中时， 将加密元数据删除， 并还原字段类 型。 6.如权利要求1所述的一种表字段级加密及安全访问控制方法， 其特征在于， 所述控制 方法还包括对存储过程的OUT参数解密， 对存储过程的响应消息进 行解析得到加密类型， 并 采用预先缓存的列加密 密钥对OU T参数进行解密。 7.如权利要求1所述的一种表字段级加密及安全访问控制方法， 其特征在于， 所述控制 方法还包括危险行为拦截， 所述危险行为拦截包括DDL语句拦截、 DML语句拦截、 查询结果行 数控制、 登录失败次数控制。 8.一种表字段级加密 及安全访问控制系统， 其特 征在于， 包括： 通信模块， 被配置为通过虚拟登录密码连接第一服务器， 并接收第一服务器的访 问请 求消息； 加密模块， 被配置为解析访问请求消息， 得到待加密的查询参数及其值， 并根据加密字 段确定的加密类型、 列加密密钥的密 文和列主密钥， 根据列主密钥解密列加密密钥的密 文， 根据加密类型和解密后的列加密密钥对查询参数的值进行加密， 将加密后的查询参数封装 至访问请求消息中， 并转发至第二 服务器； 解密模块， 被配置为接收第 二服务器的响应消息， 解析并解密响应消息， 将解密后的响 应消息发送至第一 服务器。 9.一种电子设备， 其特征在于， 包括存储器和处理器以及存储在存储器上并在处理器权　利　要　求　书 1/2 页 2 CN 114462059 A 2上运行的计算机指 令， 所述计算机指 令被处理器运行时， 完成权利要求 1‑7任一项所述的方 法。 10.一种计算机可读存储介质， 其特征在于， 用于存储计算机指令， 所述计算机指令被 处理器执行时， 完成权利要求1 ‑7任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114462059 A 3