本發(fā)明屬于數(shù)據(jù)安全與隱私保護(hù)的，具體地涉及一種基于密鑰托管的數(shù)據(jù)表動(dòng)態(tài)加解密方法及系統(tǒng)。

背景技術(shù)：

1、在當(dāng)今數(shù)字化時(shí)代，數(shù)據(jù)的安全性和隱私保護(hù)成為了至關(guān)重要的問題。隨著大數(shù)據(jù)技術(shù)的廣泛應(yīng)用，尤其是在像hive這樣的大規(guī)模數(shù)據(jù)處理環(huán)境中，對(duì)敏感數(shù)據(jù)進(jìn)行加密以防止未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露變得尤為關(guān)鍵。

2、現(xiàn)有的數(shù)據(jù)加密技術(shù)在hive中的應(yīng)用存在一些局限性。傳統(tǒng)的加密方法可能缺乏靈活的密鑰管理機(jī)制，導(dǎo)致密鑰的安全性和可用性難以保證。而且，許多加密算法的集成方式不夠便捷高效，無法滿足大規(guī)模數(shù)據(jù)處理中對(duì)實(shí)時(shí)性和性能的要求。此外，在實(shí)際應(yīng)用中，用戶對(duì)加密密鑰的生成和管理有著更高的自主性和安全性的需求。然而，當(dāng)前的解決方案往往無法提供一個(gè)既方便用戶操作，又能確保密鑰安全托管和有效管理的綜合方案，例如，一些加密系統(tǒng)要求用戶手動(dòng)管理復(fù)雜的密鑰生成和存儲(chǔ)過程，增加了用戶的操作負(fù)擔(dān)和出錯(cuò)風(fēng)險(xiǎn)。而另一些系統(tǒng)雖然提供了一定程度的自動(dòng)化，但在密鑰的安全性和與現(xiàn)有系統(tǒng)（如kms系統(tǒng)）的集成方面存在不足。

3、綜上所述，現(xiàn)有技術(shù)存在以下幾個(gè)缺點(diǎn)：

4、一、密鑰管理復(fù)雜?，F(xiàn)有的數(shù)據(jù)加密技術(shù)在hive中的應(yīng)用，密鑰管理通常較為復(fù)雜。用戶需要手動(dòng)處理密鑰的生成、存儲(chǔ)和更新，這不僅增加了操作的難度，還容易導(dǎo)致密鑰管理上的錯(cuò)誤，進(jìn)而影響數(shù)據(jù)的安全性。

5、二、密鑰硬編碼風(fēng)險(xiǎn)。現(xiàn)有的hive加密udf將密鑰硬編碼在函數(shù)中，這種方式存在極大的安全隱患，用戶在編寫sql的時(shí)候，需要寫上明文的密鑰，密鑰容易被窺視和泄露，使得加密數(shù)據(jù)有被非法解密的風(fēng)險(xiǎn)。而且硬編碼的密鑰難以靈活更新和管理，無法適應(yīng)密鑰需要定期更新以增強(qiáng)安全性的需求。

6、三、hive加密udf種類匱乏。目前hive中的加密udf種類有限，缺少匿名化所需的保格式加密和保順序加密算法的udf,?難以滿足多樣化的大數(shù)據(jù)處理和隱私保護(hù)需求。

7、四、密鑰按群組授權(quán)問題。?hive中現(xiàn)有的加密?udf?所使用的加密算法的密鑰管理方面，存在一個(gè)顯著的缺陷，即缺乏按群組進(jìn)行授權(quán)的機(jī)制。這意味著，當(dāng)前的密鑰授權(quán)模式無法根據(jù)不同的用戶群組或業(yè)務(wù)需求來靈活分配密鑰的使用權(quán)限。

技術(shù)實(shí)現(xiàn)思路

1、為了解決上述技術(shù)問題，本發(fā)明提供了一種基于密鑰托管的數(shù)據(jù)表動(dòng)態(tài)加解密方法及系統(tǒng)，用于解決現(xiàn)有技術(shù)中的技術(shù)問題。

2、一方面，本發(fā)明提供以下技術(shù)方案，一種基于密鑰托管的數(shù)據(jù)表動(dòng)態(tài)加解密方法，包括：

3、在kms密鑰管理服務(wù)上創(chuàng)建密鑰環(huán)以及對(duì)應(yīng)的密鑰名，并創(chuàng)建授權(quán)人員表并在所述授權(quán)人員表中添加授權(quán)人員；

4、獲取加密算法以及所述加密算法對(duì)應(yīng)的算法密鑰，基于所述加密算法定義加密udf函數(shù)與解密udf函數(shù)，并將所述加密udf函數(shù)與所述解密udf函數(shù)存入函數(shù)庫(kù)中，其中，所述加密算法包括保格式加密算法、保順序加密算法；

5、獲取待加密數(shù)據(jù)表并根據(jù)所述待加密數(shù)據(jù)表的數(shù)據(jù)類型從所述函數(shù)庫(kù)中調(diào)用對(duì)應(yīng)的加密udf函數(shù)，通過所述加密udf函數(shù)、所述密鑰環(huán)與所述密鑰名對(duì)所述待加密數(shù)據(jù)表、所述算法密鑰進(jìn)行加密，以得到加密密文與密鑰密文，并將所述密鑰密文存入算法密鑰密文數(shù)據(jù)庫(kù)中；

6、獲取用戶的解密需求并判斷所述用戶是否為所述授權(quán)人員表中的授權(quán)人員，若所述用戶為所述授權(quán)人員表中的授權(quán)人員，則通過對(duì)應(yīng)的解密udf函數(shù)對(duì)所述加密密文進(jìn)行解密處理，以得到明文數(shù)據(jù)。

7、相比現(xiàn)有技術(shù)，本發(fā)明的有益效果為：針對(duì)現(xiàn)有技術(shù)中密鑰管理復(fù)雜的問題，本發(fā)明提供一種自動(dòng)化且高效的密鑰管理機(jī)制，使用戶無需手動(dòng)處理密鑰的生成、存儲(chǔ)和更新，降低操作難度，減少因人為操作導(dǎo)致的密鑰管理錯(cuò)誤，從而顯著提高數(shù)據(jù)的安全性；為解決密鑰硬編碼帶來的安全隱患和靈活性不足的問題，本發(fā)明設(shè)計(jì)了一種在運(yùn)行時(shí)動(dòng)態(tài)生成和獲取密鑰的方式，避免在用戶編寫的?sql?中出現(xiàn)明文密鑰，防止密鑰被窺視和泄露，同時(shí)支持密鑰的靈活更新和管理，以滿足定期更新增強(qiáng)安全性的需求；鑒于當(dāng)前?hive?加密udf?種類的匱乏，尤其是缺少保格式加密和保順序加密算法的?udf?無法滿足多樣化大數(shù)據(jù)處理和隱私保護(hù)需求的現(xiàn)狀，本發(fā)明致力于開發(fā)并集成更多類型的加密?udf，包括但不限于保格式加密和保順序加密算法的?udf，以豐富?hive?中的加密功能，適應(yīng)各種復(fù)雜的數(shù)據(jù)處理和隱私保護(hù)場(chǎng)景；針對(duì)?hive?中加密?udf?密鑰缺乏按群組授權(quán)機(jī)制的缺陷，本發(fā)明構(gòu)建了一套精細(xì)的密鑰按群組授權(quán)系統(tǒng)，能夠根據(jù)不同的用戶群組和業(yè)務(wù)需求，靈活、精準(zhǔn)地分配密鑰使用權(quán)限，確保數(shù)據(jù)訪問的安全性和靈活性，滿足多樣化的業(yè)務(wù)需求。

8、較佳的，在基于所述加密算法定義加密udf函數(shù)與解密udf函數(shù)，并將所述加密udf函數(shù)與所述解密udf函數(shù)存入函數(shù)庫(kù)中的步驟中，所述加密udf函數(shù)包括對(duì)string類型的明文數(shù)據(jù)進(jìn)行保格式加密的udf函數(shù)、對(duì)long類型的明文數(shù)據(jù)進(jìn)行保格式加密的udf函數(shù)、對(duì)string類型的明文數(shù)據(jù)進(jìn)行保順序加密的udf函數(shù)、對(duì)long類型的明文數(shù)據(jù)進(jìn)行保順序加密的udf函數(shù)、對(duì)float類型的明文數(shù)據(jù)進(jìn)行保順序加密的udf函數(shù)、對(duì)double類型的明文數(shù)據(jù)進(jìn)行保順序加密的udf函數(shù)。

9、較佳的，在基于所述加密算法定義加密udf函數(shù)與解密udf函數(shù)，并將所述加密udf函數(shù)與所述解密udf函數(shù)存入函數(shù)庫(kù)中的步驟中，所述解密udf函數(shù)包括對(duì)string類型的明文數(shù)據(jù)進(jìn)行保格式解密的udf函數(shù)、對(duì)long類型的明文數(shù)據(jù)進(jìn)行保格式解密的udf函數(shù)、對(duì)string類型的明文數(shù)據(jù)進(jìn)行保順序解密的udf函數(shù)、對(duì)long類型的明文數(shù)據(jù)進(jìn)行保順序解密的udf函數(shù)、對(duì)float類型的明文數(shù)據(jù)進(jìn)行保順序解密的udf函數(shù)、對(duì)double類型的明文數(shù)據(jù)進(jìn)行保順序解密的udf函數(shù)。

10、較佳的，所述通過所述加密udf函數(shù)、所述密鑰環(huán)與所述密鑰名對(duì)所述待加密數(shù)據(jù)表、所述算法密鑰進(jìn)行加密，以得到加密密文與密鑰密文的步驟包括：

11、將所述加密udf函數(shù)打包為jar文件，并將所述jar文件上傳至hive服務(wù)器的可訪問目錄中，并將所述jar文件添加到hive會(huì)話中；

12、在hive命令行界面中編寫加密hive?sql語(yǔ)句并將所述待加密數(shù)據(jù)表的數(shù)據(jù)表字段、對(duì)應(yīng)的密鑰環(huán)以及對(duì)應(yīng)的密鑰名傳入到加密udf函數(shù)中；

13、通過所述加密hive?sql語(yǔ)句調(diào)用所述加密udf函數(shù)以及對(duì)應(yīng)的加密算法對(duì)所述待加密數(shù)據(jù)表進(jìn)行加密處理，以得到加密密文；

14、通過所述加密udf函數(shù)中的密鑰環(huán)以及對(duì)應(yīng)的密鑰名對(duì)所述加密算法的算法密鑰進(jìn)行加密，以得到密鑰密文。

15、較佳的，所述通過對(duì)應(yīng)的解密udf函數(shù)對(duì)所述加密密文進(jìn)行解密處理，以得到明文數(shù)據(jù)的步驟包括：

16、在hive命令行界面中編寫解密hive?sql語(yǔ)句，通過所述解密hive?sql語(yǔ)句調(diào)用對(duì)應(yīng)的解密udf函數(shù)；

17、通過所述解密udf函數(shù)在所述算法密鑰密文數(shù)據(jù)庫(kù)中檢索與對(duì)應(yīng)加密udf函數(shù)中傳入的密鑰環(huán)以及對(duì)應(yīng)的密鑰名，并從中提取對(duì)應(yīng)的密鑰密文；

18、使用所述密鑰環(huán)以及對(duì)應(yīng)的密鑰名對(duì)所述密鑰密文進(jìn)行解密處理，以得到解密后的算法密鑰；

19、使用解密后的算法密鑰對(duì)所述加密密文進(jìn)行解密處理，以得到明文數(shù)據(jù)。

20、第二方面，本發(fā)明提供以下技術(shù)方案，一種基于密鑰托管的數(shù)據(jù)表動(dòng)態(tài)加解密系統(tǒng)，所述系統(tǒng)包括：

21、密鑰創(chuàng)建模塊，用于在kms密鑰管理服務(wù)上創(chuàng)建密鑰環(huán)以及對(duì)應(yīng)的密鑰名，并創(chuàng)建授權(quán)人員表并在所述授權(quán)人員表中添加授權(quán)人員；

22、函數(shù)定義模塊，用于獲取加密算法以及所述加密算法對(duì)應(yīng)的算法密鑰，基于所述加密算法定義加密udf函數(shù)與解密udf函數(shù)，并將所述加密udf函數(shù)與所述解密udf函數(shù)存入函數(shù)庫(kù)中，其中，所述加密算法包括保格式加密算法、保順序加密算法；

23、加密模塊，用于獲取待加密數(shù)據(jù)表并根據(jù)所述待加密數(shù)據(jù)表的數(shù)據(jù)類型從所述函數(shù)庫(kù)中調(diào)用對(duì)應(yīng)的加密udf函數(shù)，通過所述加密udf函數(shù)、所述密鑰環(huán)與所述密鑰名對(duì)所述待加密數(shù)據(jù)表、所述算法密鑰進(jìn)行加密，以得到加密密文與密鑰密文，并將所述密鑰密文存入算法密鑰密文數(shù)據(jù)庫(kù)中；

24、解密模塊，用于獲取用戶的解密需求并判斷所述用戶是否為所述授權(quán)人員表中的授權(quán)人員，若所述用戶為所述授權(quán)人員表中的授權(quán)人員，則通過對(duì)應(yīng)的解密udf函數(shù)對(duì)所述加密密文進(jìn)行解密處理，以得到明文數(shù)據(jù)。

25、較佳的，所述加密模塊包括：

26、打包子模塊，用于將所述加密udf函數(shù)打包為jar文件，并將所述jar文件上傳至hive服務(wù)器的可訪問目錄中，并將所述jar文件添加到hive會(huì)話中；

27、傳入子模塊，用于在hive命令行界面中編寫加密hive?sql語(yǔ)句并將所述待加密數(shù)據(jù)表的數(shù)據(jù)表字段、對(duì)應(yīng)的密鑰環(huán)以及對(duì)應(yīng)的密鑰名傳入到加密udf函數(shù)中；

28、第一加密子模塊，用于通過所述加密hive?sql語(yǔ)句調(diào)用所述加密udf函數(shù)以及對(duì)應(yīng)的加密算法對(duì)所述待加密數(shù)據(jù)表進(jìn)行加密處理，以得到加密密文；

29、第二加密子模塊，用于通過所述加密udf函數(shù)中的密鑰環(huán)以及對(duì)應(yīng)的密鑰名對(duì)所述加密算法的算法密鑰進(jìn)行加密，以得到密鑰密文。

30、較佳的，所述解密模塊包括：

31、調(diào)用子模塊，用于在hive命令行界面中編寫解密hive?sql語(yǔ)句，通過所述解密hive?sql語(yǔ)句調(diào)用對(duì)應(yīng)的解密udf函數(shù)；

32、檢索子模塊，用于通過所述解密udf函數(shù)在所述算法密鑰密文數(shù)據(jù)庫(kù)中檢索與對(duì)應(yīng)加密udf函數(shù)中傳入的密鑰環(huán)以及對(duì)應(yīng)的密鑰名，并從中提取對(duì)應(yīng)的密鑰密文；

33、第一解密子模塊，用于使用所述密鑰環(huán)以及對(duì)應(yīng)的密鑰名對(duì)所述密鑰密文進(jìn)行解密處理，以得到解密后的算法密鑰；

34、第二解密子模塊，用于使用解密后的算法密鑰對(duì)所述加密密文進(jìn)行解密處理，以得到明文數(shù)據(jù)。

35、第三方面，本發(fā)明提供以下技術(shù)方案，一種計(jì)算機(jī)，包括存儲(chǔ)器、處理器以及存儲(chǔ)在所述存儲(chǔ)器上并可在所述處理器上運(yùn)行的計(jì)算機(jī)程序，所述處理器執(zhí)行所述計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)如上述的基于密鑰托管的數(shù)據(jù)表動(dòng)態(tài)加解密方法。

36、第四方面，本發(fā)明提供以下技術(shù)方案，一種存儲(chǔ)介質(zhì)，所述存儲(chǔ)介質(zhì)上存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如上述的基于密鑰托管的數(shù)據(jù)表動(dòng)態(tài)加解密方法。