mysql数据库中针对敏感信息字段加密处理问题

最近有这样一个需求，针对系统中的敏感信息，如供应商的手机号码，银行账号等需要做加密处理。比较常见的加密方式如md5，但是公司架构组的给出的方案是：统一在数据库处理，使用mysql的加密函数AES_ENCRYPT(’‘明文,‘加密key’)和解密函数AES_DECRYPT(’'明文,‘加密key’)，加密key可配置。

经过一天的更改测试完成，做个总结，记录下此过程中遇到的问题及解决方法。

在原表中增加存储加密信息的字段，如新增字段encrypt_mobile,encrypt_bank_num分别对应之前的mobile,bank_num

处理方案：

1、在常量类中添加静态的常量:

package com.lyc.common.constant;

public class CommonConstant {

public static final String MYSQL_ENTRYPT_KEY = "entryptkey";

}

2、mybatis的mapper.xml中新增数据的sql更改如下：

insert into table (encrypt_mobile,encrypt_bank_num)

values(

AES_ENCRYPT(#{encryptMobile},'${@com.lyc.common.constant.CommonConstant@MYSQL_ENTRYPT_KEY}'),

AES_ENCRYPT(#{encryptBankNum},'${@com.lyc.common.constant.CommonConstant@MYSQL_ENTRYPT_KEY}')

);

3、查询手机号、银行账号，在mybatis的mapper.xml中查询sql更改如下：

select AES_DECRYPT(encrypt_mobile,'${@com.lyc.common.constant.CommonConstant@MYSQL_ENTRYPT_KEY}') as mobile,

AES_DECRYPT(encrypt_bank_num,'${@com.lyc.common.constant.CommonConstant@MYSQL_ENTRYPT_KEY}') as bank_num

from table;

效果如图：

数据成功加密并保存了，但是看起来像乱码，而且解密返回的结果为null，有问题。查资料发现mysql还有两个函数，HEX()和UNHEX()。HEX()可以将一个字符串或数字转换为十六进制格式的字符串，UNHEX()把十六进制格式的字符串转化为原来的格式。

解决方案：

1、mybatis的mapper.xml中新增数据的sql更改如下：

insert into table (encrypt_mobile,encrypt_bank_num)

values(

HEX(AES_ENCRYPT(#{encryptMobile},'${@com.lyc.common.constant.CommonConstant@MYSQL_ENTRYPT_KEY}')),

HEX(AES_ENCRYPT(#{encryptBankNum},'${@com.lyc.common.constant.CommonConstant@MYSQL_ENTRYPT_KEY}'))

);

2、查询手机号、银行账号，在mybatis的mapper.xml中查询sql更改如下：

select AES_DECRYPT(UNHEX(encrypt_mobile),'${@com.lyc.common.constant.CommonConstant@MYSQL_ENTRYPT_KEY}') as mobile,

AES_DECRYPT(UNHEX(encrypt_bank_num),'${@com.lyc.common.constant.CommonConstant@MYSQL_ENTRYPT_KEY}') as bank_num

from table;

备注：如果出现后台打印的结果与mysql查询的结果不一致：则参考如下链接

https://blog.csdn.net/tiancao222/article/details/85699796

select CAST(AES_DECRYPT(UNHEX(USER_NAME),'abc123') as char) as 'USER_NAME' from USER_INFO;