[发明专利]一种云数据库加密方法、系统及装置

权利要求书

1.一种云数据库加密方法，其特征在于，所述方法包括：

数据上传客户端接收来自数据申请客户端的一个以上密钥对中的公钥，所述密钥对由数据申请客户端生成，且对应不同的计算种类；

数据上传客户端对数据明文进行预处理，并根据可能进行的计算种类，采用对应的密钥对中的公钥对预处理后的数据明文进行加密，得到数据密文，将所述数据密文及其对应的数据明文的预处理方式发送至云数据库。

2.根据权利要求1所述的方法，其特征在于，所述密钥对为加法同态加密密钥对、乘法同态加密密钥对或者一定程度的全同态加密密钥对。

3.根据权利要求1所述的方法，其特征在于，所述数据上传客户端对数据明文进行预处理的方式为：

根据可能进行的计算种类，对数据明文进行扩展；

将数据明文及扩展后的数据映射为非负整数。

4.根据权利要求3所述的方法，其特征在于，所述对数据明文进行扩展的方式为：

计算数据明文的负数、倒数或幂。

5.根据权利要求3所述的方法，其特征在于，所述将数据明文及扩展后的数据映射为非负整数的方式为：

当数据明文或扩展后的数据为有符号整数时，将该数据明文或扩展后的数据与一个正整数相加，得到映射后的非负整数；

当数据明文或扩展后的数据为非负浮点数时，将该数据明文或扩展后的数据与一个正整数相乘，得到映射后的非负整数；

当数据明文或扩展后的数据为负浮点数时，将该数据明文或扩展后的数据与一个正整数相乘，并将相乘后的结果与一个正整数相加，得到映射后的非负整数；

当数据明文为枚举类型数据时，将该数据明文直接映射为非负整数。

6.根据权利要求1至5任意一项所述的方法，其特征在于，所述方法进一步包括：数据申请客户端将生成的密钥对发送至重加密代理；

数据申请客户端向云数据库发送密文计算请求，所述密文计算请求包含计算数据和针对数据明文的计算公式；所述计算数据为数据密文及预处理方式在云数据库中的位置信息，或者，所述计算数据为数据密文以及预处理方式；

云数据库根据所述位置信息及计算公式中的计算种类从云数据库中提取对应的数据密文及预处理方式，根据所述预处理方式及计算公式生成针对数据密文的计算公式，对提取的数据密文进行计算；或者，云数据库根据接收的预处理方式及计算公式生成针对数据密文的计算公式，对接收的数据密文进行计算；

当云数据库无法对数据密文继续进行计算时，将计算中间结果及针对计算中间结果的计算公式发送至重加密代理，重加密代理采用对应密钥对中的私钥对计算中间结果进行解密，采用所述针对计算中间结果的计算公式对解密后的数据进行计算，并采用对应密钥对中的公钥对计算结果进行加密，将加密后的数据密文返回至云数据库；

云数据库采用所述重加密代理返回的数据密文继续计算，直至计算出最终结果的密文或包含中间结果的密文的表达式，并反馈至数据申请客户端；

数据申请客户端采用对应密钥对中的私钥对所述最终结果的密文进行解密，得到最终结果的明文；或者，数据申请客户端采用对应密钥对中的私钥对所述中间结果的密文进行解密，得到中间结果的明文，并采用中间结果的明文及所述表达式计算出最终结果的明文。

7.根据权利要求6所述的方法，其特征在于，所述云数据库判定无法对数据密文继续进行计算的方式为：云数据库为计算中间结果设置累加标记，所述累加标记记录该计算中间结果已经进行的计算种类及次数，当所述次数达到对应密钥对所支持的计算次数上限时，判定无法对数据密文继续进行计算；

当云数据库收到重加密代理返回的数据密文时，将所述累加标记中的计算次数初始化为0。

8.一种云数据库加密系统，其特征在于，所述系统包括：

数据申请客户端，用于生成一个以上密钥对，将密钥对中的公钥发送至数据上传客户端；所述密钥对对应不同的计算种类；

数据上传客户端，用于对数据明文进行预处理，并根据可能进行的计算种类，采用对应的密钥对中的公钥对预处理后的数据明文进行加密，得到数据密文，将所述数据密文及其对应的数据明文的预处理方式发送至云数据库；

云数据库，用于保存所述数据密文及其对应的数据明文的预处理方式。