[发明专利]一种云数据库加密方法、系统及装置

说明书

技术领域

本发明涉及云数据库技术领域，尤其涉及一种云数据库加密方法、系统及装置。

背景技术

数据库系统是企业信息系统的核心之一，随着云计算技术的发展，传统上部署在本地网络环境中的单机数据库和分布式数据库正逐渐向部署在数据中心的云数据库迁移。相对于传统的数据库系统，云数据库具有高可扩展性和高可用性的特点，能够满足电信、金融等需要大规模存储和大规模数据处理的领域的应用，并降低客户的成本。由于数据库系统中存储的大量结构化数据（即数据表），如企业的财务数据、企业客户关系数据、医疗机构的病例档案等，具有高价值和高敏感性，为了保证企业数据安全，在迁移至第三方的云数据库时需要对敏感数据进行加密以抵御可能来自数据中心内部和外部的各种安全威胁。

云数据库是一种新的云计算服务，与对象存储等云存储服务模式不同。首先，传统的对象云存储服务中存储的数据为非结构化数据，例如二进制数据文件；而云数据库主要存储结构化数据，特别是包括大量的数值型数据。更重要的区别是，云数据库要为客户同时提供对结构化数据的存储服务以及对结构化数据的处理服务，而对象云存储服务则不涉及对加密数据的计算需求。传统的数据加密方案，如高级加密标准（AES，Advanced Encryption Standard）分组加密算法不适用于云数据库，因为经过加密后的密文数据不支持任何计算，客户必须将数据下载到本地解密后才能够进行计算。

通过对国内外发明专利和相关技术进行检索，我们将已存在且与本发明相关性较高的技术总结为三类，分别是：本地数据库加密方案，麻省理工大学的CryptDB方案和CipherCloud公司的云数据库加密网关：

本地数据库加密方案主要是对存储在磁盘上的数据进行加密，加密的数据在读入内存后解密，并对解密后的数据进行操作和计算。通过本地数据库加密，所有存储在磁盘上的数据都是加密的。本地数据库加密方案不能用于保护云数据库安全，这是因为即使将本地数据加密方案应用于云数据库，数据也会在云数据库中的内存中解密，而云数据库的内存中也是不安全的，容易遭受来自于云服务内部的攻击。

麻省理工大学的CryptDB云数据库加密方案主要采用对称加密，不区分数据上传者和数据申请者，两者合为一体，都拥有能够解密数据的密钥，只要有一个数据上传者的终端系统被攻破，整个系统的安全性就遭到破坏，因此该方案的安全性较低。并且，该方案只能够进行密文的加法操作。

CipherCloud公司的云数据加密网关技术中包括一种对云数据库进行加密的技术方案，其方案主要特征为对称加密方案和数据标记技术，并且没有信息表明该方案支持对数值型加密数据的计算。

可见，现有的云数据库加密技术的安全性较低，并且不能支持数值型加密数据的多种运算。

发明内容

本发明提供了一种云数据库加密方法，能够提高云数据库的安全性，并且支持数值型加密数据的多种运算。

本发明还提供了一种云数据库加密系统及用于云数据库加密的装置，能够提高云数据库的安全性，并且支持数值型加密数据的多种运算。

本发明的技术方案是这样实现的：

一种云数据库加密方法，包括：

数据上传客户端接收来自数据申请客户端的一个以上密钥对中的公钥，所述密钥对由数据申请客户端生成，且对应不同的计算种类；

数据上传客户端对数据明文进行预处理，并根据可能进行的计算种类，采用对应的密钥对中的公钥对预处理后的数据明文进行加密，得到数据密文，将所述数据密文及其对应的数据明文的预处理方式发送至云数据库。

一种云数据库加密系统，包括：

数据申请客户端，用于生成一个以上密钥对，将密钥对中的公钥发送至数据上传客户端；所述密钥对对应不同的计算种类；

数据上传客户端，用于对数据明文进行预处理，并根据可能进行的计算种类，采用对应的密钥对中的公钥对预处理后的数据明文进行加密，得到数据密文，将所述数据密文及其对应的数据明文的预处理方式发送至云数据库；

云数据库，用于保存所述数据密文及其对应的数据明文的预处理方式。

一种用于云数据库加密的数据申请客户端，包括：

密码生成模块，用于生成一个以上密钥对，将密钥对中的公钥发送至数据上传客户端，并将所述密钥对发送至重加密代理；所述密钥对对应不同的计算种类；

密文计算请求模块，用于向云数据库发送密文计算请求，所述密文计算请求包含计算数据和针对数据明文的计算公式；所述计算数据为数据密文及预处理方式在云数据库中的位置信息，或者，所述计算数据为数据密文以及预处理方式；