[发明专利]一种基于加解密资源调度和密钥管理的加密数据库及方法

说明书

本发明公开了一种基于加解密资源调度和密钥管理的加密数据库及方法，主要涉及到密钥管理模块和加解密服务模块，密钥管理模块用于对用户信息和其密钥的分发与管理，加解密服务模块用于对SQL语句的加密及其调度问题。本发明提出的调度方法，在多用户多线程同时请求加密资源时，通过对请求加密的SQL语句分配一个优先数，然后根据优先数依次为SQL语句分配一个时间片去占用加密资源，同时根据剩余的加密资源再去等待占用加密资源的SQL语句中寻找合适的SQL语句，为其分配加密资源，以提高加解密服务模块的吞吐量。密钥管理模块针对同一用户具有多种密钥的问题，以键值对的形式去存储和管理用户信息及其密钥，简化了密钥存储和分发的难度。

技术领域

本发明属于信息安全技术领域，具体涉及一种在加密数据库中对加解密服务模块中加解密资源的调度和密钥管理的方法，通过对加解密服务模块中的加解密资源进行合理的调度和对密钥的有效管理，来提高加解密服务模块的吞吐量。

背景技术

随着信息化和大数据时代的到来，人们越来越多的将自己的数据外包到云服务器进行存储和管理，然而，近些年来，云安全事件层出不穷，攻击者利用软件漏洞获取对私有数据的访问权限，也有某些失职的管理员窃取或泄漏数据，因此，最好的安全保护方法就是对数据进行加密。为此，MIT的研究团队设计了加密数据库CryptDB，其通过对数据使用不同的加密函数进行加密的技术，达到了在密文数据库上对加密数据进行操作的功能。然而，该方案仅支持单用户，且不适用于云环境下保护数据机密性的需求。

西安电子科技大学在其申请的“混合云环境下面向加密数据库的数据存取系统及方法”(申请号：CN201610876906.9，公开号：CN106529327A)公开了一种混合云环境下面向加密数据库的数据存取系统及方法，该方法的具体步骤为：(1)上传数据；(2)生成密钥；(3)加密数据；(4)存储数据；(5)完整性验证；(6)身份认证；(7)权限控制；(8)发起查询；(9)加密查询语句；(10)密文查询；(11)解密密文；(12)加密查询结果；(13)解密查询结果。该方法实现了对第三方公有云上数据的安全存储与查询，并且数据拥有者在上传数据过程中，用户模块按照数据密级的不同将数据进行密级划分，私有云服务器的不同模块对上传的数据进行加密处理；用户查询数据时，首先要经过私有云服务器上的不同模块，对用户进行身份认证和权限控制，使得用户在其权限范围内实现在密文数据上进行查询；同时还实现了对公有云上数据的完整性验证。该系统存在的不足之处是：在密钥管理模块上，由于使用不同的加密方式所需要的密钥是不同的，没有提出有效的密钥分发方案；在加解密模块上，对于多用户多线程同时请求调用加解密模块时，没有提出有效的调度方法，不能够充分利用加解密资源，无法提高加解密模块的吞吐量。

发明内容

为解决现有技术中存在的上述缺陷，本发明的目的在于提供一种加密数据库中加解密资源调度和密钥管理的方法，通过对待处理语句进行预操作并在调度过程中遵循一定规则来提高加解密模块的处理效率，同时密钥管理模块采用一种特定的存储密钥的方式，来实现密钥的高效分发。

本发明是通过下述技术方案来实现的。

一种基于加解密资源调度和密钥管理的加密数据库，包括加密数据库代理、云数据库和用户，其中：

加密数据库代理包括密钥管理模块和加解密服务模块；

所述密钥管理模块，包括密钥生成模块和密钥存储模块，所述密钥生成模块根据用户身份信息来生成该用户对应的不同加密方式所需要的加密密钥；所述密钥存储模块按照一定的存储规则来存储用户的身份信息和与其对应的加密密钥；

所述加解密服务模块，包括资源池和资源池管理模块，所述资源池中包括加密数据库中需要用到的五种加密资源；所述资源池管理模块负责对代理传入加解密服务模块中的SQL语句进行调度，对资源池中的加密资源进行合理分配，以提高加解密服务模块的吞吐量。

进一步，所述密钥管理模块中：