[发明专利]一种关系型数据库加密方法及该加密数据库查询方法

说明书

本发明公开了一种关系型数据库加密方法及该加密数据库查询方法，在安全代理中建立数据加密方案，用户在客户端选择待加密的明文数据的加密密级后将所述待加密的明文数据发送到安全代理，安全代理根据所述数据加密方案和加密密级对所述待加密的明文数据进行加密得到密文数据，将密文数据发送到服务器端，密钥存储在安全代理中。通过上述方式，本发明能够极大地缩短加密时间，提高了数据加密效率和存储空间利用率，也保障了数据的安全，引入了安全代理机制，数据查询时安全代理只需要对查询结果进行一次解密即可，无需在服务器端进行解密，提升了查询效率和数据的安全性。

技术领域

本发明涉及数据隐私保护领域，特别是涉及一种关系型数据库加密方法及该加密数据库查询方法。

背景技术

随着数据库技术的发展和数据量的激增，将所有数据全部存放在本地变的越来越不现实。在云计算业务迅速普及的今天，越来越多重要的数据被储存到云端数据库中，此时，数据库的安全性就变得尤为重要。数据库安全性的威胁主要来自两个方面，一方面是外部攻击者利用系统漏洞来获取对数据库的未授权访问，从而窃取隐私数据；另一方面是具有合法访问权限的好奇或恶意数据库管理员存在窥探、泄漏隐私数据的可能性。

保证数据库中隐私数据安全的一种常用方法是在隐私数据存入数据库之前对其进行加密，需要查询时，再对隐私数据进行解密。这种方法的缺陷是，明文数据经过加密后，失去了明文的一些属性，如数据之间的顺序关系，原有对明文的运算也无法在密文上执行，需要将所有密文解密为明文才能完成操作，这种方案在面对大规模的数据库存储需求时，执行效率远低于明文数据库。

中国发明专利（申请号：201610129024.6，公布号：CN 105787387 B）公开了一种数据库加密方法及该加密数据库查询方法，引入等值加密算法、保序加密算法和同态加密算法针对数据库中的数据进行分类加密，并存储在服务器端数据库中，还在对数据库中的数据进行分类加密的基础之上，提供了在密文上直接执行查询操作的处理方法。但其对数据库中同一类数据进行多次加密存储，占用了大量的存储空间。而且该方法将密钥存储在数据库中，并且直接在数据库端对隐私数据进行解密，这都可能造成隐私数据泄漏。

中国发明专利（申请号：201610876906.9，公告号：CN 106529327 B）公开了混合云环境下面向加密数据库的数据存取系统及方法：在上传数据的过程中，用户模块按照数据密级的不同将数据进行密级划分，私有云服务器的不同模块对上传的数据进行加密处理；用户查询数据时，首先要经过私有云服务器上的不同模块，对用户进行身份认证和权限控制，使得用户在其权限范围内实现在密文数据上进行查询。该方案存在的不足之处是：采用了可所搜加密算法对数据库中存储的所有数据都建立了索引，如果可搜索加密算法被破解，就会泄漏数据库中所有数据的部分信息，存在较大的安全隐患；在查询过程中需要对查询结果进行两次解密，耗时长、效率低。

ORE(Order-Revealing Encryption)，顺序可见加密，是保序加密的改进版本。在ORE中，通过设置特殊的密文比较方式，可以直接对密文进行比较，如果 xy，那么ORE_k(x)ORE_k(y)。这种算法针对数值比较，这是由ORE算法的特性决定的。

DET(Deterministic)，确定加密，该密码层要求同一列中明文与密文的确定性，在同一加密算法下，如果两项密文的明文值相同，则其对应的密文值也相同。算法本身是一种伪随机序列算法，从而能够通过算法本身的随机性，来保证整个DET密码层的随机性。

RND(Random)，随机加密，该密码层要求较大程度的随机化，以提升安全性，即使以相同密钥值构建的相同加密算法来加密相同的明文值，其密文值也不相同。其通过密码分组链接模式下的组对称加密算法（如 AES、Blowfish）实现，故具有较高的安全性。

谓语指的是在SQL查询语句中表示判断、筛选、过滤等临界条件的值。

发明内容