[发明专利]一种数据库加密及完全匹配检索系统

说明书

本发明公开了一种数据库加密及完全匹配检索系统，涉及数据加密及匹配检索技术领域。本发明包括数据加密及存储模块、加密数据查询模块；所述数据加密及存储模块包括加密算法初始化单元、数据加密执行单元、密文数据可视化单元、加密数据存储单元；所述加密数据查询模块包括查询接收单元、查询解析单元、数据加解密单元、加密数据可视化单元、查询结果返回单元。本发明通过利用已有对称加密算法与自有的可视化算法相结合的方式即能保证数据存储的高安全性又能保证在完全匹配查询时密文数据可以继续使用数据库索引进行快速匹配，提高了在以完全匹配查询为主的业务场景下对密文数据的检索效率，尤其在海量数据情况下更能大大提升用户体验。

技术领域

本发明属于数据加密及匹配检索技术领域，特别是涉及一种数据库加密及完全匹配检索系统、方法。

背景技术

个人信息保护最常用的方法有三种：加密存储数据库中的个人信息；通过数据库防火墙来实现数据防泄漏；通过数据脱敏来实现个人信息的掩盖。其中第一种方法可以保证在数据库数据被窃取的情况下仍然无法解析出加密前的数据而被广泛使用。

市面上各大数据安全厂商都已经推出了数据库加密产品，这些产品在保证数据存储安全的同时也改变了数据在数据库中的一些属性(可比性、有序性、相似性)，这使得加密后的数据库很难满足应用系统复杂多样的业务需求。

为解决这一问题，大家都将技术的重点放在了如何使密文数据保持和明文数据同样或相似的属性，既让加密后的密文也能和明文一样能够进行复杂的数据库运算或者进行模糊匹配。但是目前国内外的技术发展缓慢，采用这些技术的数据库加密产品在实际使用中往往因为性能或结果匹配问题不能满足业务系统的需求。

随着国家对数据保护的力度不断加强，业务系统必须更加谨慎的使用这些被保护的数据，必须避免因业务需求造成的信息泄露。近年来随着云服务的快速发展，基于云的便民服务也越来越多，支持这些服务的背后正是数据库加密及快速检索技术，如何在数据库加密后提供完全匹配的检索能力是加密产品亟需解决的技术问题。

解决这一问题最简单的方法是先对加密字段数据进行解密，然后再对解密数据进行检索。这种方法需要对表的所有加密字段进行解密操作，开销巨大，无法在产品中实际应用。

现有的专利中已经公开了一种用于数据库的数据加密及检索方法，包括如下步骤：a)先利用单向加密算法对原数据加密，在保持原数据顺序不变的情况下，生成非解密的可索引头部；b)接着再继续对原数据加密生成可解密的密文数据；c)将可索引头部和可解密的密文数据组合在一起生成加密组合数据存储到数据库中；所述步骤a)中的单向加密算法为MD5、SHA 或HMAC；所述步骤b)中的加密算法为对称密钥加密算法。

以上列出的现有技术在实际产品应用中都存如下缺点：

先解密再检索的方法虽然简单但仅适用于数据量非常小的场景，无法应用于海量数据的业务环境中；上述公开专利中使用单一加密算法加密原文生成索引并将这部分索引作为加密数据的起始部分存入数据库，这种做法存在如下风险：单向加密算法MD5和SHA存在较大的破解风险，一旦数据内容被泄露则很容易被破解，数据的安全性无法保证；单向加密算法MD5和 SHA都存在冲突的可能，存在降低检索性能的可能。

发明内容

本发明通过利用已有对称加密算法与自有的可视化算法相结合的方式完成对数据库数据的加密以及加密数据的完全匹配检索方法，主要解决数据库数据加密后对加密后数据的快速完全匹配问题，多用于精确查询业务为主的场景。

为达上述目的，本发明是通过以下技术方案实现的：

一种数据库加密及完全匹配检索系统，所述系统包括：

数据加密及存储模块、加密数据查询模块；

所述数据加密及存储模块的具体处理流程如下：

S101、加密算法初始化，加载常用的对称密钥加密算法；