[发明专利]一种面向数据库加密的密文索引方法和库内加密系统

说明书

本发明涉及一种面向数据库加密字段的密文索引方法和库内加密系统，属于信息安全技术领域。本发明首先基于加密字段P1数标识ID映射到加密ID，并将(加密ID，哈希值)存入T2(ID2，P2)，最后，基建立密文索引表T2，记加密字段P1所在表为T1，T2表中包括密文索引字段P2以及T2中记录与T1中记录一一对应关系的字段ID2；然后，基于保序哈希函将待加密字段内容映射到哈希值，基于加密函数将待加密字段内容所在记录的所于映射后的哈希值，实现对加密字段的等值查询和范围查询，并根据查询结果在记录的ID2解密获得T1表中记录集合并返回。对比现有技术，本发明可靠性好，通用性强，同时既有很高的安全性，又能保证极高的检索和存储效率。

技术领域

本发明涉及一种面向数据库加密字段的密文索引方法和库内加密系统，属于信息安全以及数据库加密技术领域。

背景技术

数据库安全日益重要，对数据库中的敏感字段进行加密是有效的安全手段。但是对字段内容进行加密后，会导致原来的索引失效，从而使得数据检索的性能大幅降低，影响到数据库的可用性。为解决加密字段的检索问题，业界进行了一定的研究。

专利CN101504668B实现的密文索引技术通过使用SQL语句建立二叉树、B树等索引结构实现密文索引，但是维护索引的代价较高，性能较低。而像CRYPTDB中，直接使用保序加密算法，在表中建立保序加密列，虽然可以保证较高的性能，但是会泄漏数据的偏序关系，从而安全性较低。且CRYPTDB为网关型加密系统，不能支持所有类型的SQL语句。

本发明的目的是致力于解决上述密文索引不能均衡运行效率、安全性和通用性方面的技术缺陷，提出一种面向数据库加密字段的密文索引方法，以及基于这种方法实现的库内数据库加密系统。

发明内容

本发明的目的是针对现有数据库加密索引技术存在的安全性较低、运行效率低的技术缺陷，提出了一种面向数据库加密字段的密文索引方法。

本发明的原理是使用保序索引作为密文索引，同时密文与密文索引分开存放，在不泄漏明文信息及其偏序关系的前提下，降低加密对性能的影响。

本发明的目的是通过以下技术方案实现的：

一种面向数据库加密字段的密文索引方法，具体步骤如下：首先，基于加密字段P1建立密文索引表T2，记加密字段P1所在表为T1，T2表中包括但不限于密文索引字段P2以及密文索引表T2中记录与T1中记录一一对应关系的字段ID2；然后，基于保序哈希函数将待加密字段内容映射到哈希值，基于加密函数将待加密字段内容所在记录的标识ID映射到加密ID，并将二元组(加密ID，哈希值)存入T2(ID2，P2)，此时，映射后的哈希值偏序关系体现了待加密字段内容的偏序关系，加密ID体现了索引值与被索引值的对应关系；最后，基于映射后的哈希值，实现对加密字段的等值查询和范围查询，并根据查询结果所在记录的ID2解密获得T1表中记录集合并返回。

根据上述方法构建的一种库内透明数据库加密系统，该系统基于被加密原表生成加密表ET1，并且包含密文索引表INDEX_T1、与被加密原表同名同字段的视图T1、安全触发器、索引调用接口、保密索引函数包以及加解密函数包；

加密表ET1用于保存被加密字段C的内容；其中包含被加密原表中除C以外的所有字段以及加密字段EC，其中除C以外的所有字段用于存储被加密原表中除字段C以外的所有字段内容，EC用于存储字段C的密文；

与被加密原表同名同字段的视图T1用于代替被加密原表，接管所有的对被加密原表的访问，使得外部用户和应用感觉不到数据被加密和解密的变化，从而实现透明加密；