本發明涉及一種頻率隱藏保序加密。用于對數據加密以提供加密數據來存儲在數據庫中的方法、系統和計算機可讀存儲介質。實現方式包括以下動作：在客戶端側計算設備處接收輸入集合，該輸入集合包括要被加密以提供加密值的明文值，確定該明文值是否被存儲在由客戶端側計算設備存儲的搜索樹中，如果明文值未被存儲在搜索樹中，則利用明文值的確定性加密提供加密值，而如果明文值被存儲在搜索樹中，則利用明文值的隨機化加密提供加密值，更新搜索樹以包括一節點，該節點包括該明文值和該加密值，并且將加密值發送到服務器側計算設備以便將加密值存儲在數據庫中。

技術領域

本申請涉及頻率隱藏保序加密。

背景技術

加密的數據庫在云平臺和/或數據庫即服務(database-as-a-service，DaaS)設置中提供了數據保護(安全性)。在加密的數據庫中，數據(明文)可在客戶端處被加密以提供加密的數據(密文)，該密文可被提供給數據庫以便存儲。在一些示例中，第三方提供并維護數據庫。也就是說，數據庫被外包給第三方。例如，客戶端利用一個或多個加密密鑰對數據加密以提供加密數據，客戶端將該加密數據發送到第三方以便存儲在數據庫中。

外包數據庫為客戶端提供了高效的資源管理和低維護成本，但將外包的數據(客戶端數據)暴露給了服務提供者(提供數據庫的第三方及其代理)。例如，要在加密數據上執行的不同查詢操作要求不同級別的加密，其中一些沒有其他那么安全。另外，在加密數據上執行的查詢可將信息泄露給第三方(例如，訪問模式)服務提供者，這可被用在密碼分析中。

發明內容

本公開的實現方式包括用于要在服務器上的數據庫中存儲的數據的頻率隱藏保序加密(order-preserving encryption，OPE)的由計算機實現的方法。實現方式包括以下動作：在客戶端側計算設備處接收輸入集合，該輸入集合包括要被加密以提供加密值的明文值，確定該明文值是否被存儲在由客戶端側計算設備存儲的搜索樹中，如果明文值未被存儲在搜索樹中，則利用明文值的確定性加密提供加密值，而如果明文值被存儲在搜索樹中，則利用明文值的隨機化加密提供加密值，更新搜索樹以包括節點，該節點包括該明文值和該加密值，并且將加密值發送到服務器側計算設備以便將加密值存儲在數據庫中。此方面的其他實現方式包括相應系統、裝置和編碼在計算機存儲設備上的被配置為執行這些方法的動作的計算機程序。

這些和其他實現方式可各自可選地包括以下特征中的一個或多個：確定明文值是否被存儲在搜索樹中包括將明文值與搜索樹的各個節點中的一個或多個明文值相比較，并且基于明文值是否等于各個節點的明文值來執行搜索樹的二元遍歷；搜索樹的二元遍歷是基于要求第一方向上的遍歷的第一硬幣值和要求第二方向上的遍歷的第二硬幣值執行的，硬幣值是隨機選擇的；動作還包括確定在搜索樹中已實現了閾值深度，并且作為響應，重平衡搜索樹；動作還包括壓縮搜索樹以便存儲在客戶端側計算設備中；明文值是利用保序加密來加密的；并且動作還包括由客戶端側計算設備從服務器側計算設備接收加密值，遍歷搜索樹以基于加密值從搜索樹中的多個節點中選擇節點，并且從該節點取回明文值。

本公開還提供了一種計算機可讀存儲介質，其耦合到一個或多個處理器并且其上存儲有指令，這些指令當被該一個或多個處理器執行時使得該一個或多個處理器根據本文提供的方法的實現方式執行操作。

本公開還提供了一種用于實現本文提供的方法的系統。該系統包括一個或多個處理器，和耦合到該一個或多個處理器的計算機可讀存儲介質，其上存儲有指令，這些指令當被該一個或多個處理器執行時使得該一個或多個處理器根據本文提供的方法的實現方式執行操作。

要明白，根據本公開的方法可包括本文描述的方面和特征的任何組合。也就是說，根據本公開的方法不限于本文具體描述的方面和特征的組合，而是也包括提供的方面和特征的任何組合。

本公開的一個或多個實現方式的細節在附圖和下面的描述中記載。本公開的其他特征和優點將從描述和附圖以及從權利要求中清楚顯現。

附圖說明