本發明公開一種服務于數據庫同態加密的優化方法。該優化方法采用Split Client/Server模型，將復雜嵌套SQL語句拆分成兩部分，一部分通過改寫SQL語句在MySQL Server端執行密文同態運算，另一部分在Client端對獲取的結果解密，然后進一步處理。通過Split Client/Server模型，避免了從MySQL Server獲取所有記錄然后在本地處理的問題，最大程度地利用云服務器的運算能力，減少Server端到Client端網絡傳輸的數據量，結合在Client端的處理，從而大大提高查詢性能。

技術領域

本發明屬于信息安全技術領域，涉及一種數據庫敏感信息保護技術，尤其是一種服務于數據庫同態加密的優化方法。

背景技術

數據庫系統是信息系統的核心之一，隨著云計算技術的發展，傳統上部署在本地環境中的單機數據庫和分布式數據庫，正逐漸向部署在數據中心的云數據庫遷移。相對于傳統的數據庫系統，云數據庫具有高可擴展性和高可用性的特點，用戶可以享受到云計算的廉價、便捷、彈性、可靠等優點。

但是，數據外包到云數據庫帶來安全隱患問題，相當于用戶放棄部分對數據的控制權，不得不依賴并信任云服務提供商。近年來，頻繁爆出的云服務數據泄露事件在很大程度上加劇了用戶對云服務提供商的不信任，數據安全成為用戶采用云計算和云數據庫的重大顧慮。

解決數據安全的有效手段是對數據進行加密，但是這帶來新的問題，那就是無法支持對加密后的密文進行運算，導致原先在云數據庫上對于明文的操作無法正常運用。也就是說，云服務器對數據只做加密存儲而不處理，用戶每次檢索、計算或分析都必須把相應的數據傳回客戶端，然后解密之后處理。這種做法放棄了云服務器的運算能力，不可避免地要求向客戶端傳回大量數據，因而從性能上看，這種方案是無法接受的。

如果要利用云服務器的運算能力，需要采用同態加密算法。同態加密作為一種加密手段，支持直接對密文進行運算，運算的結果解密后等于對明文做同樣操作的結果。比如，具有同態性質的加密函數a、b滿足Dec(En(a)⊙En(b))＝a⊕b，其中En是加密運算，Dec是解密運算，⊕、⊙分別對應明文和密文域上的運算。當⊕代表加法時，稱為加法同態加密，⊙表示密文域上的加法運算；當⊕代表乘法時，稱為乘法同態加密，⊙表示密文域上的乘法運算。

目前的全同態加密算法(全同態的“全”指的是能夠滿足對任意函數進行計算)，由于效率問題，無法在實際項目上應用。已知成熟的加密算法，可以在某一方面滿足密文的同態運算，也就是部分同態加密。比如說OPE(Order-Preserving Encryption)算法是支持保序的同態加密算法，Paillier算法是支持加法的同態加密算法。