[发明专利]面向TEE加密数据库接口攻击的防御方法和系统

权利要求书

1.一种面向TEE加密数据库接口攻击的防御方法，其特征在于，

在客户端和云端加密数据库之间建立安全代理对用户查询进行解析，将计算操作与比较操作拆分，计算操作由安全代理的计算程序执行，比较操作发送给云端加密数据库执行。

2.一种面向TEE加密数据库接口攻击的防御方法，其特征在于，包括：

步骤S1：基于TEE程序开发，在客户端和服务器端数据库之间建立安全代理，在加密数据库一侧建立操作符安全扩展程序，以参与加密数据的比较执行；

步骤S2：客户端向指定端口发起一条SQL查询，该SQL查询经SSL安全传输信道发送至安全代理；

步骤S3：安全代理对SQL语句进行解析，将计算操作与比较操作拆分成多条具有依赖关系的SQL语句；

步骤S4：拆分完成后安全代理主动向云端加密数据库发起比较类SQL查询；

步骤S5：云端加密数据库接收代理发送的SQL查询并执行，执行过程中由操作符安全扩展程序参与提供比较操作相关的比较操作符函数，执行完成后将结果数据表发送回安全代理；

步骤S6：安全代理接收到结果数据表后，由安全代理对结果数据表执行计算操作；

步骤S7：计算操作完成后得到SQL查询结果，由安全代理将SQL查询结果发送回客户端；

当步骤S3中来自客户端的SQL语句为嵌套复合查询时，则解析结果为多组具有依赖关系的SQL语句，步骤S5中的当前组具有依赖关系的SQL语句的计算结果会帮助生成下一组具有依赖关系的SQL语句，并重复步骤S3-S5，直到所有组的具有依赖关系的SQL语句均由安全代理对结果数据表执行计算操作。

3.根据权利要求1或2所述的面向TEE加密数据库接口攻击的防御方法，其特征在于：

安全代理包括解析器模块、计算器模块以及密钥管理模块；

解析器模块负责按照SQL语义规则对SQL语句进行解析、拆分，将计算操作与比较操作分离，将比较操作对应的比较类SQL查询发送给云端加密数据库处理，收到来自云端加密数据库的结果数据表后向计算器模块发起计算操作，最终将结果返回给客户端，密钥管理模块负责管理用户的数据密钥并对用户数据加解密；

建立在加密数据库一侧的操作符安全扩展程序负责参与加密数据的比较操作的执行；比较操作符函数由操作符安全扩展程序执行，该操作符安全扩展程序的扩展不支持计算操作符和加密操作，保证不可信数据库无法生成衍生数据，对明文不可见；

安全代理的代理程序、操作符安全扩展程序这两个安全程序都需加载至可信执行环境并处于运行状态，代理程序需开启指定端口以响应用户请求。

4.根据权利要求1或2所述的面向TEE加密数据库接口攻击的防御方法，其特征在于：

客户端发起的SQL查询需要先经过客户端与服务器端数据库之间的安全代理，SQL语句经过安全代理中解析器模块的解析、拆分、重写后由安全代理向云端加密数据库发送比较查询，安全代理获取结果数据表后在内部的计算器模块进行计算查询的执行，最终将计算结果返回给客户端。

5.根据权利要求1或2所述的面向TEE加密数据库接口攻击的防御方法，其特征在于：

计算操作主要包含SQL语义中基本的数学运算符+、-、*、/，以及部分聚合函数SUM、AVG，计算操作都发生在可信执行环境内部，由内部主动发起，没有计算函数接口暴露；

比较操作主要包含WHERE子句后的过滤器部分；

比较操作和计算操作拆分的依据是基于SQL的语义，SQL语义规定以聚合函数为主的计算操作只能作为SELECT关键词后的谓词出现，作为过滤条件的比较操作只能出现在WHERE关键词后，SQL语义天然适配了计算与比较操作的分离，因此拆分算法是WHERE关键词后的比较过滤条件不变，将计算操作要用到的全部表字段作为SELECT谓词形成比较SQL发送至云端加密数据库，结果数据表返回至安全代理并执行计算操作；

安全代理为每个用户创建数据密钥，如果用户发起的SQL是数据插入操作，则安全代理用对应密钥加密数据后将密文插入请求发送给云端加密数据库，保证了云端加密数据库只能操作数据密文。