[发明专利]面向TEE加密数据库接口攻击的防御方法和系统

说明书

本发明提供了一种面向TEE加密数据库接口攻击的防御方法及系统，在客户端和云端加密数据库之间建立安全代理对用户查询进行解析，将计算操作与比较操作拆分，计算操作由安全代理的计算程序执行，比较操作发送给云端加密数据库执行。本发明与现有的主流加密数据库对比，将计算与比较分离，不暴露计算接口，能抵御接口滥用攻击，安全性极大提升；可以提供丰富的SQL计算语义而不必担心信息泄漏，相比其他系统具有更丰富的功能性；具有低侵入性，不用修改原生数据库，具有良好的兼容性；避免了数据频繁地进出，能保证在多种负载(例如事务型或分析型)下的运行性能极大提升；设计不局限于某种特定的可信执行环境和硬件平台，具有通用性。

技术领域

本发明涉及信息技术领域，具体地，涉及一种面向TEE加密数据库接口攻击的防御方法和系统，更为具体地，涉及一种基于可信执行环境的抵御接口滥用攻击的加密数据库扩展方法及系统。

背景技术

可信执行环境TEE(Trusted Execution Environment)：可信执行环境是硬件提供的隔离安全执行环境，通常是处理器扩展的安全区域，保证其内部加载的代码和数据的机密性和完整性。它提供了一个隔离的执行空间安全区(Enclave)，在其中运行的受信任程序可以防止普通应用程序，操作系统(OS)甚至是虚拟机监视器(Hypervisor)的侵害。

加密数据库(Encrypted Database)：加密数据库是指在可信计算场景下利用密码学和可信硬件等技术保护数据执行计算机密性(Confidentiality)与持久化存储机密性的一类系统。目前主流商用的加密数据库(微软Always Encrypted、阿里云全加密数据库)通常使用基于操作符(Operator)粒度的计算保护，即数据库执行查询时将操作符运算置于Enclave中保护起来，此类设计具有可信基小、兼容原生数据库、扩展性强的特点。此类加密数据库因为保护粒度过小，数据库执行SQL时对Enclave发起的调用次数频繁，导致程序进入与退出Enclave时上下文切换开销过大。同时该类数据库容易遭受接口滥用攻击，数据机密性遭到破坏。

接口滥用攻击(Interface Abuse Attack)：接口滥用攻击是指针对加密数据库的一类通过向可信环境发起任意可信函数接口调用并窃取密文数据的攻击，这些可信函数作用于密文，能产生衍生数据并不断向攻击者提供有关明文的辅助信息，最终恢复明文数据。保护粒度为操作符的加密数据库通常会定义一系列的可信执行环境提供的安全函数供数据库调用重载的操作符以操作密文数据。攻击者(例如恶意的云服务提供商或数据库管理员)可能任意调用这些函数接口以恢复明文数据。微软Always Encrypted通过放弃提供部分功能以防御此类攻击，无法兼顾安全性与功能性。

接口滥用攻击能对可信执行环境内的数据库操作符实例发起任意函数接口调用以窃取加密数据。本发明在客户端和云端加密数据库之间建立安全代理对用户查询进行解析，将计算操作与比较操作严格拆分，计算操作由安全代理的计算程序执行，比较操作发送给加密数据库执行。

本发明在客户端和云端加密数据库之间建立飞地进程对用户查询进行解析，将计算部分与比较部分拆分，计算部分由当前飞地进程的计算程序执行，比较部分发送给加密数据库执行，数据库侧的飞地进程负责比较操作符(Operator)的执行。本发明通过计算和比较分离，不暴露计算接口的设计而有效抵御接口滥用攻击，同时保证了数据的机密性、完整性，在保证安全性的同时能保证支持各类SQL查询以及多种负载下的性能和扩展性。

MIT研究项目CryptDB使用多种密码学方案保证数据的机密计算，但该发明使用的加密算法开销较大，且部分算法(如保序加密OPE)安全性较弱，易遭受接口滥用攻击。

IBM研究项目StealthDB将计算和比较操作统一交由可信执行环境执行，易遭受接口滥用攻击，同时大量计算操作频繁进出可信环境，性能较差。

阿里云RDS全加密数据库设计与StealthDB类似，易遭受接口滥用攻击。