[发明专利]基于密态数据库的软硬自适应协同查询执行方法

说明书

本发明公开了一种基于密态数据库的软硬自适应协同查询执行方法，主要解决现有技术中纯软件密态数据库中查询效率低下的问题。其实现步骤为：1)服务器根据静态软硬协同机制对涉及UDF的查询自适应分配软件或硬件执行方式；2)获取UDF执行时间数据统计结果；3)构建飞地页面缓存探测器；4)利用时间数据、探测器以及决策器构建动态软硬协同机制，并对涉及到UDF的查询自适应执行获取密文查询结果；6)返回UDF密文计算结果。本发明能够将纯软件实现的密态数据系统和可信硬件二者采用一种动态决策机制进行有机结合，能够动态的抉择每一次查询计算的具体执行方式，高效解决查询中携带的复合表达式问题，同时借助可信硬件为查询提速。

技术领域

本发明属于计算机技术领域，进一步涉及密态数据查询，具体为一种密态数据库的软硬自适应协同查询方法，可用于在加密数据库中动态结合可信硬件对密态数据进行高效的查询。

背景技术

近年来，随着云计算等相关技术被工业界广泛使用，云上数据库系统数据的隐私保护问题成为了一大研究热点。由于加密后的数据可能会失去它原来的特性，例如长度、格式等，因此在加密数据上执行SQL查询会有诸多限制。为了实现对加密数据的SQL查询，近年来出现了各种基于软件和硬件加密的解决方案。

密码学解决方案，即纯软件方案通过设计特殊的加密算法来满足密文查询相关需求，如已知常见的同态加密HE(Homomorphic Encryption)、对称同态可加加密SAHE(Symmetric Additive Homomorphic Encryption)、对称同态可乘加密SMHE(SymmetricMultiplicative Homomorphic Encryption)，数据加密后仍可进行算术计算；如顺序保序加密ORE(Order-Revealing Encryption)，密文中包含了明文的顺序特性，可以用作密文范围查询；等值加密方案的加密方案是确定的，每一个明文对应唯一一个密文。引入以上算法对数据进行分类加密，存储在服务器端数据库中，利用用户自定义函数UDF(User DefinedFunctions)提供在密文数据上进行查询操作的处理方法。使用同态加密的密态数据库设计会大幅度降低计算的速度，尤其是同态乘法相关的操作，相较于明文上的乘法，其计算的效率会下降数个数量级，对于在线实时的数据查询来说无法接受。同时，对于查询语句可能包含复杂表达式的场景，目前的数据库设计也没有给出具体的解决方案。

作为基于密码学的隐私保护技术的一种替代方案，可信执行环境TEE(Trustedexecution environment)基于硬件安全的CPU实现了基于内存隔离的安全计算，可在保证计算效率的前提下完成隐私保护的计算，如指令集扩展SGX(Software GuardExtensions)，它在内存中创建一个隔离环境飞地Enclave，用于保护应用程序敏感数据和代码，保障用户关键代码和数据的机密性与完整性不受恶意软件的破坏。基于可信硬件的密态数据库利用硬件方法来提供数据安全性，如EnclaveDB，它将敏感数据(表、索引和其他元数据)存放于可信内存中，来实现强大的安全保障。可信执行环境内部数据天然地具有私密性和完整性的保护，同时能提供更丰富的功能和更好的性能，避免了复杂且功能受限的密码学方案设计，在可信硬件内部可以直接进行安全可信的明文处理。使用可信执行环境来实现密态数据库系统的工作，大多数的假设无法适应当前的实际情况，比如EnclaveDB假设飞地页面缓存EPC(Enclave Page Cache)的内存空间无限大，但现实情况却与之相反，而且可信执行环境本身存在安全性隐患，面临着硬件上可能存在漏洞以及侧信道攻击的问题，可信硬件的使用不可避免地会引入额外开销，例如程序进出Enclave以及数据的页交换，所以这种设计很难有真正的应用。

当前纯软件加密数据库计算效率低且无法解决复杂表达式，而基于可信硬件的加密数据库面临着硬件限制，如内存空间小等问题。因此亟待出现一种针对云上数据库系统加密数据查询更为有效的方法。

发明内容