(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 20221095890 3.5 (22)申请日 2022.08.11 (65)同一申请的已公布的文献号 申请公布号 CN 115033925 A (43)申请公布日 2022.09.09 (73)专利权人 三未信安科技股份有限公司 地址 100102 北京市朝阳区广顺北 大街16 号院2号楼14层140 6室 (72)发明人 王珂　徐璐瑶　党美　 (74)专利代理 机构 北京首捷专利代理有限公司 11873 专利代理师 梁婧宇 (51)Int.Cl. G06F 21/62(2013.01) G06F 21/60(2013.01)G06F 21/55(2013.01) G06F 21/64(2013.01) H04L 9/40(2022.01) H04L 9/32(2006.01) (56)对比文件 CN 114564735 A,2022.05.31 CN 112702379 A,2021.04.23 CN 112632598 A,2021.04.09 CN 112560065 A,2021.0 3.26 CN 112800088 A,2021.0 5.14 US 2008/0133935 A1,2008.06.05 审查员 许明 (54)发明名称 一种数据库安全检索方法 (57)摘要 本发明提供了一种数据库安全检索方法， 为 安全检索技术领域， 包括： 根据明文数据和检索 字段创建密文表、 HMAC表和字典表； 根据字典表 获取待查询数据的唯一编码和检索内容作为原 文， 利用用户端的本地加密数字证书和预置的加 密公钥证书对原文封装为数字信封一； 将数字信 封一和本地加密数字证书传递至检索安全模块 请求检索； 对数字信封一进行拆解， 获得原文及 当前查询内容所对应的HMAC表中的内容； 通过 HMAC表与密文表的对应关系， 获得密文表中的密 文数据； 根据本地加密数字证书结合检索内容的 主键， 解密获取明文信息， 封装并发送； 拆解获取 内部原文信息。 本发明能够以全密文的方式实现 全业务流程数据的精准检索和查询， 可以同时兼 顾的安全性和业 务的效率。 权利要求书2页 说明书6页 附图3页 CN 115033925 B 2022.10.28 CN 115033925 B 1.一种数据库安全检索方法， 其特 征在于， 包括如下步骤： 创建密文库的步骤： S11、 初始化密文表、 HMAC表和字典表； 其中， 所述HMAC表的命名字符与密文表的命名字 符建立对应关系； S12、 以组为单位获取明文数据和所有检索字段； S13、 根据所述检索字段提取相应的明文数据， 并对提取的所述明文数据逐一进行HMAC 计算， 获得HMAC值， 对应检索字段存储在所述HMAC表中； 创建UUID并进行MAC哈希计算， 获得 K， K作为主键存 入所述HMAC表中； S14、 将所述明文数据逐一采用对称密钥方法进行加密， 存入所述密文表中， K作 为主键 存入所述密文表中； S15、 所述字典表中存储所有查询数据对应检索字段的唯一编码、 HMAC表的命名字符、 HMAC表中的检索字段； 发送检索请求的步骤： S21、 通过提前 预置的方式将检索安全 模块的加密公钥证书设置 于用户端； S22、 根据 所述字典表获取待查询数据的唯一编码和查询数据作为原文， 利用用户端的 本地加密数字证书和预置的加密公钥证书对所述原文 进行封装， 得到数字信封一； S23、 将所述数字信封一和所述本地加密数字证书一并传递至检索安全模块进行检索 请求； 检索请求的响应步骤： S31、 利用传递的本地加密数字证书对用户端进行身份验证， 验证通过后， 对所述数字 信封进行验证和拆解， 获得 所述原文； S32、 利用所述原文中的待查询数据的唯一编码， 获得当前查询数据所对应的HMAC表的 命名字符及 在HMAC表中对应的检索字段； S33、 通过HMAC表的命名字符与密文表的命名字符的对应关系， 获得相应的密文表； S34、 将所述查询 数据调用HMAC密钥进行计算， 获得HMAC值， 检索出当前查询 数据所对 应的主键信息K； 在获得的密文表中通过 K进行信息检索， 获取对应的密文数据； S35、 根据发送检索请求 时获得的本地加密数字证书， 结合查询数据 所对应的主键信息 K， 通过对称密钥解密获取明文信息， 并将明文信息作为原文， 再次进 行封装， 得到数字信封 二， 并发送至用户端。 2.根据权利要求1所述的数据库安全检索方法， 其特征在于， 所述S12中还包括， 以组为 单位获取明文数据， 并随即调换 单位组明文数据内的数据排列顺序。 3.根据权利要求1所述的数据库安全检索方法， 其特征在于， 所述S14中， 采用CBC加密 模式对所述明文数据进行加密； 将HMAC表中的K作为CBC加密模式的IV向量内容； 当前组所 有明文数据的字段均加密完成后， 在密文表中新创建一条记录， 即依 次写入对称加密后的 数据， 并将IV向量作为 其主键内容。 4.根据权利要求1所述的数据库安全检索方法， 其特征在于， 所述S22中： 利用用户的本 地签名私钥、 签名公钥证书和预置的加密公钥证书对所述原文进行封装， 得到 SignedAndEnvel oped类型的数字信封一。 5.根据权利要求1所述的数据库安全检索方法， 其特征在于， 所述S35中， 将明文信息作权　利　要　求　书 1/2 页 2 CN 115033925 B 2为原文， 再次进行封装， 得到数字信封二的封装步骤与所述数字信封一的封装方法相同， 所 述数字信封二 为SignedAndEnvel oped类型的数字信封 。 6.根据权利要求1所述的数据库安全检索方法， 其特征在于， 还包括： S4、 用户端对所述 数字信封二进行拆解的步骤： 用户端利用PKI证书认证机制认证并拆解由检索安全模块反 馈的数字信封二， 并获取内部原文信息 。 7.根据权利要求1所述的数据库安全检索方法， 其特 征在于， 还 包括:检索审计步骤： 检索安全模块在检索请求的响应步骤的节点中记录检索请求信 息和处理结果， 包括但 不限于： 用户端的身份信息、 检索请求时间以及处理结果， 并采用完整性保护机制对所述记 录进行保护。权　利　要　求　书 2/2 页 3 CN 115033925 B 3