(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210217060.3 (22)申请日 2022.03.07 (71)申请人 武汉理工大 学 地址 430070 湖北省武汉市洪山区珞狮路 122号 (72)发明人 龙毅宏　 (74)专利代理 机构 武汉开元知识产权代理有限 公司 42104 专利代理师 刘琳 (51)Int.Cl. G06F 21/62(2013.01) G06F 21/60(2013.01) G06F 9/445(2018.01) G06F 16/903(2019.01) G06F 16/901(2019.01) (54)发明名称 一种数据加密和 加密数据查询方法及系统 (57)摘要 数据加密和加密数据查询方法： 拦截器将数 据以明文或加密可搜索数据、 加密可排序数据和 加密数据形式存储； 加密可搜索数据经分词后加 密得到； 存储 数据时还生 成明文搜索辅助记录数 据库、 可搜索密文搜索辅助记录数据库、 可排序 密文搜索辅助记录数据库、 密文搜索辅助记录数 据库； 数据查询时拦截器将明文搜索关键词被转 换为明文关键词、 密文可搜索关键词、 密文可排 序关键词、 密文关键词中的一种或几种； 若明文 搜索关键词被允许转为其中的一种或几种， 则通 过检查相应的辅助记录数据库将搜索关键词转 换为相应的明文关键词、 密文可搜索关键词、 密 文可排序关键词、 密文关键词， 并可依规则选定 一种； 查询的密文数据被拦截器解密。 权利要求书5页 说明书9页 附图1页 CN 114647866 A 2022.06.21 CN 114647866 A 1.一种数据加密方法， 其特 征是： 所述数据加密方法包括数据存储拦截器； 所述数据存储拦截器是位于数据存储处理路 径、 处理环节中的利用插件机制插入的一个组件， 其位于执行数据存储处理的处理逻辑和 组件之前； 所述数据存 储拦截器用于数据存 储请求的转换； 拦截到数据存储处理请求后， 对于无需加密的数据， 所述数据存储拦截器直接将数据 存储请求传送给后面的数据存储处理逻辑或组件， 由数据存储处理逻辑或组件将数据以明 文形式保存在数据存储系统中， 同时， 数据存储拦截器调用分词组件对正在处理的要存储 或已存储的明文数据进行分词处理， 得到一个或多个分词后的明文数据块， 即分词明文数 据块， 用于后续处 理； 拦截到数据存储处理请求后， 对于 需要加密的数据， 所述数据存储拦截器将其加密后， 生成新的数据存储请求， 新的数据存储请求中有加密后的密文数据， 然后将生成的新的数 据存储请求传送 给后面的数据存储处理逻辑或组件， 由数据存储处理逻辑或组件根据新的 数据存储请求将密文数据保存在数据存 储系统中， 其中： 对于需要加密的可搜索数据， 所述数据存储拦截器先调用分词组件对需要加密的可搜 索数据进 行分词处理， 然后调用密码组件对分词处理后得到每个数据组成部分即分词后的 明文数据块， 即分词明文 数据块， 分别进 行加密处理， 然后将分别加密处理后得到的数据块 组合形成最后的密文 数据； 所述需要加密的可搜索数据指加密得到的密 文数据仍然保持可 搜索特性的数据； 对于需要加密的可排序 数据， 所述数据存储拦截器调用调用密码组件对数据按可保序 的加密方式进 行加密； 所述需要加密的可排序数据指加密后得到的密文 数据仍然保持可排 序特性的数据； 所述可保序的加密方式即加密得到密 文数据仍然保持可排序特性的数据加 密方式； 对于需要加密的非可搜索和非可排序 数据， 所述数据存储拦截器调用密码组件采用预 定的加密方式对数据进行加密； 若需要加密的数据既是可搜索数据又是可排序数据， 则按可搜索数据进行加密处理， 其中对数据加密所采用的加密方式是可保序的加密方式， 即先进行分词， 然后采用可保序 的加密方式对分词得到的每个明文数据块即分词明文 数据块进行加密， 然后再将加密后的 数据块合并得到最后的密文数据； 所述数据存 储系统是用于保存数据的系统； 所述数据存储拦截器通过配置信息确定数据存储请求中的哪些数据是以明文形式存 储的， 哪些数据是需要加密后以密文数据形式存储的， 且需要加密的数据中哪些数据是可 搜索数据， 哪些 数据是可排序数据， 哪些 数据是非可搜索和非可排序数据； 所述分词处理指根据预定的规律、 规则， 将明文数据分成一个或多个数据组成部分即 分词后的数据块， 即分词明文 数据块， 且每个数据组成部 分即数据块具有最大长度限制； 针 对以明文形式存 储的数据和以密文形式存 储的数据所采用的分词处 理不必相同； 所述分词组件是对数据进行分词处 理的组件； 所述密码组件是对数据进行加密处 理的组件； 所述数据加密方法还 包括如下几类辅助记录数据库： 明文搜索辅助记录数据库， 可搜索密文搜索辅助记录数据库， 可排序密文搜索辅助记权　利　要　求　书 1/5 页 2 CN 114647866 A 2录数据库， 以及 密文搜索辅助记录数据库； 每一类辅助记录数据库中保存有一系列记录， 每个记录称为一项记录或一项记录数 据； 所述辅助记录数据库中的记录不是用于查询搜索的索引， 而是在数据查询时用于将搜 索关键词转换为对应的或不同类型的搜索关键词， 其中包括： 明文关键词， 密 文可搜索关键 词， 密文可排序关键词， 密文关键词； 所述数据存储拦截器对于无需加密的数据， 在对正在处理 的要存储或已存储的明文进 行分词处理， 得到一个或多个分词后的明文数据块即分词明文数据块后， 对得到的每个分 词明文数据块按如下 方式进行进一 步的处理： 检查明文搜索辅助记录数据库中是否已记录有对应的分词明文数据块， 即是否已有一 项记录存放或对应有正在检查处理的分词明文数据块， 若有， 则处理下一个分词 得到的分 词明文数据块， 直到所有分词得到的分词明文数据块 都处理完 毕； 若没有， 则生成一项明文 搜索辅助记录， 其存放或对应正在检查处理的分词明文数据块， 将生成的明文搜索辅助记 录保存到明文搜索辅助记录数据库中， 然后处理下一个分词 得到的分词明文数据块， 直到 所有分词得到的分词明文数据块都处 理完毕； 所述数据存储拦截器对于 需要加密的可搜索数据进行分词处理， 得到一个或多个分词 后的明文 数据块即分词明文数据块， 并在调用密码组件对分词得到的分词明文数据块完成 加密处理之前或之后， 对每 个加密前的分词明文数据块按如下 方式进行进一 步的处理： 检查可搜索密文搜索辅助记录数据库中是否已记录有对应的分词明文数据块的哈希 值， 即是否已有一项记录存放或对应有正在检查处理的分词明文 数据块的哈希 值， 若有， 则 处理下一个分词得到的分词明文数据块， 直到所有分词得到的分词明文数据块都处理完 毕； 若没有， 则生成一项 可搜索密 文搜索辅助记录， 其存放或对应正在检查处理的分词明文 数据块的哈希值， 将生成的可搜索密 文搜索辅助 记录保存到可搜索密文搜索辅助 记录数据 库中， 然后处理下一个分词 得到的分词明文数据块， 直到所有分词 得到的分词明文数据块 都处理完毕； 所述数据存储拦截器对于 需要加密的可排序 数据， 在调用密码组件采用可保序的加密 方式对数据进 行加密处理之前或之后， 按如下方式对加密之前的需要加密的可排序数据进 行进一步的处理： 检查可排序密文搜索辅助记录数据库中是否已记录有对应的需要加密的可排序数据 的哈希值， 即是否已有一项记录存放或对应有需要加密的可排序数据的哈希值， 若有， 则不 做进一步处理； 若没有， 则生成一项 可排序密 文搜索辅助记录， 其存放或对应正在处理的需 要加密的可排序数据的哈希值， 将生成的可排序密文搜索辅助记录保存到可排序密 文搜索 辅助记录数据库中， 完成处 理； 所述数据存储拦截器对于 需要加密的非可搜索和非可排序 数据， 在调用密码组件对数 据进行加密处 理之前或之后， 按如下 方式对需要加密的数据进行进一 步的处理： 检查密文搜索辅助记录数据库中是否已记录有对应的需要加密的数据的哈希值， 即是 否已有一项记录存放或对应有需要加密的数据 的哈希值， 若有， 则不做进一步处理； 若没 有， 则生成一项密 文搜索辅助 记录， 其存放或对应正在处理的需要加密的数据的哈希值， 将 生成的密文搜索辅助记录保存到密文搜索辅助记录数据库中， 完成处 理。 2.根据权利要求1所述的数据加密方法， 其特 征是：权　利　要　求　书 2/5 页 3 CN 114647866 A 3