随着云计算技术的快速发展,云数据库作为云计算服务的重要组成部分,逐渐成为企业或者个人日常工作的必需品。然而,将数据完全交由第三方托管可能会带来数据泄露等安全问题,用户无法保证数据的安全性。一种常见的解决方案是用户将数据加密后再上传至云端,对数据操作时需要先将密文数据取回本地解密,但是这种方案的执行效率过低。此外,对于数据分析服务商,这种方案同样存在问题。因为在进行数据分析时第三方服务商只能对明文进行分析,无法同时保证数据安全性和数据可用性。因此,解决基于密文数据的高效检索问题成为了云数据库发展的当务之急。本文在麻省理工设计的开源数据库加密代理系统CryptDB基础上,针对当下云数据库存储存在的安全问题,提出了一种改进的数据库加密代理系统架构设计方案。此外,本文还针对原CryptDB系统中存在的不足提出了改进方案。具体内容包括:1.通过深入学习研究CryptDB系统,发现该系统对于不同数据库的扩展性较差,并且没有涉及系统密钥的管理。针对CryptDB系统架构存在的不足,本文在其架构基础上提出了一种基于微服务思想的数据库加密代理系统架构优化方案(Microservice based Encryption ProxyofDatabase,MEPDB)。该架构设计结合微服务易扩展的特点,将原系统中的代理功能微服务化,同时增加转换微服务和密钥管理微服务以提高系统对多种数据库的兼容性以及系统的安全性。2.基于我国提出的信息安全自主可控原则,本文深入研究了由国家密码管理局提出的分组加密算法SM4,并使用SM4算法替换CryptDB系统中随机加密方案和确定加密方案所使用的基础加密算法AES。该改进方案能够提高系统的自主可控性,并且增强系统安全性。3.针对CryptDB系统中原有的保序加密方案(mutable Order-Preserving Encryption,mOPE)效率较低的问题,本文在前人研究的基础上,通过将保序方案(Practical Order-Revealing Encryption,P-ORE)和mOPE相结合,提出了一种改进的加性保序加密方案(additively Order-Revealing Encryption,aORE)。该方案基于伪随机函数以及二次加密,与mOPE相比能够在牺牲一定安全性的条件下,提高保序方案的执行效率。