CN110601812B - 基于雾辅助的隐私保护加密数据查询方法 - Google Patents

Abstract

本发明公开了一个基于雾辅助的隐私保护加密数据查询方法，其包括以下步骤：S1、基于数据拥有商，通过建立R树、搭建云服务器和雾设备构建数据查询系统；S2、用户生成查询区域并发送查询请求到雾设备；S3、通过雾设备聚合用户请求，并向云服务器转发聚合后的用户查询请求；S4、根据用户查询请求中的查询区域SR与R树中的节点所对应的最小包围矩形的重叠找到有重叠的叶子节点，并在有重叠的叶子节点中查询包含在查询区域SR内的数据点。本发明构建一种轻型数据外包隐私保护结构，并在该架构下来保护数据拥有商的数据隐私和用户的查询隐私。

Description

基于雾辅助的隐私保护加密数据查询方法

技术领域

本发明涉及数据加密领域，具体涉及一种基于雾辅助的隐私保护加密数据查询方法。

背景技术

现有的数据外包构架主要包含了车辆用户、LP(数据拥有商)、云服务器。由于云服务器能够直接处理LP数据且云服务器不是完全可靠的，如果LP不对数据进行处理，直接让云服务器进行位置服务查询毫无疑问将带来数据隐私泄露风险。为了解决这一问题，通常LP可将原始数据进行加密，之后再外包加密数据到云服务器，但会导致数据可操作性降低，增大数据处理的难度。另外，当海量查询请求同时接入云服务器端，云服务器需要进行大量建立连接操作和大量认证操作，毋庸置疑会导致云服务器端通信开销、计算开销增大，降低服务质量。

此外，现有的对数据进行加密的方式，通常采用保序加密，在车联网数据外包环境中，难以解决数据一次性在云服务器进行处理的问题，且此种加密方式难以抵挡已知明文攻击。而在当今的数据时代，用户对自己隐私信息越来越关注，因此保护车辆的查询隐私，以及保护LP的数据隐私非常重要。P-PKE为The Paillier PKE的缩写。

发明内容

针对现有技术中的上述不足，本发明提供的基于雾辅助的隐私保护加密数据查询方法构建一种轻型数据外包隐私保护结构，并在该架构下来保护LP的数据隐私和用户的查询隐私。

为了达到上述发明目的，本发明采用的技术方案为：

提供一个基于雾辅助的隐私保护加密数据查询方法，其包括以下步骤：

S1、基于数据拥有商，通过建立R树、搭建云服务器和雾设备构建数据查询系统；

S2、用户生成查询区域SR并发送查询请求到雾设备；

S3、通过雾设备聚合用户请求，并向云服务器转发聚合后的用户查询请求；

S4、根据用户查询请求中的查询区域SR与R树中的节点所对应的最小包围矩形的重叠找到有重叠的叶子节点，并在有重叠的叶子节点中查询包含在查询区域SR内的数据点。

进一步地，步骤S1的具体方法包括以下子步骤：

S1-1、通过数据拥有商根据P-PKE算法中的秘钥生成算法，生成公钥pk＝(n,g)，私钥sk＝(λ,μ)；

S1-2、通过数据拥有商对外广播公钥pk，通过安全信道向云服务器分发私钥sk；同时，用户在数据拥有商认证后获得数据拥有商提供的雾设备接入证书AC以及私钥sk；

S1-3、记数据拥有商采集的数据集为D＝{D₁，···，D_n}，视D_n＝{O_info,(X_n,Y_n)}为叶子节点中的数据条目；通过数据拥有商划分数据条目并构建索引层，使得叶子节点对应的最小包围矩形能够包围全部的数据条目，完成R树的建立；其中O_info为数据条目描述信息；X_n和Y_n分别为数据点坐标；

S1-4、记叶子节点中数据条目为D_i＝{O_info,(X_i,Y_i)}；非叶子节点中条目为R_i＝{rp_i,(X_i ^||,Y_i ^||),(X_i ^ur,Y_i ^ur)}，根据R树生成算法，将数据拥有商的数据建立R树索引T；

S1-5、根据P-PKE算法，对得到的R树索引T加密得到加密后的R树索引T^*并外包，完成数据查询系统的构建；其中rp_i为非叶子节点中指向的孩子节点的地址；(X_i ^||,Y_i ^||)和(X_i ^ur,Y_i ^ur)分别为最小包围矩形的左下点及右上点坐标信息。

进一步地，步骤S1-5中根据P-PKE算法，对得到的R树索引T加密得到加密后的R树索引T^*的具体方法为：

加密非叶子节点条目R_i，得到加密后的非叶子节点条目

加密叶子节点条目D_i，得到加密后的叶子节点条目

其中g和n为公钥的组成部分；r为随机正整数；mod为取模运算。

进一步地，步骤S2的具体方法包括以下子步骤：

S2-1、根据用户自定义查询半径r'以及用户当前位置currLoc＝(X,Y)，在本地生成查询区域SR；

S2-2、用户在本地使用P-PKE算法对查询区域SR进行加密，得到加密后的查询区域[SR]＝{([X_LL],[Y_LL]),([X_UR],[Y_UR])}；其中([X_LL],[Y_LL])和([X_UR],[Y_UR])分别为查询区域SR矩形的左下点坐标以及右上点坐标加密后的结果；

S2-3、用户将隐私保护度K和雾设备接入证书AC汇总成一条位置服务查询请求并发送到所属的雾设备。

进一步地，步骤S3的具体方法包括以下子步骤：

S3-1、通过雾设备接收用户上传的查询请求；

S3-2、根据查询请求中的雾设备接入证书AC验证该用户是否为合法用户，若是合法用户则进入步骤S3-3；否则通过雾设备拒绝该用户的接入请求；

S3-3、通过雾设备根据查询请求中的隐私保护度K聚合K个用户查询请求组成查询区域组，判断在指定时间t内是否只找到K-j个满足条件的其他用户，若是则通过雾设备为请求用户生成剩余j-1个伪查询区域组成的位置服务查询组QG并进入步骤S3-5，其中1<j≤K；否则进入步骤S3-4；

S3-4、通过雾设备剔除掉查询请求中的雾设备接入证书AC和隐私保护度K，聚合该K个用户请求，生成位置服务查询组QG＝{Q₁,...,Q_i,...,Q_k}，进入步骤S3-5；其中Q_i＝[SR_i]，[SR_i]为加密后的非叶子节点条目；

S3-5、向云服务器转发位置服务查询组QG。

进一步地，步骤S4的具体方法包括以下子步骤：

S4-1、对于R树中每一个节点，判断其是否为叶子节点，若是则进入步骤S4-2，否则进入步骤S4-3；

S4-2、判断用户查询请求中的查询区域SR与每个叶子节点对应的最小包围矩形是否相交，对于存在相交的叶子节点，遍历其对应的最小包围矩形中所有数据点，并从中找出位于查询区域SR内的数据点，进入步骤S4-4；

S4-3、判断非叶子节点对应的最小包围矩形是否与查询区域SR相交，若是则采用Search算法将该非叶子节点的子节点作为新的判断对象并返回步骤S4-1；否则返回步骤S4-1并对下一个非叶子节点进行判断；

S4-4、获取找出的所有数据点并将其作为查询结果，通过雾设备分发给相应的用户。

进一步地，步骤S4之后还包括步骤：

S5、通过数据拥有商更新云端数据：遍历所有叶子节点，对于位于叶子节点的最小包围矩形中的待更新数据，添加或删除该待更新数据的索引。

本发明的有益效果为：

1、本发明采用了一种具有同态加性的公钥加密算法ThePaillierPKE；为了解决数据查询的效率问题，本文将LP数据加密后通过一种R树索引技术进行存储，并通过雾设备提前对用户进行认证，聚合用户请求后向云服务器转发查询请求。解决了隐私保护问题的前提下，提高了查询效率。

2、本发引入了雾计算，解决了传统数据外包查询对于云服务器通信负载大的问题。同时，雾计算方式使得雾节点在靠近网络边缘即用户层的地方，首先对用户进行认证，减轻了云服务器的认证压力。并且聚合K个用户请求，将用户身份被识别的概率降低为

附图说明

图1为本发明的流程示意图。

具体实施方式

下面对本发明的具体实施方式进行描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

如图1所示，该基于雾辅助的隐私保护加密数据查询方法包括以下步骤：

S1、基于数据拥有商，通过建立R树、搭建云服务器和雾设备构建数据查询系统；

S2、用户生成查询区域SR并发送查询请求到雾设备；

S3、通过雾设备聚合用户请求，并向云服务器转发聚合后的用户查询请求；

S4、根据用户查询请求中的查询区域SR与R树中的节点所对应的最小包围矩形的重叠找到有重叠的叶子节点，并在有重叠的叶子节点中查询包含在查询区域SR内的数据点；

S5、通过数据拥有商更新云端数据：遍历所有叶子节点，对于位于叶子节点的最小包围矩形中的待更新数据，添加或删除该待更新数据的索引。

步骤S1的具体方法包括以下子步骤：

S1-1、通过数据拥有商根据P-PKE算法中的秘钥生成算法，生成公钥pk＝(n,g)，私钥sk＝(λ,μ)；

S1-2、通过数据拥有商对外广播公钥pk，通过安全信道向云服务器分发私钥sk；同时，用户在数据拥有商认证后获得数据拥有商提供的雾设备接入证书AC以及私钥sk；

S1-3、记数据拥有商采集的数据集为D＝{D₁，···，D_n}，视D_n＝{O_info,(X_n,Y_n)}为叶子节点中的数据条目；通过数据拥有商划分数据条目并构建索引层，使得叶子节点对应的最小包围矩形能够包围全部的数据条目，完成R树的建立；其中O_info为数据条目描述信息；X_n和Y_n分别为数据点坐标；

S1-4、记叶子节点中数据条目为D_i＝{O_info,(X_i,Y_i)}；非叶子节点中条目为R_i＝{rp_i,(X_i ^||,Y_i ^||),(X_i ^ur,Y_i ^ur)}，根据R树生成算法，将数据拥有商的数据建立R树索引T；

S1-5、根据P-PKE算法，对得到的R树索引T加密得到加密后的R树索引T^*并外包，完成数据查询系统的构建；其中rp_i为非叶子节点中指向的孩子节点的地址；(X_i ^||,Y_i ^||)和(X_i ^ur,Y_i ^ur)分别为最小包围矩形的左下点及右上点坐标信息。

步骤S1-5中根据P-PKE算法，对得到的R树索引T加密得到加密后的R树索引T^*的具体方法为：

加密非叶子节点条目R_i，得到加密后的非叶子节点条目

加密叶子节点条目D_i，得到加密后的叶子节点条目

其中g和n为公钥的组成部分；r为随机正整数；mod为取模运算。

步骤S2的具体方法包括以下子步骤：

S2-1、根据用户自定义查询半径r'以及用户当前位置currLoc＝(X,Y)，在本地生成查询区域SR；

S2-2、用户在本地使用P-PKE算法对查询区域SR进行加密，得到加密后的查询区域[SR]＝{([X_LL],[Y_LL]),([X_UR],[Y_UR])}；其中([X_LL],[Y_LL])和([X_UR],[Y_UR])分别为查询区域SR矩形的左下点坐标以及右上点坐标加密后的结果；

S2-3、用户将隐私保护度K和雾设备接入证书AC汇总成一条位置服务查询请求并发送到所属的雾设备。

步骤S3的具体方法包括以下子步骤：

S3-1、通过雾设备接收用户上传的查询请求；

S3-2、根据查询请求中的雾设备接入证书AC验证该用户是否为合法用户，若是合法用户则进入步骤S3-3；否则通过雾设备拒绝该用户的接入请求；

S3-3、通过雾设备根据查询请求中的隐私保护度K聚合K个用户查询请求组成查询区域组，判断在指定时间t内是否只找到K-j个满足条件的其他用户，若是则通过雾设备为请求用户生成剩余j-1个伪查询区域组成的位置服务查询组QG并进入步骤S3-5，其中1<j≤K；否则进入步骤S3-4；

S3-4、通过雾设备剔除掉查询请求中的雾设备接入证书AC和隐私保护度K，聚合该K个用户请求，生成位置服务查询组QG＝{Q₁,...,Q_i,...,Q_k}，进入步骤S3-5；其中Q_i＝[SR_i]，[SR_i]为加密后的非叶子节点条目；

S3-5、向云服务器转发位置服务查询组QG。

步骤S4的具体方法包括以下子步骤：

S4-1、对于R树中每一个节点，判断其是否为叶子节点，若是则进入步骤S4-2，否则进入步骤S4-3；

S4-2、判断用户查询请求中的查询区域SR与每个叶子节点对应的最小包围矩形是否相交，对于存在相交的叶子节点，遍历其对应的最小包围矩形中所有数据点，并从中找出位于查询区域SR内的数据点，进入步骤S4-4；

S4-3、判断非叶子节点对应的最小包围矩形是否与查询区域SR相交，若是则采用Search算法将该非叶子节点的子节点作为新的判断对象并返回步骤S4-1；否则返回步骤S4-1并对下一个非叶子节点进行判断；

S4-4、获取找出的所有数据点并将其作为查询结果，通过雾设备分发给相应的用户。

在具体实施过程中，为了优化数据存储，提高数据查询效率，LP首先利用自身收集到的数据集D构建R树索引。LP生成R树的过程：统计数据集D包含的数据条目数量；将数据条目按照一定的规则排序分组；将不多于M的数据条目分组放到一个父节点下；递归将这些父节点分组到更高级别的节点中，直至生成根节点。设需要的的叶节点数

根据数据集数据横坐标排序，并把这些数据分成

片，因此每一个切片最多可以包含S·M个数据条目；在每一个切片中，根据纵坐标将数据排序。将这些数据打包分组放在节点容量为M的叶节点中；将不超过M的连续相邻叶节点分组为同一个父节点；递归将这些父节点打包放到更高级别的节点中，向上继续，直到创建根节点，输出R树。

因为存储在云服务器中的数据以加密形式存在，要想实现对两矩形是否相交以及数据点是否在查询区域中的判断，需要对加密数据进行比较。加密数据比较可以由两个云服务器C1和C2协助完成，首先由C1对两个加密数据进行盲化处理，将盲化处理的结果发送给C2，C2利用私钥对盲化结果进行解密，得到盲化明文，根据盲化明文特性，在不知道原始明文的条件下，可以判断两原始明文的大小关系并将比较结果发送给C1。根据简单的几何知识，如果两矩形不相交，那么坐标满足一定条件，我们只需判断进行比较的两个矩形的相应坐标是否满足条件就能判断两矩形是否不相交。

综上所述，本发明采用了一种具有同态加性的公钥加密算法ThePaillierPKE；为了解决数据查询的效率问题，本文将LP数据加密后通过一种R树索引技术进行存储，并通过雾设备提前对用户进行认证，聚合用户请求后向云服务器转发查询请求。解决了隐私保护问题的前提下，提高了查询效率。本发引入了雾计算，解决了传统数据外包查询对于云服务器通信负载大的问题。同时，雾计算方式使得雾节点在靠近网络边缘即用户层的地方，首先对用户进行认证，减轻了云服务器的认证压力。并且聚合K个用户请求，将用户身份被识别的概率降低为

Claims (3)

1.一种基于雾辅助的隐私保护加密数据查询方法，其特征在于，包括以下步骤：

S1、基于数据拥有商，通过建立R树、搭建云服务器和雾设备构建数据查询系统；

S2、用户生成查询区域SR并发送查询请求到雾设备；

S3、通过雾设备聚合用户请求，并向云服务器转发聚合后的用户查询请求；

S4、根据用户查询请求中的查询区域SR与R树中的节点所对应的最小包围矩形的重叠找到有重叠的叶子节点，并在有重叠的叶子节点中查询包含在查询区域SR内的数据点；

所述步骤S1的具体方法包括以下子步骤：

S1-1、通过数据拥有商根据P-PKE算法中的秘钥生成算法，生成公钥pk＝(n,g)，私钥sk＝(λ,μ)；

S1-2、通过数据拥有商对外广播公钥pk，通过安全信道向云服务器分发私钥sk；同时，用户在数据拥有商认证后获得数据拥有商提供的雾设备接入证书AC以及私钥sk；

S1-3、记数据拥有商采集的数据集为D＝{D₁，···，D_n}，视D_n＝{O_info,(X_n,Y_n)}为叶子节点中的数据条目；通过数据拥有商划分数据条目并构建索引层，使得叶子节点对应的最小包围矩形能够包围全部的数据条目，完成R树的建立；其中O_info为数据条目描述信息；X_n和Y_n分别为数据点坐标；

S1-4、记叶子节点中数据条目为D_i＝{O_info,(X_i,Y_i)}；非叶子节点中条目为R_i＝{rp_i,(X_i ^||,Y_i ^||),(X_i ^ur,Y_i ^ur)}，根据R树生成算法，将数据拥有商的数据建立R树索引T；

S1-5、根据P-PKE算法，对得到的R树索引T加密得到加密后的R树索引T^*并外包，完成数据查询系统的构建；其中rp_i为非叶子节点中指向的孩子节点的地址；

和(X_i ^ur,Y_i ^ur)分别为最小包围矩形的左下点及右上点坐标信息；

所述步骤S2的具体方法包括以下子步骤：

S2-1、根据用户自定义查询半径r'以及用户当前位置currLoc＝(X,Y)，在本地生成查询区域SR；

S2-2、用户在本地使用P-PKE算法对查询区域SR进行加密，得到加密后的查询区域[SR]＝{([X_LL],[Y_LL]),([X_UR],[Y_UR])}；其中([X_LL],[Y_LL])和([X_UR],[Y_UR])分别为查询区域SR矩形的左下点坐标以及右上点坐标加密后的结果；

S2-3、用户将隐私保护度K和雾设备接入证书AC汇总成一条位置服务查询请求并发送到所属的雾设备；

所述步骤S3的具体方法包括以下子步骤：

S3-1、通过雾设备接收用户上传的查询请求；

S3-2、根据查询请求中的雾设备接入证书AC验证该用户是否为合法用户，若是合法用户则进入步骤S3-3；否则通过雾设备拒绝该用户的接入请求；

S3-3、通过雾设备根据查询请求中的隐私保护度K聚合K个用户查询请求组成查询区域组，判断在指定时间t内是否只找到K-j个满足条件的其他用户，若是则通过雾设备为请求用户生成剩余j-1个伪查询区域组成的位置服务查询组QG并进入步骤S3-5，其中1<j≤K；否则进入步骤S3-4；

S3-4、通过雾设备剔除掉查询请求中的雾设备接入证书AC和隐私保护度K，聚合该K个用户请求，生成位置服务查询组QG＝{Q₁,...,Q_i,...,Q_k}，进入步骤S3-5；其中Q_i＝[SR_i]，[SR_i]为加密后的非叶子节点条目；

S3-5、向云服务器转发位置服务查询组QG；

所述步骤S4的具体方法包括以下子步骤：

S4-1、对于R树中每一个节点，判断其是否为叶子节点，若是则进入步骤S4-2，否则进入步骤S4-3；

S4-2、判断用户查询请求中的查询区域SR与每个叶子节点对应的最小包围矩形是否相交，对于存在相交的叶子节点，遍历其对应的最小包围矩形中所有数据点，并从中找出位于查询区域SR内的数据点，进入步骤S4-4；

S4-3、判断非叶子节点对应的最小包围矩形是否与查询区域SR相交，若是则采用Search算法将该非叶子节点的子节点作为新的判断对象并返回步骤S4-1；否则返回步骤S4-1并对下一个非叶子节点进行判断；

S4-4、获取找出的所有数据点并将其作为查询结果，通过雾设备分发给相应的用户。

2.根据权利要求1所述的基于雾辅助的隐私保护加密数据查询方法，其特征在于，所述步骤S1-5中根据P-PKE算法，对得到的R树索引T加密得到加密后的R树索引T^*的具体方法为：

加密非叶子节点条目R_i，得到加密后的非叶子节点条目

加密叶子节点条目D_i，得到加密后的叶子节点条目

其中g和n为公钥的组成部分；r为随机正整数；mod为取模运算。

3.根据权利要求1或2所述的基于雾辅助的隐私保护加密数据查询方法，其特征在于，所述步骤S4之后还包括步骤：

S5、通过数据拥有商更新云端数据：遍历所有叶子节点，对于位于叶子节点的最小包围矩形中的待更新数据，添加或删除该待更新数据的索引。

Images