CN111797097A - 一种基于软硬件结合的方式实现安全范围查询的方法 - Google Patents

Abstract

本发明公开了一种基于软硬件结合的方式实现安全范围查询方法，包括，提出了一种混合索引框架HybrIDX；提出了一种将密文比较操作移至SGX中的数据比较方法，以实现快速的密文比较；提出了一种多映射加密索引的方法，用于隐藏查询结果的数量；提出了批量刷新机制，以实现访问模式混淆。本发明用于数据外包的相关方法，使不受信任的服务器可根据用户提交的查询请求有效地搜索加密数据，而无需泄露查询结果及其数量。本发明适用于大型分布式存储系统，对数据并发查询支持度高，对大型数据集外包的可行性、可用性以及可扩展性强。

Description

一种基于软硬件结合的方式实现安全范围查询的方法

技术领域

本发明涉及信息安全技术领域，具体涉及一种支持隐私保护的针对数值型数据的范围查询的相关方法。

背景技术

加密索引技术为数据所有者提供一套将隐私数据外包给不受信任的服务器，且保证在服务器中检索数据而不会泄露数据隐私的机制。该技术已被认为是构建隐私保护数据服务的基本组件。关于安全索引构建的早期研究主要集中在关键字搜索的方向。随着外包数据的类型扩展，对外包数据进行有效范围查询已引起了学术界和工业界的广泛关注。在数据库外包场景中的一个典型示例是根据数值(例如索引值或时间戳)的排序查找所有匹配的记录。

现有通过密码学技术实现针对加密数据的范围检索的方案包括保序加密/泄序加密(OPE/ORE)方案。这些方案允许服务器直接在密文上执行排序比较。例如李洪伟等人利用OPE技术设计了一种用于实现密文空间数据访问控制和范围查询的方法，该方法主要通过使用OPE技术和安全内积运算产生密文数据索引，并用该索引实现支持隐私保护的范围查询。此外，彭延国等人还以OPE技术为基础，利用加法保序表、乘法保序表和编码树设计了一个同时支持同态密文保序、密文加法计算、密文乘法计算的同态加密保序方案。由于OPE方案是利用随机保序函数将明文数据映射到密文数据空间中，使得密文数据仍然保持明文的排序关系，因此上述两种方案均会泄露明文的排序信息。

此外由于这些方案的安全性仅通过密码学原语中的证明方法证明，在被用于实际系统中时仍然会存在许多其他的隐私泄露。具体而言，这些方案会在不同程度上泄露与查询请求有关的信息。例如，通过观察查询令牌返回的结果，攻击者即可得知该请求对应的查询结果数量。当观察结果达到一定数量时，攻击者即可通过简单的统计得出查询结果的数量分布，并以此推断出有关查询请求以及外包数据的敏感信息。最近针对查询结果数量信息泄漏的攻击已被多次提出。为了减轻此种泄漏问题，一种简单的方法是对外包的数据集进行适当填充，使得所有查询结果的数量相同。但此方法会引入昂贵的存储开销，因此无法被用于实践中。反观本专利提出的方案，其不仅可以保证明文的排序信息以及查询结果的数量信息不会被泄露，而且还可以保证方案不会引入大量额外的存储开销。

目前还有一些非密码学原语的方案用于实现支持隐私保护的范围检索。例如，刘琴等人提出的一种基于云环境的多属性范围查询方法。该方案利用KNN算法对由不同属性构造的索引向量进行加密，以实现多属性的范围查询。该方案虽然比用OPE/ORE等密码学原语实现的范围查询方案或本方案支持的查询请求类型更加丰富(基于OPE/ORE的方案以及本方案仅能实现针对单一属性的范围查询)，但由于该方案在执行范围查询时同样需要泄露明文的排序信息、查询结果和查询结果的数量信息，因此在算法安全性上会低于本方案。此外考虑在用KNN算法加密索引向量时，所需的计算开销会大于本方案中使用伪随机函数加密查询索引的计算开销，因此在算法效率上刘琴等人的方案也会低于本方案。

针对查询结果数量泄露问题，目前仅由少量文献提出了一些解决办法。Kamara等人提出了第一种可防止查询结果的数量信息泄露的支持关键词检索的数据加密方案，该方案通过使用多映射索引结构减少填充时的存储开销。后续设计利用了布谷哈希(CuckooHashing)和差分隐私(differential privacy)以求进一步减少由填充带来的存储开销。但是，现有两种设计方案均无法在执行范围查询时很好的隐藏查询结果所占存储空间这一信息，因为：(1)现有设计方案均针对关键字搜索，由于在进行范围搜索时，无法预定义查询结果的存储空间，因此在对查询结果进行填充时，只能按照数据集的全集数量进行填充，如此会为系统存储带来巨大的额外开销，并在查询时对用户的带宽产生极大的挑战；(2)针对不同的范围查询，其查询结果可能存在交集，攻击者可以利用这些交集信息推断明文分布，因此即使防止了查询结果的数量信息泄露，攻击者仍然能够通过观察不同查询结果的交集推断出数据集的分布。

此外随着可信执行环境的快速发展，利用软硬件结合的方式实现高效且安全的查询方案已成为一种趋势，此种类型方案的优势在于：不仅可以达到密码学原语所要实现的安全的查询功能，而且还能在算法性能方面要远超于使用密码学原语构造的安全查询方案。例如张源境等人提出了一种基于SGX的安全索引系统，该方案利用B+树和SGX实现了高效且安全的关键词查询。该方案首先利用B+树对数据集构建关键词查询索引，并将加密的B+树存在SGX Enclave的外部。当需要执行查询操作时，将加密的B+树调入Enclave中进行解密，并在B+树上从根节点开始自上而下的执行明文关键词查询操作。该方案与本方案最大的区别在于，首先，该方案只针对关键词查询，而本方案针对的是数值数据的范围查询；其次，该方案没有保护查询结果以及查询结果的数量信息。因此，如何在对密文进行高效的范围查询时，保护明文的排序信息、查询结果、查询结果的数量仍然是一项具有挑战性的工作。

发明内容

本发明目的在于针对现有技术的不足，提出一种针对数值型数据加密的方法，使得针对密文的范围检索可以达到明文级别的效率，且泄露的信息仅包括访问模式、更新模式以及查询结果的出处。

本发明的目的是通过以下技术方案来实现的：一种基于软硬件结合的方式实现安全范围查询的方法，该方法具体步骤包括：

(1)用户对待检索的数据集根据数据集的分布构建索引，包括针对范围查询的树型索引N和针对查询结果的多映射索引I_mm，并利用伪随机函数PRF对多映射索引I_mm中的各项条目进行加密。

(2)用户将步骤(1)所得的树型索引N存储在可信执行环境SGX中，并将步骤(1)所得的多映射索引I_mm存储在服务器。

(3)当需要对数据集进行范围查询时，用户加密查询范围的区间端点数据q生成查询令牌T，并将令牌发送给SGX。

(4)SGX在树型索引N中查找与步骤(3)所得的查询令牌T相匹配的节点v_i，并获得v_i存储的标签L_i。

(5)若L_i存储在SGX中，由SGX生成查询结果，并返回给用户；若L_i未存储在SGX中，服务器在多映射索引I_mm中查找与步骤(4)所得的标签L_i相匹配的条目，解密该条目并返回查询结果。

(6)SGX将服务器中有关L_i的条目缓存在SGX中，并删除服务器中的该条目。

进一步地，所述的范围查询方案采用软硬件结合的方式，即通过将可信执行环境SGX与利用伪随机函数和对称加密函数构造的加密方案相结合的方式，实现针对密文的高效范围查询方案。

本发明的有益效果：本发明方法可以保证明文数据的排序结果以及查询结果的数量信息在完成查询过后不被泄露。此外，在查询效率上，本发明方法相较于利用纯密码学加密方案实现的安全范围检索方案要更快。具体而言，本发明方案的查询效率可以达到亚线性复杂度O(log n)，而纯密码学方案如保序加密算法(Order-preserving Encryption，OPE)或泄序加密算法(Order-revealing Encryption，ORE)的查询效率会高达线性复杂度O(n)，其中n代表数据集中数据的个数。

附图说明

图1为本发明的基于软硬件结合的方式实现安全范围查询的相关方法的系统模型图；

图2为实施例1中使用本发明的索引构建方法加密160000个数据所耗费的时间；

图3为实施例1中使用本发明的填充算法填充V块所增加的存储空间；

图4为实施例1中使用本发明的查询方法对160000个加密数据进行范围查询的时间迟延；

图5为实施例1中使用本发明的查询方法进行加密数据范围查询的系统吞吐量；

图6为性能测试例1中使用本发明的查询方法在多服务器场景下进行加密数据范围查询的时间迟延；

图7为性能测试例2中使用本发明的数据插入方法对数据集进行更新操作的时间迟延。

图8为本发明方法的结构示意图。

具体实施方式

以下结合附图对本发明具体实施方式作进一步详细说明。

如图1所示，本发明提供的一种基于软硬件结合的方式实现安全范围查询的方法，具体步骤包括：

(1)索引构建

(1.1)将待检索的数据集DB(v)按照v值进行分类，并将分类结果存储在多映射索引I_mm＝{L,V,γ}中，其中主键为加密的v值L←G(k₁,v||c||t)，V为对v值对应的ID信息id₁,...,id_p的加密结果

其中G(·)为伪随机函数，k₁和k₂为伪随机函数G(·)的密钥，c为由相同v值产生的不同L值的个数，t为v值被访问的次数，||为字符串拼接操作符，←为生成运算结果的操作符，

为按位异或的操作符，{0,1}^λ为只包含0和1的长度为λ的字符串，$代表随机任取。为了保证查询结果的数量(communication volume)不被泄露，在生成每一个V值之前，先对v值对应ID信息(即id₁,...,id_p)进行填充，使得存储不同v值对应的ID信息所需的存储空间相同。为了尽可能地减少填充的存储空间，在填充ID信息id₁,...,id_p之前先对ID信息进行分块，具体如图1所示，并将生成的多映射索引I_mm发送给存储服务器。

(1.2)对I_mm中的v值构建二叉排序索引N，并将索引N通过可信安全信道发送给SGX。

(2)范围查询

(2.1)对查询q生成令牌T←Enc(k₀,v||cmp||q)，其中k₀←F(k₁,s)，s++，Enc(·)为对称加密算法，k₀为对称加密算法Enc(·)的密钥，v为待查询的区间端点数值，cmp为查询操作符，如小于＜，大于＞，小于等于≤，大于等于≥等，q为需要返回结果的个数，T为生成的令牌，F(·)为伪随机函数，k₁为伪随机函数F(·)的密钥，s++为每执行一次运算s自加1，并将令牌T发送至SGX中。

(2.2)SGX将步骤(2.1)所得令牌解密，s++，k₀←F(k₁,s)，{v||cmp||q}←Dec(k₀,T)，其中Dec(·)为对称加密算法Enc(·)的解密算法，k₀为解密算法Dec(·)的解密密钥。

在索引N中查找v对应的条目。若该条目存储在SGX中，SGX计算查询结果

其中γ^*为任取的只包含0和1的长度为λ的字符串，V为对v值对应的ID信息id₁,...,id_p的加密结果，G(·)为伪随机函数，k₂为伪随机函数G(·)的密钥，γ为生成V时所用的随机字符串，

为按位异或的操作符，返回{V^*,γ^*}给用户。

(2.3)否则，SGX计算v值的标签L←G(k₁,v_i||c||t_i)，其中G(·)为伪随机函数，k₁为伪随机函数G(·)的密钥，c为由相同v值产生的不同L值的个数，t为v值被访问的次数，并从服务器的I_mm处查找对应L的{V,γ}。

(2.4)SGX计算

和

其中γ^*为任取的只包含0和1的长度为λ的字符串，V为对v值对应的ID信息id₁,...,id_p的加密结果，G(·)为伪随机函数，k₂为伪随机函数G(·)的密钥，γ为生成V时所用的随机字符串，

为按位异或的操作符。

(2.5)SGX发送{V^*,γ^*}给用户，将{V^*,γ^*}缓存在SGX内部，并将{L,V^*,γ^*}从服务器中删除。

(3)索引更新

(3.1)当SGX内存即将不足时，将缓存的所有{V^*,γ^*}按照步骤(1)重新加密，并将结果发送至服务器中。

(3.2)当用户需要向数据集插入数据时，将待插入的数据和SGX缓存的所有{V^*,γ^*}一并按照步骤(1)重新加密，并将结果发送至服务器中。

实施例1

为了评估基于软硬件结合的方式实现安全范围查询方法(HybrIDX)的性能，使用C++实现了一个原型系统并将其部署到具有SGX功能的Ubuntu服务器(Intel(R)i7-7700处理器(3.6GHz)和16GB RAM)中进行了全面的实验评估。由于硬件限制，SGX物理内存设置为128MB。使用Redis(v5.0.3)集群维护加密的多映射索引。另外，系统使用Apache Thrift(v0.9.2)在客户端和服务器之间实现远程过程调用(RPC)。对于密码原语，使用Intel SGXSSL和OpenSSL(v1.1.0g)通过AES-128实现对称加密，并通过HMAC-256实现伪随机函数。

(1)为了评估本发明在索引构建时的算法性能，本实验测试了针对不同数据量的数据集构建索引所需的时间开销。

具体讲，数据集的选取方法为：1)初始化160K条空数据记录；2)生成1000个v值；3)将1000个v值随机插入由步骤1)生成160K条空数据记录；4)从由步骤3)生成的160K条数据记录中随机抽取10K，20K，40K，80K和160K条数据，分别组成5个数据集用以测试。图2为针对上述5个数据集构建索引的测试结果。由图2可以看出，对160K条数据记录构建索引，只需花费不到5秒的时间。实验结果证明，用本发明加密外包数据，其效率可达到用户需求，可被用于实践中。

(2)为了测试本发明的填充算法效率，本实验测量由填充导致的额外存储开销。

需要说明，为了测试本发明的填充算法的有效性，本实验采用取最大查询结果集一半作为填充结果的长度，并与简单填充方案进行对比。简单填充方案即将所有查询结果集填充至与最大查询结果集相同的数量。图3显示了利用CDF统计由填充导致的额外存储开销的实验对比结果。对比结果显示，本发明的索引填充方案使对数据集中80％的数据进行填充，每条记录需要额外的存储开销是0.4KB，而简单填充方案会使每条记录需要的额外存储开销高达1.7KB。实验结果证明本发明的填充方案可以有效地减少额外填充数量。

(3)为了测试本发明的查询效率，本实验对原型系统分别测试了查询迟延和系统吞吐量。

由于查询结果集在填充的过程中可能被分成多组标签，因此在对查询迟延和系统吞吐量进行测试时，分别对不同数量的结果集进行查询，以求测试结果的准确性。为了评估本发明的查询效率，本实验分别测试了具有0.1K，1K，2K，5K和10K个查询结果的查询迟延，并将之与纯密码学方法ORE加密方法以及明文查询方案进行对比。对比结果如图4所示。当查询结果为10K时，本发明的查询迟延为0.14秒与明文方案相差不大，而比ORE方案提速近18倍。

此外本实验还分别测试了具有10，100，200，500和1000个查询结果的系统吞吐量，并将之与明文查询方案进行对比，对比结果如图5所示。虽然，当查询结果从100个增至500个时，本发明的系统吞吐量由587条/秒降至166条/秒。但是，若每个v值可以仅对应一个标签，本发明的系统吞吐量可达到1.1K条/秒。虽然此时的系统吞吐量仍然比明文系统的吞吐量要小很多，但本发明所带来的系统安全性是明文系统无法比拟的。

性能测试例1

为了进一步测试本发明的查询效率，通过引入多个具有SGX功能的服务器，并发执行查询操作，以测得本发明的查询迟延。

实验中多个服务器的存储方式为：1)将数据均匀分成与服务器个数相匹配的份数。由于本实验采用1，2，4，8，16个服务器分别进行测试，因此数据被分别均匀地划分为1，2，4，8，16份；2)分别对由步骤1)划分好的数据使用索引构建方法构建索引，并将结果分别发送至对应的服务器中。在进行范围查询时，将查询令牌同时发送至所有参与数据存储的服务器中，并发执行范围查询。

图6显示了多服务器环境下的查询迟延。由图6可以看出，当查询结果集为15K时，8个服务器并发执行查询操作的查询迟延为0.29秒，对比由4个服务器并发执行查询操作时的查询迟延，不难发现，8个服务器并发执行的查询迟延是4个服务器并发执行的查询迟延的一半。由此可知，本发明的可扩展性强，适用于大型分布式存储系统中。

性能测试例2

为了进一步测试本发明在更新数据集时的效率，通过向原有数据集插入不同数量的数据记录，以测得本发明的更新效率。

为了保证实验结果的可信性，本实验对插入的数据记录采取随机生成的方式。图7显示了像数据集中分别插入1K，2K，4K，8K以及16K条数据记录时所产生的系统更新迟延。由图7可以看出，在向数据集插入16K条数据记录时所产生的系统更新迟延仅有0.45秒。在实际应用中，此种迟延属于用户可以承受的范围之类。

上述实施例用来解释说明本发明，而不是对本发明进行限制，在本发明的精神和权利要求的保护范围内，对本发明作出的任何修改和改变，都落入本发明的保护范围。

Claims (2)

1.一种基于软硬件结合的方式实现安全范围查询的方法，该方法具体步骤包括：

(1)用户对待检索的数据集根据数据集的分布构建索引，包括针对范围查询的树型索引N和针对查询结果的多映射索引I_mm，并利用伪随机函数PRF对多映射索引I_mm中的各项条目进行加密。

(2)用户将步骤(1)所得的树型索引N存储在可信执行环境SGX中，并将步骤(1)所得的多映射索引I_mm存储在服务器。

(3)当需要对数据集进行范围查询时，用户加密查询范围的区间端点数据q生成查询令牌T，并将令牌发送给SGX。

(4)SGX在树型索引N中查找与步骤(3)所得的查询令牌T相匹配的节点v_i，并获得v_i存储的标签L_i。

(5)若L_i存储在SGX中，由SGX生成查询结果，并返回给用户；若L_i未存储在SGX中，服务器在多映射索引I_mm中查找与步骤(4)所得的标签L_i相匹配的条目，解密该条目并返回查询结果。

(6)SGX将服务器中有关L_i的条目缓存在SGX中，并删除服务器中的该条目。

2.根据权力要求1所述的基于软硬件结合的方式实现安全范围查询的方法可知，其特征在于，所述的范围查询方案采用软硬件结合的方式，即通过将可信执行环境SGX与利用伪随机函数和对称加密函数构造的加密方案相结合的方式，实现针对密文的高效范围查询方案。

Images