CN112231752B - 一种无交互频率隐藏的密文插入查询删除方法 - Google Patents

Abstract

本发明属于数据加密领域，主要应用在云存储背景下大数据存储，更具体地，涉及一种无交互频率隐藏的密文插入查询删除方法。该方法包括以下步骤，步骤S1、客户端初始化加密状态，初始化加密密钥和存储信息的数据结构，服务器端的数据库始化B+树索引；步骤S2、客户发起插入请求，客户端首先将插入sql语句进行处理，发送到服务器端，服务器端通过自定义UDF函数解析sql语句，执行数据库插入操作；步骤S3、客户发起查询请求，客户端将查询sql语句处理发送到数据库，数据库按照特定方式查询数据库并返回结果；步骤S4、客户发起删除请求，客户端进行sql语句处理发送到数据库端，数据库删除被删除项的索引并删除数据库中对应记录，返回删除结果。

Description

一种无交互频率隐藏的密文插入查询删除方法

技术领域

本发明属于数据加密领域，主要应用在云存储背景下大数据存储，更具体地，涉及一种无交互频率隐藏的密文插入查询删除方法。

背景技术

数据库范围查询就是字面意思所表示的，查询满足特定范围的一组值，通过在SQL查询的where语句使用between、<、>、in等构造查询语句。以查找工资大于1000的为例，可以通过select*from table where wage>1000实现。

大数据时代下，为保护用户隐私，数据都以密文的形式保存在云服务器端，为了实现在密文状态下依旧可以高效的进行上述范围查询操作，2004年R.Agrawal、J.Kiernan、R.Srikant、Y.Xu设计了第一个保留顺序加密方案(Order Preserving)，算法通过将非均匀分布的明文数据映射到均匀分布的密文区间，保留了明文顺序，即若x1<x2，则f(x1)<f(x2)。保序加密(Order Preserving)技术，为云存储背景下，对密文数据进行范围查询提供了一种可行的解决方案。

然而现有的支持密文范围查询的保序加密算法大多无法隐藏明文数据分布，在这些加密体制中，相同的明文总是会产生相同的密文，无法隐藏明文数据出现频率，造成极大的安全漏洞。攻击者可以通过获得密文的频率信息恢复大多数密文。2015年，Naveed等人提出的累积攻击可以恢复超过95％医院的80％病人信息。

与此同时，由于数据以密文的形式存储在远端云服务器上，在客户端进行范围查询时，由于密文不具有直接的大小关系，需要利用密文解密后的明文进行比较。大量的加解密工作以及相应的客户端与服务器间的交互过程将大大降低查询效率。

可见，在对密文数据进行范围查询时，有必要使用一种零交互、可隐藏明文数据频率的高效且安全的加密算法对用户的明文隐私数据进行加密，继而通过客户端与服务器端的安全查询协议，在保证只泄露明文顺序的基础上，完成密文范围查询操作。因此，研究设计如何保证数据隐藏频率，减少客户端与服务器间交互的保序加密算法是必要的。

目前现存的频率隐藏保序加密算法存在两个问题：1.客户端存储过大。2.服务器和客户端交互过多。

发明内容

针对大数据云存储的场景下，数据在上传、查询与下载的过程中，攻击者会恶意攻击与窃取，获得数据所有者的隐私数据，给数据所有者的安全性造成严重威胁。本发明提出了一种无交互频率隐藏的密文插入查询删除方法，本发明在客户端存储少量隐私数据信息，客户端与数据库正常交互的前提下，可以隐藏数据分布频率并达到实际密文范围应用需求。密文查询方案分为客户端与服务器端两个部分。客户端负责加密、上传数据和解密，服务器端建立密文索引并响应客户端查询。在保证查询速度的同时，提高了服务器端存储密文的安全性，本方案目前安全性为保序加密的最高安全性。

本发明在客户端保存常量O(1)数据级信息的前提下，对数据进行加密达到同一明文映射到不同密文的效果，可保证服务器端密文频率隐藏。在数据泄露的情况下，攻击者无法通过频率分析寻找数据分布规律进而获得用户隐私。

为实现上述目的，本发明采用如下技术方案：

一种无交互频率隐藏的密文插入查询删除方法，该方法包括以下步骤，

步骤S1、客户端初始化加密状态，初始化加密密钥和存储信息的数据结构，服务器端的数据库始化B+树索引；

步骤S2、客户发起插入请求，客户端首先将插入sql语句进行处理，发送到服务器端，服务器端通过自定义UDF函数解析sql语句，执行数据库插入操作；

步骤S3、客户发起查询请求，客户端将查询sql语句处理发送到数据库，数据库按照特定方式查询数据库并返回结果；

步骤S4、客户发起删除请求，客户端进行sql语句处理发送到数据库端，数据库删除被删除项的索引并删除数据库中对应记录，返回删除结果。

本技术方案进一步的优化，所述步骤S1数据库初始化B+树根部节点步骤，

步骤S1.1、云数据库B+树内部节点不再直接存储密文而是每个子节点的中包含密文的个数，叶子节点存储多个密文，数据库每次处理插入操作根据客户端发过来的位置信息选择目标子节点并迭代寻找目标位置；

步骤S1.2、根据上述B+树特点可知，B+树在未发生插入操作时最少需要一个根节点来处理接下来发生的操作，所以数据库初始化包含0个密文的内节点。

本技术方案进一步的优化，所述步骤S2包括，

步骤S2.1、用户发起插入请求，将sql语句中存在的需要进行范围查询的明文进行加密获得密文，将对应的密文sql语句改写为密文sql发送到数据库；

步骤S2.2、数据库接收到sql请求，利用UDF函数将密文插入B+树索引中并返回密文，数据库执行插入语句进密文插入数据库中。

本技术方案进一步的优化，所述步骤S3包括，

步骤S3.1、客户端将查询sql语句中范围查询的明文边界替换成对应的明文位置，获得对应密文sql语句发送到数据库；

步骤S3.2、数据库利用UDF在B+树执行搜索，获得搜索范围内的所有密文，将密文集合作为条件重写sql语句，数据库执行搜索并将加密结果返回给客户端，客户端进行解密。

本技术方案进一步的优化，所述步骤S4包括，

步骤S4.1、客户端将删除sql语句中范围查询的明文边界替换成对应的明文位置，获得对应密文sql语句发送到数据库；

步骤S4.2、数据库通过UDF执行删除将对应的B+树索引项删除，并利用被删除的密文集合重写sql，数据库中对应的记录删除并将删除结果返回给客户端。

本技术方案进一步的优化，所述步骤S2中数据库插入操作包括，

步骤S2.21、客户端不仅发送数据库将被插入的密文，同时将密文即将插入的位置pos发送到数据库；

步骤S2.22、数据库访问根节点，计算插入位置pos所在区间，选择第j个子节点，并传递给子节点相对位置childpos，即

num_i代表第i个子节点所具有的密文数量，迭代传递到叶节点进行插入；

步骤S2.23、叶子节点获得childpos，在本节点进行插入，若超过节点最大键值个数，进行节点分类，向上递归平衡B+树。

本技术方案更进一步的优化，所述步骤S3包括，

步骤S3.21、客户端将不发送服务器查询密文范围[c₁，c₂]而是发送查询的位置区间[p₁,p₂]到数据库，数据库访问建立的索引获得符合要求的密文，其中

counter(v)代表明文v的数量；

步骤S3.22、数据库利用UDF访问根节点计算p₁和p₂覆盖范围，计算每个子节点的相对覆盖范围即

代表第i个子节点所具有的密文数量。迭代传递到叶节点。

本技术方案更进一步的优化，所述步骤S4的删除操作包括，

步骤S4.41、客户端将不发送服务器删除密文范围[c1，c2]而是发送删除的位置区间[p1,p2]到服务器；

步骤S4.42、服务器端利用UDF访问根节点计算p₁和p₂覆盖范围，计算每个子节点的相对覆盖范围即

迭代传递到叶节点，叶节点删除对应的密文；当叶节点不满足最小键值时，进行合并等B+树删除操作。

区别于现有技术，上述技术方案有益效果如下：

本发明是一种无交互频率隐藏的密文插入查询删除方法，该方法在客户端存储少量隐私数据信息和客户端与服务器的数据库端正常交互的前提下，达到实际密文范围应用需求。本方法在数据泄露的情况下依然会保护密文数据分布情况防止用户隐私泄露，并且不会带来数据库性能的损耗或者客户端与服务器多余的交互，不需要额外的安全设备，达到实际应用要求。

附图说明

图1是数据插入、数据搜索、数据删除的流程图；

图2是B+树索引树示意图；

图3是数据库索引插入，删除示意图；

图4是客户端存储结构图；

图5是数据库索引图。

具体实施方式

为详细说明技术方案的技术内容、构造特征、所实现目的及效果，以下结合具体实施例并配合附图详予说明。

请参阅图1，是数据插入、数据搜索、数据删除的流程图。

一种无交互频率隐藏的密文插入查询删除方法，该方法包括以下步骤，

步骤S1、客户端初始化加密状态，初始化加密密钥和存储信息的数据结构，服务器端的数据库始化B+树索引，参阅图2所示，是B+树索引树示意图。

步骤S1.1、云数据库B+树内部节点不再直接存储密文而是每个子节点的中包含密文的个数，叶子节点存储多个密文，数据库每次处理插入操作根据客户端发过来的位置信息选择目标子节点迭代寻找目标位置；

步骤S1.2、根据上述B+树特点可知，B+树在未发生插入操作时最少需要一个根节点来处理接下来发生的操作，所以数据库初始化包含0个密文的内节点。

步骤S2、客户发起插入请求，客户端首先将插入sql语句进行处理，发送到服务器端，服务器端通过自定义UDF函数解析sql语句，执行数据库插入操作。

步骤S2.1、用户发起插入请求，将sql语句中存在的需要进行范围查询的明文进行加密获得密文，将对应的密文sql语句改写为密文sql发送到数据库；

步骤S2.2、数据库接收到sql请求，利用UDF函数将密文插入B+树索引中并返回密文，数据库执行插入语句进密文插入数据库中。

该方法数据库插入操作包括，

步骤S2.21、客户端不仅发送数据库将被插入的密文，同时将密文即将插入的位置pos发送到数据库；

步骤S2.22、数据库访问根节点，计算pos所在区间，选择第j个子节点，并传递给子节点相对位置childpos，即

num_i代表第i个子节点所具有的密文数量，迭代传递到叶节点进行插入；

步骤S2.23、叶子节点获得childpos，在本节点进行插入，若超过节点最大键值个数，进行节点分类，向上递归平衡B+树。

步骤S3、客户发起查询请求，客户端将查询sql语句处理发送到数据库，数据库按照特定方式查询数据库并返回结果。

步骤S3.1、客户端将查询sql语句中范围查询的明文边界替换成对应的明文位置，获得对应密文sql语句发送到数据库；

步骤S3.2、数据库利用UDF在B+树执行搜索，获得搜索范围内的所有密文，将密文集合作为条件重写sql语句，数据库执行搜索并将加密结果返回给客户端，客户端进行解密。

步骤S3.21、客户端将不发送服务器查询密文范围[c₁，c₂]而是发送查询的位置区间[p₁,p₂]到数据库，数据库访问建立的索引获得符合要求的密文，其中

步骤S3.22、数据库利用UDF访问根节点计算p1和p2覆盖范围，计算每个子节点的相对覆盖范围即

num_i代表第i个子节点所具有的密文数量。迭代传递到叶节点。

步骤S4、客户发起删除请求，客户端进行sql语句处理发送到数据库端，数据库按照删除被删除项的索引并删除数据库中对应记录，返回删除结果。

步骤S4.1、客户端将删除sql语句中范围查询的明文边界替换成对应的明文位置，获得对应密文sql语句发送到数据库；

步骤S4.2、数据库通过UDF执行删除将对应的B+树索引项删除，并利用删除的密文集合重写sql，数据库中对应的记录删除并将删除结果返回给客户端。

步骤S4.41、客户端将不发送服务器删除密文范围[c1，c2]而是发送删除的位置区间[p1,p2]到服务器；

步骤S4.42、服务器端利用UDF访问根节点计算p₁和p₂覆盖范围，计算每个子节点的相对覆盖范围即

num_i代表第i个子节点所具有的密文数量。迭代传递到叶节点，叶节点删除对应的密文；当叶节点不满足最小键值时，进行合并等B+树删除操作。

本发明优选一实施例，图3、图4和图5分别是数据库索引插入，删除示意图，客户端存储结构图和数据库索引图。

包括以下步骤：

1、据安全参数客户端首先根据安全参数λ生成密钥K，初始化数据结构counter为map类型。counter保存出现的不同明文p和每个明文的出现次数num即counter[p]＝num

B+树根据密文无法直接比较大小的特点，其内部节点不再直接存储密文而是每个子节点的后代叶节点包含密文的个数，叶子节点存储多个密文。云数据库端每次处理插入操作根据客户端发过来的位置信息选择合适的子节点迭代寻找合适位置；B+树在未发生插入操作时最少需要一个根节点来处理接下来发生的操作。所以数据库端初始化包含0个密文的叶节点。

2、假定已经插入的明文集合为P＝{1,2,3,3,3,4,4,4,,5},则客户端存储内容包括：加密密钥k和counter:{1:1；2:1；3:3；4:2；5:1}。服务器端密文集合C＝{12,14,0,5,3,7,9,16,15}，以三叉B+树方式存储如下：共有四个叶节点，分别为{12,14,0}、{5,3}、{7,9}、{16,5}，两个内节点{3,2}、{2,2}和根节点{5,4}。

3、用户发起sql查询语句select*from[table]where[value]between(1,3)根据counter信息可知对应的pos信息为(1,5)将sql语句重写发送到服务器select*from[table]where value in range_pos(1,5)，数据库通过UDF访问B+树将range_pos(1,5)获取符合要求的密文为(12,14,0,5,3),将sql语句改写为select*from[table]where value(12,14,0,5,3)，通过数据库查询机制将符合要求的记录查询出来。

4、用户发起sql删除语句delete from[table]where[value]between(1,3)根据counter信息可知对应的pos信息为(1,5)将sql语句重写发送到服务器delete from[table]where value in range_pos(1,5)，数据库通过UDF访问B+树将range_pos(1,5)获取符合要求的密文为(12,14,0,5,3),将sql语句改写为delete from[table]where value(12,14,0,5,3)，通过数据库删除机制将符合要求的删除。将索引中对应密文删除得新的B+树索引共有两个叶节点{7,9}、{16,15}和一个个基点{2,2}。

5、用户发起插入请求insert into[table]values(4,other values)根据counter信息可知对应的pos为randome(6,8),这里假定为7。客户端将counter(4)自增，将counter(4)与明文4加密得明文8.将sql语句重写发送到服务器insert into[table]values(add_pos(8,7),other values)。数据库通过UDF访问B+树将add_pos(7,8)中的密文8在位置7中插入,将sql语句改写为insert into[table]values(8,other values)。数据库插入数据。B+树更新后如下：共有四个叶节点，分别为{12,14,0}、{5,3}、{7,8,9}、{16,5}，两个内节点{3,2}、{3,2}和根节点{5,5}。

与现存方案相比，本发明具有的安全性最高，可以保护用户数据的分布不泄露数据的分布信息。与现存频率隐藏保序加密方案相比，本发明客户端存储最少，复杂度为O(1)，FH-OPE(CCS 2015)的所占用内存为本发明的8.6-46倍。与现存频率隐藏保序加密方案相比，本发明服务器与客户端交互最少。与POPE(CCS 2016)相比，POPE每次查询需要O(logn)次交互(n为总数据量)，而本发明的方法只需要1次。在百万数据集上，本发明的运行时间为68.406s，而FH-OPE的时间需要38395.6s。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括……”或“包含……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的要素。此外，在本文中，“大于”、“小于”、“超过”等理解为不包括本数；“以上”、“以下”、“以内”等理解为包括本数。

尽管已经对上述各实施例进行了描述，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改，所以以上所述仅为本发明的实施例，并非因此限制本发明的专利保护范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围之内。

Claims (4)

1.一种无交互频率隐藏的密文插入查询删除方法，其特征在于，该方法包括以下步骤，

步骤S1、客户端初始化加密状态，初始化加密密钥和存储信息的数据结构，服务器端的数据库始化B+树索引；

所述步骤S1数据库初始化B+树根部节点步骤，

步骤S1.1、云数据库B+树内部节点不再直接存储密文而是每个子节点的中包含密文的个数，叶子节点存储多个密文，数据库每次处理插入操作根据客户端发过来的位置信息选择目标子节点迭代寻找目标位置；

步骤S1.2、根据上述B+树特点可知，B+树在未发生插入操作时最少需要一个根节点来处理接下来发生的操作，所以数据库初始化包含0个密文的内节点；

步骤S2、客户发起插入请求，客户端首先将插入sql语句进行处理，发送到服务器端，服务器端通过自定义UDF函数解析sql语句，执行数据库插入操作；

所述步骤S2包括，

步骤S2.1、用户发起插入请求，将sql语句中存在的需要进行范围查询的明文进行加密获得密文，将对应的密文sql语句改写为密文sql发送到数据库；

步骤S2.2、数据库接收到sql请求，利用UDF函数将密文插入B+树索引中并返回密文，数据库执行插入语句进密文插入数据库中；

步骤S3、客户发起查询请求，客户端将查询sql语句处理发送到数据库，数据库按照特定方式查询数据库并返回结果；

所述步骤S3包括，

步骤S3.1、客户端将查询sql语句中范围查询的明文边界替换成对应的明文位置，获得对应密文sql语句发送到数据库；

步骤S3.2、数据库利用UDF在B+树执行搜索，获得搜索范围内的所有密文，将密文集合作为条件重写sql语句，数据库执行搜索并将加密结果返回给客户端，客户端进行解密；

步骤S4、客户发起删除请求，客户端进行sql语句处理发送到数据库端，数据库删除被删除项的索引并删除数据库中对应记录，返回删除结果；

所述步骤S4包括，

步骤S4.1、客户端将删除sql语句中范围查询的明文边界替换成对应的明文位置，获得对应密文sql语句发送到数据库；

步骤S4.2、数据库通过UDF执行删除将对应的B+树索引项删除，并利用被删除的密文集合重写sql，数据库中对应的记录删除并将删除结果返回给客户端。

2.如权利要求1所述的无交互频率隐藏的密文插入查询删除方法，其特征在于，所述步骤S2中数据库插入操作包括，

步骤S2.21、客户端不仅发送数据库将被插入的密文，同时将密文即将插入的位置pos发送到数据库；

步骤S2.22、数据库访问根节点，计算插入位置pos所在区间，选择第j个子节点，并传递给子节点相对位置childpos，即

num_i代表第i个子节点所具有的密文数量，迭代传递到叶节点进行插入；

步骤S2.23、叶子节点获得childpos，在本节点进行插入，若超过节点最大键值个数，进行节点分类，向上递归平衡B+树。

3.如权利要求2所述的无交互频率隐藏的密文插入查询删除方法，其特征在于，所述步骤S3包括，

步骤S3.21、客户端将不发送服务器查询[pt₁,pt₂]的密文范围[c₁，c₂]而是发送查询的位置区间[p₁,p₂]到数据库，数据库访问建立的索引获得符合要求的密文，其中

counter(v)代表明文v的数量；

步骤S3.22、数据库利用UDF访问根节点计算p₁和p₂覆盖范围，计算每个子节点的相对覆盖范围即

num_i代表第i个子节点所具有的密文数量，迭代传递到叶节点。

4.如权利要求3所述的无交互频率隐藏的密文插入查询删除方法，其特征在于，所述步骤S4的删除操作包括，

步骤S4.41、客户端将不发送服务器删除密文范围[c1，c2]而是发送删除的位置区间[p1,p2]到服务器；

步骤S4.42、服务器端利用UDF访问根节点计算p₁和p₂覆盖范围，计算每个子节点的相对覆盖范围即

num_i代表第i个子节点所具有的密文数量,迭代传递到叶节点，叶节点删除对应的密文；当叶节点不满足最小键值时，进行合并B+树删除操作。

Images