CN117171801A - 一种隐私保护强度可调的高效空间查询方法及系统 - Google Patents

Abstract

本发明公开了一种隐私保护强度可调的高效空间查询方法及系统，涉及强隐私保护技术领域。其中，方法包括客户端将查询内容和隐私保护强度参数提交到服务器，服务器将所有路网空间划分为不同查询计划的多个最细粒度区域；合并最细粒度区域中的PIR访问页面，得到各数据库的PIR访问页面数量相同的多个候选等价区域；各等价区域的面积占整个路网空间的比率不小于隐私保护强度参数得到优化等价区域；采用深度优先遍历获得全局的最优划分策略，根据最优划分策略生成查询计划，并从多个数据库中获取相关数据发送到客户端。本发明减少了PIR访问的次数，降低查询代价，保证等价区域不可区分的隐私保护强度，提高了信息检索的强隐私保护性能。

Description

一种隐私保护强度可调的高效空间查询方法及系统

技术领域

本发明涉及强隐私保护技术领域，具体涉及一种隐私保护强度可调的高效空间查询方法及系统。

背景技术

目前已经有一些针对位置服务中的常见空间查询类型深入研究强隐私保护强度下的解决方法。例如，包括路网环境中的最短路径的计算和欧氏空间上的近邻查询等。在最短路径的计算时，查询用户需要提供当前位置和目的地位置，从而造成了查询用户位置隐私泄露的风险。传统的最短路径的计算可以基于Dijkstra算法或A*搜索算法求得，由于不同的起点和终点对(S,T)在计算最短路径时需要的访问数据量不同，使得基于PIR方法的查询计划需要保证任意查询都请求“最大”次数的PIR访问，以及每次访问都请求“最大”页数的PIR数据访问量(此处“最大”是指所有查询中在不需要保护隐私的情况下正常执行，得到查询结果所需要的页面访问次数和页数的最大值)。现有技术提供一种将整个空间划分成若干区域，以区域为单位进行预计算的方法。如图2所示，路网被划分成了R₁-R₈八个不同的区域。任意起点、终点间的最短路径一定经过其所在区域间所有最短路径的其中一条。假设区域R_i与区域R_j之间的最短路径经过的区域由S_i,j表示。如R₁和R₇区域之间只有两条分别用实线折线和虚线折线表示的最短路径，即S_1,7={R₃,R₄}。当用户的查询位置和目的地位置分别位于R₁与R₇中时，只需要利用私有信息检索技术获取R₁和R₇ 以及S_1,7中的数据信息，并在本地构建出子图即可求得查询结果。由于不同的S_i,j具有不同的集合大小，为了保证查询强隐私，即，对任何查询都使用相同次数的PIR访问，所有S_i,j的大小都设定为任意起点终点组合的S_i,j中的最大值。位置服务的用户除了查询最短路径以外，还会查询自己周围有哪些兴趣点。目前逐渐解决了保证位置强隐私保护的最近邻查询问题[GKK+08]和k最近邻查询问题[GO96，PBP10]。从基于硬件PIR访问方法的解决方案可以看出，其关键点在于设计查询计划保证位于不同位置提交的查询不可区分。概括来说，现有方法使用空间划分和预计算的方式为，所有可能的查询位置确定从服务器通过SCOP访问的次数和页面数的上限。对于无需访问这么多数据的查询，则必须要提交规定上限数量的假查询才能保证查询位置的强隐私。由此，造成大量不必要的数据访问降低了查询性能，同时也会影响到用户享受服务的体验。全局区域不可区分(global indistinguishability, GI)：记整个空间为D，假设两个任意查询q₀和q₁位于D中任意位置，客户端随机选择一个查询q_v(v∈{0,1})同服务器执行安全查询处理协议。攻击者成功猜测出查询q_v′的概率Pr不能高于一个随机值，即：Pr(q_v′=q_v)≤1/2+ε(U),其中，ε是相对于安全参数U的一个不可忽略的值。因此，为了达到GI的隐私目标，要么是将整个数据集都存储在客户端，由客户端直接执行查询处理过程，要么是借助PIR技术，并通过预计算得到任意查询在每个数据库需要访问的最大PIR页面数来构建查询计划。这样任意查询都根据查询计划的规定相应的增加假页面访问来保证达到强隐私保护度。这两种方式中，前者因不适用于较大数据集或数据集的更新而变得不可行。而后者在安全性上已经通过证明和实验验证，是一种可取的强隐私保护方式。然而，因其为了达到GI的隐私目标，对于仅需少量PIR页面访问就能得到查询结果的查询则需要增加大量的虚假页面检索，从而造成了很多额外的计算代价和通信代价。

为了解决上述问题，需要提出一种高效查询隐私保护方法及系统，其能够进一步减少PIR访问的次数，降低查询代价，提高基于私有信息检索技术的强隐私保护技术的性能。

发明内容

本发明所要解决的技术问题是大量不必要的数据访问造成了查询性能降低，同时影响到用户体验，目的在于提供一种隐私保护强度可调的高效空间查询方法及系统，进一步减少PIR访问的次数，降低查询代价，保证了查询等价区域不可区分的隐私保护强度，提高了基于私有信息检索技术的强隐私保护技术的性能。

本发明通过下述技术方案实现：

一种隐私保护强度可调的高效空间查询方法，包括：当查询用户提出查询时，通过客户端输入查询内容和隐私保护强度参数，并提交到服务器，上述服务器对查询执行如下操作：构建多个数据库，将所有路网空间划分为不同查询计划的多个最细粒度区域；通过合并一个或多个最细粒度区域中的PIR访问页面，得到各上述数据库的PIR访问页面数量相同的多个候选等价区域；利用任意一个上述候选等价区域的面积占整个上述路网空间的比率不小于上述隐私保护强度参数，对多个上述候选等价区域进行优化得到多个优化等价区域；其中，隐私保护强度参数的取值范围为(0，1]；根据得到的多个上述优化等价区域在整个上述路网空间添加分裂标记，然后采用深度优先遍历获得全局的最优划分策略；根据上述最优划分策略生成多个上述最优等价区域的查询计划，根据多个最优等价区域的查询计划从多个上述数据库中获取相关数据后，发送到上述客户端。

多个上述优化等价区域表示为：(U₁，U₂]，(U₂，U₃]，……，(U_m，U_m+1]；其中，(U_m，U_m+1]表示上述优化等价区域；U₁=0，U_m+1=N_max；N_max表示当查询用户提出查询q时，通过预计算得到的上述查询q在每个上述数据库需要访问的PIR页面数量最大值；每个上述优化等价区域，满足下式最小值：；

式中，表示第j个上述候选等价区域的必要的PIR访问页数；/>表示第j个上述候选等价区域的必要面积；当上述查询q需要的上述PIR访问页面处于其中一个上述候选等价区域(U_i，U_i+1]时，其中i=1,2,3...m,m+1，上述查询q需要访问的上述PIR页面数量设定为U_i+1。

每个上述候选等价区域的面积，表示为：；

式中，表示第i个上述候选等价区域，/>表示第i个上述候选等价区域的必要的PIR访问页数，/>表示第i个上述候选等价区域的必要的面积；任意一个上述候选等价区域的面积占整个上述路网空间的比率不小于上述隐私保护强度参数，表示为：；

式中，表示上述隐私保护强度参数。

上述将所有路网空间划分为不同查询计划的多个最细粒度区域，包括：通过网格或KD-树划分所有查询的维诺图得到多个最细粒度区域。

还包括：上述服务器执行如下安全查询处理协议：攻击者成功猜测出查询q_v′的概率不能高于随机查询值，表示为：Pr(q_v′=q_v)≤1/2+ε(U)；式中，ε(U)是相对于安全参数U的一个不可忽略的值；q_v表示上述客户端得到的上述随机查询值，其中v的取值范围为{0,1}。

根据得到的多个上述优化等价区域添加整个空间是否应该划分的分裂标记中，包括：通过t[i, j]表示整个上述路网空间(i,j]是否应该分裂为多个上述优化等价区域，如果区间(i,j]应在k处分裂，即分裂为(i,k]和(k,j]，则将t[i, j]赋值为k；否则，将t[i, j]赋值为空。

采用深度优先遍历获得全局的最优划分策略中，时间复杂度O限制在：；

其中，表示所有查询在每个上述数据库需要访问的PIR页面数量最大值。

上述通过客户端输入查询内容和隐私保护强度参数，并提交到服务器，包括：上述查询内容和上述隐私保护强度参数，通过SSL安全链接发送到上述服务器配置的安全协处理器SCOP；上述根据多个最优等价区域的查询计划从多个上述数据库中获取相关数据后，发送到上述客户端，包括：上述安全协处理器根据预计算时制定的上述查询计划，从数据组织MonoDB中获取相关数据后，通过SSL安全链接发送到上述客户端。

一种隐私保护强度可调的高效空间查询系统，包括客户端和服务器；上述客户端用于查询用户执行查询时，输入查询内容和隐私保护强度参数，并提交到上述服务器；上述服务器包括：区域划分模块，用于构建多个数据库，将所有路网空间划分为不同查询计划的多个最细粒度区域；通过合并一个或多个最细粒度区域中的PIR访问页面，得到各上述数据库的PIR访问页面数量相同的多个候选等价区域；区域优化模块，用于利用任意一个上述候选等价区域的面积占整个上述路网空间的比率不小于上述隐私保护强度参数，对多个上述候选等价区域进行优化得到多个优化等价区域；其中，隐私保护强度参数的取值范围为(0，1]；划分策略模块，用于根据得到的多个上述优化等价区域在整个上述路网空间添加分裂标记，然后采用深度优先遍历获得全局的最优划分策略；数据查询模块，用于根据上述最优划分策略生成多个最优等价区域的查询计划，根据多个最优等价区域的查询计划从多个上述数据库中获取相关数据后，发送到上述客户端。

一种电子装置，包括处理器和存储器，上述存储器中存储有计算机指令，上述计算机指令在上述处理器执行时能实现任一项上述的一种隐私保护强度可调的高效空间查询方法。

本发明与现有技术相比，具有如下的优点和有益效果：

本申请在查询时，根据构建的多个数据库，将所有路网的空间区域划分为不同查询计划的多个最细粒度区域，通过合并一个或多个最细粒度区域中的PIR访问页面，得到各上述数据库的PIR访问页面数量相同的多个候选等价区域，且通过满足每个候选等价区域的面积占整个路网空间的比率不小于隐私保护强度参数(0</>≤1)，得到优化后的多个等价区域。查询用户可以根据所期望的隐私保护强度和查询性能指定/>值大小，并且当/>=1时，/>-EAI等价于GI，/>-EAI是GI的特殊形式。通过放松GI中的查询计划设计规定，来实现空间查询平均性能的提高。由于对服务器数据库中每个页面的数据请求都是通过PIR协议的，所以攻击者无法获知对于被请求的单个数据页面的任何内容。那么，在攻击者看来，任意查询的唯一不同在于在每轮数据请求时的数据页数的不同。通过在等价区域中的所有查询在每轮数据请求时检索相同数目的数据页，因此等价区域中的任意查询对于攻击者来说是不可区分的。根据多个优化等价区域对整个路网空间添加分裂标记，利用深度优选获取全局的最优划分策略优化查询方法，服务器从而提供给客户端所需要查询的相关数据。综上，本申请提出了一种等价区域不可区分(Equivalence-Area Indistinguishability，EAI)的强隐私保护定义，提出了利用动态规划算法根据不同区域所需的PIR访问页面数对空间区域进行等价类划分，并设计算法保证了查询等价区域不可区分的隐私保护强度，进一步减少了PIR访问的次数，降低查询代价，提高了基于私有信息检索技术的强隐私保护技术的性能，解决大量不必要的数据访问造成了查询性能降低，同时影响到用户体验的问题，保证查询等价区域不可区分的隐私保护强度。

附图说明

为了更清楚地说明本发明示例性实施方式的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。在附图中：

图1为本申请实施例1的基于-EAI的隐私保护框架的示意图；

图2为现有利用PIR技术计算最短路径的示意图；

图3为本申请实施例1的通过网格划分空间区域的示意图；

图4为本申请实施例1的通过KD-树划分空间区域的示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施例和附图，对本发明作进一步的详细说明，本发明的示意性实施方式及其说明仅用于解释本发明，并不作为对本发明的限定。

实施例1

本申请实施例提出一种隐私保护强度可调的高效空间查询方法，包括：当查询用户提出查询时，通过客户端输入查询内容和隐私保护强度参数，并提交到服务器，上述服务器对查询执行如下操作：构建多个数据库，将所有路网空间划分为不同查询计划的多个最细粒度区域；通过合并一个或多个最细粒度区域中的PIR访问页面，得到各上述数据库的PIR访问页面数量相同的多个候选等价区域，且满足，每个上述候选等价区域的面积占整个路网空间的比率不小于上述隐私保护强度参数；其中，隐私保护强度参数的取值范围为(0，1]；添加各个上述候选等价区域是否应该划分的分裂标记，然后采用深度优先遍历获得全局的最优划分策略；根据上述最优划分策略生成多个最优等价区域的查询计划，根据多个最优等价区域的查询计划从多个上述数据库中获取相关数据后，发送到上述客户端。

其中，上述通过客户端输入查询内容和隐私保护强度参数，并提交到服务器，包括：上述查询内容和上述隐私保护强度参数，通过SSL安全链接发送到上述服务器配置的安全协处理器SCOP；上述根据多个最优等价区域的查询计划从多个上述数据库中获取相关数据后，发送到上述客户端，包括：上述安全协处理器根据预计算时制定的上述查询计划，从数据组织MonoDB中获取相关数据后，通过SSL安全链接发送到上述客户端。

图1所示为基于-EAI的隐私保护框架，框架依然包含客户端和服务器两个部分，安全协处理器SCOP配置在服务器端。查询用户提出查询Query的时候，将查询内容连同自己的隐私保护强度参数/>作为输入一同提交。在SSL安全链接的保护下，查询内容安全到达SCOP，SCOP根据预计算时制定的查询计划从MonoDB数据库中获取相关数据，再通过SSL安全链接发送给客户端。客户端根据得到的数据解密并过滤，最终得到查询结果。框架的构建包含预计算时构建数据组织MonoDB以及制定查询计划，数据组织的构建与/>参数的设定无直接关系。满足/>-EAI的隐私目标的查询计划的制定，包括划分等价区域的最细粒度，生成等价区域，生成查询计划。其中，生成等价区域需要依据构建的数据库为基础来进行划分；生成等价区域以及生成查询计划，需要在构建的数据库和等价区域的最细粒度的基础上，并依据参数/>的值来生成；划分等价区域的最细粒度并生成等价区域都是为生成查询计划而服务。

上述各上述数据库的PIR访问页面数量相同的多个候选等价区域，表示为：(U₁，U₂]，(U₂，U₃]，……，(U_m，U_m+1]；其中，U₁=0，U_m+1=N_max；N_max表示当查询用户提出查询q时，通过预计算得到的上述查询q在每个上述数据库需要访问的PIR页面数量最大值；当上述查询q需要的上述PIR访问页面处于其中一个上述候选等价区域(U_i，U_i+1]时，上述查询q需要访问的上述PIR页面数量设定为U_i+1，表示为：；

式中，表示第j个上述候选等价区域的必要的PIR访问页数；/>表示第j个上述候选等价区域的必要面积。当上述查询q需要的上述PIR访问页面处于其中一个上述候选等价区域(U_i，U_i+1]时，上述查询q需要访问的上述PIR页面数量设定为U_i+1。

所有查询空间划分为不同查询计划的多个最细粒度区域，包括：通过网格或KD-树划分所有查询的维诺图得到多个最细粒度区域。

其中，给定数据集以及相应的查询之后，所有查询的最细粒度区域的划分和数据组织有关的。以双色反近邻查询为例，数据库DB₁的页面访问量和空间划分有关，对数据库DB₂和数据库DB₃的页面访问量是和维诺单元的划分有关的，因为空间划分方式的不同导致了最细粒度区域划分的不同。首先，计算出所有查询中查询计划相同的最细粒度区域划分，并且位于每个最细粒度区域内的查询需要相同数量的必要PIR页面访问。以图3~图4所示为两种情况的最细粒度区域划分，图3为在维诺图之上通过网格划分空间区域，则一共有10个最细粒度的区域。维诺单元S₁被网格划分为两个更细粒度的区域，一个为左侧的矩形区域，另一个为右侧的倒三角形区域。同样，S₂，S₃和S₅也被进一步划分为两个最细粒度区域。而S₄和S₆则不变，由自身组成最细粒度的区域。而图4所示是通过KD-树对空间进行划分的情况，在此情况下，一共可分为9个最细粒度区域。如此，位于最细粒度区域中的所有查询是需要从DB₁访问相同数量的维诺单元，从DB₂和DB₃访问相同数量的数据条目。

将必要的PIR页面访问数落于区间(U_i，U_i+1]中的最小粒度区域进行合并，合并后的每个候选等价区域面积表示为：；

式中，表示第i个上述候选等价区域，/>表示第i个上述候选等价区域的必要的PIR访问页数，/>表示第i个上述候选等价区域的必要的面积；

给定隐私参数，优化等价区域生成问题要获得一个最优区间的集合(U₁，U₂]，(U₂，U₃]，……，(U_m，U_m+1]，(U_m，U_m+1]表示优化等价区域；U₁=0，U_m+1=N_max；每个优化等价区域，满足下式取值的最小值：/>，且满足以下任意一个上述候选等价区域/>的面积占整个路网空间的比率不小于上述隐私保护强度参数，表示为：/>；

式中，表示上述隐私保护强度参数。

且位于该候选等价区域的任意查询在执行过程中都会固定PIR页面访问次数为U_i+1。因此，在候选等价区域中的任意查询对于攻击者来说，可以达到取某个值时的等价区域不可区分的隐私保护目标。

如下表1所示为图3~图4示例中，每个候选等价区域内的查询在DB₁，DB₂和DB₃三个数据库中需要的PIR页面访问数。

【表1】每个候选等价区域需要的PIR页面访问数

在GI隐私目标下，每个查询需要的PIR页面访问数均为N_{max_DB1}+ N_{max_DB2} + N_{max_DB2}=2+2+5=9。如果仅对每轮访问页面数均相同的区域进行合并，即按照(0，1]，(1，2]，(2，3]，(3，4]，(4，5]来进行合并。那么，最后一共可以生成6个合并后的候选等价区域，按照分布区域分别表示为：{S₁-左}，{S₁-右}，{S₂-上，S₂-下}，{S₅-上，S₅-下，S₃-右，S₄}，{S₆}，{S₃-左}。这种合并模式下，六个候选等价区域中的查询所需PIR次数分别减少了：4，3，0，2，4，3次。其中，候选等价区域的生成不一定是由邻接的区域合并而成，即与空间无关，与空间模糊化保护模型具有本质区别。而如果按照(0，2]，(2，4]，(4，6]来进行合并，则一共可以生成3个候选等价区域，分别是：{S₁-左，S₁-右，S₅-上，S₅-下，S₃-左，S₄}，{S₂-上，S₂-下}和{S₆}。三个候选等价区域中的查询所需PIR次数平均减少了：1，0，3次，因此不同合并方式的查询性能有轻微差别。

找到满足隐私保护条件的最优等价区域，进一步保证所有查询所需的平均PIR页面访问数最小。对于整个空间D来说，当等价区域面积占完整空间的比例大于时，对等价区域划分的粒度越细，就会需要越少的PIR访问次数。

为了获得最优区间，通过枚举区间(0, N_max]的全部划分方式，并对每种划分方式衡量其每个划分中查询区域的PIR访问数，并找到总PIR访问数最小的区间划分方式。然而，因为有个可能的方式将(0, N_max]划分为i+1个子区间，所以一共有：

种情况需要枚举判断。这在实际应用中消耗的代价是不能接受的。最优的区间划分具备这样的性质，针对U₁到U_m+1次PIR访问的查询区域的最优划分方式将这些查询区域分成两部分：需要U₁到U_k次PIR访问的查询区域使用U_k次PIR访问，需要U_k到U_m+1次PIR访问的查询区域使用U_m+1次PIR访问，那么在最优划分中，那些需要U₁到U_m+1次PIR的查询区域也被分成这两个区域。

基于以上递归的性质，提出基于动态规划的算法来确定等价区域的最优划分方式，如下所示为基于-EAI的查询计划生成算法。

Input: All regions with its area and the number of PIR accessesrequired

Output: An Optimal query plan Opt

Begin

1:Opt=

2:n=Nmax-1

3:for i=1 to ndo

4: if A_i≥ then

5: m[i, j] = PIR_i×A_i

6: else

7: m[i, j] = +∞

8: end if

9: end for

10:for l = 2 to ndo

11: for i =1 to n- l + 1 do

12: j = i + l -1

13: if ≥ then

14: m[i, j] = ×PIR_i

15: else

16: m[i, j] = +∞

17: end if

18: for k = i to j-1 do

19: q = m[i, k] + m[k, j]

20: if q< m[i, j] then

21: m[i, j] = q

22: s[i, j] = k

23: end if

24: end for

25: end for

26: end for

27: Queue = {(1, N_max)}

28: while Queue ≠ do

29: (i, j] = Queue.pop()

30: if s[i, j] ≠NULLthen

31: Queue.push({(i, s[i, j]})

32: Queue.push({(s[i, j] , j]})

33: else

34: Opt.push({(i, j]})

35: end if

36:end while

37:return Opt

根据得到的多个上述优化等价区域添加整个空间是否应该划分的分裂标记中，包括：通过t[i, j]表示整个上述路网空间(i,j]是否应该分裂为多个上述优化等价区域，如果区间(i,j]应在k处分裂，即分裂为(i,k]和(k,j]，则将t[i, j]赋值为k；否则，将t[i, j]赋值为空。

采用深度优先遍历获得全局的最优划分策略中，时间复杂度O限制在：；

其中，表示所有查询在每个上述数据库需要访问的PIR页面数量最大值。

首先，用t[i, j]表示区间(i,j]是否应该分裂，如果区间(i,j]应在k处分裂(即，分裂为(i,k]和(k,j])，则t[i, j]赋值为k。否则，赋值为空(算法第34行)。这样，每个区间都被做了“不分裂”的标记，或者第一次分裂的位置。然后，我们采用深度优先遍历的方式来获得全局的最优划分策略，该划分可以保证我们的优化目标最小化(算法第27-36行)。确定最优划分之后，每个最优划分就是一个满足-EAI隐私条件的等价区域，此算法的时间复杂度限制在：/>。

隐私强度可调的-EAI隐私目标还包括：上述客户端得到的随机查询值q_v，v∈{0,1}，对于任意一个候选等价区域的两个查询q₀，q₁，由上述服务器执行如下安全查询处理协议：攻击者成功猜测出查询q_v′的概率不能高于上述随机查询值，表示为：Pr(q_v′=q_v)≤1/2+ε(U)；其中，ε(U)是相对于安全参数U的一个不可忽略的值。

实施例2

本申请实施例提供一种隐私保护强度可调的高效空间查询系统，包括客户端和服务器；上述客户端用于查询用户执行查询时，输入查询内容和隐私保护强度参数，并提交到上述服务器；上述服务器包括：区域划分模块，用于构建多个数据库，将所有路网空间划分为不同查询计划的多个最细粒度区域；通过合并一个或多个最细粒度区域中的PIR访问页面，得到各上述数据库的PIR访问页面数量相同的多个候选等价区域；区域优化模块，用于利用任意一个上述候选等价区域的面积占整个路网空间的比率不小于上述隐私保护强度参数，对多个上述候选等价区域进行优化得到多个优化等价区域；其中，隐私保护强度参数的取值范围为(0，1]；划分策略模块，用于根据得到的多个上述优化等价区域在整个上述路网空间添加分裂标记，然后采用深度优先遍历获得全局的最优划分策略；数据查询模块，用于根据上述最优划分策略生成多个最优等价区域的查询计划，根据多个最优等价区域的查询计划从多个上述数据库中获取相关数据后，发送到上述客户端。

本申请实施例与实施例1的原理相同，在此不做重复描述。综上，本申请提供一种隐私保护强度可调的高效空间查询方法及系统：

本申请在查询时，根据构建的多个数据库，将所有路网的空间区域划分为不同查询计划的多个最细粒度区域，通过合并一个或多个最细粒度区域中的PIR访问页面，得到各上述数据库的PIR访问页面数量相同的多个候选等价区域，且通过满足每个候选等价区域的面积占整个路网空间的比率不小于隐私保护强度参数(0</>≤1)，得到优化后的多个等价区域。查询用户可以根据所期望的隐私保护强度和查询性能指定/>值大小，并且当/>=1时，/>-EAI等价于GI，/>-EAI是GI的特殊形式。通过放松GI中的查询计划设计规定，来实现空间查询平均性能的提高。由于对服务器数据库中每个页面的数据请求都是通过PIR协议的，所以攻击者无法获知对于被请求的单个数据页面的任何内容。那么，在攻击者看来，任意查询的唯一不同在于在每轮数据请求时的数据页数的不同。通过在等价区域中的所有查询在每轮数据请求时检索相同数目的数据页，因此等价区域中的任意查询对于攻击者来说是不可区分的。根据多个优化等价区域对整个路网空间添加分裂标记，利用深度优选获取全局的最优划分策略优化查询方法，服务器从而提供给客户端所需要查询的相关数据。综上，本申请提出了一种等价区域不可区分(Equivalence-Area Indistinguishability，EAI)的强隐私保护定义，提出了利用动态规划算法根据不同区域所需的PIR访问页面数对空间区域进行等价类划分，并设计算法保证了查询等价区域不可区分的隐私保护强度，进一步减少了PIR访问的次数，降低查询代价，提高了基于私有信息检索技术的强隐私保护技术的性能，解决大量不必要的数据访问造成了查询性能降低，同时影响到用户体验的问题，保证查询等价区域不可区分的隐私保护强度。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种隐私保护强度可调的高效空间查询方法，其特征在于，包括：

当查询用户提出查询时，通过客户端输入查询内容和隐私保护强度参数，并提交到服务器，所述服务器对查询执行如下操作：

构建多个数据库，将所有路网空间划分为不同查询计划的多个最细粒度区域；通过合并一个或多个最细粒度区域中的PIR访问页面，得到各所述数据库的PIR访问页面数量相同的多个候选等价区域；

利用任意一个所述候选等价区域的面积占整个所述路网空间的比率不小于所述隐私保护强度参数，对多个所述候选等价区域进行优化得到多个优化等价区域；其中，隐私保护强度参数的取值范围为(0，1]；

根据得到的多个所述优化等价区域在整个所述路网空间添加分裂标记，然后采用深度优先遍历获得全局的最优划分策略；

根据所述最优划分策略生成多个最优等价区域的查询计划，根据多个最优等价区域的查询计划从多个所述数据库中获取相关数据后，发送到所述客户端。

2.根据权利要求1所述的一种隐私保护强度可调的高效空间查询方法，其特征在于，

多个所述优化等价区域表示为：

(U₁，U₂]，(U₂，U₃]，……，(U_m，U_m+1]；

其中，(U_m，U_m+1]表示所述优化等价区域；U₁=0，U_m+1=N_max；N_max表示当查询用户提出查询q时，通过预计算得到的所述查询q在每个所述数据库需要访问的PIR页面数量最大值；

每个所述优化等价区域，满足下式最小值：

；

式中，表示第j个所述候选等价区域的必要的PIR访问页数；/>表示第j个所述候选等价区域的必要面积；

当所述查询q需要的PIR访问页面处于其中一个所述候选等价区域(U_i，U_i+1]时，其中i=1,2,3...m，所述查询q需要访问的PIR页面数量设定为U_i+1。

3.根据权利要求2所述的一种隐私保护强度可调的高效空间查询方法，其特征在于，每个所述候选等价区域的面积，表示为：

；

式中，表示第i个所述候选等价区域，/>表示第i个所述候选等价区域的必要的PIR访问页数，/>表示第i个所述候选等价区域的必要的面积；

任意一个所述候选等价区域的面积占整个所述路网空间的比率不小于所述隐私保护强度参数，表示为：

；

式中，表示所述隐私保护强度参数。

4.根据权利要求1所述的一种隐私保护强度可调的高效空间查询方法，其特征在于，所述将所有路网空间划分为不同查询计划的多个最细粒度区域，包括：

通过网格或KD-树划分所有查询的维诺图得到多个最细粒度区域。

5.根据权利要求1所述的一种隐私保护强度可调的高效空间查询方法，其特征在于，还包括：所述服务器执行如下安全查询处理协议：

攻击者成功猜测出查询q_v′的概率Pr不能高于随机查询值，表示为：

Pr(q_v′=q_v)≤1/2+ε(U)；

式中，ε(U)是相对于安全参数U的一个不可忽略的值；q_v表示所述客户端得到的所述随机查询值，其中v的取值范围为{0,1}。

6.根据权利要求1所述的一种隐私保护强度可调的高效空间查询方法，其特征在于，根据得到的多个所述优化等价区域在整个所述路网空间添加分裂标记中，包括：

通过t[i, j]表示整个所述路网空间(i,j]是否应该分裂为多个所述优化等价区域，如果区间(i,j]应在k处分裂，即分裂为(i,k]和(k,j]，则将t[i, j]赋值为k；否则，将t[i, j]赋值为空。

7.根据权利要求1所述的一种隐私保护强度可调的高效空间查询方法，其特征在于，采用深度优先遍历获得全局的最优划分策略中，时间复杂度O限制在：；

其中，表示所有查询在每个所述数据库需要访问的PIR页面数量最大值。

8.根据权利要求1所述的一种隐私保护强度可调的高效空间查询方法，其特征在于，

所述通过客户端输入查询内容和隐私保护强度参数，并提交到服务器，包括：

所述查询内容和所述隐私保护强度参数，通过SSL安全链接发送到所述服务器配置的安全协处理器SCOP；

所述根据多个最优等价区域的查询计划从多个所述数据库中获取相关数据后，发送到所述客户端，包括：

所述安全协处理器根据预计算时制定的多个最优等价区域的查询计划，从数据组织MonoDB中获取相关数据后，通过SSL安全链接发送到所述客户端。

9.一种隐私保护强度可调的高效空间查询系统，其特征在于，包括客户端和服务器；

所述客户端用于查询用户执行查询时，输入查询内容和隐私保护强度参数，并提交到所述服务器；

所述服务器包括：

区域划分模块，用于构建多个数据库，将所有路网空间划分为不同查询计划的多个最细粒度区域；通过合并一个或多个最细粒度区域中的PIR访问页面，得到各所述数据库的PIR访问页面数量相同的多个候选等价区域；

区域优化模块，用于利用任意一个所述候选等价区域的面积占整个所述路网空间的比率不小于所述隐私保护强度参数，对多个所述候选等价区域进行优化得到多个优化等价区域；其中，隐私保护强度参数的取值范围为(0，1]；

划分策略模块，用于根据得到的多个所述优化等价区域在整个所述路网空间添加分裂标记，然后采用深度优先遍历获得全局的最优划分策略；

数据查询模块，用于根据所述最优划分策略生成多个最优等价区域的查询计划，根据多个最优等价区域的查询计划从多个所述数据库中获取相关数据后，发送到所述客户端。

10.一种电子装置，包括处理器和存储器，所述存储器中存储有计算机指令，其特征在于，所述计算机指令在所述处理器执行时能实现如权利要求1-8任一项所述的一种隐私保护强度可调的高效空间查询方法。