CN117494174B - 多维数据加密范围查询方法和装置、存储介质及电子设备 - Google Patents
多维数据加密范围查询方法和装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN117494174B CN117494174B CN202311831555.6A CN202311831555A CN117494174B CN 117494174 B CN117494174 B CN 117494174B CN 202311831555 A CN202311831555 A CN 202311831555A CN 117494174 B CN117494174 B CN 117494174B
- Authority
- CN
- China
- Prior art keywords
- query
- encryption
- range
- encrypted
- mapping scheme
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000013507 mapping Methods 0.000 claims abstract description 81
- 238000004590 computer program Methods 0.000 claims description 13
- 238000001914 filtration Methods 0.000 claims description 7
- 230000009466 transformation Effects 0.000 claims 1
- 238000004458 analytical method Methods 0.000 abstract description 6
- 230000004044 response Effects 0.000 description 12
- 238000006243 chemical reaction Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 150000003014 phosphoric acid esters Chemical class 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 229940088594 vitamin Drugs 0.000 description 1
- 229930003231 vitamin Natural products 0.000 description 1
- 235000013343 vitamin Nutrition 0.000 description 1
- 239000011782 vitamin Substances 0.000 description 1
- 150000003722 vitamin derivatives Chemical class 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/22—Indexing; Data structures therefor; Storage structures
- G06F16/2228—Indexing structures
- G06F16/2264—Multidimensional index structures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/248—Presentation of query results
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Computational Linguistics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及数据加密的技术领域,具体公开了一种多维数据加密范围查询方法和装置、存储介质及电子设备,该多维数据加密范围查询方法包括:在利用加密多映射方案对原始多维数据库构建的数据块索引进行加密形成记录的情况下,接收用户的多维范围查询,并使用覆盖算法将查询转化为一组子查询;利用加密多映射方案将每个子查询生成对应的搜索令牌;将搜索令牌发送到服务器,以获取服务器返回每个令牌的加密记录;客户端在过滤加密记录中的误报后,解密剩余的加密记录得到查询结果。本发明解决了只支持单属性数据上的范围查询,或者缺乏形式化的泄漏分析的技术问题。
Description
技术领域
本发明涉及数据加密的技术领域,具体而言,涉及一种多维数据加密范围查询方法和装置、存储介质及电子设备。
背景技术
随着云服务的兴起,对支持复杂隐私保护查询的方案的需求正在增加。对于支持多属性数据上范围查询的方案,在双方设置的应用场景中,客户将数据外包给云提供商,服务器是不受信任的,并被假定为诚实但好奇(或被动持久性的)对手,客户希望能够私密地查询他们的数据。这种威胁模型在加密数据库中是标准的,使我们能够模拟对手不能主动干扰协议,了解过去查询的情况。
面对上述场景,其中一个解决方案是使用强加密基元,如全同态加密。虽然它们提供了最佳的安全性,但这些解决方案目前尚不实际。作为替代,已经提出了使用可搜索对称加密(SSE)的解决方案。SSE方案提供以下权衡:为了换取效率,它们会揭示一些关于查询和底层数据的明确定义的信息,即泄漏。
SSE方案泄漏的常见类型包括访问模式(对手可以识别每个响应中的加密记录)、容量模式(对手可以观察每个响应中的加密记录数)和搜索模式(对手可以确定两个发出的查询是否相等)。已经提出了针对支持1D范围查询的方案的数据库重构攻击。第一个此类攻击随后有了更高效的攻击,用于使用访问和容量模式的一维范围查询,以及使用访问和搜索模式泄漏的通用二维(2D)或两属性数据库重构的两个攻击工作。
有序保密加密(OPE)通过在不解密的情况下启用底层明文的顺序比较来支持范围查询。然而,OPE方案已经被证明容易受到多种泄漏滥用攻击的攻击。SSE的泄漏严格小于OPE,使用SSE的许多范围方案也已被提出。SSE通过使用轻量级的加密基元,如伪随机函数和哈希函数,实现了其效率。但高效方案依旧存在只支持单属性(1D)数据上的范围查询,或者缺乏形式化的泄漏分析的问题。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种多维数据加密范围查询方法和装置、存储介质及电子设备,以至少解决只支持单属性数据上的范围查询,或者缺乏形式化的泄漏分析的技术问题。
根据本发明实施例的一个方面,提供了一种多维数据加密范围查询方法,包括:在利用加密多映射方案对原始多维数据库构建的数据块索引进行加密形成记录的情况下,接收用户的多维范围查询,并使用覆盖算法将查询转化为一组子查询;利用上述加密多映射方案将每个子查询生成对应的搜索令牌;将上述搜索令牌发送到服务器,以获取上述服务器返回每个令牌的加密记录;客户端在过滤上述加密记录中的误报后,解密剩余的加密记录得到查询结果。
优选地,在接收用户的多维范围查询之前,还包括:基于原始多维数据库确定数据结构;根据上述数据结构构建数据块索引;利用上述加密多映射方案加密上述数据块索引中的节点与记录的映射关系。
优选地,利用上述加密多映射方案加密上述数据块索引中的节点与记录的映射关系,包括:将上述原始多维数据库中每个范围支持数据结构的二元组中的数据范围与二叉搜索树中的每个节点进行关联;利用上述加密多映射方案加密上述节点与记录的映射关系。
优选地,利用上述加密多映射方案将每个子查询生成对应的搜索令牌,包括:利用上述加密多映射方案,根据上述子查询的标签,生成对应的搜索令牌,其中,上述搜索令牌为上述标签对应的密钥。
优选地,将上述搜索令牌发送到服务器,包括:对上述搜索令牌进行重排;将重排的搜索令牌发送到服务器。
优选地,在解密剩余的加密记录得到查询结果之前,还包括:客户端接收上述服务器返回的加密记录;根据加密映射关系对上述加密记录进行过滤以剔除误报。
优选地,解密剩余的加密记录得到查询结果,包括:根据密钥解密剩余的加密记录得到查询结果。
根据本发明实施例的另一方面,还提供了一种多维数据加密范围查询装置,包括:转化单元,用于在利用加密多映射方案对原始多维数据库构建的数据块索引进行加密形成记录的情况下,接收用户的多维范围查询,并使用覆盖算法将查询转化为一组子查询;生成单元,用于利用上述加密多映射方案将每个子查询生成对应的搜索令牌;获取单元,用于将上述搜索令牌发送到服务器,以获取上述服务器返回每个令牌的加密记录;结果单元,用于客户端在过滤上述加密记录中的误报后,解密剩余的加密记录得到查询结果。
根据本发明实施例的又一方面,还提供了一种计算机可读的存储介质,该计算机可读的存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述多维数据加密范围查询方法。
根据本发明实施例的又一方面,还提供了一种电子设备,包括存储器和处理器,上述存储器中存储有计算机程序,上述处理器被设置为通过所述计算机程序执行上述的多维数据加密范围查询方法。
在本发明中,采用在利用加密多映射方案对原始多维数据库构建的数据块索引进行加密形成记录的情况下,接收用户的多维范围查询,并使用覆盖算法将查询转化为一组子查询;利用加密多映射方案将每个子查询生成对应的搜索令牌;将搜索令牌发送到服务器,以获取服务器返回每个令牌的加密记录;客户端在过滤加密记录中的误报后,解密剩余的加密记录得到查询结果的方式,通过多维范围搜索数据结构构建加密多维映射方案框架达到了进行多维数据加密范围查询的目的,从而实现了对多维数据的加密范围进行查询的技术效果,进而解决了只支持单属性数据上的范围查询,或者缺乏形式化的泄漏分析的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种可选的多维数据加密范围查询方法的流程示意图;
图2是根据本发明实施例的一种可选的多维数据加密范围查询方法的流程示意图;
图3是根据本发明实施例的一种可选的多维数据加密范围查询方法的流程示意图;
图4是根据本发明实施例的一种可选的多维数据加密范围查询装置的结构示意图;
图5是根据本发明实施例的一种可选的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本发明实施例的一个方面,提供了一种多维数据加密范围查询方法,该多维数据加密范围查询方法广泛应用于多维数据加密查询应用环境下。
作为一种可选的实施方式,如图1所示,上述多维数据加密范围查询方法包括:
S102,在利用加密多映射方案对原始多维数据库构建的数据块索引进行加密形成记录的情况下,接收用户的多维范围查询,并使用覆盖算法将查询转化为一组子查询;
S104,利用加密多映射方案将每个子查询生成对应的搜索令牌;
S106,将搜索令牌发送到服务器,以获取服务器返回每个令牌的加密记录;
S108,客户端在过滤加密记录中的误报后,解密剩余的加密记录得到查询结果。
作为一种可选的实施方式,在接收用户的多维范围查询之前,还包括:基于原始多维数据库确定数据结构;根据数据结构构建数据块索引;利用加密多映射方案加密数据块索引中的节点与记录的映射关系。
作为一种可选的实施方式,利用加密多映射方案加密数据块索引中的节点与记录的映射关系,包括:将原始多维数据库中每个范围支持数据结构的二元组中的数据范围与二叉搜索树中的每个节点进行关联;利用加密多映射方案加密节点与记录的映射关系。
作为一种可选的实施方式,利用加密多映射方案将每个子查询生成对应的搜索令牌,包括:利用加密多映射方案,根据子查询的标签,生成对应的搜索令牌,其中,搜索令牌为标签对应的密钥。
作为一种可选的实施方式,将搜索令牌发送到服务器,包括:对搜索令牌进行重排;将重排的搜索令牌发送到服务器。
作为一种可选的实施方式,在解密剩余的加密记录得到查询结果之前,还包括:客户端接收服务器返回的加密记录;根据加密映射关系对加密记录进行过滤以剔除误报。
作为一种可选的实施方式,解密剩余的加密记录得到查询结果,包括:根据密钥解密剩余的加密记录得到查询结果。
在本申请实施例中,采用在利用加密多映射方案对原始多维数据库构建的数据块索引进行加密形成记录的情况下,接收用户的多维范围查询,并使用覆盖算法将查询转化为一组子查询;利用加密多映射方案将每个子查询生成对应的搜索令牌;将搜索令牌发送到服务器,以获取服务器返回每个令牌的加密记录;客户端在过滤加密记录中的误报后,解密剩余的加密记录得到查询结果的方式,通过多维范围搜索数据结构构建加密多维映射方案框架达到了进行多维数据加密范围查询的目的,从而实现了对多维数据的加密范围进行查询的技术效果,进而解决了只支持单属性数据上的范围查询,或者缺乏形式化的泄漏分析的技术问题。
具体的,实施上述多维数据加密范围查询方法不限于包括以下内容:
初步设定:假设给定整数, />,其中 />,定义/>,。设/>为正整数,且 />。/>属性数据库,或称为/>维数据库,/>是从域/>到一组规模为/>的记录的一个单射映射。用/>表示域值为/>的记录的集合。一个d维范围查询不限于是一个超矩形/>,其中/>表示第/>维的范围。
伪随机函数(PRF)族不限于是一个多项式时间可计算的算法,接受一个密钥和一个输入/>,并返回某个整数/>上的输出/>。
在本申请实施例中,使用并构建了经典的范围支持数据结构范围树。一个维范围树/>不限于是一个递归定义的树。从一个在/>上的二叉搜索树开始,树中的每个节点/>与一个在/>上的二叉树相关联。对于每个在/>上的二叉树的顶点,不限于都有一条边连接到在/>上的二叉树的根节点。一个二进制范围不限于是一个具有二的幂长度/>且起始索引为/>的区间,因此,/>上的二叉搜索树被视为一棵树,其中每个节点都与/>中的一个二进制范围相关联。范围树的源/>满足。对于/>上的二叉树的节点/>,设/>表示/>与/>相关联的二进制范围。设/>为根节点/>的二进制子树在/>上的标准范围,/>。
对于域为的数据库/>,范围支持数据结构不限于是一个二元组/>,其中:
(i) 是一个连通的有向无环图(DAG)。
(ii) 的每个顶点/>对应于域/>上的一个范围,表示为/>,称为规范范围。
(iii) 𝐺有一个单一的源顶点,范围是整个域, 表示为/>。
对于每个非叶(非终端)顶点,有/>。
(iv)为范围覆盖算法,是多项式时间算法,以DAG/>和域D上的范围查询/>作为输入,并返回/>的顶点的子集/>,称为范围/>的覆盖,其中,/>的规范范围的并集包括范围/>,/>。
一个加密多维映射方案(EMM)不限于是一个算法组合:,其中:
:接受一个安全参数和一个多维映射,返回一个秘密密钥和一个加密多维映射;
:接受密钥和标签,返回一个搜索令牌;
:接受加密多维映射和搜索令牌,返回一个密文;
:接受密钥和密文,返回一组值。
对于数据库D上的范围支持数据结构,不限于推导出一个如下范围加密多维映射方案。客户端初始化一个多维映射MM,对于/>的每个节点/>,设置。然后使用基础的EMM方案对结果多维映射进行加密,并将其外包给服务器。要执行范围查询/>,客户端计算/>以获得覆盖/>。利用基础的EMM方案,客户端为每个节点/>计算搜索令牌/>,对应于规范范围。将该令牌集/>进行排列,以消除由范围覆盖算法引起的任何排序信息。然后将集合/>发送给服务器,服务器检索相应的加密记录集,也就是规范范围的加密响应,并返回给客户端。通用范围加密多维映射方案表示为:/>。
本申请实施例通用范围加密多维映射方案泄漏了域的大小和EMM的总大小。对于每个查询,泄漏了令牌集以及每个令牌的部分响应的大小。因此,这个方案引起了从所选择的DAG和范围覆盖方案导致的额外泄漏。从ID“分区”概念进行扩展,该概念特指带有泄漏搜索和访问模式的基础EMM方案的一维范围树方案,引入了结构模式泄漏,这是对在任何范围支持数据结构和任何EMM方案实例化的情况下,关于任意维度查询的泄漏的广泛适用的表征。
设是一个用于/>维数据库/>(其域为/>)的范围支持数据结构,MM是由GenericRS生成的多维映射,/>是EMM方案。设/>为/>的源节点。范围查询/>的结构模式为。
GenericRS的泄漏不限于描述如下:
假设存在一个适应性安全的EMM方案,泄漏搜索模式和卷模式,以及一个适用于大小为/>的域/>的数据库/>的范围支持数据结构/>,则从/>和/>构建的通用范围加密多维映射方案GenericRS在适应性情况下是/>安全的,其中:
(1)
(2)
利用标准的混合论证来证明这个定理。目标是找到一个游戏序列,从真实世界开始,到理想世界结束;在序列中必须有多项,除了可忽略的概率外,彼此之间都是不可区分的。
证明:不限于构建一个有状态的模拟器来模拟/>和/>操作:
(3)
(1) 调用基础EMM方案的模拟器,使用初始化一个加密多维映射EMM;
(2) 返回EMM;(4)
(1) 初始化一个空集合;
(2) 对于每个满足的/>;
(a) 模拟器S使用RC算法,调用EMM方案的模拟器,获取/>的响应,并将其添加到/>中。
剩下的证明对于所有的概率多项式时间的对手A,概率是可忽略的。定义了以下两个游戏,并以混合论证来结束:
Hyb0:与完全相同;
Hyb1:与Hyb0完全相同,除了不再调用和/>,而是调用基础EMM方案的模拟器。
是可忽略的,否则基础EMM方案的安全性将会被非可忽略的概率破坏。由于Hyb1的分布与/>完全相同,这就完成了证明。
本申请实施例中,重要选择是使用数据无关的数据结构。这与长期以来为明文数据库开发更高效数据结构的工作形成了鲜明对比,比如R树和学习索引。尽管如此,通用方案的泄漏特征严重依赖于底层的DAG和范围覆盖算法。使用数据相关的数据结构会固有地泄漏更多信息。例如,考虑一个单属性(1D)数据库,可以通过使用一个范围支持数据结构来更高效地进行加密,其中DAG是一个不平衡的二叉树,将每个规范范围/>分解为子范围/>和/>。如果对手能够推断出树结构,那么它还将了解底层记录的数据分布。出于这个原因,许多私有的/>范围方案选择了平衡的范围树。本申请实施例采用范围树作为本方法的数据库结构。
不限于用一个EMM方案来实例化方案,在实现中选用方案。要使用/>查询一个标签,客户端计算两个每个标签的密钥/>,然后将其作为搜索令牌发送给服务器。对于每个递增的/>,服务器计算PRF值/>并用它来检索相应的加密值。然后服务器使用/>来解密该值,然后将其返回给客户端。服务器增加𝑖并重复查找,直到检索到相应的加密值。不限于通过以下简单修改将此方案转换为一个响应隐藏的方案:改为使用一个单独的密钥来加密值。这个密钥保密,而值在客户端解密。
不限于使用特定的范围支持数据结构创建一个明文多维映射,将每个规范范围映射到该范围内的记录。然后,使用EMM方案对这个明文多维映射进行加密。每当客户端发出一个查询,利用对应的范围覆盖算法来确定需要查询哪些明文规范范围。然后使用EMM方案来计算搜索令牌并解密结果.
具体地,上述多维数据加密范围查询方法实际应用时,不限于如图2所示,设定原始多维数据库,确定数据结构,使用一个EMM方案来进行实例化,采用线性方案进行多维数据范围查找,客户端查询一个范围时,将范围内的每个范围点的搜索令牌发送给服务端,服务端将查询响应记录的加密集合返回给客户端。
具体地,本申请实施例提供适用于这一框架的具体示例方案。该方案支持在个属性上进行多维范围搜索。本实施例不限于提供最优服务器存储,但以客户端带宽为代价。为了减少所需的带宽,转向经典的几何搜索数据结构,例如范围树和四叉树。这两种数据结构都改善了线性方案的带宽并提供了带宽和存储的权衡,具体不限于采用范围树来作为查询的数据结构。为了查询数据结构,采用线性方案多维范围覆盖技术。
假设表示数据库,用/>表示域,大小分别表示为/>和/>。查询范围内的域点数被称为范围大小,用/>表示。查询范围内的记录数量被称为结果大小,用表示。在方案中,客户端向服务器发出的查询被表示为一个令牌集。将令牌集中的搜索令牌数量称为查询大小。服务器将响应作为记录的加密集合(每个搜索令牌一个集合)返回给客户端,其总记录数称为响应大小。需要说明的是,响应大小等于结果大小加上返回的误报数量。
线性方案通过其域值对每个记录进行索引。每当客户端希望查询一个范围时,将每个范围点的搜索令牌发送到服务器。线性方案的DAG,/>,是一个由源/>连接到/>个汇点的星形图,则有/>,每个汇点/>与不同的域点/>相关联,使得。利用线性范围覆盖算法(LRC),其中在预处理步骤中,/>的汇点存储在一个/>维数组/>中,由其域点索引。利用以下定理总结方案及其复杂性。
设是一个大小为/>的数据库/>的星形DAG,域大小为/>的/>维域/>,LRC是上述线性覆盖算法。那么/>是一个范围支持数据结构,从中派生出来的范围加密多映射方案使用的空间为/>。此外,具有范围大小/>和结果大小/>的查询具有查询大小/>和响应大小/>。
当在的源上调用时,算法LRC在多项式时间内运行。LRC是这样实现的,使得/>的汇点存储在一个由域点索引的数组/>中。设/>是域上的任何范围查询。在常数时间内可以将一个空集/>初始化。遍历/>并将/>添加到/>需要时间/>,其中,是查询范围/>的大小。
线性方案生成一个具有个标签的多映射,每个标签对应/>中的一个汇点。每个记录与其相应的点值一起存储一次。索引的大小为/>。当客户端发出大小为/>的范围查询时,客户端计算/>个搜索令牌并将其发送给服务器。每个搜索与查询的域点相对应,因此响应大小为/>。
具体的,上述多维数据加密范围查询方法实际应用流程不限于如图3所示,在确定原始多维数据库的情况下,选择数据结构,根据/>构建索引,使用加密多映射方案,加密索引点中的节点与记录映射关系,接收用户的多维范围查询,使用覆盖算法将查询转化为一组子查询,对每个子查询使用加密多映射方案生成搜索令牌,将重排的令牌发送到服务器,服务器返回每个令牌的加密记录,客户端过滤误报,解密实际记录,返回结果。
本申请实施例在带宽、存储和安全性之间做出了明智的权衡,以满足应用的需求。同时,我们的方案在实践中表现出色,能够高度可并行化,充分利用计算资源,提高了查询效率。
本申请实施例对于框架做了明确定义,确保了适用于框架的方案能够在泄漏方面做到可控可测。在多属性范围搜索的安全加密领域带来了创新性突破,构建了全新的框架和实际方案,为解决实际问题提供了有力的支持。
本申请实施例中记载的技术方案是高度可并行化的,可以通过批量更新来支持更新。系统化了私密范围方案的构建,确定数据独立的数据结构,可以防止对手从底层数据结构推断出关于数据分布的信息。
在本申请实施例中,首次构建正式通用框架,专门用于设计支持多属性范围搜索的安全加密方案。这个框架填补了这个领域的空白,为解决多属性范围搜索的问题提供了全新的视角,从而使得加密领域取得了突破。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
根据本发明实施例的另一个方面,还提供了一种用于实施上述多维数据加密范围查询方法的多维数据加密范围查询装置。如图4所示,该装置包括:
转化单元402,用于在利用加密多映射方案对原始多维数据库构建的数据块索引进行加密形成记录的情况下,接收用户的多维范围查询,并使用覆盖算法将查询转化为一组子查询;
生成单元404,用于利用加密多映射方案将每个子查询生成对应的搜索令牌;
获取单元406,用于将搜索令牌发送到服务器,以获取服务器返回每个令牌的加密记录;
结果单元408,用于客户端在过滤加密记录中的误报后,解密剩余的加密记录得到查询结果。
可选地,上述转化单元402在接收用户的多维范围查询之前,还包括:基于原始多维数据库确定数据结构;根据数据结构构建数据块索引;利用加密多映射方案加密数据块索引中的节点与记录的映射关系。
可选地,上述转化单元402利用加密多映射方案加密数据块索引中的节点与记录的映射关系,包括:将原始多维数据库中每个范围支持数据结构的二元组中的数据范围与二叉搜索树中的每个节点进行关联;利用加密多映射方案加密节点与记录的映射关系。
可选地,上述生成单元404利用加密多映射方案将每个子查询生成对应的搜索令牌,包括:利用加密多映射方案,根据子查询的标签,生成对应的搜索令牌,其中,搜索令牌为标签对应的密钥。
可选地,上述获取单元406将搜索令牌发送到服务器,包括:对搜索令牌进行重排;将重排的搜索令牌发送到服务器。
可选地,上述结果单元408在解密剩余的加密记录得到查询结果之前,还包括:客户端接收服务器返回的加密记录;根据加密映射关系对加密记录进行过滤以剔除误报。
可选地,上述结果单元408解密剩余的加密记录得到查询结果,包括:根据密钥解密剩余的加密记录得到查询结果。
在本申请实施例中,采用在利用加密多映射方案对原始多维数据库构建的数据块索引进行加密形成记录的情况下,接收用户的多维范围查询,并使用覆盖算法将查询转化为一组子查询;利用加密多映射方案将每个子查询生成对应的搜索令牌;将搜索令牌发送到服务器,以获取服务器返回每个令牌的加密记录;客户端在过滤加密记录中的误报后,解密剩余的加密记录得到查询结果的方式,通过多维范围搜索数据结构构建加密多维映射方案框架达到了进行多维数据加密范围查询的目的,从而实现了对多维数据的加密范围进行查询的技术效果,进而解决了只支持单属性数据上的范围查询,或者缺乏形式化的泄漏分析的技术问题。
根据本发明实施例的又一个方面,还提供了一种用于实施上述多维数据加密范围查询方法的电子设备,该电子设备可以是终端设备或服务器。如图5所示,该电子设备包括存储器502和处理器504,该存储器502中存储有计算机程序,该处理器504被设置为通过计算机程序执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述电子设备可以位于计算机网络的多个网络设备中的至少一个网络设备。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S2,在利用加密多映射方案对原始多维数据库构建的数据块索引进行加密形成记录的情况下,接收用户的多维范围查询,并使用覆盖算法将查询转化为一组子查询;
S4,利用加密多映射方案将每个子查询生成对应的搜索令牌;
S6,将搜索令牌发送到服务器,以获取服务器返回每个令牌的加密记录;
S8,客户端在过滤加密记录中的误报后,解密剩余的加密记录得到查询结果。
可选地,本领域普通技术人员可以理解,图5所示的结构仅为示意,电子设备也可以是任意终端设备。图5其并不对上述电子设备的结构造成限定。例如,电子设备还可包括比图5中所示更多或者更少的组件(如网络接口等),或者具有与图5所示不同的配置。
其中,存储器502可用于存储软件程序以及模块,如本发明实施例中的智能设备的监控方法和装置对应的程序指令/模块,处理器504通过运行存储在存储器502内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的多维数据加密范围查询方法。存储器502可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器502可进一步包括相对于处理器504远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。作为一种示例,如图5所示,上述存储器502中可以但不限于包括上述多维数据加密范围查询装置中的转化单元402、生成单元404、获取单元406和结果单元408。此外,还可以包括但不限于上述多维数据加密范围查询装置中的其他模块单元,本示例中不再赘述。
可选地,上述的传输装置506用于经由一个网络接收或者发送数据。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,传输装置506包括一个网络适配器(Network Interface Controller,NIC),其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中,传输装置506为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
此外,上述电子设备还包括:显示器508,用于显示上述涉及的数据;和连接总线510,用于连接上述电子设备中的各个模块部件。
在其他实施例中,上述终端设备或者服务器可以是一个分布式系统中的一个节点,其中,该分布式系统可以为区块链系统,该区块链系统可以是由该多个节点通过网络通信的形式连接形成的分布式系统。其中,节点之间可以组成点对点(P2P,Peer To Peer)网络,任意形式的计算设备,比如服务器、终端等电子设备都可以通过加入该点对点网络而成为该区块链系统中的一个节点。
根据本申请的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述多维数据加密范围查询方面的各种可选实现方式中提供的方法。其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述计算机可读的存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S2,在利用加密多映射方案对原始多维数据库构建的数据块索引进行加密形成记录的情况下,接收用户的多维范围查询,并使用覆盖算法将查询转化为一组子查询;
S4,利用加密多映射方案将每个子查询生成对应的搜索令牌;
S6,将搜索令牌发送到服务器,以获取服务器返回每个令牌的加密记录;
S8,客户端在过滤加密记录中的误报后,解密剩余的加密记录得到查询结果。
可选地,在本实施例中,本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(Random Access Memory,RAM)、磁盘或光盘等。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (7)
1.一种多维数据加密范围查询方法,其特征在于,包括:
基于原始多维数据库确定数据结构;
根据所述数据结构构建数据块索引;
利用加密多映射方案加密所述数据块索引中的节点与记录的映射关系,包括:将所述原始多维数据库中每个范围支持数据结构的二元组中的数据范围与二叉搜索树中的每个节点进行关联,其中,所述加密多映射方案为算法组合;
利用所述加密多映射方案加密所述节点与记录的映射关系;
在利用所述加密多映射方案对原始多维数据库构建的数据块索引进行加密形成记录的情况下,接收用户的多维范围查询,并使用覆盖算法将查询转化为一组子查询,其中,所述覆盖算法为多项式时间算法,以范围查询为输入并返回有向无环图的顶点的子集;
利用所述加密多映射方案将每个子查询生成对应的搜索令牌,包括:利用所述加密多映射方案,根据所述子查询的标签,生成对应的搜索令牌,其中,所述搜索令牌为所述标签对应的密钥;
将所述搜索令牌发送到服务器,以获取所述服务器返回每个令牌的加密记录;
客户端在过滤所述加密记录中的误报后,解密剩余的加密记录得到查询结果。
2.根据权利要求1所述的方法,其特征在于,将所述搜索令牌发送到服务器,包括:
对所述搜索令牌进行重排;
将重排的搜索令牌发送到服务器。
3.根据权利要求1所述的方法,其特征在于,在解密剩余的加密记录得到查询结果之前,还包括:
客户端接收所述服务器返回的加密记录;
根据加密映射关系对所述加密记录进行过滤以剔除误报。
4.根据权利要求1所述的方法,其特征在于,解密剩余的加密记录得到查询结果,包括:
根据密钥解密剩余的加密记录得到查询结果。
5.一种多维数据加密范围查询装置,其特征在于,包括:
转化单元,用于基于原始多维数据库确定数据结构;根据所述数据结构构建数据块索引;利用加密多映射方案加密所述数据块索引中的节点与记录的映射关系,包括:将所述原始多维数据库中每个范围支持数据结构的二元组中的数据范围与二叉搜索树中的每个节点进行关联,其中,所述加密多映射方案为算法组合;利用所述加密多映射方案加密所述节点与记录的映射关系;
还用于在利用所述加密多映射方案对原始多维数据库构建的数据块索引进行加密形成记录的情况下,接收用户的多维范围查询,并使用覆盖算法将查询转化为一组子查询,其中,所述覆盖算法为多项式时间算法,以范围查询为输入并返回有向无环图的顶点的子集;
生成单元,用于利用所述加密多映射方案将每个子查询生成对应的搜索令牌,包括:利用所述加密多映射方案,根据所述子查询的标签,生成对应的搜索令牌,其中,所述搜索令牌为所述标签对应的密钥;
获取单元,用于将所述搜索令牌发送到服务器,以获取所述服务器返回每个令牌的加密记录;
结果单元,用于客户端在过滤所述加密记录中的误报后,解密剩余的加密记录得到查询结果。
6.一种计算机可读的存储介质,其特征在于,所述计算机可读的存储介质包括存储的程序,其中,所述程序运行时执行所述权利要求1至4任一项中所述的方法。
7.一种电子设备,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为通过所述计算机程序执行所述权利要求1至4任一项中所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311831555.6A CN117494174B (zh) | 2023-12-28 | 2023-12-28 | 多维数据加密范围查询方法和装置、存储介质及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311831555.6A CN117494174B (zh) | 2023-12-28 | 2023-12-28 | 多维数据加密范围查询方法和装置、存储介质及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117494174A CN117494174A (zh) | 2024-02-02 |
CN117494174B true CN117494174B (zh) | 2024-03-29 |
Family
ID=89678634
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311831555.6A Active CN117494174B (zh) | 2023-12-28 | 2023-12-28 | 多维数据加密范围查询方法和装置、存储介质及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117494174B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106127075A (zh) * | 2016-06-27 | 2016-11-16 | 湖南大学 | 一种云存储环境下基于隐私保护的可搜索加密方法 |
CN106708921A (zh) * | 2015-11-12 | 2017-05-24 | Sap欧洲公司 | 对加密数据的多对数范围查询 |
CN107294701A (zh) * | 2017-07-05 | 2017-10-24 | 西安电子科技大学 | 具有高效密钥管理的多维密文区间查询装置及查询方法 |
CN115484026A (zh) * | 2022-09-02 | 2022-12-16 | 湖北经济学院 | 一种金融科技中基于区块链多维信任体系结构 |
CN116484399A (zh) * | 2023-03-23 | 2023-07-25 | 南京航空航天大学 | 构建密文范围检索结果完备性验证数据结构的方法及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10958415B2 (en) * | 2018-07-11 | 2021-03-23 | Informatica Llc | Method, apparatus, and computer-readable medium for searching polymorphically encrypted data |
-
2023
- 2023-12-28 CN CN202311831555.6A patent/CN117494174B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106708921A (zh) * | 2015-11-12 | 2017-05-24 | Sap欧洲公司 | 对加密数据的多对数范围查询 |
CN106127075A (zh) * | 2016-06-27 | 2016-11-16 | 湖南大学 | 一种云存储环境下基于隐私保护的可搜索加密方法 |
CN107294701A (zh) * | 2017-07-05 | 2017-10-24 | 西安电子科技大学 | 具有高效密钥管理的多维密文区间查询装置及查询方法 |
CN115484026A (zh) * | 2022-09-02 | 2022-12-16 | 湖北经济学院 | 一种金融科技中基于区块链多维信任体系结构 |
CN116484399A (zh) * | 2023-03-23 | 2023-07-25 | 南京航空航天大学 | 构建密文范围检索结果完备性验证数据结构的方法及系统 |
Non-Patent Citations (1)
Title |
---|
加密数据库快速关键词查询技术;张曼;咸鹤群;张曙光;;计算机工程与应用;20180701(13);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN117494174A (zh) | 2024-02-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8904171B2 (en) | Secure search and retrieval | |
Naor et al. | Oblivious transfer and polynomial evaluation | |
Inan et al. | Privacy preserving clustering on horizontally partitioned data | |
Freedman et al. | Keyword search and oblivious pseudorandom functions | |
Zheng et al. | Achieving efficient and privacy-preserving k-NN query for outsourced ehealthcare data | |
Guo et al. | Verifiable and forward-secure encrypted search using blockchain techniques | |
CN112270006A (zh) | 电商平台中隐藏搜索模式和访问模式的可搜索加密方法 | |
US9712320B1 (en) | Delegatable pseudorandom functions and applications | |
Andola et al. | Searchable encryption on the cloud: a survey | |
Van Rompay et al. | Multi-user searchable encryption in the cloud | |
Cui et al. | Harnessing encrypted data in cloud for secure and efficient mobile image sharing | |
Hu et al. | Private search on key-value stores with hierarchical indexes | |
Zhou et al. | Privacy‐Preserving Federated Learning Framework with General Aggregation and Multiparty Entity Matching | |
Fan et al. | MSIAP: A dynamic searchable encryption for privacy-protection on smart grid with cloud-edge-end | |
Kamel et al. | Dynamic spatial index for efficient query processing on the cloud | |
Zhang et al. | Toward privacy-preserving aggregate reverse skyline query with strong security | |
Zhang et al. | Secure and efficient searchable public key encryption for resource constrained environment based on pairings under prime order group | |
Li et al. | Privacy-preserving reverse nearest neighbor query over encrypted spatial data | |
Liu et al. | EncSIM: An encrypted similarity search service for distributed high-dimensional datasets | |
Lei et al. | Fast and secure knn query processing in cloud computing | |
Xie et al. | Access-oblivious and privacy-preserving k nearest neighbors classification in dual clouds | |
Cao et al. | A Lightweight Fine‐Grained Search Scheme over Encrypted Data in Cloud‐Assisted Wireless Body Area Networks | |
CN117494174B (zh) | 多维数据加密范围查询方法和装置、存储介质及电子设备 | |
Falzon et al. | Attacks on encrypted range search schemes in multiple dimensions | |
Dang | Ensuring correctness, completeness, and freshness for outsourced tree-indexed data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |