一種面向密文云存儲的多維區間檢索方法與系統技術方案

本發明專利技術公開了一種面向密文云存儲的多維區間檢索方法與系統，在有效保護數據隱私的同時，可以實現海量密文數據的快速多維區間檢索，屬于信息安全技術領域。本發明專利技術的原理是使用R樹為數據構造索引，并提出一種可以隱藏矩形相對位置的相交判定方法，基于該判定方法，云存儲系統可以快速搜索R樹，且不泄露數據的排序特征、檢索條件等。本系統包括若干客戶端和云存儲系統，所述客戶端分別通過網絡與所述云存儲系統連接。

A method and system of multidimensional interval retrieval for ciphertext cloud storage

The invention discloses a multi-dimensional interval oriented ciphertext retrieval method and cloud storage system, the effective protection of data privacy at the same time, can realize the rapid and massive multi-dimensional interval encrypted data retrieval, which belongs to the technical field of information security. The principle of the invention is to use the R tree data structure index, and put forward a kind of can hide the relative position of the rectangular intersection judgement method, this method based on the cloud storage system can quickly search the R tree, and does not leak sorting features and data retrieval conditions etc.. The system comprises several clients and a cloud storage system, wherein the clients are connected with the cloud storage system through the network respectively.

【技術實現步驟摘要】
一種面向密文云存儲的多維區間檢索方法與系統
本專利技術屬于信息安全
，具體涉及一種面向密文云存儲的多維區間檢索方法與系統。
技術介紹
由于云計算技術具有高可靠性、高可擴展性和按需服務等特點，越來越多的個人和組織機構將所需要處理的海量數據存儲到云存儲系統，并在需要的時候訪問數據。然而，數據隱私問題已成為阻礙云計算技術發展的主要原因之一。用戶將數據存儲到云存儲系統后，就失去了對數據的直接控制，云存儲系統中的數據面臨著外部網絡攻擊和內部管理人員的雙重威脅。為保護數據隱私，用戶通常在本地將數據加密后再提交給云存儲系統，當需要訪問數據時，用戶將全部密文數據下載到本地后再解密。目前已有聯想、Wuala、Spideroak等多個云服務提供商提供密文云存儲服務。密文檢索技術可以實現用戶在不解密密文數據的前提下查找所需的內容。一般情況下，云存儲系統沒有解密密鑰，無法直接對密文數據進行檢索，用戶只能下載全部密文數據，在本地進行解密后再判斷其是否符合檢索條件。這個過程不僅要求較大的帶寬支持，還要求客戶端具有較大的存儲能力和計算能力，其代價是難以承受的。而在密文檢索技術中，用戶為數據生成安全索引，并將密文數據和安全索引一同存儲到云存儲系統。當進行檢索時，用戶根據檢索條件生成安全陷門，并提交給云存儲系統，云存儲系統根據安全陷門和安全索引進行查找，并將符合條件的密文數據返回給用戶。密文檢索技術可以有效降低傳輸代價以及對客戶端的要求，且檢索過程中不會泄露檢索條件以及數據內容。區間檢索是數據庫的基本檢索類型之一，主要用于數值類屬性，檢索屬性值滿足給定區間的數據。對于密文多維區間檢索，雖然可以使用密文單維區間檢索方案對各屬性分別進行檢索后求結果的交集，但是這個過程檢索效率較低且會泄露數據的單維隱私。目前針對密文多維區間檢索的方案，普遍檢索效率較低，而檢索效率較高的方案則會泄露數據的排序特征。因此，設計并實現可有效保護數據隱私的安全索引，支持快速多維區間檢索，對提高當前密文云存儲系統的安全性至關重要。
技術實現思路
針對上述問題需求，本專利技術提供了一種面向密文云存儲的多維區間檢索方法與系統，可以實現海量密文數據的快速多維區間檢索。為了實現上述目的，本專利技術采用以下技術方案：一種面向密文云存儲的多維區間檢索方法，通過客戶端和云存儲系統實現，包括以下步驟：1.客戶端分別生成用于加解密數據的密鑰以及加密索引和陷門的密鑰。優選地，客戶端可以使用任意安全可靠的加密算法對數據進行加解密操作，如SMS4、AES256等。優選地，客戶端可以使用任意保留向量內積正負性的加密算法對索引和陷門進行加密操作，如ASPE。2.客戶端構造一個數對集合T，每個維度至少在集合中出現一次。優選地，當維數n為偶數時，構造數對集合T＝{(1,2),(3,4),...,(n-1,n)}；當維數n為奇數時，構造數對集合T＝{(1,2),(3,4),...,(n-2,n-1),(n,1)}。3.客戶端為數據構造一個R樹索引(各節點對應一個超矩形)，并將各節點表示為向量形式，生成初始索引。所述超矩形是指包圍該節點的所有子樹中的數據的最小n維矩形，其中n為維數。優選地，節點對應的超矩形為P＝[l1,h1]×[l2,h2]×…×[ln,hn]，其中[li,hi]表示超矩形在i維上對應的區間；對于任意(i,j)∈T，根據li,hi,lj,hj構造向量Vi-j,A,Vi-j,B：Vi-j,A＝(1,li,lj,hi,hj,lihi+ljhj)T，Vi-j,B＝(1,li,lj,hi,hj,lilj,hihj,lihi,lihj,ljhi,ljhj,lihihj,ljhihj,liljhi,liljhj,liljhihj)T。4.客戶端將初始索引中的各向量分別進行加密，生成安全索引。5.客戶端將數據進行加密，然后將密文數據和安全索引發送給云存儲系統。6.當用戶需要檢索屬性值滿足某個范圍的數據時，客戶端將檢索條件表示為向量形式，生成初始陷門。優選地，檢索條件對應的超矩形為Q＝[l′1,h′1]×[l′2,h′2]×…×[l′n,h′n]，其中[l′i,h′i]表示超矩形在i維上對應的區間；對于任意(i,j)∈T，根據l′i,h′i,l′j,h′j構造向量Wi-j,A,Wi-j,B：Wi-j,A＝(-l′ih′i-l′jh′j,l′i,l′j,h′i,h′j,-1)T，Wi-j,B＝(l′il′jh′ih′j，-l′il′jh′j,-l′il′jh′i，-l′jh′ih′j,,-l′ih′ih′j,l′il′j,h′ih′j,l′jh′j,l′ih′j,l′jh′i,l′ih′i,-h′j,-h′i,-l′j,-l′i,1)T。7.客戶端將初始陷門中的各向量分別進行加密，得到安全陷門。8.客戶端將安全陷門發送給云存儲系統。9.云存儲系統在收到安全陷門后，檢索安全索引。檢索過程與R樹相同，從根節點開始，若某非葉子節點與檢索條件相交，則繼續搜做其孩子節點，否則停止搜索該分支；若某葉子節點與檢索條件相交，則將其包含的所有數據返回給客戶端，否則忽略該葉子節點。優選地，若節點P＝[l1,h1]×[l2,h2]×…×[ln,hn]與檢索條件Q＝[l′1,h′1]×[l′2,h′2]×…×[l′n,h′n]相交，則對于任意(i,j)∈T，矩形Pi-j＝[li,hi]×[lj,hj]與矩形Qi-j＝[l′i,h′i]×[l′j,h′j]相交。如圖1所示，若Qi-j的中心(o′i,o′j)位于矩形Si-j＝[li-a,hi+a]×[lj-b,hj+b]內，則Pi-j與Qi-j相交，即將矩形相交問題轉換為點包含問題。如圖2所示，若(o′i,o′j)位于Si-j的外接圓內，且位于由Si-j劃分的區域{I,III,V,VII,IX}內，則(o′i,o′j)位于Si-j內，即Pi-j與Qi-j相交。具體地，Vi-j,A·Wi-j,A＝r2-(oi-o′i)2-(oj-o′j)2，Vi-j,B·Wi-j,B＝(o′i-li+a)(o′j-lj+b)(hi+a-o′i)(hj+b-o′j)，若Vi-j,A·Wi-j,A≥0且Vi-j,B·Wi-j,B≥0，則Pi-j與Qi-j相交。綜上，若對于任意(i,j)∈T，均滿足Vi-j,A·Wi-j,A≥0且Vi-j,B·Wi-j,B≥0，則節點與檢索條件相交。10.客戶端將云存儲系統發來的密文數據進行解密。本專利技術提供的能保護數據隱私的快速密文多維區間檢索系統，該系統包括若干客戶端和云存儲系統，所述客戶端分別通過網絡與所述云存儲系統連接，所述客戶端包括安全模塊、索引操作模塊、陷門操作模塊，所述云存儲系統包括檢索服務器和密文存儲服務器，其中：所述安全模塊主要用于對數據進行加解密操作，以及對初始索引和初始陷門進行加密操作；所述索引操作模塊主要用于生成初始索引，由安全模塊加密數據和初始索引后，將密文數據和安全索引傳輸給云存儲系統；所述陷門操作模塊主要用于生成初始陷門，由安全模塊加密初始陷門后，將安全陷門發送給云存儲系統；所述檢索服務器主要用于存儲安全索引，并根據安全索引和安全陷門進行檢索操作，將檢索到的數據對應的標識號碼id發送給密文存儲服務器；所述密文存儲服務器主要用于存儲密文數本文檔來自技高網...

【技術保護點】
一種面向密文云存儲的多維區間檢索方法，通過客戶端和云存儲系統實現，包括以下步驟：1)客戶端分別生成用于加解密數據的密鑰以及加密索引和陷門的密鑰；2)客戶端構造一個數對集合T，每個維度至少在該集合中出現一次；3)客戶端為數據構造一個R樹索引，其中各節點對應一個超矩形，并將各節點表示為向量形式，生成初始索引；4)客戶端將初始索引中的各向量分別進行加密，生成安全索引；5)客戶端將數據進行加密，然后將密文數據和安全索引發送給云存儲系統；6)當用戶需要檢索屬性值滿足某個范圍的數據時，客戶端將檢索條件表示為向量形式，生成初始陷門；7)客戶端將初始陷門中的各向量分別進行加密，得到安全陷門；8)客戶端將安全陷門發送給云存儲系統；9)云存儲系統在收到安全陷門后，檢索安全索引，將檢索到的密文數據發送給客戶端；10)客戶端將云存儲系統發來的密文數據進行解密。

【技術特征摘要】
1.一種面向密文云存儲的多維區間檢索方法，通過客戶端和云存儲系統實現，包括以下步驟：1)客戶端分別生成用于加解密數據的密鑰以及加密索引和陷門的密鑰；2)客戶端構造一個數對集合T，每個維度至少在該集合中出現一次；3)客戶端為數據構造一個R樹索引，其中各節點對應一個超矩形，并將各節點表示為向量形式，生成初始索引；4)客戶端將初始索引中的各向量分別進行加密，生成安全索引；5)客戶端將數據進行加密，然后將密文數據和安全索引發送給云存儲系統；6)當用戶需要檢索屬性值滿足某個范圍的數據時，客戶端將檢索條件表示為向量形式，生成初始陷門；7)客戶端將初始陷門中的各向量分別進行加密，得到安全陷門；8)客戶端將安全陷門發送給云存儲系統；9)云存儲系統在收到安全陷門后，檢索安全索引，將檢索到的密文數據發送給客戶端；10)客戶端將云存儲系統發來的密文數據進行解密。2.如權利要求1所述的一種面向密文云存儲的多維區間檢索方法，其特征在于，所述客戶端使用任意安全可靠的加密算法對數據進行加解密操作，包括SMS4、AES256。3.如權利要求1所述的一種面向密文云存儲的多維區間檢索方法，其特征在于，所述客戶端使用任意保留向量內積正負性的加密算法對索引和陷門進行加密操作，包括ASPE。4.如權利要求1所述的一種面向密文云存儲的多維區間檢索方法，其特征在于，步驟3)中，節點對應的超矩形為P＝[l1,h1]×[l2,h2]×…×[ln,hn]，其中[li,hi]表示超矩形在i維上對應的區間；對于任意(i,j)∈T，根據li,hi,lj,hj構造向量Vi-j,A,Vi-j,B：Vi-j,A＝(1,li,lj,hi,hj,lihi+ljhj)T，Vi-j,B＝(1,li,lj,hi,hj,lilj,hihj,lihi,lihj,ljhi,ljhj,lihihj,ljhihj,liljhi,liljhj,liljhihj)T。5.如權利要求1所述的一種面向密文云存儲的多維區間檢索方法，其特征在于，步驟6)中，檢索條件對應的超矩形為Q＝[l′1,h′1]×[l'2,h'2]×…×[l'n,h'n]，對于任意(i,j)∈T，根據l′i,h′i,l'j,h'j構造向量Wi-j,A,Wi-j,B：Wi-j,A＝(-l′ih′i-l'jh'j,l′i,l'j,h′i,h'j,-1)T，Wi-j,B＝(l′il'jh′ih'j，-l′il'jh'j,-l′il'jh′i，-l'jh′ih'j,,-l′ih′ih'j,l′il'j,h′ih'j,l'jh'j,l′ih'j,l'jh′i,l′ih′i,-h'j,-h′i,-l'j,-l′i,1)T。6.如權利要求1...

【專利技術屬性】
技術研發人員：遲佳琳，洪澄，張敏，陳震宇，馮登國，
申請(專利權)人：中國科學院軟件研究所，
類型：發明
國別省市：北京,11