一种面向密文云存储的多维区间检索方法与系统技术方案

本发明专利技术公开了一种面向密文云存储的多维区间检索方法与系统，在有效保护数据隐私的同时，可以实现海量密文数据的快速多维区间检索，属于信息安全技术领域。本发明专利技术的原理是使用R树为数据构造索引，并提出一种可以隐藏矩形相对位置的相交判定方法，基于该判定方法，云存储系统可以快速搜索R树，且不泄露数据的排序特征、检索条件等。本系统包括若干客户端和云存储系统，所述客户端分别通过网络与所述云存储系统连接。

A method and system of multidimensional interval retrieval for ciphertext cloud storage

The invention discloses a multi-dimensional interval oriented ciphertext retrieval method and cloud storage system, the effective protection of data privacy at the same time, can realize the rapid and massive multi-dimensional interval encrypted data retrieval, which belongs to the technical field of information security. The principle of the invention is to use the R tree data structure index, and put forward a kind of can hide the relative position of the rectangular intersection judgement method, this method based on the cloud storage system can quickly search the R tree, and does not leak sorting features and data retrieval conditions etc.. The system comprises several clients and a cloud storage system, wherein the clients are connected with the cloud storage system through the network respectively.

【技术实现步骤摘要】
一种面向密文云存储的多维区间检索方法与系统
本专利技术属于信息安全
，具体涉及一种面向密文云存储的多维区间检索方法与系统。
技术介绍
由于云计算技术具有高可靠性、高可扩展性和按需服务等特点，越来越多的个人和组织机构将所需要处理的海量数据存储到云存储系统，并在需要的时候访问数据。然而，数据隐私问题已成为阻碍云计算技术发展的主要原因之一。用户将数据存储到云存储系统后，就失去了对数据的直接控制，云存储系统中的数据面临着外部网络攻击和内部管理人员的双重威胁。为保护数据隐私，用户通常在本地将数据加密后再提交给云存储系统，当需要访问数据时，用户将全部密文数据下载到本地后再解密。目前已有联想、Wuala、Spideroak等多个云服务提供商提供密文云存储服务。密文检索技术可以实现用户在不解密密文数据的前提下查找所需的内容。一般情况下，云存储系统没有解密密钥，无法直接对密文数据进行检索，用户只能下载全部密文数据，在本地进行解密后再判断其是否符合检索条件。这个过程不仅要求较大的带宽支持，还要求客户端具有较大的存储能力和计算能力，其代价是难以承受的。而在密文检索技术中，用户为数据生成安全索引，并将密文数据和安全索引一同存储到云存储系统。当进行检索时，用户根据检索条件生成安全陷门，并提交给云存储系统，云存储系统根据安全陷门和安全索引进行查找，并将符合条件的密文数据返回给用户。密文检索技术可以有效降低传输代价以及对客户端的要求，且检索过程中不会泄露检索条件以及数据内容。区间检索是数据库的基本检索类型之一，主要用于数值类属性，检索属性值满足给定区间的数据。对于密文多维区间检索，虽然可以使用密文单维区间检索方案对各属性分别进行检索后求结果的交集，但是这个过程检索效率较低且会泄露数据的单维隐私。目前针对密文多维区间检索的方案，普遍检索效率较低，而检索效率较高的方案则会泄露数据的排序特征。因此，设计并实现可有效保护数据隐私的安全索引，支持快速多维区间检索，对提高当前密文云存储系统的安全性至关重要。
技术实现思路
针对上述问题需求，本专利技术提供了一种面向密文云存储的多维区间检索方法与系统，可以实现海量密文数据的快速多维区间检索。为了实现上述目的，本专利技术采用以下技术方案：一种面向密文云存储的多维区间检索方法，通过客户端和云存储系统实现，包括以下步骤：1.客户端分别生成用于加解密数据的密钥以及加密索引和陷门的密钥。优选地，客户端可以使用任意安全可靠的加密算法对数据进行加解密操作，如SMS4、AES256等。优选地，客户端可以使用任意保留向量内积正负性的加密算法对索引和陷门进行加密操作，如ASPE。2.客户端构造一个数对集合T，每个维度至少在集合中出现一次。优选地，当维数n为偶数时，构造数对集合T＝{(1,2),(3,4),...,(n-1,n)}；当维数n为奇数时，构造数对集合T＝{(1,2),(3,4),...,(n-2,n-1),(n,1)}。3.客户端为数据构造一个R树索引(各节点对应一个超矩形)，并将各节点表示为向量形式，生成初始索引。所述超矩形是指包围该节点的所有子树中的数据的最小n维矩形，其中n为维数。优选地，节点对应的超矩形为P＝[l1,h1]×[l2,h2]×…×[ln,hn]，其中[li,hi]表示超矩形在i维上对应的区间；对于任意(i,j)∈T，根据li,hi,lj,hj构造向量Vi-j,A,Vi-j,B：Vi-j,A＝(1,li,lj,hi,hj,lihi+ljhj)T，Vi-j,B＝(1,li,lj,hi,hj,lilj,hihj,lihi,lihj,ljhi,ljhj,lihihj,ljhihj,liljhi,liljhj,liljhihj)T。4.客户端将初始索引中的各向量分别进行加密，生成安全索引。5.客户端将数据进行加密，然后将密文数据和安全索引发送给云存储系统。6.当用户需要检索属性值满足某个范围的数据时，客户端将检索条件表示为向量形式，生成初始陷门。优选地，检索条件对应的超矩形为Q＝[l′1,h′1]×[l′2,h′2]×…×[l′n,h′n]，其中[l′i,h′i]表示超矩形在i维上对应的区间；对于任意(i,j)∈T，根据l′i,h′i,l′j,h′j构造向量Wi-j,A,Wi-j,B：Wi-j,A＝(-l′ih′i-l′jh′j,l′i,l′j,h′i,h′j,-1)T，Wi-j,B＝(l′il′jh′ih′j，-l′il′jh′j,-l′il′jh′i，-l′jh′ih′j,,-l′ih′ih′j,l′il′j,h′ih′j,l′jh′j,l′ih′j,l′jh′i,l′ih′i,-h′j,-h′i,-l′j,-l′i,1)T。7.客户端将初始陷门中的各向量分别进行加密，得到安全陷门。8.客户端将安全陷门发送给云存储系统。9.云存储系统在收到安全陷门后，检索安全索引。检索过程与R树相同，从根节点开始，若某非叶子节点与检索条件相交，则继续搜做其孩子节点，否则停止搜索该分支；若某叶子节点与检索条件相交，则将其包含的所有数据返回给客户端，否则忽略该叶子节点。优选地，若节点P＝[l1,h1]×[l2,h2]×…×[ln,hn]与检索条件Q＝[l′1,h′1]×[l′2,h′2]×…×[l′n,h′n]相交，则对于任意(i,j)∈T，矩形Pi-j＝[li,hi]×[lj,hj]与矩形Qi-j＝[l′i,h′i]×[l′j,h′j]相交。如图1所示，若Qi-j的中心(o′i,o′j)位于矩形Si-j＝[li-a,hi+a]×[lj-b,hj+b]内，则Pi-j与Qi-j相交，即将矩形相交问题转换为点包含问题。如图2所示，若(o′i,o′j)位于Si-j的外接圆内，且位于由Si-j划分的区域{I,III,V,VII,IX}内，则(o′i,o′j)位于Si-j内，即Pi-j与Qi-j相交。具体地，Vi-j,A·Wi-j,A＝r2-(oi-o′i)2-(oj-o′j)2，Vi-j,B·Wi-j,B＝(o′i-li+a)(o′j-lj+b)(hi+a-o′i)(hj+b-o′j)，若Vi-j,A·Wi-j,A≥0且Vi-j,B·Wi-j,B≥0，则Pi-j与Qi-j相交。综上，若对于任意(i,j)∈T，均满足Vi-j,A·Wi-j,A≥0且Vi-j,B·Wi-j,B≥0，则节点与检索条件相交。10.客户端将云存储系统发来的密文数据进行解密。本专利技术提供的能保护数据隐私的快速密文多维区间检索系统，该系统包括若干客户端和云存储系统，所述客户端分别通过网络与所述云存储系统连接，所述客户端包括安全模块、索引操作模块、陷门操作模块，所述云存储系统包括检索服务器和密文存储服务器，其中：所述安全模块主要用于对数据进行加解密操作，以及对初始索引和初始陷门进行加密操作；所述索引操作模块主要用于生成初始索引，由安全模块加密数据和初始索引后，将密文数据和安全索引传输给云存储系统；所述陷门操作模块主要用于生成初始陷门，由安全模块加密初始陷门后，将安全陷门发送给云存储系统；所述检索服务器主要用于存储安全索引，并根据安全索引和安全陷门进行检索操作，将检索到的数据对应的标识号码id发送给密文存储服务器；所述密文存储服务器主要用于存储密文数本文档来自技高网...

【技术保护点】
一种面向密文云存储的多维区间检索方法，通过客户端和云存储系统实现，包括以下步骤：1)客户端分别生成用于加解密数据的密钥以及加密索引和陷门的密钥；2)客户端构造一个数对集合T，每个维度至少在该集合中出现一次；3)客户端为数据构造一个R树索引，其中各节点对应一个超矩形，并将各节点表示为向量形式，生成初始索引；4)客户端将初始索引中的各向量分别进行加密，生成安全索引；5)客户端将数据进行加密，然后将密文数据和安全索引发送给云存储系统；6)当用户需要检索属性值满足某个范围的数据时，客户端将检索条件表示为向量形式，生成初始陷门；7)客户端将初始陷门中的各向量分别进行加密，得到安全陷门；8)客户端将安全陷门发送给云存储系统；9)云存储系统在收到安全陷门后，检索安全索引，将检索到的密文数据发送给客户端；10)客户端将云存储系统发来的密文数据进行解密。

【技术特征摘要】
1.一种面向密文云存储的多维区间检索方法，通过客户端和云存储系统实现，包括以下步骤：1)客户端分别生成用于加解密数据的密钥以及加密索引和陷门的密钥；2)客户端构造一个数对集合T，每个维度至少在该集合中出现一次；3)客户端为数据构造一个R树索引，其中各节点对应一个超矩形，并将各节点表示为向量形式，生成初始索引；4)客户端将初始索引中的各向量分别进行加密，生成安全索引；5)客户端将数据进行加密，然后将密文数据和安全索引发送给云存储系统；6)当用户需要检索属性值满足某个范围的数据时，客户端将检索条件表示为向量形式，生成初始陷门；7)客户端将初始陷门中的各向量分别进行加密，得到安全陷门；8)客户端将安全陷门发送给云存储系统；9)云存储系统在收到安全陷门后，检索安全索引，将检索到的密文数据发送给客户端；10)客户端将云存储系统发来的密文数据进行解密。2.如权利要求1所述的一种面向密文云存储的多维区间检索方法，其特征在于，所述客户端使用任意安全可靠的加密算法对数据进行加解密操作，包括SMS4、AES256。3.如权利要求1所述的一种面向密文云存储的多维区间检索方法，其特征在于，所述客户端使用任意保留向量内积正负性的加密算法对索引和陷门进行加密操作，包括ASPE。4.如权利要求1所述的一种面向密文云存储的多维区间检索方法，其特征在于，步骤3)中，节点对应的超矩形为P＝[l1,h1]×[l2,h2]×…×[ln,hn]，其中[li,hi]表示超矩形在i维上对应的区间；对于任意(i,j)∈T，根据li,hi,lj,hj构造向量Vi-j,A,Vi-j,B：Vi-j,A＝(1,li,lj,hi,hj,lihi+ljhj)T，Vi-j,B＝(1,li,lj,hi,hj,lilj,hihj,lihi,lihj,ljhi,ljhj,lihihj,ljhihj,liljhi,liljhj,liljhihj)T。5.如权利要求1所述的一种面向密文云存储的多维区间检索方法，其特征在于，步骤6)中，检索条件对应的超矩形为Q＝[l′1,h′1]×[l'2,h'2]×…×[l'n,h'n]，对于任意(i,j)∈T，根据l′i,h′i,l'j,h'j构造向量Wi-j,A,Wi-j,B：Wi-j,A＝(-l′ih′i-l'jh'j,l′i,l'j,h′i,h'j,-1)T，Wi-j,B＝(l′il'jh′ih'j，-l′il'jh'j,-l′il'jh′i，-l'jh′ih'j,,-l′ih′ih'j,l′il'j,h′ih'j,l'jh'j,l′ih'j,l'jh′i,l′ih′i,-h'j,-h′i,-l'j,-l′i,1)T。6.如权利要求1...

【专利技术属性】
技术研发人员：迟佳琳，洪澄，张敏，陈震宇，冯登国，
申请(专利权)人：中国科学院软件研究所，
类型：发明
国别省市：北京,11