保护有向无环图制造技术

描述一种用于保护有向无环图（DAG）的方法和装置。在一个实施例中，描述一种用于加密DAG的算法，所述算法在给定起始节点（入口点）、用于该节点的节点密钥和在图中遍历的路径的情况下使实现加密DAG，其中密钥被存储在DAG的边上而不是在DAG的节点上。在DAG的边上而不是在DAG的节点上存储密钥使实现DAG的有效查询以及节点具有可改变的多个父而不影响该节点与不变的父的关系的能力。为在DAG内创建的每个节点生成唯一的且在密码上随机的密钥（在本文中有时被称为唯一的节点密钥）。节点密钥对其生成所为的节点以及还有离开该节点的任何边进行加密。节点密钥不与节点一起存储。相反，节点密钥被存储在到用父节点的节点密钥加密的节点的入边（来自其父节点的边）上。在根节点的情况下，存在来自DAG外部的隐含的边，在那里存储根节点的节点密钥。

【技术实现步骤摘要】
【国外来华专利技术】保护有向无环图相关申请的交叉引用本申请要求2014年5月22日提交的美国临时申请号62/002,127的权益，藉此通过引用将其并入。
本专利技术的实施例涉及有向图的领域；并且更具体地，涉及保护有向无环图。
技术介绍
计算机科学中的图是定义完善且被充分理解的概念。有向无环图（DAG）是不具有有向循环的有向图，并且由节点和有向边的集合形成，其中每个边将一个节点连接到另一个。在DAG中，存在根节点，根节点是没有入边的节点，并且可以从根节点到达图中的所有其它节点。该根节点的标识符（ID）被存储在图本身外部的某处，以在查询时用作到图的入口点。存在图加密的一些变型，所述变型尝试为通用图维持高水平的灵活性，但是在有向无环图（DAG）的情况下大多数不是有效的。例如，存在基于公共查询的预计算索引的系统，使得查询可以用删除假阳性的结果集的进一步过滤来生成期望结果的超集。附图说明可以通过参考用于图示本专利技术的实施例的附图和以下描述来最佳地理解本专利技术。在图中：图1图示根据本专利技术的实施例保护的示例性DAG；图2是图示根据一个实施例的示例性安全DAG系统的框图；图3图示根据一个实施例的图1的DAG的示本文档来自技高网...

【技术保护点】
一种用于保护第一有向无环图（DAG）的方法，包括：接收在第一DAG中创建第一节点的请求，其中该请求为第一节点指定路径；为第一节点创建第一个唯一的、在密码上安全的密钥；在第一DAG中创建第一节点；用为第一节点创建的第一个唯一的、在密码上安全的密钥加密第一DAG中的第一节点的内容；基于指定的路径确定在第一DAG中创建的第一节点的父节点；在第一DAG中创建从所述父节点到创建的第一节点的边；遍历从第一DAG的根节点到所述父节点的路径，以确定已经为所述父节点创建的第二个唯一的、在密码上安全的密钥；用第二个唯一的、在密码上安全的密钥加密第一个唯一的、在密码上安全的密钥；以及在从所述父节点到创建的第一节点的...

【技术特征摘要】
【国外来华专利技术】2014.05.22 US 62/002127;2015.05.21 US 14/7192871.一种用于保护第一有向无环图（DAG）的方法，包括：接收在第一DAG中创建第一节点的请求，其中该请求为第一节点指定路径；为第一节点创建第一个唯一的、在密码上安全的密钥；在第一DAG中创建第一节点；用为第一节点创建的第一个唯一的、在密码上安全的密钥加密第一DAG中的第一节点的内容；基于指定的路径确定在第一DAG中创建的第一节点的父节点；在第一DAG中创建从所述父节点到创建的第一节点的边；遍历从第一DAG的根节点到所述父节点的路径，以确定已经为所述父节点创建的第二个唯一的、在密码上安全的密钥；用第二个唯一的、在密码上安全的密钥加密第一个唯一的、在密码上安全的密钥；以及在从所述父节点到创建的第一节点的创建的边上存储用第二个唯一的、在密码上安全的密钥加密第一个唯一的、在密码上安全的密钥的结果，其中不在创建的第一节点本身上存储用于创建的第一节点的第一个唯一的、在密码上安全的密钥。2.根据权利要求1所述的方法，进一步包括：接收对第一节点处的数据的请求，其中该请求指示从第一DAG的根节点到第一DAG的中间节点到第一DAG的第一节点遍历的路径；确定进行对第一节点处的数据的请求的用户的用户密钥；捕获存储在从所述根节点到所述中间节点的边上的数据；使用用户的用户密钥解密捕获的数据，该捕获的数据揭示用于所述中间节点的唯一的、在密码上安全的密钥；捕获存储在从所述中间节点到第一节点的边上的数据；使用用于所述中间节点的唯一的、在密码上安全的密钥解密捕获的数据，该捕获的数据揭示用于第一节点的第一个唯一的、在密码上安全的密钥；捕获存储在第一节点上的数据；以及使用第一个唯一的、在密码上安全的密钥解密存储在第一节点上的数据。3.根据权利要求1所述的方法，进一步包括：接收从第一DAG移除第二节点的请求，其中该请求为第二节点指定路径；基于为第二节点指定的路径，确定第二节点的父节点；确定在第二节点下方的所有节点和边；以及从第一DAG移除第二节点、在第一DAG中的从第二节点的父节点到第二节点的边以及在第二节点的路径下方的任何节点和边。4.根据权利要求1所述的方法，进一步包括：接收移动第一节点的请求，其中该请求指定第一节点当前位于的地方和第一节点将被移动的地方的路径；遍历从第一DAG的根节点到第一节点的路径，以确定为第一节点创建的第一个唯一的、在密码上安全的密钥；基于提供的路径确定用于第一节点的新的父节点；在第一DAG中创建从新的父节点到在其所移动的位置中的第一节点的边；遍历从第一DAG的根节点到新的父节点的路径，以确定新的父节点的第三个唯一的、在密码上安全的密钥；用第三个唯一的、在密码上安全的密钥加密第一个唯一的、在密码上安全的密钥；在从新的父节点到在其所移动的位置中的第一节点的创建的边上存储用第三个唯一的、在密码上安全的密钥加密第一个唯一的、在密码上安全的密钥的结果；以及在第一DAG中移除从第一节点的先前父节点到第一节点的边。5.根据权利要求1所述的方法，进一步包括：接收与第二用户共享第一用户的第三节点的请求，其中该请求指定将被共享的第三节点；遍历从第一DAG的根节点起的路径，以确定已经为第三节点创建的第三个唯一的、在密码上安全的密钥；生成用第二用户的公开密钥加密的消息，其中该消息指示第一用户想要与第二用户共享数据，并且其中该消息包括用于第三节点的第三个唯一的、在密码上安全的密钥以及用于第三节点的节点标识符；以及向第二用户传送所生成的消息。6.根据权利要求5所述的方法，进一步包括：存储所有权关系，该所有权关系指定第一用户已经允许第二用户访问第三节点。7.根据权利要求5所述的方法，进一步包括：接收用第二用户的公开密钥加密的消息，该消息指示第一用户想要与第二用户共享数据；用第二用户的私有密钥解密所述消息，其中解密的消息揭示用于第三节点的节点标识符以及第三个唯一的、在密码上安全的密钥；确定在用于第二用户的第二DAG中放置第三节点的路径；确定第二DAG中的第三节点的父节点；遍历从第二DAG的根节点到第二DAG中的第三节点的父节点的路径，以确定用于第二DAG中的第三节点的父节点的第四个唯一的、在密码上安全的密钥；在第二DAG中创建从第二DAG中的第三节点的父节点到第一DAG中的第三节点的边；用第四个唯一的、在密码上安全的密钥加密第三个唯一的、在密码上安全的密钥；以及从第二DAG中的第三节点的父节点到第一DAG中的第三节点的在第二DAG中创建的边上存储用第四个唯一的、在密码上安全的密钥加密第三个唯一的、在密码上安全的密钥的结果。8.根据权利要求7所述的方法，其中所述路径被确定为被放置在第二DAG的根节点下。9.根据权利要求7所述的方法，其中所述路径由第二用户选择。10.一种提供指令的非暂时性机器可读存储介质，所述指令在由处理器执行时将使所述处理器实行包括以下的操作：接收在第一有向无环图（DAG）中创建第一节点的请求，其中该请求为第一节点指定路径；为第一节点创建第一个唯一的、在密码上安全的密钥；在第一DAG中创建第一节点；用为第一节点创建的第一个唯一的...

【专利技术属性】
技术研发人员：J格雷戈里，T希尔，M克莱因，DC劳伦斯，J沃德，
申请(专利权)人：普契尼国际有限公司，
类型：发明
国别省市：中国香港,81