流数据高效细粒度安全共享方法技术

本发明专利技术提出一种流数据高效细粒度安全共享方法，通过从数据加密到数据共享的构建与优化，能够在保证安全高效的数据存储同时支持细粒度的访问控制。包括：将数据生产者的流数据进行数据分块，并预聚合计算每个数据块的统计值，同时密钥管理模块产生密钥流，二者经数据加密后将密文上传至服务提供商；所述服务提供商将所述密文分为两个部分存储，所述统计值密文存储到内存缓存中，原始值密文存储到磁盘中；数据拥有者基于资源路径、时间范围、时间粒度生成访问控制模板，并利用模板加密数据生产者的密钥流；数据访问者经数据拥有者授权后，查询数据并解密授权范围内的数据。查询数据并解密授权范围内的数据。查询数据并解密授权范围内的数据。

【技术实现步骤摘要】
流数据高效细粒度安全共享方法


[0001]本专利技术涉及一种流数据高效细粒度安全共享方法，属于信息安全


技术介绍

[0002]目前，越来越多的设备和服务收集流数据上传到云存储中心，这种增长带来了用户对数据保护和数据隐私的担忧。鉴于隐私数据泄露规模不断扩大，数据安全技术随之不断增强，其中加密数据库成为数据安全的有效解决方案。同时，流数据携带商业和研究价值，常依赖访问控制技术共享数据给第三方，其中基于属性加密(ABE)成为访问控制的关键技术。
[0003]现有技术中：在加密数据库方面，申请号为202011374433.5的专利公开了一种关系型数据库加密方法及该加密数据库查询方法，其中数据拥有者在客户端选择加密级别后，将明文数据发送到安全代理，安全代理根据数据加密方案和加密级别加密上述明文数据，密钥存储在安全代理中，密文数据存储到服务提供商；申请号为202110886135.2的专利公开了一种支持可组合SQL查询的加密数据库方法，其中用户对数据加密和预处理后上传到服务提供商，然后服务提供商可执行用户设定的SQL查询指令并返回给用户查询结果。申请号为 202010889829.7的专利公开了一种数据库字段加密方法，根据数据库字段类别配置加密密钥，并分别对数据库字段的明文进行加密，然后将密文存储到服务提供商。
[0004]在访问控制方面，申请号为202110947484.0的专利公开了一种基于属性加密的APP用户数据访问控制系统及方法，对称加密明文数据且属性密钥加密对称密钥，然后将密文上传到服务提供商存储，通过数据访问者属性判断是否具有访问权限；申请号为201810200325.2公开了一种基于层次化属性加密的外包强制访问控制方法，采用层次化属性加密和强制访问控制相结合的方法，支持数据拥有者控制细粒度数据读写及强制访问控制。
[0005]在加密数据库方面，现有技术支持关系型数据的加密和查询，但是不足以支持大量连续的流数据处理，例如，专利202011374433.5和202110886135.2中考虑了数据加密与密文查询，但没有结合数据量考虑数据处理的可扩展性。另外，现有技术考虑数据的细粒度加密策略，但是没有与访问控制结合起来，如专利 202010889829.7中分别加密数据库的不同字段来提高数据安全性，但是没有进一步考虑细粒度的数据共享方案。
[0006]在访问控制方面，现有技术常采用基于ABE的加密授权方案，但是仅基于 ABE不能解决流数据所需的可扩展与同态能力，例如专利202110947484.0将对称加密与ABE加密结合，但对称加密不支持密文计算，而ABE加密性能较差不能支持加密大量对称密钥。另外，现有ABE方案大部分基于数据访问者的属性加密，而流数据共享常基于发布订阅模式，例如专利201810200325.2虽然基于数据访问者的属性建立层级结构，支持细粒度的访问控制，但是不适用于流数据中无法提前预知数据访问者的场景。

技术实现思路

[0007]本专利技术提出一种流数据高效细粒度安全共享方法，通过从数据加密到数据共享的构建与优化，能够在保证安全高效的数据存储同时支持细粒度的访问控制。
[0008]本专利技术通过以下技术方案实现。
[0009]一种流数据高效细粒度安全共享方法，包括：将数据生产者的流数据进行数据分块，并预聚合计算每个数据块的统计值，同时密钥管理模块产生密钥流，二者经数据加密后将密文上传至服务提供商；所述服务提供商将所述密文分为两个部分存储，所述统计值密文存储到内存缓存中，原始值密文存储到磁盘中；数据拥有者基于资源路径、时间范围、时间粒度生成访问控制模板，并利用模板加密数据生产者的密钥流；数据访问者经数据拥有者授权后，查询数据并解密授权范围内的数据。
[0010]本专利技术的有益效果：
[0011]本专利技术从流数据高效细粒度安全共享方法出发，结合流数据的产生和查询特点，将流数据预聚合后同态加密统计值，并构建内存索引存储统计值密文，实现了流数据的密文计算与高效查询，同时结合流数据资源的属性特点，采用基于身份的通配符密钥派生方案(WKD
‑
IBE)，其性能优于ABE且可以实现基于资源的高效细粒度安全共享方案。
附图说明
[0012]图1为本专利技术流数据高效细粒度安全共享方法流程图；
[0013]图2为本专利技术具体实施方式中流数据加密模块加密流程图；
[0014]图3为本专利技术具体实施方式中流数据预聚合示意图；
[0015]图4为本专利技术具体实施方式中构造密钥派生树示意图；
[0016]图5为本专利技术具体实施方式中流数据存储结构示意图。
具体实施方式
[0017]下面结合附图对本专利技术做详细说明。
[0018]如图1所示，本专利技术具体实施方式的流数据高效细粒度安全共享方法，具体包括以下步骤：
[0019]步骤一、将数据生产者的流数据进行数据分块，并预聚合计算每个数据块的统计值，同时密钥管理模块产生密钥流，二者经数据加密后将密文上传至服务提供商；
[0020]本实施例中，所述预聚合计算每个数据块的统计值采用以下方式：将所述流数据按照预定义最小聚合粒度Δ，切分成数据块{Chunk0,Chunk1,...}，即每个数据块的时间间隔为Δ＝t
i+1
‑
t
i
；然后根据数据访问者的查询需求，(例如：平均值、最小值、最大值等)，计算每个数据块的统计值{Stats0,Stats1,...}。如图 3所示，这一方式一方面避免了共享原始数据，在一定程度上保护了数据生产者的隐私，另外一方面优化了后续数据访问过程中流数据的查询速度。
[0021]具体实施时，流数据经分块预聚合后，所述流数据的加密、查询、访问控制均以数据块为最小时间粒度，每个数据块对应的原始数据和统计值使用不同的密钥加密。由于流数据大量、连续的特点，选择加密效率较好的对称加密技术较为合适，但是对称加密技术不具有加法同态性，不能支持统计值密文相加操作，而数据访问者经常会查询某个时间范围
内统计值的聚合值而非单一数据块的统计值，因此本实施例中，所述数据加密采用加法对称同态加密(additivelysymmetric homomorphic encryption，简称ASHE)方法加密每个数据块的统计值。这一方式是由于AHSE支持密文加法运算，加密效率接近对称加密技术，且无密文扩展即密文空间大小等于明文空间大小。
[0022]所述采用AHSE方法加密具体公式如下：
[0023]加密过程为
[0024]解密过程为
[0025]其中，k为负责加密和解密的实体共享相同的密钥；i为流数据的数据块序号，i∈n，n是自然数集合，m
i
表示明文，c
i
表示密文；
[0026]具体实施时，如果预定义的聚合粒度较小，数据块也随之大量、连续生成，因此需要大量不同密钥加密每个数据块及其统计值，导致数据生产者不得不存储大量密钥，因此需要本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种流数据高效细粒度安全共享方法，其特征在于，包括：将数据生产者的流数据进行数据分块，并预聚合计算每个数据块的统计值，同时密钥管理模块产生密钥流，二者经数据加密后将密文上传至服务提供商；所述服务提供商将所述密文分为两个部分存储，所述统计值密文存储到内存缓存中，原始值密文存储到磁盘中；数据拥有者基于资源路径、时间范围、时间粒度生成访问控制模板，并利用模板加密数据生产者的密钥流；数据访问者经数据拥有者授权后，查询数据并解密授权范围内的数据。2.如权利要求1所述的流数据高效细粒度安全共享方法，其特征在于，所述预聚合计算每个数据块的统计值采用以下方式：将所述流数据按照预定义最小聚合粒度，切分成数据块；然后根据数据访问者的查询需求，计算每个数据块的统计值。3.如权利要求2所述的流数据高效细粒度安全共享方法，其特征在于，流数据经分块预聚合后，所述流数据的加密、查询、访问控制均以数据块为最小时间粒度，每个数据块对应的原始数据和统计值使用不同的密钥加密。4.如权利要求3所述的流数据高效细粒度安全共享方法，其特征在于，所述流数据的加密采用加法对称同态加密方法(AHSE)加密每个数据块的统计值。5.如权利要求4所述的流数据高效细粒度安全共享方法，其特征在于，所述采用AHSE方法加密具体公式如下：加密过程为解密过程为其中，k为负责加密和解密的实体共享相同的密钥；i为流数据的数据块序号，i∈n，n是自然数集合，m
i
表示明文，c
i
表示密文。6.如权利要求5所述的流数据高效细粒度安全共享方法，其特征在于，采用基于平衡二叉树构造密钥派生树，建立所述密钥和数据块之间的对称映射关系。7.如权利要求6所述的流数据高效细粒度安全共享方法，其特征在于，所述构造密钥派生树具体步骤如下：密钥管理模块初始化根节点为一个随机秘密种子，将根节点作为输入，左右结点分别使用不同的伪随机函数，分别对应生成两个孩子结点，递归调用上述过程直到达到预定义的树高度，其中叶子节点为数据块加密的密钥流。8.如权利要求7所述的流数据高效细粒度安全共享方法，其特征在于，所述将数据生产者的流数据进行数据分块，并预聚合计算每个数据块的统计值，根据所述根节点到对应叶子节点的路径编码请求密钥，密钥管理模块根据所述密钥派生树生成对称密钥，分别加密数据块和统计值，并上传到服务提供商存储。9.如权利要求8所述的流数据高效细粒度安全共享方法，其特征在于，所述数据块的统计值Stats
i
经加密Cstats
i
＝(Stats
i
+k
i
‑
k
i+1
)mod n上传到服务提供商，数据访问者查询时间范围[t0,t
n
)的聚合值时，所述服务提供商进行密文计...

【专利技术属性】
技术研发人员：李明慧，薛静锋，王勇，张继，刘振岩，周志雄，
申请(专利权)人：首都体育学院，
类型：发明
国别省市：