一種網(wǎng)絡信息系統(tǒng)中服務器端的個人隱私數(shù)據(jù)保護方法
【專利摘要】本發(fā)明公開了一種網(wǎng)絡信息系統(tǒng)中服務器端的個人隱私數(shù)據(jù)保護方法���,意在提供一種能支持各類常見文本查詢、查詢性能高�、且安全性好的一種網(wǎng)絡信息系統(tǒng)中服務器端的個人隱私數(shù)據(jù)保護方法。通過在網(wǎng)絡信息系統(tǒng)的客戶端和服務器端之間鋪設一層中間軟件����,負責實施本發(fā)明所提供的技術(shù)方法�,以完成兩項功能:一是將外部用戶通過系統(tǒng)客戶端輸入的個人隱私數(shù)據(jù)進行加密后���,存放到系統(tǒng)服務器端的后臺數(shù)據(jù)庫中�,從而確保個人隱私信息在不可信服務器端的安全性����;二是為個人隱私數(shù)據(jù)建立合適的索引,以支持精確查詢���、相似查詢���、范圍查詢等常見文本查詢,從而確保密文查詢的高效性����。
【專利說明】一種網(wǎng)絡信息系統(tǒng)中服務器端的個人隱私數(shù)據(jù)保護方法
【技術(shù)領域】
[0001]本發(fā)明涉及網(wǎng)絡個人隱私信息保護【技術(shù)領域】�����,尤其涉及一種網(wǎng)絡信息系統(tǒng)中服務器端的個人隱私數(shù)據(jù)保護方法��。
【背景技術(shù)】
[0002]隨著網(wǎng)絡技術(shù)以及信息技術(shù)的迅速發(fā)展�,網(wǎng)絡信息系統(tǒng)得到了越來越廣泛的應用�����。然而����,隨著信息化進程的不斷推進��,網(wǎng)絡信息系統(tǒng)的后臺數(shù)據(jù)庫中匯集了大量的個人隱私數(shù)據(jù)����,如身份證號碼、個人姓名�、個人電話、銀行帳號等����。顯然,這些數(shù)據(jù)信息是十分敏感而隱私的�,如果不慎泄露,勢必將對個人隱私數(shù)據(jù)安全構(gòu)成嚴重威脅�。
[0003]圖1展示了網(wǎng)絡信息系統(tǒng)的總體框架結(jié)構(gòu),其中���,網(wǎng)絡信息系統(tǒng)的客戶端被認為是可信的��,因為已有的安全策略均可有效地阻止外部非法用戶通過客戶端訪問到服務器端中的個人隱私數(shù)據(jù)�。然而,網(wǎng)絡信息系統(tǒng)的服務器端卻是不可信的�,例如,數(shù)據(jù)庫管理員或者侵入服務器端的黑客均可毫無阻礙地訪問到服務器端數(shù)據(jù)庫中的個人敏感數(shù)據(jù)���。據(jù)統(tǒng)計���,頻繁發(fā)生的個人隱私數(shù)據(jù)泄密事件均是由于網(wǎng)絡信息系統(tǒng)內(nèi)部工作人員的監(jiān)守自盜而引起。網(wǎng)絡信息系統(tǒng)的個人隱私數(shù)據(jù)的保護問題��,引起人們普遍的關(guān)注�����。
[0004]為了保證個人隱私數(shù)據(jù)的安全性���,網(wǎng)絡信息系統(tǒng)采用了很多數(shù)據(jù)加密方法的安全策略�,如用戶身份認證和授權(quán)訪問控制等��。雖然這兩類方法的安全策略均在很大程度上確保了網(wǎng)絡信息系統(tǒng)中個人隱私數(shù)據(jù)的安全性���。但是�����,所有這些方法的安全策略均只針對客戶端的外部非法用戶訪問網(wǎng)絡信息系統(tǒng)中的個人隱私數(shù)據(jù)���,而這些方法的安全策略確無法阻止網(wǎng)絡信息系統(tǒng)的服務器端的內(nèi)部用戶(數(shù)據(jù)庫管理員)訪問網(wǎng)絡信息系統(tǒng)中的個人隱私數(shù)據(jù)。
[0005]目前�����,國內(nèi)外關(guān)于數(shù)據(jù)加密方法的安全策略研究很多��,但是這些方法均不是針對網(wǎng)絡信息系統(tǒng)的個人隱私數(shù)據(jù)的保護問題而專門設計的��。它們中的絕大部分�,在數(shù)據(jù)查詢時,要求對密文進行解密����,然后在解密后的數(shù)據(jù)上再執(zhí)行查詢,不能滿足網(wǎng)絡信息系統(tǒng)中的數(shù)據(jù)查詢的性能要求��。雖然也有一些數(shù)據(jù)加密方法支持密文查詢���,但均存在諸多缺陷�,如安全性較差,或難以支持各類常見文本查詢�,因而難以直接運用它們解決網(wǎng)絡信息系統(tǒng)中個人隱私數(shù)據(jù)的加密查詢問題。
【發(fā)明內(nèi)容】
[0006]本發(fā)明是為了解決現(xiàn)有網(wǎng)絡信息系統(tǒng)中對個人隱私數(shù)據(jù)保護過程中存在難以支持各類常見文本查詢��,查詢性能差�,安全性較差的不足,提供一種能支持各類常見文本查詢����、查詢性能高、安全性好的一種網(wǎng)絡信息系統(tǒng)中服務器端的個人隱私數(shù)據(jù)保護方法��。
[0007]為了實現(xiàn)上述目的��,本發(fā)明采用以下技術(shù)方案:
[0008]一種網(wǎng)絡信息系統(tǒng)中服務器端的個人隱私數(shù)據(jù)保護方法��,在網(wǎng)絡信息系統(tǒng)的客戶端和服務器端之間布置一層中間軟件��,并且所述中間軟件與客戶端運行在同一臺機單元上��;在客戶端的中間軟件中設有一個“元數(shù)據(jù)”的內(nèi)部數(shù)據(jù)結(jié)構(gòu)單元�,用于保存加密索引、查詢轉(zhuǎn)換����、數(shù)據(jù)解密等過程中所需要的各類參數(shù)信息;
[0009]中 間軟件的數(shù)據(jù)加密單元包括加密函數(shù)E和索引函數(shù)X����,其中,加密函數(shù)E使用傳統(tǒng)分組加密算法將用戶通過客戶端輸入的各類隱私數(shù)據(jù)U轉(zhuǎn)換為密文E(U)���,而索引函數(shù)X負責為隱私數(shù)據(jù)U建立合適的索引X (U)���,然后把密文E (U)連同相應的索引X(U) —起存放到服務器端數(shù)據(jù)庫中;
[0010]中間軟件的查詢轉(zhuǎn)換單元將客戶端所提交的定義在隱私數(shù)據(jù)U之上的數(shù)據(jù)庫查詢操作Q轉(zhuǎn)化為能在服務器端數(shù)據(jù)庫中相應的索引X(U)上正確執(zhí)行的新查詢QE���,使得數(shù)據(jù)庫能通過執(zhí)行新查詢Qe來過濾掉數(shù)據(jù)表中大部分不滿足數(shù)據(jù)庫查詢操作Q的非目標記錄�;
[0011]中間軟件的數(shù)據(jù)解密單元包括解密函數(shù)��,數(shù)據(jù)解密單元負責解密服務器端所返回的密文E(U)�,并將密文E(U)解密后的隱私數(shù)據(jù)U存放到臨時結(jié)果庫中,作為數(shù)據(jù)篩選單元的輸入��;
[0012]由中間軟件的數(shù)據(jù)篩選單元重新執(zhí)行客戶端所提交的定義在隱私數(shù)據(jù)U上的原始查詢Q���,讓數(shù)據(jù)庫查詢操作Q對存放到臨時結(jié)果庫中的隱私數(shù)據(jù)U重新進行一次篩選��,進一步過濾掉不滿足數(shù)據(jù)庫查詢操作Q的非目標記錄���,從而得到精確的目標結(jié)果M��,并把精確的目標結(jié)果M返回給客戶端的用戶�����。
[0013]本方案通過中間軟件能支持各類常見文本查詢���、查詢性能高、安全性好�,并通過“元數(shù)據(jù)”的數(shù)據(jù)結(jié)構(gòu)來保存各類隱私數(shù)據(jù)在存儲、解密轉(zhuǎn)換以及查詢過程中的各類信息�����,使得本方案對常見文本數(shù)據(jù)的查詢性能高�����、查詢準確高效且簡單靈活���、安全性好��。
[0014]作為優(yōu)選�,在服務器端的數(shù)據(jù)庫中,除了存儲密文E(U)之外還附加存儲了隱私數(shù)據(jù)U的索引X(U)��,用戶在客戶端提交的定義在明文隱私數(shù)據(jù)U上的原始查詢Q是無法在密文E (U)上直接執(zhí)行的���,但可將定義在明文隱私數(shù)據(jù)U上的原始查詢Q轉(zhuǎn)換為定義在索引X(U)上的新查詢QE,然后再提交給服務器端執(zhí)行�,該過程要求:新查詢Qe所返回的中間結(jié)果不僅包括原始查詢Q的精確結(jié)果,還盡可能的接近精確結(jié)果�,所以,如何把密文E (U)和索引X(U)存放到服務器端數(shù)據(jù)庫中��、如何為隱私數(shù)據(jù)U建立對應的密文E(U)和索引X(U)��、如何將用戶原始查詢Q轉(zhuǎn)換為新查詢QE�����,以及如何通過執(zhí)行新查詢獲取用戶查詢的精確結(jié)果��,它們的解決方案如下:
[0015](I)把密文E(U)和索引X(U)存放到服務器端數(shù)據(jù)庫中的方案為:首先要改造服務器端數(shù)據(jù)庫中的原有關(guān)系模式R����,以存儲密文E(U)和索引X(U)����,假設在服務器端數(shù)據(jù)庫中存在著一個原有關(guān)系模式R為R(A1; A2, , Ar,...)��,其中�,4存儲的是隱私數(shù)據(jù),因此�,4是需要進行加密處理的敏感屬性,則改造后的加密關(guān)系模式Re為
Re(Λν4^.0����,其中:加密關(guān)系模式Re中的密文屬性用于存儲原有關(guān)系模式
R中的敏感屬性4加密后得到的密文E(U);在加密關(guān)系模式Re中新增的索引屬性if用來
存儲對應的索引X(U),并且索引屬性的類型與敏感屬性\的類型保持一致�,加密關(guān)系模
式Re中的其余屬性與原有關(guān)系模式R中對應的原有屬性保持一致;
[0016](2)為隱私數(shù)據(jù)U建立對應的密文E(U)和索引X(U)的方案為:在服務器端數(shù)據(jù)庫中的加密關(guān)系模式Re建立完成后����,數(shù)據(jù)加密單元運用加密函數(shù)E為隱私數(shù)據(jù)U建立對應的密文E(U),數(shù)據(jù)加密單元運用索引函數(shù)X為隱私數(shù)據(jù)U建立對應的索引X(U)����,并分別將密文E (U)和索引X(U)存儲到加密關(guān)系模式Re中的密文屬性Af:和索引屬性if中;其中為隱私數(shù)據(jù)U建立對應的索引X(U)共需三個步驟:
[0017](步驟I)系統(tǒng)管理員預先離線手動設定的參數(shù)包括隱私數(shù)據(jù)U的單位值域和隱私數(shù)據(jù)U的安全系數(shù)μ�����,
[0018](步驟1.1)為各類隱私數(shù)據(jù)U設定單位值域的過程為:對于某類給定的隱私數(shù)據(jù)U,假定該隱私數(shù)據(jù)U最多包含η (.η G N)個字符����,則該類隱私數(shù)據(jù)U最多可以劃分為η個字符單位,記作:
[0019](P1, P2, , Pn)�����,系統(tǒng)管理員需要為各個字符單位預先設定所有可能的取值����,所有可能的取值即為隱私數(shù)據(jù)U的單位值域��,記作:
[0020]dom (P1)�����,dom (P2),..., dom (Pn)����;
[0021](步驟1.2)為各類隱私數(shù)據(jù)U設定安全系數(shù)安全系數(shù)pCiieMJ值越大,則表示生成的索弓丨X(U)的安全性越好�,安全系數(shù)PEM)的取值范圍為:
[0022]對于不同類別的隱私數(shù)據(jù)U需要分別設定單位值域和安全系數(shù)μ,并把單位值域和安全系數(shù)μ作為“元數(shù)據(jù)”保存在客戶端���;
[0023](步驟2)為各類隱私數(shù)據(jù)U自動構(gòu)造索引函數(shù)X的過程為:首先確定隱私數(shù)據(jù)U各個字符單位的分區(qū)數(shù)���,然后確定各個字符單位的分區(qū)過程�,最后為各個字符單位建立對應的分區(qū)分配標識���,并把分區(qū)數(shù)�、分區(qū)過程和分區(qū)分配標識的信息作為“元數(shù)據(jù)”保存在可信任的客戶端中��;
[0024](步驟2.1)根據(jù)為各類隱私數(shù)據(jù)U預先設定的單位值域和安全系數(shù)μ���,為隱私數(shù)據(jù)U的各個字符單位Pi (i = 1,2,...,η)自動分配一個分區(qū)數(shù)IUim(Pi),該分區(qū)數(shù)滿足三個條件:
[0025]一是各個字符單位的分區(qū)數(shù)必須為正整數(shù)��,即num(PJ 6 K;
[0026]二是各個字符單位的分區(qū)數(shù)必須小于其單位值域的大小�,即I dom (Pi) I I ≤ num (Pi)��;
[0027]三是各個字符單位的分區(qū)數(shù)的連乘與安全系數(shù)μ的積����,必須小于各個字符單位
值域大小的連乘,Bpn^1IldoTO(R)!! > μ Hj2=I numiP.).,
[0028](步驟2.2)根據(jù)分區(qū)數(shù)Mim(Pi),按照近似等寬策略或近似等深策略的劃分過程�����,將各隱私數(shù)據(jù)U的單位值域Clom(Pi)劃分成若干個子集,該子集即為分區(qū)����,記作:
=該分區(qū)要求滿足四個條件:
[0029]一是各個分區(qū)不能為空,即Vk(k EM ,\k < num(R) — 本0).;
[0030]二是各個分區(qū)互不相交���,即
[0031]
VkVjfk,J E N Λ k,j < num (P J A k Φ j Β^} η B':lJ = 0)�;[0032]三是所有分區(qū)的并集等于單位值域�����,即
【權(quán)利要求】
1.一種網(wǎng)絡信息系統(tǒng)中服務器端的個人隱私數(shù)據(jù)保護方法�,其特征在于�,在網(wǎng)絡信息系統(tǒng)的客戶端和服務器端之間布置一層中間軟件,并且所述中間軟件與客戶端運行在同一臺機單元上���;在客戶端的中間軟件中設有一個“元數(shù)據(jù)”的內(nèi)部數(shù)據(jù)結(jié)構(gòu)單元�,用于保存加密索引���、查詢轉(zhuǎn)換�、數(shù)據(jù)解密等過程中所需要的各類參數(shù)信息; 中間軟件的數(shù)據(jù)加密單元包括加密函數(shù)E和索引函數(shù)X��,其中�����,加密函數(shù)E使用傳統(tǒng)分組加密算法將用戶通過客戶端輸入的各類隱私數(shù)據(jù)U轉(zhuǎn)換為密文E (U)��,而索引函數(shù)X負責為隱私數(shù)據(jù)U建立合適的索引X (U)�,然后把密文E (U)連同相應的索引X(U) —起存放到服務器端數(shù)據(jù)庫中; 中間軟件的查詢轉(zhuǎn)換單元將客戶端所提交的定義在隱私數(shù)據(jù)U之上的數(shù)據(jù)庫查詢操作Q轉(zhuǎn)化為能在服務器端數(shù)據(jù)庫中相應的索引X(U)上正確執(zhí)行的新查詢QE�,使得數(shù)據(jù)庫能通過執(zhí)行新查詢Qe來過濾掉數(shù)據(jù)表中大部分不滿足數(shù)據(jù)庫查詢操作Q的非目標記錄; 中間軟件的數(shù)據(jù)解密單元包括解密函數(shù)�����,數(shù)據(jù)解密單元負責解密服務器端所返回的密文E(U)����,并將密文E(U)解密后的隱私數(shù)據(jù)U存放到臨時結(jié)果庫中,作為數(shù)據(jù)篩選單元的輸A �; 由中間軟件的數(shù)據(jù)篩選單元重新執(zhí)行客戶端所提交的定義在隱私數(shù)據(jù)U上的原始查詢Q,讓數(shù)據(jù)庫查詢操作Q對存放到臨時結(jié)果庫中的隱私數(shù)據(jù)U重新進行一次篩選���,進一步過濾掉不滿足數(shù)據(jù)庫查詢操作Q的非目標記錄���,從而得到精確的目標結(jié)果M����,并把精確的目標結(jié)果M返回給客戶端的用戶�。
2.根據(jù)權(quán)利要求1所述的一種網(wǎng)絡信息系統(tǒng)中服務器端的個人隱私數(shù)據(jù)保護方法,其特征在于����,在服務器端的數(shù)據(jù)庫中,除了存儲密文E(U)之外還附加存儲了隱私數(shù)據(jù)U的索引 X(U)���,用戶在客戶端提交的定義在明文隱私數(shù)據(jù)U上的原始查詢Q是無法在密文E(U)上直接執(zhí)行的����,但可將定義在明文隱私數(shù)據(jù)U上的原始查詢Q轉(zhuǎn)換為定義在索引X(U)上的新查詢Qe����,然后再提交給服務器端執(zhí)行����,該過程要求:新查詢Qe所返回的中間結(jié)果不僅包括原始查詢Q的精確結(jié)果,還盡可能的接近精確結(jié)果�����,所以,如何把密文E(U)和索引X(U)存放到服務器端數(shù)據(jù)庫中���、如何為隱私數(shù)據(jù)U建立對應的密文E(U)和索引X(U)�����、如何將用戶原始查詢Q轉(zhuǎn)換為新查詢QE���,以及如何通過執(zhí)行新查詢獲取用戶查詢的精確結(jié)果,它們的解決方案如下: (1)把密文E(U)和索引X(U)存放到服務器端數(shù)據(jù)庫中的方案為:首先要改造服務器端數(shù)據(jù)庫中的原有關(guān)系模式R�����,以存儲密文E(U)和索引X(U)��,假設在服務器端數(shù)據(jù)庫中存在著一個原有關(guān)系模式R為R(A1; A2,...����,...),其中����,4存儲的是隱私數(shù)據(jù)����,因此���,Ar是需要進行加密處理的敏感屬性��,則改造后的加密關(guān)系模式Re為毛..”4, Afr.,,〕��,其中:加密關(guān)系模式Re中的密文屬性用于存儲原有關(guān)系模式R中的敏感屬性\加密后得到的密文E(U);在加密關(guān)系模式Re中新增的索引屬性用來存儲對應的索引XU)�,并且索引屬性Λ?的類型與敏感屬性\的類型保持一致����,加密關(guān)系模式Re中的其余屬性與原有關(guān)系模式R中對應的原有屬性保持一致; (2)為隱私數(shù)據(jù)U建立對應的密文E(U)和索引X(U)的方案為:在服務器端數(shù)據(jù)庫中的加密關(guān)系模式Re建立完成后����,數(shù)據(jù)加密單元運用加密函數(shù)E為隱私數(shù)據(jù)U建立對應的密文E(U),數(shù)據(jù)加密單元運用索引函數(shù)X為隱私數(shù)據(jù)U建立對應的索引X(U)�����,并分別將密文E(U)和索引X(U)存儲到加密關(guān)系模式Re中的密文屬性和索引屬性中��;其中為隱私數(shù)據(jù)U建立對應的索引X(U)共需三個步驟: (步驟I)系統(tǒng)管理員預先離線手動設定的參數(shù)包括隱私數(shù)據(jù)U的單位值域和隱私數(shù)據(jù)U的安全系數(shù)μ�����, (步驟1.1)為各類隱私數(shù)據(jù)U設定單位值域的過程為:對于某類給定的隱私數(shù)據(jù)U���,假定該隱私數(shù)據(jù)U最多包含《 (? e W)個字符���,則該類隱私數(shù)據(jù)U最多可以劃分為η個字符單位,記作: (P1, P2,...���,Pn)���,系統(tǒng)管理員需要為各個字符單位預先設定所有可能的取值,所有可能的取值即為隱私數(shù)據(jù)U的單位值域��,記作:
Clom(P1), dom (P2)�����,...���,dom (Pn)��; (步驟1.2)為各類隱私數(shù)據(jù)U設定安全系數(shù)Ρ0ΕΝ〕�����,安全系數(shù)P(FEK)值越大�����,則表示生成的索弓丨x(u)的安全性越好�����,安全系數(shù)μ {μ£ Μ)的取值范圍為:FI^Jdcw(Pi)I >|i >1; 對于不同類別的隱私數(shù)據(jù)U需要分別設定單位值域和安全系數(shù)μ����,并把單位值域和安全系數(shù)P作為“元數(shù)據(jù)”保 存在客戶端; (步驟2)為各類隱私數(shù)據(jù)U自動構(gòu)造索引函數(shù)X的過程為:首先確定隱私數(shù)據(jù)U各個字符單位的分區(qū)數(shù)�����,然后確定各個字符單位的分區(qū)過程��,最后為各個字符單位建立對應的分區(qū)分配標識����,并把分區(qū)數(shù)、分區(qū)過程和分區(qū)分配標識的信息作為“元數(shù)據(jù)”保存在可信任的客戶端中; (步驟2.1)根據(jù)為各類隱私數(shù)據(jù)U預先設定的單位值域和安全系數(shù)μ�,為隱私數(shù)據(jù)U的各個字符單位Pi(i = 1,2,...,η)自動分配一個分區(qū)數(shù)IUim(Pi),該分區(qū)數(shù)滿足三個條件: 一是各個字符單位的分區(qū)數(shù)必須為正整數(shù),BPnum(R) G N����; 二是各個字符單位的分區(qū)數(shù)必須小于其單位值域的大小��,即I Idom(Pi) I I≥Mim(Pi)����;三是各個字符單位的分區(qū)數(shù)的連乘與安全系數(shù)μ的積,必須小于各個字符單位值域大小的連乘���,BP Π^ι II ^ μ (步驟2.2)根據(jù)分區(qū)數(shù)Mim(Pi),按照近似等寬策略或近似等深策略的劃分過程�,將各隱私數(shù)據(jù)U的單位值域Clom(Pi)劃分成若干個子集��,該子集即為分區(qū)���,記作:Bi …,Oi = num(P.)),該分區(qū)要求滿足四個條件: 一是各個分區(qū)不能為空��,即Vfcp EN AfcS TOira(R)Φ 0); 二是各個分區(qū)互不相交����,即¥kVj(kri E N A k,j < num(P.) Λ k j ^ Sf Π β':'*' = 0); 三是所有分區(qū)的并集等于單位值域�����,即= domi—P—.).,四是分區(qū)Sp中任意元素的值大于分區(qū)S^1中所有元素的值���,即
【文檔編號】G06F17/30GK103973668SQ201410118012
【公開日】2014年8月6日 申請日期:2014年3月27日 優(yōu)先權(quán)日:2014年3月27日
【發(fā)明者】吳宗大, 盧成浪 申請人:溫州大學