CN112804050B - 多源数据查询***及方法 - Google Patents

Abstract

本发明提供一种多源数据查询***及方法，***包括：可信服务节点，生成n个随机数，向每个数据所有者节点发送1个随机数ss_j，及将随机数之和发送给查询节点；数据所有者节点，接收ss_j，每个数据记录用一个字符串I_j表示，使用伪随机函数的组合对I_j加密生成加密索引字符串M_j以及通过RSA私钥将ss_j和混淆后的加密索引字符串M'_j共同加密生成签名发送给服务器；查询节点，用于生成查询令牌发送给服务器；服务器，用于根据查询令牌以及M_j查找查询结果；查询节点，用于对数据完整性，查询结果正确性进行验证。本发明提出了一个安全、可验证、有效的多源数据的范围查询。

Description

多源数据查询***及方法

技术领域

本发明涉及计算机技术领域，具体而言，涉及一种多源数据查询***及方法。

背景技术

随着物联网的最新进展，智能设备的剧增，多源数据的在线集成服务正在受到更多的关注，它通常由一个云服务器支持来自多个设备源的数据进行聚合并为授权用户提供统一的查询服务。然而云服务器并不完全可信，它会由于内部或外部的攻击，恶意地泄漏、篡改和伪造数据和查询结果，使数据集成和查询的安全性、可靠性得不到保证。因此，如何结合数据加密技术和可验证查询技术来保护数据的隐私安全，同时对集成数据和查询结果进行真实性和完整性的验证，是多源数据在线集成服务应用的主要挑战。

由于数据是来自多个数据所有者的，一个数据所有者提供的可验证查询服务中常用的数据签名链，签名树等验证技术不适用于多源数据。文献“Qian Chen, Haibo Hu, andJianliang Xu. “Authenticated Online Data Integration Services.” ACM SIGMOD,2015.”利用秘密共享和RSA加密技术，设计了一种基于RSA的同态签名，提供对集成的多源数据真实性和完整性的验证方法，然而，这个方法没有关注数据的隐私安全，数据隐私泄漏是阻碍云技术进一步应用的关键障碍。为了保障数据隐私，每个数据所有者都需要将加密上传，如何解决来自多个源的加密数据的集成和查询服务的提供是一个非常棘手的问题。

发明内容

有鉴于此，本发明的目的在于提出一种多源数据查询***及方法，以改善上述问题。

本发明采用了如下方案：

一种多源数据查询***，其包括n个数据所有者节点、可信服务节点、服务器以及查询节点；其中：

所述可信服务节点，用于通过伪随机函数生成n个随机数ss_j，并向每个数据所有者节点发送1个随机数，以及将n个随机数之和SS发送给查询节点；

所述数据所有者节点，用于接收由可信服务节发送的随机数，对数据记录进行加密生成加密数据Enc(m_j)，通过前缀集合的方法和编码的字典，每个数据记录可以用一个字符串来表示，使用伪随机函数的组合加密处理生成自身的加密索引字符串M_j以及基于所述可信服务节点分配的随机数ss_j和混淆后的加密索引字符串M'_j，使用RSA私钥生成签名sig_j，并将加密数据Enc(m_j)、加密索引字符串M_j、签名sig_j发送给服务器；

所述查询节点，用于向服务器发起查询请求，并根据所述查询请求中的检索范围生成查询令牌，将所述查询令牌发送给服务器；

所述服务器，用于根据所述查询令牌以及各个数据所有者节点发送的加密索引字符串M_j查找符合条件的查询结果，并将所述查询结果以及验证对象返回给所述查询节点；所述查询结果包括位于所述查询范围内的数据所有者节点的加密数据Enc(m_j),加密的索引字符串M_j以及签名sig_j；

所述查询节点，用于根据所述n个随机数之和SS，数据解密的密钥k_e，混淆算法的密钥sk_c，RSA公钥pk_r，累加器构造的公钥pk_a以及所验证对象对数据的完整性，查询结果的正确性、完整性进行验证。

优选地，对于数据所有者节点m_j，其具体用于：

对数据记录进行加密，生成加密数据Enc(m_j)；

利用前缀集合的思想，将所述数据记录的每个数值转换为一个前缀编码C_i的集合；

对于每个编码C_i，根据编码字典找到每个编码C_i对应的i，通过伪随机置换计算其在横坐标上对应的位置P_s(i)，以生成所述数据所有者节点的索引字符串I_j；其中，s是伪随机置换函数P_s(.)的密钥；对于数据所有者节点m_j，当m_j包含编码C_i时，设置 I_j[Ps(i)] 为1，否则设置为0；

根据i可以计算出：r_i=F_r（i），然后对每个数据所有者节点m_j，通过公式M_j[ i ] =I_j[ i ] xor G_ri ( j )，将I_j打乱得到一串新的比特，作为每个数据所有者节点m_j的加密索引字符串M_j，其中F_r(.)、G_ri(.)为伪随机映射函数；

通过混淆算法混淆加密索引字符串M_j得到混淆后的加密索引字符串M'_j，并使用混淆后的加密索引字符串M'_j来获取数据所有者节点m_j的哈希累积；

根据可信服务节点分配的随机数ss_j，生成自身的秘密共享g^ssj；

通过RSA密钥对秘密共享g^ssj和混淆后的 M'_j 两部分共同进行加密，计算出自身的签名sig_j。g^ssj为m_j的签名累积值与混淆后的加密索引M'_j的累积值之间的差值；

将所述加密数据Enc(m_j)、加密索引字符串M_j、签名sig_j发送至服务器。

优选地，在查询阶段，所述查询节点具体用于：

获取查询请求中的查询范围，将所述查询范围转换为一组前缀编码的集合，Cq表示集合中的一个编码；

计算p = P_s（q），f_p = F_r（p），将p与f_p作为查询令牌发送给服务器，其中，P_s为密钥为s的伪随机置换函数，q表示所述查询范围前缀编码集合中编码C_q对应的索引。

优选地，所述服务器具体用于：

根据查询节点发送的查询令牌p，f_p计算：

I_j[p] = M_j[p] xor G_fp (j) （j∈｛1,2,3……n｝），n表示数据所有者节点的个数；

其中，若I_j[p] = 1 则满足查询，获取查询结果对应的加密数据Enc(m_j)、加密索引字符串M_j以及签名sig_j，G_fp为伪随机映射函数；

计算验证对象VO，所述验证对象VO包括：

非查询结果R'的签名聚合AG(R')；非结果集R'由不满足查询的所有记录组成；

非查询结果R'的累积值d_A(R')；

所有数据S的累积值d_A(S)；S表示在服务器中集成的所有的数据记录；

查询列的加密索引M_j；

将查询结果以及验证对象VO一并发送给查询节点。

优选地，在验证查询结果的正确性时，所述查询节点具体用于：

对满足查询条件的数据所有者节点m_j，通过m_j的签名sig_j判断m_j是否来自对应的数据所有者节点；所述查询节点根据与数据所有者节点共享的混淆算法的私钥选择用来验证查询结果的正确性的等式。

其中，未添加模糊位的m_j使用等式一，添加模糊位的m_j使用等式二，判断等式：

等式一：g^ssj * g^{s^[ Hj (.)]} = (sig_j ) ^e mod z

等式二：g^ssj * g^{s^[ Hj (.)+ hk(*) ]} = (sig_j ) ^e mod z

是否成立，若成立，则判断数据是m_j上传到服务器的数据；其中，H_j (.)为m_j的哈希累积，hk(*)为混淆算法中增加的模糊位的哈希值，pk =（z，e）为RSA的公钥。

优选地，在验证数据记录的完整性时，所述查询节点具体用于：

将所有数据所有者节点的签名聚合解密得到总的秘密g^SS和所有数据所有者节点的混淆后的哈希累积；

根据下述等式判断数据记录是否完整：

等式成立则说明数据记录完整，并且可以证明服务器返回的d_A(S)是正确的，否则数据记录不完整，其中，所有签名的聚合AG(S)是不能被篡改的，混淆后的累积值和为混淆的累积值之间的差值为g^{s^t*hk(*)},由所述查询节点通过共享的混淆算法密钥可得。

优选地，在验证查询结果的完整性时，所述查询节点具体用于：

根据服务器返回的查询列的加密索引字符串M_j,恢复查询列的索引字符串I_j；

执行对加密索引字符串M_j的验证；

执行对查询列的索引字符串I_j的验证；

根据加密索引字符串Mj的验证结果以及索引字符串I_j的验证结果判断查询结果的完整性。

优选地，所述密钥涉及包括数据加解密的密钥k_e，伪随机函数密钥s、r，且s，r∈{0,1}^t，t为输入的安全参数，混淆算法的密钥sk_c，RSA私钥sk_r， 公钥pk_r，累加器构造的私钥sk_a和公钥pk_a。

本发明实施例还提供了一种多源数据查询方法，其包括：

可信服务节点通过伪随机函数生成n个随机数，并向每个数据所有者节点发送1个随机数，以及将n个随机数之和发送给查询节点；

所述数据所有者节点接收由可信服务节发送的随机数，对数据记录进行加密生成加密数据Enc(m_j)，通过前缀集合的方法和编码的字典，每个数据记录可以用一个字符串来表示，使用伪随机函数的组合加密处理生成自身的加密索引字符串M_j以及基于所述随机数、加密索引字符串M_j、RSA密钥生成签名sig_j，并将加密数据Enc(m_j)、加密索引字符串M_j、签名sig_j发送给服务器；

所述查询节点向服务器发起查询请求，并根据所述查询请求中的检索范围生成查询令牌，将所述查询令牌发送给服务器；

所述服务器根据所述查询令牌以及加密索引字符串M_j查找符合条件的查询结果，并将所述查询结果以及验证对象返回给所述查询节点；所述查询结果包括位于所述查询范围内的数据所有者节点的加密数据Enc(m_j),加密的索引字符串M_j以及签名sig_j；

所述查询节点根据所述包括n个随机数之和SS，数据解密的密钥k_e，混淆算法的密钥sk_c，RSA公钥pk_r，累加器构造的公钥pk_a以及所验证对象对数据的完整性，查询结果的正确性、完整性进行验证。

综上所述，本实施例与现有技术相比，至少具有以下有益效果：

(1)本实施例提出了一个安全、可验证、有效的框架，以支持加密的多源数据的范围查询；

(2) 本实施例为多源数据设计了加密索引和可计算的签名发送给云服务器，以便提供在线集成服务，包括加密数据的在线集成和可验证查询。

(3) 本实施例根据存储在服务器的加密索引和签名计算，设计了有效的验证方案来保障多源加密数据在线集成服务的可靠性，包括保证集成数据的完整性，查询结果的正确性和完整性。

附图说明

为了更清楚地说明本发明实施方式的技术方案，下面将对实施方式中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1是本发明第一实施例的多源数据查询***的示意图。

图2是根据数据编码集合生成索引字符串的坐标图。

图3是查询节点对查询结果进行验证的流程示意图。

具体实施方式

为使本发明实施方式的目的、技术方案和优点更加清楚，下面将结合本发明实施方式中的附图，对本发明实施方式中的技术方案进行清楚、完整地描述，显然，所描述的实施方式是本发明一部分实施方式，而不是全部的实施方式。基于本发明中的实施方式，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式，都属于本发明保护的范围。因此，以下对在附图中提供的本发明的实施方式的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施方式。基于本发明中的实施方式，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施方式，都属于本发明保护的范围。

请参阅图1，本发明第一实施例提供了一种多源数据查询***，其包括n个数据所有者节点10、可信服务节点20、服务器30以及查询节点40；其中：

所述可信服务节点20，用于通过伪随机函数生成n个随机数，并向每个数据所有者节点发送1个随机数，以及将n个随机数之和发送给查询节点。

在本实施例中，例如可先通过伪随机函数（如随机函数AES-256）产生n个随机数分别发送给n个数据所有者节点10，并将产生的n个随机数之和SS发送给查询节点40。

在本实施例中，假设所述可信服务节点20为n个数据所有者节点生成n个随机数 ss_j，则n个随机数之和（即总的秘密）

。

所述数据所有者节点10，用于接收由可信服务节20发送的随机数，对数据记录进行加密生成加密数据Enc(m_j)，通过前缀编码以及加密处理生成自身的加密索引字符串M_j以及基于所述可信服务节点20分配的随机数还和混淆后的加密索引字符串M_j，使用RSA密钥生成签名sig_j，并将加密数据Enc(m_j)、加密索引字符串M_j、签名sig_j发送给服务器。

在本实施例中，对于每个数据所有者节点10，其在接收到分配的随机数ssj后，将执行如下操作：

（1）、对需要上传的数据记录进行加密，生成加密数据Enc(m_j)。

（2）、利用前缀集合的思想，将数据记录的每个数值转换为一个前缀编码C_i的集合。

本实施例利用前缀集合的思想，将一个数值转换为一个前缀编码 C_i的集合，例如：m₁：1转换为PFC₁= {(001) 、(00*)、(0**)、(***)}。

（3）、对于每个编码C_i，通过伪随机置换计算其在横坐标上对应的位置P_s(i)，以生成所述数据所有者节点的索引字符串I_j；其中，s是伪随机置换函数P_s(.)的密钥；对于数据所有者节点m_j，当m_j包含编码C_i时，设置 I_j[P_s(i)] 为1，否则设置为0。

（4）、根据每个编码C_i对应的i，计算出：r_i= F_r（i），然后对每个数据所有者m_j，通过公式M_j[ i ] = I_j[ i ] xor G_ri ( j )，将I_j打乱得到一串新的比特，作为每个数据所有者节点的加密索引字符串M_j，其中F_r(.)、G_ri(.)为伪随机映射函数，如可选取为HMAC。

其中，对于每个编码C_i，本实施例的思想是，对于每一个数据所有者节点的编码集合，都用一个固定长度的0-1 bit的数组来表示它。具体操作是通过伪随机函数为每个编码C_i计算其在横坐标上对应的位置P_s(i)，P_s(.)是一个伪随机置换函数。对于每个数据所有者m_j，1≦j≦n ，I_j是数据所有者的索引字符串，当m_j包含编码C_i时，设置 I_j[P_s(i)] 为1，否则设置为0。由此可以为每个数据所有者节点的数据记录都计算出一个索引字符串I_j，因为编码C_i和其在横坐标上的位置是一一对应的，恶意的服务器如果多次查询可以进行选择明文攻击，所以不能直接将索引字符串I_j发送给服务器，而是根据每个编码Ci对应的i，计算出：ri = F_r（i），然后对每个数据所有者节点m_j，通过公式M_j[i] = I_j[ i ] xor G_ri( j ) ，即通过异或将I_j打乱得到一串新的比特，作为每个数据所有者节点的加密索引字符串M_j，其中F_r(.)、G_ri(.)为伪随机映射函数。

（5）、通过混淆算法混淆加密索引字符串M_j得到混淆后的加密索引字符串M'_j，并使用混淆后的加密索引字符串M'_j来获取其哈希累积。

（6）、根据自身分配的随机数ss_j，生成自身的秘密共享g^ssj；

（7）、通过RSA密钥对秘密共享g^ssj和混淆后的加密索引字符串 M'j 两部分共同进行加密，计算出自身的签名sig_j，g^ssj为m_j的签名累积值与M_j的累积值之间的差值。

在本实施例中，要保证不可信的服务器30诚实地聚合来自多个数据所有者节点10的数据，即需要对集成后的数据完整性进行验证。单个数据源的场景通常由数据所有者节点10为整个数据集设计数字签名链或签名树发送给服务器30，针对多个数据源的场景，每个数据所有者节点都需要计算自己的签名发送给服务器30，则需要发送多个签名，为了减少签名验证的开销，本实施例通过基于RSA的同态签名开发了一个针对多源加密数据的可以聚合计算和验证的签名Sig_j。签名由两部分组成:1）以g^ssj形式的秘密共享和2）混淆后的加密索引字符串M'_j的哈希累积H'(.)。

1）秘密共享的思想是，由一个可信机构为n个数据所有者m_j生成n个随机数ss_j作为 其秘密共享，总的秘密

，秘密共享以g^ssj 的形式给出，以保护秘密共享的明 文，，将秘密共享封装加密作为数据所有者签名的一部分，也就是说，只有每一个数据所有 者的数据都没有丢失，被篡改或造假，通过所有数据的签名才能正确地恢复整个数据集的 秘密SS。

2）、哈希累积H'(.): 事实上，在本实施例中，不能直接使用加密索引字符串M_j来获取哈希累积，因为这将导致秘密共享g^ssj泄露到服务器30。因此本实施例进一步提出一个混淆算法去混淆加密索引字符串M_j，并使用混淆后的加密索引字符串M'_j来获取其哈希累积。

具体来说,本实施例通过随机选择算法选择一些数据所有者节点10，然后为这些数据所有者节点10的加密索引字符串M_j增加模糊位，即加入一个查询范围以外的哈希值作为噪声，得到混淆后的 M'_j，可以避免服务器30得到g^ssj后恶意构造假的验证对象VO，同时不会影响查询的结果。每个数据所有者节点10利用RSA密钥（如RSA-2048）对秘密共享g^ssj和混淆后的 M'_j两部分共同进行加密，计算出自己的签名sig_j，该签名具有乘法同态性。

将所述加密数据Enc(m_j)、加密索引字符串M_j、签名sig_j发送至服务器30。

为便于理解，下面将一具体例子来说明本实施例生成加密索引字符串M_j、签名sig_j的过程（这里假设有四个数据所有者节点m₁，m₂，m₃，m₄）：

请一并参阅图2，横向坐标表示每个数据所有者节点的索引字符串I_j：例如：I₁ = 11 0 0 1 0 0 0 0 0 0 0 1 0 0 0

根据加密索引算法得到每个数据所有者的M_j：

例如：M₁ = 1 0 0 1 1 0 0 0 1 0 0 1 0 0 0 0

根据混淆算法选择了m₂、m₄进行混淆，得到混淆后的加密索引M'_j：

m₁： M'₁ =1001100010010000 m₂：M'₂= 0100010000011001

m₃：M'₃ = 0001010100001000 m₄：M'₄ = 0010000010001001

通过混淆后的加密索引字符串M'_j计算数据所有者节点的签名：

所述查询节点40，用于向服务器30发起查询请求，并根据所述查询请求中的检索范围生成查询令牌，将所述查询令牌发送给服务器。

在本实施例中，用户可访问服务器30来提出一个查询请求来检索一个范围, 对于一个确切的检索范围，查询节点40将它转换为一组前缀编码的集合PFC_q，首先根据其包含的编码 C_q找到编码所对应的索引q，例如：检索范围Query = [2,3]，PFC_q = {(01*)}，找到对应的索引q为0111；

然后计算p = P_s（q），f_p = F_r（p），将p与f_p发送给服务器30，作为查询令牌。

所述服务器30，用于根据所述查询令牌以及加密索引字符串M_j查找符合条件的查询结果，并将所述查询结果以及验证对象返回给所述查询节点；所述查询结果包括位于所述查询范围内的数据所有者节点的加密数据Enc(m_j)，加密的索引字符串M_j以及签名sig_j。

在本实施例中，服务器30根据用户给的p，f_p计算：

I_j[p] = M_j[p] xor G_fp (j) （j∈｛1,2,3……n｝），n表示数据所有者节点的个数；

若I_j[p] = 1 则满足查询，如I₂，I₃满足查询，则将查询结果R：{m₂、m₃}相关的信息Enc(m₂)、sig₂、Enc(m₃)、sig₃返回给用户，其余的m_j均为非查询结果。

在本实施例中，所述服务器还需要计算验证对象VO并返回给查询节点40，所述验证对象VO包括：

非查询结果R'的签名聚合：AG(R')，其中，非结果集R'由不满足查询的所有记录m₁、m₄组成；

非查询结果R'的累积值：；

所有数据S的累积值：；S表示在服务器30中集成的所有的数据记录；

查询列M_j[0111]的加密索引值为：1 0 1 0

其中，M_j[.]的位置上为1，返回其签名的聚合：

AG₁（.）=AG(m₁) * AG(m₃)、π₁；

M_j[.]的位置上为0，返回其签名的聚合：

AG₀（.）= AG(m₂) * AG(m₄)、π₀。

所述查询节点40，用于根据所述n个随机数之和SS、RSA公钥、累加器构造的公钥以及所验证对象对数据完整性，查询结果的正确性、完整性进行验证。

如图3所示，其中，查询结果的正确性验证是用于验证满足条件的查询结果是来自数据所有者节点，而不是服务器30伪造的。

例如：用户收到满足查询的m₂的数据记录，可以通过数据所有者节点m₂的签名sig₂来判断该数据记录是否来自m₂ ,m₂是被混淆过的，所以用上面提到的等式二来判断：

g^ss2 * g^{s^[ H2(.)+hk(1111)]} = (sig₂ ) ^e mod z

其中，ss2为数据所有者节点m₂从可信节点20处接收的随机数，H₂（.）为数据所有者节点m₂的哈希累积。只有由数据所有者节点m₂发送的数据记录才可以生成签名sig₂，上述等式成立则可以确保这个数据记录是数据所有者节点m₂上传到服务器30的数据，同理满足查询的m₃的数据记录也可以验证，若验证通过，则进行下一步验证，若验证不通过，则说明服务器30返回了错误的查询结果，不予接受。

数据的完整性验证，用于验证数据所有者节点发送到服务器30中的数据记录没有被增删或者篡改。

在验证时，将所有数据所有者节点的签名聚合解密应该得到总的秘密g^SS 和所有数据所有者节点m₁、m₂、m₃、m₄混淆后的哈希累积值，判断下面等式是否成立：

只有通过所有由数据所有者节点10发送的数据记录才能计算出所有数据的签名聚合,若等式成立,可以验证数据所有者节点10发送到服务器30中的数据没有被服务器恶意增删和篡改，并且服务器返回的d_A(S)是正确的，进行下一步验证，若等式不成立，则说明服务器没有诚实地聚合来自多个数据所有者节点的数据，不予接受。

查询结果完整性的验证，用于验证查询结果的完整性。

具体地，本实施例要根据服务器30返回的查询列的加密索引字符串Mj[.],恢复查询列的索引字符串I_j，所以先执行对加密索引字符串M_j[.]的验证，再执行对查询列的索引字符串I_j的验证。

m₁：M₁ = 1 0 0 1 1 0 0 1 0 0 0 1 0 0 0 0

m₂：M₂ = 0 1 0 0 0 1 0 0 0 0 0 1 1 0 0 0

m₃：M₃ = 0 0 0 1 0 1 0 1 0 0 0 0 1 0 0 0

m₄：M₄ = 0 0 1 0 0 0 0 0 1 0 0 0 1 0 0 0

VO：对于查询列为M_j[0111]，其加密索引值I_j为：1 0 1 0

验证M_2、4[ 0111 ]位置上为0→若M_2、4[ 0111 ]位置上为0，则M_2、4与元素[0111]不相交，服务器30可以通过M_2、4的累积值和[0111]的累积值,计算出不相交的证明信息π0，验证M_2、4[ 0111 ]位置上为0，即验证M2、4与元素[0111]不相交：

服务器计算30：

用户可以通过签名的聚合计算得到M_2、4的累积值d_A（M_2、4）：

通过 ：e（ d_A(x₁)，d_B(x₂) ）=e（π，g）判断等式是否成立：

等式成立则说明M_2、4与元素[0111]不相交，M_2、4[ 0111 ]位置上为0，其中t*hk(1111)是M_j与M'_j累积值之间的差值，m_2、4哈希值的累积为：

2、验证M_1、3 [ 0 1 1 1 ]位置上为1→若M_1、3[0 1 1 1 ]位置上为1，则M_1、3与元素[0111]相交，对于M_1、3来说，去掉M_1、3 [ 0111 ]这两个位置上的“1” 之后，剩余的部分应该刚好与元素[ 0111 ]不相交，可以通过剩余元素M_1、3的累积值和[0111]的累积值计算出不相交的证明信息π₁，验证M_1、3[ 0111 ]位置上为1，即验证M_1、3与元素[0111]不相交：

服务器30计算：

用户可以通过签名的聚合计算得到M_1、3的累积值：

对于M_1、3来说，去掉M_1、3 [ 0111 ]这两个位置上的“1” 之后，剩余的部分的累积值：

通过：e（d_A(x₁)，d_B(x₂)) = e（π，g）判断等式是否成立：

等式成立则说明去掉M_1、3[0111]位置上的“1”之后，得到的M_1、3刚好与元素[0111]不相交，证明M_1、3[0111]位置上确实为1。其中m_1、3的哈希累积为：

恢复查询列的I_j[.]，验证查询结果是否完整：

例如：Query：[2,3] →P_s（01*）=0111

M_j(0111) xor G_fp(j) =I_j(0111)

m₁：1 xor G_fp(1)=1 →0

m₂：0 xor G_fp(2)=1 →1

m₃：1 xor G_fp(3)=0 →1

m₄：0 xor G_fp(4)=0 →0

若只有I₂[0111]与I₃[0111]的位置上为1，其余位置上都为0，则可以验证真正满足查询的只有m₂、m₃，服务器30了正确且完整的查询结果。

若服务器故意遗漏m₂，查询节点40可以通过返回正确的M_j(7)=1010，计算Gf(2) =1，恢复出I_j(7)为1，可以知道m₂是满足查询的，可以验证出服务器30遗漏了正确结果，不予接受。

综上所述，本实施例与现有技术相比，至少具有以下有益效果：

(1)本实施例提出了一个安全、可验证、有效的框架，以支持加密的多源数据的范围查询；

(2) 本实施例为多源数据设计了加密索引和可计算的签名发送给云服务器，以便提供在线集成服务，包括加密数据的在线集成和可验证查询。

(3) 本实施例根据存储在服务器的加密索引和签名计算，设计了有效的验证方案来保障多源加密数据在线集成服务的可靠性，包括保证集成数据的完整性，查询结果的正确性和完整性。

为便于对本发明的理解，下面对本发明的一些论证过程进行详细的描述。

在上述实施例中，采用了混淆的加密索引字符串M'_j来构造哈希累积，以下将基于双线性对的累加器构造算法，验证不相交算法来证明解释不能用M_j来构造哈希累积的原因）。

基于双线性对的累加器构造算法：

Sk_a =（s） Z_p → s（随机数）

setup：( X, pk_a ) → acc（X）

例如：集合X = {x1,x2,...,xn} = {1，2，...,4}，集合X的累积acc( X ) = ( d_A( X )，d_B( X )）；

不知道私钥sk_a =（s）也能根据公钥：

计算出集合X的累积值；

验证不相交算法：根据双线性对累加器的性质可以验证两个集合不相交。

验证两个集合不相交需要的证明信息ProveDisjoint（x₁，x₂，pk_a）：

例如：x₁ ={a,b} ,x₂ = {c,d} , A(x₁) =s^a+s^b , B(x₂) =s^q-c +s^q-d

验证算法VerifyDisjoint（acc（x₁），acc（x₂），π， pk），判断等式是否成立e（d_A(x₁)，d_B(x₂)）=e（π，g）

例如: x1 ={a,b}, x₂ = {c,d} , A(x₁) =s^a+s^b, B(x₂) =s^q-c +s^q-d

e（d_A(x₁)，d_B(x₂)）= e（π，g）

根据e(u^a , v^b) = e( u,v )^ab

通过以下例子证明不能直接用M_j来构造哈希累积的原因：

本实施例中服务器30通过数据所有者节点的加密索引M_j 来计算其累计值并且使用混淆后的加密索引M'_j来构造数据的签名。

服务器30可以计算所有数据的累积值d_A(S),并且可以得到数据签名的聚值AG(S)：

例如：S : { hk( P_s（i）) |（M_j[ P_s（i）]）=1) | j=1、2、3、4}，即M_j上为1的位置的哈希值累加。

上述等式中，t *hk（1111）的累积是M'_j与M_j计算的累积值之间的差值，t由共享的混淆算法密钥sk_c可以得到，数据所有者节点与查询节点40知道，而对服务器30保密。

若不对加密索引做混淆，数据所有者节点10计算的签名sig_j和服务器30计算的累积值d_A( m_j )都是根据加密索引M_j：

所有数据记录的签名聚合：

所有数据的累积值：

即不存在差值，由此服务器30可以计算出g^ssj。

例如：服务器30收到m₄发送的加密索引M₄，可以计算其累积值，还收到由秘密共享ss₄和M₄的哈希累积计算的签名sig₄；已知：

解密得到累计值g^{ss4+s^[ hk（0010）+hk（1000）+hk（1100）]}

已知：M₄ = 0 0 1 0 0 0 0 0 1 0 0 0 1 0 0 0，计算m₄的累计值为：g^{s ^ [ hk(0010) + hk(1000) + hk(1100) ]}，m₄的签名累积值与M₄的累积值之间的差值就是g^ss4。

若服务器30故意遗漏m₄，同时服务器30返回遗漏了m₄签名的AG'（.）和错误的d'_A(S )给用户来进行验证，签名聚合和累积值可以计算为：

签名聚合：AG(.) = AG'( g^{ss1 +ss2+ss3}，g^{s^[ H1(.)+H2(.)+H3(.) ]} ）

累积值：d'_A( S ) = g ^{s^[ H1(.)+ H2(.) + H3(.) ]} / g^ss4 = g^{( s^ [ H1(.)+ H2(.)+ H3(.) ]- ss4 )}

则根据服务器30返回的AG'（.）、d'_A( S )，查询节点40不能验证出数据有遗漏，以下等式是成立的：

g^SS . g^{( s^ [ H1(.)+ H2(.)+ H3(.) ]- ss4 )} = ( AG'( g^{ss1 +ss2+ss3}，g^{s^[ H1(.)+H2(.)+H3(.) ]} ) ^emod z

g ^{[ (ss1+ss2+ss3+ss4 ) + s^[ H1(.)+ H2(.)+ H3(.)] - ss4 )]} = g^{( ss1+ss2+ss3+s^[ H1(.)+H2(.)+H3(.) ] )}

由以上可知，若不对加密索引做混淆，使用混淆过后的M'_j来构造数据的签名，服务器30就可以计算出g^ssj，并且利用g^ssj构造假的验证对象VO来通过用户的验证，破坏数据的完整性。

本发明第二实施例还提供了一种多源数据查询方法，其包括：

可信服务节点通过伪随机函数生成n个随机数，并向每个数据所有者节点发送1个随机数，以及将n个随机数之和发送给查询节点；

所述数据所有者节点接收由可信服务节发送的随机数，对数据记录进行加密生成加密数据Enc(m_j)，通过前缀集合的方法和编码的字典，每个数据记录可以用一个字符串来表示，使用伪随机函数的组合加密处理生成自身的加密索引字符串M_j以及基于所述随机数和加密索引字符串M_j，使用RSA私钥生成签名sig_j，并将加密数据Enc(m_j)、加密索引字符串M_j、签名sig_j发送给服务器；

所述查询节点向服务器发起查询请求，并根据所述查询请求中的检索范围生成查询令牌，将所述查询令牌发送给服务器；

所述服务器根据所述查询令牌以及加密索引字符串M_j查找符合条件的查询结果，并将所述查询结果以及验证对象返回给所述查询节点；所述查询结果包括位于所述查询范围内的数据所有者节点的加密数据Enc(m_j),加密的索引字符串M_j以及签名sig_j；

所述查询节点根据所述包括n个随机数之和SS，数据解密的密钥k_e，混淆算法的密钥sk_c，RSA公钥pk_r，累加器构造的公钥pk_a以及所验证对象对数据的完整性，查询结果的正确性、完整性进行验证。

在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的***来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本发明各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，电子设备，或者网络设备等）执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器（ROM，Read-Only Memory）、随机存取存储器（RAM，Random Access Memory）、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (9)

1.一种多源数据查询***，其特征在于，包括n个数据所有者节点、可信服务节点、服务器以及查询节点；其中：

所述可信服务节点，用于通过伪随机函数生成n个随机数，并向每个数据所有者节点发送1个随机数，以及将n个随机数之和SS发送给查询节点；

所述数据所有者节点，用于接收由可信服务节点发送的随机数，对数据记录进行加密生成加密数据Enc(m_j)，通过前缀集合的方法和编码的字典，将每个数据记录用一个字符串I_j来表示，使用伪随机函数的组合加密处理生成自身的加密索引字符串M_j以及基于所述可信服务节点分配的随机数、混淆后的加密索引字符串M'_j、使用RSA私钥生成签名sig_j，并将加密数据Enc(m_j)、加密索引字符串M_j、签名sig_j发送给服务器；

所述查询节点，用于向服务器发起查询请求，并根据所述查询请求中的检索范围生成查询令牌，将所述查询令牌发送给服务器；

所述服务器，用于根据所述查询令牌以及各个数据所有者节点发送的加密索引字符串M_j查找符合条件的查询结果，并将所述查询结果以及验证对象返回给所述查询节点；所述查询结果包括位于所述查询范围内的数据所有者节点的加密数据Enc(m_j),加密的索引字符串M_j以及签名sig_j；

所述查询节点，用于根据所述n个随机数之和SS，数据解密的密钥k_e，混淆算法的密钥sk_c，RSA公钥pk_r，累加器构造的公钥pk_a以及所验证对象对数据的完整性，查询结果的正确性、完整性进行验证。

2.根据权利要求1所述的多源数据查询***，其特征在于，对于数据所有者节点m_j，其具体用于：

对数据记录进行加密，生成加密数据Enc(m_j)；

利用前缀集合的思想，将所述数据记录的数值转换为一个前缀编码C_i的集合；

对于每个前缀编码C_i，根据编码字典找到每个前缀编码C_i对应的i，通过伪随机置换函数计算其在横坐标上对应的位置P_s(i)，以生成所述数据所有者节点的索引字符串I_j；其中，s是伪随机置换函数P_s(.)的密钥；对于数据所有者节点m_j，当m_j包含前缀编码C_i时，设置 I_j[P_s(i)] 为1，否则设置为0；

根据i可以计算出：r_i = F_r（i），然后对每个数据所有者节点m_j，通过公式M_j[ i ] = I_j[ i ] xor G_ri ( j )，将I_j打乱得到一串新的比特，作为每个数据所有者节点m_j的加密索引字符串M_j，其中F_r(.)、G_ri(.)为伪随机映射函数；

通过混淆算法混淆加密索引字符串M_j得到混淆后的加密索引字符串M'_j，并使用混淆后的加密索引字符串M'_j来获取数据所有者节点m_j的哈希累积；

根据可信服务节点分配的随机数ss_j，生成自身的秘密共享g^ssj；

通过RSA私钥对秘密共享g^ssj和混淆后的索引字符串 M'_j两部分共同进行加密，计算出自身的签名sig_j，g^ssj为m_j的签名累积值与混淆后的加密索引字符串M'_j的累积值之间的差值；

将所述加密数据Enc(m_j)、加密索引字符串M_j、签名sig_j发送至服务器。

3.根据权利要求1所述的多源数据查询***，其特征在于，在查询阶段，所述查询节点具体用于：

获取查询请求中的查询范围，将所述查询范围转换为一组前缀编码的集合，C_q表示集合中的一个编码；

计算p = P_s（q），f_p = F_r（p），将p与f_p作为查询令牌发送给服务器，其中，P_s为密钥为s的伪随机置换函数，q表示所述查询范围前缀编码集合中编码C_q对应的索引。

4.根据权利要求3所述的多源数据查询***，其特征在于，所述服务器具体用于：

根据查询节点发送的查询令牌p，f_p计算：

I_j[p] = M_j[p] xor G_fp (j)（j∈｛1,2,3……n｝），n表示数据所有者节点的个数；

其中，若I_j[p] = 1 则满足查询，获取查询结果对应的加密数据Enc(m_j)、加密索引字符串M_j以及签名sig_j，G_fp为伪随机映射函数；

计算验证对象VO，所述验证对象VO包括：

非查询结果R'的签名聚合AG(R')；非查询结果R'由不满足查询的所有记录组成；

非查询结果R'的累积值d_A(R')；

所有数据S的累积值d_A(S)；S表示在服务器中集成的所有的数据记录；

查询列的加密索引字符串M_j；

将查询结果以及验证对象VO一并发送给查询节点。

5.根据权利要求3所述的多源数据查询***，其特征在于，在验证查询结果的正确性时，所述查询节点具体用于：

对满足查询条件的数据所有者节点m_j，通过m_j的签名sig_j判断m_j是否来自对应的数据所有者节点；所述查询节点根据与数据所有者节点共享的混淆算法的私钥选择用来验证查询结果的正确性的等式；

其中，未添加模糊位的m_j使用等式一，添加模糊位的m_j使用等式二，判断等式：

等式一：g^ssj * g^{s^[ Hj (.)]} = (sig_j ) ^e mod z

等式二：g^ssj * g^{s^[ Hj(.)+ hk(*) ]} = (sig_j ) ^e mod z

是否成立，若成立，则判断数据是m_j上传到服务器的数据；其中，H_j (.)为m_j的哈希累积，hk(*)为混淆算法中增加的模糊位的哈希值，pk_r =（z，e）为RSA的公钥。

6.根据权利要求3所述的多源数据查询***，其特征在于，在验证数据记录的完整性时，所述查询节点具体用于：

将所有数据所有者节点的签名聚合解密得到总的秘密g^SS 和所有数据所有者节点的混淆后的哈希累积；

根据下述等式判断数据记录是否完整：

等式成立则说明数据记录完整，并且可以证明服务器返回的d_A(S)是正确的，否则数据记录不完整，其中，所有签名的聚合AG(S)是不能被篡改的，混淆后的累积值和为混淆的累积值之间的差值为g^{s^t*hk(*)},由所述查询节点通过共享的混淆算法密钥可得。

7.根据权利要求3所述的多源数据查询***，其特征在于，在验证查询结果的完整性时，所述查询节点具体用于：

根据服务器返回的查询列的加密索引字符串M_j,恢复查询列的索引字符串I_j；

执行对加密索引字符串M_j的验证；

执行对查询列的索引字符串I_j的验证；

根据加密索引字符串M_j的验证结果以及索引字符串I_j的验证结果判断查询结果的完整性。

8.根据权利要求1至7任意一项所述的多源数据查询***，其特征在于，所述包括数据加解密的密钥k_e，伪随机函数密钥s、r，且s，r∈{0,1}^t，t为输入的安全参数，混淆算法的密钥sk_c，RSA私钥sk_r，公钥pk_r，累加器构造的私钥sk_a和公钥pk_a。

9.一种多源数据查询方法，其特征在于，包括：

可信服务节点通过伪随机函数生成n个随机数，并向每个数据所有者节点发送1个随机数，以及将n个随机数之和发送给查询节点；

所述数据所有者节点接收由可信服务节点发送的随机数，对数据记录进行加密生成加密数据Enc(m_j)，通过前缀集合的方法和编码的字典，将每个数据记录用一个字符串来表示，使用伪随机函数的组合加密处理生成自身的加密索引字符串M_j以及基于所述随机数和混淆后的加密索引字符串M'_j，使用RSA私钥生成签名sig_j，并将加密数据Enc(m_j)、加密索引字符串M_j、签名sig_j发送给服务器；

所述查询节点向服务器发起查询请求，并根据所述查询请求中的检索范围生成查询令牌，将所述查询令牌发送给服务器；

所述服务器根据所述查询令牌以及加密索引字符串M_j查找符合条件的查询结果，并将所述查询结果以及验证对象返回给所述查询节点；所述查询结果包括位于所述查询范围内的数据所有者节点的加密数据Enc(m_j),加密的索引字符串M_j以及签名sig_j；

所述查询节点根据所述n个随机数之和SS，数据解密的密钥k_e，混淆算法的密钥sk_c，RSA公钥pk_r，累加器构造的公钥pk_a以及验证对象对数据的完整性，查询结果的正确性、完整性进行验证。

Images