一种网络信息系统中服务器端的个人隐私数据保护方法
【专利摘要】本发明公开了一种网络信息系统中服务器端的个人隐私数据保护方法,意在提供一种能支持各类常见文本查询、查询性能高、且安全性好的一种网络信息系统中服务器端的个人隐私数据保护方法。通过在网络信息系统的客户端和服务器端之间铺设一层中间软件,负责实施本发明所提供的技术方法,以完成两项功能:一是将外部用户通过系统客户端输入的个人隐私数据进行加密后,存放到系统服务器端的后台数据库中,从而确保个人隐私信息在不可信服务器端的安全性;二是为个人隐私数据建立合适的索引,以支持精确查询、相似查询、范围查询等常见文本查询,从而确保密文查询的高效性。
【专利说明】一种网络信息系统中服务器端的个人隐私数据保护方法
【技术领域】
[0001]本发明涉及网络个人隐私信息保护【技术领域】,尤其涉及一种网络信息系统中服务器端的个人隐私数据保护方法。
【背景技术】
[0002]随着网络技术以及信息技术的迅速发展,网络信息系统得到了越来越广泛的应用。然而,随着信息化进程的不断推进,网络信息系统的后台数据库中汇集了大量的个人隐私数据,如身份证号码、个人姓名、个人电话、银行帐号等。显然,这些数据信息是十分敏感而隐私的,如果不慎泄露,势必将对个人隐私数据安全构成严重威胁。
[0003]图1展示了网络信息系统的总体框架结构,其中,网络信息系统的客户端被认为是可信的,因为已有的安全策略均可有效地阻止外部非法用户通过客户端访问到服务器端中的个人隐私数据。然而,网络信息系统的服务器端却是不可信的,例如,数据库管理员或者侵入服务器端的黑客均可毫无阻碍地访问到服务器端数据库中的个人敏感数据。据统计,频繁发生的个人隐私数据泄密事件均是由于网络信息系统内部工作人员的监守自盗而引起。网络信息系统的个人隐私数据的保护问题,引起人们普遍的关注。
[0004]为了保证个人隐私数据的安全性,网络信息系统采用了很多数据加密方法的安全策略,如用户身份认证和授权访问控制等。虽然这两类方法的安全策略均在很大程度上确保了网络信息系统中个人隐私数据的安全性。但是,所有这些方法的安全策略均只针对客户端的外部非法用户访问网络信息系统中的个人隐私数据,而这些方法的安全策略确无法阻止网络信息系统的服务器端的内部用户(数据库管理员)访问网络信息系统中的个人隐私数据。
[0005]目前,国内外关于数据加密方法的安全策略研究很多,但是这些方法均不是针对网络信息系统的个人隐私数据的保护问题而专门设计的。它们中的绝大部分,在数据查询时,要求对密文进行解密,然后在解密后的数据上再执行查询,不能满足网络信息系统中的数据查询的性能要求。虽然也有一些数据加密方法支持密文查询,但均存在诸多缺陷,如安全性较差,或难以支持各类常见文本查询,因而难以直接运用它们解决网络信息系统中个人隐私数据的加密查询问题。
【发明内容】
[0006]本发明是为了解决现有网络信息系统中对个人隐私数据保护过程中存在难以支持各类常见文本查询,查询性能差,安全性较差的不足,提供一种能支持各类常见文本查询、查询性能高、安全性好的一种网络信息系统中服务器端的个人隐私数据保护方法。
[0007]为了实现上述目的,本发明采用以下技术方案:
[0008]一种网络信息系统中服务器端的个人隐私数据保护方法,在网络信息系统的客户端和服务器端之间布置一层中间软件,并且所述中间软件与客户端运行在同一台机单元上;在客户端的中间软件中设有一个“元数据”的内部数据结构单元,用于保存加密索引、查询转换、数据解密等过程中所需要的各类参数信息;
[0009]中 间软件的数据加密单元包括加密函数E和索引函数X,其中,加密函数E使用传统分组加密算法将用户通过客户端输入的各类隐私数据U转换为密文E(U),而索引函数X负责为隐私数据U建立合适的索引X (U),然后把密文E (U)连同相应的索引X(U) —起存放到服务器端数据库中;
[0010]中间软件的查询转换单元将客户端所提交的定义在隐私数据U之上的数据库查询操作Q转化为能在服务器端数据库中相应的索引X(U)上正确执行的新查询QE,使得数据库能通过执行新查询Qe来过滤掉数据表中大部分不满足数据库查询操作Q的非目标记录;
[0011]中间软件的数据解密单元包括解密函数,数据解密单元负责解密服务器端所返回的密文E(U),并将密文E(U)解密后的隐私数据U存放到临时结果库中,作为数据筛选单元的输入;
[0012]由中间软件的数据筛选单元重新执行客户端所提交的定义在隐私数据U上的原始查询Q,让数据库查询操作Q对存放到临时结果库中的隐私数据U重新进行一次筛选,进一步过滤掉不满足数据库查询操作Q的非目标记录,从而得到精确的目标结果M,并把精确的目标结果M返回给客户端的用户。
[0013]本方案通过中间软件能支持各类常见文本查询、查询性能高、安全性好,并通过“元数据”的数据结构来保存各类隐私数据在存储、解密转换以及查询过程中的各类信息,使得本方案对常见文本数据的查询性能高、查询准确高效且简单灵活、安全性好。
[0014]作为优选,在服务器端的数据库中,除了存储密文E(U)之外还附加存储了隐私数据U的索引X(U),用户在客户端提交的定义在明文隐私数据U上的原始查询Q是无法在密文E (U)上直接执行的,但可将定义在明文隐私数据U上的原始查询Q转换为定义在索引X(U)上的新查询QE,然后再提交给服务器端执行,该过程要求:新查询Qe所返回的中间结果不仅包括原始查询Q的精确结果,还尽可能的接近精确结果,所以,如何把密文E (U)和索引X(U)存放到服务器端数据库中、如何为隐私数据U建立对应的密文E(U)和索引X(U)、如何将用户原始查询Q转换为新查询QE,以及如何通过执行新查询获取用户查询的精确结果,它们的解决方案如下:
[0015](I)把密文E(U)和索引X(U)存放到服务器端数据库中的方案为:首先要改造服务器端数据库中的原有关系模式R,以存储密文E(U)和索引X(U),假设在服务器端数据库中存在着一个原有关系模式R为R(A1; A2, , Ar,...),其中,4存储的是隐私数据,因此,4是需要进行加密处理的敏感属性,则改造后的加密关系模式Re为
Re(Λν4^.0,其中:加密关系模式Re中的密文属性用于存储原有关系模式
R中的敏感属性4加密后得到的密文E(U);在加密关系模式Re中新增的索引属性if用来
存储对应的索引X(U),并且索引属性的类型与敏感属性\的类型保持一致,加密关系模
式Re中的其余属性与原有关系模式R中对应的原有属性保持一致;
[0016](2)为隐私数据U建立对应的密文E(U)和索引X(U)的方案为:在服务器端数据库中的加密关系模式Re建立完成后,数据加密单元运用加密函数E为隐私数据U建立对应的密文E(U),数据加密单元运用索引函数X为隐私数据U建立对应的索引X(U),并分别将密文E (U)和索引X(U)存储到加密关系模式Re中的密文属性Af:和索引属性if中;其中为隐私数据U建立对应的索引X(U)共需三个步骤:
[0017](步骤I)系统管理员预先离线手动设定的参数包括隐私数据U的单位值域和隐私数据U的安全系数μ,
[0018](步骤1.1)为各类隐私数据U设定单位值域的过程为:对于某类给定的隐私数据U,假定该隐私数据U最多包含η (.η G N)个字符,则该类隐私数据U最多可以划分为η个字符单位,记作:
[0019](P1, P2, , Pn),系统管理员需要为各个字符单位预先设定所有可能的取值,所有可能的取值即为隐私数据U的单位值域,记作:
[0020]dom (P1),dom (P2),..., dom (Pn);
[0021](步骤1.2)为各类隐私数据U设定安全系数安全系数pCiieMJ值越大,则表示生成的索弓丨X(U)的安全性越好,安全系数PEM)的取值范围为:
[0022]对于不同类别的隐私数据U需要分别设定单位值域和安全系数μ,并把单位值域和安全系数μ作为“元数据”保存在客户端;
[0023](步骤2)为各类隐私数据U自动构造索引函数X的过程为:首先确定隐私数据U各个字符单位的分区数,然后确定各个字符单位的分区过程,最后为各个字符单位建立对应的分区分配标识,并把分区数、分区过程和分区分配标识的信息作为“元数据”保存在可信任的客户端中;
[0024](步骤2.1)根据为各类隐私数据U预先设定的单位值域和安全系数μ,为隐私数据U的各个字符单位Pi (i = 1,2,...,η)自动分配一个分区数IUim(Pi),该分区数满足三个条件:
[0025]一是各个字符单位的分区数必须为正整数,即num(PJ 6 K;
[0026]二是各个字符单位的分区数必须小于其单位值域的大小,即I dom (Pi) I I ≤ num (Pi);
[0027]三是各个字符单位的分区数的连乘与安全系数μ的积,必须小于各个字符单位
值域大小的连乘,Bpn^1IldoTO(R)!! > μ Hj2=I numiP.).,
[0028](步骤2.2)根据分区数Mim(Pi),按照近似等宽策略或近似等深策略的划分过程,将各隐私数据U的单位值域Clom(Pi)划分成若干个子集,该子集即为分区,记作:
=该分区要求满足四个条件:
[0029]一是各个分区不能为空,即Vk(k EM ,\k < num(R) — 本0).;
[0030]二是各个分区互不相交,即
[0031]
VkVjfk,J E N Λ k,j < num (P J A k Φ j Β^} η B':lJ = 0);[0032]三是所有分区的并集等于单位值域,即
【权利要求】
1.一种网络信息系统中服务器端的个人隐私数据保护方法,其特征在于,在网络信息系统的客户端和服务器端之间布置一层中间软件,并且所述中间软件与客户端运行在同一台机单元上;在客户端的中间软件中设有一个“元数据”的内部数据结构单元,用于保存加密索引、查询转换、数据解密等过程中所需要的各类参数信息; 中间软件的数据加密单元包括加密函数E和索引函数X,其中,加密函数E使用传统分组加密算法将用户通过客户端输入的各类隐私数据U转换为密文E (U),而索引函数X负责为隐私数据U建立合适的索引X (U),然后把密文E (U)连同相应的索引X(U) —起存放到服务器端数据库中; 中间软件的查询转换单元将客户端所提交的定义在隐私数据U之上的数据库查询操作Q转化为能在服务器端数据库中相应的索引X(U)上正确执行的新查询QE,使得数据库能通过执行新查询Qe来过滤掉数据表中大部分不满足数据库查询操作Q的非目标记录; 中间软件的数据解密单元包括解密函数,数据解密单元负责解密服务器端所返回的密文E(U),并将密文E(U)解密后的隐私数据U存放到临时结果库中,作为数据筛选单元的输A ; 由中间软件的数据筛选单元重新执行客户端所提交的定义在隐私数据U上的原始查询Q,让数据库查询操作Q对存放到临时结果库中的隐私数据U重新进行一次筛选,进一步过滤掉不满足数据库查询操作Q的非目标记录,从而得到精确的目标结果M,并把精确的目标结果M返回给客户端的用户。
2.根据权利要求1所述的一种网络信息系统中服务器端的个人隐私数据保护方法,其特征在于,在服务器端的数据库中,除了存储密文E(U)之外还附加存储了隐私数据U的索引 X(U),用户在客户端提交的定义在明文隐私数据U上的原始查询Q是无法在密文E(U)上直接执行的,但可将定义在明文隐私数据U上的原始查询Q转换为定义在索引X(U)上的新查询Qe,然后再提交给服务器端执行,该过程要求:新查询Qe所返回的中间结果不仅包括原始查询Q的精确结果,还尽可能的接近精确结果,所以,如何把密文E(U)和索引X(U)存放到服务器端数据库中、如何为隐私数据U建立对应的密文E(U)和索引X(U)、如何将用户原始查询Q转换为新查询QE,以及如何通过执行新查询获取用户查询的精确结果,它们的解决方案如下: (1)把密文E(U)和索引X(U)存放到服务器端数据库中的方案为:首先要改造服务器端数据库中的原有关系模式R,以存储密文E(U)和索引X(U),假设在服务器端数据库中存在着一个原有关系模式R为R(A1; A2,...,...),其中,4存储的是隐私数据,因此,Ar是需要进行加密处理的敏感属性,则改造后的加密关系模式Re为毛..”4, Afr.,,〕,其中:加密关系模式Re中的密文属性用于存储原有关系模式R中的敏感属性\加密后得到的密文E(U);在加密关系模式Re中新增的索引属性用来存储对应的索引XU),并且索引属性Λ?的类型与敏感属性\的类型保持一致,加密关系模式Re中的其余属性与原有关系模式R中对应的原有属性保持一致; (2)为隐私数据U建立对应的密文E(U)和索引X(U)的方案为:在服务器端数据库中的加密关系模式Re建立完成后,数据加密单元运用加密函数E为隐私数据U建立对应的密文E(U),数据加密单元运用索引函数X为隐私数据U建立对应的索引X(U),并分别将密文E(U)和索引X(U)存储到加密关系模式Re中的密文属性和索引属性中;其中为隐私数据U建立对应的索引X(U)共需三个步骤: (步骤I)系统管理员预先离线手动设定的参数包括隐私数据U的单位值域和隐私数据U的安全系数μ, (步骤1.1)为各类隐私数据U设定单位值域的过程为:对于某类给定的隐私数据U,假定该隐私数据U最多包含《 (? e W)个字符,则该类隐私数据U最多可以划分为η个字符单位,记作: (P1, P2,...,Pn),系统管理员需要为各个字符单位预先设定所有可能的取值,所有可能的取值即为隐私数据U的单位值域,记作:
Clom(P1), dom (P2),...,dom (Pn); (步骤1.2)为各类隐私数据U设定安全系数Ρ0ΕΝ〕,安全系数P(FEK)值越大,则表示生成的索弓丨x(u)的安全性越好,安全系数μ {μ£ Μ)的取值范围为:FI^Jdcw(Pi)I >|i >1; 对于不同类别的隐私数据U需要分别设定单位值域和安全系数μ,并把单位值域和安全系数P作为“元数据”保 存在客户端; (步骤2)为各类隐私数据U自动构造索引函数X的过程为:首先确定隐私数据U各个字符单位的分区数,然后确定各个字符单位的分区过程,最后为各个字符单位建立对应的分区分配标识,并把分区数、分区过程和分区分配标识的信息作为“元数据”保存在可信任的客户端中; (步骤2.1)根据为各类隐私数据U预先设定的单位值域和安全系数μ,为隐私数据U的各个字符单位Pi(i = 1,2,...,η)自动分配一个分区数IUim(Pi),该分区数满足三个条件: 一是各个字符单位的分区数必须为正整数,BPnum(R) G N; 二是各个字符单位的分区数必须小于其单位值域的大小,即I Idom(Pi) I I≥Mim(Pi);三是各个字符单位的分区数的连乘与安全系数μ的积,必须小于各个字符单位值域大小的连乘,BP Π^ι II ^ μ (步骤2.2)根据分区数Mim(Pi),按照近似等宽策略或近似等深策略的划分过程,将各隐私数据U的单位值域Clom(Pi)划分成若干个子集,该子集即为分区,记作:Bi …,Oi = num(P.)),该分区要求满足四个条件: 一是各个分区不能为空,即Vfcp EN AfcS TOira(R)Φ 0); 二是各个分区互不相交,即¥kVj(kri E N A k,j < num(P.) Λ k j ^ Sf Π β':'*' = 0); 三是所有分区的并集等于单位值域,即= domi—P—.).,四是分区Sp中任意元素的值大于分区S^1中所有元素的值,即
【文档编号】G06F17/30GK103973668SQ201410118012
【公开日】2014年8月6日 申请日期:2014年3月27日 优先权日:2014年3月27日
【发明者】吴宗大, 卢成浪 申请人:温州大学