1 引言

云计算[1–3]是一种具有动态延展能力的运算方式,它为我们提供了多种高效灵活的数据服务,例如外包存储、外包计算、按需服务、快速资源整合等.基于云计算技术,云计算平台可以在数秒内处理以千万甚至亿万的信息.在云环境下,由于用户终端的计算资源和存储资源非常有限,无法完成一些复杂的科学计算或密码运算,他们经常会将自己的数据外包给云服务器,以此降低用户端的存储和计算负担.

然而,外包计算在为人们带来诸多益处的同时,也不可避免地面临着一些新的安全挑战和问题.越来越多的敏感信息如Email、个人健康记录、公司金融数据等将外包给云服务器,而云服务器通常是不完全可信的.如何实现用户敏感信息的隐私保护已成为云计算亟需解决的一个关键技术问题.访问控制技术在一定程度上可以防止恶意用户对数据的非法访问.但是,恶意的云服务器可以绕过访问控制策略直接查看用户数据.因此,为了防止自己的隐私数据泄露给云服务器,必须将隐私数据进行加密处理后存储在云平台.尽管加密可以保护用户数据的机密性,但是,加密也使得一些在明文空间上的函数计算不再适用于密文空间,例如范围查询[4].

在明文空间中,用户将自己需要查询的区间端点发给云服务器.随后,云服务器依据数据的大小关系进行检索,最后将检索结果返回给用户.由于用户数据和查询区间均以明文形式存储在服务器上,将导致用户数据和查询区间相关信息的泄露.为保护数据的隐私性,用户选择将数据进行加密之后再上传至云平台进行存储和计算.但是传统的加密方案将破坏原有明文数据的顺序信息,使得密文空间的检索变得不再可能.一种最容易想到的方法是将所有的密文数据返回给用户,由用户进行解密处理,然后在明文空间上检索自己需要查询的数据.但是,这种方法所需的通信、存储和计算开销都将是用户所不能承受的.因此,设计支持安全、高效范围查询的加密技术一直是近年来学术界的研究热点.目前,大量针对密文范围查询的加密方案已经被提出来了.现有的解决方案大致可以分为三类:

随着人们生活水平不断提升,心血管疾病患者发病率也呈逐年上升趋势,冠心病是心血管疾病中较为严重的疾病之一。患病机制较为复杂,诱发原因较多,其中饮食不规律、吸烟、高血压等都对其具有一定影响[2]。由临床相关数据显示,人口老龄化与冠心病发病人数呈正比,现阶段虽已能对其发病诱因进行初步确定,但在诊断精准性方面依旧存在一定局限性。且经过诊断结果显示目前并未发现冠心病针对性治疗方式,只能依据早期诊断结果,选择相应基础治疗方式预防疾病发展,延长患者生命。

(1)ORAM方案(oblivious random access memory,ORAM)[5–9].ORAM方案可以保证在不揭露哪块内存空间被访问的前提下,访问该块内存的加密数据,以此来达到隐藏访问模式的目的.但是,ORAM方案对传输带宽和用户存储能力均有较高要求,同时还需多轮交互.

Boldyreva等人[15]于2009年首次给出保序加密方案的安全性定义.Boldyreva等人根据不可区分安全性提出在选择保序明文攻击下的不可区分安全性(IND-OCPA,理想安全性),理想安全性保证密文不泄露除顺序以外明文的其他信息.随后,Boldyreva等人指出这一看似合理的安全性是保序加密方案无法达到的,如果密文是无状态的,线性长度的加密方案无法达到理想安全性.因此,Boldyreva等人提出一种较弱的安全性定义ROPF安全性.ROPF安全性要求加密之后的密文和由随机递增函数所计算的函数值是不可区分的.

(3)保序加密方案 (order preserving encryption,OPE)[14–20].保序加密方案是指密文保留原有明文顺序的加密方案.云服务器可以根据密文的顺序信息来得到明文顺序信息,因此,保序加密方案可以保证涉及顺序信息的查询操作可以在密文空间高效进行.当进行范围查询时,用户只需要提供查询区间两个端点的加密密文给云服务器.随后,云服务器根据用户提供区间端点的加密密文与原有数据库的密文进行比较.最后,云服务器返回给用户符合查询要求的密文数据,用户解密即可.

（1）根据水功能区水质达标管理要求，以水功能区为功能控制单元、流域为统筹管理单元，实施分阶段排污总量控制，重点提高不达标水功能区内污水处理能力与质量，加大超采水功能区限排力度，有序提升水功能区达标水平。

对非磁性物质，μj=1，在kj均为虚数时，简化(1)式以便计算.众所周知，在柱坐标系(r,θ,z)中对亥姆霍兹方程分离变量，可得与r有关的贝塞尔方程.设赫兹矢量在波导轴线方向分量大小为Πz[14]，从贝塞尔方程解出的函数实际上是Πz依赖于径向坐标r的部分，下文中就用R(r)代表.我们所讨论的情况中所有kj均为虚数，此时，R(r)所满足的方程为修正贝塞尔方程，其解为第一、第二类修正贝塞尔函数的叠加，叠加系数由边值关系及初始条件确定.需要注意的是，修正贝塞尔函数中的变量为实数，所以需要去掉kj的虚数单位i，即取虚部[12]，记为电磁波本征模的场量实际上是由Πz与场量的关系求出的[14]：

在本文中,我们主要回顾保序加密方案的发展历程,了解最新的研究进展.进而分析现有方案的特点、适用范围及局限性.最后,我们指出保序加密方案未来的发展趋势和研究方向.本文余下章节的组织结构安排如下:第2节简要概括保序加密方案的系统模型及安全性定义.第3节主要回顾了保序加密方案的发展现状.第4节主要介绍了顺序可见加密方案的概念及其发展现状.第5节指出现有保序加密方案所面临的一些问题,以及未来的发展趋势和研究方向.

2 问题阐述

在云环境中,计算能力和存储资源受限的用户终端(如智能卡、RFID标签等)可以将复杂的计算和存储外包给云服务器.然而,由于云服务器不是完全可信的,其可能泄露用户隐私.因此,为了保护数据隐私,用户通常会将数据先加密再外包给云服务器.传统的加密可以保护用户数据隐私,但是也会破坏数据的一些性质,使得明文中的一些常见操作在密文环境不能执行,例如范围查询.因此,如何在密文环境中实现数据的范围查询变得尤为重要.保序加密方案被认为是目前解决密文空间范围查询问题的最有效方法.近年来,如何设计安全、高效的范围查询方案已成为学术界研究的热点问题.

真空蒸发浓缩结晶法生产粗硫酸镍在金隆公司应用已5年有余，产品硫酸镍的提取不仅为公司发展带来经济效益，而且有利于平衡电解液中镍的含量，减少镍离子及附带的砷、锑、铋等杂质的危害，为稳定电解生产创造了条件。

2.1 系统模型

• Encrypt(sk,m).设m的二进制表示为m=b1 b2···b n,加密算法加密消息为

质言之，基于“集合论模型”的科学理论观是一种数学原理与经验科学的结合。对于理论模型如何连接作用于理论和现象之间的问题，苏佩斯曾表述：“我试图表明的是，经验理论和相关数据之间关系的精确分析需要不同逻辑类型的模型的层次结构。”［5］252-261他认为在理论和现象之间存在一个层级系统，该系统由不同类型的模型相连接。他通过对应理论的可能实现，引入数据的可能实现，再根据数据的可能实现以常规方式定义实验模型，缔造了一个由现象—数据模型—理论模型—理论的层级系统进路，从而对理论的模型结构加以论证。

  

图1 保序加密系统模型示意图Figure 1 System model of order preserving encryption

• 数据拥有者:数据拥有者是指拥有数据的人.由于自身的存储和计算能力有限,通常选择将数据进行加密,然后外包存储到云服务器上.为了保护数据可用性,数据拥有者将采用一些具有特殊性质的加密方案来加密数据.

• 数据使用者:数据使用者是指使用数据的人.当数据拥有者对存储在云服务器上的数据进行查询时,需要向数据拥有者索取密钥.随后,数据使用者根据需要以及密钥生成查询请求,并将查询请求发送给云服务器.在收到云服务器返回的检索结果后,数据使用者对检索结果进行解密.

• 云服务器:云服务器是提供存储和计算平台的个体.首先,云服务器为数据拥有者提供存储服务.其次,根据数据使用者的检索请求,云服务器在密文数据库中进行检索,最后将检索结果发送给数据使用者.一般可以将云服务器分为:诚实的 (honest),诚实但好奇的(honest-but-curious)和恶意的(malicious).诚实的云服务器将会忠实执行协议,在执行协议的同时,也不窥探数据隐私,因此,可以将云服务器看为数据拥有者,无需对数据进行加密处理.诚实且好奇的云服务器将会忠实执行用户协议,但是在协议执行过程中,云服务器将窥探用户数据隐私.为了保护数据隐私,数据拥有者需要先对数据进行加密后上传至云平台上.恶意的云服务器在窥探数据隐私的同时也可能不执行用户协议.因此,在面对恶意的云服务器时,用户不仅需要对数据进行加密处理,同时还需要验证存储内容与检索结果的正确性和完整性.

下面将给出保序加密方案的形式化定义.

定义1(保序加密方案).一个(有状态)保序加密方案可以描述为一个四元组Π=(Gen,Enc,Query,Dec).

• S←Gen(1n):根据安全参数,生成秘密状态S;

• (S′,y)←Enc(S,x):在状态S下,加密明文x为密文y,并将状态S更新为状态S′;

• I y←Query(S,I):在状态S下,输入查询区间I,输出查询结果的密文数据集I y;

丽晶公司采用了美国联邦最高法院(以下简称最高法院)一百多年前的迈尔斯案中不予支持的转售价格维持的定价方式。尽管从地区法院到巡回法院均已败诉，但为了捍卫自己的商业模式，丽晶公司上诉到了最高法院。在丽晶公司的定价策略中处于核心地位的是转售价格维持。它意味着在经销商层面取消价格折扣。从表面上看，取消折扣是反竞争的，毕竟折扣有利于消费者。丽晶公司必须说服法庭减少折扣能够增进消费者福利，它最终获得了成功，最高法院以5:4的微弱比例判决丽晶公司胜诉。

• x←Dec(S,y):在状态S下,解密密文y为明文x.

一个加密方案是正确的当且仅当对任意有效状态S和明文x满足Dec(Enc(S,x))=x.如果加密方案满足:对任意的i,j有x i 6 x j⇒y i 6 y j,则称这个方案为保序加密方案.

2.2 安全性定义

在密码学加密方案中,我们需要保护数据和检索区间的安全性.Boldyreva等人[15]首次提出保序加密方案的最高安全性:IND-OCPA(indistinguishability under ordered chosen plaintext attack,也称理想安全性),同时证明如果密文是无状态的,线性长度的保序加密方案是不可能达到理想安全性的.因此,Boldyreva等人提出比理想安全性稍弱的安全性定义:ROPF(random order preserving function).形式化描述如下:

定义2(ROPF).保序加密方案Π=(Gen,Enc,Query,Dec),明文空间为D,密文空间为R,并满足|D|6|R|.方案Π被认为是ROPF安全的,如果满足：对任意概率多项式攻击者A,有

 

其中,OPF D,R为从明文空间D到密文空间R保序函数的全体.

文献[21]指出ROPF安全性将会泄露明文至少一半的比特信息,不足以保护用户隐私数据的安全性.因此,理想安全性仍是保序加密方案应该达到的安全性.下面给出理想安全性的形式化定义:

老家捕鱼的工具主要有两种，一种是网，一种是捞罨。网的目眼较大，撒开来有好几个平米宽，主要是捕大鱼用。而捞罨的网眼则有大有小，用一根篾片撑起来，呈三角形，大的有半平米，小的只比簸箕大一点，那是女人和小孩用来在田头或水沟捕小鱼小虾用的。

• Setup(1λ).设F:K×([n]×{0,1}n−1)→Z M 为一个安全的伪随机函数.该算法以安全参数λ为输入,输出伪随机函数F的密钥k,则密钥sk=k.

 

则保序加密方案Π=(Gen,Enc,Query,Dec)满足理想安全性.

  

_OCPA不可区分实验Exp IN D-O C PA A,Π (n):1.挑战者执行 Gen(1n)获得密钥k;2.攻击者 A 随机选取两个不同的明文序列 M 0=(m 10,m 20,···,m n0)和 M 1=(m 11,m 21,···,m n1),且这两个序列有相同的排序,即:m i0j0当且仅当m i1j1,并将其返回给挑战者;3.挑战者随机选取b←{0,1},然后计算Y=Enc(k,M b),即:(S i,Y i)=Enc(S i−1,m ib),返回挑战密文Y 给攻击者A;_4.攻击者 A 输出一位 b∗.

通俗来讲,理想安全性要求密文除去明文顺序信息而不泄露明文的其他任何信息.Kolesnikow和Shikfa在文献 [22]中探讨了顺序泄露对加密方案的影响,奠定了理想安全性的可行性基础.但 Kerschbaum[17]指出理想安全性不能抵抗频率攻击,在此基础上提出了抵抗频率攻击的理想安全性,即IND-FAOCPA(indistinguishability under frequency analyzing ordered chosen plaintext attack)安全性.下面给出其形式化定义:

定义4 设 n为序列 X=x1 x2···x n中的元素个数,序列 X 的随机序 Γ=γ1γ2···γn满足

(1)对于任意的 i,有 1 6γi 6 n且对于任意的 i=j有 γi̸=γj;

(2)对于任意的 i,j,有 γi>γj⇒x i≥x j.

定义5(IND-FAOCPA).如果对于所有的概率多项式时间的攻击者A存在一个可忽略函数negl,满足

 

则保序加密方案Π=(Gen,Enc,Query,Dec)满足IND-FAOCPA安全性.

  

FAOCPA不可区分实验Exp IN D-FA O C PA A,Π (n):1.挑战者执行Gen(1n)获得密钥k;2.攻击者 A 随机选取两个不同的明文序列 M 0=(m 10,m 20,···,m n0)和 M 1=(m 11,m 21,···,m n1),且在这两个序列的随机排序中,至少有一个相同排序Γ;3.挑战者随机选取b←{0,1},然后计算Y=Enc(k,M b),即:(S i,Y i)=Enc(S i−1,m ib),返回挑战密文Y 给攻击者A._4.攻击者 A 输出一位 b∗.

• Encrypt(sk,m).设 m 的二进制表示为 m=b1 b2···b n,该算法计算

3 保序加密方案的发展和现状

保序加密方案是指密文保留原有明文顺序的加密方案,目前主要应用于范围查询、近似邻检索等问题中.根据保序加密方案是否存在检索结构可以将现有的保序加密方案分为无索引结构的保序加密方案和基于索引结构的保序加密方案.无索引结构的保序加密方案是指加密密文直接保留原有明文顺序.基于索引结构的保序加密方案是指明文数据可以使用普通的加密方案(例如AES、DES)进行加密,同时又建立一个保序索引结构,其可以用于比较明文顺序.

3.1 无索引结构的保序加密方案

• Setup(1λ)→sk.以安全参数λ为输入,该算法输出密钥sk.

1.3疗效评价标准 治愈:胃部炎症和溃疡症状完全消失,恢复情况理想;好转:胃部炎症有所改善,溃疡症状改善,病变范围缩小10%以上;无效:胃部炎症和溃疡没有改善,病情恶化。有效率为治愈率和有效率之和[1]。

在 OPES方案中,Agrawal等人以用户提供的目标分布在全局空间中随机抽取 P个数据,并将这P个数据进行排序,得到密钥表格T,由用户保存.数据取值空间D中第i个数据d i的加密密文为c i=T[i],也即数据取值空间D中的第i个数据对应密钥表格T中的第i个数据.由于密钥表格T中的数据是经过排序的,因此密文便保留明文顺序.在解密时,只需查询c i为密钥表格中的第几个数据,由此便可以解密.OPES方案不泄露除去原有明文顺序的其他信息,即使攻击者拥有密钥T,他也不能推断出明文的数据值,同时还可以隐藏原有明文数据的分布信息.但是,Agrawal等人并未给出保序加密方案的安全性定义,也未给出OPES方案的严格安全性分析.同时,OPES方案需要用户根据所使用的数据集生成密钥,不支持数据集D的更新。

本装置加氢尾气中H2S含量波动较大；由于酸性气来自于催化干气，酸性气CO2含量高，导致尾气CO2含量高；本装置催化剂运行已有3年，活性有所下降，所以反应产物中副产物有机硫含量高。加氢尾气主要分析数据如表2所示。

3.1.1 BCLO方案

(2)全同态加密方案(fully homomorphic encryption,FHE)[10–13].全同态加密方案可以保证在不解密密文的情况下,直接利用密文去求任意函数的函数值,但是,全同态加密方案存在密文扩张剧烈、计算复杂等劣势.总之,无论是ORAM方案还是全同态加密方案都不适用于现有的大数据场景.

随后,Boldyreva等人构造出第一个可证明安全的保序加密方案:BCLO方案.在BCLO方案中,假设函数f:A→B 为一个保序函数,即:对于任意的i,j∈A有f(i)>f(j)当且仅当i>j.我们可以由保序函数f(·)构造保序加密方案Π=(Key,Enc,Dec),其中c=Enc(K,m)=f(m).因此,BCLO方案的构造便转化为寻找一个保序函数.算法1和算法2描述了保序函数的生成与求逆.

  

__算法1:OPF加密__________________________算法算法2:OPF解密算法____________________Encryp t(a,b,f(a),f(b),m)1.x←(a+b)/2 2.y←f(b)−f(a)3.使用确定性种子函数S(a,b,f(a),f(b))初始化伪随机函数生成器F 4.随机选取z←R[0,y]使得Pr(z∈[y/4,3y/4])为可忽略的5.f(x)←f(a)+z 6.若x=m,则返回f(x)7.若x>m,则回到Encryp t(a,x,f(a),f(x),m)__8.若x,则回到Encryp t(x,b,f(x),f(b),________m)Decryp t(a,b,f(a),f(b),c)1.x←(a+b)/2 2.y←f(b)−f(a)3.使用确定性种子函数S(a,b,f(a),f(b))初始化伪随机函数生成器F 4.随机选取z←R[0,y]使得Pr(z∈[y/4,3y/4])为可忽略的5.f(x)←f(a)+z 6.若f(x)=c,则返回x 7.若f(x)>c,则返回Decryp t(a,x,f(a),f(x),c)8.若f(x),则返回Decryp t(x,b,f(x),f(b),c)__

3.1.2 BCLO方案的改进

文献[20,21,24–27]分别从安全和效率两个方面对BCLO方案进行改进.下面将从安全和效率两个方面介绍后续研究方案.

在安全性方面,Boldyreva等人[21]就方案的 ROPF(random order-preserving function)安全性给出了进一步分析,探讨ROPF安全到底是什么样的安全性,能提供多强的安全保障.基于对ROPF安全性的分析,Boldyreva等人指出ROPF获得比单向安全性(one-wayness)更高的安全性,即ROPF安全性不会泄露明文数据和不同明文数据距离之间的准确值.同时,他们提出了窗口安全性 (window one-wayness)的概念,也就是攻击者去猜测一个 d长区间,使得该区间包含明文数据.Boldyreva等人指出攻击者可以以不可忽略的概率找到一个明文取值空间平方根长的区间使得该区间包含明文数据.更进一步,文献[20,21]指出BCLO方案会泄露明文至少一半的比特信息.为此,Boldyreva等人[21]基于MMPHF(monotone minimal perfect Hash function)去构造一个达到更高安全性EOE的保序加密方案,但是该方案需要长密钥且需要数据集提前确定.为此,Boldyreva等人在原有方案基础上通过在原有明文上增加一个模数M 构造一个MOPE(modular OPE)方案.MOPE方案可以进一步抵抗位置区间的泄露.但是,不可区分安全性才是分析密码方案安全性的主流,而上述的安全性均是基于单向安全性.为此,Teranishi等人[26]基于WOW安全性提出一种新的安全性定义WOWM,该安全性定义可以保证明文低位比特的安全.同时,Teranishi等人构造出能达到这一安全性的保序加密方案.

在效率方面,BCLO方案会多次调用一个超几何分布的抽样算法,导致方案效率降低实用性不足.因此,Yum等人[27]通过引入一个非均匀分布的抽样算法来减少BCLO方案中超几何分布抽样算法的多次调用,实验模拟结果同样表明相对于BCLO方案,Yum 等人方案的效率有所提升,更适用于实际环境.随后,K rendelev等人[25]根据代数编码和矩阵构造一个保序加密方案,在效能和安全性上达到可接受的平衡状态.

3.2 基于索引结构的保序加密方案

索引结构思想的最初来源是可搜索加密方案[28–32].在可搜索加密方案中,为了便于在密文环境下进行关键词检索,数据拥有者在上传加密文件时将建立一个索引结构,它可以帮助云服务器在密文环境中进行检索操作.因此,便考虑构建一种带索引结构的保序加密方案.对于密文数据,我们将采用传统的加密方案进行加密,在加密数据的同时建立一个保序索引,用来指引云服务器进行范围查询.

3.2.1 部分安全保序加密方案

2002年,Hacigümüs等人[31]基于分桶(bucket)思想构造出第一个基于索引结构的范围检索方案.Hacigümüs等人将数据的取值空间随机分为n段,每段即为一个桶,对每个桶进行标号,每一个标号就为一个关键词.每个桶里的数据使用AES、DES等加密方案进行加密,每个数据所在桶的桶号就是本数据所对应的关键词.Hore等人[33]通过引入一个新的桶分割方案来提高基于桶构造索引的效率,达到可用性和安全性的一种平衡.当进行范围查询时,首先考虑所查询的区间和哪些桶有交集.随后,使用有交集的桶号(即关键词)进行检索.在进行关键词检索时,云服务器无法判断同一关键词下密文数据的大小关系,因此在查询结果中可能存在冗余,即:不属于查询区间的数据也可能包含查询的关键词,从而被作为检索结果返回,以此造成通信量和计算量的浪费.为克服基于桶索引方案的冗余性,Ceselli等人[34]将每个数据都定义为一个关键词,由此提出一个基于Hash索引结构的范围检索方案.但是,当查询区间比较大包含数据较多时,Ceseli等人的方案并不实用.为此,Dam iani等人[35]提出一个基于B+树的索引构造方案.

Liu等人[36]基于线性隐藏和增加噪音的方法构造一种线性索引结构:ax+b+noise.其中 a,b需要保密,noise是满足索引保序的随机数(噪音 noise的输入不能破坏索引ax+b+noise的输入顺序).例如,ax+b+noise定义于整数集 (即:a,b,x均取整数值),则此时的噪音 noise∈{0,1,···,a−1}.与Agrawal等人[14]的方案相比,该方案并不需要用户事先知道数据分布,支持数据更新.同时,该方案为索引方案,将泄露更少的明文信息.但是,该方案泄露明文数据分布,易受复制文本攻击.为解决复制文本攻击这一问题,Liu等人[37]基于非线性表达式构造一个非线性保序索引:a∗f(x)∗x+b+noise.该方案可以隐藏明文分布,服务器不能从索引分布得到明文分布.Popa等人[18]指出Liu和Wang的方案[36]不能达到IND-OCPA安全,泄露除顺序以外的其他明文信息.例如,如果攻击者知道数据0的加密密文c1=a∗0+b+noise1,和数k(k取值较大)的加密密文c2=a∗k+b+noise2,其中a,b为保密密钥,noise1,noise2随机选择.将两个密文相减,攻击者可以得到c2−c1=a∗k+noise2−noise1,由于 0 6 noise1,noise2当k较大时,区间 [I1,I2]包含很少元素,可以对区间进行穷举得到密钥a.Liu和Wang的方案[37]也存在同样问题.

3.2.2 理想安全保序加密方案

2013年,Popa等人[18]构造出第一个可以达到理想安全性的保序加密方案,并给出了严格的安全性证明.安全性分析表明可变密文(mutable ciphertext)是保序加密方案达到理想安全性的前提.可变密文是指随着密文数据库的更新,一部分数据的密文也会随之改变.考虑到密文数据库可更新,Popa等人给出一种比理想安全性更高的安全定义:same-time OPE(st-OPE)安全,它要求攻击者只能获得同时存在于数据库中数据的大小,不能比较随后插入的数据与先前查询区间的大小或者与已删除数据的大小.Popa等人采用B树或者二叉树数据结构存储数据,数据的保序索引就是数据所在路的编码再级联上 10···0.根据保序索引,云服务器可以知道数据的大小关系,如图2所示.当插入新的数据时,需要用户和服务器进行O(log n)轮交互来判定数据在树中的位置并将数据插入树中,生成它的保序索引,同时也需要更新一部分密文数据的保序索引.在Popa等人[18]的方案中,树中的每一个节点都使用一个计数器来记录数据出现次数.因此,方案 [18]将会泄露明文的出现次数,不能抵抗统计分析攻击.为此,Kerschbaum等人[17]提出一种抗统计分析的不可区分安全性定义:IND-FAOCPA.同时基于随机密文构造出一个IND-FAOCPA安全的保序加密方案.

2016年,Roche等人[42]提出一种新型数据存储结构:POPE树,类似于Bu ff er树.在POPE树中,每一非叶子节点包含两部分存储:有序存储和无序存储.有序存储中存储子树的分割点,无序存储主要是一个存储空间无限的缓存带,存储一些数据的加密密文.POPE树工作的基本思想是:当插入新的数据时,直接将密文数据存储在根节点的无序存储带中.当进行区间查询时,我们再将根节点中的密文数据推到查询区间端点所在层.由父亲节点向孩子节点移动数据是通过服务器和用户的交互,由用户所决定.基于POPE树,Roche等人[42]构造出一种适用于插入很多,查询很少的保序加密方案.该方案泄露更少的顺序特性,且需要更少的通信带宽,同时可以达到IND-OCPA安全性.

以上所有的保序加密方案只适用于单用户场景,即单密钥模型.为支持多用户多密钥场景,Xiao等人[43]构造DOPE协议和OE-DOPE协议.DOPE协议主要用于分发密钥,保证加密密钥不被其他个体获得,即保护密钥的安全性.由密钥分发中心向用户分发密钥时,将会向密钥分发中心泄露密钥.为解决这一问题,基于不经意传输原理,密钥分发中心将通过不经意传输协议向用户分发密钥,由此达到向密钥分发中心隐藏密钥的目的,这一密钥分发协议称为OE-DOPE协议.DOPE协议和OE-DOPE协议均可以与现有保序加密方案相结合,以便应用于多用户多密钥场景.

  

图2 mOPE方案Figure 2 Mutable order preserving encoding scheme

 

表1 保序加密方案的安全性比较Table 1 Security comparison of several OPE schemes

  

____________保序加密方案 安全性保障 交互性Özsoyoglu et al.’03[38] NONE 无交互Agrawal et al.’04[14,39] NONE 无交互Boldyreva et al.’09[15,21] ROPF 无交互Lee et al.’09[1 9] NONE 无交互Kadhem et al.’10[40,4 1] NONE 无交互Yum et al.’11[27] ROPF 无交互X iao et al.’12[2 3] IND-OLPCA 无交互Popa et al.’13[1 8] IND-OCPA 交互Kerschbaum et al.’15[1 7] IND-FAOCPA 交互_________Roche et al.’16[42] IND-OCPA 交互

4 顺序可见加密方案的发展和现状

2015年,Boneh等人[16]基于保序加密方案提出顺序可见加密方案 (order revealing encryption,ORE),一种新型适用于范围查询的加密方案.顺序可见加密方案是指从密文(索引结构)可以判断出明文大小,但是密文(索引结构)不一定保序.根据密文是否存在陷门,我们可以将现有的顺序可见加密方案分为无陷门的顺序可见加密方案和陷门可见加密方案.无陷门的顺序可见加密方案是指加密密文中含有比较标签,比较标签可以帮助比较者来判断密文对应明文大小.陷门顺序可见加密方案是指在比较两个密文大小时,只有私钥的人可以为对应的密文生成比较标签,比较标签用来指引比较者判断密文对应明文大小.下面我们将简要介绍顺序可见加密方案的最新研究成果,希望可以为以后保序加密及其相关方向的学习起到抛砖引玉的作用.

4.1 无陷门的顺序可见加密方案

2015年,Boneh等人[16]提出顺序可见加密方案的基本概念,并构造一个顺序可见加密方案.Boneh等人从函数加密的特性出发,设 F(·,·)为顺序比较函数,我们拥有 F(·,·) 对应的密钥 sk F,以任意两个密文 C1,C2为输入,得到他们所对应明文的大小,同时不泄露有关明文的其他信息.同时,Boneh等人所构造的顺序可见加密方案可以达到最高安全性IND-OCPA安全.但是,现有函数加密方案的构造大多基于不可区分混淆[44–47]思想,以分支函数[48]来构造方案.如果比较k-bit数据的大小,则需要(k/2+1)次多线性映射的计算.由于不可区分混淆理论不尽完善,同时应用了大量多线性映射,所以Boneh等人的方案只处于理论阶段.在此,我们引入顺序可见加密的正式定义.

现场确认准备启动指示灯亮。控制室内确认准备启动指示灯亮，通过CCS HMI的“自动/手动”选择开关选择自动开车程序。

定义6一个顺序可见加密方案ORE=(Setup,Encrypt,Compare)包括以下三个算法.

传统加密方案可以保护用户的数据隐私,但是传统加密方案只能保留一些等式查询操作,使得数据库查询中的比较操作变得不再可能.因此,Agrawal等人[14]提出了保序加密的基本概念,保序加密方案是指密文保留原有明文顺序的加密方案.使用保序加密方案代替传统加密方案可以使得数据库中涉及大小关系的操作可以在密文环境中被高效执行,例如:M AX,M IN,COUNT.同时,Agrawal等人构造出第一个保序加密方案OPES(order p reserving encryption scheme).

• Encrypt(sk,m)→ct.以加密密钥sk和消息m为输入,加密算法将消息m加密为密文ct并输出密文ct.

• Compare(ct1,ct2)→b.以两个密文c1和c2为输入,比较算法输出比较结果b.

4.1.1 Chenette等人的方案

随后,Chenette等人[49]使用伪随机函数构造出一个顺序可见加密方案.他们所构造的顺序可见加密方案不仅是可证明安全的,而且具有更高的效率.准确地说,Chenette等人的顺序可见加密方案主要包括以下算法:

定义3(IND-OCPA).如果对于所有的概率多项式时间的攻击者A存在可忽略函数negl,满足

保序加密的概念由Agrawal等人[14]于2004年首次提出.一般来讲,保序加密方案的流程主要包括以下几个步骤,如图1所示.

对两组患者在接受治疗后的血糖水平控制情况及治疗效果进行统计、对比。①血糖水平控制情况包括对患者治疗前后的空腹及餐后2 h血糖水平进行检测、统计，空腹及餐后2 h血糖水平应分别控制在7.0 mmol/L及10 mmol/L范围以下；②疗效判定指标：显效：经治疗后，患者血糖水平控制较好，每日血糖波动不明显；有效：经治疗后，患者血糖水平获得一定改善，且尽在餐后出现明显血糖波动；无效：经治疗后，患者血糖水平无明显改善或加剧，且血糖水平处于较高波动状态。

 

• Compare(ct1,ct2). 算法以 ct1=(u1,u2,···,u n) 和为输入,令 i为使得的最小正整数.如果存在这样的 i且满足则输出 b=1,否则 b=0.

从上述方案描述可以看出,Chenette等人只使用了伪随机函数,使得方案具有很高的检索效率.但是,本方案将泄露不同数据的第一个不相同比特位,不能达到理想安全性.

4.1.2 Chenette等人方案的改进

Cash等人[50]根据双线性对构造一个顺序可见加密方案来减少Chenette等人方案中信息的泄露问题.在Cash等人的方案中,他们通过构造一个性质保留哈希函数(property p reserving Hash,PPH)来隐藏Chenette等人方案中第一不同比特的泄露.Cash等人基于双线性群中的SXDH(symmetric external Diffie-Hellman)假设来构造PPH,相对于Chenette等人的顺序可见加密方案,Cash等人的方案很大程度上可以减少信息泄露.但是,相对于只使用对称简单原语的加密方案而言,Cash 等人的方案在实际场景中效率并不高.具体算法如下所示:

• Setup(1λ).设F:K×([n]×{0,1}n−1)→Z M 为一个安全的伪随机函数,Γ=(K h,H,T)为关于函数P(x,y)=1(x=y+1)的PPH方案.以安全参数λ为输入,该算法均匀随机选取伪随机函数F的密钥k,同时执行Γ.K h,得到PPH方案的哈希密钥和测试密钥(hk,tk).输出(ck,sk),其中ck=tk,sk=(k,hk).

除以上三种常用的安全性定义,在保序加密方案中还有其他一些安全性定义,如:EOE(efficient order able encryption)[21]、IND-OLCPA(indistinguishability under ordered and local chosen-plaintext attack)[23].但是,这些安全性定义随后被证明是不安全的,将会泄露除顺序以外明文的其他信息.

 

随后,该算法选择随机置换 π并计算 v i=tπ(i),输出CT=(v1,v2,···,v n).

•Compare(ck,CT1,CT 2).算法以ct1=(v1,v2,···,v n)和为输入,执行如果存在(i∗,j∗)使得该算法输出1,表示m 1>m 2;如果存在(i∗,j∗)使得1,该算法输出1,表示m 1 2;否则输出⊥,表示m 1=m 2.

4.2 陷门顺序可见加密方案

Boldyreva等人[21]指出当加密数据的数量少于明文取值空间的平方根时,IND-OCPA安全可以保证保序加密方案的安全性,但当超过平方根时,保序加密方案的安全性无法保证.例如,当加密数据取遍整个明文取值空间时,攻击者可以对密文进行排序,便可以得到各自对应的明文,此时的加密没有任何意义.为此,Seungm in等人[19]考虑一种新型加密方案:有陷门的顺序可见加密方案.该方案的基本思想是拥有密钥的人可以根据密文获得明文顺序,没有密钥的人不能获得顺序信息.

4.2.1 比较加密方案

2014年,Furukawa[51]构造第一个有陷门的顺序可见加密方案 (又称为比较加密方案),它要求当使用两个加密密文比较明文大小时,必须知道一方标签,这一标签是顺序可见加密方案中的陷门.在文献 [51]中,将加密之后的密文分为密文 c和标签 token两部分.其中,c由明文加密得到的密文,上传到云服务器上,token为比较标签保存在客户端或临时生成.当用户进行区间查询时,只需上传查询区间端点的密文以及对应的比较标签.例如,当查询区间 [a,b]时,用户只需向服务器提交:(c a,token a)和(c b,token b).服务器可以进行比较查询,返回相应密文,用户解密得到所需的查询结果.具体方案如下所示:

• Setup(1λ).设Hash:{0,1}λ×{0,1}4+λ+1→{0,1}λ为一个哈希函数.该算法均匀随机选取主密钥 m key∈{0,1}λ,输出参数 param=(n,Hash)和主密钥 m key.

• Token(param,m key,m).设 m 的二进制表示为 m=(b0,b1,···,b n−1)=∑06 i6 n−1 b i 2i,该算法计算

 

最后,该算法输出比较标签 token=(d0,d1,···,d n).

• Encrypt(param,m key,m).设 m 的二进制表示为 m=(b0,b1,···,b n−1)=∑06 i6 n−1 b i 2i.首先计算 (d0,d1,···,d n)=Token(param,m key,m),随后选择随机数 I∈{0,1}λ并计算

 

其中,i=n − 1,···,0. 最后,输出密文 CT=(I,(c0,c1,···,c n−1),(f0,f1,···,f n−1)).

（3）中国机械运输设备的出口价格逐渐向高于世界平均水平转变，在不同出口市场上的价格差异越来越小。从图3可以看出，图像有上移和轻微右移的趋势，说明中国机械运输设备的价格在不同市场的差异越来越小，且产品的价格在逐步提高。

• Com pare(param,CT 1,CT 2,token). 设 CT 1=(I,(c0,c1,···,c n−1),(f0,f1,···,f n−1)),CT2=和检索标签token=(d0,d1,···,d n).

(1)比较算法首先搜索j满足

 

如果对 ∀k,有 成立,输出 0.(2)随后,比较算法计算

 

(3) 最后,比较算法输出:1,如果

4.2.2 比较加密方案的改进

在比较加密方案中,服务器一旦拥有数据a的检索标签token a,无论用户是否需要,服务器不仅可以将数据a和所需的数据b进行比较,也可以将数据a和数据库中其他所有数据进行比较,泄露过多顺序信息.当查询区间较多时,便会造成数据顺序信息的大规模泄露.对此,Lew i等人 [52]构造另外一个有陷门的顺序可见加密方案,这一方案的比较标签是本数据和数据集中所有数据的比较结果.当比较数据a,b大小时,只需要在比较标签token a中提取出a与b的比较结果给云服务器,这样可以保证泄露更少的顺序信息,由此更好地保护数据的安全性.具体方案如下所示:

• Setup(1λ).设F:{0,1}λ×{0,1}λ→{0,1}λ为一个安全的伪随机函数,H:{0,1}λ×{0,1}λ→Z3为一个哈希函数,CMP为一比较函数,π:[N]→[N]为一随机置换.随机选取伪随机函数F的密钥 k∈{0,1}λ,输出密钥 sk=(k,π).

• Token(sk,x).随机选取随机数 r←R{0,1}λ,计算

研究组母婴不良结局发生率为10.42%，参照组母婴不良结局发生率为27.08%，差异有统计学意义（P＜0.05）。见表3。

 

输出标签 token=(r,v1,v2,···,v N).

• Encrypt(sk,x).计算并输出密文 CT=(F(k,π(x)),π(x)).

• Com pare(CT x,token y).设 CT x=(k′,h)和 token y=(r,v1,v2,···,v N),输出计算结果 v h−H(k′,r)m od 3.

当需要比较数据x和数据 y的大小时,用户在标签 token y中提取有关数据 x的比较关系 token y,x(r,v h),并将token y,x提交给云服务器.因此,该方案可以做到只泄露需要比较数据的大小关系,保证数据y与其他数据大小关系的隐私性.

5 总结和展望

低廉的计算成本与灵活的配置能力促使云计算产业蓬勃发展.一些存储能力有限的用户会将自身数据存储到云端,而其中不乏含有一些隐私数据.为了保护数据的隐私信息不被泄露,用户会将数据加密之后上传到云服务器.然而,数据加密将会破坏数据的一些性质,使得在云端的海量密文数据中进行范围检索变得极为困难.

自从2004年保序加密概念被首次提出以来,已经取得了一系列的研究成果.本文主要围绕保序加密的相关研究内容展开综述,介绍了近年来具有代表性的研究成果.通过分析可以看出,现有的保序加密方案仍然存在一些不足,未来的科研工作可以更多地关注于以下几点:

(1)现有保序加密方案的安全性不高,很多方案无法达到保序加密的理想安全性.在可以达到理想安全性的方案中,这些方案往往需要多轮交互.因此,探索一种新的保序加密方案,其不但可以达到理想安全性,而且需要更少的交互,或是没有交互已经变得十分重要.

(2)探索适用于多维场景的保序加密方案.例如,在实际检索中,我们通常会执行以下检索操作:检索语文成绩与英语成绩均大于90的学生.现有保序加密方案并不支持多维场景的高效查询,所以设计支持多维数据高效检索的保序加密方案具有重要研究意义.

(3)由于云服务器是不完全可信的,出于节约资源或者其他原因,在执行检索询问时,云服务器可能返回不正确或不完整的检索结果给用户.因此,如何构造检索结果可验证的保序加密方案变得十分重要.

References

[1]CHEN X F,MA J F,LI H,et al.C loud Computing Security)[M].Beijing:Science Press,2016.陈晓峰,马建峰,李晖,等.云计算安全[M].北京:科学出版社,2016.

[2]CHEN X F.Introduction to Secure Outsourcing Computation[M].In:Synthesis Lectures on Information Security,Privacy and Trust.M organ&Claypool,2016.[DOI:10.2200/S00701ED 1V 01Y 201602SPT 016]

[3]MELL P,GRANCE T.The NIST definition of cloud computing[S].Special Publication 800-145,National Institute of Standards and Technology,Gaithersburg,MD,USA.[DOI:10.6028/NIST.SP.800-145]

[4]HAN X.Research and Application of Privacy-p reserving Query on Multidimensional Data for Cloud Storage[D].Chengdu:University of Electronic Science and Technology of China,2016.韩校.云存储中多维数据查询隐私保护的研究与应用[D].成都:电子科技大学,2016.

[5]GOLDREICH O,OSTROVSKY R.Software protection and simulation on oblivious RAM s[J].Journal of the ACM(JACM),1996,43(3):431–473.[DOI:10.1145/233551.233553]

[6]OSTROVSKY R.Efficient computation on oblivious RAMs[C].In:Proceedings of the 22nd Annual ACM Symposium on Theory of Computing(STOC),Baltimore,MD,USA,1990:514–523.[DOI:10.1145/100216.100289]

[7]STEFANOV E,SHI E,SONG D.Towards practical oblivious RAM[C].In:Proceedings of the 19th Annual Network and Distributed System Security Symposium(NDSS),San Diego,CA,USA,2012.

[8]STEFANOV E,VAN DIJK M,SHI E,et al.Path ORAM:An extremely simple oblivious RAM protocol[C].In:Proceedings of the ACM SIGSAC Conference on Computer and Communications Security(CCS),ACM,2013:299–310.[DO I:10.1145/2508859.2516660]

[9]STEFANOV E,SHI E.Oblivistore:High performance oblivious cloud storage[C].In:Proceedings of the IEEE Symposium on Security and Privacy(SP),IEEE,2013:253–267.[DO I:10.1109/SP.2013.25]

[10]BRAKERSKI Z,VAIKUNTANATHAN V.Efficient fully homomorphic encryption from(standard)LWE[J].SIAM Journal on Com puting,2014,43(2):831–871.[DO I:10.1137/120868669]

[11]GENTRY C.A Fully Homomorphic Encryption Scheme[D].Stan ford,CA,USA:Stan ford University,2009.

[12]GENTRY C.Computing arbitrary functions of encrypted data[J].Communications of the ACM,2010,53(3):97–105.[DO I:10.1145/1666420.1666444]

[13]VANDIJK M,GENTRY C,HALEVI S,et al.Fully homomorphic encryption over the integers[C].In:Advances in Cryptology—EUROCRYPT 2010.Springer Berlin Heidelberg,2010:24–43.[DOI:10.1007/978-3-642-13190-5_2][14]AGRAWAL R,KIERNAN J,SRIKANT R,et al.Order preserving encryption for numeric data[C].In:Proceedings of the ACM SIGMOD International Conference on Management of Data.ACM,2004:563–574.[DO I:10.1145/1007568.1007632]

[15]BOLDYREVA A,CHENETTE N,LEE Y,et al.Order-preserving symmetric encryption[C].In:Advances in Cryptology—EUROCRYPT 2009.Springer Berlin Heidelberg,2009:224–241.[DO I:10.1007/978-3-642-01001-9_13]

[16]BONEH D,LEWI K,RAYKOVA M,et al.Semantically secure order-revealing encryption:Multi-input functional encryption Without obfuscation[C].In:Advances in Cryptology—EUROCRYPT 2015,Part II.Sp ringer Berlin Heidelberg,2015:563–594.[DO I:10.1007/978-3-662-46803-6_19]

[17]KERSCHBAUM F.Frequency-hiding order-preserving encryption[C].In:Proceedings of the 22nd ACM SIGSAC Conference on Computer and Communications Security.ACM,2015,656–667.[DO I:10.1145/2810103.2813629]

[18]POPA R A,LI F H,ZELDOVICH N.An ideal-security protocol for order-p reserving encoding[C].In:Proceedings of the IEEE Symposium on Security and Privacy(SP).IEEE,2013:463–477.[DO I:10.1109/SP.2013.38]

[19]SEUNGMIN L E E,TAE-JUN P,DONGHYEOK L E E,et al.Chaotic order p reserving encryption for efficient and secure queries on databases[J].IEICE Transactions on Information and Systems,2009,92(11):2207–2217.[DO I:10.1587/transinf.E92.D.2207]

[20]XIAO L,YEN I L.Security analysis for order p reserving encryption schemes[C].In:Proceedings of the 46th Annual Conference on Information Sciences and System s(CISS).IEEE,2012:1–6.[DO I:10.1109/CISS.2012.6310814]

[21]BOLDYREVA A,CHENETTE N,O’NEILL A.Order-preserving encryption revisited:Improved security analysis and alternative solutions[C].In:Advances in Cryptology—CRYPTO 2011.Sp ringer Berlin Heidelberg,2011:578–595.[DO I:10.1007/978-3-642-22792-9_33]

[22]KOLESNIKOV V,SHIKFA A.On the limits of privacy provided by order-preserving encryption[J].Bell Labs Technical Journal,2012,17(3):135–146.[DO I:10.1002/bltj.21564]

[23]XIAO L,YEN I L,HUYNH D T.A note for the ideal order-preserving encryption object and generalized order preserving encryption[J].IACR Cryptology ePrint Archive,2012:2012/350.

[24]DYER J,DYER M,XU J.Order-preserving encryption using approximate integer common divisors[C].In:Data Privacy Management,Cryptocurrencies and Block chain Technology—ESORICS 2017.Sp ringer Cham,2017:257–274.[DOI:10.1007/978-3-319-67816-0_15]

[25]KRENDELEV S F,YAKOVLEV M,USOLTSEVA M.Order-preserving encryption schemes based on arithmetic coding and matrices[C].In:Proceedings of the 2014 Federated Conference on Computer Science and In formation Systems.Warsaw,Poland,2014:891–899.[DOI:10.15439/2014F186]

[26]TERANISHI I,YUNG M,MALKIN T.Order-preserving encryption secure beyond one-wayness[C].In:Advances in Cryptology—ASIACRYPT 2014,Part II.Springer Berlin Heidelberg,2014:42–61.[DOI:10.1007/978-3-662-45608-8_ 3]

[27]YUM D H,KIM D S,KIM J S,et al.Order-preserving encryption for non-uniformly distributed plaintexts[C].In:Information Security Applications—WISA 2011.Springer Berlin Heidelberg,2011:84–97.[DOI:10.1007/978-3-642-27890-7_7]

[28]BONEH D,DICRESCENZO G,OSTROVSKY R,et al.Public key encryption With keyword search[C].In:Advances in Cryptology—EUROCRYPT 2004.Sp ringer Berlin Heidelberg,2004:506–522.[DOI:10.1007/978-3-540-24676-3_30]

[29]GOH E J.Secure indexes[J].IACR Cryptology ePrint Archive,2003:2003/216.

[30]GOLLE P,STADDON J,WATERS B.Secure conjunctive keyword search over encrypted data[C].In:Applied Cryptography and Network Security—ACNS 2004.Springer Berlin Heidelberg,2004:31–45.[DOI:10.1007/978-3-540-24852-13]

[31]HACIGÜMÜS H,IYER B,LI C,et al.Executing SQL over encrypted data in the database-service-provider model[C].In:Proceedings of the ACM SIGMOD International Conference on Management of Data.ACM,2002:216–227.[DO I:10.1145/564691.564717]

[32]SONG D X,WAGNER D,PERRIG A.Practical techniques for searches on encrypted data[C].In:Proceedings of the IEEE Symposium on Security and Privacy(SP).IEEE,2000:44–55.[DO I:10.1109/SECPR I.2000.848445]

[33]HORE B,M EHROTRA S,TSUDIK G.A privacy-preserving index for range queries[C].In:Proceedings of the 30th International Conference on Very Large Data Bases(VLDB).Toronto,Canada,2004:720–731.[DO I:10.1016/B 978-012088469-8.50064-4]

[34]CESELLI A,DAMIANI E,VIMERCATISD C D,et al.Modeling and assessing inference exposure in encrypted databases[J].ACM Transactions on Information and System Security(TISSEC),2005,8(1):119–152.[DOI:10.1145/1053283.1053289]

[35]DAMIANI E,V MERCATI S,JAJODIA S,et al.Balancing confidentiality and efficiency in untrusted relational DBMSs[C].In:Proceedings of the 10th ACM Conference on Computer and Communications Security(CCS).ACM,2003:93–102.[DO I:10.1145/948109.948124]

[36]LIU D,WANG S.Programmable order-preserving secure index for encrypted database query[C].In:Proceedings of the IEEE 5th International Conference on Cloud Computing. IEEE,2012:502–509. [DO I:10.1109/CLOUD.2012.65]

[37]LIU D,WANG S.Non linear order preserving index for encrypted database query in service cloud environments[J].Concurrency and Computation:Practice and Experience,2013,25(13):1967–1984.[DO I:10.1002/cpe.2992]

[38]ÖZSOYOGLU G,SINGER D A,CHUNG SS.Anti-tam per databases:Querying encrypted databases[C].In:Data and Applications Security XV II.IFIP International Federation for Information Processing,Vol.142.Springer Boston,2003:133–146.[DO I:10.1007/1-4020-8070-0_10]

[39]AGRAWAL D,EL ABBAD I A,EMEKCI F,et al.Database management as a service:Challenges and opportunities[C].In:Proceedings of the 25th International Conference on Data Engineering(ICDE).IEEE,2009:1709–1716.[DO I:10.1109/ICDE.2009.151]

[40]KADHEM H,AMAGASA T,K ITAGAWA H.MV-OPES:Multivalued-order preserving encryption scheme:A novel scheme for encrypting integer value to many different values[J].IEICE Transactions on Information and System s,2010,93(9):2520–2533.[DO I:10.1587/transinf.E93.D.2520]

[41]KADHEM H,AMAGASA T,KITAGAWA H.A secure and efficient order p reserving encryption scheme for relational databases[C].In:Proceedings of the 2010 International Conference on Know ledge Management and Information Sharing(KMIS).Valencia,Spain,2010:25–35.[DO I:10.1007/978-3-642-29764-9_23]

[42]ROCHE D S,APON D,CHOIS G,et al.POPE:Partial order preserving encoding[C].In:Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security(CCS).ACM,2016:1131–1142.[DO I:10.1145/2976749.2978345]

[43]XIAO L,YEN I L,HUYNH D T.Ex tending order p reserving encryption for multi-user system s[J].IACR Cryptology ePrint Archive,2012:2012/192.

[44]ANANTH P,GUPTA D,ISHA I Y,et al.Optimizing obfuscation:Avoiding Barrington’s theorem[C].In:Proceeding of the 2014 ACM SIGSAC Conference on Computer and Communications Security(CCS).ACM,2014:646–658.[DOI:10.1145/2660267.2660342]

[45]BARAK B,GARG S,KALA I Y T,et al.Protecting obfuscation against algebraic attacks[C].In:Advances in Cryptology—EUROCRYPT 2014.Springer Berlin Heidelberg,2014:221–238.[DOI:10.1007/978-3-642-55220-5_13]

[46]BRAKERSKI Z,ROTHBLUM G N.Virtual black-box obfuscation for all circuits via generic graded encoding[C].In:Theory of Cryptography—TCC 2014.Springer Berlin Heidelberg,2014:1–25.[DOI:10.1007/978-3-642-54242-8_ 1]

[47]GARG S,GENTRY C,HALEVI S,et al.Candidate indistinguishability obfuscation and functional encryption for all circuits[J].SIAM Journal on Computing,2016,45(3):882–929.[DOI:10.1137/14095772X]

[48]SAHAI A,ZHANDRY M.Obfuscating low-rank matrix branching programs[J].IACR Cryptology ePrint Archive,2014:2014/773.

[49]CHENETTE N,LEWI K,WEISS A,et al.Practical order-revealing encryption With limited leakage[C].In:Fast Software Encryption—FSE 016.Sp ringer Berlin Heidelberg,2016:474–493.[DOI:10.1007/978-3-662-52993-5_24]

[50]CASH D,LIU F H,O’NEILL A,et al.Reducing the leakage in practical order-revealing encryption[J].IACR Cryptology ePrint Archive,2016:2016/661.

[51]FURUKAWA J.Request-based comparable encryption[C].In:Computer Security—ESORICS 2013.Sp ringer Berlin Heidelberg,2013:129–146.[DO I:10.1007/978-3-642-40203-6_8]

[52]LEW I K,WU D J.Order-revealing encryption:New constructions,applications,and lower bounds[C].In:Proceedings of the ACM SIGSAC Conference on Computer and Communications Security(SIGSAC).ACM,2016:1167–1178.[DO I:10.1145/2976749.2978376]