1 引言

随着数据库技术的发展和数据量的激增,如何在大规模数据中找到需要的数据成为了一个急需解决的问题,在这样的背景下为了解决多目标决策问题人们提出了Skyline计算.从上世纪70年代开始Skyline计算和查询处理的问题就开始出现[1].随后国内外对Sky line查询问题的研究越来越多.当前,Skyline计算问题已经成为了热门的研究方向.

在云计算技术迅猛发展,云计算[2]业务迅速普及的今天,数据库越来越多的被迁移到云计算服务器上,相应的Skyline查询处理也随之迁移到云端,使人们在更低成本下解决大规模数据的计算问题.然而,尽管云计算给Skyline查询带来了新的机遇,但同时又对该问题提出了一系列新的挑战,首当其冲的便是数据的安全性[3,4].在上述背景下,Sky line计算的敏感数据的安全性受到的威胁.在第三方云服务器上进行计算,很有可能会产生数据泄露,进而威胁用户和企业的数据安全.如何在云计算服务器上进行安全的Skyline计算越来越受到了重视和关注.

2 相关工作

2.1 传统的 Skyline安全查询方案

Skyline计算已经有了广泛的研究,文献[5]提出了最坏时间复杂度是O(n log k)的Skyline计算算法,n为集合总数,k为Skyline点的集合个数,其中k远远小于 n.近期就有文献 [6]研究了分布式Skyline计算,文献[7]研究了大量、不完整数据的Skyline计算,文献[8]研究了K 维空间中的Skyline计算.通过前人的研究,Sky line计算的效率已经有了很大的提高.但是在Skyline安全计算方面的研究却很少.Skyline安全计算一般需要对要计算的数据进行加密等操作,同时使用一些算法,在云计算服务器不能够获取数据明文信息的情况下计算出想要的结果,文献[9]给出了一种可以在密文上进行数值运算的同态加密算法,但是同态加密有运算类型和计算效率的限制,全同态加密[10]的研究还处于研究阶段.文献[11]提出了在不可信的服务器上搜索加密数据的方案.最近,文献[12]给出了一种安全的Sky line计算的解决方案,它使用了Paillier同态加密算法,实现了在密文上进行Skyline计算中需要的数值运算,使用两台云服务器进行协同,实现了Skyline计算中的比较运算,由此实现了在云服务器不能获取任何明文信息的条件下,快速的得到Skyline查询计算的结果.

随着微时代的到来，微技术的飞速发展引领着高等教育的教学改革，微课即是这一形势下的产物。“微课程”最早由美国圣胡安学院高级教学设计师David Penrose教授提出，他把微课程称为Knowledge Burst，产生一种更加聚焦的学习体验[1]，“微课”主要由微视频组成，它来记录老师在课堂内外的整个教学的过程，其中包括教学设计、课件、教学反思、练习测验、反馈及答疑及一些辅助性的教学资源。微课教学时间短、主题突出、内容明确，微课的时长一般10分钟之内，每个微课都能解决一个问题；微视频资源容量小、查找和下载方便；微课形式多样化、反馈及时，这是微课的3个特点。

但是他的方案存在缺陷,该方案假定两台云服务器不能共谋,这本身就是有安全隐患的,同时该方案使用两台云服务器无疑会增加使用成本和在网络交互中的时间消耗.本文针对这一问题,提出了新的保护数据的方案,该方案只需使用一台云服务器和一台可信任的辅助计算的服务器就可以实现Skyline安全计算,其中辅助计算服务器只需少量计算,云服务器完成大部分计算.

2.2 面向位置信息的 Sk y line安全查询方案

本文主要针对面向位置信息的安全Sky line计算,即Skyline计算中的数据点是包含坐标的数据信息,比如宾馆、医院、仓库、机房等,这些地点信息数据的泄露会带来很大的安全隐患,同时用户检索相应的位置也会暴露用户的隐私,进而可以预测用户的行为[13].比如用户查询了距离他最近同时在某些疾病诊治方面更好的医院,这一信息被非法获取,他人就可以推断出用户可能患有某些疾病,进而威胁到用户的隐私.所以要在云服务器上对这些数据进行Skyline计算,如何防止数据泄露是必须要考虑的问题.

面向位置信息的安全Skyline计算有两大难点,一是在用户发起查询请求时,如何安全的进行用户位置与数据点位置的欧式距离计算.二是如何安全的对计算后的结果进行大小比较.解决了上述两个问题就基本上实现了安全的Skyline计算,因此本文提出的面向位置信息的安全Sky line计算方案主要针对以上两个问题,本文使用R∗树来保密坐标信息,同时使用保序加密方案对其他信息加密.结合上述两种方法,本方案可以安全、高效、正确的返回用户需要的Sky line查询结果,同时又保证用户位置信息[14]和原始数据信息不被第三方服务器获取.

3 预备知识

3.1 Skyline计算概述及计算方法

Sky line计算是指在数据点集合中找到不被其他数据点支配的点的集合.

定义1 给定d维空间上的任意两点X,Y,其中X,Y 的坐标分别为(x1,···,x d)和(y1,···,y d).X支配Y(或Y被X 支配)当且仅当∀1 6 i 6 d,x i都优于或等于y i.

例如,某个学者准备参加一个学术会议,需要预定离会场较近且价格便宜的酒店.在这个场景下,每个酒店h j都可用二维空间上的点(l j,p j)表示,其中l j,p j分别代表了酒店离会场的距离和价格,如图1考虑p,q两个酒店,显然,q点支配p点,因为q在每一维度上的值都比p在同一维度上的值更好.

定义2给定d维空间上的点集 S,Skyline查询返回 S的一个子集S′,∀p∈S′,q∈S,p不被 q支配,且满足 ∀q′∈ SS′,∃p′使得 q′被 p′支配.

如图1中连线上的点都不能被其他点支配的点,但是p点可以被q点支配,因为q点在距离上比p点小的同时在价格上比p点低,所以q点就属于Skyline计算的结果集合S′.Skyline计算就是找出图中连线上这些不被其他数据点支配的集合.

  

图1 Skyline计算结果Figure 1 Sky line computing results

首先,我们先来证明数据加密阶段的安全性,我们构造一个模拟器S CP能够模拟一个视图与CP的真实视图V CP是不可区分的,S CP执行如下操作:

Sky line计算一般需要两个步骤.一是进行一定的运算,如上述情况中的计算距离.二是进行在每个维度上的好坏比较.关于Sky line计算的研究多是在提高计算效率上,如何避免点与点之间不必要的比较是提高计算效率的有效方法.但在Skyline计算安全的问题上,如何安全的进行运算和比较却是需要关心的问题,这也是本文关注的重点.

3.2 R∗树结构

R树[15]是B树在多维空间中的一种发展形式,它是对空间的一种划分,使空间中的数据便于索引,而R∗树[16]是R树的一种改进,使其划分效率更高.R∗树有两种结点:叶子结点和非叶子结点,每一个结点包含多个索引项,其中叶子结点是包含多个数据对象的最小外接矩形,而非叶子结点是包含多个最小外接矩形的最小矩形区域.如图2所示,C是该区域多个数据对象的最小外接矩形,即C中包含多个数据点集合.而A是由C,D,E,F这些最小外接矩形构成的最小外接区域,区域中数据点数量可以按需要调整,这样一层层嵌套最后构成的就是R∗树.

在R∗树中查询一个数据点非常简单,只需判断它所在的矩形,然后判断查询点在矩形的下一层结点中的哪一个矩形里,以此类推就可以在叶子结点中查询到该数据点.本文使用R∗树将位置数据点通过矩形区域进行划分,以达到隐藏数据点具体位置的目的.

  

图2 R∗树结构Figure 2 R∗-tree structure

3.3 保序加密算法

保序加密是对数据加密后不改变数据原本的大小关系的加密方案.Agrawal等人于2004年提出了一种基于数值数据的保序加密方案[17],它允许在密文数据上进行大小的比较而不需要解密成明文,这种方案为数据安全提供了有力的工具.正如我们所知,在Skyline计算中大部分是比较操作,保序加密[18,19]为我们提供了在密文上进行比较的解决方法.

定义3存在E sk和D sk两个函数,其中sk是密钥,满足下面的条件:

(1)对任意X,设Y=E sk(X),在sk未知时,不能通过Y推出X,也不能通过X 推出Y;

(2)对任意 X,有D sk(E sk(X))=X;

(3)对任意X、Y,当X>Y 时,有E sk(X)>E sk(Y).则E sk是保序加密函数,D sk是保序解密函数.

3.4 K-匿名

K-匿名是为了解决链接攻击所导致的隐私泄露问题而提出的概念,它主要通过概括和隐匿的技术,发布精确度较低的数据,使得每一条记录至少与数据表中其他K−1条记录具有完全相同的准标识符属性值,进而减少隐私泄露.

卡尔·奥韦·克瑙斯高：在你有所准备或只把音乐当背景时，便能轻松抵抗音乐的影响，因为它是单纯的、不苛求的、伤感的；但是在没有准备的情况下，就像现在，或是认真去听，它会直抵内心……那正是我想写作的原因，也是唯一的原因，我想去触动音乐触动的东西。人声里的哀恸和悲伤、喜悦和欢乐，我想去唤起世界赠予我们的一切。

Sweeney等人第一次提出了K-匿名模型[20],该模型要求发布数据中的每个元组至少有K−1个与其相同的元组.K-匿名模型有效地解决标志泄露问题,但是却有敏感属性泄露的问题,之后文献[21]提出p-sensitive K-匿名模型,该模型要求在满足K-匿名的同时,在每个等价类中敏感属性至少有p个不同的值,以达到对敏感属性的保护作用.

本文使用K-匿名的方法隐藏用户的位置信息,通过向第三方服务器发送k个用户位置,其中K−1个位置为随机产生的合法位置.通过上述的方法使第三方服务器无法判断真实的用户位置信息,以达到对用户位置信息进行保护的目的.

3.5 系统模型

定义4给定 d维空间上的点集 S,该空间中前 k维为位置属性,k维空间上的查询点 ϕ,距离函数 dis:R k→ R,针对查询点 ϕ的 Sky line查询返回 S的一个子集 S′,满足 1）∀p∈S′,q∈S,都有∀k+1:i 6 d,p i都优于或等于 q i且 dis(p,ϕ)′∈ SS′,∃p′使得 ∀k+1:i:d,p′i都优于q′i且dis(p′,ϕ)′,ϕ).

(4)课堂小组演示。首先学生分组讨论，如在实现两台路由器的桥接实验时，小组通过前期的学习，课堂实验成功完成了路由器的桥接。每组代表讲述小组对此问题的看法，完成实验过程中遇到的问题、解决思路、如何撰写实验报告。通过小组演示，其他小组可以对照自己的实验过程，扬长避短。然后分组打分，教师总结评价。最后全班讨论答案总结经验，并给出下一节课程需要解决的问题。

  

图3 方案结构Figure 3 Scheme structure

3.5.1 数据提供端

数据提供端的作用是预先按照既定的方案对位置信息数据进行处理,并将处理过的数据上传到云服务器端.同时,在用户提交请求时使用 K-匿名方式处理用户的请求数据,防止用户请求数据信息的泄露,在云服务器返回计算结果后再对结果进行再次处理,保证返回给用户数据的正确性.

3.5.2 云服务器端

云服务器端的作用是提供快速正确的Sky line计算,向数据提供端返回计算的结果集合.同时由于云服务器端是半可信的,所以要确保云服务器端不能获取任何明文数据信息.

发现用户的真正需求是小型专项农具人性化设计的基础。科学的调研是把握用户需求的最佳方法。根据调研对象的特点，必须考虑调研方法选择的针对性。考虑到农民的表述能力、方言特点、通信状况等实际条件，访谈调研可靠性更强，所获得信息更具参考价值。根据我国幅员辽阔，相同专项农业劳动的环境差异较大和要求不同的特点，对于调研对象的抽样也要追求全面性和代表性，要让调研数据充分体现不同环境下作业的具体需求。

3.5.3 用户端

用户端为Skyline计算请求的发起者,用户提交请求,服务器进行对应的Sky line计算,返回用户需要的结果.

3.6 安全模型

在本方案框架中,根据实际情况和应用场景,我们假设数据提供端是可信的,云服务器端是半可信的.在进行Skyline查询计算时,云服务器端作为主动攻击者,期望获取用于查询的原始数据集合和用户位置信息,因此这些数据作为数据提供端和用户的私有数据需要被保护.同时,在整个方案的执行过程中,云服务器端会按照协议完全正确的执行需要的计算.数据提供端是可信的,它会正确的按照协议执行需要的计算.另外,在方案执行的过程中来自系统外部的监听者也会通过监听通信信道的方式来获取数据,所以在进行通信时要保证传输的内容不能包含敏感数据的明文(如图4).

  

图4 攻击模型Figure 4 Attack model

4 面向位置信息的Sky line安全查询方案

4.1 面向位置信息的 Sky line安全查询问题

在3.1节描述的酒店Skyline的例子中,我们使用了距离和价格两个维度的数据进行Sky line的计算.然而,在现实的基于位置服务的应用中,其数据库中仅有设施的位置,即经纬度坐标.而距离信息往往是需要根据查询请求实时计算的.因此,在实际应用中,更多的需要解决面向位置信息的Sky line安全查询.

本方案由用户端、数据提供端和云服务器端三部分构成.用户端发送Skyline查询请求数据,数据提供端为云服务器端提供原始数据集合,并且在方案的执行中提供辅助计算的功能.在本方案中,我们假定用户端和数据提供端是可信的,云服务器端是半可信的.本方案实现了在云服务器端不能够获取任何数据明文信息的前提下,高效、正确地计算出用户端请求数据的Skyline查询结果集合(如图3).

4.2 方案框架

本方案主要包括下述核心算法.

• Setup(1k):给定安全参数1k,密钥生成算法运行在数据提供端,使用安全参数生成用于保序加密的密钥SK和用于在用户端和数据提供端之间传输信息的对称加密密钥PK,然后数据提供端将PK发送给用户端.

• Enc(SK,maxNum,DB):数据提供端利用保序加密密钥加密除坐标信息之外的数据,然后利用R∗树将位置信息包含在多个矩形区域中,并用所在的矩形区域替代坐标信息,其中一个矩形区域中包含的最大数据点数量为maxNum,然后将处理后的数据发送给云服务器.

• Query(location,K):输入使用PK加密后的位置信息,数据提供端使用PK解密用户位置信息,按照协议使用 K-匿名,发送给云服务器端K 个位置信息,云服务器端计算返回Skyline查询初步筛选结果.

• Refine(QR):输入初步筛选结果,数据提供端对QR进行再次处理,计算正确的Skyline查询结果,并使用PK加密,发送给用户,用户收到后使用PK解密.

4.3 方案流程

4.3.1 原始数据格式

为表示方便,我们假设当前数据集合是一个城市的酒店数据,但是本方案普遍适用于所有的位置信息数据.我们假设现有的原始数据集合由酒店的名称、经纬度、价格、星级等信息构成,同样也适用于更多维度的计算,数据结构如下:

 

4.3.2 密钥生成阶段

数据提供端根据设定的密钥参数[22],生成对应的保序加密密钥SK和用于在用户端和数据提供端之间传输信息的对称加密[23]密钥PK,数据提供端将PK发送给用户端,并保证密钥不能被第三方得到.

4.3.3 数据加密阶段

对价格、星级等这些只需要在Skyline计算中进行比较操作运算的数据,我们使用保序加密算法对这些数据进行加密,同时给每一个酒店赋予一个ID代替对应的名称,防止有重名的情况发生.现在的数据结构如下(OPE(m)表示对m进行保序加密):

通过压力曲线（见表4）可以看出，前面挤注时，立压与套压压差较大，通过间歇挤注承压，压差逐渐变小，地层承压能力逐渐提升，最后承压到立压2.5MPa，套压2.5MPa，稳压1.5h不降,折合垂深2070m当量密度达 1.92g·cm-3，在全井密度 1.52g·cm-3的基础上提高了当量密度0.4g·cm-3。

 

(2)按照方案输入输出 Result.

  

图5 使用R∗树隐藏位置信息Figure 5 Use R∗-tree to hide location information

 

通过这样的方式,我们可以隐藏数据点的位置,即数据提供端可以通过原始数据轻易构建这样的矩形区域,但是云服务器端却不能通过矩形区域得知数据点的具体位置,我们在计算距离时也可以在明文上直接计算比较,同时不会暴露酒店具体的位置.数据提供端将数据做上述处理,发送给云服务器端,同时保留原始数据.

上述数据变化格式如图6所示.

榆盘的水土特别适合洋芋的生长，榆盘的洋芋自然在武山乃至陇原大地声名显赫。每年洋芋销售旺季，武山川道地区各个村庄经常有各地的贩子冒充榆盘人销售榆盘洋芋。作为榆盘人，我有义务为已经注册的本土特产维护声誉。

  

图6 数据结构变化Figure 6 Changes of data structure

4.3.4 用户请求阶段

用户端发起Skyline查询请求,用户使用PK加密自己的位置,发送给数据提供端,数据提供商端使用PK解密用户位置信息,使用 K-匿名的方式随机模拟用户所在地区的 K个位置(包含用户的真实位置),使用ID标识,发送给云服务器端(如图7).

  

图7 用户请求流程Figure 7 User initiated request

此时,云服务器端储存的数据格式为:

 

现在要进行Skyline查询计算,我们需要计算用户与酒店的距离,并在距离、价格、星级等多个维度上进行Skyline计算,得到结果集合.首先我们需要进行距离的计算,由于酒店的位置信息由矩形区域代替,所以我们要计算的是用户位置与矩形区域的距离.

  

图8 计算距离Figure 8 Distance calculation

如图8所示,我们要计算用户位置P与一个矩形区域中的酒店的距离,先要计算P与矩形4个点的距离,取计算后4个距离的最大值和最小值(在计算最小值时需注意如果可以过用户位置P与矩形4条中任意2条平行边界做垂线,则以最短的垂线距离作为最短距离),组成如下的数据结构:

 

我们需要注意的是图8中矩形区域中的酒店位置与用户位置P的距离一定比数据结构中distanceMin值大,一定比distanceMax值小,这为我们在矩形区域上进行Skyline计算提供了可行性.

现在服务器端在新的数据结构上进行Skyline计算,保序加密的数据直接使用Skyline计算的方法进行大小比较.在距离数据比较方面,假设要比较酒店A和酒店B,当酒店A的距离最大值比酒店B的距离最小值小时,酒店A在距离维度上一定优于酒店B,反之酒店A的距离最小值比酒店B的距离最大值大时,酒店A在距离维度上一定劣于酒店B,不属于以上两种情况则无法比较.具体的Skyline计算算法如下:

  

__算法1服务器端Skyline计算_______________________________________________________________方案In p u t:param eters build ings计算距离后的数据集合,n数组大小O u tp u t:resu lt计算结果集合1 resu lt=nu ll;2 fo r i=0 to n−1 d o 3 building=buildings[i];4 l=len(resu lt);5 fl ag=true;6 fo r j=0 to l−1 d o 7 buildingRet=resu lt[j];8 on ly if;9 if build ing.distanceM ax<buildingRet.d istanceM in and building.op tp rice<=build ingRet.op tp rice then 10 resu lt.rem ove(build ingRet);11 en d 12 on ly if;13 if build ing.distanceM in>build ingRet.distanceM ax and building.op tp rice>=build ingRet.op tp rice then 14 flag=flase;15 en d 16 en d 17 on ly if;18 if flag==true th en 19 resu lt[l]=building;20 en d 21 en d__22_ retu rn resu lt;

在算法1中,输入计算距离后的数据集合buildings,返回初步筛选的Sky line可能结果点.首先将结果集合 result设为空,遍历 buildings,将集合中的元素按顺序取出设为 building(1–3行),将标识设为True(5行).遍历结果集合,判断building是否能将result中的数据排除,如果可以就将该元素从result中去除.然后判断result中的数据是否能将building排除,如果可以就将标识设为False(6–16行).然后判断标识是否为True,如果是就将building加入结果集合(18–20行),继续遍历,遍历结束后,返回初步筛选的结果集合result.综上所述,算法1在最坏情况下时间复杂度为O(n2),n为集合元素的个数.需要注意的是,当前Sky line算法可以做到最坏时间复杂度是O(n log k),但是本文研究的不是Skyline算法的效率,本方案中使用的Skyline算法可以自由选择.

本方案在云服务器端进行Skyline计算,其中一定会包含部分数据点无法比较的情况,所以得到的Sky line计算结果集合数量一定多于正确结果集合数量,需要进行进一步处理.但是本方案可以保证计算结果集合一定包含所有Skyline结果点.服务器端将Sky line查询计算初步筛选集合返回给数据提供端.

4.3.5 数据提供端再处理阶段

数据提供端接收到云服务端返回的初步筛选集合后,通过ID判断是否是真实用户数据信息计算的结果集合.然后通过集合中酒店的ID信息,在储存的原始数据中查询到所有对应的数据再对这些数据在明文上进行Sky line计算.由于返回的初步筛选集合一般远远小于原始数据集合,所以数据提供端完全有能力快速正确的计算出Skyline结果集合.然后数据提供端将再处理后的数据用PK加密后返回给用户,用户收到后使用PK解密,得到正确的结果.

5 方案安全性分析

5.1 云服务端的安全性分析

为测试本方案的正确性和效率,我们使用本方案和在明文上使用相同的处理方法进行相同的计算,使用同样的测试数据和测试环境,进行多组测试,结果如下图所示.

定理 1在半可信模型下,本方案中数据加密阶段和用户查询阶段是安全的.

证明: 在3.6节的安全模型中,在计算过程中,云服务端(用CP表示)作为攻击者期望获取原始的数据信息和用户的位置信息.所以在证明数据加密阶段和用户查询阶段的安全性时,只需证明云服务端在这两个阶段无法获取到上述的信息即可.

Sky line计算一般应用在多目标决策问题上.一个Skyline计算经典的例子是,一个人到了一个新的城市,他想在所有旅馆中找到一个距离海滩近同时价格便宜的旅馆,但是往往无法找到同时满足上述两个条件的旅馆,这个时候Skyline计算就可以派上用处.通过Skyline计算得到的结果集合排除了用户一定不需要的旅馆,即价格高同时距离远的旅馆.由于计算后的结果集合一般远远小于原始集合,所以用户可以在计算后的集合中简单的选择出自己想要的结果.

CEN/TC 287非常重视标准及其更新工作，在等同采用ISO/TC 211地理信息标准的同时，及时更新相关的ISO地理信息系列标准。CEN/TC 287还根据德国、英国等发达国家标准组织制定的相关地理信息标准及其采用情况，发布了几项新地理信息标准，并适时将这些国家标准升级为欧洲标准，供其他国家采用。

(1)按照数据结构生成一个与原始数据D格式相同的集合

(2)按照方案输入输出 Result.

加强人才资源融合。充分吸引和利用社会优秀人才资源，拓宽招才引智渠道，健全预备役军官动员征召机制，遴选高层次人才，并将其纳入军用人才库;依托地方信息产业企业、通联保障行业对口储备国防后备专业技术人才，组建网络安全、电子对抗、雷达通信等专业分队，实现军地信息化人才通用；不断完善退役安置政策，积极向地方输送优秀人才。

(3)定义等式H 0=V CP(D)和H 1=Result,其中H 0表示输入为D时CP的视图,H 1表示输入

为的视图.由于R∗树结构将坐标信息隐藏在多个矩形区域中,这个过程是不可逆的,即在不获取其他信息的前提下无法在矩形区域中找到原始的坐标信息,同时由本方案所使用的保序加密方案的安全性可得出攻击者不能在概率多项式时间内解密数据.因此,CP无法区分H 0和H 1,

即综上所述,

综上所述，酚咖片联合甲硝唑治疗口腔正畸牙痛患者可降低血清OPG水平，促进分泌5-HT，减轻牙痛程度，临床效果显著。

同理,我们证明用户查询阶段的安全性,我们构造一个模拟器S CP能够模拟一个视图与CP的真实视图V CP是不可区分的,S CP执行如下操作:

弥散度室内测定值不宜用于大尺度污染物弥散迁移数值模拟[7]，因此纵向弥散度的确定参考前人研究成果[8,9]。依据Zech等(2015)研究得到的弥散度与尺度关系图(图2)[10]，再结合本次研究区面积为5.06 km2，北东南西向长度约为2～3 km的实际情况，此次弥散度取值5 m。

(1)按照数据结构生成一个用户信息

然后我们需要处理的是酒店的坐标信息,因为这些数据在用户请求时需要计算酒店与用户位置的距离信息,然后再在距离上进行比较操作,所以不能简单的使用保序加密.上文中提到的Paillier同态加密算法虽然可以实现在密文上进行加法和乘法的运算,但是计算后的结果却不能在密文上进行大小比较.为解决上述的问题,本方案引入了R∗树结构来对位置数据进行处理,以达到对位置信息保密并且可以比较计算的目的.正如我们所知R∗树的叶子结点是包含多个数据点的最小外接矩形,如图5所示,通过R∗树我们可以用多个小矩形区域(图中实线的小矩形)包含所有的酒店,图中使用星型表示酒店位置,我们只画出一个矩形区域中的酒店,其实每一个实线矩形区域中都包含若干个酒店.现在我们就可以使用矩形区域代替酒店位置,一个矩形中的酒店位置信息使用所在的矩形区域的坐标表示,数据结构如下:

(3)定义等式H 0=V CP(L)和H 1=Result,其中H 0表示输入为L时CP的视图,H 1表示输入为的视图.由于 K-匿名处理后数据的不可区分性,即在不获取其他信息的前提下CP无法判断当前的用户位置信息是否是真正的位置信息.因此,CP无法区分H 0和H 1,即综上所述,

所以我们可以得出本方案在数据加密阶段和用户查询阶段是安全的.

5.2 网络信道数据传输的安全性分析

用户端与数据提供端的数据交互包括加密后的用户信息,加密后的查询结果.由于使用的加密算法可以保证攻击者不能在概率多项式时间内解密,所以可以保证用户端与数据提供端数据网络交互的安全性.

数据提供端与云服务器端的数据交互包括 R∗树处理和保序加密后的数据集合,K-匿名处理后的用户位置信息和初步筛选结果,这几种数据在上面已经证明在不获取其他知识时,是无法获取到原始明文信息的,所以可以保证数据提供端与云服务端数据交互的安全性.

综上所述,本方案在网络信道数据传输上是安全的.

6 性能评估

为验证本方案的高效性和正确性,我们使用Java语言实现了本方案,并使用真实位置数据进行测试.本文数据集是北京市、上海市、西安市三个城市每个城市分别6000个酒店的经纬度和价格数据,用户发起请求的位置数据在每个城市的市区范围内随机选取.实验环境为Windows 10,i5 CPU,8 GB内存.假定数据提供端每收到一个用户请求,就向云服务器端发送10个用户请求,以达到隐藏用户位置的目的.我们对每一个城市的数据集进行相同的计算,求平均值得到下面的结果.

6.1 计算正确性与效率评估

本文采用安全仿真模型[24]来证明本文方案的安全性.

在底物质量浓度2 mg/mL，酶添加量1×105U/mg，酶解温度50℃，pH值12的条件下，选择不同的酶解时间。

选最大耐受剂量法，SPF级KM小鼠20只，雌雄各半，设8.0 g/kg·BW一个剂量组，以蒸馏水进行配制，搅拌混匀后浓度受试液为13.3%。灌胃给药(灌胃容量为20 mL/kg·BW)，灌胃3次，间隔4 h。求雌雄小鼠急性经口最大耐受剂量（MTD）。

公司采用股份有限责任制，并根据公司发展特点，初期采取直线制管理。后期根据公司发展状况进行调整。公司所有权与经营权分离，实行总经理负责制。

通过图9我们可以看到,本方案由于事先使用R∗树结构将位置信息划分,在计算距离上减少了很多时间,即一个矩形区域中的位置只需计算一次距离,同时减小了Skyline计算的比较次数,大大加快了计算的效率,所以即便需要多计算K−1个位置信息和进行保序加密,方案整体消耗时间也仅为在明文上执行相同操作的3倍左右.通过图10我们可以看到云服务器端返回的Skyline可能结果集合数量在20–70个位置点之间,而原先的位置数量为6000个,即经过云服务器端的计算为我们排除了99%左右的数据,同时通过图11可以看到正确的结果占初步筛选结果的10%–60%,数据提供端可以轻易快速地将初步筛选的数据再次做一次Skyline计算,返回给用户正确的结果.通过图12我们可以看到,增加K-匿名方案中向服务器端发送的模拟用户的数量K会增加运行的时间,K的个数和运行时间呈正比例关系.通过比较本方案结果和明文计算结果,本方案计算结果的正确率是100%.

  

图9 计算时间比较Figure 9 Computation time comparison

  

图10 返回结果数量比较Figure 10 Number of sets comparison

  

图11 真正结果集合数量/可能结果集合数量Figure 11 True results/Possible results

  

图12 K-匿名中K 的个数对性能的影响Figure 12 Effect of K of K-anonymity on performance

6.2 矩形区域中坐标数量评估

我们在构建矩形区域数据,使用矩形区域隐藏坐标位置时,矩形区域中坐标点的最大数量的选择可能会对方案结果产生影响,为了评估最大数量的变化对我们方案的计算效率和正确性的影响,我们在相同测试数据和测试环境上,通过改变矩形区域中的最大数量来测试其对计算时间和正确性的影响,结果如图13所示.

  

图13 对计算时间的影响Figure 13 Impact of computation time

  

图14 对云服务端返回的集合数量的影响Figure 14 Impact of number of sets returned by cloud service

通过图13可以看出矩形区域中元素个数的变化不会对计算时间产生明显影响.但是通过图14可以看出当矩形区域元素数量的最大值大于11个时,云服务器端返回的可能集合数量会产生波动,返回过多的初步筛选集合会明显增大数据提供端辅助计算的压力,所以矩形区域元素数量的最大值不应该大于11.同时通过比较现在的结果和明文计算结果,本方案计算结果的正确率依然是100%.

7 结论

Skyline计算通常使用在多目标优化问题上,其中对于位置信息的计算是很常见的,对于用户位置数据和原始数据位置信息的泄露严重威胁着用户的隐私安全和数据提供商的数据安全.尤其是在第三方云服务器上进行相应的计算,信息泄露更有可能发生,数据泄露发生后的后果可能更严重.本文针对位置信息的Skyline安全计算,通过用户端、数据提供端和云服务器端的协同,实现了在第三方平台安全、高效的Skyline查询计算,同时对方案的安全性进行了分析.最后,我们编码实现了本方案,并在真实数据上进行了测试,可以看出与在明文上相同的Sky line计算相比,本方案不仅能保证用户数据和目标数据的安全,还能高效的计算出正确的结果.

References

[1]KUNG H T,LUCCIO F,PREPARATA F P.On finding the maxima of a set of vectors[J].Journal of the ACM,1975,22(4):469–476.[DO I:10.1145/321906.321910]

[2]CHEN X F.C loud Computing Security[M].Beijing:Science Press,2016.

陈晓峰.云计算安全[M].北京:科学出版社,2016.

[3]XU L,XU C G,WEI X L.Secure and efficient data retrieval scheme using searchable encryption in cloud[J].Journal of Cryptologic Research,2016,3(4):330–339.[DO I:10.13868/j.cnki.jcr.000132]

徐磊,许春根,蔚晓玲.云存储上高效安全的数据检索方案 [J].密码学报,2016,3(4):330–339.[DO I:10.13868/j.cnki.jcr.000132]

[4]JIANG L Z,XU C X,WANG X F,et al.Application of(fully)homomorphic encryption for encrypted computing models[J].Journal of Cryptologic Research,2017,4(6):596–610.[DO I:10.13868/j.cnki.jcr.000210]

蒋林智,许春香,王晓芳,等.(全)同态加密在基于密文计算模型中的应用 [J].密码学报,2017,4(6):596–610.[DO I:10.13868/j.cnki.jcr.000210]

[5]LIU J,X IONG L,Xu X.Faster output-sensitive sky line computation algorithm[J].Information Processing Letters,2014,114(12):710–713.[DO I:10.1016/j.ip l.2014.06.014]

[6]ZHANG H,ZHANG Q.Communication-efficient distributed sky line computation[C].In:Proceedings of the 2017 ACM on Conference on Information and Know ledge Management.Singapore,2017:437–446.[DO I:10.1145/3132847.3132927]

[7]WANG Y,SHI Z,WANG J,et al.Sky line preference query based on massive and incomplete dataset[J].IEEE Access,2017,5(99):3183–3192.[DOI:10.1109/access.2016.2639558]

[8]SON W,STEHN F,KNAUER C,et al.Top-k Manhattan spatial sky line queries[J].Information Processing Letters,2017,123(1):27–35.[DOI:10.1016/j.ip l.2017.03.003]

[9]PAILLIER P.Public-key cryptosystems based on composite degree residuosity classes[C].In:Advances in Cryptology—EUROCRYPT 1999.Sp ringer Berlin Heidelberg,1999:223–238.[DO I:10.1007/3-540-48910-x_16]

[10]XIONG W J,WEI Y Z,WANG H Y.An improved fully homomorphic encryption scheme over the integers[J].Journal of Cryptologic Research,2016,3(1):67–78.[DO I:10.13868/j.cnki.jcr.000110]

熊婉君,韦永壮,王会勇.一个基于整数的全同态加密改进方案 [J].密码学报,2016,3(1):67–78.[DO I:10.13868/j.cnki.jcr.000110]

[11]SONG D X,WAGNER D,PERRIG A.Practical techniques for searches on encrypted data[C].In:Proceedings of IEEE Symposium on Security and Privacy(SP).IEEE,2000:44–55.[DO I:10.1109/secpri.2000.848445]

[12]LIU J,YANG J,XIONG L,et al.Secure sky line queries on cloud platform[C].In:Proceedings of IEEE International Conference on Data Engineering.IEEE,2017:633–644.[DOI:10.1109/icde.2017.117]

[13]XU B W,ZHANG W F.Applying data mining to web pre-fetching[J].Chinese Journal of Computers,2001,24(4):430–436.[DOI:10.3321/j.issn:0254-4164.2001.04.015]

徐宝文,张卫丰.数据挖掘技术在 Web预取中的应用研究 [J].计算机学报,2001,24(4):430–436.[DOI:10.3321/j.issn:0254-4164.2001.04.015]

[14]WEI Q,LU Y S.Overview of location privacy protection[J].Computer Science,2008,35(9):21–25.[DOI:10.3969/j.issn.1002-137X.2008.09.006]

魏琼,卢炎生.位置隐私保护技术研究进展 [J].计算机科学,2008,35(9):21–25.[DOI:10.3969/j.issn.1002-137X.2008.09.006]

[15]GUTTMAN A.R-trees:A dynamic index structure for spatial searching[C].In:Proceedings of ACM SIGMOD International Conference on Management of Data.ACM,1984:47–57.[DOI:10.1145/971697.602266]

[16]BECKMANN N,KRIEGEL H P,SCHNEIDER R,et al.The R*-tree:An efficient and robust access method for points and rectangles[J].ACM Sigmod Record,1990,19(2):322–331.[DOI:10.1145/93597.98741]

[17]AGRAWAL R,K IERNAN J,SRIKANT R,et al.Order preserving encryption for numeric data[C].In:Proceedings of ACM SIGMOD International Conference on Management of Data.ACM,2004:563–574.[DOI:10.1145/1007568.1007632]

[18]LI Y X,LIU G H.Order preserving encryption method for character data in relational databases[J].Radio Engineering of China,2006,36(4):1–3.[DOI:10.3969/j.issn.1003-3106.2006.04.001]

李亚秀,刘国华.关系数据库中字符数据的保序加密方法[J].无线电工程,2006,36(4):1–3.[DOI:10.3969/j.issn.1003-3106.2006.04.001]

[19]MAVROFORAKIS C,CHENETTE N,O’NEILL A,et al.Modular order-p reserving encryption,revisited[C].In:Proceedings of ACM SIGMOD International Conference on Management of Data.ACM,2015:763–777.[DO I:10.1145/2723372.2749455]

[20]SWEENEY L.k-anonymity:A model for protecting privacy[J].International Journal of Uncertainty,Fuzziness and Know ledge-based System s,2002,10(05):557–570.[DO I:10.1142/s0218488502001648]

[21]TRUTA T M,VINAY B.Privacy protection:p-sensitive k-anonymity property[C].In:Proceedings of 22nd International Conference on Data Engineering Workshops(ICDEW2006).IEEE,2006:94.[DO I:10.1109/icdew.2006.116]

[22]STINSON D R.Cryptography Theory and Practice[M].Beijing:Publishing House of Electronics Industry,2016.道格拉斯R.斯廷森.密码学原理与实践[M].北京:电子工业出版社,2016.

[23]XU C H.Computer Network Security and Data Integrity Technology[M].Beijing:Publishing House of Electronics Industry,1999.

徐超汉.计算机网络安全与数据完整性技术[M].北京:电子工业出版社,1999.

[24]GOLDREICH O.Foundations of Cryptography:Volume 2,Basic Applications[M].Cam bridge,UK:Cambridge University Press,2004:1–14.[DO I:10.1017/cbo9780511721656.005]