4、加密数据查询与安全保障技术解析

加密数据查询与安全保障技术解析

1. 保序加密方法

1.1 保序加密模式（OPES）

为了在不采用 B+ 树数据结构的情况下支持对加密数据的相等性和范围查询，提出了保序加密模式（OPES）。OPES 函数的优势在于能够通过在需要时引入新的桶来平展索引值的频谱频率。使用这种索引执行的查询不会返回虚假元组，但 OPES 仅在入侵者不知道明文数据库或原始属性域的情况下提供数据保密性。

1.2 带分割和缩放的保序加密（OPESS）

OPESS 是 OPES 的改进版本，它既支持范围查询，又不会出现推理问题。该索引方法利用了关系数据库管理系统（DBMS）用于物理索引数据的传统 B 树数据结构。与 B+ 树不同，B 树的内部顶点直接引用数据库中的元组，且树的叶子节点没有链接成唯一列表。

OPESS 索引可用于关系模式中定义在部分有序域上的每个属性。索引由数据所有者基于属性的明文值构建，然后与加密数据库一起存储在远程服务器上。在构建要远程存储在服务器上的 B 树结构之前，OPESS 会对属性的原始值应用分割和缩放两种技术，以获得索引值的平坦频率分布。
- 分割过程 ：对于属性在关系中假定的每个值，确定三个连续的正整数，使得该值的频率可以表示为这些计算值的线性组合。明文值可以映射到具有不同出现次数的多个索引值。为了保持索引值相对于属性原始域的顺序，使用保序加密函数。
- 缩放技术 ：由于分割技术会使表示某个值的索引频率总和与该值的原始频率完全相同，攻击者可能利用这一特性破解索引方法。因此，采用缩放技术，为每个明文值关联一个缩放因子。当明文值被分割成多个索