本文介绍了隐私保护的图查询问题,特别是子图匹配算法。文章提出了一种基于安全多方计算的策略,该策略在保护图数据隐私的同时,降低了计算和通讯开销。文章详细阐述了系统模型、安全连接协议和协议的效率与安全性,强调了在不损害云中敏感信息的情况下处理用户的查询。该协议仅需要O(logn)轮通讯和O(nlogn)的计算复杂度,提高了安全性和实用性。
目录
摘要
【目的】 在互联网时代,图数据凭借着其丰富语义和结构信息,在众多的领域中发挥着独特的作用。同时,越来越多的公司选择使用“云服务” 作为基础设施平台,个人敏感数据的保护问题愈发受到人们的关注。这为隐私保护的图计算带来了严峻的挑战。【方法】 本文针对图计算中至关重要的子图匹配问题,首次提出了基于安全多方计算的图查询保护策略,将隐私保护图查询问题转化为关系表的安全连接问题,并根据图数据的特性对安全连接子协议进行改进。【结果】 相比于之前的隐私保护图查询工作,本文协议不仅提供了更低的计算和通讯开销,并且具有更高的安全保障性和可信度。
关键词: 安全多方计算; 云服务; 隐私保护; 图查询; 安全连接
引言
随着互联网和大数据的快速发展,传统的关系型数据库在处理海量数据时面临着不可避免的挑战,尤其是在处理复杂的图数据时,关系型数据库的效率和可扩展性无法满足需求。因此,图数据库应运而生,其凭借着丰富语义和结构信息,在众多的领域中发挥着独特的作用,例如社交网络[1]、金融[2]、医疗[3]、物联网[4]等。考虑到数据量的日益膨胀,越来越多的公司选择使用“云服务”作为其IT基础设施平台。使用云服务可以让用户避免昂贵的前期基础设施成本,并将重点放在使其业务与众不同的项目上,而不是放在基础设施上。当前有许多公共的图数据库系统同时支持云服务平台,如GraphLab[5]、Neo4j[6]等,其提供SaaS(软件即服务)风格的云服务。换而言之,他们允许用户将图数据上传到他们的云平台,并通过外包图数据提供基于云的计算服务。
然而在互联网时代,除了注重成本上的收益,个人敏感数据的保护问题愈发受到人们的关注。将大量数据图存储在云中以节省存储、提高计算,带来了另一个不可避免的挑战,即如何在不损害云中敏感信息的情况下处理用户的查询[7]。本文章将以图计算的重要组成部分——子图匹配(Subgraph Matching)算法[8]为例,着重介绍隐私保护图查询的发展情况,列举并分析经典的隐私保护策略,并提出基于安全多方计算[9]的图查询保护协议。本文协议仅需要O(logn)轮通讯,且计算上的时间复杂度为O(nlogn),其中n为数据图的边数;在安全性上,允许查询者和数据持有者之间互不信任。
本文第1节介绍隐私查询以及图数据隐私的相关概念;第2节介绍相关技术的国内外研究现状;第3节提出基于安全多方计算的图查询保护协议;最后对全文进行总结,并提出展望。
1 隐私查询与图数据隐私
1.1 系统模型
提及隐私查询,首先要确定系统模型,即应用场景存在哪些角色,根据角色之间的信任关系,以此作为安全协议设计的基本标准。云服务是指由云端计算能力强大的服务器集群提供的云计算服务,如图1所示,在云服务的系统模型中,通常存在3种角色:数据持有者(Data Owner)、客户端(Client)、云服务器(Cloud Server)。由于数据的规模通常非常大,数据持有者利用云服务器计算与存储能力的优势,将持有的数据图G保存在云服务器上,当有客户发送查询图Q作为查询请求时,由云服务器在数据图上进行查询,并将匹配结果R查询结果返回至客户端。
图1
图1 常见的图查询系统模型
Fig.1 Common graph query system model
1.2 图数据隐私
云服务器通常不受数据持有者和客户端的信任,数据持有者和客户端也可能存在互不信任的关系,这便对图数据隐私的保护提出了要求。
图数据相比于传统的关系型数据,除了需要不泄露顶点与边上的文本信息之外,还需保证图中拓扑结构信息的安全性。在使用云服务进行图计算时,往往要考虑到以下两种敏感信息:(1)文本隐私。即顶点与边上存储的文本信息。无论是在简单的标签图,还是包含更多样化信息的属性图,顶点与边本身都包含了文本信息,从特定的角度出发这些文本都可以被视为敏感信息。例如在社交网络中,使用属性图存储表示人际关系。每个顶点代表一个用户,边表示用户间的关系,用户的基本信息由属性与属性值成键值对的形式保存。当使用云服务对人际关系网进行搜索时,用户的基本信息以及用户间的关系都应当作为敏感数据进行隐私保护处理。(2)结构隐私。即顶点与边之间的拓扑结构信息。这是图数据库特有的敏感数据,也是相比传统数据库隐私保护的一大挑战。可由拓扑结构泄露的信息有:在社交网络中,其图数据往往是成幂律分布,可以根据用户顶点的度判断一个用户在社会上的影响力,当攻击者结合其他统计信息推测,可能导致出该用户的身份信息泄露。
1.3 敌手模型
根据攻击者的行为,可以将敌手模型分为半诚实敌手(Semi-honest Adversary)和恶意敌手(Malicious Adversary)。在本文中,假设云服务器是半诚实的,即 “诚实但好奇”的攻击者,这与大多数相关工作定义一致。云服务器“诚实”地遵循协议规则,但会“好奇”地推断和分析数据,以了解更多信息。初看半诚实敌手模型的安全性很弱,但实际上,构造出半诚实安全的协议并非易事,且构造可抵御更强大攻击者的协议通常是在半诚实安全协议的基础之上进行改进的。
2 国内外研究现状
为了保护图数据在查询过程中隐私免受攻击,学者们针对子图匹配问题,提出了在保护图数据隐私的前提下,安全进行子图匹配的算法。其中典型的方法包括:构造特征索引与k-自同构图(k-automorphism),接下来本文将对这两种典型方法进行简要的分析。
2.1 基于特征索引
Cao等人[10]最早提出并解决云服务中的隐私保护图查询问题。在先前的研究中,与隐私查询最相关的技术是可搜索加密[11],然而直接使用可搜索加密来处理语义丰富的图数据一定是不适合的。故Cao等人设计了一种加密查询机制,利用k近邻(k-Nearest Neighbor)技术[12],在不侵犯隐私的情况下支持图语义的查询,是隐私保护图查询上一次大胆的尝试。
正如上一节所讲述的,Cao等[10]考虑的系统模型包含了数据持有者、客户端、云服务器3种角色。其中,云服务器被视作为诚实但好奇的,数据持有者和客户端对云服务器并不信任。云服务器在系统中的作用是根据客户端的查询图Q,筛选出存在匹配结果的候选超图集,并发送给客户端。文中假设,客户端与数据持有者之间是相互信任的,即客户端可以在明文环境下与数据持有者进行图查询,而云服务器所返回的候选集可以大大减少客户端的工作量。具体而言,数据持有者将图数据集G中阈值大于σ的频繁子图称为特征,并为每个特征构建加密的可搜索索引I;然后数据持有者将加密后的数据图集合G以及加密的索引I外包到云服务上。对于每一个查询图Q,授权的客户端通过搜索控制机制,获取相应的陷门TQ,并将其发送到云服务器。云服务器根据用户的TQ,通过索引I执行查询,并返回加密的候选超图集。最后,授权用户通过访问控制机制解密候选超图集,在明文状态下与数据持有者进行子图查询,来验证每一个候选图。
在成本上,该方法客户端的存储和计算的开销很大。客户端需保存大量频繁子图的编码,并且实际上子图匹配的过程是在客户端上完成。在安全性上,虽然保证了云服务器上图数据集的隐私不被泄露,但要求客户端和数据持有者相互信任,客户端在明文下完成后续图查找工作。此外该方法主要针对图结构的保护,并未提及如何对图上文本信息进行保护。
最低0.47元/天 解锁文章
扫一扫
626
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
