CN104021157A - 云存储中基于双线性对的关键词可搜索加密方法 - Google Patents

Abstract

本发明公开了一种云存储中基于双线性对的关键词可搜索加密方法，步骤包括：步骤1、初始化系统参数；步骤2、添加用户；步骤3、生成对文件加密和安全索引；步骤4、生成用户关于关键词的搜索令牌；步骤5、搜索云存储服务器关于密文的关键词；步骤6、用户对密文解密；步骤7、撤销用户。本发明方法，使得授权用户能够利用连接关键词的陷门搜索加密文档。即使云存储服务器也不能知道用户搜索的关键词，可以确保用户信息的安全。通过与现有方案相比较，提出的方案在通信和计算代价，即搜索陷门大小、关键词加密和搜索的速度等方面的综合效率得到提高；适合多用户环境。

Description

云存储中基于双线性对的关键词可搜索加密方法

技术领域

本发明属于信息安全技术领域，涉及一种云存储中基于双线性对的关键词可搜索加密方法。

背景技术

云计算作为一种新的计算模型，能够提供成本较低、可扩展的各种先进的计算服务。为了节省存储及管理数据的代价，企业和个人可以将数据外包到云存储服务器。云存储服务可以提供数据的可用性和可靠性等优势，但是其也有一个很明显的缺点，即数据不在用户的管理及控制之下，那么如何维护数据的机密性和完整性便成为用户迫切关注的问题。

虽然企业相信云存储服务提供商(Cloud Storage Service Provider，CSSP)的可靠性、可用性、容错性等，但是人们无法确信CSSP不将托管的数据用于其他目的。同样对于个人用户而言，他们希望他们的数据只能由自己或指定的人访问而不能被CSSP访问。这将导致两方面的问题：首先，从用户的角度看，他们无法找到让他们完全可信的CSSP来存储和管理他们的数据；而从CSSP的角度看，在没有解决上述问题的情况下将会丢失大量的客户。因此，数据的机密性及完整性将阻碍云的推广及使用。

鉴于以上的实际问题，云存储中数据必须在传输到CSSP之前，由用户自己加密，并且也只能由用户自己进行解密。这样将会减轻用户数据泄漏的危险。但这将引入一个新的问题，如用户需要包含某个关键字的文档，那么用户是否能很快的获得他们想要的数据并保证数据对CSSP的机密性？

可搜索加密作为一种新的密码学技术，能够在加密的数据集合上进行搜索查询，具体方法是，先为文件集合生成索引集合，再使用可搜索加密对这些索引进行加密以隐藏索引内容，并且加密要满足如下性质：⑴给定一个关键字(即索引)的令牌，可以获得包含该关键字的所有文件的指针；⑵没有令牌，索引的内容是隐藏的；⑶只有具有相关密钥的用户才能生成令牌；⑷检索过程除了暴露了哪些文件共享某个关键字外，不会暴露任何有关文件和关键字的信息。可搜索加密的核心作用是为云存储服务提供：一是用户自己控制其数据；二是它的安全性质可以通过密码学原理验证，而不是通过法律、物理设备来确定安全性。

发明内容

本发明提供了一种云存储中基于双线性对的关键词可搜索加密方法，解决了云存储中数据加密后不能实现关键词检索的问题。

本发明采用的技术方案是，一种云存储中基于双线性对的关键词可搜索加密方法，按照以下步骤实施：

步骤1、初始化系统参数

由文件加密者Ent输入安全参数k，输出两个阶为素数q的乘法循环群G₁和G₂，g为G₁的生成元；

选择一个双线性映射

随机均匀地选择x∈_RZ_q作为文件加密者Ent的主密钥，记为msk_Ent＝x；

选择抗碰撞Hash函数h₁:{0,1}^*→G₁和密钥Hash函数

h₂：{0，1}^k×{0，1}^*→{0，1}^t，其中t是一个固定的常数；

选择对称加密算法SKE＝{SKE.Gen(1^k)，SKE.ENC(.)，SKE.DE(.)}，随机均匀地选择一个加密密钥ek←SKE.Gen(1^k)；

文件加密者Ent公开系统参数为保密系统私钥为msk_Ent＝x及文件加密密钥ek；

步骤2、添加用户

由文件加密者Ent输入主密钥msk_Ent和用户身份u_ID，随机均匀地为身份为u_ID的用户选择搜索密钥并计算将安全地发送给用户u_ID作为搜索密钥和解密私钥，同时将安全地发送给云存储服务器CSS，云存储服务器CSS在其用户列表U_List中插入

步骤3、生成对文件加密和安全索引

由文件加密者Ent输入主密钥msk_Ent、加密密钥ek、文档D_i,1≤i≤n，及其关键词列表W_i＝(w_i,1,…,w_i,m)，文件加密者Ent对D_i的加密结果为E_i＝SKE.Enc_ek(D_i)，对关键词w_i,j∈W_i,1≤j≤的加密结果为δ_i，j＝h₂(s_i，e_i，j)，其中随机数s_i∈_R{0,1}^k，且最后将C_i＝(E_i,I_i)发送给云存储服务器CSS存储，其中I_i＝(s_i,δ_i,1,…,δ_i,m)为E_i的索引；

步骤4、生成用户关于关键词的搜索令牌

用户u_ID输入搜索密钥要搜索的关键字w，计算陷门将搜索请求T＝(u_ID,T_w)发送给云存储服务器CSS；

步骤5、搜索云存储服务器关于密文的关键词

由云存储服务器CSS输入搜索请求T＝(u_ID,T_w)和密文C_i＝(E_i,I_i)，云存储服务器CSS首先根据T中的u_ID在U_List中查找若无，则返回搜索失败符号⊥给用户u_ID；

否则计算 $e_w=\hat{e}(T_w,{\mathrm{hk}}_{u_{\mathrm{ID}}})=\hat{e}(h_1{\left(w\right)}^{x_{\mathrm{ID}}},g^{x/x_{\mathrm{ID}}})\hat{e}{(h_1\left(w\right),g)}^x$ 并初始化空集SR，对于任意的密文C_i＝(E_i,I_i),1≤i≤n,，其中I_i＝(s_i,δ_i,1,…,δ_i,m)为密文E_i的索引，云存储服务器CSS判断是否存在1≤j≤m，使得下式成立：等号上的问号表示是否相等的意思，若成立，则搜索的结果集合SR＝SR∪{E_i}，对所有的C_i＝(E_i,I_i),1≤i≤n,搜索后，最后将搜索的结果集合SR发送给用户u_ID；

步骤6、用户对密文解密

用户u_ID接收到云存储服务器CSS返回的密文集合SR后，对所有E_i∈SR，利用ek解密得到D_i＝SKE.Dec_ek(E_i)；

步骤7、撤销用户

文件加密者Ent输入用户的身份u_ID，文件加密者Ent向云存储服务器CSS发送撤销用户u_ID的命令，云存储服务器CSS更新即云存储服务器CSS删除用户u_ID注册项目即成。

本发明的有益效果是：

1)本发明采用授权用户和存储服务器先后对关键词加密的方式提出了一个基于双线性对的关键词可搜索加密方案，使得授权用户能够利用连接关键词的陷门搜索加密文档。即使云存储服务器也不能知道用户搜索的关键词，可以确保用户信息的安全。通过与现有方案相比较，提出的方案在通信和计算代价，即搜索陷门大小、关键词加密和搜索的速度等方面的综合效率得到提高。

2)本发明方案是适合多用户环境的，这里的多用户是指可以增加和撤销用户，用户增加可以通过算法Enroll(k_UM,u_ID)实现，用户的撤销可以通过算法RevokeUser(u_ID)实现。

具体实施方式

下面结合具体实施方式对本发明进行详细说明。

本发明云存储中基于双线性对的关键词可搜索加密方法，按照以下步骤实施：

假设文件加密者Ent欲将文档集合D＝(D₁,…,D_n)加密后存储到存储服务器Serv中，设文档D_i的关键词列表为W_i＝(w_i,1,…,w_i,m)，1≤i≤n，n是即将存储的文件个数，m是文档D_i中的关键词个数，w_i,j，1≤j≤m，为D_i的第j个关键词字段的关键词，构造的方案希望文档加密后可以实现关键词可搜索，实现安全保密的目标，算法包括七个多项式时间的算法，详细描述如下：

步骤1、初始化系统参数，即步骤Setup(1^k)

由文件加密者Ent执行用于初始化加密系统，输入安全参数k，输出两个阶为素数q的乘法循环群G₁和G₂，g为G₁的生成元；

选择一个双线性映射

随机均匀地选择x∈_RZ_q作为文件加密者Ent的主密钥，记为msk_Ent＝x；

选择抗碰撞Hash函数h₁:{0,1}^*→G₁和密钥Hash函数h₂：{0，1}^k×{0，1}^*→{0，1}^t，其中t是一个固定的常数，如SHA-1中的t＝160；

选择一个语义安全的对称加密算法SKE＝{SKE.Gen(1^k)，SKE.ENC(.)，SKE.DE(.)}，随机均匀地选择一个加密密钥ek←SKE.Gen(1^k)；

文件加密者Ent公开系统参数为保密系统私钥为msk_Ent＝x及文件加密密钥ek。

步骤2、添加用户，即步骤Enroll(msk_Ent,u_ID)

由文件加密者Ent执行用于向系统添加文件用户身份u_ID的用户，输入主密钥msk_Ent和用户身份u_ID，随机均匀地为身份为u_ID的用户选择搜索密钥 ${\mathrm{qk}}_{u_{\mathrm{ID}}}=x_{\mathrm{ID}}{\∈}_R{Z}_q^{*},$ 并计算 ${\mathrm{hk}}_{u_{\mathrm{ID}}}=g^{{\mathrm{msk}}_{\mathrm{Ent}}/x_{\mathrm{ID}}}=g^{x/x_{\mathrm{ID}}},$ 将安全地发送给用户u_ID作为搜索密钥和解密私钥，同时将安全地发送给云存储服务器CSS，云存储服务器CSS在其用户列表U_List中插入

步骤3、生成文件拥有者对文件加密和安全索引，即步骤Enc(msk_Ent，ek，D_i，W_i)

由文件加密者Ent执行用于加密文档并生成安全索引，输入主密钥msk_Ent、加密密钥ek、文档D_i,1≤i≤n，及其关键词列表W_i＝(w_i,1,…,w_i,m)，Ent对D_i的加密结果为E_i＝SKE.Enc_ek(D_i)，对关键词w_i,j∈W_i,1≤j≤m,的加密结果为δ_i,j＝h₂(s_i,e_i,j)，其中随机数s_i∈_R{0,1}^k，且最后将C_i＝(E_i,I_i)发送给云存储服务器CSS存储，其中I_i＝(s_i,δ_i,1,…,δ_i,m)为E_i的索引。

步骤4、生成用户关于关键词搜索令牌，即步骤

由用户u_ID执行用于生成关键词w的密文搜索令牌(即搜索请求)，用户u_ID为了搜索含有关键词w的密文，输入搜索密钥要搜索的关键字w，计算陷门将搜索请求T＝(u_ID,T_w)发送给云存储服务器CSS。

步骤5、搜索云存储服务器关于密文的关键词，即步骤Search(T,C_i)

由云存储服务器CSS执行用于处理用户u_ID的搜索请求T＝(u_ID,T_w)，输入搜索请求T＝(u_ID,T_w)和密文C_i＝(E_i,I_i)，云存储服务器CSS首先根据T中的u_ID在U_List中查找若无，则返回搜索失败符号⊥给用户u_ID；

否则计算 $e_w=\hat{e}(T_w,{\mathrm{hk}}_{u_{\mathrm{ID}}})=\hat{e}(h_1{\left(w\right)}^{x_{\mathrm{ID}}},g^{x/x_{\mathrm{ID}}})\hat{e}{(h_1\left(w\right),g)}^x$ 并初始化空集SR，对于任意的密文C_i＝(E_i,I_i),1≤i≤n,，其中I_i＝(s_i,δ_i,1,…,δ_i,m)为密文E_i的索引，云存储服务器CSS判断是否存在1≤j≤m，使得下式成立：等号上的问号表示是否相等的意思,若成立，则搜索的结果集合SR＝SR∪{E_i}，对所有的C_i＝(E_i,I_i),1≤i≤n,搜索后，最后将搜索的结果集合SR发送给用户u_ID。

步骤6、用户关于密文的解密，即步骤Dec(ek,SR)

由用户u_ID执行用于解密密文集合SR，用户u_ID接收到云存储服务器CSS返回的密文集合SR后，对所有E_i∈SR，利用ek解密得到D_i＝SKE.Dec_ek(E_i)。

步骤7、撤销用户，即步骤Revoke(u_ID)

该算法由文件加密者Ent(即文件的拥有者)执行用于撤销用户的搜索能力，输入用户的身份u_ID，文件加密者Ent向云存储服务器CSS发送撤销用户u_ID的命令，云存储服务器CSS更新即云存储服务器CSS删除用户u_ID注册项目即成。

根据正确性定义和安全性需求对本发明方法进行安全性分析，在安全性分析过程中使用启发式的证明方法。

证明：文档D_i(1≤i≤n)及其关键词列表W_i的加密结果为C_i＝(E_i,I_i)，其中I_i＝(s_i,δ_i,1,…,δ_i,m)，δ_i,j＝h₂(s_i,e_i,j)，s_i∈_R{0,1}^k，现有用户其搜索密钥为辅助密钥为要搜索的关键词为w_t∈W_i,1≤t≤m。计算将发送给CSS，若未被撤销，则CSS利用计算并可判断从而E_i将会包含在SR中。

结论：本发明上述就是方案是正确的。

实施例1

假设文件加密者Ent欲将文档集合D＝(D₁,…,D_n)加密后存储到存储服务器Serv，设文档D_i的关键词列表为W_i＝(w_i,1，…,w_i,m)，1≤i≤n，其中w_i,j，1≤j≤m为D_i的第j个关键词字段的关键词，构造的方案希望文档加密后可以实现关键词可搜索，实现安全保密的目标，包括七个多项式时间算法，详细描述如下：

步骤1、系统参数初始化，即步骤Setup(1^k)

由文件加密者Ent执行以初始化系统，输入安全参数k，可以取k＝160，输出两个阶为素数q的乘法循环群G₁和G₂，素数q的二进制长度为k＝160，g为G₁的生成元。选择一个双线性映射随机均匀地选择x∈_RZ_q作为文件加密者Ent的主密钥，记为msk_Ent＝x，选择抗碰撞Hash函数h₁:{0,1}^*→G₁和密钥Hash函数h₂:{0,1}^k×{0,1}^*→{0,1}^t，其中t是一个固定的常数，如SHA-1中的t＝160。选择一个语义安全的对称加密算法SKE={SKE.Gen(1^k)，SKE.Enc(.)，SKE.De(.)}例如选取高级加密算法ＡＥＳ，随机均匀地选择一个加密密钥ek←SKE.Gen(1^k)，这里系统参数为 $\mathrm{param}=(G_1,G_2,\hat{e},g,q,h_1,h_2,\mathrm{SKE}).$

步骤2、添加用户，即步骤Enroll(msk_Ent,u_ID)

由文件加密者Ent执行以向系统添加文件检索和解密用户，输入主密钥msk_Ent和用户身份u_ID，随机均匀地为身份为u_ID的用户选择搜索密钥 ${\mathrm{qk}}_{u_{\mathrm{ID}}}=x_{\mathrm{ID}}{\∈}_R{Z}_q^{*},$ 并计算 ${\mathrm{hk}}_{u_{\mathrm{ID}}}=g^{{\mathrm{msk}}_{\mathrm{Ent}}/x_{\mathrm{ID}}}=g^{x/x_{\mathrm{ID}}},$ 将安全地发送给用户u_ID作为搜索密钥和解密私钥，同时将安全地发送给云存储服务器，云存储服务器在其用户列表U_List中插入

步骤3、文件拥有者对文件加密和安全索引生成，即步骤Enc(msk_Ent，ek，D_i，W_i)

由文件加密者Ent执行用于加密文档并生成安全索引，输入主密钥msk_Ent、加密密钥ek、文档D_i,1≤i≤n，及其关键词列表W_i＝(w_i,1,…,w_i,m)，Ent对D_i的加密结果为E_i＝SKE.Enc_ek(D_i)，对关键词w_i,j∈W_i,1≤j≤m,的加密结果为δ_i,j＝h₂(s_i,e_i,j)，其中随机数s_i∈_R{0,1}^k，且最后将C_i＝(E_i,I_i)发送给云存储服务器CSS存储，其中I_i＝(s_i,δ_i,1,…,δ_i,m)为E_i的索引。

步骤4、用户关于关键词密文搜索令牌生成，即步骤Trapdoor

由用户u_ID执行以生成关键词w的密文搜索令牌(搜索请求)，用户u_ID为了搜索含有关键词w的密文，输入搜索密钥要搜索的关键字w，计算陷门将搜索请求T＝(u_ID,T_w)发送给云存储服务器CSS。

步骤5、云存储服务器关于密文关键词搜索，即步骤Search(T,C_i)

由云存储服务器CSS执行用于处理用户u_ID的搜索请求T＝(u_ID,T_w)，输入搜索请求T＝(u_ID,T_w)和密文C_i＝(E_i,I_i)，云存储服务器CSS首先根据T中的u_ID在U_List中查找若无，则返回搜索失败符号⊥给用户u_ID；

否则计算 $e_w=\hat{e}(T_w,{\mathrm{hk}}_{u_{\mathrm{ID}}})=\hat{e}(h_1{\left(w\right)}^{x_{\mathrm{ID}}},g^{x/x_{\mathrm{ID}}})\hat{e}{(h_1\left(w\right),g)}^x$ 并初始化空集SR，对于任意的密文C_i＝(E_i,I_i),1≤i≤n,，其中I_i＝(s_i,δ_i,1,…,δ_i,m)为密文E_i的索引，云存储服务器CSS判断是否存在1≤j≤m，使得下式成立：等号上的问号表示是否相等的意思，若成立，则搜索的结果集合SR＝SR∪{E_i}，对所有的C_i＝(E_i,I_i),1≤i≤n,搜索后，最后将搜索的结果集合SR发送给用户u_ID。

步骤6、用户个关于密文的解密，即步骤Dec(ek,SR)

由用户u_ID执行用于解密密文集合SR，用户u_ID接收到云存储服务器CSS返回的密文集合SR后，对所有E_i∈SR，利用ek解密得到D_i＝SKE.Dec_ek(E_i)。

步骤7、撤销用户，即步骤Revoke(u_ID)

该算法由文件加密者Ent执行用于撤销用户的搜索能力，输入用户的身份u_ID，文件加密者Ent向云存储服务器CSS发送撤销用户u_ID的命令，云存储服务器CSS更新即云存储服务器CSS删除用户u_ID注册项目即可。

在云存储服务中，用户可以使用可搜索的加密方案对数据加密后，外包到云存储服务器。可搜索加密方案使得用户能够有选择的访问其密文数据，同时还能确保用户搜索数据的机密性。本发明采用授权用户和存储服务器先后对关键词加密的方式提出了一个基于双线性对的关键词可搜索加密方法，使得授权用户能够利用关键词的陷门搜索加密文档。提出的方案提出的方案支持多用户，即能够动态的增加和撤销用户，使得用户能够直接在存储服务器上进行数据共享。

Claims (3)

1.一种云存储中基于双线性对的关键词可搜索加密方法，其特征在于，按照以下步骤实施：

步骤1、初始化系统参数

由文件加密者Ent输入安全参数k，输出两个阶为素数q的乘法循环群G₁和G₂，g为G₁的生成元；

选择一个双线性映射

随机均匀地选择x∈_RZ_q作为文件加密者Ent的主密钥，记为msk_Ent＝x；

选择抗碰撞Hash函数h₁:{0,1}^*→G₁和密钥Hash函数h₂：{0，1}^k×{0，1}^*→{0，1}^t，其中t是一个固定的常数；

选择对称加密算法SKE＝{SKE.Gen(1^k)，SKE.ENC(.)，SKE.DE(.)}，随机均匀地选择一个加密密钥ek←SKE.Gen(1^k)；

文件加密者Ent公开系统参数为保密系统私钥为msk_Ent＝x及文件加密密钥ek；

步骤2、添加用户

由文件加密者Ent输入主密钥msk_Ent和用户身份u_ID，随机均匀地为身份为u_ID的用户选择搜索密钥并计算将安全地发送给用户u_ID作为搜索密钥和解密私钥，同时将安全地发送给云存储服务器CSS，云存储服务器CSS在其用户列表U_List中插入

步骤3、生成对文件加密和安全索引

由文件加密者Ent输入主密钥msk_Ent、加密密钥ek、文档D_i,1≤i≤n，及其关键词列表W_i＝(w_i，1，…，w_i，m)文件加密者Ent对D_i的加密结果为E_i＝SKE.Enc_ek(D_i)对关键词w_i,j∈W_i,1≤j≤m,的加密结果为δ_i,j＝h₂(s_i,e_i,j)，其中随机数s_i∈_R{0,1}^k，且最后将C_i＝(E_i,I_i)发送给云存储服务器CSS存储，其中I_i＝(s_i,δ_i,1,…,δ_i,m)为E_i的索引；

步骤4、生成用户关于关键词的搜索令牌

用户u_ID输入搜索密钥要搜索的关键字w，计算陷门将搜索请求T＝(u_ID,T_w)发送给云存储服务器CSS；

步骤5、搜索云存储服务器关于密文的关键词

由云存储服务器CSS输入搜索请求T＝(u_ID,T_w)和密文C_i＝(E_i,I_i)，云存储服务器CSS首先根据T中的u_ID在U_List中查找若无，则返回搜索失败符号⊥给用户u_ID；

否则计算 $e_w=\hat{e}(T_w,{\mathrm{hk}}_{u_{\mathrm{ID}}})=\hat{e}(h_1{\left(w\right)}^{x_{\mathrm{ID}}},g^{x/x_{\mathrm{ID}}})\hat{e}{(h_1\left(w\right),g)}^x$ 并初始化空集SR，对于任意的密文C_i＝(E_i,I_i),1≤i≤n,，其中I_i＝(s_i,δ_i,1,…,δ_i,m)为密文E_i的索引，云存储服务器CSS判断是否存在1≤j≤m，使得下式成立：

若成立，则搜索的结果集合SR＝SR∪{E_i}，对所有的C_i＝(E_i,I_i),1≤i≤n,搜索后，最后将搜索的结果集合SR发送给用户u_ID；

步骤6、用户对密文解密

用户u_ID接收到云存储服务器CSS返回的密文集合SR后，对所有E_i∈SR，利用ek解密得到D_i＝SKE.Dec_ek(E_i)；

步骤7、撤销用户

文件加密者Ent输入用户的身份u_ID，文件加密者Ent向云存储服务器CSS发送撤销用户u_ID的命令，云存储服务器CSS更新即云存储服务器CSS删除用户u_ID注册项目即成。

2.根据权利要求1所述的云存储中基于双线性对的关键词可搜索加密方法，其特点在于：所述的步骤1中，t＝160。

3.根据权利要求1所述的云存储中基于双线性对的关键词可搜索加密方法，其特点在于：所述的步骤1中，选取高级加密算法ＡＥＳ。