CN104052740A - 云存储中可验证的基于词典的可搜索加密方法 - Google Patents

Abstract

本发明公开了一种云存储中可验证的基于词典的可搜索加密方法，步骤包括：步骤1、系统参数初始化；步骤2、用户u对文件加密和安全索引生成；步骤3、用户u关于关键词搜索令牌的生成；步骤4、云存储服务器关于密文关键词的搜索；步骤5、用户u验证搜索结果的完整性；步骤6、用户关于密文的解密。本发明的方法，数据用户可以将自己的数据加密后，存放到云存储服务器，需要时候，可以通过关键词检索令牌检索到需要的密文数据，然后下载解密。即使云存储服务器也不能知道用户搜索的关键词，可以确保用户信息的安全，在通信和计算代价，即搜索陷门大小、关键词加密、搜索正确性和搜索的速度等方面的综合效率得到提高。

Description

云存储中可验证的基于词典的可搜索加密方法

技术领域

本发明属于信息安全技术领域，涉及一种云存储中可验证的基于词典的可搜索加密方法。

背景技术

云计算作为一种新的计算模型，能够提供成本较低、可扩展的各种先进的计算服务。为了节省存储及管理数据的代价，企业和个人可以将数据外包到云存储服务器。云存储服务可以提供数据的可用性和可靠性等优势，但是其也有一个很明显的缺点，即数据不在用户的管理及控制之下，那么如何维护数据的机密性和完整性便成为用户迫切关注的问题。

虽然企业相信云存储服务提供商(Cloud Storage Service Provider,CSSP)的可靠性、可用性、容错性等，但是人们无法确信CSSP不将托管的数据用于其他目的。同样对于个人用户而言，他们希望他们的数据只能由自己或指定的人访问而不能被CSSP访问。这将导致两方面的问题：首先，从用户的角度看，他们无法找到让他们完全可信的CSSP来存储和管理他们的数据；而从CSSP的角度看，在没有解决上述问题的情况下将会丢失大量的客户。因此，数据的机密性及完整性将阻碍云的推广及使用。

鉴于以上的实际问题，云存储中数据必须在传输到CSSP之前，由用户自己加密，并且也只能由用户自己进行解密。这样将会减轻用户数据泄漏的危险。但这将引入一个新的问题，如用户需要包含某个关键字的文档，那么用户是否能很快的获得他们想要的数据并保证数据对CSSP的机密性？

可搜索加密作为一种新的密码学技术，能够在加密的数据集合上进行搜索查询，具体方法是，先为文件集合生成索引集合，再使用可搜索加密对这些索引进行加密以隐藏索引内容，并且加密要满足如下性质：⑴给定一个关键字(即索引)的令牌，可以获得包含该关键字的所有文件的指针；⑵没有令牌，索引的内容是隐藏的；⑶只有具有相关密钥的用户才能生成令牌；⑷检索过程除了暴露了哪些文件共享某个关键字外，不会暴露任何有关文件和关键字的信息。可搜索加密的核心作用是为云存储服务提供：一是用户自己控制其数据；二是它的安全性质可以通过密码学原理验证，而不是通过法律、物理设备来确定安全性。

发明内容

本发明提供了一种云存储中可验证的基于词典的可搜索加密方法，解决了云存储中数据加密后不能实现关键词检索的问题。

本发明采用的技术方案是，一种云存储中可验证的基于词典的可搜索加密方法，按照以下步骤具体实施：

步骤1、系统参数初始化

由用户u输入安全参数k，随机选择大素数p及x，1＜x＜p，p的二进制长度为k；令F：{0，1}^k×{0，1}^*→{0，1}^k.、为两个伪随机函数，为伪随机置换，随机均匀的选择两个k-bit长的字符串K₁和K₂作为F和Q的随机种子；选择一个对称加密算法SKE＝(Gen,Enc,Dec)，生成加密密钥ek←SKE.Gen(1^k)，发布params＝(F,G,Q,SKE)作为系统参数，系统密钥为K＝(K₁,K₂,ek,x,p)；

步骤2、用户u对文件加密和安全索引生成

由用户u输入文档集合D＝(D₁,…,D_n)和系统密钥K＝(K₁,K₂,ek,x,p)，用户u按如下步骤计算：

2.1)为每个文档D_i∈D,1≤i≤n，随机均匀地选择一个唯一的标识符加密文档D_i为C_i＝SKE.Enc_ek(D_i)；

2.2)为每个关键词w_j∈Δ,1≤j≤|Δ|，生成一个n维数组A_j，数组A_j按如下过程生成：对每个文档D_i∈D，随机均匀地选择一个k-bit的字符串r_j,i；若w_j∈W_i，计算和检验和c_j＝c_j×(x+id_i)modp，c_j的初值设为1，将存储在A_j[i]，其中flag为一个固定的k-bit长的字符串；否则随机均匀地选择字符串将(v₁,r_j,i)存储在A_j[i]；

2.3)将所有数组A_j组成一个|Δ|×n的索引矩阵M，其中A_j位于M的行；

2.4)将索引矩阵M和密文集合C＝(C₁,…,C_n)发送给云存储服务器Serv存储，检验和集合CS＝(c₁,…,c_|Δ|)由用户保存；

步骤3、用户u关于关键词搜索令牌的生成

由用户u输入要搜索的关键词w∈Δ和系统密钥K＝(K₁,K₂,ek,x,p)，计算搜索令牌将T_w发送给云存储服务器CSS；

步骤4、云存储服务器关于密文关键词的搜索

由云存储服务器Serv执行以搜索包含关键词w的文档标识符，输入陷门和索引矩阵M，云存储服务器CSS首先定位到M的第行，记该行向量为数组A_w，若无，则返回失败符号⊥给用户u；否则初始化一个空集IDS(w)，对A_w中的每个元素的值(v_i,1,v_i,2),1≤i≤n，计算并判断下式是否成立：

first_k_bit(υ)＝flag，

其中first_k_bit(·)为取字符串前k-bi的t函数，若成立，则IDS(w)＝IDS(w)∪{get_id(υ)}，其中get_id(·)为取字符串中的文档标识符函数，即获得υ的后log₂pbit；最后将搜索的含有关键词w文档标识符IDS(w)发送给用户u；

步骤5、用户u验证搜索结果的完整性

由用户u输入IDS(w)、用户自己保存的检验和集合CS＝(c₁,…,c_|Δ|)和系统密钥K＝(K₁,K₂,ek,x,p)，用户u首先从CS中获得关键词w的检验和，记为c_w，并判断下式是否成立：

$c_w={\mathrm{\Π}}_{{\mathrm{id}}_i\∈\mathrm{IDS}\left(w\right)}({\mathrm{id}}_i+x)\mathrm{mod}p,$

若成立，则根据id_i向云存储服务器CSS获得相应的密文C_i，否则返回验证失败符号⊥给云存储服务器；

步骤6、用户关于密文的解密

由用户u输入云存储服务器CSS返回的含有关键词w的密文C_i和系统密钥K，用户u执行解密算法得到明文D_i＝SKE.Dec_ek(C_i)，即成。

本发明的有益效果是：

1)本发明采用授权用户和存储服务器先后对关键词加密的方式提出了一个可验证的基于词典的可搜索加密方案，能够验证搜索结果的完备性。通过本发明的方法，数据用户可以将自己的数据加密后，存放到云存储服务器，需要时候，可以通过关键词检索令牌检索到需要的密文数据，然后下载解密。即使云存储服务器也不能知道用户搜索的关键词，可以确保用户信息的安全。

2)通过与现有方案相比较，提出的方案在通信和计算代价，即搜索陷门大小、关键词加密和搜索的速度等方面的综合效率得到提高。

3)可验证主要是指搜索结果的正确性和搜索完备性，其中搜索正确性是指只有符合搜索条件的加密文档才被返回，搜索完备性是指所有符合搜索条件的加密文档都被返回。

附图说明

图1是本发明方法中索引矩阵的存储结构示意图。

具体实施方式

下面结合附图和具体实施方式对本发明进行详细说明。

在叙述本发明云存储中可验证的基于词典的可搜索加密方法之前，先介绍本发明步骤中要使用的一些变量符号。

假设可搜索加密系统由{D,Serv,Δ,u}组成，其中D＝(D₁,…,D_n)为用户u(即文件拥有者)要外包存储的文档集合；Serv表示云存储服务器，负责文档的存储与搜索服务；Δ为关键词词典，包括所有可能的有意义的关键词，D为其上的文档集合，即

假设用户u有n个文档D＝(D₁,…,D_n)要外包到不完全可信的云存储服务器Serv上，记文档D_i,1≤i≤n的关键词列表为其中w_i,j,1≤j≤|W_i|为文档D_i的第j个关键词，令SKE＝(Gen,Enc,Dec)表示一个对称加密方案(如AES)，D_i在密钥ek下的加解密算法分别为SKE.和SKE.Dec_ek(Enc_ek(D_i))，|S|表示集合S的元素个数，表示含有关键w的所有文档，a||b表示两个字符串a和b的级联，b∈_RB表示从集合B中随机均匀的选取元素b；

为了能够让用户u验证搜索结果的完备性，用户u选择两个秘密的数：一个大素数p和一个随机整数x，1＜x＜p，用户u为每个文档D_i,1≤i≤n随机均匀地选择一个唯一标识符对于给定的关键词w_j∈Δ,1≤j≤|Δ|，用户u存储一个关于关键词w_j的检验和其中IDS(w_j)表示为包含w_j的文档的标识符集合，该检验和使得文档的增加(乘以(id_i+x))和删除(乘以(id_i+x)^-1)都很容易；

为了使得云存储服务器Serv能够搜索密文数据，对每个关键词w_j∈Δ,1≤j≤|Δ|，都建立一个n维数组A_j，记A_j中位置i的值为A_j[i]，A_j[i]的形式为＜v₁,v₂＞，其中v₂是随机均匀选取的k-bit大小的字符串，对于文档D_i，若D_i包含关键词w_j，则A_j[i]中的v₁由伪随机函数生成，否则随机均匀选取v₁的值，将所有的A_j根据伪随机置换函数组成一个|Δ|×n的矩阵，记为索引矩阵M，如图1所示。

本发明可验证的基于词典的可搜索加密方法，基于词典Δ上的可验证的可搜索加密方案VDSES＝(Init，Enc，Trapdoor，Search，Verify，Dec)由六个多项式时间算法构成，按照以下步骤具体实施：

步骤1、系统参数初始化，即步骤Init(1^k)

该算法由用户u执行以初始化系统，输入安全参数k，随机选择大素数p及x，1＜x＜p，p的二进制长度为k；令F:{0，1}^k×{0,1}^*→{0,1}^k、为两个伪随机函数，为伪随机置换，随机均匀的选择两个k-bit长的字符串K₁和K₂作为F和Q的随机种子；选择一个语义安全的对称加密算法SKE＝(Gen,Enc,Dec)，生成加密密钥ek←SKE.Gen(1^k)，发布params＝(F，G，Q，SKE)作为系统参数，系统密钥为K＝(K₁,K₂,ek,x,p)。

步骤2、用户u对文件加密和安全索引生成，即步骤Enc(D,K)

该算法由用户u执行以加密数据集合、生成索引矩阵及关键词的检验和集合，用户u输入文档集合D＝(D₁,…,D_n)和系统密钥K＝(K₁,K₂,ek,x,p)，用户u按如下步骤计算：

2.1)为每个文档D_i∈D,1≤i≤n，随机均匀地选择一个唯一的标识符加密文档D_i为C_i＝SKE.Enc_ek(D_i)；

2.2)为每个关键词w_j∈Δ,1≤j≤|Δ|，生成一个n维数组A_j，数组A_j按如下过程生成：对每个文档D_i∈D，随机均匀地选择一个k-bit的字符串r_j,i；若w_j∈W_i，计算和检验和c_j＝c_j×(x+id_i)modp，c_j的初值设为1，将存储在A_j[i]，其中flag为一个固定的k-bit长的字符串；否则随机均匀地选择字符串，将(v₁,r_j,i)存储在A_j[i]；

2.3)将所有数组A_j组成一个|Δ|×n的索引矩阵M，其中A_j位于M的行；

2.4)将索引矩阵M和密文集合C＝(C₁,…,C_n)发送给云存储服务器Serv存储，检验和集合CS＝(c₁,…,c_|Δ|)由用户保存。

步骤3、用户u关于关键词搜索令牌的生成，即步骤Trapdoor(w,K)

该算法由用户u执行以获得关键词的搜索令牌(搜索陷门)，输入要搜索的关键词w∈Δ和系统密钥K＝(K₁,K₂,ek,x,p)，计算搜索令牌(搜索陷门)将T_w发送给云存储服务器CSS。

步骤4、云存储服务器关于密文关键词的搜索，即步骤Search(T_w,M)

该算法由云存储服务器Serv执行以搜索包含关键词w的文档标识符，输入陷门和索引矩阵M，云存储服务器CSS首先定位到M的第行，记该行向量为数组A_w，若无，则返回失败符号⊥给用户u；否则初始化一个空集IDS(w)，对A_w中的每个元素的值(v_i,1,v_i,2),1≤i≤n，计算并判断下式是否成立：

first_k_bit(υ)＝flag，

其中first_k_bit(·)为取字符串前k-bit的函数，若成立，则IDS(w)＝IDS(w)∪{get_id(υ)}，其中get_id(·)为取字符串中的文档标识符函数，即获得υ的后log₂pbit；最后将搜索的含有关键词w文档标识符IDS(w)发送给用户u。

步骤5、用户u验证搜索结果的完整性，即步骤Verify(IDS(w),CS,K)

由用户u执行以验证云存储服务器Serv关于关键词w搜索结果的完备性，输入IDS(w)、用户自己保存的检验和集合CS＝(c₁，…，c_|Δ|）和系统密钥K＝(K₁,K₂,ek,x,p)，用户u首先从CS中获得关键词w的检验和，记为c_w，并判断下式是否成立：

$c_w={\mathrm{\Π}}_{{\mathrm{id}}_i\∈\mathrm{IDS}\left(w\right)}({\mathrm{id}}_i+x)\mathrm{mod}p,$

若成立，则根据id_i向云存储服务器CSS获得相应的密文C_i，否则返回验证失败符号⊥给云存储服务器。

步骤6、用户关于密文的解密，即步骤Dec(C_i,K)

由用户u执行以解密密文数据，输入云存储服务器CSS返回的含有关键词w的密文C_i和系统密钥K，用户u执行解密算法得到明文D_i＝SKE.Dec_ek(C_i)，即成。

本发明技术方案的安全性分析

结论1：本发明提出的方案是正确的。

证明：给定关键词w∈Δ的陷门Serv可以定位到索引矩阵M的行，记该行向量为数组A_w，将A_w中的每个元素的值记为(v_i,1,v_i,2),1≤i≤n，针对各个(v_i,1,v_i,2)，利用计算若W_i中包含关键词w，则first_k_bit(υ)＝flag，从而IDS(w)＝IDS(w)∪{get_id(υ)}。用户u在获得IDS(w)后，首先在检验和集合CS中找到关键词w的检验和，记为c_w，若Serv没有发生恶意行为且IDS(w)在传输中没有被篡改，则可以验证验证通过后就可以通过IDS中的文档标识符获得加密的文档并解密。

实施例1

假设系统由{D,Serv,Δ,u}组成，其中D＝(D₁,…,D_n)为用户u要外包存储的文档集合；Serv表示云存储服务器，负责文档的存储与搜索服务；Δ为关键词词典，包括所有可能的有意义的关键词，D为其上的文档集合，即

假设用户u有n个文档D＝(D₁,…,D_n)要外包到不完全可信的云存储服务器Serv上，记文档D_i,1≤i≤n，的关键词列表为其中w_i,j(1≤j≤|W_i|)为文档D_i的第j个关键词。

步骤1、系统参数初始化，即步骤Init(1^k)

该算法由用户u执行以初始化系统，输入安全参数k，随机选择大素数p及x，1＜x＜p，p的二进制长度为k＝160；令F：{0，1}^k×{0，1}^*→{0，1}^k.、为两个伪随机函数，为伪随机置换，随机均匀的选择2个k-bit长的字符串K₁和K₂作为F和Q的随机种子；选择一个语义安全的对称加密算法SKE＝(Gen,Enc,Dec)，例如高级加密算法AES，生成加密密钥ek←SKE.Gen(1^k)，发布params＝(F,G,Q,SKE)作为系统参数，系统密钥为K＝(K₁,K₂,ek,x,p)。

步骤2、文件拥有者u对文件加密和安全索引生成，即步骤Enc(D,K)

该算法由用户u执行以加密数据集合、生成索引矩阵及关键词的检验和集合。用户u输入文档集合D＝(D₁,…,D_n)和系统密钥K＝(K₁,K₂,ek,x,p)，用户u按如下步骤计算：

2.1)为每个文档D_i∈D,1≤i≤n，随机均匀地选择一个唯一的标识符加密文档D_i为C_i＝SKE.Enc_ek(D_i)；

2.2)为每个关键词w_j∈Δ,1≤j≤|Δ|，生成一个n维数组A_j。数组A_j按如下过程生成：对每个文档D_i∈D，随机均匀地选择一个k-bit的字符串r_j,i；若w_j∈W_i，计算和检验和c_j＝c_j×(x+id_i)modp，(注：c_j的初值设为1)，将存储在A_j[i]，其中flag为一个固定的k-bit长的字符串；否则随机均匀地选择字符串将(v₁,r_j,i)存储在A_j[i]；

2.3)将所有数组A_j组成一个|Δ|×n的索引矩阵M，其中A_j位于M的行；

2.4)将索引矩阵M和密文集合C＝(C₁,…,C_n)发送给云存储服务器Serv存储，检验和集合CS＝(c₁,…,c_|Δ|)由用户保存。

步骤3、用户u关于关键词搜索令牌生成，即步骤Trapdoor(w,K)

该算法由用户u执行以获得关键词的搜索令牌(搜索陷门)，输入要搜索的关键词w∈Δ和系统密钥K＝(K₁,K₂,ek,x,p)，计算搜索令牌(搜索陷门)将T_w发送给云存储服务器CSS。

步骤4、云存储服务器关于密文关键词的搜索，即步骤Search(T_w,M)

该算法由云存储服务器Serv执行以搜索包含关键词w的文档标识符，输入陷门和索引矩阵M，云存储服务器CSS首先定位到M的第行，记该行向量为数组A_w，若无，则返回失败符号⊥给用户u；否则初始化一个空集IDS(w)，对A_w中的每个元素的值(v_i,1,v_i,2),1≤i≤n，计算并判断下式是否成立：first_k_bit(υ)＝flag，

其中first_k_bit(·)为取字符串前k-bit的函数，若成立，则IDS(w)＝IDS(w)∪{get_id(υ)}，其中get_id(·)为取字符串中的文档标识符函数，即获得υ的后log₂pbit；最后将搜索的含有关键词w文档标识符IDS(w)发送给用户u。

步骤5、用户u验证搜索结果完整性，即步骤Verify(IDS(w),CS,K)

由用户u执行以验证云存储服务器Serv关于关键词w搜索结果的完备性，输入IDS(w)、用户自己保存的检验和集合CS＝(c₁，…，c_|Δ|)下和系统密钥K＝(K₁,K₂,ek,x,p)，用户u首先从CS中获得关键词w的检验和，记为c_w，并判断下式是否成立：

$c_w={\mathrm{\Π}}_{{\mathrm{id}}_i\∈\mathrm{IDS}\left(w\right)}({\mathrm{id}}_i+x)\mathrm{mod}p$

若成立，则根据id_i向云存储服务器CSS获得相应的密文C_i，否则返回验证失败符号⊥给云存储服务器。

步骤6、用户关于密文的解密，即步骤Dec(C_i,K)

由用户u执行以解密密文数据，输入云存储服务器CSS返回的含有关键词w的密文C_i和系统密钥K，用户u执行解密算法得明文D_i＝SKE.Dec_ek(C_i)。

在云存储服务中，用户可以使用可搜索的加密方案对数据加密后，外包到云存储服务器。可搜索加密方案使得用户能够有选择的访问其密文数据，同时还能确保用户搜索数据的机密性。本发明提出了一个可验证的基于词典的可搜索加密方法，能够验证搜索结果的完备性，证明了方法的安全性分。通过与现有方案相比较，提出的方案具有陷门大小固定、安全、更新无需重新计算、可验证等优势。

Claims (2)

1.一种云存储中可验证的基于词典的可搜索加密方法，其特征在于，按照以下步骤具体实施： 

步骤1、系统参数初始化 

由用户u输入安全参数k，随机选择大素数p及x，1＜x＜p，p的二进制长度为k；令F：{0，1}^k×{0，1}^*→{0，1}^k、为两个伪随机函数，为伪随机置换，随机均匀的选择两个k-bit长的字符串K₁和K₂作为F和Q的随机种子；选择一个对称加密算法SKE＝(Gen,Enc,Dec)，生成加密密钥ek←SKE.Gen(1^k)，发布params＝(F,G,Q,SKE)作为系统参数，系统密钥为K＝(K₁,K₂,ek,x,p)； 

步骤2、用户u对文件加密和安全索引生成 

由用户u输入文档集合D＝(D₁,…,D_n)和系统密钥K＝(K₁,K₂,ek,x,p)，用户u按如下步骤计算： 

2.1)为每个文档D_i∈D,1≤i≤n，随机均匀地选择一个唯一的标识符 加密文档D_i为C_i＝SKE.Enc_ek(D_i)； 

2.2)为每个关键词w_j∈Δ,1≤j≤|Δ|，生成一个n维数组A_j，数组A_j按如下过程生成：对每个文档D_i∈D，随机均匀地选择一个k-bit的字符串r_j,i；若w_j∈W_i，计算和检验和c_j＝c_j×(x+id_i)modp，c_j的初值设为1，将 存储在A_j[i]，其中flag为一个固定的k-bit长的字符串；否则随机均匀地选择字符串将(v₁,r_j,i)存储在A_j[i]； 

2.3)将所有数组A_j组成一个|Δ|×n的索引矩阵M，其中A_j位于M的 行； 

2.4)将索引矩阵M和密文集合C＝(C₁,…,C_n)发送给云存储服务器Serv存储，检验和集合CS＝(c₁,…,c_|Δ|)由用户保存； 

步骤3、用户u关于关键词搜索令牌的生成 

由用户u输入要搜索的关键词w∈Δ和系统密钥K＝(K₁,K₂,ek,x,p)，计算搜索令牌将T_w发送给云存储服务器CSS； 

步骤4、云存储服务器关于密文关键词的搜索 

由云存储服务器Serv执行以搜索包含关键词w的文档标识符，输入陷门 和索引矩阵M，云存储服务器CSS首先定位到M的第 行，记该行向量为数组A_w，若无，则返回失败符号⊥给用户u；否则初始化一个空集IDS(w)，对A_w中的每个元素的值(v_i,1,v_i,2),1≤i≤n，计算 并判断下式是否成立： 

first_k_bit(υ)＝flag， 

其中first_k_bit(·)为取字符串前k-bit的函数，若成立，则IDS(w)＝IDS(w)∪{get_id(υ)}，其中get_id(·)为取字符串中的文档标识符函数，即获得υ的后log₂pbit；最后将搜索的含有关键词w文档标识符IDS(w)发送给用户u； 

步骤5、用户u验证搜索结果的完整性 

由用户u输入IDS(w)、用户自己保存的检验和集合CS＝(c₁,…,c_|Δ|)和系统密钥K＝(K₁,K₂,ek,x,p)，用户u首先从CS中获得关键词w的检验和，记为c_w，并判断下式是否成立： 

若成立，则根据id_i向云存储服务器CSS获得相应的密文C_i，否则返回验 证失败符号⊥给云存储服务器； 

步骤6、用户关于密文的解密 

由用户u输入云存储服务器CSS返回的含有关键词w的密文C_i和系统密钥K，用户u执行解密算法得到明文D_i＝SKE.Dec_ek(C_i)，即成。 

2.根据权利要求1所述的云存储中可验证的基于词典的可搜索加密方法，其特点在于：所述的对称加密算法选用高级加密算法AES。