CN105553660A - 一种动态可搜索公钥加密方法 - Google Patents

Abstract

本发明公开了一种动态可搜索公钥加密方法，属于密码学和云存储技术领域。本发明实现了在公钥加密机制下的云存储系统中密文数据的生成、密文数据的检索以及密文数据的动态更新功能。发送方加密文件关键字对(ID,W)生成可搜索密文，然后加密待上传文件生成带文件ID的密文文件，最后将可搜索密文和密文文件一同上传到服务器。接收方提交待搜索关键字W的陷门给云存储服务器，由云存储服务器进行检索得到对应的可搜索密文，进一步解密得到相关的文件ID，根据所得文件ID找到对应密文文件并返回给用户。接收方提交待删除文件ID的陷门给服务器，服务器根据该陷门信息检索密文索引得到对应可搜索密文索引，然后删除可搜索密文索引和对应文件ID的密文文件。

Description

一种动态可搜索公钥加密方法

技术领域

本发明属于密码学和云存储技术安全领域，更具体地，涉及一种动态可搜索公钥加密方法。

背景技术

随着互联网技术的迅速发展，大量的企业与个人选择将数据存储到云服务器上，而云存储技术带来的安全问题也引起了人们的关注。为了保证数据的安全性和隐私性，防止数据被非法用户获得，将数据进行加密技术处理后以密文形式存储在云服务器成为一种较为有效的技术手段。然而，用户如何在大量存储于云服务器的密文数据中检索并得到特定数据成为一个难题。数据经过加密存储后，密文数据失去了之前的明文结构，用户无法以检索明文数据的方式来检索存储在云服务器上的密文数据。此外，如何对存储在云服务器端的密文数据进行动态更新(即密文的添加和删除)，同时保证密文数据的隐私安全也是一个新的问题。因此，动态可搜索加密技术成为云存储技术的一个研究重点。

可搜索加密(SearchableEncryption，简称SE)是解决用户在密文数据上进行关键字检索的重要技术手段。根据加密技术的不同，可搜索加密算法分为可搜索对称加密算法和可搜索公钥加密算法。对称加密算法指的是加密和解密密钥都是来自于同一密钥，它们相等或是两者之间需要一些简单的转换。公钥加密算法是指通过一种算法得到一对密钥对(公钥和私钥)，公开公钥进行数据加密，秘密保存的私钥进行密文解密。

现有的动态可搜索加密算法研究都是基于对称加密算法，用户的明文数据经过对称加密后发送到云服务器。收发双方使用同一密钥对数据进行加密和解密，发送方和接收方需要在实现进行密钥的协商，通过安全信道进行密钥的传输。然而在一些无法通过安全信道进行密钥协商场景中，则需要运用动态可搜索公钥加密。目前还没有对基于公钥加密算法的动态可搜索加密算法的研究，设计一种支持物理删除的动态可搜索公钥加密技术将具有重要意义。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种动态可搜索公钥加密算法，解决了现有的可搜索公钥加密技术中的密文动态更新问题。本发明在公钥加密阶段，建立关于文件关键字对(ID,W)的可搜索密文索引结构，这样密文文件与可搜索密文索引通过具有相同的文件ID建立隐藏的内在联系。通过用户提交的文件ID信息，云服务器可以对可搜索密文和密文文件进行动态删除操作。

本发明提供一种动态可搜索公钥加密方法，该方法包括以下步骤：

步骤1系统初始化参数设置。根据系统预设的安全参数构建对应的双线性映射，并根据该双线性映射计算出主公共密钥PK和私钥SK：

(1-1)根据系统预设的安全参数k，构建双线性映射e:G×G→G_T，其中和G和G_T为椭圆曲线群，这两个椭圆曲线群的阶数q的长度等于安全参数k；

(1-2)在椭圆曲线群G中随机选取生成元g，随机选取一个正整数令P＝g^s。选择哈希函数如下：

H₁:{0,1}^*→G，H₂:G_T→{0,1}^k

(1-3)根据上述步骤(1-1)和(1-2)的结果生成主公共密钥PK和私钥SK：

PK＝(q,G,G_T,e,g,P,H₁,H₂)，SK＝s

步骤2可搜索密文和密文文件的生成。发送方根据主公共密钥PK为每个待上传文件生成关于文件关键字对(ID,W)的密文，建立文件的动态可搜索密文(L_w,L_id,D_id)，然后加密待上传文件生成带文件ID的密文文件，最后将生成的可搜索密文索引和密文文件一起上传到云存储服务器：

(2-1)随机选取两个正整数r₁,为关键字W和文件ID生成密文(L_w,L_id)：

$L_w=(L_{w,1}=H_2(e{\left(P,H_1\left(W\right)\right)}^{r_1}),L_{w,2}=g^{r_1})$

$L_{id}=(L_{id,1}=H_2(e{\left(P,H_1\left(ID\right)\right)}^{r_2}),L_{id,2}=g^{r_2})$

(2-2)随机选择正整数生成文件ID的密文：

$D_{id}=(D_{id,1}=H_2(e{\left(P,H_1\left(W\right)\right)}^{r_3})\⊕ID,D_{id,2}=g^{r_3})$

步骤3密文检索。接收方根据待搜索关键字W生成检索陷门T_W并提交给云服务器，云服务器根据该搜索陷门检索所有可搜索密文索引得到对应的可搜索密文，进一步地解密该密文得到待搜索文件ID，然后根据该文件ID找到相应的密文文件并返回给用户：

(3-1)接收方根据私钥SK生成待搜索关键字W的检索陷门T_W＝H₁(W)^s，并将搜索陷门提交给云服务器；

(3-2)云服务器根据检索陷门T_W检索所有的可搜索密文，如果可搜索密文(L_w,L_id,D_id)的第一部分L_w＝(L_w,1,L_w,2)满足

H₂(e(T_W,L_w,2))＝L_w,1

则所得密文为包含关键字W的可搜索密文；

(3-3)对检索得到的可搜索密文，解密第三部分D_id＝(D_id,1,D_id,2)，得到包含待搜索关键字的文件ID：

$ID=D_{id,1}\⊕H_2\left(e\right(T_W,D_{id,2}\left)\right)$

服务器根据所得文件ID返回相应的密文文件。

步骤4文件删除。接收方根据待删除文件ID生成文件删除陷门T_ID并提交给云服务器，云服务器根据文件删除陷门T_ID检索所有可搜索密文索引并找到对应的可搜索密文，然后删除对应的可搜索密文，同时删除具有相同文件ID的密文文件：

(4-1)接收方根据私钥SK生成待删除文件ID的删除陷门T_ID＝(T_ID,1＝H₁(ID)^s,T_ID,2＝ID)，并将删除陷门提交给云服务器；

(4-2)云服务器根据删除陷门T_ID检索所有的可搜索密文，如果可搜索密文(L_w,L_id,D_id)的第二部分L_id＝(L_id,1,L_id,2)满足：

H₂(e(T_ID,1,L_id,2))＝L_id,1

则所得密文为包含文件ID的可搜索密文；

(4-3)服务器删除检索到的可搜索密文，更新可搜索密文索引，根据检索陷门的文件ID删除对应密文文件。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，具有以下有益效果：

(1)安全性提高：本发明在加密阶段对文件标示符进行加密，在检索阶段通过解密可搜索密文得到文件标示符，通过文件标示符进一步找到对应密文文件。通过隐藏文件标示符，降低了可搜索密文之间的关联性，增大了可搜索密文不可区分性，密文安全性得到提高。

(2)密文的动态更新：本发明实现了密文的动态更新，用户通过提交删除陷门可以让云服务器删除对应的可搜索密文和密文文件，以此减少系统的存储开销。

附图说明

图1为本发明动态可搜索公钥加密方法的应用环境示意图；

图2为本发明动态可搜索公钥加密方法的流程图；

图3为本发明动态可搜索公钥加密方法的系统初始化和加密流程图；

图4为本发明动态可搜索公钥加密方法的搜索流程图；

图5为本发明动态可搜索公钥加密方法的文件删除流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

图1所示为本发明支持动态可搜索公钥加密方法的应用环境示意图。本发明应用于云存储环境，整个系统包括三个主体，发送方、云存储服务器和接收方。具体包括：

上传文件：根据待上传文件及其包含的关键字生成文件关键字对(ID,W)的可搜索密文，加密待上传文件生成密文文件，然后上传可搜索密文和密文文件。云服务器执行可搜索密文的动态更新，存储密文文件；

搜索请求：接收方根据待搜索关键字W生成检索限门T_W并上传至云存储服务器；

返回结果：云存储服务器根据检索限门完成可搜索密文的检索并将符合检索限门的密文文件返回给接收方；

删除请求：接收方根据待删除文件ID生成删除陷门T_ID并上传至云存储服务器，云服务器执行可搜索密文动态更新，删除密文文件。

图2所示为本发明支持动态可搜索公钥加密方法的流程图，主要包括以下步骤：

步骤1系统初始化，设置系统的各项参数，具体包括以下子步骤：

(1-1)根据系统预设的安全参数k，构建双线性映射e:G×G→G_T，其中G和G_T为椭圆曲线群，这两个椭圆曲线群的阶数q的长度等于安全参数k；

(1-2)在椭圆曲线群G中随机选取生成元g，随机选取一个正整数令P＝g^s；

(1-3)选择哈希函数H₁和H₂：H₂:G_T→{0,1}^k；

根据上述步骤的结果生成主公共密钥PK和私钥SK：

PK＝(q,G,G_T,e,g,p,H₁,H₂),SK＝s；

步骤2可搜索密文和密文文件的生成，如图3所示，具体包括以下子步骤：

(2-1)随机选取两个正整数r₁, $r_2\∈Z_p^{*},$ 为关键字W和文件ID生成密文(L_w,L_id)：

$L_w=(L_{w,1}=H_2(e{\left(P,H_1\left(W\right)\right)}^{r_1}),L_{w,2}=g^{r_1})$

$L_{id}=(L_{id,1}=H_2(e{\left(P,H_1\left(ID\right)\right)}^{r_2}),L_{id,2}=g^{r_2})$

(2-2)随机选择正整数生成文件ID的密文D_id：

$D_{id}=(D_{id,1}=H_2\left(e{\left(P,H_1\left(W\right)\right)}^{r_3}\right)\⊕ID,D_{id,2}=g^{r_3}$

根据上述步骤，得到可搜索密文和文件ID的密文文件(L_w,L_id,D_id)；

步骤3云服务器搜索操作，如图4所示，具体包括以下子步骤：

(3-1)接收方根据私钥SK生成待搜索关键字W的检索陷门T_W＝H₁(W)^s，并将检索陷门提交给云服务器；

(3-2)云服务器根据检索陷门T_W找到对应的可搜索密文，如果可搜索密文(L_w,L_id,D_id)的第一部分L_w＝(L_w,1,L_w,2)满足

H₂(e(T_W,L_w,2))＝L_w,1

则所得密文为包含关键字W的密文索引；

(3-3)对检索得到的密文解密，解密第三部分D_id＝(D_id,1,D_id,2)，得到包含待搜索关键字的文件ID：

$ID=D_{id,1}\⊕H_2\left(e\right(T_W,D_{id,2}\left)\right)$

服务器根据所得文件ID返回相应的密文文件。

步骤4云服务器删除操作，如图5所示，具体包括以下子步骤：

(4-1)接收方根据私钥SK生成待删除文件ID的删除陷门T_ID＝(T_ID,1＝H₁(ID)^s,T_ID,2＝ID)，并将删除陷门提交给云服务器；

(4-2)云服务器根据删除陷门T_ID找到对应的可搜索密文，如果可搜索密文(L_w,L_id,D_id)的第二部分L_id＝(L_id,1,L_id,2)满足：

H₂(e(T_ID,1,L_id,2))＝L_id,1

则所得密文为文件ID的密文索引；

(4-3)服务器删除检索到的可搜索密文，更新可搜索密文索引，根据检索陷门的文件ID删除对应密文文件。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (5)

1.一种动态可搜索公钥加密方法，其特征在于，该方法包括以下步骤：

步骤1、系统初始化参数设置：根据系统预设的安全参数构建对应的双线性映射，并根据该双线性映射计算出主公共密钥PK和私钥SK；

步骤2、动态可搜索公钥加密：发送方根据主公共密钥PK为每个待上传文件生成关于文件关键字对(ID,W)的密文，包括关键字W和文件ID的可搜索密文以及文件ID的密文文件，得到可搜索密文C＝(L_w,L_id,D_id)，然后加密待上传文件生成带文件ID的密文文件，最后将生成的可搜索密文和密文文件一起上传到云服务器；

步骤3、密文检索：接收方根据待搜索关键字W生成检索陷门T_W并提交给云服务器，云服务器根据该检索陷门检索所有可搜索密文并找到对应的可搜索密文，进一步地解密该密文得到待搜索文件ID，然后根据该文件ID找到相应的密文文件并返回给用户；

步骤4、文件删除：接收方根据待删除文件ID生成文件删除陷门T_ID并提交给云服务器，云服务器根据文件删除陷门T_ID检索所有可搜索密文索引并找到对应的可搜索密文，然后删除对应的可搜索密文和具有相同文件ID的密文文件。

2.如权利要求1所述的方法，其特征在于，所述的步骤1包含以下子步骤：

(1-1)根据系统预设的安全参数k，构建双线性映射e:G×G→G_T，其中和G和G_T为椭圆曲线群，这两个椭圆曲线群的阶数q的长度等于安全参数k；

(1-2)在椭圆曲线群G中随机选取生成元g，随机选取一个正整数令P＝g^s。选择哈希函数如下：

$H_1:{\{0,1\}}^{*}\→Z_q^{*},H_2:G_T\→{\{0,1\}}^k$

(1-3)根据上述步骤(1-1)和(1-2)的结果生成主公共密钥PK和私钥SK：

PK＝(q,G,G_T,e,g,P,H₁,H₂)，SK＝s。

3.如权利要求1或2所述的方法，其特征在于，在所述步骤2中，对于待上传文件中的每个文件关键字对(ID,W)，生成关键字W和文件ID的可搜索密文以及文件ID的密文文件，得到可搜索密文C＝(L_w,L_id,D_id)，具体包含以下子步骤：

(2-1)随机选取两个正整数r₁,为关键字W和文件ID生成密文(L_w,L_id)：

$L_w=(L_{w,1}=H_2\left(e{(P,H_1\left(W\right))}^{r_1}\right),L_{w,2}=g^{r_1})$

$L_{\mathrm{id}}=(L_{\mathrm{id},1}=H_2\left(e{(P,H_1\left(\mathrm{ID}\right))}^{r_2}\right),L_{\mathrm{id},2}=g^{r_2})$

(2-2)随机选择正整数生成文件ID的密文：

$D_{id}=(D_{id,1}=H_2(e{(P,H_1\left(W\right))}^{r_3})\⊕ID,D_{id,2}=g^{r_3}).$

4.如权利要求1或2所述的方法，其特征在于，所述步骤3包括以下子步骤：

(3-1)接收方根据私钥SK生成待搜索关键字W的检索陷门T_W＝H₁(W)^s，并将搜索陷门提交给云服务器；

(3-2)云服务器根据检索陷门T_W检索所有的可搜索密文，如果可搜索密文(L_w,L_id,D_id)的第一部分L_w＝(L_w,1,L_w,2)满足：

H₂(e(T_W,L_w,2))＝L_w,1

则所得密文为包含关键字W的可搜索密文；

(3-3)对检索得到的可搜索密文，解密第三部分D_id＝(D_id,1,D_id,2)，得到包含待搜索关键字的文件ID：

$ID=D_{id,1}\⊕H_2\left(e\right(T_W,D_{id,2}\left)\right).$

云服务器根据所得文件ID返回相应的密文文件。

5.如权利要求1或2所述的方法，其特征在与，所述步骤4包括以下子步骤：

(4-1)接收方根据私钥SK生成待删除文件ID的删除陷门T_ID＝(T_ID,1＝H₁(ID)^s,T_ID,2＝ID)，并将删除陷门提交给云服务器；

(4-2)云服务器根据删除陷门T_ID检索所有的可搜索密文，如果可搜索密文(L_w,L_id,D_id)的第二部分L_id＝(L_id,1,L_id,2)满足

H₂(e(T_ID,1,L_id,2))＝L_id,1

则所得密文为包含文件ID的可搜索密文；

(4-3)服务器删除检索到的可搜索密文，更新可搜索密文索引，根据检索陷门的文件ID删除对应密文文件。