CN107958163A - 基于云平台的实时动态数据安全存储管理系统 - Google Patents

Abstract

本发明公开一种基于云平台的实时动态数据安全存储管理系统，包含移动感知终端、授权用户终端和云服务器，移动感知终端产生实时动态数据，对数据和关键字进行加密操作和进行动态数据的及时更新，授权用户终端发送基于关键字的查询请求给云服务器进行数据查询，云存储服务器系统进行查询操作和部分解密操作，将查询的密文和生成的中间结果返回给授权用户本发明不仅能够支持对数值型关键字的多种操作，实现动态数据的查询树的实时更新，同时允许云服务器参与部分解密操作，有效降低用户的计算开销。

Description

基于云平台的实时动态数据安全存储管理系统

技术领域

本发明属于数据存储管理技术领域，具体涉及一种基于云平台的实时动态数据安全存储管理系统。

背景技术

云存储作为云计算的重要组成部分，能够允许用户可以随时随地访问远程存储的数据，并允许授权用户共享数。将数据集中存储在云端，用户不仅可以获得高质量的数据存储服务同时能够减少对数据的管理和维护成本。同时为了保证存储在云端的数据的隐私安全，常用的方法是将隐私数据以加密的形式上传到云服务器端，并允许授权用户通过关键字进行数据查询，但是移动终端设备的资源是有限的，包括带宽、内存、CPU处理能力等，将数据加密存储后移动设备对数据的操作将会消耗更多的资源，如存储量、耗电量等。

现存的加密方案在加密和解密过程中需要占据客户端大量的CPU和内存，但是对于手机等移动设备而言却不实用。一方面由于手机等移动设备产生的是实时动态数据，简单的关键字加密查询技术不能很好的实现用户数据的及时更新，用户端无法实现与云服务器的实时数据交互。在我们的系统中，对数值型的关键字允许移动终端和云服务器交互式建立二叉搜索树，实现数据的实时更新。另一方面，现有的加密方案中用户仍需要进行大量的加密解密操作，云服务器只是承担了一个查询的功能，用户的计算开销非常大，简单的数据加密方案并不适用于实际云环境中，在解密过程中会消耗更多的移动设备的存储量，计算开销和耗电量。在我们的存储管理系统中，将更多的解密操作放置在云端进行，从而更适用于资源受限的移动设备。

综上所述，如何构建安全高效的基于云平台的实时动态数据安全存储管理系统，实现移动感知终端数据的实时交互式更新是目前急需要解决的技术问题，同时在避免隐私泄露的前提下让降低移动设备端的资源消耗如存储量、用电量等，也是一个急需解决的技术问题。

发明内容

发明目的：本发明的目的在于解决现有技术中存在的不足，提供一种基于云平台的实时动态数据安全存储管理系统，本发明中的移动感知终端对本地的文件和关键字进行基于双线性映射的加密操作，同时对数值型的关键字建立二叉搜索树，根据二叉搜索树中节点的路径进行二进制编码建立查询列表，本发明不仅能实现实时动态数据在云存储中的及时更新，同时允许云服务器参与部分的解密操作来有效降低移动感知终端的计算开销。

技术方案：本发明公开一种基于云平台的实时动态数据安全存储管理系统，其特征在于：包括移动感知终端(Mobile Perception Terminal)、授权用户终端(AuthorizedUser Terminal)和云服务器(Cloud Server)三个参与方，分别简记为MP、AU和CS；所述移动感知终端产生实时动态数据，并对数据和关键字进行加密操作和进行动态数据的及时更新，所述加密过程包括密钥产生、文件加密、关键字加密、二叉搜索树和查询列表建立、以及将加密的文件关键字和二叉搜索树一并上传到云服务器CS；所述授权用户终端发送基于关键字的查询请求给云服务器，包括关键字的陷门值，获取加密的文件后进行解密操作获取明文文件；所述云服务器进行查询操作和部分解密操作，将查询的密文和生成的中间结果返回给授权用户。

其中所述移动感知终端产生实时动态数据，对数据和关键字进行加密操作和进行动态数据的及时更新，包括密钥产生模块、文件加密模块、关键字加密模块、二叉搜索树和查询列表建立模块。

进一步的，所述密钥产生的具体方法为：

移动感知终端选取一个阶为素数p的循环群G，并且g是该循环群G的一个生成元，密钥管理中心通过随机函数Rand()生成随机数x，作为生成移动感知终端MP的私钥M_pri＝x，计算MP的公钥M_pub＝g^x；通过随机函数Rand()生成随机数y，生成云服务器CS的私钥S_pri＝y，计算CS的公钥S_pub＝g^y；通过随机函数Rand()生成随机数z，生成授权用户终端AU的公钥O_pri＝z，计算AU的公钥O_pub＝g^z。

进一步的，所述文件加密过程中，对本地的明文数据采用基于双线性映射的非对称加密方式进行加密，具体方法为：

首先，移动感知终端MP对动态数据集F标记为F＝{F₁,F₂,...,F_n}，其中每个F代表一条动态数据；然后，移动感知终端MP选取随机数分别计算两个中间结果C'＝g^r和接着，利用移动感知终端MP的私钥M_pri、云服务器CS的公钥S_pub和授权用户AU的公钥O_pri对每个文件F_i进行两次哈希运算和一次双线性映射匹配之后与明文文件异或生成相应的密文文件C_i，1≤i≤n；

文件加密：

输入：F＝{F₁,F₂,...,F_n}，g^x,g^y,g^z；

输出：C＝{C₁,C₂,...,C_n}；

C_i←F_i⊕H(e(H(ρ),g^z)^x)；

其中H是三个随机预言机，分别满足以下条件：

H₁:{0,1}^*→G₁，G₁是阶为素数p的加法群，G₂是阶为素数p的乘法群，是模p的整数集合，e()是一个双线性映射，g^x是动态数据感知终端的公钥，g^y是云服务器的公钥，g^z是授权用户的公钥。

进一步的，所述关键字加密过程中，移动感知终端MP对数据集F＝{F₁,F₂,...,F_n}中的任一动态数据F_i∈F进行关键字提取，共m个关键字记为w＝{w₁,w₂,...,w_m}(即是指每个F进行m个关键字提取)，然后移动感知终端MP通过私钥M_pri对每个关键字w_i进行加密操作生成对应的加密关键字cw_i；

关键字加密：

输入：关键字w＝{w₁,w₂,...,w_m},g^r,x；

输出：cw＝{cw₁,cw₂,...,cw_m}；

cw_i←H(e(g^r,H(w_i)^x))；

其中e()是一种双线性映射，x是移动感知终端MP的私钥。

进一步的，所述移动感知终端的加密过程中对数值型的关键字建立二叉搜索树来实现保序，所述移动感知终端MP和云服务器CS边交互边建立二叉搜索树，云服务器返回数据，移动感知终端进行数据比较后要求返回左子树节点还是右子树节点，从而确定数据插入位置；

上述交互边建立的过程，移动感知终端将根节点内容加密后上传到云服务器，对任意数据，云服务器从二叉树的根节点开始返回给移动感知终端，移动感知终端解密后与得到的明文数据比较，若小于该数据，则返回右子树节点，若大于返回数据，则返回左子树节点，直至空位置，将加密后的数据插入二叉树中，并对二叉搜索树进行二进制编码；对树中每个节点是一个关键字的密文值，对任意一个节点v，所有左子树中节点的值都小于v，所有右子树中节点值都大于v，并对二叉搜索树进行二进制编码。

进行二进制编码时，二叉搜索树中每个左侧路径用一个“0”二进制位标记，每个右侧路径用一个“1”二进制位标记，每个节点的路径由根节点到该节点的路径上的标记按位串联来表示，将所有的节点的二进制路径进行位填充到相同的长度，如下公式所示：

每个节点的二进制编码＝{[节点的二进制路径]10...0}，

建立查询列表过程时将二叉树中每个节点的二进制编码转换成十进制编码，并将节点对应的关键字密文值和十进制编码对应存放到一个数据表，数据表中存放的信息为：

其中C_i是密文数据，Dec_mi是密文数据对应的十进制数据，Bin_mi是密文数据对应的二进制数据；

最终移动感知终端MP将、二叉搜索树和查询列表一并上传到云服务器CS，上传的信息为：

mes_{MP→CS}＝{C',C",C₁||(w₁,...,w_n),C₂||(w₁,...,w_n),...,C_n||(w₁,...,w_n)}；

其中C',C"是移动感知终端MP计算的两个中间结果。

进一步的，所述授权用户AU查询数据过程中，授权用户AU发送需要查询的关键字w_j给移动感知终端MP，且w_j∈w，移动感知终端MP使用私钥x生成查询关键字的陷门值Tw_j返还给授权用户AU，授权用户AU获取陷门值后发送查询请求给云服务器CS；

陷门值生成：输入：w_j，x；输出：Tw_j

Tw_j←H(w_j)^x

其中x是移动感知终端MP的私钥。

进一步的，所述根据C'、C"和移动感知终端MP的公钥g^x计算中间结果C_ρ，将中间结果C_ρ和查询到的密文文件一并发送给授权用户AU，具体步骤如下：

(A)云服务器将C'和公钥进行双线性映射匹配之后进行一次哈希运算，再与C"进行异或计算出ρ；

(B)将计算得出的ρ进行一次哈希运算之后再与公钥进行双线性映射匹配运算得到中间结果C_ρ；

中间结果计算：输入：C'、C"、g^x、y；输出：C_ρ

C_ρ←e(H₃(ρ),g^x)

其中g^x是移动感知终端MP的公钥，y是云服务器CS的私钥。

进一步的，授权用户AU根据云服务器CS返回的中间结果C_ρ与密文文件，通过私钥O_pri获取明文，具体方法为：

(a)授权用户获取中间结果和密文文件之后，利用私钥对中间结果进行哈希运算；

(b)将哈希运算后的结果与密文文件异或快速恢复出明文文件；

解密：输入：C_ρ、z、C_i；输出：F_i

其中z是授权用户AU的私钥。

有益效果：本发明中的移动感知终端对本地的文件和关键字进行基于双线性映射的加密操作，同时对数值型的关键字建立二叉搜索树，根据二叉搜索树中节点的路径进行二进制编码建立查询列表，还允许允许云服务器参与部分解密操作生成中间结果，用户根据中间结果恢复明文信息。

与现有技术相比，本发明具有以下优点：

(1)采用基于云平台的数据存储技术，能实现对大量数据的集中规范管理。

(2)文件和关键字的加密操作是基于双线性映射的非对称加密方法，允许云服务器参与一部分的解密操作生成中间结果，用户根据中间结果能快速恢复出明文文件，能够有效降低移动感知终端的计算开销。

(3)对数值型的关键字建立二叉搜索树和查询列表，支持排序、比较等多种运算操作，实现了动态数据的实时更新，增加了系统的实用性。

附图说明

图1是本发明的系统结构图；

图2是实施例的存储信息示意图；

图3是实施例的加密后的存储信息示意图；

图4是实施例的文件加密过程示意图；

图5是实施例的关键字加密过程示意图；

图6是实施例数值型关键字二叉树和查询列表建立过程示意图；

图7是实施例授权用户数据查询过程示意图；

图8是实施例的计算开销与数据数量的影响图；

图9是实施例的资源消耗与数据数量的影响图。

具体实施方式

下面对本发明技术方案进行详细说明，但是本发明的保护范围不局限于所述实施例。

实施例1：

如图1所示，本实施例中的基于云平台的实时动态数据安全存储管理系统，包括移动感知终端、授权用户终端和云服务器。移动感知终端产生实时动态数据，对数据和关键字进行加密操作和进行动态数据的及时更新，包括密钥产生模块、文件加密模块、关键字加密模块、二叉搜索树和查询列表建立模块。授权用户终端发送基于关键字的查询请求给云服务器，包括关键字的陷门值，获取加密的文件后进行解密操作获取明文文件。云存储服务器系统进行查询操作和部分解密操作，将查询的密文和生成的中间结果返回给授权用户。

本实施例中，移动感知终端的文件和关键字加密方法流程为：

步骤一：移动感知终端实时记录动态数据，并对数据进行编号和关键字提取，对动态数据和关键字进行基于双线性映射的加密操作，同时将动态数据与云平台实时更新关键字的二叉搜索树。

步骤二：授权用户发送需要查询的关键字到移动感知终端，移动感知终端返回关键字的陷门值，接收到陷门值后授权用户发送查询语句到云服务器。

步骤三：云服务器接收到查询请求后，判断关键字是否是数值型，对数值型的关键字到查询列表中进行排序比较操作，对文本型关键字只需执行匹配操作，同时计算中间结果，将中间结果和查询结果一并返还给授权用户。

步骤四：授权用户接收到密文文件后根据中间结果快速恢复出明文文件。

上述步骤一中，移动感知终端对动态数据和关键字进行基于双线性映射的加密操作，同时将动态数据与云平台实时更新关键字的二叉搜索树的具体步骤如下：

1)、密钥管理中心根据安全的参数分别为移动感知终端、云服务器和授权用户生成公私密钥对。

对给定的安全参数将(x,g^x)作为移动感知终端MP的公私密钥对；对给定的安全参数将(y,g^y)作为云服务器CS的公私密钥对；对给定的安全参数将(z,g^z)作为授权用户AU的公私密钥对。

2)、移动感知终端MP对数据集F标记为F＝{F₁,F₂,...,F_n}，其中每个F代表着一条实时数据，如图2所示，移动感知终端共生成四条实时动态数据。移动感知终端MP对每个F进行加密操作生成密文C。移动感知终端MP对每个关键字进行加密操作生成加密关键字Cw，如图3所示，本实施例中的密文文件是加密后的数据信息，而日期是查询关键字。

3)、如图4所示，移动感知终端MP选取随机数和分别计算C'＝g^r和然后利用移动感知终端MP的私钥x、云服务器CS的公钥g^y和授权用户AU的公钥g^z对每条数据F_i进行加密生成对应的密文文件C_i。

4)、如图5所示，对每个关键字移动感知终端MP利用私钥x计算两次哈希运算和一次双线性映射匹配运算生成密文。

cw_i←H₄(e(g^r,H₃(w_i)^x))

5)、移动感知终端MP对日期这个数值型关键字生成二叉搜索树和查询列表。本实施例中，日期关键字是数值型，每生成一条动态数据，移动感知终端都需要根据日期的顺序建立二叉搜索树，如图6所示，云服务器根据二叉搜索树中每个节点的路径生成二进制编码最后转换成十进制编码存储在查询列表中。

6)、移动感知终端MP将密文文件和二叉搜索树的结构一并上传到云服务器存储。

如图7所示，上述步骤二中，授权用户查询日期在20160112之后的文件具体步骤如下：

1)请参考图2，授权用户AU将查询的日期关键字‘20160112’发送给移动感知终端MP，移动感知终端MP使用私钥x生成陷门值‘x73e16c’返还给授权用户AU。

2)授权用户发送包含陷门值得查询语句给云服务器

SELECT*FROM tab1WHERE data>’x73e16c’；

上述步骤三中，云服务器执行查询语句的具体步骤如下：

1)云服务器根据关键字的陷门值到查询列表中获取对应的十进制编码，‘x73e16c’对应的十进制编码是4；

2)云服务器将查询语句改写成

SELECT*FROM tab3WHERE encoding>4；

3)根据查询列表获取查询结果是密文‘x27712c’，将其对应的密文文件C₄发送给授权用户；

4)计算中间结果

和C_ρ←e(H₃(ρ),g^x)

上述步骤四中，授权用户根据中间结果解密文件的具体步骤如下：

授权用户对获得的密文文件C₄解密得到明文文件

具体实验结果如下：

在用户进行数据查询解密过程中，主要受数据量的影响，图8和图9分别表示移动设备的内存消耗量和计算开销与数据量成线性关系，与其他实时数据管理系统相比本发明的系统在数据检索解密阶段更具有高效率。

通过上述实施例可以明显看出，本发明不仅能够支持对数值型关键字的多种操作，实现动态数据的查询树的实时更新，同时允许云服务器参与部分解密操作，有效降低用户的计算开销。

Claims (8)

1.一种基于云平台的实时动态数据安全存储管理系统，其特征在于：包括移动感知终端、授权用户终端和云服务器三个参与方，分别简记为MP、AU和CS；

所述移动感知终端产生实时动态数据，并对数据和关键字进行加密操作和进行动态数据的及时更新，所述加密过程包括密钥产生、文件加密、关键字加密、二叉搜索树和查询列表建立、以及将加密的文件关键字和二叉搜索树一并上传到云服务器CS；

所述授权用户终端发送基于关键字的查询请求给云服务器，包括关键字的陷门值，获取加密的文件后进行解密操作获取明文文件；

所述云服务器进行查询操作和部分解密操作，将查询的密文和生成的中间结果返回给授权用户。

2.根据权利要求1所述的基于云平台的实时动态数据安全存储管理系统，其特征在于：所述密钥产生的具体方法为：

移动感知终端选取一个阶为素数p的循环群G，并且g是该循环群G的一个生成元，密钥管理中心通过随机函数Rand()生成随机数x，作为生成移动感知终端MP的私钥M_pri＝x，计算MP的公钥M_pub＝g^x；通过随机函数Rand()生成随机数y，生成云服务器CS的私钥S_pri＝y，计算CS的公钥S_pub＝g^y；通过随机函数Rand()生成随机数z，生成授权用户终端AU的公钥O_pri＝z，计算AU的公钥O_pub＝g^z。

3.根据权利要求1所述的基于云平台的实时动态数据安全存储管理系统，其特征在于：所述文件加密过程中，对本地的明文数据采用基于双线性映射的非对称加密方式进行加密，具体方法为：

首先，移动感知终端MP对动态数据集F标记为F＝{F₁,F₂,...,F_n}，其中每个F代表一条动态数据；然后，移动感知终端MP选取随机数r,分别计算两个中间结果C'＝g^r和C"＝ρ⊕H₁(e(g^r,g^y)^x)，接着，利用移动感知终端MP的私钥M_pri、云服务器CS的公钥S_pub和授权用户AU的公钥O_pri对每个文件F_i进行两次哈希运算和一次双线性映射匹配之后与明文文件异或生成相应的密文文件C_i，1≤i≤n；

文件加密：

输入：F＝{F₁,F₂,...,F_n}，g^x,g^y,g^z；

输出：C＝{C₁,C₂,...,C_n}；

C_i←F_i⊕H(e(H(ρ),g^z)^x)；

其中H是三个随机预言机，分别满足以下条件：

H₁:{0,1}^*→G₁，G₁是阶为素数p的加法群，G₂是阶为素数p的乘法群，是模p的整数集合，e()是一个双线性映射，g^x是动态数据移动感知终端的公钥，g^y是云服务器的公钥，g^z是授权用户的公钥。

4.根据权利要求1所述的基于云平台的实时动态数据安全存储管理系统，其特征在于：所述关键字加密过程中，移动感知终端MP对数据集F＝{F₁,F₂,...,F_n}中的任一动态数据F_i∈F进行关键字提取，共m个关键字记为w＝{w₁,w₂,...,w_m}，然后移动感知终端MP通过私钥x对每个关键字w_k(w_k∈w)进行加密操作生成对应的加密关键字cw_k；

关键字加密：

输入：关键字w＝{w₁,w₂,...,w_m},g^r,x；

输出：cw＝{cw₁,cw₂,...,cw_m}；

cw_k←H(e(g^r,H(w_k)^x))；

其中e()是一种双线性映射，x是移动感知终端MP的私钥,w_k∈w。

5.根据权利要求1所述的基于云平台的实时动态数据安全存储管理系统，其特征在于：所述移动感知终端MP和云服务器CS边交互边建立二叉搜索树，云服务器返回数据，移动感知终端进行数据比较后要求返回左子树节点还是右子树节点，进而确定数据插入位置；

上述交互边建立的过程，移动感知终端将根节点内容加密后上传到云服务器，对任意数据，云服务器从二叉树的根节点开始返回给移动感知终端，移动感知终端解密后与得到的明文数据比较，若小于该数据，则返回右子树节点，若大于返回数据，则返回左子树节点，直至空位置，将加密后的数据插入二叉树中，并对二叉搜索树进行二进制编码；进行二进制编码时，二叉搜索树中每个左侧路径用一个“0”二进制位标记，每个右侧路径用一个“1”二进制位标记，每个节点的路径由根节点到该节点的路径上的标记按位串联来表示，将所有的节点的二进制路径进行位填充到相同的长度，如下公式所示：

每个节点的二进制编码＝{[节点的二进制路径]10...0}，

建立查询列表过程时将二叉树中每个节点的二进制编码转换成十进制编码，并将节点对应的关键字密文值和十进制编码对应存放到一个数据表，数据表中存放的信息为：

<mrow> <msub> <mi>mes</mi> <mrow> <mo>{</mo> <mi>O</mi> <mi>P</mi> <mi>E</mi> <mi>T</mi> <mi>a</mi> <mi>b</mi> <mi>l</mi> <mi>e</mi> <mo>}</mo> </mrow> </msub> <mo>=</mo> <mo>{</mo> <msub> <mi>C</mi> <mi>i</mi> </msub> <mo>,</mo> <msub> <mi>Dec</mi> <msub> <mi>m</mi> <mi>i</mi> </msub> </msub> <mo>,</mo> <msub> <mi>Bin</mi> <msub> <mi>m</mi> <mi>i</mi> </msub> </msub> <mo>}</mo> <mo>;</mo> </mrow>

其中C_i是密文数据，是密文数据对应的十进制数据，是密文数据对应的二进制数据；

最终移动感知终端MP将、二叉搜索树和查询列表一并上传到云服务器CS，上传的信息为：

mes_{MP→CS}＝{C',C",C₁||(w₁,...,w_n),C₂||(w₁,...,w_n),...,C_n||(w₁,...,w_n)}。

其中C',C"是移动感知终端MP计算的两个中间结果。

6.根据权利要求1所述的基于云平台的实时动态数据安全存储管理系统，其特征在于：所述授权用户AU查询数据过程中，授权用户AU发送需要查询的关键字w_j给移动感知终端MP，且w_j∈w，移动感知终端MP使用私钥x生成查询关键字的陷门值Tw_j返还给授权用户AU，授权用户AU获取陷门值后发送查询请求给云服务器CS；

陷门值生成：输入：w_j，x；输出：Tw_j

Tw_j←H(w_j)^x

其中x是移动感知终端MP的私钥。

7.根据权利要求1所述的基于云平台的实时动态数据安全存储管理系统，其特征在于：所述根据C'、C"和移动感知终端MP的公钥g^x计算中间结果C_ρ，将中间结果C_ρ和查询到的密文文件一并发送给授权用户AU，具体步骤如下：

(A)云服务器将C'和公钥进行双线性映射匹配之后进行一次哈希运算，再与C"进行异或计算出ρ；

(B)将计算得出的ρ进行一次哈希运算之后再与公钥进行双线性映射匹配运算得到中间结果C_ρ；

中间结果计算：输入：C'、C"、g^x、y；输出：C_ρ

ρ←C”⊕H₁(e(g^r,g^x)^y)

C_ρ←e(H₃(ρ),g^x)

其中g^x是移动感知终端MP的公钥，y是云服务器CS的私钥。

8.根据权利要求1所述的基于云平台的实时动态数据安全存储管理系统，其特征在于：授权用户AU根据云服务器CS返回的中间结果C_ρ与密文文件，通过私钥O_pri获取明文，具体方法为：

(a)授权用户获取中间结果和密文文件之后，利用私钥对中间结果进行哈希运算；

(b)将哈希运算后的结果与密文文件异或快速恢复出明文文件；

解密：输入：C_ρ、z、C_i；输出：F_i

F_i←C_i⊕H₄(C_ρ)^z

其中z是授权用户AU的私钥。