CN108011713B

CN108011713B - 一种云存储中基于同态加密的密文检索方法

Info

Publication number: CN108011713B
Application number: CN201711138161.7A
Authority: CN
Inventors: 黄海平; 于湃; 陶屹; 朱洁; 施展; 吴敏; 黄俊杰; 李靖
Original assignee: Jiangsu Province Xintong Intelligent Traffic Science & Technology Development Co ltd; Nanjing University of Posts and Telecommunications
Current assignee: Jiangsu Province Xintong Intelligent Traffic Science & Technology Development Co ltd; Nanjing University of Posts and Telecommunications
Priority date: 2017-11-16
Filing date: 2017-11-16
Publication date: 2020-11-20
Anticipated expiration: 2037-11-16
Also published as: CN108011713A

Abstract

本发明公开了一种云存储中基于同态加密的密文检索方法。随着云计算技术的迅速发展，许多用户和个人会选择将本地的数据存储在云端，这样做可以很大的节省本地存储空间，但是面对“诚实且好奇”的云服务器，用户会失去对数据的控制，并且在云服务器上对于庞大的数据量如何有效的检索成了一个迫切需要解决的问题。本发明针对这一问题提出了一种基于同态加密的密文检索方法，在计算过程中不会向云服务器和其他攻击者透露任何信息，保障了数据的安全性，同时使用树形结构来存储密文，使得密文检索效率提高，可动态添加和删除用户。

Description

一种云存储中基于同态加密的密文检索方法

技术领域

本发明提出了一种基于同态加密的密文检索方法，主要用于解决云计算中数据加密检索以及检索效果问题，属于云计算和应用密码学的交叉技术领域。

背景技术

随着云计算技术的发展，互联网上的数据呈现出一个爆炸性的增长。许多公司和个人选择将他们的数据存放在云服务器上。但是同时诚实且好奇的云服务器无时不刻不在窥探用户的数据，因此，公司和个人在将数据存入云服务器之前需要先进行加密处理，从而保证数据的隐私性和安全性。

加密技术虽然能保障数据的隐私性和安全性，但在检索所需数据的时候往往需要将所有密文全部从云端下载到客户端，解密之后才能检索相关数据，当数据量大到一定程度的时候，如果用户仅仅需要部分数据，则下载全部数据就会浪费很多空间资源和带宽资源。因此，为了减少资源的浪费，“可搜索加密技术”应运而生。

可搜索加密技术作为一种新的密码学技术，能够在对数据提供加密功能的同时，也能对加密后的大量数据实施目标检索功能。这样就避免了在面对大量的数据集时需要把所有数据下载到客户端的情形，从实际上解决了空间资源和带宽资源浪费的问题。

现有的检索方法中，大部分均使用关键词检索方式。关键词索引方式在客户端做数据的预处理，生成关键词索引，将数据和索引加密之后放入云端，这种方法虽然现实可行，但是搜索效率还有待进一步提升。

发明内容

一、重要术语及约束

加密算法：加密算法是用来对云端数据进行保密的一种方法，一般可以分为对称加密算法和非对称加密算法以及其他类型的加密算法。本发明专利所提及的加密算法为非对称加密算法，同态加密算法的具体设计与实现方式并非本专利所要保护的内容，它仅作为本方案实现的一种技术手段。

R-树：目前针对于可搜索加密的树形结构有很多(例如哈希树、B树)，在R-树中，每个节点是用矩形来表示的。本发明专利所提及用于存储数据的树不针对上述情况进行具体区分，R-树的原理及实现并非本专利所要保护的内容，它仅作为本方案的一种技术手段。

节点分裂操作：在生成R-树的过程中，非根非叶节点中包含子节点的数量有上下限，最少m个，最多M个，当一个非叶节点插入记录大于M个时，则需将当前非叶节点分裂成两个节点来存储记录。

二、方案设计

为了解决以上问题，本发明提出了一种新型的云存储中基于同态加密的密文检索方法。该发明方法实现了动态的添加和删除用户，同时使用树形结构存储加密数据，使得检索效率大大提高，能将检索时间控制在线性时间。

为此，本发明采用的技术方案包括以下步骤：

步骤一、系统初始化：数据拥有者初始化系统参数，生成密钥和用户表，并将用户表发送给云服务器。

步骤二、添加用户：数据拥有者将新用户的身份信息发送给云端服务器列表，并且将私钥发送给新用户，用来加密查询向量和解密文档。

步骤三、生成搜索树(R-树)：数据拥有者将所有文档生成一棵树，所有的文档都放在叶子节点，非叶节点用来存储搜索信息，并且同时生成一个指示器覆盖所有的父亲-孩子之间的关系。

步骤四、加密：数据拥有者对文档和树进行加密。首先用公钥加密每一个叶子节点(即每一个文档)，然后加密非叶节点，最终生成一棵加密树，最后将加密后的文档和树一起发送给云端服务器。

步骤五、生成查询令牌：用户使用私钥和明文查询向量生成加密后的查询向量，用来查询目标文档。

步骤六、文档检索：用户使用查询向量向云端发起检索请求，服务器分两步完成检索过程，第一步，首先查询用户表中是否有该用户，如果没有，则拒绝提供检索，否则，服务器首先检索到包含该查询指令的最深非叶节点，然后检索到最深非叶节点的叶节点，解密叶节点作为临时的最近邻居，由临时最近邻居生成临时的查询多维空间，然后在客户端加密多维空间并发送给服务器。第二步，服务器由查询多维空间来确定哪些点在多维空间内，并最终返回查询结果给用户。

步骤七、文档解密：用户使用解密密钥对接收到的密文进行解密，得到明文。

步骤八、删除用户：数据拥有者将用户信息从用户列表中直接删除。

具体的，步骤一中系统初始化的具体过程为：

S11、数据拥有者随机选取系统参数k，

是一个多项式时间算法，以1^k为输入，输出(n，p，q)，其中n＝p×q，p和q为安全大素数。

S12、生成公钥PK，用于加密文档和树。

S13、生成私钥SK，用于解密文档。

S14、生成用户表，用于添加和删除用户，并将用户表发送到云端服务器。

步骤二中添加用户的具体过程为：

S21、数据拥有者将新用户U_i发送给服务器，并将U_i添加进用户表，其中i从1开始计数，表示新用户的个数。

S22、数据拥有者将私钥SK和n发送给新用户。

步骤三中生成搜索树(R-树)的具体过程为：

S31、从根节点开始，选择孩子节点插入文档。

S32、当节点数超过M时(M为节点中单元个数的上限)，需要进行节点分裂操作，直到将所有的文档插入进树中。

S33、在树中，每一个节点和查询令牌用

来表示，其中w表示维度，T表示每个维度的长度。

步骤四中加密的具体过程为：

S41、首先对文档进行加密，读取明文字符，将明文字符转换为二进制来表示，生成二进制消息PT。

S42、将PT分为若干长度为a的消息分组(a的长度应该小于p)，即PT＝pt₁pt₂…pt_s，pt_i(i＝1，2，…，s)为PT中某一个长度为a的分组；

S43、任取R∈Z^*，计算ct_i＝(pt_i+p×R)mod n，得出密文CT＝ct₁ct₂…ct_s，i从1开始取值到s。用户接收到密文，并且将密文分组CT＝ct₁ct₂…ct_s，，ct_i(i＝1，2，…，s)为CT中某一个长度为a的分组；

S44、对于树的加密，假设每一个节点维度为w，在多维空间中，每个叶子节点表示为L_i＝(l_i，1，l_i，2…l_i，w)，每个非叶节点表示为NL_j，也是一个多维空间，我们用{*}来表示加密后的格式，即L_i加密后的格式为{L_i}，依此类推。

S45、数据拥有者将加密后的R-树以及文档发送给服务器。

步骤五中生成查询令牌的具体过程为：

S51、用户依据服务器提供的私钥SK和n，生成查询向量Q＝(q₁，q₂…q_w).

S52、加密查询向量，加密后结果为{Q}＝({q₁}，{q₂}…{q_w})

步骤六中文件检索的具体过程为：

S61、从根节点开始，找出包含查询向量的最深非叶节点。即判断{Q}是否在多维空间内。

S62、找到在当前非叶节点内离查询节点{Q}最近的叶子节点，将这个叶子节点设置为临时最近节点TL＝(tl₁，tl₂…tl_w)。tl₁，tl₂…tl_w为节点向量TL根据节点维度w划分后的相应子向量；

S63、计算查询节点和叶子节点的欧式距离

以点{Q}为中心，2d为边长生成一个临时多维空间。

S64、从根节点重新检索，若该临时多维空间与非叶节点之间有重合，则继续检索非叶节点的孩子节点，否则，舍弃该非叶节点。

S65、检索到临时多维空间内的所有叶节点，返还文档给用户。

步骤七中文件解密的具体过程为：

S71、用户接收到密文，并且将密文分组CT＝ct₁ct₂…ct_s。

S72、使用私钥SK进行解密运算pt_i＝ct_imod n，i从1开始取值到s。得到明文消息PT＝pt₁pt₂…pt_s。

S73、将二进制数字转化为明文字符从而得到明文文件。

步骤八中删除用户的具体过程为：

S81、数据拥有者向云端服务器发送命令删除用户u_i，服务器直接在用户表中删除这个用户。

有益效果

1、本发明利用同态加密可以进行密文计算的特性，设计出一种基于同态加密的密文检索方法，可以对密文直接进行检索，不会向服务器透露出任何信息。

2、本发明采用R-树设计出一种云存储方案，在多维空间中，用多维向量来表示节点位置，在检索时只需找出距离查询向量的最近的点或者最近的k个点，即可检索出目标文件，检索效率较高。3、实现了用户的动态管理，服务器中存放一个用户表，用于添加和删除用户，只有在用户表中的用户，云服务器才对其提供检索服务，并且在添加和删除用户的时候，不需要对全部用户重新分配密钥。

附图说明

图1为用户表；

图2为文档在树中存储方式；

图3为总流程图。

具体实施方式

下面结合具体实施方式对本发明进行详细说明。

假设Alice想要将她的文件数据集D＝(D₁D₂…D_n)加密后存入云服务器，供用户搜索。用户Bob想要检索其中的文件。方法包括八个多项式时间的算法，按照以下步骤具体实施。

步骤一，系统初始化

Alice初始化系统参数，生成密钥和用户表，并将用户表发送给云服务器。

具体过程如下：

S11、Alice随机选取系统参数k，以1^k为输入，输出(n＝0101 1011，P＝0111，q＝1101)

S12、生成公钥PK＝0001，用于加密文档和树。

S13、生成私钥SK＝1101，用于解密文档。

S14、生成用户表，用于添加和删除用户，Alice将用户表发送到云端服务器。

步骤二，添加用户

Alice将Bob的身份信息发送给云端服务器列表，并且将私钥发送给Bob，用来生成查询令牌和解密文档。

具体过程如下：

S21、Alice将Bob的信息发送给服务器。

S22、Alice将私钥SK和n发送给Bob。

步骤三，生成搜索树(R-树)

Alice将D＝(D₁D₂…D_n)生成一棵树，所有的文档都放在叶子节点，非叶节点用来存储搜索信息，并且同时生成一个指示器覆盖所有的父亲-孩子之间的关系。

具体过程如下：

S31、从根节点开始，选择孩子节点插入文档。

S33、在树中，每一个节点和查询令牌用

来表示，其中w表示维度，T表示每个维度的长度。

步骤四，加密过程

Alice对文档和树进行加密。首先用公钥加密每一个叶子节点(即每一个文档)，然后加密非叶节点，最终生成一个加密树，最后将加密后的文档和树一起发送给云端服务器。

具体过程如下：

S41、首先对文档进行加密，读取明文字符(例如“你好世界”)，将明文字符转换为二进制来表示，生成二进制消息PT＝0100 1111 0110 0000 0101 1001 0111 1101 01001110 0001 0110 0111 0101 0100 1100

S42、任取R＝00011011，计算ct_i＝(pt_i+p×R)mod n，得出密文CT＝1011 000101101101 0111 1100 00010000 1110 00010100 1011 00010101 1000 1101 1110 1100 101100010011。

S44、对于树的加密，假设每一个节点维度w＝2，即每个叶子节点表示为L_i＝(l_i，1，l_i，2)，每个非叶节点表示为

此时多维空间为一个矩形，每个点表示为

我们用{*}来表示加密后的格式，即L_i加密后的格式为{L_i}，依此类推。

S45、Alice将加密后的R-树以及文档发送给服务器。

步骤五，生成查询令牌

Bob使用私钥和明文查询令牌生成加密后的查询令牌，用来查询目标文档。

具体过程如下：

S51、Bob依据服务器提供的私钥和n，假设生成查询节点Q＝(q₁，q₂)＝(12，12)，如图2所示。

S52、加密查询节点，加密后结果为{Q}＝(0001 0011，0001 0011)。

步骤六，文档检索

Bob使用查询令牌向云端发起检索请求，服务器分两步完成检索过程，第一步，首先查询用户表中是否有Bob，如果没有，则拒绝提供检索，否则，服务器首先检索到包含该查询指令的最深非叶节点，然后检索到最深非叶节点的叶节点，解密叶节点作为临时的最近邻居，由临时最近邻居生成临时的查询矩形，然后在客户端加密矩形并发送给服务器。第二步，服务器由查询矩形来确定哪些点在矩形内，并最终返回查询结果给Bob。此处假设Bob在用户列表中。

如图2所示，具体过程如下：

S61、从根节点开始，找出包含查询向量的最深非叶节点即矩形a，随即判断{Q}是否在矩形内。判断{Q}是否在矩形内的方法如下：假设加密后矩形{R}＝({R^lu}，{R^rl})，每个加密后节点表示为

因此，只要计算

并且{r₁ ^rl}-{q₁}≥0，

即点{Q}一定在矩形内。在此例中，从根节点开始检索，即根节点坐标{R^lu}＝(0000，0010 1111)，{R^rl}＝(00101111，0000)，依据上述方法计算并判断点{Q}在根节点内，然后遍历其子节点，若点{Q}依然在其子节点内，则继续遍历其子节点的子节点，否则，舍弃其子节点，直至最后找出矩形a。

S62、找到在当前非叶节点内离查询节点Q＝(12，12)最近的叶子节点，将这个叶子节点设置为临时最近节点，即点TL＝(12，15)。

S63、计算叶子节点和查询节点之间的欧式距离d＝3，以点Q为中心，6为边长生成一个临时矩形(如图2加粗部分)，每个节点表示为{TR^rl}＝(00010110，00010000)，{TR^lu}＝(0001 0000，0001 0110)。树中的非叶节点表示为

为一个矩形，矩形中的点表示为

S64、从根节点重新检索，若该临时矩形与非叶节点之间有重合，则继续检索非叶节点的孩子节点，否则，舍弃该非叶节点。判断非叶节点和临时矩形是否重合的方法如下：若

或者

或者

或者

满足其一即判定为不重合，否则，则认为重合。在此例中，依据上述方法判断临时矩形与根节点有重合，则继续遍历其子节点，若临时矩形依然和其子节点有重合，则继续遍历其子节点的子节点，否则，舍弃其子节点，直至最后判断出临时矩形和非叶节点a，b有重合。

S65、将a，b中所有叶节点依据步骤S61的方法判断是否在临时矩形内，检索到临时矩形内的所有点，返还结果给Bob。

步骤七，文档解密

Bob使用解密密钥对接收到的密文进行解密，得到明文。

具体过程如下：

S71、Bob接收到密文，并且将密文分组CT＝1011 00010110 1101 0111 110000010000 1110 00010100 1011 00010101 1000 1101 1110 1100 1011 00010011。

S72、Bob使用私钥SK进行解密运算pt_i＝ct_imod n。得到明文消息PT＝0100 11110110 0000 0101 1001 0111 1101 0100 1110 0001 0110 0111 0101 0100 1100。

S73、将二进制数字转化为明文字符为“你好世界”。即解密成功。

步骤八、删除用户

Alice将Bob的信息从用户列表中直接删除。

具体过程如下：

S81、Alice向云端服务器发送命令删除用户Bob，服务器直接在用户表中删除Bob及其相关信息。

Claims

1.一种云存储中基于同态加密的密文检索方法，包括以下步骤：

步骤一、系统初始化：数据拥有者初始化系统参数，生成密钥和用户表，并将用户表发送给云服务器；

步骤二、添加用户：数据拥有者将新用户的身份信息发送给云端服务器列表，并且将私钥发送给新用户，用来加密查询向量和解密文档；

步骤三、生成搜索树即R-树：数据拥有者将所有文档生成一棵树，所有的文档都放在叶子节点，非叶节点用来存储搜索信息，并且同时生成一个指示器覆盖所有的父亲-孩子之间的关系；

步骤四、文件加密：数据拥有者对文档和树进行加密；首先用公钥加密每一个叶子节点即每一个文档，然后加密非叶节点，最终生成一棵加密树，最后将加密后的文档和树一起发送给云端服务器；

步骤五、生成查询令牌：用户使用私钥和明文查询向量生成加密后的查询向量，用来查询目标文档；

步骤六、文档检索：用户使用查询向量向云端发起检索请求，服务器分两步完成检索过程，第一步，首先查询用户表中是否有该用户，如果没有，则拒绝提供检索，否则，服务器首先检索到包含该查询指令的最深非叶节点，然后检索到最深非叶节点的叶节点，解密叶节点作为临时的最近邻居，由临时最近邻居生成临时的查询多维空间，然后在客户端加密多维空间并发送给服务器；第二步，服务器由查询矩形来确定哪些点在多维空间内，并最终返回查询结果给用户；

步骤七、文档解密；用户使用解密密钥对接收到的密文进行解密，得到明文；

步骤八、删除用户；数据拥有者将用户信息从用户列表中直接删除；

步骤一系统初始化的具体过程为：

S11、数据拥有者随机选取系统参数k，

是一个多项式时间算法，以1^k为输入，输出(n，p，q)，其中n＝p×q，p和q为安全大素数；

S12、生成公钥PK，用于加密文档和树；

S13、生成私钥SK，用于解密文档；

S14、生成用户表，用于添加和删除用户，并将用户表发送到云端服务器；

步骤二添加用户的具体过程为：

S21、数据拥有者将新用户U_i发送给服务器，并将U_i添加进用户表，其中i从1开始计数，表示新用户的个数；

S22、数据拥有者将私钥SK和n发送给新用户；

所述步骤五生成查询令牌的具体过程为：

S51、用户依据服务器提供的私钥SK和n，生成查询向量Q＝(q₁，q₂…q_w)，

w为节点的维度，q_i(i＝1,2,…,w)为节点向量Q根据w划分后的相应子向量；

S52、加密查询向量，加密后结果为{Q}＝({q₁}，{q₂}…{q_w})；

步骤七文档解密的具体过程为：

S71、用户接收到密文，并且将密文分组CT＝ct₁ct₂…ct_s；

S72、使用私钥SK进行解密运算pt_i＝ct_imod n，得到明文消息PT＝pt₁pt₂…pt_s；

S73、将二进制数字转化为明文字符从而得到明文文件；

步骤八删除用户的具体过程为：

S81、数据拥有者想云端服务器发送命令删除用户u_i，服务器直接在用户表中删除这个用户；

其特征是，步骤三生成搜索树即R-树的具体过程为：

S31、从根节点开始，选择孩子节点插入文档；

S32、当节点数超过M时，M为节点中单元个数的上限，需要进行节点分裂操作；直到将所有的文档插入进树中；

S33、在树中，每一个节点和查询令牌用

来表示，其中w表示维度，T表示每个维度的长度。

2.根据权利要求1所述的方法，其特征是，步骤四文件加密的具体过程为：

S41、首先对文档进行加密，读取明文字符，将明文字符转换为二进制来表示，生成二进制消息PT；

S42、将PT分为若干长度为a的消息分组共s个，a的长度应该小于p，即PT＝pt₁pt₂…pt_s，pt_i为PT中某一个长度为a的分组，i＝1,2,…,s；

S43、任取R∈Z^*，计算ct_i＝(pt_i+p×R)mod n，得出密文CT＝ct₁ct₂…ct_s，i从1开始取值到s；用户接收到密文，并且将密文分组CT＝ct₁ct₂…ct_s,ct_i为CT中某一个长度为a的分组，i＝1,2,…,s；

S44、对于树的加密，假设每一个节点维度为w，在多维空间中，每个叶子节点表示为L_i＝(l_i，1，l_i，2…l_i，w)，每个非叶节点表示为NL_j，也是一个多维空间，用{*}来表示加密后的格式，即L_i加密后的格式为{L_i}，依此类推；

S45、数据拥有者将加密后的R-树以及文档发送给服务器。

3.根据权利要求1所述的方法，其特征是，文件检索的具体过程为：

S61、从根节点开始，找出包含查询向量的最深非叶节点，即判断{Q}是否在多维空间内；

S62、找到在当前非叶节点内离查询节点{Q}最近的叶子节点，将这个叶子节点设置为临时最近节点TL＝(tl₁，tl₂…tl_w)，tl₁，tl₂…tl_w为节点向量TL根据节点维度w划分后的相应子向量；

S63、计算查询节点和叶子节点的欧式距离

以点{Q}为中心，2d为边长生成一个临时多维空间；

S64、从根节点重新检索，若该临时多维空间与非叶节点之间有重合，则继续检索非叶节点的孩子节点，否则，舍弃该非叶节点；

S65、检索到临时多维空间内的所有节点，返还文档给用户。