CN108494768A - 一种支持访问控制的密文搜索方法及系统 - Google Patents

Abstract

本发明适用于数据处理领域，提供了支持访问控制的搜索方法，包括：客户端将数据库的文件加密得到加密密文，根据文件标识符构建索引并加密，得到密文数据库；客户端接收密钥密文、私钥和检索关键字集合生成陷门；云服务器根据陷门检索对应的索引密文；客户端利用密钥，对索引密文进行解密，将解密得到的文件标识符上传到云服务器得到加密密文，使对所述加密密文进行解密，得到搜索结果；客户端按照预置展示方式展示所述搜索结果。本发明实施例在实施过程中，采用属性基加密对搜索用户访问数据的能力进行控制，但访问控制设定为整个数据库而非索引，能够大大减少数据拥有者加密数据库时的计算开销，同时用户获取搜索陷门的过程无需数据拥有者参与。

Description

一种支持访问控制的密文搜索方法及系统

技术领域

本发明属于数据处理技术领域，尤其涉及一种支持访问控制的密文搜索方 法及系统。

背景技术

云计算的出现，使用户能够享受无处不在，方便和按需的网络访问共享可 配置的计算资源池，具有很高的效率和最小的经济开销。尽管云服务具有各种 优势，将敏感信息(如电子邮件、个人健康记录、公司财务数据、政府文件等) 外包给远程服务器也带来了隐私问题。用户一旦将数据上传到云服务器便失去 了对数据的控制权，保存用户数据的云服务提供商CSP(Cloud Service Provider) 可以在未经授权的情况下访问用户的敏感信息。所以，云安全已经成为一个挑 战，也是决定云存储是否能更广泛应用的先决条件。如何享受云服务带给我们 方便的同时，保持数据的隐私性成为目前迫切的问题。

为了保证用户数据的隐私性，阻止数据被未授权的用户或攻击者所窃取， 最常见的方式是用户数据先加密，然后再存储到云服务器中。然而，加密数据 已经破坏了明文所具有的搜索功能，面对云服务器当中大量的加密数据，如何 有效搜索用户所需的数据已成为当前研究的热点问题。可搜索加密机制通过关 键字查询陷门完成加密数据的搜索操作，由云服务器返回满足查询条件的加密 文件集，用户在客户端解密后使用，能够同时保障数据保密性与搜索功能，实 现安全存储与高效搜索之间的有机统一。

目前，可搜索加密主要分为对称可搜索加密和公钥可搜索加密。对称可搜 索加密的构造通常基于伪随机函数，具有计算开销小、算法简单、速度快的特 点。Sun等人引入属性基加密构造了一个能实施访问控制的对称可搜索加密方 案，方案先对密文数据执行快速搜索再对搜索用户访问数据的能力进行控制， 但方案存在一定的缺陷。一方面，用户获取搜索陷门的过程需要数据拥有者参 与，这就要求数据拥有者必须时刻在线；另一方面，每个关键字对应的每一个 索引采用一个访问策略，在实现上需要大量的运算才能得以保证，故此导致数 据拥有者产生加密数据库时开销很大。

发明内容

本发明所要解决的技术问题在于提供一种支持访问控制的密文搜索方法及 系统，旨在解决现有技术在进行搜索时需要数据拥有者实时在线，需要大量的 运算才能得以保证访问控制的问题。

本发明是这样实现的，一种支持访问控制的密文搜索方法，密文搜索系统 包括客户端和云服务器，密文搜索方法包括：

步骤A，客户端将数据库的文件使用预置的对称加密算法加密，得到加密 密文，根据所述数据库的文件的文件标识符对所述加密密文构建索引，对所述 索引进行加密，得到包含索引密文的密文数据库，将所述加密密文和所述密文 数据发送至云服务器；

步骤B，所述客户端接收用户搜索时输入的密钥密文、私钥和检索关键字 集合，根据所述密钥密文、私钥和所述检索关键字集合生成陷门，将所述陷门 发送给所述云服务器；

步骤C，所述云服务器根据所述陷门，在密文数据库中检索所述陷门对应 的索引密文；

步骤D，所述客户端利用密钥，对所述索引密文进行解密，将解密得到的 文件标识符上传到所述云服务器，以使所述云服务器返回所述文件标识符对应 的加密密文，使用预置的对称加密算法对所述加密密文进行解密，得到搜索结 果；

步骤E，所述客户端按照预置展示方式展示所述搜索结果。

进一步地，所述步骤A包括：

客户端接收数据库，使用伪随机函数对所述数据库中的文件进行加密，得 到所述加密密文。

进一步地，所述伪随机函数以 PRF F:{0,1}^λ×{0,1}^λ→{0,1}^λ,PRPP:{0,1}^λ×{0,1}^λ→{0,1}^λ表示，所述密文数据库以 EDB表示，所述数据库以DB表示，id_i∈{0,1}^λ表示文件标识符、 表示id_i所包含的关键字集合，关键字集合文件集合 Doc＝{f₁,f₂,…,f_d}，加密文件的密钥集合表示为R＝{r₁,r₂,…,r_d}，定义对称加密算 法SE＝(Enc,Dec)，所述步骤A具体包括：

在构建索引之前先用r_i将f_i加密，得到加密密文 ct_i←SE.Enc(r_i,f_i)(i＝1,2,…,d)；

设定密文访问控制权限，将所述加密密文上传到所述云服务器，所述密文 访问控制权限的方案为属性基加密方案ABE＝(Setup,Encrypt,KeyGen,Decrypt)；

输入系统安全参数λ和全局属性集N，权威机构PKG运行 (PK,MSK)←ABE.Setup(1^λ,N)；

为PRFF随机选择密钥k；

定义关键字集合W索引的空数组T；

将XSet定义为空集；

对于每个w∈W，将t定义为空列表，并计算关键字密文stag←F(k,w)；

初始化密钥k₁←F(k,1||w)；

对于DB中的所有id_i，以随机顺序初始化计数器c←0，并计算索引密文 rind←P(k,id_i||r_i)，加密k₁得z←P(k₁,c)，并定义y←rind·z^-1，将(rind,y)加到t， 定义xtag为XSet的元素，计算并将xtag加到XSet，c←c+1， T[stag]←t；

计算密文C←ABE.Encrypt(PK,k,Γ)，得到EDB＝(XSet,T,C)，其中Γ为访问策略。

进一步地，以表示所述检索关键字集合，以C表示所 述密钥密文，SK表示所述私钥，以stag,xtoken[1],xtoken[2],…表示所述陷门，所述 步骤B中，属性集合为S的用户对关键字集合进行检索，则步骤B具体包括：

所述客户端根据用户的属性S生成私钥SK←ABE.KeyGen(MSK,S)；

根据所述密钥密文和所述私钥计算密钥k；

判断所述用户的属性S满足所述密文数据库的访问策略Γ，若满足，则解 密成功k←ABE.Decrypt(C,SK)，得到密钥k，若不满足，则解密失败；

生成关键字密文stag←F(k,w₁)，及生成密钥k₁←F(k,1||w₁)；

当i＝2,…,n，计算陷门元素得到所述陷门，即：xtoken[c]←(xtoken[c,2],xtoken[c,3],…,xtoken[c,n])。

进一步地，以l表示所述索引密文的集合，步骤C包括：

定义l,t为空集；

判断等式T[stag]＝stag是否成立，若成立，则t＝T[stag]；否不成立，则返回 空集；

对于c＝1,2,…,|t|，从t中的第c个元组检索(rind,y)，若对于则l←l∪rind。

进一步地，所述步骤D包括：

所述客户端使用密钥k解密索引密文的集合l，获取文件标识符id_i和相应的 密钥r_i；对rind∈l，计算(id_i||r_i)←P^-1(k,rind)，得到搜索结果(id_i,r_i)；

将id_i发送给所述云服务器，得到所述云服务器返回的ct_i＝SE.Enc(r_i,f_i)，用 相应的对称密钥r_i提取文件f_i＝SE.Dec(r_i,ct_i)。

本发明实施例还提供了一种支持访问控制的密文搜索系统，包括：

客户端，用户将数据库的文件使用预置的对称加密算法加密，得到加密密 文，根据所述数据库的文件的文件标识符对所述加密密文构建索引，对所述索 引进行加密，得到包含索引密文的密文数据库，将所述加密密文和所述密文数 据发送至云服务器进行包括；还用于接收用户搜索时输入的密钥密文、私钥和 检索关键字集合，根据所述密钥密文、私钥和所述检索关键字集合生成陷门， 将所述陷门发送给所述云服务器；

所述云服务器，用于保存所述加密密文和所述密文数据库；还用于根据所 述陷门，在密文数据库中检索所述陷门对应的索引密文；还用于根据文件标识 符查找对应的加密密文；

所述客户端，还用于利用密钥，对所述索引密文进行解密，将解密得到的 文件标识符上传到所述云服务器，以使所述云服务器返回所述文件标识符对应 的加密密文，使用预置的对称加密算法对所述加密密文进行解密，得到搜索结 果，按照预置展示方式展示所述搜索结果。

进一步地，所述客户端具体用于：

接收数据库，使用伪随机函数对所述数据库中的文件进行加密，得到所述 加密密文；

所述伪随机函数以PRF F:{0,1}^λ×{0,1}^λ→{0,1}^λ,PRPP:{0,1}^λ×{0,1}^λ→{0,1}^λ表 示，所述密文数据库以EDB表示，所述数据库以DB表示， id_i∈{0,1}^λ表示文件标识符、表示id_i所包含的关键字集合，关键字集合 文件集合Doc＝{f₁,f₂,…,f_d}，加密文件的密钥集合表示为 R＝{r₁,r₂,…,r_d}，，定义对称加密算法SE＝(Enc,Dec)；

在构建索引之前先用r_i将f_i加密，得到文件密文 ct_i←SE.Enc(r_i,f_i)(i＝1,2,…,d)；

设定访问密文控制权限，将所述加密密文上传到云服务器，所述密文访问 控制权限的方案为属性基加密方案ABE＝(Setup,Encrypt,KeyGen,Decrypt)；

输入系统安全参数λ和全局属性集N，权威机构PKG运行 (PK,MSK)←ABE.Setup(1^λ,N)：

为PRFF随机选择密钥k；

定义关键字集合W索引的空数组T；

将XSet定义为空集；

对于每个w∈W，将t定义为空列表，并计算关键字密文stag←F(k,w)；

初始化密钥k₁←F(k,1||w)；

对于DB中的所有id_i，以随机顺序初始化计数器c←0，并计算索引密文 rind←P(k,id_i||r_i)，加密k₁得z←P(k₁,c)，并定义y←rind·z^-1，将(rind,y)加到t， 定义xtag为XSet的元素，计算并将xtag加到XSet，c←c+1， T[stag]←t；

计算密文C←ABE.Encrypt(PK,k,Γ)，得到EDB＝(XSet,T,C)，其中Γ为访问策略。

进一步地，以表示所述检索关键字集合，以C表示所 述密钥密文，SK表示所述私钥，以stag,xtoken[1],xtoken[2],…表示所述陷门，所述 客户端用于：

根据用户的属性S生成私钥SK←ABE.KeyGen(MSK,S)；

根据所述密钥密文和所述私钥计算密钥k；判断所述用户的属性S满足所 述密文数据库的访问策略Γ，若满足，则解密成功k←ABE.Decrypt(C,SK)，得到 密钥k，若不满足，则解密失败；

生成关键字密文stag←F(k,w₁)，及生成密钥k₁←F(k,1||w₁)；

当i＝2,…,n，计算陷门元素得到所述陷门，即：xtoken[c]←(xtoken[c,2],xtoken[c,3],…,xtoken[c,n])。

进一步地，以l表示所述索引密文的集合，所述云服务器具体用于：

定义l,t为空集；

判断等式T[stag]＝stag是否成立，若成立，则t＝T[stag]；否不成立，则返回 空集；

对于c＝1,2,…,|t|，从t中的第c个元组检索(rind,y)，若对于则l←l∪rind；

所述客户端还用于：

使用密钥k解密索引密文的集合l，获取文件标识符id_i和相应的密钥r_i；对 rind∈l，计算(id_i||r_i)←P^-1(k,rind)，得到搜索结果(id_i,r_i)；

将id_i发送给所述云服务器，得到所述云服务器返回的ct_i＝SE.Enc(r_i,f_i)，用 相应的对称密钥r_i提取文件f_i＝SE.Dec(r_i,ct_i)。

本发明与现有技术相比，有益效果在于：本发明实施例当检测到用户搜索 时输入的密钥密文、私钥和检索关键字集合时，生成陷门，根据该陷门在密文 数据库中搜索该陷门对应的索引密文，利用密钥对该索引密文进行解密，得到 文件标识符，并根据文件标识符查找对应的加密密文，对加密密文进行解密得 到搜索结果。本发明实施例在实施过程中，采用属性基加密对搜索用户访问数 据的能力进行控制，但访问控制设定为整个数据库而非索引，能够大大减少数 据拥有者加密数据库时的计算开销，同时用户获取搜索陷门的过程无需数据拥 有者参与。本发明实施例解决了现有云存储服务存在的数据安全问题、高效密 文搜索以及数据访问控制问题。

附图说明

图1是本发明实施例提供的一种支持访问控制的密文搜索方法的流程图；

图2是本发明实施例提供的不同方法的总运行时间的示意图；

图3是本发明实施例提供的密文数据库初始化的运行时间示意图；

图4是本发明实施例提供的陷门生成过程与提取过程的运行时间示意图；

图5是本发明实施例提供的执行搜索方法的运行时间示意图；

图6是本发明实施例提供的一种支持访问控制的密文搜索系统的结构示意 图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实 施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅 仅用以解释本发明，并不用于限定本发明。

图1示出了本发明实施例提供的一种支持访问控制的密文搜索，包括：

S101，客户端将数据库的文件使用预置的对称加密算法加密，得到加密密 文，根据所述数据库的文件的文件标识符对所述加密密文构建索引，对所述索 引进行加密，得到包含索引密文的密文数据库，将所述加密密文和所述密文数 据发送给云服务器；

S102，所述客户端接收用户搜索时输入的密钥密文、私钥和检索关键字集 合，根据所述密钥密文、私钥和所述检索关键字集合生成陷门，将所述陷门发 送给所述云服务器；

S103，所述云服务器根据所述陷门，在密文数据库中检索所述陷门对应的 索引密文；

S104，所述客户端利用密钥，对所述索引密文进行解密，将解密得到的文 件标识符上传到所述云服务器，以使所述云服务器返回所述文件标识符对应的 加密密文，使用预置的对称加密算法对所述加密密文进行解密，得到搜索结果；

S105，所述客户端按照预置展示方式展示所述搜索结果。

假设本发明实施例提供的密文搜索系统有n个属性，用N＝{a₁,a₂,…,a_n}表 示。{0,1}^d由长为d的0,1序列构成，{0,1}*由不定长的0,1序列构成，以λ表示安 全参数，G₀表示素数阶为p、生成元为g的双线性群。定义数据库其中id_i∈{0,1}^λ为文件标识符、为id_i所包含的关键字集合。定义全部关 键字集合文件集合Doc＝{f₁,f₂,…,f_d}、加密文件的密钥集合为 R＝{r₁,r₂,…,r_d}。

在本发明实施例中，步骤S101具体包括：为了保障外包文件的机密性，定 义对称加密算法SE＝(Enc,Dec)，数据拥有者在构建索引之前先用r_i将f_i加密，得 到加密密文ct_i←SE.Enc(r_i,f_i)(i＝1,2,…,d)，并将加密密文上传到云服务器。为了 实施访问控制，数据拥有者在上传数据之前需设定访问控制权限，定义所采用 的密文访问控制方案为属性基加密方案ABE＝(Setup,Encrypt,KeyGen,Decrypt)。输入 搜索系统的安全参数λ和全局属性集N，权威机构PKG运行 (PK,MSK)←ABE.Setup(1^λ,N)。定义伪随机函数 PRF F:{0,1}^λ×{0,1}^λ→{0,1}^λ,PRPP:{0,1}^λ×{0,1}^λ→{0,1}^λ。

在本发明实施例中，在根据用户输入的检索关键字集合进行检索之前，需 要对数据进行加密，加密的过程具体包括：

输入数据库DB，输出密文数据库EDB，密文数据库初始化算法 EDBSetup(DB)具体描述如下：

1、为PRF F随机选择密钥k，并将DB表示为

2、将T定义为关键字集合W索引的空数组；

3、将XSet定义为空集；

4、对于每个w∈W：

a)、将t定义为空列表，并计算关键字密文stag←F(k,w)；

b)、初始化密钥k₁←F(k,1||w)；

c)、对于DB中的所有id_i，以随机顺序初始化计数器c←0，然后：

i、计算索引密文rind←P(k,id_i||r_i)，加密k₁得z←P(k₁,c)，并定 义y←rind·z^-1；

ii、将(rind,y)加到t；

iii、定义xtag为XSet是元素，计算并将xtag加到 XSet；

iv、c←c+1；

d)、T[stag]←t；

5、计算密文C←ABE.Encrypt(PK,k,Γ)，其中Γ为访问策略；

6、输出EDB＝(XSet,T,C)。

在上述步骤S101中，假设属性集合为S的合法用户用检索关键字集合进行搜索，假设w₁为检索关键字集合中频率最小的关键字。根 据用户请求的密钥密文C，通过PKG生成私钥SK←ABE.KeyGen(MSK,S)；

步骤S102具体包括：

接收用户输入的C,SK,输出陷门 stag,xtoken[1],xtoken[2],…；

陷门的生成步骤具体包括：

1、计算k←ABE.Decrypt(C,SK)。若用户的属性S满足该密文数据库的访问策 略Γ，则成功解密，得到密钥k；否则，返回null；

2、消息(stag,xtoken[1],xtoken[2],…)生成步骤包括：

a)、生成关键字密文stag←F(k,w₁)；

b)、生成密钥k₁←F(k,1||w₁)；

c)、对计数器c＝1,2,…直到云服务器停止；

i.对i＝2,…,n，计算陷门元素

ii.有xtoken[c]←(xtoken[c,2],xtoken[c,3],…,xtoken[c,n])；

在步骤S103中，通过云服务器执行加密密文的搜索，当步骤S102生成陷 门(stag,xtoken[1],xtoken[2],…)后，云服务器在之前生成的密文数据库EDB中搜索， 得到搜索结果，即索引密文的集合l，搜索步骤 Search(stag,(xtoken[1],xtoken[2],…),EDB)包括：

1、定义l,t为空集；

2、验证等式T[stag]＝stag是否成立，若成立，则t＝T[stag]；否则，返回null；

3、对于c＝1,2,…,|t|；

a)从t中的第c个元组检索(rind,y)；

b)若对于令l←l∪rind。

在步骤S104中，利用密钥k对搜索结果l进行解密，得到搜索结果，解密过 程Retrieve(l,k)具体包括：

1、用户用密钥k解密搜索结果l，获取文件标识符id_i和相应的密钥r_i；

2、对rind∈l：

a)、计算(id_i||r_i)←P^-1(k,rind)；

b)、返回(id_i,r_i)。

3、将id_i发送给云服务器，得到ct_i＝SE.Enc(r_i,f_i)，用相应的对称密钥r_i提取文件f_i＝SE.Dec(r_i,ct_i)。

本发明实施例在具体应用时，通过客户端和云服务器实现上述功能，客户端 包括手持终端或者个人电脑等。在步骤S101中，用户通过客户端输入数据至数 据库，客户端可以执行对数据库进行加密得到密文数据库的步骤，客户端得到 密文数据库后，将该密文数据库发送至客户端，也可以将该数据库传输至云服 务，由云服务器进行数据库的加密，得到密文数据库。在步骤S102中，假设属 性集合为S的合法用户通过客户端执行对检索关键字集合的搜 索，假设w₁为检索关键字集合中频率最小的关键字。用户通过客户端从云服务 器请求密钥密文C，并通过PKG生成私钥SK←ABE.KeyGen(MSK,S)，客户端根据 该密钥密文C、私钥SK和检索关键字集合生成陷门，并将该陷 门发送给云服务器，在步骤S103中，云服务器执行检索步骤，当云服务器接收 到陷门后，将根据该陷门在密文数据中进行检索，得到索引密文。云服务得到 加密密文后，将该索引密文发送到客户端，由客户端执行步骤S104。在步骤 S105中，当完成步骤S101到步骤S104的搜索步骤后，客户端将按照预先设置 的展示方式展示该检索结果。

在实际应用中，通过实验仿真比较了Sun方案和本发明实施例的效率。仿真 所采用的计算机配置为3.60GHz的Inter(R)Core(TM)i7-4790CPU和8.00 GB RAM，所采用的操作系统为Windows 7，所采用的编程语言为Java，其中 使用cpabe工具包和Java Pairing-Based Cryptography library(JPBC)。具体地，本 实验中采用安然邮件数据库评估方案性能，具体采用表1所示的实验参数分别 进行了六组实验。

表1实验参数

分组	数据库大小	关键字数量	含每个关键字文件数量
				1	200	10	20
2	800	20	40
				3	1500	30	50
4	3000	50	60
				5	8000	100	80
6	20000	200	100

图2显示了Sun方案和本发明实施例总的计算时间。从图2可以看出，Sun 的方案中总的时间成本远远高于本本发明实施例，而且随着数据库的增大呈指 数增长，而本本发明实施例在数据库增大的过程中时间成本增加幅度较小。

图2中总的时间成本主要包含由数据拥有者所执行的密文数据库初始化算 法、由用户的客户端所执行的陷门生成步骤、由云服务器所执行的搜索步骤， 分别如图3、图4、图5所示。图3中Sun方案的初始化算法的时间成本明显高 于本发明实施例，而且随着数据库的增大几乎呈指数型增长，而本方案本发明 实施例在数据库增大的过程中时间成本增加幅度较小。

图4与图5中，Sun方案与本发明实施例的陷门生成步骤、搜索步骤的时间 成本几乎相同，都随着数据库的增大都呈线性增长。

综上所述，实验结果表明本发明实施例比Sun方案计算效率更高。

图6示出了本发明实施例提供的一种支持访问控制的搜索系统，包括：

客户端601，用户将数据库的文件使用预置的对称加密算法加密，得到加 密密文，根据所述数据库的文件的文件标识符对所述加密密文构建索引，对所 述索引进行加密，得到包含索引密文的密文数据库，将所述加密密文和所述密 文数据发送给云服务器602；还用于接收用户搜索时输入的密钥密文、私钥和 检索关键字集合，根据所述密钥密文、私钥和所述检索关键字集合生成陷门， 将所述陷门发送给云服务器602；

云服务器602，用于保存所述加密密文和所述密文数据库；还用于根据所 述陷门，在密文数据库中检索所述陷门对应的索引密文；还用于根据文件标识 符查找对应的加密密文；

客户端601，还用于利用密钥，对所述索引密文进行解密，将解密得到的 文件标识符上传到所述云服务器，以使所述云服务器返回所述文件标识符对应 的加密密文，使用预置的对称加密算法对所述加密密文进行解密，得到搜索结 果，按照预置展示方式展示所述搜索结果。

进一步地，客户端601具体用于：

接收数据库，使用伪随机函数对所述数据库中的文件进行加密，得到所述 加密密文；

所述伪随机函数以PRF F:{0,1}^λ×{0,1}^λ→{0,1}^λ,PRPP:{0,1}^λ×{0,1}^λ→{0,1}^λ表 示，所述密文数据库以EDB表示，所述数据库以DB表示， id_i∈{0,1}^λ表示文件标识符、表示id_i所包含的关键字集合，关键字集合 文件集合Doc＝{f₁,f₂,…,f_d}，加密文件的密钥集合表示为 R＝{r₁,r₂,…,r_d}，，定义对称加密算法SE＝(Enc,Dec)；

在构建索引之前先用r_i将f_i加密，得到文件密文 ct_i←SE.Enc(r_i,f_i)(i＝1,2,…,d)；

设定访问密文控制权限，将所述加密密文上传到云服务器，所述密文访问 控制权限的方案为属性基加密方案ABE＝(Setup,Encrypt,KeyGen,Decrypt)；

输入系统安全参数λ和全局属性集N，权威机构PKG运行 (PK,MSK)←ABE.Setup(1^λ,N)：

为PRFF随机选择密钥k；

定义关键字集合W索引的空数组T；

将XSet定义为空集；

对于每个w∈W，将t定义为空列表，并计算关键字密文stag←F(k,w)；

初始化密钥k₁←F(k,1||w)；

对于DB中的所有id_i，以随机顺序初始化计数器c←0，并计算索引密文 rind←P(k,id_i||r_i)，加密k₁得z←P(k₁,c)，并定义y←rind·z^-1，将(rind,y)加到t， 定义xtag为XSet的元素，计算并将xtag加到XSet，c←c+1， T[stag]←t；

计算密文C←ABE.Encrypt(PK,k,Γ)，得到EDB＝(XSet,T,C)，其中Γ为访问策略。

进一步地，以表示所述检索关键字集合，以C表示所 述密钥密文，SK表示所述私钥，以stag,xtoken[1],xtoken[2],…表示所述陷门，客户 端601用于：

根据用户的属性S生成私钥SK←ABE.KeyGen(MSK,S)；

根据所述密钥密文和所述私钥计算密钥k；判断所述用户的属性S满足所 述密文数据库的访问策略Γ，若满足，则解密成功k←ABE.Decrypt(C,SK)，得到 密钥k，若不满足，则解密失败；

生成关键字密文stag←F(k,w₁)，及生成密钥k₁←F(k,1||w₁)；

当i＝2,…,n，计算陷门元素得到所述陷门，即：xtoken[c]←(xtoken[c,2],xtoken[c,3],…,xtoken[c,n])。

进一步地，以l表示所述索引密文的集合，云服务器602具体用于：

定义l,t为空集；

判断等式T[stag]＝stag是否成立，若成立，则t＝T[stag]；否不成立，则返回 空集；

对于c＝1,2,…,|t|，从t中的第c个元组检索(rind,y)，若对于则l←l∪rind；

客户端601还用于：

使用密钥k解密索引密文的集合l，获取文件标识符id_i和相应的密钥r_i；对 rind∈l，计算(id_i||r_i)←P^-1(k,rind)，得到搜索结果(id_i,r_i)；

将id_i发送给所述云服务器，得到所述云服务器返回的ct_i＝SE.Enc(r_i,f_i)，用 相应的对称密钥r_i提取文件f_i＝SE.Dec(r_i,ct_i)。

本发明实施例还提供了一种终端，包括存储器、处理器及存储在存储器上 且在处理器上运行的计算机程序，其特征在于，处理器执行计算机程序时，实 现如图1所示的支持访问控制的密文搜索方法中的各个步骤。

本发明实施例中还提供一种可读存储介质，其上存储有计算机程序，其特 征在于，所述计算机程序被处理器执行时，实现如图1所示的支持访问控制的 密文搜索方法中的各个步骤。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理模块中， 也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块 中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的 形式实现。

所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或 使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明 的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或 部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质 中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或 者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的 存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、 随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以 存储程序代码的介质。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发 明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明 的保护范围之内。

Claims (10)

1.一种支持访问控制的密文搜索方法，其特征在于，密文搜索系统包括客户端和云服务器，密文搜索方法包括：

步骤A，客户端将数据库的文件使用预置的对称加密算法加密，得到加密密文，根据所述数据库的文件的文件标识符对所述加密密文构建索引，对所述索引进行加密，得到包含索引密文的密文数据库，将所述加密密文和所述密文数据发送给云服务器；

步骤B，所述客户端接收用户搜索时输入的密钥密文、私钥和检索关键字集合，根据所述密钥密文、私钥和所述检索关键字集合生成陷门，将所述陷门发送给所述云服务器；

步骤C，所述云服务器根据所述陷门，在密文数据库中检索所述陷门对应的索引密文；

步骤D，所述客户端利用密钥，对所述索引密文进行解密，将解密得到的文件标识符上传到所述云服务器，以使所述云服务器返回所述文件标识符对应的加密密文，使用预置的对称加密算法对所述加密密文进行解密，得到搜索结果；

步骤E，所述客户端按照预置展示方式展示所述搜索结果。

2.如权利要求1所述的密文搜索方法，其特征在于，所述步骤A包括：

客户端接收数据库，使用伪随机函数对所述数据库中的文件进行加密，得到所述加密密文。

3.如权利要求2所述的密文搜索方法，其特征在于，所述伪随机函数以PRF F:{0,1}^λ×{0,1}^λ→{0,1}^λ,PRPP:{0,1}^λ×{0,1}^λ→{0,1}^λ表示，所述密文数据库以EDB表示，所述数据库以DB表示，id_i∈{0,1}^λ表示文件标识符、表示id_i所包含的关键字集合，关键字集合文件集合Doc＝{f₁,f₂,…,f_d}，加密文件的密钥集合表示为R＝{r₁,r₂,…,r_d}，定义对称加密算法SE＝(Enc,Dec)，所述步骤A具体包括：

在构建索引之前先用r_i将f_i加密，得到加密密文ct_i←SE.Enc(r_i,f_i)(i＝1,2,…,d)；

设定密文访问控制权限，将所述加密密文上传到所述云服务器，所述密文访问控制权限的方案为属性基加密方案ABE＝(Setup,Encrypt,KeyGen,Decrypt)；

输入系统安全参数λ和全局属性集N，权威机构PKG运行(PK,MSK)←ABE.Setup(1^λ,N)；

为PRFF随机选择密钥k；

定义关键字集合W索引的空数组T；

将XSet定义为空集；

对于每个w∈W，将t定义为空列表，并计算关键字密文stag←F(k,w)；

初始化密钥k₁←F(k,1||w)；

对于DB中的所有id_i，以随机顺序初始化计数器c←0，并计算索引密文rind←P(k,id_i||r_i)，加密k₁得z←P(k₁,c)，并定义y←rind·z^-1，将(rind,y)加到t，定义xtag为XSet的元素，计算并将xtag加到XSet，c←c+1，T[stag]←t；

计算密文C←ABE.Encrypt(PK,k,Γ)，得到EDB＝(XSet,T,C)，其中Γ为访问策略。

4.如权利要求3所述的密文搜索方法，其特征在于，以表示所述检索关键字集合，以C表示所述密钥密文，SK表示所述私钥，以stag,xtoken[1],xtoken[2],…表示所述陷门，所述步骤B中，属性集合为S的用户对关键字集合进行检索，则步骤B具体包括：

所述客户端根据用户的属性S生成私钥SK←ABE.KeyGen(MSK,S)；

根据所述密钥密文和所述私钥计算密钥k；

判断所述用户的属性S满足所述密文数据库的访问策略Γ，若满足，则解密成功k←ABE.Decrypt(C,SK)，得到密钥k，若不满足，则解密失败；

生成关键字密文stag←F(k,w₁)，及生成密钥k₁←F(k,1||w₁)；

当i＝2,…,n，计算陷门元素得到所述陷门，即：xtoken[c]←(xtoken[c,2],xtoken[c,3],…,xtoken[c,n])。

5.如权利要求4所述的密文搜索方法，其特征在于，以l表示所述索引密文的集合，步骤C包括：

定义l,t为空集；

判断等式T[stag]＝stag是否成立，若成立，则t＝T[stag]；否不成立，则返回空集；

对于c＝1,2,…,|t|，从t中的第c个元组检索(rind,y)，若对于xtoken[c,i]^y∈XSet，则l←l∪rind。

6.如权利要求5所述的密文搜索方法，其特征在于，所述步骤D包括：

所述客户端使用密钥k解密索引密文的集合l，获取文件标识符id_i和相应的密钥r_i；对rind∈l，计算(id_i||r_i)←P^-1(k,rind)，得到搜索结果(id_i,r_i)；

将id_i发送给所述云服务器，得到所述云服务器返回的ct_i＝SE.Enc(r_i,f_i)，用相应的对称密钥r_i提取文件f_i＝SE.Dec(r_i,ct_i)。

7.一种支持访问控制的密文搜索系统，其特征在于，包括：

客户端，用户将数据库的文件使用预置的对称加密算法加密，得到加密密文，根据所述数据库的文件的文件标识符对所述加密密文构建索引，对所述索引进行加密，得到包含索引密文的密文数据库，将所述加密密文和所述密文数据发送给云服务器；还用于接收用户搜索时输入的密钥密文、私钥和检索关键字集合，根据所述密钥密文、私钥和所述检索关键字集合生成陷门，将所述陷门发送给所述云服务器；

所述云服务器，用于保存所述加密密文和所述密文数据库；还用于根据所述陷门，在密文数据库中检索所述陷门对应的索引密文；还用于根据文件标识符查找对应的加密密文；

所述客户端，还用于利用密钥，对所述索引密文进行解密，将解密得到的文件标识符上传到所述云服务器，以使所述云服务器返回所述文件标识符对应的加密密文，使用预置的对称加密算法对所述加密密文进行解密，得到搜索结果，按照预置展示方式展示所述搜索结果。

8.如权利要求7所述的密文搜索系统，其特征在于，所述客户端具体用于：

接收数据库，使用伪随机函数对所述数据库中的文件进行加密，得到所述加密密文；

所述伪随机函数以PRF F:{0,1}^λ×{0,1}^λ→{0,1}^λ,PRPP:{0,1}^λ×{0,1}^λ→{0,1}^λ表示，所述密文数据库以EDB表示，所述数据库以DB表示，id_i∈{0,1}^λ表示文件标识符、表示id_i所包含的关键字集合，关键字集合文件集合Doc＝{f₁,f₂,…,f_d}，加密文件的密钥集合表示为R＝{r₁,r₂,…,r_d}，，定义对称加密算法SE＝(Enc,Dec)；

在构建索引之前先用r_i将f_i加密，得到文件密文ct_i←SE.Enc(r_i,f_i)(i＝1,2,…,d)；

设定访问密文控制权限，将所述加密密文上传到云服务器，所述密文访问控制权限的方案为属性基加密方案ABE＝(Setup,Encrypt,KeyGen,Decrypt)；

输入系统安全参数λ和全局属性集N，权威机构PKG运行(PK,MSK)←ABE.Setup(1^λ,N)：

为PRFF随机选择密钥k；

定义关键字集合W索引的空数组T；

将XSet定义为空集；

对于每个w∈W，将t定义为空列表，并计算关键字密文stag←F(k,w)；

初始化密钥k₁←F(k,1||w)；

对于DB中的所有id_i，以随机顺序初始化计数器c←0，并计算索引密文rind←P(k,id_i||r_i)，加密k₁得z←P(k₁,c)，并定义y←rind·z^-1，将(rind,y)加到t，定义xtag为XSet的元素，计算并将xtag加到XSet，c←c+1，T[stag]←t；

计算密文C←ABE.Encrypt(PK,k,Γ)，得到EDB＝(XSet,T,C)，其中Γ为访问策略。

9.如权利要求8所述的密文搜索系统，其特征在于，以表示所述检索关键字集合，以C表示所述密钥密文，SK表示所述私钥，以stag,xtoken[1],xtoken[2],…表示所述陷门，所述客户端用于：

根据用户的属性S生成私钥SK←ABE.KeyGen(MSK,S)；

根据所述密钥密文和所述私钥计算密钥k；判断所述用户的属性S满足所述密文数据库的访问策略Γ，若满足，则解密成功k←ABE.Decrypt(C,SK)，得到密钥k，若不满足，则解密失败；

生成关键字密文stag←F(k,w₁)，及生成密钥k₁←F(k,1||w₁)；

当i＝2,…,n，计算陷门元素得到所述陷门，即：xtoken[c]←(xtoken[c,2],xtoken[c,3],…,xtoken[c,n])。

10.如权利要求9所述的密文搜索系统，其特征在于，以l表示所述索引密文的集合，所述云服务器具体用于：

定义l,t为空集；

判断等式T[stag]＝stag是否成立，若成立，则t＝T[stag]；否不成立，则返回空集；

对于c＝1,2,…,|t|，从t中的第c个元组检索(rind,y)，若对于xtoken[c,i]^y∈XSet，则l←l∪rind；

所述客户端还用于：

使用密钥k解密索引密文的集合l，获取文件标识符id_i和相应的密钥r_i；对rind∈l，计算(id_i||r_i)←P^-1(k,rind)，得到搜索结果(id_i,r_i)；

将id_i发送给所述云服务器，得到所述云服务器返回的ct_i＝SE.Enc(r_i,f_i)，用相应的对称密钥r_i提取文件f_i＝SE.Dec(r_i,ct_i)。