CN109740362B

CN109740362B - 一种基于熵编码的密文索引生成与检索方法及系统

Info

Publication number: CN109740362B
Application number: CN201910004029.XA
Authority: CN
Inventors: 冯登国; 张敏; 李�昊; 迟佳琳
Original assignee: Institute of Software of CAS
Current assignee: Institute of Software of CAS
Priority date: 2019-01-03
Filing date: 2019-01-03
Publication date: 2021-02-26
Anticipated expiration: 2039-01-03
Also published as: CN109740362A

Abstract

本发明公开了一种基于熵编码的密文索引生成与检索方法及系统。本系统包括：密文索引生成模块，用于对待上传的二元组(kw,data)，为关键字kw计算生成核心码字，对数据项data加密生成Enc(data)、计算kw的填充码，然后根据核心码字、填充码生成向量P并进行加密，得到P*；然后将(P*，Enc(data))发送至服务器端；陷门生成模块，用于计算出查询关键字kw对应的查询编码；选择一查询编码填充向量Q并加密生成Q*，将其作为陷门向量发送至服务器端；陷门检索模块，用于根据Q*对所有加密二元组(P*,Enc(data))进行运算，找到包含kw的二元组，并将所有满足条件的二元组中的加密数据项返回给客户端。

Description

一种基于熵编码的密文索引生成与检索方法及系统

技术领域

本发明涉及一种基于熵编码的密文索引生成与检索方法及系统，属于云计算安全技术领域。

背景技术

近年来，随着云计算技术的迅猛发展，越来越多的企业与用户开始采用云服务保存数据与资料。由于云计算具有易管理、大容量、跨平台等特性，它可以帮助个人用户随时随地访问数据，提升操作便利性；同时帮助企业减少数据中心搭建与维护代价，大大降低其运营成本。因此，可以预期，在未来一段时期内基于云计算的数据存储系统与服务将得到更为广泛的应用。

但同时，云数据服务所带来的安全风险也绝不容忽视。调查结果显示，数据安全性与服务可靠性是当前云存储用户最为关注的两个目标。为了实现高安全性，用户会选择对重要数据上传前进行加密处理。这虽然可以有效地实现数据机密性保护、防范其被非授权传播，但同时也不可避免地降低了数据的可用性，使得对数据的检索面临更大困难。如果用户将所有密态文档下载、解密后，再判断其是否符合检索条件，那么无论是检索时间还是网络传输带宽的代价都将令用户无法承受。

对称可搜索加密(SSE)是一类帮助用户实现自身密文数据快速检索的关键技术。其核心思想是：用户将文档加密后存储在服务器，同时构造一个存储于服务器的安全索引结构。对于任意关键词，用户能够构造出查询陷门，服务器可以通过陷门与安全索引计算，找出满足检索条件的密文数据。

当前大多数密文检索方案保护了陷门和索引的安全，即攻击者不能通过密文或陷门直接获得关键词、明文的信息。然而，它们对于关键词频统计攻击表现相当脆弱。攻击者仍然可以通过所掌握的关键词分布统计知识，从索引结构或查询陷门中获知哪些文档包含了某个关键词，或根据结果集规模推测出陷门所对应的原始关键词。

发明内容

针对上述问题，本发明提供一种新型密文索引生成与检索方法，实现统计攻击下的陷门安全。

该技术的基本原理为：利用熵编码码字变长特性，设计由关键字的词频所定义的变长核心码与填充码，使得关键字出现频率与其所对应的陷门个数成正比。因而，每个陷门所对应的返回结果集大小为数学期望相同随机变量，与其所对应的关键字内容无关，有效地防止攻击者对陷门的准确猜测，实现统计攻击下的陷门安全。

为了实现上述目的，本发明采用以下技术方案；

一种基于熵编码的密文索引生成方法，其步骤包括：

1)客户端设置加密索引向量和陷门向量的密钥；客户端设置编码长度l以及l个不同的哈希函数h_i，i∈[1..l]；每个哈希函数将输入数据项随机映射至值域{0,1}；

2)对于用户待上传的二元组(kw,data)，客户端采用熵编码算法为关键字kw计算生成核心码字ccode(kw)，对数据项data加密生成Enc(data)；

3)客户端利用哈希函数计算关键字kw的填充码padding(kw)，然后将核心码字ccode(kw)与填充码padding(kw)顺序连接，生成长度为l的关键字编码；

4)客户端将编码(p₁p₂…p_l)填充至l+2维向量P，

并利用向量加密密钥对向量P进行加密运算，得到加密索引向量P*；然后将加密索引向量、加密数据项构成的二元组(P*，Enc(data))发送至服务器端；

5)服务器端存储所收到的加密二元组(P*，Enc(data))。

进一步的，步骤3)中，生成填充码padding(kw)的方法为：在所述哈希函数集合中分别选择h_{C_length+1},h_{C_length+2},...h_l-1共sl个(sl＝l-C_length)哈希函数对关键字kw进行计算，计算结果依次连接构成填充码padding(kw)；其中，C_length为核心码字ccode(kw)的长度。

进一步的，所述填充码为：

padding(kw)＝h_{C_length+1}(kw)||h_{C_length+2}(kw)||...||h_l-1(kw)。

进一步的，步骤4)中，可以使用任意判断向量内积是否为0的加密算法，如矩阵加密技术ASPE、谓词加密技术SSW等，对向量P加密得到加密索引向量P*。

一种密文检索方法，其步骤包括：

1)客户端收到要查找出包含有关键字kw的数据项查询请求时，计算出该关键字kw对应的查询编码；

2)计算查询编码对应的检索向量Q，并计算Q的加密向量Q*，将其作为陷门向量发送至服务器端。

3)服务器根据收到的陷门向量Q*，对其所管理的所有加密二元组(P*,Enc(data))进行匹配运算，将所有满足条件的二元组中的加密数据项返回给用户的客户端。

4)选择下一个查询编码，重复步骤3)直至遍历所有查询编码或用户主动终止。

进一步的，生成所述查询编码的方法为：客户端首先依据熵编码算法生成kw的核心码，然后随机选取一个长度为sl的二进制字符串作为填充码。两者连接生成查询编码。关键字kw最多能产生2^sl个不同的查询编码，每个查询编码长度为固定值l。

进一步的，生成所述陷门向量的方法为：将查询编码(q₁q₂…q_l)(对于i∈[1,l]，q_i∈{0,1})，填充至l+2维检索向量Q，

利用向量加密密钥计算Q的加密向量Q*；将其作为陷门向量发送至服务器端；

进一步的，服务器端对收到的陷门向量Q*与加密索引向量P*执行向量内积运算，若Q*·P*＝0，则将对应的加密数据项Enc(data)添加到返回数据集。

进一步的，服务器将满足条件的所有数据集{...,Enc(data)_i,...,Enc(data)_j,...}返回给用户的客户端。

一种基于熵编码的密文索引生成与检索系统，其特征在于，包括客户端和服务器端；其中，客户端包括密文索引生成模块、陷门生成模块，服务器端包括陷门检索模块；

密文索引生成模块，用于对于用户待上传的二元组(kw,data)，客户端采用熵编码算法为关键字kw计算生成核心码字ccode(kw)，对数据项data加密生成Enc(data)；利用该哈希函数集合计算关键字kw的填充码padding(kw)，然后将核心码字ccode(kw)、填充码padding(kw)顺序连接，生成l+2维向量P；将该向量P进行加密运算，得到加密索引向量P*；然后将加密索引向量、加密数据项构成的二元组(P*，Enc(data))发送至服务器端；

陷门生成模块，用于收到要查找出包含有关键字kw的数据项查询请求时，计算出该关键字kw对应的查询编码；选择一个查询编码填充至l+2维向量Q，计算向量Q的加密向量Q*，将其作为陷门向量发送至服务器端；

陷门检索模块，用于根据收到的陷门向量Q*，对其所管理的所有加密二元组(P*,Enc(data))进行运算，找到包含所查询关键字kw的二元组，并将所有满足条件的二元组中的加密数据项返回给客户端。

进一步的，熵编码算法可以为算术编码、香农码、哈夫曼(Huffman)编码或其他方法。

和现有技术相比，本发明具有如下优势：

本发明安全性高。在有效保护敏感数据和检索关键字的同时，可以实现海量密文数据的快速查询。本发明基于熵编码算法，实现了关键词频与陷门个数之间的正比例关系，消除了原有的陷门与结果集大小之间的确定性联系，使得攻击者无法根据统计知识对陷门进行猜测。此外，本发明将查询过程变换为求解向量内积的形式，并借助加密技术保护向量，使得攻击者无法判定两个加密向量对应的关键词是否相同，因而无法判定两个结果集是否存在关联。

附图说明

图1是基于熵编码的密文索引生成与检索方法的技术架构示意图。

具体实施方式

下面通过具体实施示例，对本发明做详细的说明。

一种基于熵编码的密文索引生成与检索方法，在用户本地客户端和远程服务器实现，包括以下阶段与步骤：

一.索引准备与生成

(1)客户端本地初始化过程。包括选择加解密算法与用于加解密数据项的密钥，以及向量加密密钥；定义编码长度l；准备l个不同的哈希函数h_i，i∈[1..l]，每个哈希函数将所有可能的数据项随机映射至值域{0,1}。

(2)对于用户希望上传的二元组(kw,data)，客户端采用熵编码算法为关键字计算生成核心码字ccode(kw)，同时对数据项加密，生成Enc(data)；其中，kw为关键字，data为数据项。

(3)优选的，用户可以使用任意熵编码算法，本发明不做特殊限定。熵编码法是一种进行无损数据压缩的技术，每个编码单元被表示为一段变长的比特字符串。每个编码单元按照其出现的可能性所获得的最佳比特数取决于熵。典型的熵编码算法包括：算术编码、香农码、哈夫曼(Huffman)编码方法等。不同的算法所产生的编码长度可能不同。

优选地，用户可以使用任意安全可靠的加密算法对数据项进行加解密操作，如SMS4、AES256等。

(4)客户端利用哈希函数计算关键字kw的填充码padding(kw)，并将其填充在核心码的尾部形成最终编码：Ccode(kw)||padding(kw)。关键字编码的总长度固定为l位。

优选地，若核心码字长度为C_length，则填充码长度为sl＝l-C_length，在哈希函数集合中分别选择h_{C_length+1},h_{C_length+2},...h_l-1等sl个函数对关键字进行哈希运算，计算结果依次连接构成填充码：

padding(kw)＝h_{C_length+1}(kw)||h_{C_length+2}(kw)||...||h_l-1(kw)

(5)客户端将长度为l的编码按照指定规则填充至l+2维向量P，即：将关键词编码(p₁p₂…p_l)(对于i∈[1,l]，p_i∈{0,1})，填充为向量

并对其进行向量加密运算，得到加密索引向量P*。将加密索引向量、加密数据项构成的二元组(P*，Enc(data))发送至服务器端。

优选地，客户端可以使用任意判断向量内积是否为0的加密算法对索引向量和陷门向量进行加密操作，如矩阵加密技术ASPE、谓词加密技术SSW等。

二.陷门生成与提交

(6)当用户需要查找出包含有关键字kw的数据项时，计算出kw对应的查询编码。

优选地，首先依据熵编码算法生成kw的核心码，然后随机选取一个长度为sl的二进制字符串作为填充码。两者连接生成查询编码。关键字kw最多能产生2^sl个不同的查询编码，每个查询编码长度为固定值l。

(7)计算查询编码对应的检索向量Q，并计算Q的加密向量Q*，将其作为陷门向量发送至服务器端。

优选的，将查询编码(q₁q₂…q_l)(对于i∈[1,l]，q_i∈{0,1})，填充至l+2维检索向量Q，

(8)选择下一个查询编码，重复步骤(6)直至已遍历完所有查询编码或用户主动中止。

优选地，用户可以根据需求决定选用查询编码的数量。如需要返回所有结果，则依次选用所有2^sl个查询编码。

三.陷门检索

(9)服务器根据收到的陷门向量Q*，对其所管理的所有加密二元组(P*,Enc(data))进行匹配运算，将所有满足条件的二元组中的加密数据项返回给用户的客户端。

优选地，服务器对收到的陷门向量Q*与加密索引向量P*执行向量内积运算。若Q*·P*＝0，则将对应的加密数据项Enc(data)添加到返回数据集；

(10)服务器将满足条件的所有数据集{...,Enc(data)_i,...,Enc(data)_j,...}返回给用户的客户端。

一种基于熵编码的密文索引生成与检索系统，主要包括密文索引生成模块、陷门生成模块与陷门检索模块。其中：

所述索引生成模块负责为数据项生成密文索引，该索引与加密数据项一起提交给服务器；

所述陷门生成模块负责为指定关键字生成陷门，并将陷门发送给服务器；

所述陷门检索模块负责实现密文索引项与陷门之间的匹配判定。满足要求的数据项被加入结果集，返回给用户。

实施例

在本实施例中，存在“box”、“vase”、“showpieces”和“antique”等4个关键词，其在所有数据项中出现的频率分别约为0.5、0.25、0.125与0.125。编码长度设定为4位。哈希函数集合包含h₁,h₂,h₃,h₄四个Hash函数。需要上传的数据项共有八项。其中：D1，D2，D3，D4中包含关键词“box”；D5，D6中包含关键词“vase”；D7中包含关键词“showpieces”；D8中包含关键词“antique”。

本实施例的流程如下：

1.客户端分别生成用于AES256加密算法和ASPE加密算法的密钥及相关参数。

2.客户端采用某熵编码算法处理后，所有关键词的核心码表示如下：

“box”编码为一位“0”；

“vase”编码为两位“10”；

“showpieces”编码为三位“110”；

“antique”编码为三位“111”。

3.客户端为每个数据项生成核心码，同时对数据项内容加密。

4.客户端选用h₂,h₃,h₄三个哈希函数分别对D1～D8进行哈希运算，生成填充码，并生成检索向量，如下表所示：

5.客户端分别对检索向量进行ASPE向量加密、对数据项进行AES加密，然后将二者构成的二元组一同发送给服务器(如上表所示)。

6.查询时，客户端查找关键词“vase”。用户首先生成其核心码“10”，可随机生成“00”“01”“10”“11”等四个填充码，两者连接生成四个查询编码。我们以其中一个查询编码“1011”为例进行说明。“1011”对应的检索向量为(3,-2,0,-2,-2,1)；对其进行ASPE向量加密，生成陷门向量Q*发送给服务器。

7.服务器收到陷门向量Q*后，分别计算它与所有加密二元组中的索引向量的内积，得到如下结果：

其中，只有

与之内积为0，所以返回加密数据项{Enc(D6)}至客户端。

8.若该答案未满足用户要求，则用户可以选择下一个未使用过的查询编码，继续生成陷门向量，提交服务器查询；如果已经找到满意的答案，则结束查询。

在本案例中，每个陷门对应的结果集大小固定为1(因为数据集过小，存在部分陷门返回结果集为空的现象，当数据项规模非常大时，各个结果集大小的期望值相同)。

以上通过形式表达和实施案例对本发明进行了详细的说明，但本发明的具体实现形式并不局限于此。本领域的一般技术人员，可以在不背离本发明所述方法的精神和原则的情况下对其进行各种显而易见的变化与修改。本发明的保护范围应以权利要求书所述为准。

Claims

1.一种基于熵编码的密文索引生成方法，其步骤包括：

4)客户端将编码(p₁p₂…p_l)填充至l+2维向量P，

并利用索引向量加密密钥对向量P进行加密运算，得到加密索引向量P*；然后将加密索引向量、加密数据项构成的二元组(P*，Enc(data))发送至服务器端；

5)服务器端存储所收到的加密二元组(P*，Enc(data))生成密文索引。

2.如权利要求1所述的方法，其特征在于，生成填充码padding(kw)的方法为：在哈希函数集合中分别选择h_{C_length+1},h_{C_length+2},...h_l-1共sl个哈希函数对关键字kw进行计算，计算结果依次连接构成填充码padding(kw)；其中，C_length为核心码字ccode(kw)的长度，sl＝l-C_length。

3.如权利要求2所述的方法，其特征在于，所述填充码

padding(kw)＝h_{C_length+1}(kw)||h_{C_length+2}(kw)||...||h_l-1(kw)。

4.如权利要求1所述的方法，其特征在于，步骤4)中，使用任意判断向量内积是否为0的加密算法，对向量P加密得到加密索引向量P*。

5.一种基于权利要求1所生成的密文索引的密文检索方法，其步骤包括：

2)计算查询编码对应的检索向量Q，并计算Q的加密向量Q*，将其作为陷门向量发送至服务器端；

3)服务器根据收到的陷门向量Q*，对其所管理的所有加密二元组(P*,Enc(data))进行匹配运算，将所有满足条件的二元组中的加密数据项返回给用户的客户端；

6.如权利要求5所述的方法，其特征在于，生成所述查询编码的方法为：客户端首先依据熵编码算法生成kw的核心码，然后随机选取一个长度为sl的二进制字符串作为填充码，两者连接生成查询编码。

7.如权利要求5所述的方法，其特征在于，步骤2)中，客户端首先将查询编码(q₁q₂…q_l)(对于i∈[1,l]，q_i∈{0,1})，填充至l+2维检索向量Q，

然后利用向量加密密钥计算Q的加密向量Q*。

8.如权利要求5所述的方法，其特征在于，服务器端对收到的陷门向量Q*与加密索引向量P*执行向量内积运算，若Q*·P*＝0，则将对应的加密数据项Enc(data)添加到返回数据集。

9.如权利要求5所述的方法，其特征在于，服务器将满足条件的所有数据集{...,Enc(data)_i,...,Enc(data)_j,...}返回给用户的客户端。

10.一种基于熵编码的密文索引生成与检索系统，其特征在于，包括客户端和服务器端；其中，客户端包括密文索引生成模块、陷门生成模块，服务器端包括陷门检索模块；其中，客户端设置加密索引向量和陷门向量的密钥，以及设置编码长度l以及l个不同的哈希函数h_i，i∈[1..l]；每个哈希函数将输入数据项随机映射至值域{0,1}；

密文索引生成模块，用于对于用户待上传的二元组(kw,data)，客户端采用熵编码算法为关键字kw计算生成核心码字ccode(kw)，对数据项data加密生成Enc(data)；利用哈希函数计算关键字kw的填充码padding(kw)，然后将核心码字ccode(kw)、填充码padding(kw)顺序连接，生成l+2维向量P；将该向量P进行加密运算，得到加密索引向量P*；然后将加密索引向量、加密数据项构成的二元组(P*，Enc(data))发送至服务器端；

11.如权利要求10所述的系统，其特征在于，所述熵编码算法为算术编码、香农码或哈夫曼编码。