CN110098924A - 支持可搜索透明加密的层级密钥技术 - Google Patents

支持可搜索透明加密的层级密钥技术 Download PDF

Info

Publication number
CN110098924A
CN110098924A CN201910316619.6A CN201910316619A CN110098924A CN 110098924 A CN110098924 A CN 110098924A CN 201910316619 A CN201910316619 A CN 201910316619A CN 110098924 A CN110098924 A CN 110098924A
Authority
CN
China
Prior art keywords
key
document
encryption
layer
collection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910316619.6A
Other languages
English (en)
Other versions
CN110098924B (zh
Inventor
路松峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Huazhong University of Science and Technology Research Institute
Original Assignee
Shenzhen Huazhong University of Science and Technology Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Huazhong University of Science and Technology Research Institute filed Critical Shenzhen Huazhong University of Science and Technology Research Institute
Priority to CN201910316619.6A priority Critical patent/CN110098924B/zh
Publication of CN110098924A publication Critical patent/CN110098924A/zh
Application granted granted Critical
Publication of CN110098924B publication Critical patent/CN110098924B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Abstract

本发明提供了一种支持可搜索加密的层级密钥生成方法及系统,该方法采用多层密钥,第一层为根密钥K;第二层为对索引和查询关键词进行加密的主密钥KM1、对文档目录进行加密的主密钥KM2、对文档权限加密的主密钥KM3和对文档加密的主密钥KM4;第三层为二级密钥,包括索引和查询关键词公钥KI和私钥SK,文档目录密钥KD,文档权限公钥KA和私钥ASK,文档密钥KF;第四层为工作密钥,包括索引及查询关键词工作密钥集{KIW1,…,KIWn1}和陷门密钥{QW1,…,QWn2},目录工作密钥集{KDW1,…,KDWn3},文档权限工作密钥{KAW1,…,KAWn}和陷门密钥{QAW1,…,QAWn},文档加密工作密钥集{KFW1,…,KFWn};第五层为文档分片加密密钥集{KFSi1,…,KFSin4}。本发明采用多层密钥可以有效地抵抗对手攻击。

Description

支持可搜索透明加密的层级密钥技术
技术领域
本发明属于计算机信息安全领域,具体涉及支持可搜索透明加密的层级密钥技术。
背景技术
信息技术的发展,使得电子文档数量剧增,并将继续增加。云存储是解决电子文档大数据存储难题的解决方案。但是云服务器处于不可信任的第三方,数据和隐私泄密事件时常发生,为了解决云存储的安全问题,需要对存储在云服务器上的电子文档提供非第三方的加密服务。但在大数据背景下,云服务器上的电子文档的加密会带来使用困难,当需要检索电子文档时,需要全部下载到客户端进行解密,这导致效率问题。为解决该问题,需要采用支持可搜索加密和对用户透明的加密技术。
可搜索透明加密需要对文档索引、文档权限、文档目录、文档进行加密,如果采用单个密钥或者多个平级密钥将会带来安全隐患。为此,本发明设计支持可搜索透明加密下的多层密钥生成方法。
中国发明专利CN201510416240.4公开了一种单个、单级和多级密钥对分散方法及其系统,涉及密钥的分散方法。中国发明专利201510831793.6公开了一种基于硬件的多级密钥协商方法,其将局域网中的主机分为安全服务器和用户客户机,然后展开密钥协商。
但上述密钥方法并不涉及如何多可搜索和透明加密进行多层或多级密钥生成或管理。
发明内容
本发明所要解决的技术问题是:提供支持可搜索透明加密的层级密钥生成方法。可搜索透明加密对电子文档进行处理,需要对电子文档权限、文档索引、文档目录进行加密,需要对电子文档进行分片,并对每一个分片进行加密。
在第一方面,本发明提供了一种支持可搜索加密的层级密钥生成方法,该方法包括:
1)生成第一层密钥,所述第一层密钥为根密钥K;
2)根据步骤1)生成的根密钥生成第二层密钥,所述第二层密钥为主密钥,其包括对索引和查询关键词进行加密的主密钥KM1、对文档目录进行加密的主密钥KM2、对文档权限加密的主密钥KM3和对文档加密的主密钥KM4;
3)根据步骤2)生成的第二层密钥生成第三层密钥,所述第三层密钥为二级密钥,其包括索引和查询关键词公钥KI和私钥SK,文档目录密钥KD,文档权限公钥KA和私钥ASK,文档密钥KF;
4)根据步骤3)生成的第三层密钥生成第四层密钥,所述第四层密钥为工作密钥,其包括索引及查询关键词工作密钥集{KIW1,…,KIWn1}和陷门密钥集{QW1,…,QWn2},目录工作密钥集{KDW1,…,KDWn3},文档权限工作密钥集{KAW1,…,KAWn}和陷门密钥集{QAW1,…,QAWn},文档加密工作密钥集{KFW1,…,KFWn};
5)根据步骤4)生成的第四层密钥生成第五层密钥,所述第五层密钥为文档分片加密密钥{KFSi1,…,KFSin4}。
进一步地,所述步骤1)包括:
由随机数发生器生成随机数r1,密钥生成函数以r1为变量生成根密钥K。
进一步地,所述步骤2)包括:
由随机数发生器生成随机数r2、r3、r4和r5,密钥生成函数分别以(K,r2)、(K,r3)、(K,r4)和(K,r5)为变量生成对索引和查询关键词进行加密的主密钥KM1,对文档目录进行加密的主密钥KM2,对文档权限加密的主密钥KM3,对文档加密的主密钥KM4。
进一步地,所述步骤3)包括:
由随机数发生器生成随机数r6、r7、r8和r9,密钥生成函数分别以(KM1,r6)、(KM2,r7)、(KM3,r8)和(KM4,r9)为变量分别生成索引和查询关键词公钥KI和私钥SK,文档目录密钥KD,文档权限公钥KA和私钥ASK,文档密钥KF。
进一步地,所述步骤4)具体包括:
所述步骤4)具体包括:
将步骤3)中的索引和查询关键词公钥KI与文档关键词集合WD={w1,w2,…wd}生成索引及查询关键词工作密钥集{KIW1,…,KIWn1},将步骤3)中的索引和查询关键词私钥SK与查询关键词集合WQ={w1,w2,…wq}生成所述陷门密钥集{QW1,…,QWn};
将步骤3)中的文档目录密钥KD与数量为n3的目录ID生成目录工作密钥集{KDW1,…,KDWn3};
将步骤3)中的文档权限公钥KA与文档ID生成文档权限工作密钥,文档权限工作密钥集合为{KAW1,…,KAWn};将文档权限私钥ASK和文档ID生成陷门密钥集{QAW1,…,QAWn};
将步骤3)中的文档密钥KF与所有文档ID生成文档加密工作密钥集{KFW1,…,KFWn}。
进一步地,所述步骤5)具体包括:
对文档Di划分成im个分片,每个分片的密钥由该文档的工作密钥KFWi与该文档分片的ID生成,所有的文档分片加密密钥集为{KFSi1,…,KFSin4}。
在第二方面,本发明提供了一种支持可搜索加密的层级密钥生成系统,该系统包括:
第一层密钥生成单元,用以生成第一层密钥,所述第一层密钥为根密钥K;
第二层密钥生成单元,用以根据生成的根密钥生成第二层密钥,所述第二层密钥为主密钥,其包括对索引和查询关键词进行加密的主密钥KM1、对文档目录进行加密的主密钥KM2、对文档权限加密的主密钥KM3和对文档加密的主密钥KM4;
第三层密钥生成单元,用以根据生成的第二层密钥生成第三层密钥,所述第三层密钥为二级密钥,其包括索引和查询关键词公钥KI和私钥SK,文档目录密钥KD,文档权限公钥KA和私钥ASK,文档密钥KF;
第四层密钥生成单元,用以根据生成的第三层密钥生成第四层密钥,所述第四层密钥为工作密钥,其包括索引及查询关键词工作密钥集{KIW1,…,KIWn1}和陷门密钥集{QW1,…,QWn2},目录工作密钥集{KDW1,…,KDWn3},文档权限工作密钥集{KAW1,…,KAWn}和陷门密钥集{QAW1,…,QAWn},文档加密工作密钥集{KFW1,…,KFWn};
第五层密钥生成单元,用以根据生成的第四层密钥生成第五层密钥,所述第五层密钥为文档分片加密密钥{KFSi1,…,KFSin4}。
进一步地,所述第二层密钥生成单元包括:
索引和查询关键词加密主密钥生成单元,用以根据跟密钥K生成对索引和查询关键词进行加密的主密钥KM1;
文档目录加密主密钥生成单元,用以根据跟密钥K生成对文档目录进行加密的主密钥KM2;
文档权限加密主密钥生成单元,用以根据跟密钥K生成对文档权限加密的主密钥KM3;
文档加密主密钥生成单元,用以根据跟密钥K生成对文档加密的主密钥KM4。
进一步地,所述第三层密钥生成单元包括:
索引和查询关键词公私钥生成单元,用以根据对索引和查询关键词加密的主密钥KM1生成索引和查询关键词公钥KI和私钥SK;
文档目录密钥生成单元,用以根据对文档目录进行加密的主密钥KM2生成文档目录密钥KD;
文档权限公私钥生成单元,用以根据对文档权限加密的主密钥KM3生成文档权限公钥KA和私钥ASK;
文档密钥生成单元,用以根据对文档加密的主密钥KM4生成文档密钥KF。
进一步地,所述第四层密钥生成单元包括:
索引及查询关键词工作密钥集和陷门密钥集生成单元,用以根据索引和查询关键词公钥KI与文档关键词集合WD={w1,w2,…wd}生成索引及查询关键词工作密钥集{KIW1,…,KIWn1},根据索引和查询关键词私钥SK与查询关键词集合WQ={w1,w2,…wq}生成所述陷门密钥集{QW1,…,QWn2};
目录工作密钥集生成单元,用以根据文档目录密钥KD与数量为n3的目录ID生成目录工作密钥集{KDW1,…,KDWn3};
文档权限工作密钥集和陷门密钥集,用以根据文档权限公钥KA与文档ID生成文档权限工作密钥集合为{KAW1,…,KAWn};根据文档权限私钥ASK和文档ID生成陷门密钥集{QAW1,…,QAWn};
文档加密工作密钥集,用以根据文档密钥KF与所有文档ID生成文档加密工作密钥集{KFW1,…,KFWn}。
密钥的使用方法如下:根密钥、主密钥及二级密钥不在应用系统中使用,是用来保护工作密钥的。工作密钥和文档分片密钥在应用系统中使用。索引工作密钥用来生成密文索引,文档陷门工作密钥用来生成陷门,以便对文档进行密文检索。文档目录工作密钥用来对文档加密。文档权限信息由文档属性和用户属性共同组成,其使用文档权限工作密钥加密,在进行文档访问控制时需要根据要查询文档的权限信息在文档权限集合中检索匹配的记录,为此需要把要查询的文档用陷门密钥进行加密,进而进行密文检索。文档分片密钥用来对每一个分片进行加密。
密钥的存储和分配方法如下:根密钥和主密钥采用硬件存储方案,在系统外分别独立存放。二级密钥采用软件加密的方式存储在云服务器端,在需要生成工作密钥时采用通信加密的方式传送到客户端。第四层工作密钥采用软加密的方式存储在客户端。文档分片密钥不存储在系统中,每一个分片最后存储文档分块ID,在进行分片加解密时临时生成密钥。
密钥更新方法:更新某个密钥时,获取其上一次的密钥,然后按照从上到下的方式重新生成密钥,其后代密钥全部更新。更新密钥的同时,把密文数据进行重新加密。
本发明根据可搜索透明加密的技术特点,针对性地设计公私钥相结合的多层密钥体系,核心密钥采用更安全的硬件存储方式,二级密钥存储在更安全的云服务器上,为了工作效率,工作密钥以软件加密方式存储在客户端,为了减少密钥数量,对分档分片密钥采用动态生成的方式。
采用多层密钥可以有效地抵抗对手攻击,系统中只使用工作密钥,一旦工作密钥被攻破,只需更换二级密钥,即使二级密钥被攻破,由于主密钥和根密钥从来没有暴漏,因此可以重新生成一套新的密钥体系。
附图说明
图1为本发明提供的一种支持可搜索加密的层级密钥生成方法流程图;
图2为本发明提供的一种支持可搜索加密的层级密钥生成方法框图;
图3为本发明提供的一种支持可搜索加密的层级密钥生成系统结构图。
具体实施方式
结合附图来说明本发明的实施方式。
图1为本发明提供的一种支持可搜索加密的层级密钥生成方法流程图。
如图1和2所示,本发明提供的一种支持可搜索加密的层级密钥生成方法,该方法包括如下步骤:
在步骤101中,生成第一层密钥,所述第一层密钥为根密钥K。具体为:由随机数发生器生成随机数r1,密钥生成函数以r1为变量生成根密钥K。
在步骤102中,根据步骤101生成的根密钥生成第二层密钥,所述第二层密钥为主密钥,其包括对索引和查询关键词进行加密的主密钥KM1、对文档目录进行加密的主密钥KM2、对文档权限加密的主密钥KM3和对文档加密的主密钥KM4。
具体为:由随机数发生器生成随机数r2、r3、r4和r5,密钥生成函数分别以(K,r2)、(K,r3)、(K,r4)和(K,r5)为变量生成对索引和查询关键词进行加密的主密钥KM1,对文档目录进行加密的主密钥KM2,对文档权限加密的主密钥KM3,对文档加密的主密钥KM4。
在步骤103中,根据步骤102生成的第二层密钥生成第三层密钥,所述第三层密钥为二级密钥,其包括索引和查询关键词公钥KI和私钥SK,文档目录密钥KD,文档权限公钥KA和私钥ASK,文档密钥KF。
具体为:由随机数发生器生成随机数r6、r7、r8和r9,密钥生成函数分别以(KM1,r6)、(KM2,r7)、(KM3,r8)和(KM4,r9)为变量分别生成索引和查询关键词公钥KI和私钥SK,文档目录密钥KD,文档权限公钥KA和私钥ASK,文档密钥KF。
在步骤104中,根据步骤103生成的第三层密钥生成第四层密钥,所述第四层密钥为工作密钥,其包括索引及查询关键词工作密钥集{KIW1,…,KIWn1}和陷门密钥集{QW1,…,QWn2},目录工作密钥集{KDW1,…,KDWn3},文档权限工作密钥集{KAW1,…,KAWn}和陷门密钥集{QAW1,…,QAWn},文档加密工作密钥集{KFW1,…,KFWn}。
具体为:将步骤103中的索引和查询关键词公钥KI与文档关键词集合WD={w1,w2,…wd}生成索引及查询关键词工作密钥集{KIW1,…,KIWn1},将步骤103中的索引和查询关键词私钥SK与查询关键词集合WQ={w1,w2,…wq}生成所述陷门密钥集{QW1,…,QWn}。
将步骤103中的文档目录密钥KD与数量为n3的目录ID生成目录工作密钥集{KDW1,…,KDWn3}。
将步骤103中的文档权限公钥KA与文档ID生成文档权限工作密钥,文档权限工作密钥集合为{KAW1,…,KAWn};将文档权限私钥ASK和文档ID生成陷门密钥集{QAW1,…,QAWn}。
将步骤103中的文档密钥KF与所有文档ID生成文档加密工作密钥集{KFW1,…,KFWn}。
在步骤105中,根据步骤104生成的第四层密钥生成第五层密钥,所述第五层密钥为文档分片加密密钥{KFSi1,…,KFSin4}。
具体为:
对文档Di划分成im个分片,每个分片的密钥由该文档的工作密钥KFWi与该文档分片的ID生成,当全部文档分片数量为in4时,所有的文档分片加密密钥集为{KFSi1,…,KFSin4}。
密钥的使用方法如下:根密钥、主密钥及二级密钥不在应用系统中使用,是用来保护工作密钥的。工作密钥和文档分片密钥在应用系统中使用。索引工作密钥用来生成密文索引,文档陷门工作密钥用来生成陷门,以便对文档进行密文检索。文档目录工作密钥用来对文档加密。文档权限信息由文档属性和用户属性共同组成,其使用文档权限工作密钥加密,在进行文档访问控制时需要根据要查询文档的权限信息在文档权限集合中检索匹配的记录,为此需要把要查询的文档用陷门密钥进行加密,进而进行密文检索。文档分片密钥用来对每一个分片进行加密。
具体来讲,在新文档D需要加入系统中时,首先会对文档进行分词,根据分词结果获得文档的关键词列表{WD1,WD2,WDn},检测所有的关键词列表,如果其中某个关键词WDi,=不在索引及查询关键词工作密钥集{KIW1,…,KIWn1}中,则生成一个新的索引关键词密钥KIWDi,并加入索引及查询关键词工作密钥集{KIW1,…,KIWn1}中,并利用索引关键词密钥KIWDi对关键词WDi加密,并加入密文索引中。根据文档ID,生成文档权限工作密钥KAWDi,并加入文档权限工作密钥集{KAW1,…,KAWn}中。检查新文档的目录ID,如果该目录为新目录,则生成目录工作密钥KDWDi,并加入文档目录工作密钥集{KDW1,…,KDWn3}中,并使用目录工作密钥KDWDi对目录加密。根据文档ID,生成文档工作密钥KFWDi,并加入文档加密工作密钥集{KFW1,…,KFWn}中。对文档进行分片,分片数为Dp,根据分片ID和文档工作密钥KFWDi,生成文档分片加密密钥KFD1,…,KFDp,然后利用分片密钥对文档分片进行加密云存储。
当用户发起查询时,用户输入查询短语或者关键词集合,经过分词或者关键词分析,获取查询关键词列表{QD1,QD2,QDm},然后生成陷门密钥QW1D1,…,QWDm,利用陷门查询会得到合适的文档结合{Wr1,Wr2,Wrn},根据查询到的文档,根据文档ID生成文档权限陷门密钥,与文档权限密钥匹配后,获取到合适的符合权限的文档集合RR={Wrr1,Wrr2,Wrrn},根据RR中的文档ID加密后得到文档工作密钥,利用文档工作密钥解密文档分片ID,根据文档分片ID再计算出分片密钥,对每个分片解密,组成文档返回给用户。
密钥的存储和分配方法如下:根密钥和主密钥采用硬件存储方案,在系统外分别独立存放。二级密钥采用软件加密的方式存储在云服务器端,在需要生成工作密钥时采用通信加密的方式传送到客户端。第四层工作密钥采用软加密的方式存储在客户端。文档分片密钥不存储在系统中,每一个分片最后存储文档分块ID,在进行分片加解密时临时生成密钥。
密钥更新方法:更新某个密钥时,获取其上一次的密钥,然后按照从上到下的方式重新生成密钥,其后代密钥全部更新。更新密钥的同时,把密文数据进行重新加密。
图2为本发明实施例提供的一种支持可搜索加密的层级密钥生成系统。
如图2所示,本发明实施例提供的一种支持可搜索加密的层级密钥生成系统包括:
第一层密钥生成单元1,主要负责生成第一层密钥,所述第一层密钥为根密钥K;
第二层密钥生成单元2,主要负责根据生成的根密钥生成第二层密钥,所述第二层密钥为主密钥,其包括对索引和查询关键词进行加密的主密钥KM1、对文档目录进行加密的主密钥KM2、对文档权限加密的主密钥KM3和对文档加密的主密钥KM4;
第三层密钥生成单元3,主要负责根据生成的第二层密钥生成第三层密钥,所述第三层密钥为二级密钥,其包括索引和查询关键词公钥KI和私钥SK,文档目录密钥KD,文档权限公钥KA和私钥ASK,文档密钥KF;
第四层密钥生成单元4,主要负责根据生成的第三层密钥生成第四层密钥,所述第四层密钥为工作密钥,其包括索引及查询关键词工作密钥集{KIW1,…,KIWn1}和陷门密钥集{QW1,…,QWn2},目录工作密钥集{KDW1,…,KDWn3},文档权限工作密钥集{KAW1,…,KAWn}和陷门密钥集{QAW1,…,QAWn},文档加密工作密钥集{KFW1,…,KFWn};
第五层密钥生成单元5,主要负责根据生成的第四层密钥生成第五层密钥,所述第五层密钥为文档分片加密密钥{KFSi1,…,KFSin4}。
进一步地,第二层密钥生成单元2包括:
索引和查询关键词加密主密钥生成单元21,主要负责根据跟密钥K生成对索引和查询关键词进行加密的主密钥KM1。
文档目录加密主密钥生成单元22,主要负责根据跟密钥K生成对文档目录进行加密的主密钥KM2。
文档权限加密主密钥生成单元23,主要负责根据跟密钥K生成对文档权限加密的主密钥KM3。
文档加密主密钥生成单元24,主要负责根据跟密钥K生成对文档加密的主密钥KM4。
进一步地,第三层密钥生成单元3包括:
索引和查询关键词公私钥生成单元31,主要负责根据对索引和查询关键词加密的主密钥KM1生成索引和查询关键词公钥KI和私钥SK;
文档目录密钥生成单元32,主要负责根据对文档目录进行加密的主密钥KM2生成文档目录密钥KD。
文档权限公私钥生成单元33,主要负责根据对文档权限加密的主密钥KM3生成文档权限公钥KA和私钥ASK。
文档密钥生成单元34,主要负责根据对文档加密的主密钥KM4生成文档密钥KF。
进一步地,第四层密钥生成单元4包括:
索引及查询关键词工作密钥集和陷门密钥集生成单元41,用以根据索引和查询关键词公钥KI与文档关键词集合WD={w1,w2,…wd}生成索引及查询关键词工作密钥集{KIW1,…,KIWn1},根据索引和查询关键词私钥SK与查询关键词集合WQ={w1,w2,…wq}生成所述陷门密钥集{QW1,…,QWn2}。
目录工作密钥集生成单元42,用以根据文档目录密钥KD与数量为n3的目录ID生成目录工作密钥集{KDW1,…,KDWn3};
文档权限工作密钥集和陷门密钥集43,用以根据文档权限公钥KA与文档ID生成文档权限工作密钥集合为{KAW1,…,KAWn};根据文档权限私钥ASK和文档ID生成陷门密钥集{QAW1,…,QAWn};
文档加密工作密钥集44,用以根据文档密钥KF与所有文档ID生成文档加密工作密钥集{KFW1,…,KFWn}。
本发明根据可搜索透明加密的技术特点,针对性地设计公私钥相结合的多层密钥体系,核心密钥采用更安全的硬件存储方式,二级密钥存储在更安全的云服务器上,为了工作效率,工作密钥以软件加密方式存储在客户端,为了减少密钥数量,对分档分片密钥采用动态生成的方式。
采用多层密钥可以有效地抵抗对手攻击,系统中只使用工作密钥,一旦工作密钥被攻破,只需更换二级密钥,即使二级密钥被攻破,由于主密钥和根密钥从来没有暴漏,因此可以重新生成一套新的密钥体系。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种支持可搜索加密的层级密钥生成方法,其特征在于,包括:
1)生成第一层密钥,所述第一层密钥为根密钥K;
2)根据步骤1)生成的根密钥生成第二层密钥,所述第二层密钥为主密钥,其包括对索引和查询关键词进行加密的主密钥KM1、对文档目录进行加密的主密钥KM2、对文档权限加密的主密钥KM3和对文档加密的主密钥KM4;
3)根据步骤2)生成的第二层密钥生成第三层密钥,所述第三层密钥为二级密钥,其包括索引和查询关键词公钥KI和私钥SK,文档目录密钥KD,文档权限公钥KA和私钥ASK,文档密钥KF;
4)根据步骤3)生成的第三层密钥生成第四层密钥,所述第四层密钥为工作密钥,其包括索引及查询关键词工作密钥集{KIW1,…,KIWn1}和陷门密钥集{QW1,…,QWn2},目录工作密钥集{KDW1,…,KDWn3},文档权限工作密钥集{KAW1,…,KAWn}和陷门密钥集{QAW1,…,QAWn},文档加密工作密钥集{KFW1,…,KFWn};
5)根据步骤4)生成的第四层密钥生成第五层密钥,所述第五层密钥为文档分片加密密钥{KFSi1,…,KFSin4}。
2.根据权利要求1所述的一种支持可搜索加密的层级密钥生成方法,其特征在于,所述步骤1)包括:
由随机数发生器生成随机数r1,密钥生成函数以r1为变量生成根密钥K。
3.根据权利要求1所述的一种支持可搜索加密的层级密钥生成方法,其特征在于,所述步骤2)包括:
由随机数发生器生成随机数r2、r3、r4和r5,密钥生成函数分别以(K,r2)、(K,r3)、(K,r4)和(K,r5)为变量生成对索引和查询关键词进行加密的主密钥KM1,对文档目录进行加密的主密钥KM2,对文档权限加密的主密钥KM3,对文档加密的主密钥KM4。
4.根据权利要求1所述的一种支持可搜索加密的层级密钥生成方法,其特征在于,所述步骤3)包括:
由随机数发生器生成随机数r6、r7、r8和r9,密钥生成函数分别以(KM1,r6)、(KM2,r7)、(KM3,r8)和(KM4,r9)为变量分别生成索引和查询关键词公钥KI和私钥SK,文档目录密钥KD,文档权限公钥KA和私钥ASK,文档密钥KF。
5.根据权利要求1所述的一种支持可搜索加密的层级密钥生成方法,其特征在于,所述步骤4)具体包括:
将步骤3)中的索引和查询关键词公钥KI与文档关键词集合WD={w1,w2,…wd}生成索引及查询关键词工作密钥集{KIW1,…,KIWn1},将步骤3)中的索引和查询关键词私钥SK与查询关键词集合WQ={w1,w2,…wq}生成所述陷门密钥集{QW1,…,QWn};
将步骤3)中的文档目录密钥KD与数量为n3的目录ID生成目录工作密钥集{KDW1,…,KDWn3};
将步骤3)中的文档权限公钥KA与文档ID生成文档权限工作密钥,文档权限工作密钥集合为{KAW1,…,KAWn};将文档权限私钥ASK和文档ID生成陷门密钥集{QAW1,…,QAWn};
将步骤3)中的文档密钥KF与所有文档ID生成文档加密工作密钥集{KFW1,…,KFWn}。
6.根据权利要求1所述的一种支持可搜索加密的层级密钥生成方法,其特征在于,所述步骤5)具体包括:
对文档Di划分成im个分片,每个分片的密钥由该文档的工作密钥KFWi与该文档分片的ID生成,所有的文档分片加密密钥集为{KFSi1,…,KFSin4}。
7.一种支持可搜索加密的层级密钥生成系统,其特征在于,包括:
第一层密钥生成单元,用以生成第一层密钥,所述第一层密钥为根密钥K;
第二层密钥生成单元,用以根据生成的根密钥生成第二层密钥,所述第二层密钥为主密钥,其包括对索引和查询关键词进行加密的主密钥KM1、对文档目录进行加密的主密钥KM2、对文档权限加密的主密钥KM3和对文档加密的主密钥KM4;
第三层密钥生成单元,用以根据生成的第二层密钥生成第三层密钥,所述第三层密钥为二级密钥,其包括索引和查询关键词公钥KI和私钥SK,文档目录密钥KD,文档权限公钥KA和私钥ASK,文档密钥KF;
第四层密钥生成单元,用以根据生成的第三层密钥生成第四层密钥,所述第四层密钥为工作密钥,其包括索引及查询关键词工作密钥集{KIW1,…,KIWn1}和陷门密钥集{QW1,…,QWn2},目录工作密钥集{KDW1,…,KDWn3},文档权限工作密钥集{KAW1,…,KAWn}和陷门密钥集{QAW1,…,QAWn},文档加密工作密钥集{KFW1,…,KFWn};
第五层密钥生成单元,用以根据生成的第四层密钥生成第五层密钥,所述第五层密钥为文档分片加密密钥{KFSi1,…,KFSin4}。
8.根据权利要求7所述的一种支持可搜索加密的层级密钥生成系统,其特征在于,所述第二层密钥生成单元包括:
索引和查询关键词加密主密钥生成单元,用以根据跟密钥K生成对索引和查询关键词进行加密的主密钥KM1;
文档目录加密主密钥生成单元,用以根据跟密钥K生成对文档目录进行加密的主密钥KM2;
文档权限加密主密钥生成单元,用以根据跟密钥K生成对文档权限加密的主密钥KM3;
文档加密主密钥生成单元,用以根据跟密钥K生成对文档加密的主密钥KM4。
9.根据权利要求7所述的一种支持可搜索加密的层级密钥生成系统,其特征在于,所述第三层密钥生成单元包括:
索引和查询关键词公私钥生成单元,用以根据对索引和查询关键词加密的主密钥KM1生成索引和查询关键词公钥KI和私钥SK;
文档目录密钥生成单元,用以根据对文档目录进行加密的主密钥KM2生成文档目录密钥KD;
文档权限公私钥生成单元,用以根据对文档权限加密的主密钥KM3生成文档权限公钥KA和私钥ASK;
文档密钥生成单元,用以根据对文档加密的主密钥KM4生成文档密钥KF。
10.根据权利要求7所述的一种支持可搜索加密的层级密钥生成系统,其特征在于,所述第四层密钥生成单元包括:
索引及查询关键词工作密钥集和陷门密钥集生成单元,用以根据索引和查询关键词公钥KI与文档关键词集合WD={w1,w2,…wd}生成索引及查询关键词工作密钥集{KIW1,…,KIWn1},根据索引和查询关键词私钥SK与查询关键词集合WQ={w1,w2,…wq}生成所述陷门密钥集{QW1,…,QWn2};
目录工作密钥集生成单元,用以根据文档目录密钥KD与数量为n3的目录ID生成目录工作密钥集{KDW1,…,KDWn3};
文档权限工作密钥集和陷门密钥集,用以根据文档权限公钥KA与文档ID生成文档权限工作密钥集合为{KAW1,…,KAWn};根据文档权限私钥ASK和文档ID生成陷门密钥集{QAW1,…,QAWn};
文档加密工作密钥集,用以根据文档密钥KF与所有文档ID生成文档加密工作密钥集{KFW1,…,KFWn}。
CN201910316619.6A 2019-04-19 2019-04-19 一种支持可搜索透明加密的层级密钥生成方法及系统 Active CN110098924B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910316619.6A CN110098924B (zh) 2019-04-19 2019-04-19 一种支持可搜索透明加密的层级密钥生成方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910316619.6A CN110098924B (zh) 2019-04-19 2019-04-19 一种支持可搜索透明加密的层级密钥生成方法及系统

Publications (2)

Publication Number Publication Date
CN110098924A true CN110098924A (zh) 2019-08-06
CN110098924B CN110098924B (zh) 2021-07-27

Family

ID=67445214

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910316619.6A Active CN110098924B (zh) 2019-04-19 2019-04-19 一种支持可搜索透明加密的层级密钥生成方法及系统

Country Status (1)

Country Link
CN (1) CN110098924B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112272090A (zh) * 2020-10-27 2021-01-26 深圳安捷丽新技术有限公司 一种密钥产生方法和装置
CN116055048A (zh) * 2023-03-31 2023-05-02 成都四方伟业软件股份有限公司 一种分散密钥存储、还原方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105162583A (zh) * 2015-07-15 2015-12-16 北京江南天安科技有限公司 一种单个、单级和多级密钥对分散方法及其系统
US20170111331A1 (en) * 2009-12-15 2017-04-20 Microsoft Technology Licensing, Llc Verifiable trust for data through wrapper composition
CN108200063A (zh) * 2017-12-29 2018-06-22 华中科技大学 一种可搜索公钥加密方法、采用该方法的系统和服务器
CN109039639A (zh) * 2018-08-01 2018-12-18 国网江苏招标有限公司 基于分层确定性密码学技术的投标方法
US20190007196A1 (en) * 2017-06-28 2019-01-03 Qatar University Method and system for privacy preserving computation in cloud using fully homomorphic encryption

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170111331A1 (en) * 2009-12-15 2017-04-20 Microsoft Technology Licensing, Llc Verifiable trust for data through wrapper composition
CN105162583A (zh) * 2015-07-15 2015-12-16 北京江南天安科技有限公司 一种单个、单级和多级密钥对分散方法及其系统
US20190007196A1 (en) * 2017-06-28 2019-01-03 Qatar University Method and system for privacy preserving computation in cloud using fully homomorphic encryption
CN108200063A (zh) * 2017-12-29 2018-06-22 华中科技大学 一种可搜索公钥加密方法、采用该方法的系统和服务器
CN109039639A (zh) * 2018-08-01 2018-12-18 国网江苏招标有限公司 基于分层确定性密码学技术的投标方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
CHEN-CHI LEE: "A Searchable Hierarchical Conditional Proxy Re-encryption Scheme for Cloud Storage Services", 《INFORMATION TECHNOLOGY AND CONTROL》 *
SONGFENG LU: "Searchable Encryption with Conjunctive Field Free Keyword Search Scheme", 《2016 INTERNATIONAL ENCRYPTION WITH CONJUNCTIVE FIELD FREE KEYWORD SEARCH SCHEME》 *
张钰: "支持多关键词查询的公钥加密方案研究", 《中国博士学位论文全文数据库 信息科技辑》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112272090A (zh) * 2020-10-27 2021-01-26 深圳安捷丽新技术有限公司 一种密钥产生方法和装置
CN112272090B (zh) * 2020-10-27 2024-04-19 深圳安捷丽新技术有限公司 一种密钥产生方法和装置
CN116055048A (zh) * 2023-03-31 2023-05-02 成都四方伟业软件股份有限公司 一种分散密钥存储、还原方法及装置
CN116055048B (zh) * 2023-03-31 2023-05-30 成都四方伟业软件股份有限公司 一种分散密钥存储、还原方法及装置

Also Published As

Publication number Publication date
CN110098924B (zh) 2021-07-27

Similar Documents

Publication Publication Date Title
Wang et al. Enabling secure and efficient ranked keyword search over outsourced cloud data
Wang et al. Secure ranked keyword search over encrypted cloud data
Ren et al. Toward secure and effective data utilization in public cloud
CN108737374A (zh) 一种区块链中数据存储的隐私保护方法
CN108062485A (zh) 一种面向多服务器多用户的模糊关键字搜索方法
CN106203146A (zh) 一种大数据安全管理系统
CN106599719A (zh) 支持高效密钥管理的密文检索方法
Wang et al. Towards secure and effective utilization over encrypted cloud data
US11652642B2 (en) Digital data locker system providing enhanced security and protection for data storage and retrieval
CN106559422A (zh) 基于密钥协商的多维密文区间查询方法
CN106934301A (zh) 一种支持密文数据操作的关系型数据库安全外包数据处理方法
Khan et al. Secure ranked fuzzy multi-keyword search over outsourced encrypted cloud data
CN108021677A (zh) 云计算分布式检索引擎的控制方法
CN106326666A (zh) 一种健康档案信息管理服务系统
Shen et al. Keyword search with access control over encrypted cloud data
WO2022025822A1 (en) Cloud data sharing systems and methods for sharing data using the systems
CN110098924A (zh) 支持可搜索透明加密的层级密钥技术
CN116680241A (zh) 一种基于区块链的电子政务数据安全共享方法
Li Research of key technologies on encrypting vector spatial data in oracle spatial
CN107294701B (zh) 具有高效密钥管理的多维密文区间查询装置及查询方法
CN109740378A (zh) 一种抗关键词隐私泄露的安全对索引构造及其检索方法
CN106161654A (zh) 一种云教育系统
CN116107967B (zh) 基于同态加密和树结构的多关键词密文搜索方法及系统
Tian et al. DSP Re-encryption Based Access Control Enforcement Management Mechanism in DaaS.
CN109672525B (zh) 一种具有前向索引的可搜索公钥加密方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant