CN110110550B - 一种支持云存储的可搜索加密方法及系统 - Google Patents
一种支持云存储的可搜索加密方法及系统 Download PDFInfo
- Publication number
- CN110110550B CN110110550B CN201910316605.4A CN201910316605A CN110110550B CN 110110550 B CN110110550 B CN 110110550B CN 201910316605 A CN201910316605 A CN 201910316605A CN 110110550 B CN110110550 B CN 110110550B
- Authority
- CN
- China
- Prior art keywords
- document
- authority
- user
- ciphertext
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
Abstract
本发明提供了一种支持云存储的可搜索加密方法及系统,该方法包括客户端、透明加密区和云端,所述客户端为用户使用的空间,用以用户向透明加密区发送处理文档请求,所述处理文档请求包括新文档生成请求、修改文档请求、删除文档请求、浏览文档请求、检索文档请求;所述透明加密区,用以根据客户端发送的创建文档请求生成密文索引和文档权限信息,并将文档进行分片,然后对每个分片进行加密处理;根据客户端发送的修改及删除文档请求,进行文档检索,经过密文检索和权限信息过滤出要处理的文档,更新密文索引和权限信息;所述云端,用以存储经分片加密的文档,通过密文索引进行关联。
Description
技术领域
本发明属于计算机信息安全领域,具体涉及一种支持云存储的可搜索加密方法及系统。
背景技术
随着信息技术的发展,计算机变成了工作和生活的必须,随之产生了大量的电子文档。网络技术特别是互联网的快速发展,使得电子文档被泄密或盗取的可能性大大增加。特别是对于机密部门的机密资料和企业公司的核心技术等更容易通过信息技术的通道泄密。
另一方面,随着电子文档数量的剧增,随之带来数据存储成本增加,云存储是有效的解决方法。企业通过云存储提供商提供的服务,把企业的数据放到云存储空间上。此外,云存储为移动办公和应用提供数据共享机制,企业和个人可以把需要共享的数据进行云存储,进而为异地和移动访问提供支持。作为第三方平台,云存储是不可信的存储服务,数据的安全性可能无法得到保证。恶意的第三方或者系统管理员都会窃听或者获得敏感数据,访问控制的漏洞会导致数据泄密,物理存储设备的被盗或者丢失也会带来数据泄密。
解决电子文档泄密的主要方法是对电子文档进行加密存储,只有合法的用户才能够进行解密访问。但对电子文档的加密带来如下两个问题。
1)数据加密虽然防止了非法用户获取敏感信息,但也妨碍了合法用户有效存取数据,为了有效查询和数据,数据拥有者必须把加密数据解密后才能使用,在云端端解密将带来数据泄密问题。把数据下载到客户端再解密无法适用于大数据的应用场景,这会带来巨大的网络负担以及无法容忍的使用效率问题。为了能够有效在云端上检索数据,需要研究支持在密文状态下进行搜索的技术,或者云环境下的可搜索加密技术。
2)在云端上经过密文搜索查询到合适的数据或者文档后,需要把密文文档下载到客户端后,再进行读取、修改和重新加密操作。基于方便性,整个加密和解密过程应该对用户是透明的,即用户不必关心密钥管理、加密和解密的这些操作,就像操作明文一样。对处理的文档,只有在用户使用过程中是明文,一旦脱离了处理环境,文档即处于密文状态,即使存储介质丢失或者文档被窃,非法用户都不能获取敏感数据,即需要透明加解密技术,特别是在云存储环境下的透明加密方法。
已经有不少的可搜索加密和透明加密方面的知识产权发布,但目前还没有发现同时支持可搜索加密和透明加密的技术。
发明内容
本发明所要解决的技术问题是:提供支持云存储的可搜透明加密技术及其使用方法,本发明将可搜索加密和透明加密技术有机地结合起来,在不解密电子文档的情况下能有效地进行密文的检索,然后用户可以透明地编辑和修改或者删除。
在第一方面,本发明提供了一种支持云存储的可搜索加密系统,该系统包括:客户端、透明加密区和云端,
所述客户端为用户使用的空间,用以用户向透明加密区发送处理文档请求,所述处理文档请求包括新文档生成请求、修改文档请求、删除文档请求、浏览文档请求、检索文档请求;
所述透明加密区,用以根据客户端发送的创建文档请求生成密文索引和文档权限信息,并将文档进行分片,然后对每个分片进行加密处理;根据客户端发送的修改及删除文档请求,进行文档检索,经过密文检索和权限信息过滤出要处理的文档,更新密文索引和权限信息;
所述云端,用以存储经分片加密的文档,通过密文索引进行关联。
进一步地,所述客户端包括:
文档预处理模块,用以将电子文档格式转换及分词,该模块运行在客户端的计算机上,当用户对新文档进行保存或者修改文档进行更新时,首先把任意格式的电子文档转换成TXT 文本文件,然后进行分词,得到索引词典。
更进一步地,所述透明加密区包括:
密文索引生成模块,用以生成电子文档的密文索引,该模块把文档预处理后获得的索引词典,利用属性加密的方式生成密文索引,索引地址指向文档的第一个分片的云端地址。
文档分片加密模块,用以对电子文档进行分片加密,云端对电子文档自动切割成多个分片,每个分片上保存上下分片的Hash地址和自身的密钥,加密后通过云端存储。
文档搜索模块,根据查询关键词进行密文搜索,获取匹配的电子文档,首先把用户输入的查询关键词使用属性加密方法加密成陷门,再利用陷门和密文索引去匹配密文文档,获取包含查询关键词的密文文档。
透明加密驱动模块,用于在客户端和云端之间形成一个安全的动态文档处理空间,以便合法用户可以透明地编辑修改文档。
文档权限管理模块,生成并加密文档权限信息,同时可查询用户对某个文档的权限信息;新文档生成时根据文档的属性信息和用户信息生成文档权限,然后把权限信息进行属性加密,加密后插入到权限信息表中;文档更新或删除时,同时更新文档权限信息表和密文所有;当用户进行文档处理时,需要根据用户的身份信息在文档权限表中查询用户是否有相应的权限,透明过滤掉用户没有权限的文档信息。
进一步地,所述文档权限信息根据用户身份和文档基本属性信息生成,然后利用属性加密技术对所述文档权限信息进行加密,然后把加密后的文档权限信息插入到文档权限信息表中。
进一步地,所述密文索引的构造方法如下:把文档转换成TXT文本格式,对转换后文本信息进行分词,构建索引词典,对索引字典建立密文索引,即进行属性加密,属性为所有的权限信息;然后对文档进行分片,分片字节的大小是1024的倍数,分片大小由使用者决定;选择任意加密算法对每个分片进行加密,每个分片包含两个Hash值,第一个Hash 值指向前一个分片,第二个Hash值指向后一个分片,第一个分片的第一个Hash值同时存储在密文索引中该文档的地址,最后一个分片的Hash值为空;再把每一个加密分片在云端进行存储。
进一步地,所述文档权限表包含如下字段:文档ID,文档所属的用户ID,查询权限,删除权限,修改权限,文档其他属性;其中,
查询权限,删除权限,修改权限由两部分组成,第一部分为布尔型:是或否,是表示可以执行相应的操作,否表示不能执行相应操作,如果第一部分为是,则第二部分有意义,否则忽略第二部分;第二部分为可执行该操作的用户列表,格式为{用户ID1,用户ID2,…,用户IDm};
文档其他属性格式如下:{文档名称,文档修改者ID列表,文档生成日期,文档格式,文档标题,文档修改日期,文档大小(Byte),文档安全等级},其中文档安全等级为数字值,其他为文本。
在第二方面,本发明提供了一种支持云存储的可搜索加密方法,该方法包括:
A1)客户端创建新文档时,由透明加密区生成文档权限信息、密文索引并进行分片加密,并通过云端对加密的分片进行云存储;
A2)客户端存储文档时,由透明加密区根据用户输入的关键词进行密文检索;
A3)客户端存储的文档进行修改、浏览和删除处理时,由透明加密区依据权限信息进行相应处理。
进一步地,所述步骤A1)具体包括:
A101)根据文档属性信息,包括文档ID、文档名称、文档生成者、文档修改者列表、文档生成日期、文档格式、文档标题、文档修改日期、文档大小、文档修改权限、文档删除权限、文档查询权限、文档安全等级;当前操作用户的身份信息,一起组成文档权限信息,其中文档ID、文档名称、文档生成者、文档修改权限、文档删除权限、文档查询权限、文档安全等级单独列出,其它信息串接在一起;
A102)以用户属性为密钥对文档权限信息进行属性加密;
A103)把加密后的文档权限信息插入到文档权限信息表中;
A104)把文档转换成TXT文本格式;如果是文档修改,则指转换修改部分的文本;
A105)对转换后文本信息进行分词,构建索引词典;
A106)对索引字典建立密文索引,即进行属性加密,属性为所有的权限信息;
A107)在客户端和云端同时存储密文索引;
A108)对文档进行分片,分片的字节大小可以是1024的倍数,分片大小可由使用者决定;
A109)选择任意加密算法对每个分片进行加密,每个分片包含两个Hash值,第一个Hash 值指向前一个分片,第二个Hash值指向后一个分片,第一个分片的第一个Hash值同时存储在密文索引中该文档的地址,最后一个分片的Hash值为空。
A110)对每一个加密分片在云端上进行存储。
进一步地,包括:所述步骤A2)具体包括:
A201)用户在客户端发起文档检索请求;
A202)分解出用户输入信息的关键字组合;
A203)将关键字组合和用户的密钥经过属性加密后得到查询陷门;
A204)根据步骤A203)的查询陷门,利用密文检索对文密文档定位;
A205)把匹配的文档进行组合成文档集,否则结束搜索;
A206)从文档集中提取文档属性信息;
A207)把文档属性信息和当前用户信息组合得到文档权限信息;
A208)把文档权限信息进行属性加密,得到加密后的文档权限;
A209)在密文文档权限信息表中检索密文文档权限;
A210)利用检索出的文档权限过滤文档集中的文档;
A211)获取到符合检索条件并在权限范围内的文档。
进一步地,所述步骤A3)具体包括:
A31)用户发起修改、查询和删除文档处理请求;
A32)执行步骤A2)获取到符合要求的文档;
A33)如果执行文档修改操作,则执行如下步骤;
B3301)文档修改;
A3302)删除该文档的密文索引;
A3303)按照步骤A1)生成新的密文索引;
A3304)在权限信息表中删除当前文档的权限信息;
A3305)按照步骤A1)生成新的文档权限信息,并插入到文档权限信息表中;
A3306)在云端上删除当前文档的所有分片;
A3307)按照步骤A1)生成新的文档分片,并存储到云端中。
A34)如果执行文档删除操作,则执行如下步骤;
A3401)文档删除;
A3402)删除该文档的密文索引;
A3403)在权限信息表中删除当前文档的权限信息;
A3404)在云端上删除当前文档的所有分片。
A35)如果执行文档浏览操作,则执行如下步骤;
A3501)文档浏览;
A36)退出透明加密区
其中,步骤A103所形成的文档权限表包含如下字段:文档ID,文档所属的用户ID,查询权限,删除权限,修改权限,文档其他属性;其中查询权限,删除权限,修改权限由两部分组成,第一部分为布尔型:是或否,是表示可以执行相应的操作,否表示不能执行相应操作,如果第一部分为是,则第二部分有意义,否则忽略第二部分。第二部分为可执行该操作的用户列表,格式为{用户ID1,用户ID2,…,用户IDm}。文档其他属性格式如下:{文档名称,文档修改者ID列表,文档生成日期,文档格式,文档标题,文档修改日期,文档大小(Byte),文档安全等级},其中文档安全等级为数字值,其他为文本。
所述透明加密区位于客户端和云端之间,该区域对合法用户为明文,如果脱离使用环境则为密文,该空间由访问控制边界,只有合法用户才能访问。其包含密文索引(仍然为密文),查询出的符合查询条件的文档集合,文档的所有属性,文档权限信息表,当前文档集中所有文档和当前用户属性合并的权限信息,最终用户需要操作的文档。
本发明由透明加密区处理文档的加密和权限信息,把透明加密和可搜索加密进行了有机融合,使得终端用户可以透明地进行可搜索加密,为可搜索加密走向实际应用提供技术基础。
附图说明
图1是本发明实施例提供的支持云存储的可搜索加密系统框图。
图2是本发明实施例提供的生成或修改文档及文档分片存储示意图;
图3是本发明实施例提供的文档权限表信息图;
图4是本发明实施例提供的文档查询及处理示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,下面将结合发明实施例中的附图,对发明实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是发明一部分实施例,而非全部的实施例。基于发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于发明保护的范围。
图1为本发明提供的支持云存储的可搜索加密系统框图。
如图1所示。本发明提供的支持云存储的可搜索加密系统包括:客户端、透明加密区和云端。
客户端为用户使用的空间,用以用户向透明加密区发送处理文档请求,所述处理文档请求包括新文档生成请求、修改文档请求、删除文档请求、浏览文档请求、检索文档请求;
透明加密区,用以根据客户端发送的创建文档请求生成密文索引和文档权限信息,并将文档进行分片,然后对每个分片进行加密处理;根据客户端发送的修改及删除文档请求,进行文档检索,经过密文检索和权限信息过滤出要处理的文档,更新密文索引和权限信息;
云端,用以存储经分片加密的文档,通过密文索引进行关联。
其中,客户端包括文档预处理模块,该模块用以将电子文档格式转换及分词,该模块运行在客户端的计算机上,当用户对新文档进行保存或者修改文档进行更新时,首先把任意格式的电子文档转换成TXT文本文件,然后进行分词,得到索引词典。
透明加密区包括:密文索引生成模块,文档分片加密模块,文档搜索模块,透明加密驱动模块,文档权限管理模块。
密文索引生成模块,用以生成电子文档的密文索引,该模块把文档预处理后获得的索引词典,利用属性加密的方式生成密文索引,索引地址指向文档的第一个分片的云端地址;
文档分片加密模块,用以对电子文档进行分片加密,云端对电子文档自动切割成多个分片,每个分片上保存上下分片的Hash地址和自身的密钥,加密后通过云端存储。
文档搜索模块,根据查询关键词进行密文搜索,获取匹配的电子文档,首先把用户输入的查询关键词使用属性加密方法加密成陷门,再利用陷门和密文索引去匹配密文文档,获取包含查询关键词的密文文档。
透明加密驱动模块,用于在客户端和云端之间形成一个安全的动态文档处理空间,以便合法用户可以透明地编辑修改文档。
文档权限管理模块,生成并加密文档权限信息,同时可查询用户对某个文档的权限信息;新文档生成时根据文档的属性信息和用户信息生成文档权限,然后把权限信息进行属性加密,加密后插入到权限信息表中;文档更新或删除时,同时更新文档权限信息表和密文所有;当用户进行文档处理时,需要根据用户的身份信息在文档权限表中查询用户是否有相应的权限,透明过滤掉用户没有权限的文档信息。
其中,文档权限信息根据用户身份和文档基本属性信息生成,然后利用属性加密技术对所述文档权限信息进行加密,然后把加密后的文档权限信息插入到文档权限信息表中。
密文索引的构造方法如下:把文档转换成TXT文本格式,对转换后文本信息进行分词,构建索引词典,对索引字典建立密文索引,即进行属性加密,属性为所有的权限信息;然后对文档进行分片,分片字节的大小是1024的倍数,分片大小由使用者决定;选择任意加密算法对每个分片进行加密,每个分片包含两个Hash值,第一个Hash值指向前一个分片,第二个Hash值指向后一个分片,第一个分片的第一个Hash值同时存储在密文索引中该文档的地址,最后一个分片的Hash值为空;再把每一个加密分片在云端进行存储。
如图3所示,本发明的文档权限信息表包含如下字段:文档ID,文档所属的用户ID,查询权限,删除权限,修改权限,文档其他属性;其中查询权限,删除权限,修改权限由两部分组成,第一部分为布尔型:是或否,是表示可以执行相应的操作,否表示不能执行相应操作,如果第一部分为是,则第二部分有意义,否则忽略第二部分。第二部分为可执行该操作的用户列表,格式为{用户ID1,用户ID2,…,用户IDm}。文档其他属性格式如下:{文档名称,文档修改者ID列表,文档生成日期,文档格式,文档标题,文档修改日期,文档大小(Byte),文档安全等级},其中文档安全等级为数字值,其他为文本。
在另一方面,本发明还提供了一种支持云存储的可搜索加密方法,该方法包括:
A1)客户端创建新文档时,由透明加密区生成文档权限信息、密文索引并进行分片加密,并通过云端对加密的分片进行云存储;
A2)客户端存储文档时,由透明加密区根据用户输入的关键词进行密文检索;
A3)客户端存储的文档进行修改、浏览和删除处理时,由透明加密区依据权限信息进行相应处理。
本发明步骤A1)创建文档的方法如图2所示。透明加密区在创建文档时同时生成文档权限信息和密文索引。根据用户身份和文档基本属性信息生成文档权限信息,然后利用属性加密技术对文档权限信息进行加密,然后把加密后的文档权限信息插入到文档权限信息表中。密文索引的构造方法如下:把文档转换成TXT文本格式,对转换后文本信息进行分词,构建索引词典,对索引字典建立密文索引,即进行属性加密,属性为所有的权限信息。然后对文档进行分片,分片字节的大小是1024的倍数,分片大小由使用者决定;选择任意加密算法对每个分片进行加密,每个分片包含两个Hash值,第一个Hash值指向前一个分片,第二个Hash 值指向后一个分片,第一个分片的第一个Hash值同时存储在密文索引中该文档的地址,最后一个分片的Hash值为空。再把每一个加密分片在云端上进行存储。
当用户进行步骤A2)和A3)非创建文档的处理请求(包括浏览、检索、修改、删除)时,本发明透明加密区的处理方法如图4所示。无论哪种处理,首先需要进行文档检索,检索出符合条件的文档,才能进行浏览、修改或删除。文档检索是过程如下:首先由用户发起文档检索请求,检索请求可以是一条短语或者文本,查询模块分解出用户输入信息的关键字组合,将关键字组合和用户的密钥经过属性加密后得到查询陷门,利用查询陷门和密文索引来进行密文检索,获取到符合用户输入条件的文档的第一个分片的地址,然后根据每个分片的分片链接地址对文档进行组合,把匹配的文档进行组合成文档集。接着从文档集中提取每个文档的属性信息,把文档属性信息和当前用户信息组合得到文档权限信息,把文档权限信息进行属性加密,得到加密后的文档权限,在密文文档权限信息表中检索密文文档权限,根据检索出的文档权限过滤文档集中的文档,获取到符合检索条件并在权限范围内的文档。然后再对文档进行透明的浏览、修改或删除。如果是修改文档,文档修改完成后,把修改部分的文档按照创建文档的流程进行密文索引和文档权限信息表的更新。如果是删除文档则同时更新密文索引和文档权限信息表。其中文档权限信息表和密文索引保存在透明加密区,透明加密区可以放在客户端也可以存储在云端。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种支持云存储的可搜索加密系统,其特征在于,包括客户端、透明加密区和云端,
所述客户端为用户使用的空间,用以用户向透明加密区发送处理文档请求,所述处理文档请求包括新文档生成请求、修改文档请求、删除文档请求、浏览文档请求、检索文档请求;所述客户端包括:
文档预处理模块,用以将电子文档格式转换及分词,该模块运行在客户端的计算机上,当用户对新文档进行保存或者修改文档进行更新时,首先把任意格式的电子文档转换成TXT文本文件,然后进行分词,得到索引词典;
所述透明加密区,用以根据客户端发送的创建文档请求生成密文索引和文档权限信息,并将文档进行分片,然后对每个分片进行加密处理;根据客户端发送的修改及删除文档请求,进行文档检索,经过密文检索和权限信息过滤出要处理的文档,更新密文索引和权限信息;所述透明加密区包括:
密文索引生成模块,用以生成电子文档的密文索引,该模块把文档预处理后获得的索引词典,利用属性加密的方式生成密文索引,索引地址指向文档的第一个分片的云端地址;
文档分片加密模块,用以对电子文档进行分片加密,云端对电子文档自动切割成多个分片,每个分片上保存上下分片的Hash地址和自身的密钥,加密后通过云端存储;
文档搜索模块,根据查询关键词进行密文搜索,获取匹配的电子文档,首先把用户输入的查询关键词使用属性加密方法加密成陷门,再利用陷门和密文索引去匹配密文文档,获取包含查询关键词的密文文档;
透明加密驱动模块,用于在客户端和云端之间形成一个安全的动态文档处理空间,以便合法用户透明地编辑修改文档;
文档权限管理模块,生成并加密文档权限信息,同时查询用户对某个文档的权限信息;新文档生成时根据文档的属性信息和用户信息生成文档权限,然后把权限信息进行属性加密,加密后插入到权限信息表中;文档更新或删除时,同时更新文档权限信息表和密文所有;当用户进行文档处理时,根据用户的身份信息在文档权限表中查询用户是否有相应的权限,透明过滤掉用户没有权限的文档信息;
所述云端,用以存储经分片加密的文档,通过密文索引进行关联。
2.根据权利要求1所述的一种支持云存储的可搜索加密系统,其特征在于,所述文档权限信息根据用户身份和文档基本属性信息生成,然后利用属性加密技术对所述文档权限信息进行加密,然后把加密后的文档权限信息插入到文档权限信息表中。
3.根据权利要求1所述的一种支持云存储的可搜索加密系统,其特征在于,所述密文索引的构造方法如下:把文档转换成TXT文本格式,对转换后文本信息进行分词,构建索引词典,对索引字典建立密文索引,即进行属性加密,属性为所有的权限信息;然后对文档进行分片,分片字节的大小是1024的倍数,分片大小由使用者决定;选择任意加密算法对每个分片进行加密,每个分片包含两个Hash值,第一个Hash值指向前一个分片,第二个Hash值指向后一个分片,第一个分片的第一个Hash值同时存储在密文索引中该文档的地址,最后一个分片的Hash值为空;再把每一个加密分片在云端进行存储。
4.根据权利要求1所述的一种支持云存储的可搜索加密系统,其特征在于,所述文档权限表包含如下字段:文档ID,文档所属的用户ID,查询权限,删除权限,修改权限,文档其他属性;其中,
查询权限,删除权限,修改权限由两部分组成,第一部分为布尔型:是或否,是表示可以执行相应的操作,否表示不能执行相应操作,如果第一部分为是,则第二部分有意义,否则忽略第二部分;第二部分为可执行该操作的用户列表,格式为{用户ID1,用户ID2,…,用户IDm};
文档其他属性格式如下:{文档名称,文档修改者ID列表,文档生成日期,文档格式,文档标题,文档修改日期,文档大小,文档安全等级},其中文档安全等级为数字值,其他为文本。
5.一种支持云存储的可搜索加密方法,其特征在于,所述方法应用于如权利要求1至4任一所述的支持云存储的可搜索加密系统中,包括:
A1)客户端创建新文档时,由透明加密区生成文档权限信息、密文索引并进行分片加密,并通过云端对加密的分片进行云存储;
A2)客户端存储文档时,由透明加密区根据用户输入的关键词进行密文检索;
A3)客户端存储的文档进行修改、浏览和删除处理时,由透明加密区依据权限信息进行相应处理。
6.根据权利要求5所述的一种支持云存储的可搜索加密方法,其特征在于,所述步骤A1)具体包括:
A101)根据文档属性信息,包括文档ID、文档名称、文档生成者、文档修改者列表、文档生成日期、文档格式、文档标题、文档修改日期、文档大小、文档修改权限、文档删除权限、文档查询权限、文档安全等级;当前操作用户的身份信息,一起组成文档权限信息,其中文档ID、文档名称、文档生成者、文档修改权限、文档删除权限、文档查询权限、文档安全等级单独列出,其它信息串接在一起;
A102)以用户属性为密钥对文档权限信息进行属性加密;
A103)把加密后的文档权限信息插入到文档权限信息表中;
A104)把文档转换成TXT文本格式;如果是文档修改,则指转换修改部分的文本;
A105)对转换后文本信息进行分词,构建索引词典;
A106)对索引字典建立密文索引,即进行属性加密,属性为所有的权限信息;
A107)在客户端和云端同时存储密文索引;
A108)对文档进行分片,分片的字节大小是1024的倍数,分片大小由使用者决定;
A109)选择任意加密算法对每个分片进行加密,每个分片包含两个Hash值,第一个Hash值指向前一个分片,第二个Hash值指向后一个分片,第一个分片的第一个Hash值同时存储在密文索引中该文档的地址,最后一个分片的Hash值为空;
A110)对每一个加密分片在云端上进行存储。
7.根据权利要求5所述的一种支持云存储的可搜索加密方法,其特征在于,所述步骤A2)具体包括:
A201)用户在客户端发起文档检索请求;
A202)分解出用户输入信息的关键字组合;
A203)将关键字组合和用户的密钥经过属性加密后得到查询陷门;
A204)根据步骤A203)的查询陷门,利用密文检索对文密文档定位;
A205)把匹配的文档进行组合成文档集,否则结束搜索;
A206)从文档集中提取文档属性信息;
A207)把文档属性信息和当前用户信息组合得到文档权限信息;
A208)把文档权限信息进行属性加密,得到加密后的文档权限;
A209)在密文文档权限信息表中检索密文文档权限;
A210)利用检索出的文档权限过滤文档集中的文档;
A211)获取到符合检索条件并在权限范围内的文档。
8.根据权利要求5所述的一种支持云存储的可搜索加密方法,其特征在于,所述步骤A3)具体包括:
A31)用户发起修改、查询和删除文档处理请求;
A32)执行步骤A2)获取到符合要求的文档;
A33)如果执行文档修改操作,则执行如下步骤;
B3301)文档修改;
B3302)删除该文档的密文索引;
B3303)按照步骤A1)生成新的密文索引;
B3304)在权限信息表中删除当前文档的权限信息;
B3305)按照步骤A1)生成新的文档权限信息,并插入到文档权限信息表中;
B3306)在云端上删除当前文档的所有分片;
B3307)按照步骤A1)生成新的文档分片,并存储到云端中;
B34)如果执行文档删除操作,则执行如下步骤;
B3401)文档删除;
B3402)删除该文档的密文索引;
B3403)在权限信息表中删除当前文档的权限信息;
B3404)在云端上删除当前文档的所有分片;
B35)如果执行文档浏览操作,则执行如下步骤;
B3501)文档浏览;
B36)退出透明加密区。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910316605.4A CN110110550B (zh) | 2019-04-19 | 2019-04-19 | 一种支持云存储的可搜索加密方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910316605.4A CN110110550B (zh) | 2019-04-19 | 2019-04-19 | 一种支持云存储的可搜索加密方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110110550A CN110110550A (zh) | 2019-08-09 |
| CN110110550B true CN110110550B (zh) | 2023-05-09 |
Family
ID=67485915
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910316605.4A Active CN110110550B (zh) | 2019-04-19 | 2019-04-19 | 一种支持云存储的可搜索加密方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110110550B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112541089B (zh) * | 2020-12-23 | 2022-07-08 | 武汉联影医疗科技有限公司 | 医学影像的存取方法、装置、设备和存储介质 |
| CN113206838B (zh) * | 2021-04-13 | 2022-07-05 | 武汉理工大学 | 一种面向Web系统的数据加密解密方法及系统 |
| CN116628721B (zh) * | 2023-06-06 | 2024-03-01 | 北京大学 | 一种数字对象的可搜索加密方法与系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103581196A (zh) * | 2013-11-13 | 2014-02-12 | 上海众人网络安全技术有限公司 | 分布式文件透明加密方法及透明解密方法 |
| CN103595730A (zh) * | 2013-11-28 | 2014-02-19 | 中国科学院信息工程研究所 | 一种密文云存储方法和系统 |
| CN103916456A (zh) * | 2013-01-09 | 2014-07-09 | 国际商业机器公司 | 用于云存储服务的透明加密/解密网关 |
| CN106686008A (zh) * | 2017-03-03 | 2017-05-17 | 腾讯科技(深圳)有限公司 | 信息存储方法及装置 |
| CN107665310A (zh) * | 2016-07-29 | 2018-02-06 | 四川长虹电器股份有限公司 | 一种移动终端文件的加密存储、读取和删除方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9894042B2 (en) * | 2015-07-24 | 2018-02-13 | Skyhigh Networks, Inc. | Searchable encryption enabling encrypted search based on document type |
-
2019
- 2019-04-19 CN CN201910316605.4A patent/CN110110550B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103916456A (zh) * | 2013-01-09 | 2014-07-09 | 国际商业机器公司 | 用于云存储服务的透明加密/解密网关 |
| CN103581196A (zh) * | 2013-11-13 | 2014-02-12 | 上海众人网络安全技术有限公司 | 分布式文件透明加密方法及透明解密方法 |
| CN103595730A (zh) * | 2013-11-28 | 2014-02-19 | 中国科学院信息工程研究所 | 一种密文云存储方法和系统 |
| CN107665310A (zh) * | 2016-07-29 | 2018-02-06 | 四川长虹电器股份有限公司 | 一种移动终端文件的加密存储、读取和删除方法 |
| CN106686008A (zh) * | 2017-03-03 | 2017-05-17 | 腾讯科技(深圳)有限公司 | 信息存储方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110110550A (zh) | 2019-08-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Vellela et al. | Strategic Survey on Security and Privacy Methods of Cloud Computing Environment | |
| US10013574B2 (en) | Method and apparatus for secure storage and retrieval of encrypted files in public cloud-computing platforms | |
| Salam et al. | Implementation of searchable symmetric encryption for privacy-preserving keyword search on cloud storage | |
| US7519835B2 (en) | Encrypted table indexes and searching encrypted tables | |
| US8041719B2 (en) | Personal computing device-based mechanism to detect preselected data | |
| JP4685782B2 (ja) | データベースのカラムを暗号化するための方法および装置 | |
| US9600677B2 (en) | Database apparatus, method, and program | |
| CN110110550B (zh) | 一种支持云存储的可搜索加密方法及系统 | |
| CN103955537A (zh) | 一种语义模糊可搜索加密云盘设计方法及系统 | |
| US6622248B1 (en) | File data retrieving device and recording medium containing computer program for controlling the same | |
| KR20110060674A (ko) | 위탁 서비스를 위한 데이터의 부분 암복호화 방법 및 그 장치, 그리고 그 데이터의 이용방법 | |
| US11082205B2 (en) | Methods for securing data | |
| CN103970889A (zh) | 一种中英文关键词模糊搜索的安全云盘 | |
| Khan et al. | Secure ranked fuzzy multi-keyword search over outsourced encrypted cloud data | |
| Pandiaraja et al. | Efficient multi-keyword search over encrypted data in untrusted cloud environment | |
| EP3605379A1 (en) | Method and device for processing user information | |
| WO2014141802A1 (ja) | 情報処理装置、情報処理システム、および情報処理方法、並びにプログラム | |
| CN113642038A (zh) | 一种可搜索加密方法、装置、设备及存储介质 | |
| CN110098924B (zh) | 一种支持可搜索透明加密的层级密钥生成方法及系统 | |
| Pramanick et al. | A comparative survey of searchable encryption schemes | |
| CN110830252B (zh) | 数据加密的方法、装置、设备和存储介质 | |
| Handa et al. | An efficient approach for secure information retrieval on cloud | |
| JP5969681B1 (ja) | 秘密情報管理システム | |
| Suga et al. | Character‐based symmetric searchable encryption and its implementation and experiment on mobile devices | |
| Fang et al. | A novel storage and search scheme in cloud computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |