本發明專利技術提供一種面向云存儲的關鍵字密文檢索方法。方法中包括數據擁有者、云服務器和數據使用者三個角色。數據擁有者將加密后的文檔、標題、關鍵字和使用數據者驗證證書等保存到云服務器中;云服務器負責存儲并建立好加密的文檔、標題和關鍵字之間的對應關系,存儲數據使用者的驗證證書等;數據使用者訪問云服務器中密文時,需要獲得數據擁有者頒發的授權證書,向云服務器提供關鍵字陷門等信息,云服務器根據關鍵字陷門等信息將用戶所需要的密文發送給數據使用者;數據使用者利用密鑰解密密文。該一種面向云存儲的關鍵字密文檢索方法和現有技術相比,具備較高安全性,能夠有效地減輕通信、存儲和計算負擔,提高密文檢索的精度和效率。
【技術實現步驟摘要】
一種面向云存儲的關鍵字密文檢索方法
本專利技術涉及計算機信息安全
,具體是利用一種面向云存儲的關鍵字密文檢索方法。
技術介紹
云計算可以在互聯網中為用戶提供更廉價的計算、存儲和應用等服務。越來越多的企業、甚至是個人也愿意將數據存貯到云服務器中,并在需要的時候可以重新取回數據。但用戶將數據存儲到云環境后就失去了對數據的直接控制,又可能導致用戶隱私數據的泄露和濫用,如Google、MediaMax等云服務商都發生過數據泄露或丟失用戶數據的現象。存儲在云環境中的數據面臨著更大的安全問題,它不僅要防止網絡黑客對數據的非法獲取,還要防止云服務商或外包數據庫服務提供商的窺探敏感數據的行為。在云存儲環境中,由于數據存貯在不可靠或半可信的環境中,采用數據加密是保證數據安全的基本和有效的方法。但對數據加密的同時,也給數據的訪問帶來困難。由于云服務器是半可信的,數據的加密和解密只能在用戶端完成,數據檢索要消耗大量的時間用于數據傳輸和解密上,因此,研究高效、安全的密文存儲與檢索方法具有重要的現實意義。有很多學者針對密文存儲安全性問題進行了深入地研究,取得了一些研究成果。已有的研究成果可以分為支持運算的加密技術和支持檢索的加密技術。BonehD等首次提出了用公開密鑰算法加密關鍵字檢索方法PEKS,也是首個斷言加密方法。方法的基本思想是Bob用Alice的公鑰加密一個郵件發送給Alice。Boneh定義了一個陷門,使Alice的郵件網關能夠測試出郵件中是否包含Alice指定的關鍵字,如果有Alice指定的關鍵字才會將郵件發送給Alice。在這個過程中,郵件網關是無法知道Alice指定的關鍵字,郵件網關也不能解密郵件。后來很多學者對Bonech方法的安全性進行了改進,Liu等提出了針對云環境下的密文檢索方法EPPKS,該方法將密文檢索部分計算移到云服務器中,減少了客戶端的計算量。他們提出的方法都是基于雙線性映射的加密方法,其語義安全性是建立在BDH(BilinearDiffie-Hellman)數學難題上。OhtakiY等提出了基于bloom過濾器的密文檢索方法。但使用bloom過濾器進行密文檢索時,盡管出現錯誤的概率很小,但不是絕對準確。同時,擴展性能也不太好。
技術實現思路
本專利技術的技術任務是解決現有技術的不足,提供一種面向云存儲的關鍵字密文檢索方法。本專利技術的技術方案是按以下方式實現的,一種面向云存儲的關鍵字密文檢索方法,其特征在于:其具體密文檢索過程為:1)數據擁有者產生整個檢索過程需要的初始化參數,使產生的參數確保檢索的安全性:這個過程由數據擁有者DO完成,設有存儲到云服務器中的文檔有個,文檔集合為M,文檔標題集合為T,文檔關鍵字集合為W,DO選用對稱加密算法AES-256,并選擇密鑰,KDOM、KDOT和KDOW,分別用于加密文檔Mi∈M,標題Ti∈T和關鍵字Wi∈W;DO選用公開密鑰算法NTRU,構造NTRU算法所需要的參數,產生密鑰對(SKDO1,PKDO1)和(SKDO2,PKDO2)用于構造關鍵字陷門和數據使用者身份驗證;DO在方法中選用單項散列函數SHA-256算法,用H(·)表示;2)由數據擁有者將數據存儲到云服務器上;在該過程中,假設[H]要將文檔集合U存儲到云服務器(S中,[H]為每個文檔Mi∈M創建一個標題Ti∈T,i∈m;[H]用密鑰KDOT加密H(Ti),得到CTj,用KDOM加密Mi得到CMj,分別用CTi=Enc(AES,KDOT,H(Ti)(1),CMi=Enc(AES,KDOM,Mi)表示;設DO從第i個文檔和標題中取出n個關鍵字,Wij表示從第i個文檔Mi和標題Ti中取出的第j個關鍵字,i∈m+,j∈n,Wij∈W,DO用密鑰KDOW加密H(Wij),用CWij=Enc(AES,KDOW,H(Wij))表示:DO將DOCS={CWij,CTi,CMi,PKDO1,PKDO2}發送給CS,令CW為加密關鍵字集合,CT為加密標題集合,CW為加密文檔集合,則CWij∈CW、CTi∈CT、CMi∈CM,這樣就完成了關鍵字Wij,標題Ti,和文檔Mi對應的檢索關系,3)數據使用者向數據擁有者提出使用數據申請,經過數據擁有者的認證,分別將授權證書和驗證證書發送給數據使用者和云服務器;假設有u個DU,每個DUv∈DU有自己的密鑰對向DO發出使用數據請求信息DO收到后,給DUv分配唯一的IDv號,然后DO按照CIDv=SKDOv*γ+H(IDv)modq進行計算,其中的r是NTRU算法加密時作為臨時眩值的多項式,q為多項式或整數,DUv的使用數據證書為DODUv={CIDv,KDOW,KDOT,KDOM,SKDO2,r,q}用表示:DO將EDODUv發送給DUv;DUv|收到EDODUv后,用解密EDODUv,還原出DODUv;DUv的驗證證書為DOCSv={H(IDv),PKDOvp),其中ρ為整數DO將DOCSv發送給CS,v∈u;當需要提前解除DUv使用數據權限時,只需要將的驗證證書改為DOCSv={error,PKDOvp};4)通過驗證后,云服務器向合法的數據使用者提供數據,數據使用者完成數據檢索過程;當DO需要使用數據時,DO的身份將自動轉變成DU,假設DU向CS請求密文檢索時輸入n個關鍵字,用集合表示,根據每個關鍵字Wj∈W′,計算陷門TWj,j∈n,DU用密鑰KDOW加密H(Wj),用CWj=Enc(AES,KDOW,H(Wj))表示:DU計算關鍵字陷門TWj=SKDO2*r+CWjmodq+DU向CS發送密文檢索信息MSGDUCS={CIDv,TWj},j∈n,v∈u,其中CIDv是DU身份信息;CS收到MSGDUCS后,用H(IDv)=PKDO1*CIDv(modp),v∈u,對DU身份進行驗證如果不成立,用戶驗證失敗,CS將驗證error消息發送給DU,拒絕用戶數據查詢請求,否則CS認為DU是合法用戶,并進行檢索判斷,其中x為不定數,x∈z+,i∈m,如果判斷失敗,CS將檢索fail消息發送給DU,如果判斷成功,假設有t個滿足條件,這就意味著在集合CT中有t個加密標題CTi∈CT滿足檢索條件,i∈m;設滿足檢索條件的加密標題集合為將CT′發送給[H],設T′為滿足檢索條件的標題集合,DU用密鑰KDOT解密還原出Ti,即;Ti=Dec(AES,KDOT,CTi),i∈m,DU從T′中找出自己所需要的標題Ti后,用密鑰KDOT加密H(Ti)得到CTi,用CTi=Enc(AES,KDOT,H(Ti))表示,DU計算標題陷門TCTi=SKDO2*r+CTimodq,DU向CS發送密文檢索信息MSGDUCS={CIDv,TCTi},CS收到MSGDUCS后,按照H(IDv)=PKDO1*CIDv(modp)對DU身份進行驗證,其中v∈u如果驗證沒有通過,CS將error消息否則CS認為DU是合法用戶,并計算CTi=PKDO2*TCTi(modp),CS根據CTi將CMi發送給DU,DU用密鑰KDOM解密CMi,還原出Mi,檢索完成。所述步驟2)的數據存儲過程為:a、數據擁有者負責加密數據,并將加密后的數據保存到云服務器中,這里的數據是指文檔、標題、關鍵字;b、云服務器負責存儲并建本文檔來自技高網...
【技術保護點】
一種面向云存儲的關鍵字密文檢索方法,其特征在于:數據擁有者、數據使用者和云服務器,其具體密文檢索過程為:1)數據擁有者產生整個檢索過程需要的初始化參數,使產生的參數確保檢索的安全性;2)由數據擁有者將數據存儲到云服務器上;3)數據使用者向數據擁有者提出使用數據申請,經過數據擁有者的認證,分別將授權證書和驗證證書發送給數據使用者和云服務器;4)通過驗證后,云服務器向合法的數據使用者提供數據,數據使用者完成數據檢索過程。
【技術特征摘要】
1.一種面向云存儲的關鍵字密文檢索方法,其特征在于:其具體密文檢索過程為:1)數據擁有者產生整個檢索過程需要的初始化參數,使產生的參數確保檢索的安全性:這個過程由數據擁有者DO完成,設有存儲到云服務器中的文檔有m個,文檔集合為M,文檔標題集合為T,文檔關鍵字集合為W;DO選用對稱加密算法AES-256,并選擇密鑰,KDOM、KDOT和KDOW,分別用于加密文檔Mi∈M、標題Ti∈T和關鍵字Wi∈W;DO選用公開密鑰算法NTRU,構造NTRU算法所需要的參數,產生密鑰對(SKDO1、PKDO1)和(SKDO2、PKDO2)用于構造關鍵字陷門和數據使用者身份驗證,DO在方法中選用單項散列函數SHA-256算法,用H(·)表示,2)由數據擁有者將數據存儲到云服務器上;在該過程中,假設DO要將文檔集合U存儲到云服務器CS中,DO為每個文檔Mi∈M創建一個標題Ti∈T,i∈m;DO用密鑰KDOT加密H(Ti),得到CTi,用KDOM加密Mi得到CMj,分別用CTi=Enc(AES,KDOT,H(Ti))(1),CMi=Enc(AES,KDOM,Mi)表示:設DO從第i個文檔和標題中取出n個關鍵字,Wij表示從第i個文檔Mi和標題Ti中取出的第j個關鍵字,i∈m:j∈n,Wij∈W,DO用密鑰KDOW加密H(Wij),用CWij=Enc(AES,KDOW,H(Wij))表示;DO將DOCS={CWij,CTi,CMi,PKDO1,PKDO2}發送給CS,令CW為加密關鍵字集合,CT為加密標題集合,CW為加密文檔集合,則CWij∈CW、CTi∈CT、CMi∈CM,這樣成完成了關鍵字Wij,標題Ti和文檔Mi對應的檢索關系,3)數據使用者向數據擁有者提出使用數據申請,經過數據擁有者的認證,分別將授權證書和驗證證書發送給數據使用者和云服務器;假設有u個DU,每個DUv∈DU有自己的密鑰對向DO發出使用數據請求信息DO收到DUv后,給DUv分配唯一的IDv號,然后DO按照CIDv=SKDOv*r+H(IDv)modq進行計算,其中的r是NTRU算法加密時作為臨時眩值的多項式,q為多項式或整數,DUv的使用數據證書為DODUv={CIDv,KDOW,KDOT,KDOM,SKDO2,r,q}DO用密鑰PKDUv加密DODUv用EDODUv=En...
【專利技術屬性】
技術研發人員:步山岳,楊榮根,張粵,鈕冰清,
申請(專利權)人:淮陰工學院,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。