[发明专利]盲化混合倒排索引表产生方法和设备、联合关键字搜索方法和设备

说明书

技术领域

本发明涉及计算机通信网络安全领域，更具体地，涉及一种包括盲化混合倒排索引表(BHIT)的联合关键字搜索方法和设备。

背景技术

数据存储外包是当前互联网上的一种趋势，即以全球存档服务来存储数据，而不是使用自身的本地存储器来存储数据。现在，基于互联网的在线存档服务为其终端用户提供大量的存储空间，其终端用户包括个人用户和企业。存在提供各种用户数据的存储的存档服务。例如，Amazon Simple Storage Service(Amazon S3)(参考文献[1])提供了一种网络服务接口，可用于存储和检索不限量的分类数据，以GB/月和数据传输量来计费。网络上还存在提供特定数据类型的存储的其它存档服务，尤其是敏感数据类型，例如健康记录。例如，Google Health(参考文献[2])和Microsoft HealthVault(参考文献[3])二者均提供个人健康信息综合服务，有助于其用户将分离的健康记录合并为一份综合的档案。

尽管这些存档服务带来了便捷和易用的优点，但是它们也引起了对安全性的深度担忧。尽管所有这些服务提供商都提出了适当的书面安全和隐私策略，并且采取一些信息安全和系统安全措施来执行这些策略，但是，用户仅仅依赖于存档服务提供商来确保其数据安全和隐私是危险的。无疑服务提供商可能会无法适当地执行它们的书面安全和隐私策略。

以存储客户的信用卡数据的企业为例。在2008年6月，BBC新闻报道了服装厂Cotton Traders的多达3.8万名客户的信用卡细目被盗(参考文献[4])。这种情况并不少见，而且也不是最严重的事件。Securityfocus.com(参考文献[5])报道了在2005年7月至2007年1月间，未知攻击者入侵TJX公司的计算机交易处理系统，盗取了至少4560万张信用卡的数据。

信用卡信息被认为至少与分类数据或健康记录同样敏感。因而，可以推断出，存储信用卡信息的公司具有适当的书面安全和隐私策略并且应该运用了表面上有力的安全措施来执行其策略。这些安全措施至少应该与用于保护分类数据或健康记录的安全措施一样有力。由于信用卡信息被披露的多次报道，同时注意到大量用户数据的高价值，因此，没有理由坚持认为存档服务提供商所存储的数据不会被盗和被暴露。

无论如何，存在一种应对数据安全入侵的简单对策，即在输出敏感数据之前对其加密。结果，即使存档服务受到危害，所暴露的也只是大量密文，攻击者无法从中获利。然而，这种简单对策的代价是可用性。具体地说，难以搜索输出到外部的数据。例如，如果健康记录的所有方对健康记录进行了加密，则允许授权用户搜索健康有关信息的Microsoft Live Search Health(Microsoft HealthVault的搜索组件)无法工作。(当然，我们假定数据的所有方对其隐私充分关注，因此不会与Microsoft共享他们的解密密钥。)

我们所关注的系统有三方，即数据所有方、服务器和搜索方。数据所有方对其数据文件进行索引、对其数据文件进行加密并将索引和文件输出到服务器。服务器存储加密的文件及其索引(索引表)，并提供对加密文件的搜索。搜索服务器的搜索方通常不是数据所有方自己，但是，当然，搜索方也可以是数据所有方自己。为了能够搜索加密数据，搜索方需要获得从数据所有方发出的搜索权限(SC)，并且搜索方需要将SC提交给服务器。服务器可以通过将SC运用于索引来搜索加密数据。除了SC之外，搜索方还需要获得数据所有方发出的解密权限(DC)。在从服务器接收到搜索结果时，搜索方将使用DC来对搜索结果进行解密，从而将数据文件恢复为明文。

一些基本的安全要求包括：

1)服务器不知道搜索方查找什么，例如，如果搜索方正在搜索包含关键字“网络”的文献，服务器应该不知道。

2)搜索方无法根据经验伪造搜索权限，例如，如果搜索方曾经被发给了搜索包含关键字“网络”的文献的SC，他应该不能够制造针对关键字“网”或“络”的SC。这同样适用于服务器，即使搜索方与服务器串通一气。

3)解密权限与SC唯一关联，例如，如果SC允许搜索包含关键字“网络”的文献，DC则仅能够对该特定SC的搜索结果进行解密。这同样适用于服务器，即使搜索方与服务器串通，即，服务器也许对其所存储的所有加密文件尝试使用DC，但是除了SC的搜索结果之外，对于其他加密文件不会发生效力。

除了上述安全要求之外，还有效率要求，例如SC的大小、索引的大小以及搜索所花费的时间等。