[发明专利]结合身份和属性的支持代理重加密的密文检索系统及方法

说明书

本发明公开了一种结合身份和属性的支持代理重加密的密文检索系统及方法，该方法在云环境下实现了安全高效的一对多的用户搜索权限的共享。之前的基于身份的可搜索加密及代理方案是将基于身份的代理重加密和可搜索加密方案相结合，实现的是一对一的搜索权限的代理。而该方案在初始密文的加密中使用的是基于身份的加密方法，在重加密阶段采用了基于LSSS线性秘密共享矩阵访问结构，可将密文检索权限授权给符合访问结构的其他用户，因此方案可支持更加细粒度的用户搜索权限的共享，而且具有较高的计算效率。在重加密门限生成阶段使用随机值盲化用户密钥后提交到云服务器，保证了用户密钥的保密性和安全性。

技术领域

本发明涉及一种结合身份和属性的支持代理重加密的密文检索系统及方法，属于云计算技术领域。

背景技术

云计算技术是社会信息化发展过程中的重要技术，云存储技术是基于云计算技术建立起来的一种新型的存储技术。云存储技术通过按需付费等方式向用户提供存储服务，为用户节省了大量的本地资源。进入大数据时代后，越来越多的用户选择将数据保存在云端。虽然云存储带来了这么多的好处，但也带来了许多安全问题，因为数据上传到云端就剥夺了数据所有者对隐私数据的直接控制，而像云服务提供商和非法用户(如黑客等不具有访问权限的用户)可以尝试通过访问数据来试图获取数据所包含的隐私信息，这就造成了数据信息和用户隐私的泄露。为了缓解这些问题保证数据的机密性，越来越多的公司和个人用户选择对数据进行加密，并将数据以密文形式存储在云端服务器。但是，当用户需要寻找包含某个关键字的相关文件时，将会遇到如何在云端服务器的密文上进行搜索操作的难题。但是在网络迅猛发展、信息爆炸的今天，人们需要快速查询到所要的信息。由此可见，如何快速高效的查找到用户所感兴趣的数据，是云计算环境下必不可少的功能。

于是可搜索加密(Searchable Encryption，SE)被提出，它实现了对密文的检索。在可搜索加密中，数据属主可以使用SE机制对关键字进行加密，并将加密数据上传到云服务器中。当用户想要搜索包含特定关键字的文件时，就会以自身私钥来生成相应的门限，并将该门限值上传到云服务器中。云服务器通过一个验证算法来对用户的请求做出响应。若用户门限中的关键字和关键字密文中的关键字一致，说明验证成功，云服务器会将对应的密文返回给用户，用户只需要用自己的私钥对密文进行解密就能得到想要的文件。可搜索加密的出现既保证了数据的安全性，也在不涉及解密密文的情况下实现了文件检索功能，为用户节省了大量的本地计算空间，特别适用于云计算环境。现有的可搜索方案主要有公钥可搜索加密、基于身份的可搜索加密、基于属性的可搜索加密。2004年，Boneh等人首次提出了中公钥可搜索加密，但因为公钥加密方法中需要繁杂的CA管理，所以研究人员考虑将基于身份的加密运用到可搜索加密当中。2005年，Abdalla等人首次提出了基于身份的可搜索加密(IBEKS)的概念，其后又有许多的IBEKS方案被提出。2013年，Kulvaibhavh等人构造了基于CP-ABE可搜索加密的方案，该方案数据属主利用访问结构加密关键词，当用户想要进行密文搜索时，根据自身属性生成密钥，加密待检索的关键字生成关键字门限，将门限传递给服务器。服务器先判断用户密钥属性是否满足密文的访问结构，当属性满足时才能进行关键词验证，只有属性和关键字同时匹配的情况下，服务器才将包含该搜索门限的密文返回给用户。其中，ABE是指基于属性的加密，基于属性的加密方案分为两种，密钥策略的基于属性加密(Key-Policy ABE,KP-ABE)和密文策略的基于属性加密(Ciphertext-PolicyABE,CP-ABE)。在KP-ABE中，密钥跟访问策略相关，密文跟属性集相关，加密者只能为数据选择描述性的属性，不能决定谁可以解密密文，只能相信密钥发布者；CP-ABE中属性用来描述用户的私钥，加密者可以使用访问策略来决定可以访问加密数据，但加密者并不知道具体谁可以访问密文。所以CP-ABE的部署方式与传统的访问控制模型更加接近，能够很好的适用于云计算环境中对敏感数据的保护，同时可以实现对访问策略更灵活的控制。