[发明专利]基于用户群的数据加密方法、解密方法、查询方法及装置

说明书

本发明公开了一种基于用户群的数据加密方法、数据解密方法、数据查询方法、数据加密装置、数据解密装置、数据查询装置及密文数据库查询系统，所述密文数据库查询系统包括云服务器和至少一个用户群，每个用户群包括一个第一用户和至少两个第二用户，第一用户为群管理员，第二用户为群成员，在每个用户群中，第一用户的客户端和第二用户的客户端分别与云服务器相连；第二用户的客户端包括数据加密装置和数据解密装置；云服务器包括数据查询装置。本发明拥有一种群机制，这种群机制可以限定云服务器只能为群成员比较密文；此外，本发明能够有效地抵御离线消息恢复攻击，显著地提高安全性，能够与目前大多数用户名加密码系统相对接。

技术领域

本发明涉及一种基于用户群的数据加密方法、数据解密方法、数据查询方法及装置，属于数据安全领域。

背景技术

云计算的发展使云数据库服务器的使用得到了普及，无论公司还是个人都开始习惯于将数据存储到云服务器端，从而减少本地存储与维护的开销。然而，云服务器端对用户隐私和数据信息的保护仍存纰漏，导致关于用户信息泄露的新闻屡见不鲜。

云计算下实现数据隐私保护的密码技术开始得到了重视，但数据加密后以密文形式存储到云端数据库又会给数据管理带来不便。将传统的数据库管理系统运用到云计算环境中，用户的数据都是以密文的形式存放到数据库中。若用户想对数据进行查询操作，要么全部密文数据下载到本地，然后进行解密，这样不仅会使网络开销和计算开销非常庞大，而且效率还十分低下；要么把密钥发送给云服务器端，数据在云服务器端进行解密和查询操作，这样云服务器端能够获取到用户的明文信息，对用户信息造成了安全隐患。根据专利文献(公开号：CN104468535A，公开日：2015年03月25日)提供了一种适合云环境的密文查询与连接查询系统及方法。该方法通过双线性映对运算与模求幂运算，能够实现在不泄漏明文信息的情况下，对密文所保护的明文进行等值测试，很好地平衡了数据保护与数据管理。但是，该方法在数据库查询过程中，必须获得密文连接查询的授权陷门，如果在多个连接查询的情况下，多个授权陷门的管理会对云服务器端造成负担，而且服务器一旦获得多个用户的授权陷门便可自由地对这些用户的数据表进行查询以获取它感兴趣的信息，不受用户的限制。换句话说，多个用户无法限制服务器只能在他们的密文之间进行查询。例如，用户A和用户B授权服务器查询他们的密文，分别将陷门A和陷门B发送给服务器，用户C和用户D授权服务器查询他们的密文，也分别将陷门C和陷门D发送给服务器。此时服务器不仅可以比较用户A和用户B的密文，比较用户C和用户D的密文，还可以做一些超出用户们预期的事情，如利用陷门A和陷门C查询用户A和用户C的密文。这导致服务器在获得一个属性列或者一个元组相应的授权陷门，能够继续利用该授权陷门用于和其它数据的比较，可能造成用户隐私的泄露。此外，由于在公钥体制下密文的生成方式是公开的，且云服务器有权访问用户的密文。当给定云服务器一个密文C(设其对应的明文为M)，它可以任意的生成猜测消息M’的密文C’，再利用密文的比较功能比较C和C’是否相等。因此，当消息空间很小的时候，云服务器有能力通过遍历消息空间中的明文来安装一个离线消息恢复攻击，从而找到一个M’使得M’＝M，恢复出密文C中隐藏的明文M。

发明内容

有鉴于此，本发明提供了一种基于用户群的数据加密方法、数据解密方法、数据查询方法、数据加密装置、数据解密装置、数据查询装置及密文数据库查询系统；本发明拥有一种群机制，这种群机制可以限定云服务器只能为群成员比较密文，此外，本发明能够有效地抵御离线消息恢复攻击，显著地提高安全性，能够与目前大多数用户名加密码系统相对接。

本发明的第一个目的在于提供一种基于用户群的数据加密方法。

本发明的第二个目的在于提供一种基于用户群的数据解密方法。

本发明的第三个目的在于提供一种基于用户群的数据查询方法。

本发明的第四个目的在于提供一种基于用户群的数据加密装置。

本发明的第五个目的在于提供一种基于用户群的数据解密装置。