CN104022866A - 云存储中多用户密文关键词可搜索的加密方法 - Google Patents

Abstract

本发明公开了一种云存储中多用户密文关键词可搜索的加密方法，步骤包括：步骤1、系统参数初始化；步骤2、添加用户；步骤3、文件拥有者uID对文件加密和安全索引生成；步骤4、云存储服务器对索引的重加密；步骤5、用户uID关于关键词搜索令牌的生成；步骤6、云存储服务器关于密文关键词的搜索；步骤7、用户关于密文的解密；步骤8、撤销用户。本发明的加密方法，使得授权用户能够利用连接关键词的陷门搜索加密文档，即使云存储服务器也不能知道用户搜索的关键词，可以确保用户信息的安全，提出的方案在通信和计算代价，即搜索陷门大小、关键词加密和搜索的速度等方面的综合效率得到提高，适合多用户环境。

Description

云存储中多用户密文关键词可搜索的加密方法

技术领域

本发明属于信息安全技术领域，涉及一种云存储中多用户密文关键词可搜索的加密方法。

背景技术

云计算作为一种新的计算模型，能够提供成本较低、可扩展的各种先进的计算服务。为了节省存储及管理数据的代价，企业和个人可以将数据外包到云存储服务器。云存储服务可以提供数据的可用性和可靠性等优势，但是其也有一个很明显的缺点，即数据不在用户的管理及控制之下，那么如何维护数据的机密性和完整性便成为用户迫切关注的问题。

虽然企业相信云存储服务提供商(Cloud Storage Service Provider,CSSP)的可靠性、可用性、容错性等，但是人们无法确信CSSP不将托管的数据用于其他目的。同样对于个人用户而言，他们希望他们的数据只能由自己或指定的人访问而不能被CSSP访问。这将导致两方面的问题：首先，从用户的角度看，他们无法找到让他们完全可信的CSSP来存储和管理他们的数据；而从CSSP的角度看，在没有解决上述问题的情况下将会丢失大量的客户。因此，数据的机密性及完整性将阻碍云的推广及使用。

鉴于以上的实际问题，云存储中数据必须在传输到CSSP之前，由用户自己加密，并且也只能由用户自己进行解密。这样将会减轻用户数据泄漏的危险。但这将引入一个新的问题，如用户需要包含某个关键字的文档，那么用户是否能很快的获得他们想要的数据并保证数据对CSSP的机密性？

可搜索加密作为一种新的密码学技术，能够在加密的数据集合上进行搜索查询，具体方法是，先为文件集合生成索引集合，再使用可搜索加密对这些索引进行加密以隐藏索引内容，并且加密要满足如下性质：⑴给定一个关键字(即索引)的令牌，可以获得包含该关键字的所有文件的指针；⑵没有令牌，索引的内容是隐藏的；⑶只有具有相关密钥的用户才能生成令牌；⑷检索过程除了暴露了哪些文件共享某个关键字外，不会暴露任何有关文件和关键字的信息。可搜索加密的核心作用是为云存储服务提供：一是用户自己控制其数据；二是它的安全性质可以通过密码学原理验证，而不是通过法律、物理设备来确定安全性。

发明内容

本发明的目的是提供一种云存储中多用户密文关键词可搜索的加密方法，解决了云存储中数据加密后不能实现关键词检索的问题。

本发明采用的技术方案是，一种云存储中多用户密文关键词可搜索的加密方法，按照以下步骤实施：

步骤1、系统参数初始化

由用户管理机构UM输入安全参数k，输出阶为素数q的循环群G，素数q的二进制长度为k，g为G的生成元，并且G中的DDHP是困难的；

随机选择x∈_RZ_q作为UM的主密钥，记为k_UM＝x，计算h＝g^x；用户管理机构UM选择伪随机函数f:{0,1}^k×{0,1}^*→Z_q及其随机种子s∈_R{0,1}^k和抗碰撞的Hash函数H:{0,1}^*→{0,1}^t，其中t为Hash函数的输出长度，并为对称加密算法Enc(·)选择加密密钥ek，发布params＝(G,g,q,f,H,h,Enc)作为系统参数，保密用户管理机构UM的私钥为msk_Ent＝x及文件加密密钥ek；

步骤2、添加用户

由用户管理机构UM输入UM的主密钥k_UM和用户身份u_ID∈U，输出u_ID的密钥和辅助密钥 $({\mathrm{sk}}_{u_{\mathrm{ID}}},{\mathrm{cpmk}}_{u_{\mathrm{ID}}})=(x_{u_{\mathrm{ID}}}{\∈}_R{Z}_q^{*},k_{\mathrm{UM}}-x_{u_{\mathrm{ID}}})=(x_{u_{\mathrm{ID}}},x-x_{u_{\mathrm{ID}}});$

将安全地发送给用户u_ID；将安全地发送给云存储服务器Serv，云存储服务器Serv在其用户列表U-ComK中加入 $(u_{\mathrm{ID}},{\mathrm{comk}}_{u_{\mathrm{ID}}})=(u_{\mathrm{ID}},x-x_{u_{\mathrm{ID}}});$

步骤3、文件拥有者u_ID对文件加密和安全索引生成

用户u_ID输入用户密钥加密密钥ek、随机种子s、文档D_i及其关键词列表W_i＝(w_i,1,…,w_i,m),1≤i≤n，随机选择r_i∈_RZ_q，计算和E_i＝Enc_ek(D_i)；对每个w_i,j∈W_i,1≤j≤m，计算δ_i,j＝f(s,w_i,j)，和

令文件的索引为 $I_i^{*}=(c_i,(c_{i,1}^{\text{'}},c_{i,1}^{\text{'}\text{'}})...,(c_{i,m}^{\text{'}},c_{i,m}^{\text{'}\text{'}})),$ 记 $C_i^{*}=(E_i,I_i^{*}),$ 将发送给云存储服务器Serv；

步骤4、云存储服务器对索引的重加密

云存储服务器Serv输入用户身份u_ID和接收到的云存储服务器Serv根据u_ID在U-ComK中查找若无，则返回失败符号⊥给用户身份u_ID；否则对中的每一对(c_i′_,j,c_i′_,′_j)，1≤j≤m，计算

令I_i＝(c_i,c_i,1,…,c_i,m)，最后将C_i＝(E_i,I_i)存储在云存储服务器Serv上；

步骤5、用户u_ID关于关键词搜索令牌的生成

用户u_ID输入s和要检索的关键词位置1≤l₁,…,l_d≤m及对应的关键词w₁′,…,w′_d，随机选择r∈_RZ_q，d是用户搜索的关键词个数，计算：

$T_1=g^{-r}{g}^{{\mathrm{\Σ}}_{j=1}^{d}f(s,w_j^{\text{'}})},$

$T_2=h^r{g}^{-r\·{\mathrm{sk}}_{u_{\mathrm{ID}}}}{g}^{{\mathrm{sk}}_{u_{\mathrm{ID}}}\·{\mathrm{\Σ}}_{j=1}^{d}f(s,w_j^{\text{'}})}=g^{{r\·\mathrm{comk}}_{u_{\mathrm{ID}}}}{g}^{{\mathrm{sk}}_{u_{\mathrm{ID}}}\·{\mathrm{\Σ}}_{j=1}^{d}f(s,w_j^{\text{'}})}$

最后将搜索令牌T＝(u_ID,T₁,T₂,l₁,…,l_d)发送给云存储服务器Serv；

步骤6、云存储服务器关于密文关键词的搜索

云存储服务器Serv输入陷门T＝(u_ID,T₁,T₂,l₁,…,l_d)及密文C_i＝(E_i,I_i)，云存储服务器Serv首先根据u_ID在U-ComK中查找若无，则返回失败符号⊥给用户u_ID；否则云存储服务器Serv初始化空集Ω，计算：

$\mathrm{\υ}=T_1^{{\mathrm{comk}}_{u_{\mathrm{ID}}}}\·T_2=g^{x{\mathrm{\Σ}}_{j=1}^{d}f(s,w_j^{\text{'}})}=h^{{\mathrm{\Σ}}_{j=1}^{d}f(s,w_j^{\text{'}})},$

对每个C_i＝(E_i,I_i),1≤i≤n，云存储服务器Serv根据I_i判断如下等是否成立：

$c_i=H\left(h^{r_i}\right)=H\left({({\mathrm{\υ}}^{-1}\·{\mathrm{\Π}}_{j=1}^d{c}_{{i,l}_j})}^{d^{-1}}\right)=H\left({({\mathrm{\υ}}^{-1}\·{\mathrm{\Π}}_{j=1}^d{h}^{r_i+{\mathrm{\δ}}_{i,l_j}})}^{d^{-1}}\right),$

若成立，则Ω＝Ω∪{E_i}，最后将搜索结果Ω发送给用户u_ID；

步骤7、用户关于密文的解密

用户u_ID输入对称密钥ek及接收到的Ω，对每个E_i∈Ω，计算D_i＝Dec_ek(E_i)；

步骤8、撤销用户

用户管理机构UM输入用户身份u_ID，UM执行操作U＝U\{(u_ID)}，并向云存储服务器Serv发送撤销用户u_ID的命令，云存储服务器Serv执行操作 $u-\mathrm{ComK}=U-\mathrm{ComK}\backslash \left\{(u_{\mathrm{ID}},{\mathrm{comk}}_{u_{\mathrm{ID}}})\right\},$ 即云存储服务器CSS删除用户u_ID注册项目即成。

本发明的有益效果是：

1)本发明采用授权用户和存储服务器先后对关键词加密的方式提出了一种高效的基于DDHP假设的密文关键词可搜索的加密方法，使得授权用户能够利用连接关键词的陷门搜索加密文档。即使云存储服务器也不能知道用户搜索的关键词，可以确保用户信息的安全。通过与现有方案相比较，提出的方案在通信和计算代价，即搜索陷门大小、关键词加密和搜索的速度，等方面的综合效率得到提高。

2)本发明方案是适合多用户环境的，这里的多用户是指可以增加和撤销用户，用户增加可以通过算法Enroll(k_UM,u_ID)实现，用户的撤销可以通过算法RevokeUser(u_ID)实现。

通过本发明的方法，数据用户可以将自己的数据加密后，存放到云存储服务器，需要时候，可以通过关键词检索令牌检索到需要的密文数据，然后下载解密。同时，云存储服务器并不知道用户检索的关键词，确保用户的数据信息隐私性。

具体实施方式

下面结合具体实施方式对本发明进行详细说明。

本发明是一种基于DDHP假设的，云存储中多用户密文关键词可搜索的加密方法，

假设文件加密者Ent欲将文档集合D＝(D₁,…,D_n)加密后存储到存储服务器Serv中，设文档D_i的关键词列表为W_i＝(w_i,1,…,w_i,m)，1≤i≤n，n是即将存储的文件个数，m是文档D_i中的关键词个数，w_i,j为D_i的第j个关键词字段的关键词，1≤j≤m，构造的方案希望文档加密后可以实现关键词可搜索，实现安全保密的目标，算法包括七个多项式时间的算法，按照以下步骤实施：

步骤1、系统参数初始化，即步骤Init(1^k)

该算法由用户管理机构UM执行以初始化系统，输入安全参数k，输出阶为素数q的循环群G，素数q的二进制长度为k，g为G的生成元，并且G中的DDHP(判定性Diffie-Hellmen假设)是困难的；

随机选择x∈_RZ_q作为UM的主密钥，记为k_UM＝x，计算h＝g^x；用户管理机构UM选择伪随机函数f:{0,1}^k×{0,1}^*→Z_q及其随机种子s∈_R{0,1}^k和抗碰撞的Hash函数H:{0,1}^*→{0,1}^t，其中t为Hash函数的输出长度，并为对称加密算法Enc(·)选择加密密钥ek，发布params＝(G,g,q,f,H,h,Enc)作为系统参数。保密用户管理机构UM的私钥为msk_Ent＝x及文件加密密钥ek。

步骤2、添加用户，即步骤Enroll(k_UM,u_ID)

该算法由用户管理机构UM执行用来添加用户，输入UM的主密钥k_UM和用户身份u_ID∈U(用户身份是唯一的，如用户的电子邮件地址等)，输出u_ID的密钥和辅助密钥 $({\mathrm{sk}}_{u_{\mathrm{ID}}},{\mathrm{cpmk}}_{u_{\mathrm{ID}}})=(x_{u_{\mathrm{ID}}}{\∈}_R{Z}_q^{*},k_{\mathrm{UM}}-x_{u_{\mathrm{ID}}})=(x_{u_{\mathrm{ID}}},x-x_{u_{\mathrm{ID}}});$

将安全地发送给用户u_ID；将安全地发送给云存储服务器Serv，云存储服务器Serv在其用户列表U-ComK中加入 $(u_{\mathrm{ID}},{\mathrm{comk}}_{u_{\mathrm{ID}}})=(u_{\mathrm{ID}},x-x_{u_{\mathrm{ID}}}).$

步骤3、文件拥有者u_ID对文件加密和安全索引生成，即步骤

用户u_ID执行的加密算法，输入用户密钥加密密钥ek、随机种子s、文档D_i及其关键词列表W_i＝(w_i,1,…,w_i,m),1≤i≤n，随机选择r_i∈_RZ_q，计算和E_i＝Enc_ek(D_i)；对每个w_i,j∈W_i,1≤j≤m，计算δ_i,j＝f(s,w_i,j)，和 $c_{i,j}^{\text{'}\text{'}}={\left(g^{r_i+{\mathrm{\δ}}_{i,j}}\right)}^{{\mathrm{sk}}_{u_{\mathrm{ID}}}};$

令文件的索引为 $I_i^{*}=(c_i,(c_{i,1}^{\text{'}},c_{i,1}^{\text{'}\text{'}})...,(c_{i,m}^{\text{'}},c_{i,m}^{\text{'}\text{'}})),$ 记 $C_i^{*}=(E_i,I_i^{*}),$ 将发送给云存储服务器Serv。

步骤4、云存储服务器对索引的重加密，即步骤

云存储服务器Serv执行对中的的重加密，输入用户身份u_ID和接收到的云存储服务器Serv根据u_ID在U-ComK中查找若无，则返回失败符号⊥给用户身份u_ID；否则对中的每一对1≤j≤m，计算 $c_{i,j}={\left(c_{i,j}^{\text{'}}\right)}^{{\mathrm{comk}}_{u_{\mathrm{ID}}}}\·c_{i,j}^{\text{'}\text{'}}=h^{r_i+{\mathrm{\δ}}_{i,j}};$

令I_i＝(c_i,c_i,1,…,c_i,m)，最后将C_i＝(E_i,I_i)存储在云存储服务器Serv上。

步骤5、用户u_ID关于关键词搜索令牌的生成，即步骤

用户u_ID执行以生成连接关键词的搜索令牌(搜索陷门)，输入s和要检索的关键词位置1≤l₁,…,l_d≤m及对应的关键词w₁′,…,w′_d，随机选择r∈_RZ_q，d是用户搜索的关键词个数，计算：

$T_1=g^{-r}{g}^{{\mathrm{\Σ}}_{j=1}^{d}f(s,w_j^{\text{'}})},$

$T_2=h^r{g}^{-r\·{\mathrm{sk}}_{u_{\mathrm{ID}}}}{g}^{{\mathrm{sk}}_{u_{\mathrm{ID}}}\·{\mathrm{\Σ}}_{j=1}^{d}f(s,w_j^{\text{'}})}=g^{{r\·\mathrm{comk}}_{u_{\mathrm{ID}}}}{g}^{{\mathrm{sk}}_{u_{\mathrm{ID}}}\·{\mathrm{\Σ}}_{j=1}^{d}f(s,w_j^{\text{'}})}$

最后将搜索令牌(搜索陷门)T＝(u_ID,T₁,T₂,l₁,…,l_d)发送给云存储服务器Serv。

步骤6、云存储服务器关于密文关键词的搜索，即步骤Search(T,C_i)

云存储服务器Serv执行用于搜索加密文档，输入陷门T＝(u_ID,T₁,T₂,l₁,…,l_d)及密文C_i＝(E_i,I_i)，云存储服务器Serv首先根据u_ID在U-ComK中查找若无，则返回失败符号⊥给用户u_ID；否则云存储服务器Serv初始化空集Ω，计算

$\mathrm{\υ}=T_1^{{\mathrm{comk}}_{u_{\mathrm{ID}}}}\·T_2=g^{x{\mathrm{\Σ}}_{j=1}^{d}f(s,w_j^{\text{'}})}=h^{{\mathrm{\Σ}}_{j=1}^{d}f(s,w_j^{\text{'}})}$

对每个C_i＝(E_i,I_i),1≤i≤n，云存储服务器Serv根据I_i判断如下等是否成立：

$c_i=H\left(h^{r_i}\right)=H\left({({\mathrm{\υ}}^{-1}\·{\mathrm{\Π}}_{j=1}^d{c}_{{i,l}_j})}^{d^{-1}}\right)=H\left({({\mathrm{\υ}}^{-1}\·{\mathrm{\Π}}_{j=1}^d{h}^{r_i+{\mathrm{\δ}}_{i,l_j}})}^{d^{-1}}\right)$

若成立，则Ω＝Ω∪{E_i}，最后将搜索结果Ω发送给用户u_ID。

步骤7、用户关于密文的解密，即步骤Dec(ek,Ω)

用户u_ID执行以解密密文，输入对称密钥ek及接收到的Ω，对每个E_i∈Ω，计算D_i＝Dec_ek(E_i)。

步骤8、撤销用户，即步骤RevokeUser(u_ID)

用户管理机构UM执行以撤销用户，输入用户身份u_ID，UM执行操作U＝U\{(u_ID)}，并向云存储服务器Serv发送撤销用户u_ID的命令，云存储服务器Serv执行操作即云存储服务器CSS删除用户u_ID注册项目即成。

本发明方案的正确性及安全性分析

结论1：本发明上述方案满足正确性。

证明：若所有数据都是按照方案中描述生成的，并且如果对于关键词列表W_i，其中1≤i≤n，1≤j≤d，则有： $H\left({({\mathrm{\υ}}^{-1}\·{\mathrm{\Π}}_{j=1}^d{h}^{r_i+{\mathrm{\δ}}_{{i,l}_j}})}^{d^{-1}}\right)=H\left((h^{-{\mathrm{\Σ}}_{j=1}^{d}f(s,w_j^{\text{'}})}\·h^{d\·r_i+{\mathrm{\Σ}}_{j=1}^d{\mathrm{\δ}}_{{i,l}_j}}{)}^{d^{-1}}\right)=H\left({\left(h^{d\·r_i}\right)}^{d^{-1}}\right)=H\left(h^{r_i}\right)=c_i.$

实施例1

假设文件加密者Ent欲将文档集合D＝(D₁,…,D_n)加密后存储到存储服务器Serv中，设文档D_i的关键词列表为W_i＝(w_i,1,…,w_i,m)，1≤i≤n，n是即将存储的文件个数，m是文档D_i中的关键词个数，w_i,j，1≤j≤m，为D_i的第j个关键词字段的关键词，构造的方案希望文档加密后可以实现关键词可搜索，实现安全保密的目标，算法包括七个多项式时间的算法，详细描述如下：

步骤1、系统参数初始化，即步骤Init(1^k)

该算法由用户管理机构UM执行以初始化系统，输入安全参数k＝160，输出阶为素数q的循环群G，素数q的二进制长度为k，g为G的生成元，并且G中的DDHP(判定性Diffie-Hellmen假设)是困难的；

随机选择x∈_RZ_q作为UM的主密钥，记为k_UM＝x，计算h＝g^x；用户管理机构UM选择伪随机函数f:{0,1}^k×{0,1}^*→Z_q及其随机种子s∈_R{0,1}^k和抗碰撞的Hash函数H:{0,1}^*→{0,1}^t，其中t为Hash函数的输出长度如SHA-1中的t＝160，并为对称加密算法Enc(·)选择加密密钥ek，对称加密算法Enc(·)可以采用AES算法等安全加密算法。发布params＝(G,g,q,f,H,h,Enc)作为系统参数。

步骤2、添加用户，即步骤Enroll(k_UM,u_ID)

该算法由用户管理机构UM执行用来添加用户，输入UM的主密钥k_UM和用户身份u_ID∈U(用户身份是唯一的，如用户的电子邮件地址等)，输出u_ID的密钥和辅助密钥 $({\mathrm{sk}}_{u_{\mathrm{ID}}},{\mathrm{cpmk}}_{u_{\mathrm{ID}}})=(x_{u_{\mathrm{ID}}}{\∈}_R{Z}_q^{*},k_{\mathrm{UM}}-x_{u_{\mathrm{ID}}})=(x_{u_{\mathrm{ID}}},x-x_{u_{\mathrm{ID}}});$

将安全地发送给用户u_ID；将安全地发送给云存储服务器Serv，云存储服务器Serv在其用户列表U-ComK中加入 $(u_{\mathrm{ID}},{\mathrm{comk}}_{u_{\mathrm{ID}}})=(u_{\mathrm{ID}},x-x_{u_{\mathrm{ID}}}).$

步骤3、文件拥有者u_ID对文件加密和安全索引生成，即步骤

用户u_ID执行的加密算法，输入用户密钥加密密钥ek、随机种子s、文档D_i及其关键词列表W_i＝(w_i,1,…,w_i,m),1≤i≤n，随机选择r_i∈_RZ_q，计算和E_i＝Enc_ek(D_i)；对每个w_i,j∈W_i,1≤j≤m，计算δ_i,j＝f(s,w_i,j)，和 $c_{i,j}^{\text{'}\text{'}}={\left(g^{r_i+{\mathrm{\δ}}_{i,j}}\right)}^{{\mathrm{sk}}_{u_{\mathrm{ID}}}};$

令文件的索引为 $I_i^{*}=(c_i,(c_{i,1}^{\text{'}},c_{i,1}^{\text{'}\text{'}})...,(c_{i,m}^{\text{'}},c_{i,m}^{\text{'}\text{'}})),$ 记 $C_i^{*}=(E_i,I_i^{*}),$ 将发送给云存储服务器Serv。

步骤4、云存储服务器对索引的重加密，即步骤

云存储服务器Serv执行对中的的重加密，输入用户身份u_ID和接收到的云存储服务器Serv根据u_ID在U-ComK中查找若无，则返回失败符号⊥给用户身份u_ID；否则对中的每一对(c_i′_,j,c_i′_,′_j)，1≤j≤m，计算 $c_{i,j}={\left(c_{i,j}^{\text{'}}\right)}^{{\mathrm{comk}}_{u_{\mathrm{ID}}}}\·c_{i,j}^{\text{'}\text{'}}=h^{r_i+{\mathrm{\δ}}_{i,j}};$

令I_i＝(c_i,c_i,1,…,c_i,m)，最后将C_i＝(E_i,I_i)存储在云存储服务器Serv上。

步骤5、用户u_ID关于关键词搜索令牌生成，即步骤

用户u_ID执行以生成连接关键词的搜索令牌(搜索陷门)，输入s和要检索的关键词位置1≤l₁,…,l_d≤m及对应的关键词w₁′,…,w′_d，随机选择r∈_RZ_q，d是用户搜索的关键词个数，计算：

$T_1=g^{-r}{g}^{{\mathrm{\Σ}}_{j=1}^{d}f(s,w_j^{\text{'}})},$

$T_2=h^r{g}^{-r\·{\mathrm{sk}}_{u_{\mathrm{ID}}}}{g}^{{\mathrm{sk}}_{u_{\mathrm{ID}}}\·{\mathrm{\Σ}}_{j=1}^{d}f(s,w_j^{\text{'}})}=g^{{r\·\mathrm{comk}}_{u_{\mathrm{ID}}}}{g}^{{\mathrm{sk}}_{u_{\mathrm{ID}}}\·{\mathrm{\Σ}}_{j=1}^{d}f(s,w_j^{\text{'}})}$

最后将搜索令牌(搜索陷门)T＝(u_ID,T₁,T₂,l₁,…,l_d)发送给云存储服务器Serv。

步骤6、云存储服务器关于密文关键词的搜索，即步骤Search(T,C_i)

云存储服务器Serv执行用于搜索加密文档，输入陷门T＝(u_ID,T₁,T₂,l₁,…,l_d)及密文C_i＝(E_i,I_i)，云存储服务器Serv首先根据u_ID在U-ComK中查找若无，则返回失败符号⊥给用户u_ID；否则云存储服务器Serv初始化空集Ω，计算

$\mathrm{\υ}=T_1^{{\mathrm{comk}}_{u_{\mathrm{ID}}}}\·T_2=g^{x{\mathrm{\Σ}}_{j=1}^{d}f(s,w_j^{\text{'}})}=h^{{\mathrm{\Σ}}_{j=1}^{d}f(s,w_j^{\text{'}})}$

对每个C_i＝(E_i,I_i),1≤i≤n，云存储服务器Serv根据I_i判断如下等是否成立：

$c_i=H\left(h^{r_i}\right)=H\left({({\mathrm{\υ}}^{-1}\·{\mathrm{\Π}}_{j=1}^d{c}_{{i,l}_j})}^{d^{-1}}\right)=H\left({({\mathrm{\υ}}^{-1}\·{\mathrm{\Π}}_{j=1}^d{h}^{r_i+{\mathrm{\δ}}_{i,l_j}})}^{d^{-1}}\right)$

若成立，则Ω＝Ω∪{E_i}，最后将搜索结果Ω发送给用户u_ID。

步骤7、用户关于密文的解密，即步骤Dec(ek,Ω)

用户u_ID执行以解密密文，输入对称密钥ek及接收到的Ω，对每个E_i∈Ω，计算D_i＝Dec_ek(E_i)。

步骤8、撤销用户，即步骤RevokeUser(u_ID)

用户管理机构UM执行以撤销用户，输入用户身份u_ID，UM执行操作U＝U\{(u_ID)}，并向云存储服务器Serv发送撤销用户u_ID的命令，云存储服务器Serv执行操作 $u-\mathrm{ComK}=U-\mathrm{ComK}\backslash \left\{(u_{\mathrm{ID}},{\mathrm{comk}}_{u_{\mathrm{ID}}})\right\},$ 即云存储服务器CSS删除用户u_ID注册项目即可。

本发明方案是适合多用户环境的，这里的多用户是指可以增加和撤销用户，用户增加可以通过算法Enroll(k_UM,u_ID)实现，用户的撤销可以通过算法RevokeUser(u_ID)实现。当然这里需要UM和Serv之间有安全信息通道，如果需要，可以通过其他身份认证协议实现。

在云存储服务中，用户可以使用可搜索的加密方案对数据加密后，外包到云存储服务器。可搜索加密方案使得用户能够有选择的访问其密文数据，同时还能确保用户搜索数据的机密性。本发明采用授权用户和存储服务器先后对关键词加密的方式提出了一种高效的基于DDHP假设的密文关键词可搜索的加密方法，使得授权用户能够利用连接关键词的陷门搜索加密文档。通过与现有方案相比较，提出的方案在通信和计算代价，即搜索陷门大小、关键词加密和搜索的速度方面的综合效率得到提高。此外，提出的方案支持多用户，即能够动态的增加和撤销用户，使得用户能够直接在存储服务器上实现数据共享。

Claims (2)

1.一种云存储中多用户密文关键词可搜索的加密方法，其特点在于，按照以下步骤实施：

步骤1、系统参数初始化

由用户管理机构UM输入安全参数k，输出阶为素数q的循环群G，素数q的二进制长度为k，g为G的生成元，并且G中的DDHP是困难的；

随机选择x∈_RZ_q作为UM的主密钥，记为k_UM＝x，计算h＝g^x；用户管理机构UM选择伪随机函数f:{0,1}^k×{0,1}^*→Z_q及其随机种子s∈_R{0,1}^k和抗碰撞的Hash函数H:{0,1}^*→{0,1}^t，其中t为Hash函数的输出长度，并为对称加密算法Enc(·)选择加密密钥ek，发布params＝(G,g,q,f,H,h,Enc)作为系统参数，保密用户管理机构UM的私钥为msk_Ent＝x及文件加密密钥ek；

步骤2、添加用户

由用户管理机构UM输入UM的主密钥k_UM和用户身份u_ID∈U，输出u_ID的密钥和辅助密钥 $({\mathrm{sk}}_{u_{\mathrm{ID}}},{\mathrm{cpmk}}_{u_{\mathrm{ID}}})=(x_{u_{\mathrm{ID}}}{\∈}_R{Z}_q^{*},k_{\mathrm{UM}}-x_{u_{\mathrm{ID}}})=(x_{u_{\mathrm{ID}}},x-x_{u_{\mathrm{ID}}});$

将安全地发送给用户u_ID；将安全地发送给云存储服务器Serv，云存储服务器Serv在其用户列表U-ComK中加入

$(u_{\mathrm{ID}},{\mathrm{comk}}_{u_{\mathrm{ID}}})=(u_{\mathrm{ID}},x-x_{u_{\mathrm{ID}}});$

步骤3、文件拥有者u_ID对文件加密和安全索引生成

用户u_ID输入用户密钥加密密钥ek、随机种子s、文档D_i及其关键词列表W_i＝(w_i,1,…,w_i,m),1≤i≤n，随机选择r_i∈_RZ_q，计算和E_i＝Enc_ek(D_i)；对每个w_i,j∈W_i,1≤j≤m，计算δ_i,j＝f(s,w_i,j)，和

令文件的索引为 $I_i^{*}=(c_i,(c_{i,1}^{\text{'}},c_{i,1}^{\text{'}\text{'}})...,(c_{i,m}^{\text{'}},c_{i,m}^{\text{'}\text{'}})),$ 记 $C_i^{*}=(E_i,I_i^{*}),$ 将发送给云存储服务器Serv；

步骤4、云存储服务器对索引的重加密

云存储服务器Serv输入用户身份u_ID和接收到的云存储服务器Serv根据u_ID在U-ComK中查找若无，则返回失败符号⊥给用户身份u_ID；否则对中的每一对1≤j≤m，计算 $c_{i,j}={\left(c_{i,j}^{\text{'}}\right)}^{{\mathrm{comk}}_{u_{\mathrm{ID}}}}\·c_{i,j}^{\text{'}\text{'}}=h^{r_i+{\mathrm{\δ}}_{i,j}};$

令I_i＝(c_i,c_i,1,…,c_i,m)，最后将C_i＝(E_i,I_i)存储在云存储服务器Serv上；

步骤5、用户u_ID关于关键词搜索令牌的生成

用户u_ID输入s和要检索的关键词位置1≤l₁,…,l_d≤m及对应的关键词w₁′,…,w′_d，随机选择r∈_RZ_q，d是用户搜索的关键词个数，计算：

$T_1=g^{-r}{g}^{{\mathrm{\Σ}}_{j=1}^{d}f(s,w_j^{\text{'}})},$

$T_2=h^r{g}^{-r\·{\mathrm{sk}}_{u_{\mathrm{ID}}}}{g}^{{\mathrm{sk}}_{u_{\mathrm{ID}}}\·{\mathrm{\Σ}}_{j=1}^{d}f(s,w_j^{\text{'}})}=g^{{r\·\mathrm{comk}}_{u_{\mathrm{ID}}}}{g}^{{\mathrm{sk}}_{u_{\mathrm{ID}}}\·{\mathrm{\Σ}}_{j=1}^{d}f(s,w_j^{\text{'}})}$

最后将搜索令牌T＝(u_ID,T₁,T₂,l₁,…,l_d)发送给云存储服务器Serv；

步骤6、云存储服务器关于密文关键词的搜索

云存储服务器Serv输入陷门T＝(u_ID,T₁,T₂,l₁,…,l_d)及密文C_i＝(E_i,I_i)，云存储服务器Serv首先根据u_ID在U-ComK中查找若无，则返回失败符号⊥给用户u_ID；否则云存储服务器Serv初始化空集Ω，计算：

$\mathrm{\υ}=T_1^{{\mathrm{comk}}_{u_{\mathrm{ID}}}}\·T_2=g^{x{\mathrm{\Σ}}_{j=1}^{d}f(s,w_j^{\text{'}})}=h^{{\mathrm{\Σ}}_{j=1}^{d}f(s,w_j^{\text{'}})},$

对每个C_i＝(E_i,I_i),1≤i≤n，云存储服务器Serv根据I_i判断如下等是否成立：

$c_i=H\left(h^{r_i}\right)=H\left({({\mathrm{\υ}}^{-1}\·{\mathrm{\Π}}_{j=1}^d{c}_{{i,l}_j})}^{d^{-1}}\right)=H\left({({\mathrm{\υ}}^{-1}\·{\mathrm{\Π}}_{j=1}^d{h}^{r_i+{\mathrm{\δ}}_{i,l_j}})}^{d^{-1}}\right),$

若成立，则Ω＝Ω∪{E_i}，最后将搜索结果Ω发送给用户u_ID；

步骤7、用户关于密文的解密

用户u_ID输入对称密钥ek及接收到的Ω，对每个E_i∈Ω，计算D_i＝Dec_ek(E_i)；

步骤8、撤销用户

用户管理机构UM输入用户身份u_ID，UM执行操作U＝U\{(u_ID)}，并向云存储服务器Serv发送撤销用户u_ID的命令，云存储服务器Serv执行操作，

$u-\mathrm{ComK}=U-\mathrm{ComK}\backslash \left\{(u_{\mathrm{ID}},{\mathrm{comk}}_{u_{\mathrm{ID}}})\right\},$

即云存储服务器CSS删除用户u_ID注册项目即成。

2.根据权利要求1所述的云存储中多用户密文关键词可搜索的加密方法，其特点在于：所述的对称加密算法Enc(·)采用AES算法。