用户可控的数据检索方法及数据存储方法、终端、系统技术方案

本发明专利技术公开了一种用户可控的数据检索方法及数据存储方法、终端、系统，其中数据存储方法包括：为待存储数据创建索引文件；根据与认证服务器预先设定的加密策略，从认证服务器获取第一密钥，通过第一密钥对索引文件进行对称加密，得到加密索引；根据用户提供的第二私钥对待存储数据进行对称加密，得到加密数据；根据预先设置的用户访问策略为待存储数据创建对应的访问结构，并采用CP‑ABE算法以访问结构对第二私钥进行加密，得到加密密钥；将加密数据、加密索引和加密密钥作为密文数据上传到系统服务器，以供系统服务器在通过认证服务器对密文数据的完整性检验后，将其上传至云存储服务器。本发明专利技术实施例实现了云存储环境下数据高效、安全的共享。

User controllable data retrieval method and data storage method, terminal and system

The invention discloses a user controllable data retrieval method and data storage method, terminal and system, including data storage method for data to be stored to create the index file; according to the preset encryption and authentication server strategy, get the first key from the authentication server through the index file first symmetric key encryption, encrypted according to the second index; private key users to store data for symmetric encryption, encrypted data; access structure created corresponding to the data to be stored according to the user access policy is set in advance, and the CP ABE algorithm to access the structure of the second private key is encrypted by the encryption key; the encrypted data, encryption and encryption key index as the server encrypted data uploaded to the system for the system in the server through the authentication server to close After checking the integrity of the text data, upload it to the cloud storage server. The embodiment of the invention realizes the efficient and safe sharing of the data in the cloud storage environment.

【技术实现步骤摘要】
用户可控的数据检索方法及数据存储方法、终端、系统
本专利技术涉及计算机网络
，尤其涉及一种基于云存储环境的用户可控的数据检索方法以及用户可控的数据存储方法、终端、系统。
技术介绍
在开放的网络环境下，人们在学习、工作和生活中通过网络进行存储共享资料越来越多，而云存储服务作为一种新兴的网络应用模式，它通过集群应用、网格技术和分布式文件系统等功能，将网络中大量不同类型的存储设备通过应用软件集合起来协同工作，共同对外提供数据存储和业务访问服务。用户可将自己的数据远程存储在云存储中心，按需访问，便于用户存取，为企业节约开销，提高可用性和可靠性。但是，用户和企业对其存储于云端的数据失去了根本的物理控制，对其数据的机密性与完整性就会心存疑虑，不可避免的引起了其对数据安全性与隐私性方面的担忧。究其原因有两个：一是云服务提供商会面临广泛的内外攻击，有恶意的敌人就会删除或破坏用户数据；二是云服务提供商可能不诚实，他们或许会为了保全自己信誉或谋取利益而试图隐藏存储在上面的数据被盗或破坏信息。因此，基于云存储环境的动态复杂性和开放性等特征，用户无法完全依赖不可信的云存储提供商进行数据的存储和管理等因素，如何进行开放式云存储环境下的数据存储是云存储应用亟需解决的问题。
技术实现思路
鉴于上述问题，本专利技术提出了一种用户可控的数据检索方法以及用户可控的数据存储方法、终端、系统，通过对数据进行三重加密和完整性校验，并由用户控制密文数据的访问权限，实现了云存储环境下数据高效、安全的共享。本专利技术的一个方面，提供了一种用户可控的数据存储方法，为待存储数据创建索引文件；根据与认证服务器预先设定的加密策略，从所述认证服务器获取第一密钥，并通过获取的第一密钥对所述索引文件进行对称加密，得到加密索引；根据用户提供的第二私钥对所述待存储数据进行对称加密，得到加密数据；根据预先设置的用户访问策略，为所述待存储数据创建对应的访问结构，并采用CP-ABE算法以所述访问结构对所述第二私钥进行加密，得到加密密钥；所述访问结构与所述待存储数据对应的授权用户的用户属性信息相匹配；将所述加密数据、加密索引以及加密密钥作为密文数据上传到系统服务器，以供所述系统服务器在通过所述认证服务器对所述密文数据的完整性检验后，将所述密文数据上传至云存储服务器。可选地，所述并采用CP-ABE算法以所述访问结构对所述第二私钥进行加密，进一步包括：根据预设的用户属性信息采用Setup算法生成主密钥MK和公钥PK；采用Encypt算法以所述公钥PK和所述访问结构对所述第二私钥进行加密，得到加密密钥；采用keygen算法根据所述预设的用户属性信息以及所述主密钥MK生成所述用户解密所需的私钥SK，以供在数据下载时，采用decrypt解密算法根据所述私钥SK对相应的加密密钥进行解密。可选地，所述通过获取的第一密钥对所述索引文件进行对称加密，进一步包括：通过获取的第一密钥对所述索引文件的索引关键词进行对称加密。可选地，所述方法还包括：获取所述加密数据的MD5值，并将所述MD5值上传至所述认证服务器，以供所述认证服务器对系统服务器上传的加密数据的MD5值进行一致性比较，若一致，则系统服务器中的密文数据通过数据完整性验证。本专利技术的另一个方面，提供了一种用户可控的数据检索方法，包括:接收用户的检索请求以及所述检索请求中携带的索引关键词和用户属性信息；根据与认证服务器预先设定的加密策略，从所述认证服务器获取第一密钥，并通过获取的第一密钥对所述索引关键词进行加密；根据所述加密后的索引关键词采用Lucene全文检索引擎对所述系统服务器中的索引文件进行全文检索，以供所述系统服务器根据检索结果，获取检索结果中包括的至少一个待下载数据对应的访问结构，所述访问结构与所述数据对应的授权用户的用户属性信息相匹配；将当前用户的用户属性信息于每一待下载数据对应的访问结构进行匹配，下载匹配成功的待下载数据。可选地，所述方法还包括：根据访问用户的访问数据生成访问操作日志，并对访问用户进行统计分析，返回分析结果至待下载数据的所属用户。本专利技术的再一个方面，提供了一种用户可控的数据存储终端，包括：索引创建模块，用于为待存储数据创建索引文件；第一加密模块，用于根据与认证服务器预先设定的加密策略，从所述认证服务器获取第一密钥，并通过获取的第一密钥对所述索引文件进行对称加密，得到加密索引；第二加密模块，用于根据用户提供的第二私钥对所述待存储数据进行对称加密，得到加密数据；第三加密模块，用于根据预先设置的用户访问策略，为所述待存储数据创建对应的访问结构，并采用CP-ABE算法以所述访问结构对所述第二私钥进行加密，得到加密密钥；所述访问结构与所述待存储数据对应的授权用户的用户属性信息相匹配；上传模块，用于将所述加密数据、加密索引以及加密密钥作为密文数据上传到系统服务器，以供所述系统服务器在通过所述认证服务器对所述密文数据的完整性检验后，将所述密文数据上传至云存储服务器。可选地，所述终端还包括：数据处理模块，用于计算所述加密数据的MD5值，并将所述MD5值上传至所述认证服务器，以供所述认证服务器对系统服务器上传的加密数据的MD5值进行一致性比较，若一致，则系统服务器中的密文数据通过数据完整性验证。可选地，所述终端还包括：接收模块，用于接收用户的检索请求以及所述检索请求中携带的索引关键词和用户属性信息；第四加密模块，用于根据与认证服务器预先设定的加密策略，从所述认证服务器获取第一密钥，并通过获取的第一密钥对所述索引关键词进行加密；检索模块，用于根据所述加密后的索引关键词采用Lucene全文检索引擎对所述系统服务器中的索引文件进行全文检索，以供所述系统服务器根据检索结果，获取检索结果中包括的至少一个待下载数据对应的访问结构，所述访问结构与所述数据对应的授权用户的用户属性信息相匹配，下载模块，用于将当前用户的用户属性信息于每一待下载数据对应的访问结构进行匹配，下载匹配成功的待下载数据。本专利技术的又一个方面，提供了一种用户可控的数据存储系统，包括认证服务器、系统服务器、云存储服务器以及如上所述的用户可控的数据存储终端；所述认证服务器与所述终端预先约定加密策略，并根据预先约定加密策略将第一密钥发送至所述终端，以供所述终端通过所述第一密钥对待存储数据的索引文件进行对称加密；所述系统服务器接收所述终端发送的密文数据，所述密文数据包括加密数据、加密索引以及加密密钥，计算该加密数据的MD5值，并将得到的MD5值上传至所述认证服务器；所述认证服务器将所述终端上传的MD5值于系统服务器上传的加密数据的MD5值进行一致性比较，若一致，则确认系统服务器中的密文数据通过数据完整性验证；所述系统服务器在通过所述认证服务器的数据完整性验证后，根据所述加密索引对服务器本地索引信息进行更新，并将所述密文数据上传至云存储服务器。本专利技术实施例提供的用户可控的数据检索方法以及用户可控的数据存储方法、终端、系统，通过对数据进行三重加密和完整性校验，并由用户控制密文数据的访问权限，实现用户对云存储数据的安全可控和高效存取，进而保证了云存储环境下数据高效、安全的共享。上述说明仅是本专利技术技术方案的概述，为了能够更清楚了解本专利技术的技术手段，而可依照说明书的内容予以实施，并且为了让本本文档来自技高网...

【技术保护点】
一种用户可控的数据存储方法，其特征在于，包括:为待存储数据创建索引文件；根据与认证服务器预先设定的加密策略，从所述认证服务器获取第一密钥，并通过获取的第一密钥对所述索引文件进行对称加密，得到加密索引；根据用户提供的第二私钥对所述待存储数据进行对称加密，得到加密数据；根据预先设置的用户访问策略，为所述待存储数据创建对应的访问结构，并采用CP‑ABE算法以所述访问结构对所述第二私钥进行加密，得到加密密钥；所述访问结构与所述待存储数据对应的授权用户的用户属性信息相匹配；将所述加密数据、加密索引以及加密密钥作为密文数据上传到系统服务器，以供所述系统服务器在通过所述认证服务器对所述密文数据的完整性检验后，将所述密文数据上传至云存储服务器。

【技术特征摘要】
1.一种用户可控的数据存储方法，其特征在于，包括:为待存储数据创建索引文件；根据与认证服务器预先设定的加密策略，从所述认证服务器获取第一密钥，并通过获取的第一密钥对所述索引文件进行对称加密，得到加密索引；根据用户提供的第二私钥对所述待存储数据进行对称加密，得到加密数据；根据预先设置的用户访问策略，为所述待存储数据创建对应的访问结构，并采用CP-ABE算法以所述访问结构对所述第二私钥进行加密，得到加密密钥；所述访问结构与所述待存储数据对应的授权用户的用户属性信息相匹配；将所述加密数据、加密索引以及加密密钥作为密文数据上传到系统服务器，以供所述系统服务器在通过所述认证服务器对所述密文数据的完整性检验后，将所述密文数据上传至云存储服务器。2.根据权利要求1所述的方法，其特征在于，所述并采用CP-ABE算法以所述访问结构对所述第二私钥进行加密，进一步包括：根据预设的用户属性信息采用Setup算法生成主密钥MK和公钥PK；采用Encypt算法以所述公钥PK和所述访问结构对所述第二私钥进行加密，得到加密密钥；采用keygen算法根据所述预设的用户属性信息以及所述主密钥MK生成所述用户解密所需的私钥SK，以供在数据下载时，采用decrypt解密算法根据所述私钥SK对相应的加密密钥进行解密。3.根据权利要求1所述的方法，其特征在于，所述通过获取的第一密钥对所述索引文件进行对称加密，进一步包括：通过获取的第一密钥对所述索引文件的索引关键词进行对称加密。4.根据权利要求1-3任一项所述的方法，其特征在于，所述方法还包括：获取所述加密数据的MD5值，并将所述MD5值上传至所述认证服务器，以供所述认证服务器对系统服务器上传的加密数据的MD5值进行一致性比较，若一致，则系统服务器中的密文数据通过数据完整性验证。5.一种用户可控的数据检索方法，其特征在于，包括:接收用户的检索请求以及所述检索请求中携带的索引关键词和用户属性信息；根据与认证服务器预先设定的加密策略，从所述认证服务器获取第一密钥，并通过获取的第一密钥对所述索引关键词进行加密；根据所述加密后的索引关键词采用Lucene全文检索引擎对所述系统服务器中的索引文件进行全文检索，以供所述系统服务器根据检索结果，获取检索结果中包括的至少一个待下载数据对应的访问结构，所述访问结构与所述数据对应的授权用户的用户属性信息相匹配；将当前用户的用户属性信息于每一待下载数据对应的访问结构进行匹配，下载匹配成功的待下载数据。6.根据权利要求5所述的方法，其特征在于，所述方法还包括：根据访问用户的访问数据生成访问操作日志，并对访问用户进行统计分析，返回分析结果至待下载数据的所属用户。7.一种用户可控的数据存储终端，其特征在于，包括：索...

【专利技术属性】
技术研发人员：吴岳忠，李长云，杜红刚，
申请(专利权)人：湖南工业大学，
类型：发明
国别省市：湖南,43