一种可搜索加密方法及设备技术

本发明专利技术公布一种可搜索加密方法及设备，通过发送方获取搜索方的身份或者搜索方所在群的身份，和密钥管理中心的系统参数；发送方根据所述搜索方的身份或者搜索方所在群的身份，和所述系统参数加密关键词，并将加密后的关键词密文上传到存储服务器。同时通过搜索方根据搜索方的身份或者搜索方所在群的身份从密钥管理中心获取查询密钥，根据关键词和所述获取的查询密钥生成查询令牌，通过所述查询令牌从存储服务器中查询加密后的关键词密文，并接收所述存储服务器返回的数据。从而实现在不需要昂贵的公钥基础设施的支持并且发送方不需要下载公钥的情况下，实现可搜索加密技术。

Searchable encryption method and apparatus

The invention discloses a search method and apparatus for encrypting, obtaining the identity of our search or search where group identity through the sender, system parameters and key management center; the sender according to the search party identity or search party group identity, and the system parameters and the encrypted encryption key. Keywords the ciphertext uploaded to the storage server. At the same time by searching from the key management center to obtain the identity of parties according to the search or search where group identity query key, according to the key words and the obtained query key generation query token by the query token key word query ciphertext encrypted from the storage server, and receives the returned data storage server. Thus, searchable encryption techniques can be implemented without the need for costly public key infrastructure support and the sender does not need to download the public key.

【技术实现步骤摘要】
一种可搜索加密方法及设备
本专利技术应用于加密
，尤其涉及一种可搜索加密方法及设备。
技术介绍
加密方案为了保证语义安全，往往要求加密算法产生的密文分布与密文空间上的均匀分布两者在计算不可区分（计算不可区分是指对于两个概率分布，不存在多项式时间算法能够区分它们）。因此，对于任何有效的算法都无法从加密得到的密文中得到任何有意义的语义信息，而语义信息的丧失使得借助普通的检索算法无法实现对密文数据的检索。为了解决密文检索问题，出现了可搜索加密技术。可搜索加密，不需要对加密的密文数据进行解密，而是利用检测算法来进行搜索，输出的是该密文是否含有搜索关键词的结果，一般是0或者1。可搜索加密的发展包含三个主要的历史阶段，首先是对称密钥可搜索加密，于2000年由Song等提出。其应用场景是搜索方与加密方为同一实体，利用对称密码体制将数据和关键词进行加密后上传到服务器，之后对该密文数据进行检索。其缺点是用户只能搜索自己加密并上传到数据库中的加密数据。为了克服这一应用上的局限性，DanBoneh于2004年提出了带关键词搜索的公钥加密（PublicKeyEncryptionwithKeywordSearch，PEKS）。PEKS方案的应用场景是多个发送方发送关键词密文和数据密文给接收方，接收方利用私钥生成搜索令牌，上传至服务器，服务器运行相应的检测算法进行关键词搜索。该方案中的接收者只能是单一实体，同时每次关键词检测算法的运行只能实现对一个关键词的检索，无法实现对合取关键词进行检索（假设有n个关键词分别为W1，W2，…，Wn，对包含关键词W1，且包含关键词W2，…，且包含关键词Wn的密文进行搜索，称为合取关键词搜索），这是其功能上的瓶颈。2007年Hwang和Lee提出了解决该问题的方案，即多用户的带合取关键词搜索的公钥加密（Multi-userPublicKeyEncryptionwithConjunctiveKeywordSearch，mPECK），带多接收者合取关键词检索的公钥加密方案。该方案是基于公钥密码体制的，需要在线的公钥数据库或者证书库的基础设施的支持，同时发送方需要查询和下载群组所有成员的公钥，根据每个接收者的公钥对数据进行加密，接受者根据自己的私钥生成搜索令牌对数据进行搜索。然而，公钥数据库的维护和管理成本非常高，并且发送者查询下载多个用户的公钥可能浪费网络带宽和存储资源。
技术实现思路
本专利技术实施例的目的在于提供一种可搜索加密方法和设备，解决了现有技术中基于公钥的可搜索加密技术中需要在线的公钥数据库或者证书库的基础设施的支持，同时发送方需要查询和下载群组所有成员的公钥的问题。第一方面，一种可搜索加密方法，所述方法包括：获取搜索方的身份信息以及密钥管理中心的系统参数，所述搜索方的身份信息包括所述单个搜索者的身份信息或者所述多个搜索者所在的群组的身份信息；根据所述搜索方的身份信息以及所述系统参数对关键词进行加密，并将加密后的关键词密文上传到存储服务器。结合第一方面，在第一方面的第一种可能的实现方式中，所述根据所述搜索方的身份信息以及所述系统参数对关键词进行加密，包括：根据所述搜索方的身份信息和所述系统参数计算出加密所述关键词的公钥，并根据所述计算出的公钥加密所述关键词。结合第一方面或者第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述方法还包括：根据所述搜索方的身份信息和所述系统参数加密明文数据，并将加密后的明文数据的密文上传到所述存储服务器。结合第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，所述根据所述搜索方的身份和所述系统参数加密明文数据，包括：根据所述搜索方的身份信息和所述系统参数计算出加密所述明文数据的公钥，并根据所述计算出的公钥加密所述明文数据。结合第一方面或者第一方面的第一种可能的实现方式，在第一方面的第四种可能的实现方式中，所述方法还包括：根据所述搜索方的属性加密明文数据，并将加密后的明文数据的密文上传到所述存储服务器。第二方面，一种基于身份的可搜索加密方法，所述方法包括：根据搜索方的身份信息从密钥管理中心获取查询密钥，所述搜索方的身份信息包括所述单个搜索者的身份信息或者所述多个搜索者所在的群组的身份信息；根据关键词和所述获取的查询密钥生成查询令牌，通过所述查询令牌从存储服务器中查询加密后的关键词密文。结合第二方面，在第二方面的第一种可能的实现方式中，所述通过所述查询令牌从存储服务器中查询加密后的关键词密文，包括：通过所述查询令牌从存储服务器中查询包含加密后的关键词的文件。结合第二方面或者第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，所述根据关键词和所述获取的查询密钥生成查询令牌，包括：当根据搜索方所在群的身份从密钥管理中心获取查询密钥时，所述搜索方向所述搜索方所在群递交关键词，所述搜索方所在群检查所述搜索方是否是群内的成员，若是，则所述搜索方所在群根据所述关键词和所述查询密钥生成查询令牌，并将所述查询令牌返回到所述搜索方。结合第二方面或者第二方面的第一种可能的实现方式或者第二方面的第二种可能的实现方式，在第二方面的第三种可能的实现方式中，所述通过所述查询令牌从存储服务器中查询加密后的关键词密文，包括：接收所述存储服务器返回的根据公钥加密的明文数据的密文。结合第二方面的第三种可能的实现方式，在第二方面的第四种可能的实现方式中，所述方法在步骤接收所述存储服务器返回的根据公钥加密的明文数据的密文之后，还包括：根据所述查询密钥，对所述根据公钥加密的明文数据的密文进行解密，获得解密后的明文数据。结合第二方面或者第二方面的第一种可能的实现方式或者第二方面的第二种可能的实现方式或者第二方面的第三种可能的实现方式或者第二方面的第四种可能的实现方式，在第二方面的第五种可能的实现方式中，所述方法，还包括：根据预先设置的搜索方属性从所述密钥管理中心获取所述属性对应的数据解密密钥。结合第二方面的第五种可能的实现方式，在第二方面的第六种可能的实现方式中，所述通过所述查询令牌从存储服务器中查询加密后的关键词密文，包括：接收所述存储服务器返回的根据所述预先设置的搜索方属性加密的明文数据的密文。结合第二方面的第六种可能的实现方式，在第二方面的第七种可能的实现方式中，所述方法在步骤接收所述存储服务器返回的根据所述预先设置的搜索方属性加密的明文数据的密文之后，还包括：根据所述数据解密密钥，对所述存储服务器返回的根据所述预先设置的搜索方属性加密的明文数据的密文进行解密，获得解密后的明文数据。第三方面，一种加密设备，所述设备包括：第一获取单元，用于获取搜索方的身份信息以及密钥管理中心的系统参数，所述搜索方的身份信息包括所述单个搜索者的身份信息或者所述多个搜索者所在的群组的身份信息；加密上传单元，用于根据所述搜索方的身份信息以及所述系统参数对关键词进行加密，并将加密后的关键词密文上传到存储服务器。结合第三方面，在第三方面的第一种可能的实现方式中，所述加密上传单元具体用于：根据所述搜索方的身份信息和所述系统参数计算出加密所述关键词的公钥，并根据所述计算出的公钥加密所述关键词。结合第三方面或者第三面的第一种可能的实现方式，在第三方面的第二种可能的实现方式中，本文档来自技高网...

【技术保护点】
一种可搜索加密方法，其特征在于，所述方法包括：获取搜索方的身份信息以及密钥管理中心的系统参数，所述搜索方的身份信息包括单个搜索者的身份信息或者多个搜索者所在的群组的身份信息；根据所述搜索方的身份信息以及所述系统参数对关键词进行加密，并将加密后的关键词密文上传到存储服务器；所述根据所述搜索方的身份信息以及所述系统参数对关键词进行加密，包括：根据所述搜索方的身份信息和所述系统参数计算出加密所述关键词的公钥，并根据所述计算出的公钥加密所述关键词。

【技术特征摘要】
1.一种可搜索加密方法，其特征在于，所述方法包括：获取搜索方的身份信息以及密钥管理中心的系统参数，所述搜索方的身份信息包括单个搜索者的身份信息或者多个搜索者所在的群组的身份信息；根据所述搜索方的身份信息以及所述系统参数对关键词进行加密，并将加密后的关键词密文上传到存储服务器；所述根据所述搜索方的身份信息以及所述系统参数对关键词进行加密，包括：根据所述搜索方的身份信息和所述系统参数计算出加密所述关键词的公钥，并根据所述计算出的公钥加密所述关键词。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：根据所述搜索方的身份信息和所述系统参数加密明文数据，并将加密后的明文数据的密文上传到所述存储服务器。3.根据权利要求2所述的方法，其特征在于，所述根据所述搜索方的身份和所述系统参数加密明文数据，包括：根据所述搜索方的身份信息和所述系统参数计算出加密所述明文数据的公钥，并根据所述计算出的公钥加密所述明文数据。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：根据所述搜索方的属性加密明文数据，并将加密后的明文数据的密文上传到所述存储服务器。5.一种基于身份的可搜索加密方法，其特征在于，所述方法包括：根据搜索方的身份信息从密钥管理中心获取查询密钥，所述搜索方的身份信息包括单个搜索者的身份信息或者多个搜索者所在的群组的身份信息；根据关键词和所述获取的查询密钥生成查询令牌，通过所述查询令牌从存储服务器中查询加密后的关键词密文；所述通过所述查询令牌从存储服务器中查询加密后的关键词密文，包括：通过所述查询令牌从存储服务器中查询包含加密后的关键词的文件。6.根据权利要求5所述的方法，其特征在于，所述根据关键词和所述获取的查询密钥生成查询令牌，包括：当根据搜索方所在群的身份从密钥管理中心获取查询密钥时，所述搜索方向所述搜索方所在群递交关键词，所述搜索方所在群检查所述搜索方是否是群内的成员，若是，则所述搜索方所在群根据所述关键词和所述查询密钥生成查询令牌，并将所述查询令牌返回到所述搜索方。7.根据权利要求5所述的方法，其特征在于，所述通过所述查询令牌从存储服务器中查询加密后的关键词密文，包括：接收所述存储服务器返回的根据公钥加密的明文数据的密文。8.根据权利要求7所述的方法，其特征在于，所述方法在步骤接收所述存储服务器返回的根据公钥加密的明文数据的密文之后，还包括：根据所述查询密钥，对所述根据公钥加密的明文数据的密文进行解密，获得解密后的明文数据。9.根据权利要求5至8任意一项所述的方法所述的方法，其特征在于，所述方法，还包括：根据预先设置的搜索方属性从所述密钥管理中心获取所述属性对应的数据解密密钥。10.根据权利要求9所述的方法，其特征在于，所述通过所述查询令牌从存储服务器中查询加密后的关键词密文，包括：接收所述存储服务器返回的根据所述预先设置的搜索方属性加密的明文数据的密文。11.根据权利要求10所述的方法，其特征在于，所述方法在步骤接收所述存储服务器返回的根据所述预先设置的搜索方属性加密的明文数据的密文之后，还包括：根据所述数据解密密钥，对所述存储服务器返回的根据所述预先设置的搜索方属性加密的明文数据的密文进行解密，获得...

【专利技术属性】
技术研发人员：高云超，邹继富，董秋香，关志，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44