一种支持云存储的可搜索加密方法及系统技术方案

本发明专利技术提供了一种支持云存储的可搜索加密方法及系统，该方法包括客户端、透明加密区和云端，所述客户端为用户使用的空间，用以用户向透明加密区发送处理文档请求，所述处理文档请求包括新文档生成请求、修改文档请求、删除文档请求、浏览文档请求、检索文档请求；所述透明加密区，用以根据客户端发送的创建文档请求生成密文索引和文档权限信息，并将文档进行分片，然后对每个分片进行加密处理；根据客户端发送的修改及删除文档请求，进行文档检索，经过密文检索和权限信息过滤出要处理的文档，更新密文索引和权限信息；所述云端，用以存储经分片加密的文档，通过密文索引进行关联。

A Searchable Encryption Method and System Supporting Cloud Storage

【技术实现步骤摘要】
一种支持云存储的可搜索加密方法及系统
本专利技术属于计算机信息安全领域，具体涉及一种支持云存储的可搜索加密方法及系统。
技术介绍
随着信息技术的发展，计算机变成了工作和生活的必须，随之产生了大量的电子文档。网络技术特别是互联网的快速发展，使得电子文档被泄密或盗取的可能性大大增加。特别是对于机密部门的机密资料和企业公司的核心技术等更容易通过信息技术的通道泄密。另一方面，随着电子文档数量的剧增，随之带来数据存储成本增加，云存储是有效的解决方法。企业通过云存储提供商提供的服务，把企业的数据放到云存储空间上。此外，云存储为移动办公和应用提供数据共享机制，企业和个人可以把需要共享的数据进行云存储，进而为异地和移动访问提供支持。作为第三方平台，云存储是不可信的存储服务，数据的安全性可能无法得到保证。恶意的第三方或者系统管理员都会窃听或者获得敏感数据，访问控制的漏洞会导致数据泄密，物理存储设备的被盗或者丢失也会带来数据泄密。解决电子文档泄密的主要方法是对电子文档进行加密存储，只有合法的用户才能够进行解密访问。但对电子文档的加密带来如下两个问题。1)数据加密虽然防止了非法用户获取敏感信息，但也妨碍了合法用户有效存取数据，为了有效查询和数据，数据拥有者必须把加密数据解密后才能使用，在云端端解密将带来数据泄密问题。把数据下载到客户端再解密无法适用于大数据的应用场景，这会带来巨大的网络负担以及无法容忍的使用效率问题。为了能够有效在云端上检索数据，需要研究支持在密文状态下进行搜索的技术，或者云环境下的可搜索加密技术。2)在云端上经过密文搜索查询到合适的数据或者文档后，需要把密文文档下载到客户端后，再进行读取、修改和重新加密操作。基于方便性，整个加密和解密过程应该对用户是透明的，即用户不必关心密钥管理、加密和解密的这些操作，就像操作明文一样。对处理的文档，只有在用户使用过程中是明文，一旦脱离了处理环境，文档即处于密文状态，即使存储介质丢失或者文档被窃，非法用户都不能获取敏感数据，即需要透明加解密技术，特别是在云存储环境下的透明加密方法。已经有不少的可搜索加密和透明加密方面的知识产权发布，但目前还没有发现同时支持可搜索加密和透明加密的技术。
技术实现思路
本专利技术所要解决的技术问题是：提供支持云存储的可搜透明加密技术及其使用方法，本专利技术将可搜索加密和透明加密技术有机地结合起来，在不解密电子文档的情况下能有效地进行密文的检索，然后用户可以透明地编辑和修改或者删除。在第一方面，本专利技术提供了一种支持云存储的可搜索加密系统，该系统包括：客户端、透明加密区和云端，所述客户端为用户使用的空间，用以用户向透明加密区发送处理文档请求，所述处理文档请求包括新文档生成请求、修改文档请求、删除文档请求、浏览文档请求、检索文档请求；所述透明加密区，用以根据客户端发送的创建文档请求生成密文索引和文档权限信息，并将文档进行分片，然后对每个分片进行加密处理；根据客户端发送的修改及删除文档请求，进行文档检索，经过密文检索和权限信息过滤出要处理的文档，更新密文索引和权限信息；所述云端，用以存储经分片加密的文档，通过密文索引进行关联。进一步地，所述客户端包括：文档预处理模块，用以将电子文档格式转换及分词，该模块运行在客户端的计算机上，当用户对新文档进行保存或者修改文档进行更新时，首先把任意格式的电子文档转换成TXT文本文件，然后进行分词，得到索引词典。更进一步地，所述透明加密区包括：密文索引生成模块，用以生成电子文档的密文索引，该模块把文档预处理后获得的索引词典，利用属性加密的方式生成密文索引，索引地址指向文档的第一个分片的云端地址。文档分片加密模块，用以对电子文档进行分片加密，云端对电子文档自动切割成多个分片，每个分片上保存上下分片的Hash地址和自身的密钥，加密后通过云端存储。文档搜索模块，根据查询关键词进行密文搜索，获取匹配的电子文档，首先把用户输入的查询关键词使用属性加密方法加密成陷门，再利用陷门和密文索引去匹配密文文档，获取包含查询关键词的密文文档。透明加密驱动模块，用于在客户端和云端之间形成一个安全的动态文档处理空间，以便合法用户可以透明地编辑修改文档。文档权限管理模块，生成并加密文档权限信息，同时可查询用户对某个文档的权限信息；新文档生成时根据文档的属性信息和用户信息生成文档权限，然后把权限信息进行属性加密，加密后插入到权限信息表中；文档更新或删除时，同时更新文档权限信息表和密文所有；当用户进行文档处理时，需要根据用户的身份信息在文档权限表中查询用户是否有相应的权限，透明过滤掉用户没有权限的文档信息。进一步地，所述文档权限信息根据用户身份和文档基本属性信息生成，然后利用属性加密技术对所述文档权限信息进行加密，然后把加密后的文档权限信息插入到文档权限信息表中。进一步地，所述密文索引的构造方法如下：把文档转换成TXT文本格式，对转换后文本信息进行分词，构建索引词典，对索引字典建立密文索引，即进行属性加密，属性为所有的权限信息；然后对文档进行分片，分片字节的大小是1024的倍数，分片大小由使用者决定；选择任意加密算法对每个分片进行加密，每个分片包含两个Hash值，第一个Hash值指向前一个分片，第二个Hash值指向后一个分片，第一个分片的第一个Hash值同时存储在密文索引中该文档的地址，最后一个分片的Hash值为空；再把每一个加密分片在云端进行存储。进一步地，所述文档权限表包含如下字段：文档ID,文档所属的用户ID,查询权限，删除权限，修改权限，文档其他属性；其中，查询权限，删除权限，修改权限由两部分组成，第一部分为布尔型：是或否，是表示可以执行相应的操作，否表示不能执行相应操作，如果第一部分为是，则第二部分有意义，否则忽略第二部分；第二部分为可执行该操作的用户列表，格式为{用户ID1,用户ID2,…，用户IDm}；文档其他属性格式如下：{文档名称，文档修改者ID列表,文档生成日期,文档格式,文档标题,文档修改日期,文档大小(Byte),文档安全等级}，其中文档安全等级为数字值，其他为文本。在第二方面，本专利技术提供了一种支持云存储的可搜索加密方法，该方法包括：A1)客户端创建新文档时，由透明加密区生成文档权限信息、密文索引并进行分片加密，并通过云端对加密的分片进行云存储；A2)客户端存储文档时，由透明加密区根据用户输入的关键词进行密文检索；A3)客户端存储的文档进行修改、浏览和删除处理时，由透明加密区依据权限信息进行相应处理。进一步地，所述步骤A1)具体包括：A101)根据文档属性信息，包括文档ID、文档名称、文档生成者、文档修改者列表、文档生成日期、文档格式、文档标题、文档修改日期、文档大小、文档修改权限、文档删除权限、文档查询权限、文档安全等级；当前操作用户的身份信息，一起组成文档权限信息，其中文档ID、文档名称、文档生成者、文档修改权限、文档删除权限、文档查询权限、文档安全等级单独列出，其它信息串接在一起；A102)以用户属性为密钥对文档权限信息进行属性加密；A103)把加密后的文档权限信息插入到文档权限信息表中；A104)把文档转换成TXT文本格式；如果是文档修改，则指转换修改部分的文本；A105)对转换后文本信息进行分词，构建索引词典；A106本文档来自技高网...

【技术保护点】
1.一种支持云存储的可搜索加密系统，其特征在于，包括客户端、透明加密区和云端，所述客户端为用户使用的空间，用以用户向透明加密区发送处理文档请求，所述处理文档请求包括新文档生成请求、修改文档请求、删除文档请求、浏览文档请求、检索文档请求；所述透明加密区，用以根据客户端发送的创建文档请求生成密文索引和文档权限信息，并将文档进行分片，然后对每个分片进行加密处理；根据客户端发送的修改及删除文档请求，进行文档检索，经过密文检索和权限信息过滤出要处理的文档，更新密文索引和权限信息；所述云端，用以存储经分片加密的文档，通过密文索引进行关联。

【技术特征摘要】
1.一种支持云存储的可搜索加密系统，其特征在于，包括客户端、透明加密区和云端，所述客户端为用户使用的空间，用以用户向透明加密区发送处理文档请求，所述处理文档请求包括新文档生成请求、修改文档请求、删除文档请求、浏览文档请求、检索文档请求；所述透明加密区，用以根据客户端发送的创建文档请求生成密文索引和文档权限信息，并将文档进行分片，然后对每个分片进行加密处理；根据客户端发送的修改及删除文档请求，进行文档检索，经过密文检索和权限信息过滤出要处理的文档，更新密文索引和权限信息；所述云端，用以存储经分片加密的文档，通过密文索引进行关联。2.根据权利要求1所述的一种支持云存储的可搜索加密系统，其特征在于，所述客户端包括：文档预处理模块，用以将电子文档格式转换及分词，该模块运行在客户端的计算机上，当用户对新文档进行保存或者修改文档进行更新时，首先把任意格式的电子文档转换成TXT文本文件，然后进行分词，得到索引词典。3.根据权利要求2所述的一种支持云存储的可搜索加密系统，其特征在于，所述透明加密区包括：密文索引生成模块，用以生成电子文档的密文索引，该模块把文档预处理后获得的索引词典，利用属性加密的方式生成密文索引，索引地址指向文档的第一个分片的云端地址；文档分片加密模块，用以对电子文档进行分片加密，云端对电子文档自动切割成多个分片，每个分片上保存上下分片的Hash地址和自身的密钥，加密后通过云端存储；文档搜索模块，根据查询关键词进行密文搜索，获取匹配的电子文档，首先把用户输入的查询关键词使用属性加密方法加密成陷门，再利用陷门和密文索引去匹配密文文档，获取包含查询关键词的密文文档；透明加密驱动模块，用于在客户端和云端之间形成一个安全的动态文档处理空间，以便合法用户可以透明地编辑修改文档；文档权限管理模块，生成并加密文档权限信息，同时可查询用户对某个文档的权限信息；新文档生成时根据文档的属性信息和用户信息生成文档权限，然后把权限信息进行属性加密，加密后插入到权限信息表中；文档更新或删除时，同时更新文档权限信息表和密文所有；当用户进行文档处理时，根据用户的身份信息在文档权限表中查询用户是否有相应的权限，透明过滤掉用户没有权限的文档信息。4.根据权利要求1所述的一种支持云存储的可搜索加密系统，其特征在于，所述文档权限信息根据用户身份和文档基本属性信息生成，然后利用属性加密技术对所述文档权限信息进行加密，然后把加密后的文档权限信息插入到文档权限信息表中。5.根据权利要求1所述的一种支持云存储的可搜索加密系统，其特征在于，所述密文索引的构造方法如下：把文档转换成TXT文本格式，对转换后文本信息进行分词，构建索引词典，对索引字典建立密文索引，即进行属性加密，属性为所有的权限信息；然后对文档进行分片，分片字节的大小是1024的倍数，分片大小由使用者决定；选择任意加密算法对每个分片进行加密，每个分片包含两个Hash值，第一个Hash值指向前一个分片，第二个Hash值指向后一个分片，第一个分片的第一个Hash值同时存储在密文索引中该文档的地址，最后一个分片的Hash值为空；再把每一个加密分片在云端进行存储。6.根据权利要求1所述的一种支持云存储的可搜索加密系统，其特征在于，所述文档权限表包含如下字段：文档ID,文档所属的用户ID,查询权限，删除权限，修改权限，文档其他属性；其中，查询权限，删除权限，修改权限由两部分组成，第一部分为布尔型：是或否，是表示可以执行相应的操作，否表示不能执行相应操作，如果第一部分为是，则第二部分有意义，否则忽略第二部分；第二部分为可执行该操作的用户列表，格式为{用户ID1,用户ID2,…，用户IDm}；文档其他属性格式如下：{文档名称，文档修改者ID列表,文档生成日期,...

【专利技术属性】
技术研发人员：路松峰，
申请(专利权)人：深圳华中科技大学研究院，
类型：发明
国别省市：广东,44