基于联盟链的对称可搜索加密系统及方法技术方案

本发明专利技术提供了一种基于联盟链的对称可搜索加密系统及方法，系统包括数据拥有者DO、数据使用者DU、联盟链CB和云存储服务提供端CSSP；所述数据拥有者，提供密文集合、加密索引、密钥信封以及构建密钥信封的访问策略；所述数据使用者，发起搜索申请、生成搜索陷门、接收并解密密文集合；所述联盟链，构建并公开关键词查询表、构建用户注册表、DO公私钥对的生成、DO密钥信封的存储、DU身份的验证、密钥信封的访问智能合约的部署和执行；所述云存储服务端，存储密文集合和加密索引，构建倒排索引。本发明专利技术通过联盟链作为可信第三方进行对称密钥的存储和分发、公私钥的生成和分发，更安全可靠地解决了DO的对称密钥如何传递的问题。靠地解决了DO的对称密钥如何传递的问题。靠地解决了DO的对称密钥如何传递的问题。

【技术实现步骤摘要】
基于联盟链的对称可搜索加密系统及方法


[0001]本专利技术属于信息安全
，具体涉及一种基于联盟链的对称可搜索加密系统及方法。

技术介绍

[0002]在数据爆炸的当今社会，数据本地化存储已经不能满足业务需求，越来越多的数据需要在多个用户之间共享。此时，数据拥有者为节约自身的资源开销，经常选择将数据上传至云服务器。但是，如果直接将明文数据上传给云服务器，云服务器可能因为好奇而偷窥用户数据；更坏情况是云服务器或者黑客为谋取利益而主动泄露用户数据。因此，用户数据的安全性和隐私性难以得到保证。
[0003]为解决上述问题，现有的云存储服务中，数据拥有者在上传数据时一般都是用密文的方式实现。但随着存储加密文件的增多，如何在大量密文中搜索出想要的文件逐渐变得困难。可搜索加密就是为了实现在密文中进行指定文件检索而诞生的。可搜索加密技术是一种支持在加密数据中执行关键词匹配检索的技术，它既保护了用户的敏感数据，同时也给予用户精确搜索加密数据的能力。
[0004]依据使用的密钥体系，可搜索加密可以分为对称可搜索加密和非对称可搜索加密。对称可搜索加密因其计算开销小、加解密速度快，它在实际应用中更受青睐。特别是将对称可搜索加密与云存储结合后，可以很好的解决数据的安全存储和共享问题。但是，在采用对称可搜索解密结合云存储的方案中，如果方案中有多个数据使用者，一个关键问题就是如何在多个用户之间方便、安全地分发对称密钥。
[0005]基于公钥理论体系的PKI方案可以实现密钥的安全分发，但大多数方案都依赖可信密钥生成中心(KGC)来为用户分配相应的密钥。这些方案中存在的问题是如何找到双方都完全信赖的KGC来实现密钥分发的功能，并且中心化的KGC存在着单点故障、容错率不高的问题，所以需要寻找一个更可靠更合适的第三方来替代KGC。

技术实现思路

[0006]有鉴于上述现状，本专利技术提供了一种基于联盟链的对称可搜索加密系统及方法，以解决现有技术存在的问题。
[0007]本专利技术的目的通过以下技术方案实现：
[0008]本专利技术提供一种基于联盟链的对称可搜索加密系统，由数据拥有者(Data Owner，DO)、数据使用者(Data User，DU)、联盟链(Consortium Blockchain，CB)和云存储服务提供者(Cloud Store Service Provider，CSSP)四方构成。
[0009]所述数据拥有者，提供密文集合、加密索引、密钥信封以及构建密钥信封的访问策略；
[0010]所述数据使用者，发起搜索申请、生成搜索陷门、接收并解密密文集合；
[0011]所述联盟链，构建并公开关键词查询表、构建用户注册表、DO公私钥对的生成、DO
密钥信封的存储、DU身份的验证、密钥信封的访问智能合约的部署和执行；
[0012]所述云存储服务端，存储密文集合和加密索引，构建倒排索引。
[0013]优选的，所述DO是数据提供者和数据属主，主要功能包括提供密文集合、加密索引、密钥信封以及构建密钥信封的访问策略，具体如下：
[0014](1)DO在CB注册，得到由CB生成的代表身份的公私钥；
[0015](2)在本地生成用于对称加密的对称密钥；
[0016](3)利用TF
‑
IDF算法提取待上传的明文集合的关键词并构建关键词列表，与待上传明文集合组合构建索引列表；
[0017](4)利用对称密钥加密待上传明文集合和所构建的索引列表，得到密文集合和加密索引；
[0018](5)将密文集合和加密索引信息上传至CSSP；
[0019](6)利用自己的公钥将对称密钥进行加密，加密后的对称密钥(简称密钥信封)上传至CB中保存；
[0020](7)将关键词列表发送至CB；
[0021](8)设置密钥信封的访问策略，并基于这个策略设计相应的智能合约，部署在CB上运行。
[0022]优选的，所述DU是数据的使用者，主要操作包括发起搜索申请、生成搜索陷门、接收并解密密文集合等，具体如下：
[0023](1)在CB公开的查询表中上查询感兴趣的关键词及该关键词提供者DO的身份；
[0024](2)向CB发出搜索申请，发送自己的身份标识以申请指定DO的密钥信封和私钥，智能合约验证通过后，CB返回指定DO的密钥信封及私钥；
[0025](3)利用DO的私钥解密其密钥信封，得到DO的对称密钥；
[0026](4)利用DO的对称密钥将想要检索的关键词转换成搜索陷门发送并至CSSP；
[0027](5)DU接收CSSP返回的检索结果，即感兴趣关键词对应的密文集合，利用DO的对称密钥对收到的密文集合进行解密，得到明文集合。
[0028]优选的，所述联盟链是完全可信的第三方，主要功能包括构建并公开关键词查询表、构建用户注册表、DO公私钥对的生成、DO密钥信封的存储、DU身份的验证、密钥信封的访问智能合约的部署和执行等，具体功能如下：
[0029](1)提供DO的公私钥生成服务；
[0030](2)在区块链上存储DO的密钥信封；
[0031](3)构建并公开明文关键词查询表，构建用户注册表；
[0032](4)提供DO密钥信封和明文关键字查询服务；
[0033](5)部署和执行DO的密钥信封访问控制智能合约。
[0034]优选的，所述云存储服务端是半诚实可信的存储服务提供者，包括存储密文集合和加密索引，构建倒排索引，具体功能如下：
[0035](1)存储DO的密文集合和加密索引；
[0036](2)根据DO上传的密文集合和加密索引，构建倒排索引表；
[0037](3)在收到DU的搜索陷门后，在倒排索引表中执行匹配算法，将最相关的前k个密文组合成密文集合返回给DU。
[0038]本专利技术还提供了一种基于上述联盟链的对称可搜索加密系统的方法，具体步骤如下：
[0039]S1、初始化阶段。由CB生成全局的系统参数。DO会向CB注册，CB为其生成对应的公私钥对并把公钥发送给DO；DO在本地根据对称加密算法生成对称密钥；DO构建访问策略表。
[0040]S2、数据加密和存储阶段。(1)DO在明文集合中提取关键词并构建关键词列表，同时计算每个关键词相应的权重，与明文集合组合构建索引列表；(2)DO用S1中生成的对称密钥加密明文集合和索引列表，将得到的密文集合和加密索引上传至CSSP。CSSP会根据密文集合和加密索引构建倒排索引表；(3)DO用自己的公钥加密对称密钥得到密钥信封，然后将密钥信封和明文关键词列表、访问策略表上传至CB中。CB依据接收的明文关键词列表和发送者DO构建关键词查询表；
[0041]S3、对称密钥获取阶段。(1)DU查询CB的关键词列表，找到感兴趣的关键词及提供关键词的DO；(2)DU向CB发送自己的身份标识以申请访问指定DO的密钥信封和私钥；(3)智能合约收到DU的身份标识后进行本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于联盟链的对称可搜索加密系统，其特征是包括数据拥有者DO、数据使用者DU、联盟链CB和云存储服务提供端CSSP；所述数据拥有者，提供密文集合、加密索引、密钥信封以及构建密钥信封的访问策略；所述数据使用者，发起搜索申请、生成搜索陷门、接收并解密密文集合；所述联盟链，构建并公开关键词查询表、构建用户注册表、DO公私钥对的生成、DO密钥信封的存储、DU身份的验证、密钥信封的访问智能合约的部署和执行；所述云存储服务端，存储密文集合和加密索引，构建倒排索引。2.如权利要求1所述基于联盟链的对称可搜索加密系统，其特征是，所述的数据拥有者，具体如下：(1)DO在CB注册，得到由CB生成的代表身份的公私钥；(2)在本地生成用于对称加密的对称密钥；(3)利用TF
‑
IDF算法提取待上传的明文集合的关键词并构建关键词列表，与待上传明文集合组合构建索引列表；(4)利用对称密钥加密待上传明文集合和所构建的索引列表，得到密文集合和加密索引；(5)将密文集合和加密索引信息上传至CSSP；(6)利用自己的公钥将对称密钥进行加密，加密后的对称密钥即密钥信封上传至CB中保存；(7)将关键词列表发送至CB；(8)设置密钥信封的访问策略，并基于这个策略设计相应的智能合约，部署在CB上运行。3.如权利要求1所述基于联盟链的对称可搜索加密系统，其特征是，所述的数据使用者，具体如下：(1)在CB公开的查询表中上查询感兴趣的关键词及该关键词提供者DO的身份；(2)向CB发出搜索申请，发送自己的身份标识以申请指定DO的密钥信封和私钥，智能合约验证通过后，CB返回指定DO的密钥信封及私钥；(3)利用DO的私钥解密其密钥信封，得到DO的对称密钥；(4)利用DO的对称密钥将想要检索的关键词转换成搜索陷门发送并至CSSP；(5)DU接收CSSP返回的检索结果，即感兴趣关键词对应的密文集合，利用DO的对称密钥对收到的密文集合进行解密，得到明文集合。4.如权利要求1所述基于联盟链的对称可搜索加密系统，其特征是，所述的联盟链，具体如下：(1)提供DO的公私钥生成服务；(2)在区块链上存储DO的密钥信封；(3)构建并公开明文关键词查询表，构建用户注册表；(4)提供DO密钥信封和明文关键字查询服务；(5)部署和执行DO的密钥信封访问控制智能合约。5.如权利要求1
‑
4任一项所述基于联盟链的对称可搜索加密系统，其特征是，所述的云存储服务端，具体如下：
(1)存储DO的密文集合和加密索引；(2)根据DO上传的密文集合和加密索引，构建倒排索引表；(3)在收到DU的搜索陷门后，在倒排索引表中执行匹配算法，将最相关的前k个密文组合成密文集合返回给DU。6.一种基于权利要求1
‑
5任一项所述对称可搜索加密系统的方法，其特征是按步骤如下：S1、由CB生成全局的系统参数；DO向CB注册，CB为其生成对应的公私钥对并把公钥发送给DO；DO在本地根据对称加密算法生成对称密钥；DO构建访问策略表；S2、(1)DO在明文集合中提取关键词并构建关键词列表，同时计算每个关键词相应的权重，与明文集合组合构建索引列表；(2)DO用步骤S1中生成的对称密钥加密明文集合和索引列表，将得到的密文集合和加密索引上传至CSSP；CSSP根据密文集合和加密索引构建倒排索引表；(3)DO用自己的公钥加密对称密钥得到密钥信封，然后将密钥信封和明文关键词列表、访问策略表上传至CB；CB依据接收的明文关键词列表和DO构建关键词查询表；S3、(1)DU查询CB的关键词列表，找到感兴趣的关键词及提供关键词的DO；(2)DU向CB发送自己的身份标识以申请访问指定DO的密钥信封和私钥；(3)智能合约收到DU的身份标识后进行验证，验证通过CB返回给DU对应DO的私钥和密钥信封；(4)DU利用DO的私钥解密其密钥信封后得到对称密钥；S4、(1)DU利用对称密钥和感兴趣的关键词生成搜索陷门，发送给CSSP；(2)CSSP执行匹配操作，在倒排索引表进行匹配，将匹配到最相关的前k个密文以密文集合的形式返回给DU；S5、DU在接收到CSSP的密文集合后，用对称密钥解密得到明文集合，完成数据的安全共享。7.如权利要求6所述的方法，其特征是，S1中具体如下：S11、初始化时，CB随机选取不相同的大素数p,q，并计算N＝p
·
q以及并计算出相应的欧拉函数当收到DO的...

【专利技术属性】
技术研发人员：马锐健，王明阳，姚英彪，梁军学，刘涛，徐欣，滕威，王军良，汪波，
申请(专利权)人：中国人民解放军九三二一六部队，
类型：发明
国别省市：