[发明专利]一种支持代理重加密的基于属性的密文检索系统及方法

说明书

本发明公开了一种支持代理重加密的基于属性的密文检索系统及方法，该方法在云环境下同时实现了用户安全地检索和搜索权限的有效共享两个功能。该方法采用的基于LSSS线性秘密共享矩阵访问结构，不仅支持细粒度的描述访问用户的属性，而且具有较高的计算效率。在门限生成阶段使用随机值盲化用户密钥后提交到云服务器，保证了用户密钥的保密性和安全性。另一方面考虑实际应用中授权用户不在线时搜索权利的委托问题，引入了代理重加密技术由云服务器实现对密文进行转换，减轻了数据属主的加密解密压力，大大提高了系统效率。

技术领域

本发明涉及一种支持代理重加密的基于属性的密文检索系统及方法，属于云计算技术领域。

背景技术

云计算是信息技术领域的一个新兴课题，是并行计算、分布式计算和网格计算的进一步发展。云存储是云计算的一个重要服务，它允许数据所有者存储他们的数据在云上，云服务器提供全天候的数据访问给用户。普通用户只需要一个终端、一个智能手机或平板电脑连接到互联网，就可以随时随地的访问云服务器中的数据。对于企业用户，特别是资金受限的中小企业，云计算使得他们不必购买费用很大的硬件平台，就能获得灵活的按需服务，从而减少成本。虽然云服务带来了这么多的好处，但是与之而来的还有许多安全问题，毕竟数据上传到云端还是剥夺了数据所有者直接控制隐私数据的权利。为了缓解这些担忧，数据所有者需要在他们的数据存储到云服务器之前对数据进行加密。但是，加密会影响数据和文件的共享。例如，用户不能在云服务器中搜索到加密的数据。但是在网络迅猛发展、信息爆炸的今天，人们需要快速查询到所要的信息。由此可见，如何快速高效的查找到用户所感兴趣的数据，是云计算环境下必不可少的功能。

于是可搜索加密被提出，它实现了对密文的检索，特别适用于云计算环境。随着云计算的快速发展,使得用户可以以低廉的价格使用云服务器的大量存储和计算的能力，这使得公钥可搜索加密变得更加流行。尽管目前现存的公钥可搜索加密可以安全有效地完成搜索操作，然而为了实现对搜索者的控制，以及一对多的通信模式。2013年，Kulvaibhavh等人构造了基于CP-ABE可搜索加密的方案(ABKS)，该方案数据属主利用访问结构加密关键词，当用户想要进行密文搜索时，根据自身属性生成密钥，加密待检索的关键字生成关键字门限Trap，将Trap传递给服务器。服务器先判断用户密钥属性是否满足密文的访问结构，当属性满足时才能进行关键词验证，只有属性和关键字同时匹配的情况下，服务器才将包含该搜索门限的密文返回给用户。其中，ABE是指基于属性的加密，基于属性的加密方案分为两种，密钥策略的基于属性加密(Key-Policy ABE,KP-ABE)和密文策略的基于属性加密(Ciphertext-PolicyABE,CP-ABE)。在KP-ABE中，密钥跟访问策略相关，密文跟属性集相关，加密者只能为数据选择描述性的属性，不能决定谁可以解密密文，只能相信密钥发布者；CP-ABE中属性用来描述用户的私钥，加密者可以使用访问策略来决定可以访问加密数据，但加密者并不知道具体谁可以访问密文。所以CP-ABE的部署方式与传统的访问控制模型更加接近，能够很好的适用于云计算环境中对敏感数据的保护，同时可以实现对访问策略更灵活的控制。

然而，ABKS方案在数据共享时存在一些局限性，比如授权用户不在线时无法将搜索权利委托给其他用户的需求。一个有效的方法就是引入代理重加密(Proxy Re-encryption,PRE)技术，设置一个在线的半可信的代理，代替授权者完成密文的转换，重要的是代理服务器不知道关于明文的任何信息，从而有效地实现了搜索权利的共享。但是目前现有的方案中，并没有实现将ABKS和PRE很好的结合，也未能实现同时满足用户安全检索与搜索权利授予其他用户的需求。

发明内容

为克服云计算环境中基于属性的可搜索加密方案中，不能有效实现搜索权限的授予问题，本发明提供一种在云计算中支持代理重加密的基于属性的密文检索系统及方法。本发明使用LSSS的访问结构加密密文，实现了数据拥有者对搜索者属性细粒度的描述，灵活地控制了访问权限，提高了系统效率。

本发明为解决上述技术问题采用以下技术方案：