一种基于属性的通配符可搜索加密方法及系统

技术领域

本发明涉及数据安全技术领域，更具体地说，涉及一种基于属性的通配符可搜索加密方法及系统。

背景技术

云存储作为一种全新的信息存储技术，因其存储容量大、价格低廉等优点，越来越多的用户将数据存储在云端。用户在享受云存储带来的便捷服务的同时，也承担着数据的安全风险，现有的通配符可搜索加密系统在使用的过程中，容易由于数据拥有者无法对其数据进行访问控制，导致未授权的用户访问和泄露数据，降低数据的安全性，基于此，本发明设计了基于属性的通配符可搜索加密方法及系统，以解决上述问题。

发明内容

1.要解决的技术问题

本发明的目的在于提供一种基于属性的通配符可搜索加密方法，以解决上述背景技术中提出的问题。

2.技术方案

一种基于属性的通配符可搜索加密方法，包括以下步骤：

S1，属性管理，数据所有者为数据指定一组属性，并为每个属性生成相应的属性密钥；

S2，加密过程，数据所有者使用属性基加密技术，对数据进行加密，并将属性密钥与服务器共享，以便在搜索过程中允许授权用户进行解密操作；

S3，存储和索引，加密后的数据以及相关属性信息被上传到服务器上的数据存储区；

S4，搜索过程，用户通过搜索模块搜索服务器中的存储数据；

S5，解密过程，一旦找到匹配的加密数据项，服务器使用属性基加密中的解密算法，结合用户提供的私有属性密钥，对加密数据进行解密。

优选地，所述S2包括以下步骤；

S2-1，数据加密：数据所有者使用属性基加密技术，将数据“D”加密为密文“C”；

S2-2，属性加密：数据所有者将属性密钥“A”和属性密钥“B”与服务器共享。

优选地，所述S4包括以下步骤：

S4-1，搜索请求，用户发送一个加密的搜索请求给服务器，从而搜索与其属性匹配的数据；

S4-2，属性通配符：用户可以使用属性通配符来实现模糊搜索，而不需要提供精确的属性值；

S4-3，搜索模块解析，服务器的搜索模块负责解析用户的搜索请求，并使用可搜索加密技术来搜索匹配的数据项。

一种基于属性的通配符可搜索加密系统，包括：

属性管理模块，所述属性管理模块用于管理数据的属性信息，并为每个属性生成相应的属性密钥；

加密模块，所述加密模块用于对数据进行加密，并根据数据的属性，使用相应的属性密钥进行加密操作，所述加密模块与属性管理模块相连接；

搜索模块，所述搜索模块用于处理用户的搜索请求，包括属性通配符的解析和搜索过程，所述搜索模块与服务器相连接；

访问控制模块，所述访问控制模块用于管理用户的访问权限，包括属性密钥的颁发和撤销；

解密模块，所述解密模块用于在经过授权的情况下，负责对加密数据进行解密，所述解密模块与服务器和访问控制模块相连接；

用户界面模块，所述用户界面模块用于为用户提供交互界面。

优选的，所述加密模块包括：

数据加密模块，所述数据加密模块用于将原始数据进行加密，并生成对应的密文；

属性关联模块，所述属性关联模块用于将加密后的数据与其相关属性进行关联，所述属性关联模块与数据加密模块相连接；

密钥生成模块，所述密钥生成模块用于生成属性的密钥对；

密钥管理模块，所述密钥管理模块用于管理属性密钥和加密过程中的对称密钥，所述密钥管理模块与密钥生成模块和数据加密模块相连接；

算法优化模块，所述算法优化模块用于优化加密效率，从而高效的执行加密操作。

优选的，所述搜索模块包括：

请求解析模块，所述请求解析模块用于解析用户发送的加密搜索请求，所述请求解析模块与服务器相连接；

处理模块，所述处理模块用于根据通配符的规则来匹配属性，从而便于用户进行搜索，所述处理模块与请求解析模块相连接；

索引管理模块，所述索引管理模块用于在服务器中快速定位匹配的数据项，以减少搜索时间，所述索引管理模块与服务器相连接；

属性匹配模块，所述属性匹配模块用于将用户提供的属性和加密数据的属性进行匹配；

结果返回模块，所述结果返回模块将搜索结果返回给用户。

优选的，所述索引管理模块包括：

索引生成组件，所述索引生成组件用于生成数据的索引结构；

索引维护组件，所述索引维护组件用于在数据更新和删除时更新索引结构，所述索引维护组件与索引生成组件相连接；

索引存储组件，所述索引存储组件用于存储索引生成组件生成的索引结构，所述索引存储组件与索引生成组件相连接；

索引加密组件，所述索引加密组件用于存储索引生成组件生成的索引结构进行加密，所述索引加密组件与索引生成组件相连接；

索引搜索组件，所述索引搜索组件用于根据用户的搜索请求在索引结构中查找匹配的数据项，所述索引搜索组件与索引生成组件相连接。

优选的，所述访问控制模块包括：

身份验证模块，所述身份验证模块用于验证用户的身份，确保用户是合法的，并具有权限进行加密数据的解密和搜索；

权限控制模块，所述权限控制模块用于根据用户的身份和属性，对用户进行访问权限的控制，所述权限控制模块与身份验证模块相连接；

密钥验证模块，所述密钥验证模块用于在解密过程中，验证用户提供的私有属性密钥的有效性；

访问日志模块：访问日志模块用于记录用户的访问行为和操作，包括但不限于解密和搜索请求的时间、数据项和属性信息；

安全性模块，所述安全性模块用于提高安全性保护措施，防止未授权的访问和数据泄露。

优选的，所述权限控制模块包括：

访问管理组件，所述访问策略管理组件用于定义和管理数据的访问策略；

权限匹配组件，所述权限匹配组件用于将用户的属性与访问策略进行匹配，所述权限匹配组件与访问管理组件相连接；

访问控制组件，所述访问权限控制组件基于权限匹配的结果，对用户进行访问权限的控制，所述访问控制组件与权限匹配组件相连接；

错误处理组件，所述错误处理组件负责处理访问权限控制过程中出现的错误情况，所述错误处理组件与访问控制组件相连接。

3.有益效果

相比于现有技术，本发明的优点在于：

1）、本发明中，加密模块负责将原始数据进行加密，并将加密后的数据存储在服务器上。这样，即使第三方或未授权的用户能够访问服务器，也无法获取有意义的数据内容，保护了数据的隐私和机密性。只有拥有相应的属性密钥的授权用户才能解密数据，从而确保数据只被授权用户访问。

2）、本发明中，搜索模块能够处理属性通配符的功能，允许用户进行模糊搜索，从而使得用户可以使用通配符来扩展搜索范围，更灵活地查找数据项，提高了搜索的灵活性和适用性，并且允许在加密数据上进行高效的搜索操作，无需对所有数据进行解密，提高了搜索效率，特别是在大规模数据集下，搜索时间和资源消耗都得到了优化。

3）、本发明中，访问控制模块负责验证用户的身份和属性，确保只有具有匹配属性和权限的合法用户才能访问解密数据和执行搜索操作，从而使得只有合法的用户才能通过验证并获得访问权限，防止未授权的用户访问和泄露数据，提高数据的安全性。

附图说明

图1为本发明的流程示意图；

图2为本发明的整体系统示意图；

图3为本发明的搜索模块系统示意图；

图4为本发明的访问控制模块系统示意图。

具体实施方式

在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、 “右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”、“ 顺时针”、“逆时针”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的设备或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

在本发明的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“设置有”、“套设/接”、“连接”等，应做广义理解，例如“连接”，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

实施例1：请参阅图1，一种基于属性的通配符可搜索加密方法，包括以下步骤：

S1，属性管理，数据所有者为数据指定一组属性，并为每个属性生成相应的属性密钥，这些属性可以是数据的关键词、标签或任何其他描述性属性，同时，数据所有者可能还定义了一些属性通配符，允许用户进行模糊搜索；

S2，加密过程，数据所有者使用属性基加密技术，对数据进行加密，并将属性密钥与服务器共享，以便在搜索过程中允许授权用户进行解密操作；

S3，存储和索引，加密后的数据以及相关属性信息被上传到服务器上的数据存储区，服务器还会创建索引结构，以便在搜索时能够快速找到匹配的数据项；

S4，搜索过程，用户通过搜索模块搜索服务器中的存储数据；

S5，解密过程，一旦找到匹配的加密数据项，服务器使用属性基加密中的解密算法，结合用户提供的私有属性密钥，对加密数据进行解密，只有具有匹配属性的用户才能成功解密数据，并获取原始数据。

在本实施例中，S2包括以下步骤；

S2-1，数据加密：数据所有者使用属性基加密技术，将数据“D”加密为密文“C”，密文“C”与其对应的属性“A”和属性“B”相关联，以确保只有拥有匹配属性密钥的用户可以解密；

S2-2，属性加密：数据所有者将属性密钥“A”和属性密钥“B”与服务器共享，以便在搜索过程中允许授权用户进行解密操作。

在本实施例中，S4包括以下步骤：

S4-1，搜索请求，用户发送一个加密的搜索请求给服务器，从而搜索与其属性匹配的数据；

S4-2，属性通配符：用户可以使用属性通配符来实现模糊搜索，而不需要提供精确的属性值；

S4-3，搜索模块解析，服务器的搜索模块负责解析用户的搜索请求，并使用可搜索加密技术来搜索匹配的数据项，搜索模块必须确保用户发送的搜索请求和服务器的索引结构都保持加密状态，以保护用户的隐私。

实施例2：请参阅图2-4，一种基于属性的通配符可搜索加密系统，包括：

属性管理模块，属性管理模块用于管理数据的属性信息，并为每个属性生成相应的属性密钥，属性管理模块确保属性与其对应的属性密钥正确匹配，并进行适当的授权管理；

加密模块，加密模块用于对数据进行加密，并根据数据的属性，使用相应的属性密钥进行加密操作，加密模块与属性管理模块相连接，加密模块必须确保数据在加密状态下保持机密性，并且只有具有匹配属性的用户才能解密数据；

搜索模块，搜索模块用于处理用户的搜索请求，包括属性通配符的解析和搜索过程，搜索模块与服务器相连接，搜索模块允许用户使用属性的部分信息或通配符来搜索匹配的数据，而无需暴露所有数据，它还必须确保搜索的过程是安全的，不会泄漏关键信息；

访问控制模块，访问控制模块用于管理用户的访问权限，包括属性密钥的颁发和撤销，这个模块确保只有授权用户能够获取与其属性匹配的数据，它还负责监控用户的操作，以防止潜在的安全威胁；

解密模块，解密模块用于在经过授权的情况下，负责对加密数据进行解密，解密模块与服务器和访问控制模块相连接，解密模块必须仅向合法用户提供解密服务，并保证数据在解密过程中不会被泄漏；

用户界面模块，用户界面模块用于为用户提供交互界面，使他们能够上传加密数据、发送搜索请求和获取解密数据的结果。

作为本发明的一种较佳实施例，加密模块包括：

数据加密模块，数据加密模块用于将原始数据进行加密，并生成对应的密文，该模块使用属性基加密技术，将数据与其对应的属性值进行关联，并使用属性密钥来加密数据，确保数据的机密性；

属性关联模块，属性关联模块用于将加密后的数据与其相关属性进行关联，属性关联模块与数据加密模块相连接，属性关联确保只有具有合法属性密钥的用户能够访问相关数据；

密钥生成模块，密钥生成模块用于生成属性的密钥对，属性密钥生成的过程必须保证安全，以防止未授权的用户获取属性密钥；

密钥管理模块，密钥管理模块用于管理属性密钥和加密过程中的对称密钥，包括生成、存储、更新和安全地分发密钥，以确保密钥的安全性和有效性，密钥管理模块与密钥生成模块和数据加密模块相连接；

算法优化模块，算法优化模块用于优化加密效率，从而高效的执行加密操作。

作为本发明的一种较佳实施例，搜索模块包括：

请求解析模块，请求解析模块用于解析用户发送的加密搜索请求，请求解析模块与服务器相连接，这个模块将从请求中提取必要的信息，包括加密的搜索关键词、属性通配符等，以便后续进行搜索操作；

处理模块，处理模块用于根据通配符的规则来匹配属性，从而便于用户进行搜索，处理模块与请求解析模块相连接；

索引管理模块，索引管理模块用于在服务器中快速定位匹配的数据项，以减少搜索时间，索引管理模块与服务器相连接；

属性匹配模块，属性匹配模块用于将用户提供的属性和加密数据的属性进行匹配，这个模块用于确定用户是否有权访问与其属性匹配的数据；

结果返回模块，结果返回模块将搜索结果返回给用户，一旦找到匹配的加密数据项并解密成功，搜索模块将返回相关数据给用户。

在本实施例中，索引管理模块包括：

索引生成组件，索引生成组件用于生成数据的索引结构，在数据上传阶段，索引结构生成器将根据数据的属性值创建索引，以便在搜索时能够快速定位匹配的数据项；

索引维护组件，索引维护组件用于在数据更新和删除时更新索引结构，索引维护组件与索引生成组件相连接，当有新的数据项上传或现有数据项发生变化时，索引维护器会相应地更新索引，以保持索引结构的准确性和有效性；

索引存储组件，索引存储组件用于存储索引生成组件生成的索引结构，索引存储组件与索引生成组件相连接，索引存储组件需要具备高可靠性和高性能，以确保索引数据的安全性和可访问性；

索引加密组件，索引加密组件用于存储索引生成组件生成的索引结构进行加密，确保只有授权用户能够解密索引数据，索引加密组件与索引生成组件相连接；

索引搜索组件，索引搜索组件用于根据用户的搜索请求在索引结构中查找匹配的数据项，索引搜索组件与索引生成组件相连接，索引搜索器需要高效地执行搜索操作，以便快速返回匹配的结果。

作为本发明的一种较佳实施例，访问控制模块包括：

身份验证模块，身份验证模块用于验证用户的身份，用户需要提供相应的身份凭证，例如用户名和密码、访问令牌或数字证书，以通过身份验证；

权限控制模块，权限控制模块用于根据用户的身份和属性，对用户进行访问权限的控制，它根据系统的访问策略，判断用户是否被授予解密和搜索数据的权限，权限控制模块与身份验证模块相连接；

密钥验证模块，密钥验证模块用于在解密过程中，验证用户提供的私有属性密钥的有效性，只有当用户提供的属性密钥与加密数据的属性匹配时，才能成功解密数据；

访问日志模块：访问日志模块用于记录用户的访问行为和操作，包括但不限于解密和搜索请求的时间、数据项和属性信息；

安全性模块，安全性模块用于提高安全性保护措施，防止未授权的访问和数据泄露。

在本实施例中，权限控制模块包括：

访问管理组件，访问策略管理组件用于定义和管理数据的访问策略，这个组件可以由数据所有者或管理员进行配置，根据不同的业务需求和安全要求来定义访问规则；

权限匹配组件，权限匹配组件用于将用户的属性与访问策略进行匹配，权限匹配组件与访问管理组件相连接，当用户请求解密或搜索数据时，权限匹配组件会检查用户的属性是否与访问策略中定义的要求相符；

访问控制组件，访问权限控制组件基于权限匹配的结果，对用户进行访问权限的控制，访问控制组件与权限匹配组件相连接，如果用户的属性匹配访问策略，该组件将授予用户解密和搜索数据的权限。否则，用户将被拒绝访问；

错误处理组件，错误处理组件负责处理访问权限控制过程中出现的错误情况，错误处理组件与访问控制组件相连接，如，如果用户提供的属性不符合访问策略的要求，错误处理组件将生成相应的错误消息并向用户返回。

以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解，本发明不受上述实施例的限制，上述实施例和说明书中描述的仅为本发明的优选例，并不用来限制本发明，在不脱离本发明精神和范围的前提下，本发明还会有各种变化和改进，这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。