一种基于同态加密技术的云安全存储系统

技术领域

本发明涉及云安全存储技术领域，具体为一种基于同态加密技术的云安全存储系统。

背景技术

云存储服务是基于云计算服务衍生发展而来的，旨在为用户提供高效便捷、超大规模、价格低廉的存储服务。云存储采用虚拟化、网络、集成存储和文件系统等技术，将云环境中分散的、低效的物理存储设备整合成具有海量存储能力的存储池，并据此为用户提供按需自助存储服务。

随着云存储服务的广泛应用，云存储大安全问题也不容忽视，云数据被盗窃、篡改甚至是丢失，都会给云用户带来无法挽回的损失。用户数据的上传下载过程，都存在数据被窃听、篡改以及拒绝服务等风险。因此，设计一种基于同态加密技术的云安全存储系统是很有必要的。

发明内容

针对上述情况，为克服现有技术的缺陷，本发明提供一种基于同态加密技术的云安全存储系统，采用客户端加密至云端存储方式，规避了明文数据传输中被窃取的数据传输风险，在整个云安全存储系统中，用户的数据都是以密文形态存在，其机密性在起始阶段即已得到保障。

为实现上述目的，本发明提供如下技术方案：一种基于同态加密技术的云安全存储系统，包括用于存储数据的云存储设备，所述云存储设备设置有云认证中心、用户公钥库、检索处理模块、云数据存储中心、数据授权模块和代理重加密模块；

所述云认证中心为客户端分配密钥的同时，将用户的加密公钥转发至用户公钥库；

所述客户端将检索请求信息发送到云认证中心加密传输至检索处理模块；

所述数据授权模块用于对非申请人用户的认证，并将检索结果通过代理重加密模块加密钥转发至申请用户；

所述客户端设置有检索模块、加密模块和数据传输模块。

优选的，所述客户端与云存储设备的数据处理流程为：

1)云认证中心为客户端分配加密公钥和解密私钥，在客户端使用云存储设备时，先向云认证中心申请密钥，云认证中心为客户端分配密钥的同时，将用户的加密公钥转发至用户公钥库；

2)客户端加密，客户根据加密公钥和加密算法将数据加密后通过数据传输模块传送至云数据存储中心；

3)数据检索时，客户端通过检索模块将检索请求信息发送到云认证中心将明文关键字加密传输至检索处理模块，检索处理模块根据用户公钥库的公钥和加密算法分别加密，生成密文关键字组，每个密文关键字对应一个用户密文数据库，分别进行检索；

4)检索处理模块将检索结果收集整理，如若检索的信息结果的所有权为申请用户，即申请用户具有密文解密密钥，即可直接将密文结果返回申请用户，如若检索的结果非申请用户数据所要，执行下一步；

5)数据授权，因为检索结果非申请用户所有，需要向数据授权模块发出申请，请求获得数据授权，若数据属主拒绝申请用户请求，即返回无相关信息，若数据属主授权申请用户，则执行下一步；

6)代理重加密，检索处理模块将检索结果通过代理重加密模块进行代理重加密，生成密文结果，密文结果是基于申请用户加密公钥加密的密文信息，然后将密文结果返回给申请用户。

优选的，所述云认证中心的加密流程为：

1)用户向云认证中心注册，获取加密公钥和解密私钥，用户通过支持PKI的应用程序，如Web浏览器等，向云认证中心发送注册请求，申请数字证书；

2)云认证中心在接到用户申请后，首先对用户信息进行验证、审查，然后利用全同态加密算法的FHE.KeyGen()算法生成“加密公钥---解密私钥”密钥对；最后云认证中心将生产的密钥信息分发至申请用户与用户公钥库，分发到申请用户的密钥信息为“加密公钥---解密私钥”密钥对，分发到用户公钥库的为“用户信息---加密公钥”信息对；

3)用户在上传数据到云存储设备前，先利用全同态加密算法的FHE.Enc(m)pk算法将明文数据加密生成密文，并传输至云存储设备，云数据存储中心在接收到用户上传的数据后，根据用户信息、数据权限标签为密文数据分配存储空间。

优选的，所述全同态加密算法的FHE.KeyGen()算法分为两部分，第一步生成每层的加解密密钥S

优选的，所述加解密密钥Sj，Pj的函数表达式为：

其中R＝Z[x]/(x

优选的，所述加解密密钥Sk，Pk的函数表达式为：

Sk＝(S

Pk＝(P

优选的，所述全同态加密算法的FHE.Enc(m)pk算法包括：

加密算法：

解密算法:

Dec(params，Sk，c)：m*＝((

优选的，所述检索处理模块的检索流程为：

1)用户通过检索模块发送明文关键字；

2)检索处理模块接收到明文关键字后，首先到索引库中查询是否有对应于该关键字的密文索引排序，若有则执行步骤3)，否则执行步骤4)；

3)云认证中心调用用户公钥库对明文关键字进行加密计算生成关键字密文组，接着根据扫描算法从各个用户数据库中扫描对应于密文索引的文档，并统计词频信息，最后根据扫描信息建立对应于关键字的索引表，然后执行步骤4)；

4)调用密文索引排序函数，以文档为单位，计算各文档的索引相似度，并据此对密文进行排序，生成检索结果。

本发明的有益效果为：

1、采用客户端加密至云端存储方式，规避了明文数据传输中被窃取的数据传输风险，在整个云安全存储系统中，用户的数据都是以密文形态存在，其机密性在起始阶段即已得到保障；

2、数据授权和代理重加密的设置，在不解密的前提下实现密文重加密，保证密文在不同用户间的可信通信与分享。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1是本发明一种基于同态加密技术的云安全存储系统整体方框图；

具体实施方式

在下文中，仅简单地描述了某些示例性实施例。正如本领域技术人员可认识到的那样，在不脱离本发明的精神或范围的情况下，可通过各种不同方式修改所描述的实施例。因此，附图和描述被认为本质上是示例性的而非限制性的。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。

下面将结合附图对本发明的技术方案进行清楚、完整地描述。

由图1给出，本发明提供如下技术方案：一种基于同态加密技术的云安全存储系统，包括用于存储数据的云存储设备，云存储设备设置有云认证中心、用户公钥库、检索处理模块、云数据存储中心、数据授权模块和代理重加密模块；

云认证中心为客户端分配密钥的同时，将用户的加密公钥转发至用户公钥库；

客户端将检索请求信息发送到云认证中心加密传输至检索处理模块；

数据授权模块用于对非申请人用户的认证，并将检索结果通过代理重加密模块加密钥转发至申请用户；

客户端设置有检索模块、加密模块和数据传输模块。

优选的，客户端与云存储设备的数据处理流程为：

1)云认证中心为客户端分配加密公钥和解密私钥，在客户端使用云存储设备时，先向云认证中心申请密钥，云认证中心为客户端分配密钥的同时，将用户的加密公钥转发至用户公钥库；

2)客户端加密，客户根据加密公钥和加密算法将数据加密后通过数据传输模块传送至云数据存储中心；

3)数据检索时，客户端通过检索模块将检索请求信息发送到云认证中心将明文关键字加密传输至检索处理模块，检索处理模块根据用户公钥库的公钥和加密算法分别加密，生成密文关键字组，每个密文关键字对应一个用户密文数据库，分别进行检索；

4)检索处理模块将检索结果收集整理，如若检索的信息结果的所有权为申请用户，即申请用户具有密文解密密钥，即可直接将密文结果返回申请用户，如若检索的结果非申请用户数据所要，执行下一步；

5)数据授权，因为检索结果非申请用户所有，需要向数据授权模块发出申请，请求获得数据授权，若数据属主拒绝申请用户请求，即返回无相关信息，若数据属主授权申请用户，则执行下一步；

6)代理重加密，检索处理模块将检索结果通过代理重加密模块进行代理重加密，生成密文结果，密文结果是基于申请用户加密公钥加密的密文信息，然后将密文结果返回给申请用户。

优选的，云认证中心的加密流程为：

1)用户向云认证中心注册，获取加密公钥和解密私钥，用户通过支持PKI的应用程序，如Web浏览器等，向云认证中心发送注册请求，申请数字证书；

2)云认证中心在接到用户申请后，首先对用户信息进行验证、审查，然后利用全同态加密算法的FHE.KeyGen()算法生成“加密公钥---解密私钥”密钥对；最后云认证中心将生产的密钥信息分发至申请用户与用户公钥库，分发到申请用户的密钥信息为“加密公钥---解密私钥”密钥对，分发到用户公钥库的为“用户信息---加密公钥”信息对；

3)用户在上传数据到云存储设备前，先利用全同态加密算法的FHE.Enc(m)pk算法将明文数据加密生成密文，并传输至云存储设备，云数据存储中心在接收到用户上传的数据后，根据用户信息、数据权限标签为密文数据分配存储空间。

优选的，全同态加密算法的FHE.KeyGen()算法分为两部分，第一步生成每层的加解密密钥S

优选的，加解密密钥Sj，Pj的函数表达式为：

其中R＝Z[x]/(x

优选的，加解密密钥Sk，Pk的函数表达式为：

Sk＝(S

Pk＝(P

优选的，全同态加密算法的FHE.Enc(m)pk算法包括：

加密算法：

解密算法:

Dec(params，Sk，c)：m*＝((modq)mod2)。

优选的，检索处理模块的检索流程为：

1)用户通过检索模块发送明文关键字；

2)检索处理模块接收到明文关键字后，首先到索引库中查询是否有对应于该关键字的密文索引排序，若有则执行步骤3)，否则执行步骤4)；

3)云认证中心调用用户公钥库对明文关键字进行加密计算生成关键字密文组，接着根据扫描算法从各个用户数据库中扫描对应于密文索引的文档，并统计词频信息，最后根据扫描信息建立对应于关键字的索引表，然后执行步骤4)；

4)调用密文索引排序函数，以文档为单位，计算各文档的索引相似度，并据此对密文进行排序，生成检索结果。

最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。