技術領域

本發明屬于網絡信息安全技術領域，特別是一種涉及計算機加密文件的高效搜索的安全方案，可用于對信息安全系統等環境下的加密文件進行高效搜索。

背景技術

隨著互聯網的快速發展，越來越多的數據在網絡上進行共享，在給我們提供方便的同時，也使我們面臨著數據處理開銷大和安全性難以保障等問題。為了解決上述問題，首先，我們可以將數據處理外包到具有無限運算能力的云服務器上，外包服務開銷小、操作簡單的優點使其越來越受歡迎；其次，為了保障數據的機密性，在用戶將數據在上傳到不可信云服務器之前，都要對數據進行加密處理，從而使得云服務器得不到關于數據的任何有效信息。

然而，當大量的加密文件存儲在云服務器上時，文件的管理變得尤為復雜。當用戶想要在網絡上檢索并下載自己需要的文件時，如何在大量加密文件中找出用戶需要的特定文件是一個復雜的問題。傳統方法是：當用戶向服務器提出檢索請求時，云服務器驗證用戶身份信息后，查詢該用戶可以訪問的密文，并把這些密文全部返回給用戶，用戶使用自己的私鑰解密密文后讀取信息。然而，在實際應用中，這種傳統的檢索方法具有很多無法避免的缺陷：一是云服務器將所有該用戶可以解密的文件返回給用戶，需要消耗大量時間和帶寬；二是用戶得到文件后，需要對所有文件進行解密，得到明文后才能找到自己需要的文件，文件解密操作給用戶帶來了很大的計算量，大量不需要文件的解密浪費了用戶很多資源。因此，有必要提出一種新的檢索方式，使用戶在保障文件安全的同時，又能高效、可靠地檢索到需要的特定文件。

發明內容

本發明的目的在于針對上述現有技術的不足之處，提出一種支持多用戶的可搜索加密系統及方法，以確保用戶在對特定文件進行檢索時，服務器能夠快速、正確地返回結果，同時確保加密文件傳輸安全。

實現本發明目的的技術原理是：通過用戶加密文件時對每個文件建立相應的關鍵字索引并存儲在服務器上，用戶檢索特定文件時處理相關關鍵字提交給服務器，服務器在對用戶進行身份驗證后匹配關鍵字，將匹配成功的文件返回給用戶完成一次文件檢索。同時，基于屬性加密和用屬性群密鑰重加密的應用為檢索支持多用戶操作并提供了前向和后向安全性。其技術方案如下：

一、本發明的支持多用戶的可搜索加密系統包括：可信授權中心TA、服務提供商和用戶；

所述可信授權中心TA由系統初始化模塊、密鑰產生及管理模塊和用戶信息管理模塊組成：系統初始化模塊用于初始化系統，為系統生成公共參數和主密鑰，公共參數公開并發送給密鑰產生及管理模塊，主密鑰由系統初始化模塊保密存儲；密鑰產生及管理模塊用于管理系統中用戶的屬性私鑰、查詢密鑰和補充密鑰，并將屬性私鑰和查詢密鑰分發給用戶，將用戶的補充密鑰及屬性發送給用戶信息管理模塊；用戶信息管理模塊將擁有相同屬性的用戶生成屬性群用戶列表，連同補充密鑰發送給服務提供商；

所述服務提供商包括文件服務器和管理服務器：文件服務器接收并存儲用戶信息管理模塊提供的用戶信息以及系統中用戶提交的用于共享的加密文件；管理服務器根據文件服務器存儲的用戶信息，產生及管理用戶的路徑密鑰，并將路徑密鑰分發給用戶，同時，管理文件服務器的所有文件，為用戶提供數據外包服務，并且響應用戶的檢索業務情求，將相應密文返回給請求用戶；

所述用戶包括數據提供者和數據接收者：數據提供者，向文件服務器提供用于共享的加密文件，并且擁有數據接收者的所有操作權限；數據接收者，向管理服務器發送文件檢索請求，當數據接收者擁有該文件的訪問權限時，管理服務器從文件服務器找到文件發送給數據接收者。

二、一種支持多用戶的可搜索加密方法，包括：

（1）初始化系統

系統初始化模塊初始化系統，為系統生成公共參數和主密鑰；

（2）密鑰分發

2a）用戶與密鑰產生及管理模塊交互信息，進行用戶身份認證，用戶接收個人屬性私鑰和查詢密鑰，完成注冊；

2b）密鑰產生及管理模塊產生用戶的補充密鑰，并將用戶的補充密鑰及屬性發送給用戶信息管理模塊；

2c）用戶信息管理模塊將擁有相同屬性的用戶生成屬性群用戶列表，連同補充密鑰發送給文件服務器存儲，用于管理服務器查詢；

2d）管理服務器對用戶構建二叉樹，為用戶分發路徑密鑰；根據文件服務器的屬性群用戶列表和路徑密鑰產生并保存屬性群最小覆蓋密鑰；

（3）文件加密

3a）數據擁有者對不同文件設置相應的訪問控制策略，利用密文策略基于屬性加密CP-ABE進行加密操作產生密文；

3b）數據擁有者對每個文件選擇關鍵字進行哈希操作，建立關鍵字索引；