[发明专利]一种基于熵编码的密文索引生成与检索方法及系统

说明书

本发明公开了一种基于熵编码的密文索引生成与检索方法及系统。本系统包括：密文索引生成模块，用于对待上传的二元组(kw,data)，为关键字kw计算生成核心码字，对数据项data加密生成Enc(data)、计算kw的填充码，然后根据核心码字、填充码生成向量P并进行加密，得到P*；然后将(P*，Enc(data))发送至服务器端；陷门生成模块，用于计算出查询关键字kw对应的查询编码；选择一查询编码填充向量Q并加密生成Q*，将其作为陷门向量发送至服务器端；陷门检索模块，用于根据Q*对所有加密二元组(P*,Enc(data))进行运算，找到包含kw的二元组，并将所有满足条件的二元组中的加密数据项返回给客户端。

技术领域

本发明涉及一种基于熵编码的密文索引生成与检索方法及系统，属于云计算安全技术领域。

背景技术

近年来，随着云计算技术的迅猛发展，越来越多的企业与用户开始采用云服务保存数据与资料。由于云计算具有易管理、大容量、跨平台等特性，它可以帮助个人用户随时随地访问数据，提升操作便利性；同时帮助企业减少数据中心搭建与维护代价，大大降低其运营成本。因此，可以预期，在未来一段时期内基于云计算的数据存储系统与服务将得到更为广泛的应用。

但同时，云数据服务所带来的安全风险也绝不容忽视。调查结果显示，数据安全性与服务可靠性是当前云存储用户最为关注的两个目标。为了实现高安全性，用户会选择对重要数据上传前进行加密处理。这虽然可以有效地实现数据机密性保护、防范其被非授权传播，但同时也不可避免地降低了数据的可用性，使得对数据的检索面临更大困难。如果用户将所有密态文档下载、解密后，再判断其是否符合检索条件，那么无论是检索时间还是网络传输带宽的代价都将令用户无法承受。

对称可搜索加密(SSE)是一类帮助用户实现自身密文数据快速检索的关键技术。其核心思想是：用户将文档加密后存储在服务器，同时构造一个存储于服务器的安全索引结构。对于任意关键词，用户能够构造出查询陷门，服务器可以通过陷门与安全索引计算，找出满足检索条件的密文数据。

当前大多数密文检索方案保护了陷门和索引的安全，即攻击者不能通过密文或陷门直接获得关键词、明文的信息。然而，它们对于关键词频统计攻击表现相当脆弱。攻击者仍然可以通过所掌握的关键词分布统计知识，从索引结构或查询陷门中获知哪些文档包含了某个关键词，或根据结果集规模推测出陷门所对应的原始关键词。

发明内容

针对上述问题，本发明提供一种新型密文索引生成与检索方法，实现统计攻击下的陷门安全。

该技术的基本原理为：利用熵编码码字变长特性，设计由关键字的词频所定义的变长核心码与填充码，使得关键字出现频率与其所对应的陷门个数成正比。因而，每个陷门所对应的返回结果集大小为数学期望相同随机变量，与其所对应的关键字内容无关，有效地防止攻击者对陷门的准确猜测，实现统计攻击下的陷门安全。

为了实现上述目的，本发明采用以下技术方案；

一种基于熵编码的密文索引生成方法，其步骤包括：

1)客户端设置加密索引向量和陷门向量的密钥；客户端设置编码长度l以及l个不同的哈希函数h_i，i∈[1..l]；每个哈希函数将输入数据项随机映射至值域{0,1}；

2)对于用户待上传的二元组(kw,data)，客户端采用熵编码算法为关键字kw计算生成核心码字ccode(kw)，对数据项data加密生成Enc(data)；

3)客户端利用哈希函数计算关键字kw的填充码padding(kw)，然后将核心码字ccode(kw)与填充码padding(kw)顺序连接，生成长度为l的关键字编码；