基于云环境的数据安全共享方法和装置与流程

本发明涉及数据安全技术领域，具体而言，涉及一种基于云环境的数据安全共享方法和一种基于云环境的数据安全共享装置。

背景技术

虽然密文检索技术为保护云端数据的隐私提供了一种“高效”的途径，但其仅仅属于单用户密文检索的情况，而如今比比皆是的云计算数据外包存储的应用场景对密文检索的要求复杂得多。在当前的应用场景下，用户之间可以依据访问策略，基于关键词从云服务器检索得到所共享的数据，这是一种松散、灵活、大众化的数据外包应用场景。为适应当前云计算数据外包存储的应用场景，相关技术中，是让所有具有合法访问权限的用户都拥有该数据属主的密钥以访问该属主分享的文件，但该方法存在一系列缺陷：

（1）加大了密钥潜在的泄漏和滥用的风险，若某个用户遗失了密朗，捡到密钥的攻击者即可获得访问该用户属主分享的所有文件的能力。

（2）导致用户密钥数量巨大，如果用户具有针对多个属主的共享文件的访问权限，那么他会被分配多个密钥，这些密钥的数量与他所能够合法访问的共享文件的来源数目（即数据属主的数目）成正比，而如何妥善保管这些数量巨大的密钥，是一个棘手的问题。

（3）不利于制定灵活可控的访问策略，对于用户来说，同一属主的所有分享文件都具有相同的访问属性，即可访问或不可访问，若需分类设定灵活的访问属性，则更会成倍增大密钥的数量。

（4）不利于用户访问权限的撤销，如欲撤销用户的查询权限，须更新该用户所拥有的所有数据属主的密钥，同时为其他相关且未撤销的用户重新发布更新后的密钥，计算量巨大。

技术实现要素：

本发明的目的在于提供一种安全可靠、计算量更低、运行更稳定可靠的基于云环境的数据安全共享方法和一种基于云环境的数据安全共享装置。

为了实现上述目的，本发明的技术方案提供了一种基于云环境的数据安全共享方法，适用于公有云服务器，包括：执行预设密码学组件中的初始化算法，确定相应的公私钥，公私钥包括系统主公钥、系统主私钥、接收者公钥、接收者私钥；初始化系统用户信息表，并经安全信道发送系统用户信息表和接收者私钥至私有云服务器存储；公布系统主公钥和接收者公钥；接收私有云服务器根据用户云端文件访问请求查询确认的用户身份标识和待查询关键词，并进行密文信息检索；传输检索判定后的返回文件集合至用户云端文件访问请求对应的用户终端。

本方案中，执行预设密码学组件中的初始化算法，确定相应的公私钥，公私钥包括系统主公钥、系统主私钥、接收者公钥、接收者私钥，之后初始化系统用户信息表，并经安全信道发送系统用户信息表和接收者私钥至私有云服务器存储，之后公布系统主公钥和接收者公钥，实现了密钥的配置，有利于实现可控共享和检索的目的，同时降低了本地计算量，通过接收私有云服务器根据用户云端文件访问请求查询确认的用户身份标识和待查询关键词，并进行密文信息检索，传输检索判定后的返回文件集合至用户云端文件访问请求对应的用户终端，实现了文件的共享，利用公有云服务器的灵活性和自助性，私有云服务器的安全性，实现了安全和效率的平衡。

需要说明的是，预设密码学组件为基于身份的广播加密ibbe，以及公钥可搜索加密peks，基于身份的广播加密的初始化算法为stetup(λ，n)，具体为该算法输入安全参数λ和一次广播加密中允许的接收者的最大数目n，输出系统主公钥和系统主私钥，公钥可搜索加密的初始化算法为stetup(λ)，具体为该算法输入安全参数λ，输出接收者公钥和接收者私钥。

另外，还可以通过如下方案，确定相应的公私钥，具体为：输入参数λ初始化素数p阶以g为生成元的双线群g，并定义其上的双线性映射ê：g×g→gt，以及二进制字符串集合上的哈希函数h：{0,1}*→zp，这里{0,1}*表示由任意长度的二进制字符串构成的集合；随机选取g2，g3，{hi}^mi=1∈r^g和x∈r^zp，并输出系统主公钥，pk=（g，g1，g2，g3，{hi}^mi=1），这里g1=g^x；计算msk=g2^x作为系统主私钥；初始化用户信息表t和权限集合ρ={p1，p2，…}，这里，并在为每个pi∈ρ随机选取一对称接收者私钥，与初始化用户信息表t和权限集合ρ一同发送至私有云服务器存储和管理。

优选地，还包括：当接收到新用户申请加入请求时，根据新用户申请加入请求中的用户身份标识和系统主私钥，生成对应的用户的基于身份的广播加密私钥；执行预设数字签名算法的初始化函数，随机产生数字签名方案的一对公私钥；确定用户身份标识、基于身份的广播加密私钥、数字签名方案私钥为用户私钥，并经安全信道返还给相应的新用户申请加入请求对应的用户终端；发送新用户注册信息至私有云服务器，并更新系统用户信息表，新用户注册信息包括用户身份标识、数字签名方案公钥；当确定撤销用户的基于关键词的检索权限时，发送对应的用户身份标识至私有云服务器，以供私有云服务器根据用户身份标识搜索并删除对应于系统用户信息表中的表项。

本方案中，通过当接收到新用户申请加入请求时，根据新用户申请加入请求中的用户身份标识和系统主私钥，生成对应的用户的基于身份的广播加密私钥，有利于实现新用户的申请加入，通过执行预设数字签名算法的初始化函数，随机产生数字签名方案的一对公私钥，之后确定用户身份标识、基于身份的广播加密私钥、数字签名方案私钥为用户私钥，并经安全信道返还给相应的新用户申请加入请求对应的用户终端，有利于用户获得共享权限，在接收到密文文件时，可以解密为明文文件，进行读取和使用，通过发送新用户注册信息至私有云服务器，并更新系统用户信息表，新用户注册信息包括用户身份标识、数字签名方案公钥，减小了密钥潜在的泄漏和滥用风险，而且用户密钥数量较小，有利于进行保存，减少存储占用空间，而且计算量较小，通过当确定撤销用户的基于关键词的检索权限时，发送对应的用户身份标识至私有云服务器，以供私有云服务器根据用户身份标识搜索并删除对应于系统用户信息表中的表项，实现了用户访问权限的更加快捷的撤销，而且无需为其他相关且未撤销的用户重新发布更新密钥，减少了计算量，在提升数据共享安全性的同时，提升了数据共享的效率。

本发明的技术方案还提供了一种基于云环境的数据安全共享方法，适用于数据主终端，包括：执行基于身份的广播加密算法，根据用户身份标识的集合，生成会话密钥和对应的广播信息头；根据会话密钥对称加密共享文件，生成密文文件；执行公钥可搜索加密算法，对与共享文件相关的关键词进行加密，生成密文关键词；发送密文信息至公有云服务器，密文信息包括用户身份标识的集合、密文文件、密文关键词、广播信息头。

本方案中，通过执行基于身份的广播加密算法，根据用户身份标识的集合，生成会话密钥和对应的广播信息头，有利于实现密文文件的生成，数据主终端拥有的数据的上传，通过根据会话密钥对称加密共享文件，生成密文文件，有利于保障共享文件的安全性，通过执行公钥可搜索加密算法，对与共享文件相关的关键词进行加密，生成密文关键词，有利于实现密文文件的检索，通过发送密文信息至公有云服务器，密文信息包括用户身份标识的集合、密文文件、密文关键词、广播信息头，有利于公有云服务器根据用户对共享文件的请求，进行密文信息的检索，从而实现数据的安全共享，密文信息包括用户身份标识的集合、密文文件、密文关键词、广播信息头，只有满足条件的用户才能获得对应于密文文件的明文文件，进一步保障了数据共享的安全性，而且计算量小，存储占用空间小。

本发明的技术方案还提供了一种基于云环境的数据安全共享方法，适用于私有云服务器，包括：当接收到用户云端文件访问请求时，根据用户身份标识，查找检索系统用户信息表，用户云端文件访问请求包括用户身份标识、待查询关键词、用户使用数字签名方案私钥对用户身份标识以及待查询关键词的签名；当查找检索到系统用户信息表中的相应表项，且签名验证成功时，将查找检索结果翻译为陷门形式，并将用户身份标识和待查询关键词发送至公有云服务器，以供公有云服务器进行密文信息检索。

本方案中，通过当接收到用户云端文件访问请求时，根据用户身份标识，查找检索系统用户信息表，用户云端文件访问请求包括用户身份标识、待查询关键词、用户使用数字签名方案私钥对用户身份标识以及待查询关键词的签名，之后当查找检索到系统用户信息表中的相应表项，且签名验证成功时，将查找检索结果翻译为陷门形式，并将用户身份标识和待查询关键词发送至公有云服务器，以供公有云服务器进行密文信息检索，充分利用了私有云服务器和公有云服务器的相互配合，进一步提升了数据共享的安全性，利用公有云服务器的灵活性和自助性，私有云服务器的安全性，实现了安全和效率的平衡，不依赖于同一私钥的共享，同时具备灵活的访问控制和基于关键词的密文检索功能，在解放本地存储的同时，也保障了私有云服务器存储的安全性，以及数据共享过程的安全性。

本发明的技术方案还提供了一种基于云环境的数据安全共享方法，适用于用户终端，包括：接收公有云服务器确定的用户私钥，用户私钥包括用户身份标识、基于身份的广播加密私钥、数字签名方案私钥；接收公有云服务器检索判定后的返回文件集合；执行基于身份的广播解密算法，恢复与数据主终端的会话密钥；根据会话密钥解密返回文件集合中的每一密文文件，生成对应的明文文件。

本方案中，通过接收公有云服务器确定的用户私钥，用户私钥包括用户身份标识、基于身份的广播加密私钥、数字签名方案私钥，有利于在接收到请求的密文文件时快速解密为明文文件，通过接收公有云服务器检索判定后的返回文件集合，之后执行基于身份的广播解密算法，恢复与数据主终端的会话密钥，之后根据会话密钥解密返回文件集合中的每一密文文件，生成对应的明文文件，只有满足条件的用户才能获得对应于密文文件的明文文件，不依赖于同一私钥的共享，进一步提升了数据共享的便利性和安全性。

本发明的技术方案还提供了一种基于云环境的数据安全共享装置，适用于公有云服务器，包括：执行单元，用于执行预设密码学组件中的初始化算法，确定相应的公私钥，公私钥包括但不限于系统主公钥、系统主私钥、接收者公钥、接收者私钥；发送单元，用于初始化系统用户信息表，并经安全信道发送系统用户信息表和接收者私钥至私有云服务器存储；公布单元，用于公布系统主公钥和接收者公钥；接收单元，用于接收私有云服务器根据用户云端文件访问请求查询确认的用户身份标识和待查询关键词，并进行密文信息检索；传输单元，用于传输检索判定后的返回文件集合至用户云端文件访问请求对应的用户终端。

本方案中，执行预设密码学组件中的初始化算法，确定相应的公私钥，公私钥包括系统主公钥、系统主私钥、接收者公钥、接收者私钥，之后初始化系统用户信息表，并经安全信道发送系统用户信息表和接收者私钥至私有云服务器存储，之后公布系统主公钥和接收者公钥，实现了密钥的配置，有利于实现可控共享和检索的目的，同时降低了本地计算量，通过接收私有云服务器根据用户云端文件访问请求查询确认的用户身份标识和待查询关键词，并进行密文信息检索，传输检索判定后的返回文件集合至用户云端文件访问请求对应的用户终端，实现了文件的共享，利用公有云服务器的灵活性和自助性，私有云服务器的安全性，实现了安全和效率的平衡。

需要说明的是，预设密码学组件为基于身份的广播加密ibbe，以及公钥可搜索加密peks，基于身份的广播加密的初始化算法为stetup(λ，n)，具体为该算法输入安全参数λ和一次广播加密中允许的接收者的最大数目n，输出系统主公钥和系统主私钥，公钥可搜索加密的初始化算法为stetup(λ)，具体为该算法输入安全参数λ，输出接收者公钥和接收者私钥。

另外，还可以通过如下方案，确定相应的公私钥，具体为：输入参数λ初始化素数p阶以g为生成元的双线群g，并定义其上的双线性映射ê：g×g→gt，以及二进制字符串集合上的哈希函数h：{0,1}*→zp，这里{0,1}*表示由任意长度的二进制字符串构成的集合；随机选取g2，g3，{hi}^mi=1∈r^g和x∈r^zp，并输出系统主公钥，pk=（g，g1，g2，g3，{hi}^mi=1），这里g1=g^x；计算msk=g2^x作为系统主私钥；初始化用户信息表t和权限集合ρ={p1，p2，…}，这里，并在为每个pi∈ρ随机选取一对称接收者私钥，与初始化用户信息表t和权限集合ρ一同发送至私有云服务器存储和管理。

优选地，还包括：生成单元，用于当接收到新用户申请加入请求时，根据新用户申请加入请求中的用户身份标识和系统主私钥，生成对应的用户的基于身份的广播加密私钥；执行单元还用于：执行预设数字签名算法的初始化函数，随机产生数字签名方案的一对公私钥；确定单元，用于确定用户身份标识、基于身份的广播加密私钥、数字签名方案私钥为用户私钥，并经安全信道返还给相应的新用户申请加入请求对应的用户终端；发送单元还用于：发送新用户注册信息至私有云服务器，并更新系统用户信息表，新用户注册信息包括用户身份标识、数字签名方案公钥；发送单元还用于：当确定撤销用户的基于关键词的检索权限时，发送对应的用户身份标识至私有云服务器，以供私有云服务器根据用户身份标识搜索并删除对应于系统用户信息表中的表项。

本方案中，通过当接收到新用户申请加入请求时，根据新用户申请加入请求中的用户身份标识和系统主私钥，生成对应的用户的基于身份的广播加密私钥，有利于实现新用户的申请加入，通过执行预设数字签名算法的初始化函数，随机产生数字签名方案的一对公私钥，之后确定用户身份标识、基于身份的广播加密私钥、数字签名方案私钥为用户私钥，并经安全信道返还给相应的新用户申请加入请求对应的用户终端，有利于用户获得共享权限，在接收到密文文件时，可以解密为明文文件，进行读取和使用，通过发送新用户注册信息至私有云服务器，并更新系统用户信息表，新用户注册信息包括用户身份标识、数字签名方案公钥，减小了密钥潜在的泄漏和滥用风险，而且用户密钥数量较小，有利于进行保存，减少存储占用空间，而且计算量较小，通过当确定撤销用户的基于关键词的检索权限时，发送对应的用户身份标识至私有云服务器，以供私有云服务器根据用户身份标识搜索并删除对应于系统用户信息表中的表项，实现了用户访问权限的更加快捷的撤销，而且无需为其他相关且未撤销的用户重新发布更新密钥，减少了计算量，在提升数据共享安全性的同时，提升了数据共享的效率。

本发明的技术方案还提供了一种基于云环境的数据安全共享装置，适用于数据主终端，包括：执行单元，用于执行基于身份的广播加密算法，根据用户身份标识的集合，生成会话密钥和对应的广播信息头；生成单元，用于根据会话密钥对称加密共享文件，生成密文文件；执行单元还用于：执行公钥可搜索加密算法，对与共享文件相关的关键词进行加密，生成密文关键词；发送单元，用于发送密文信息至公有云服务器，密文信息包括用户身份标识的集合、密文文件、密文关键词、广播信息头。

本方案中，通过执行基于身份的广播加密算法，根据用户身份标识的集合，生成会话密钥和对应的广播信息头，有利于实现密文文件的生成，数据主终端拥有的数据的上传，通过根据会话密钥对称加密共享文件，生成密文文件，有利于保障共享文件的安全性，通过执行公钥可搜索加密算法，对与共享文件相关的关键词进行加密，生成密文关键词，有利于实现密文文件的检索，通过发送密文信息至公有云服务器，密文信息包括用户身份标识的集合、密文文件、密文关键词、广播信息头，有利于公有云服务器根据用户对共享文件的请求，进行密文信息的检索，从而实现数据的安全共享，密文信息包括用户身份标识的集合、密文文件、密文关键词、广播信息头，只有满足条件的用户才能获得对应于密文文件的明文文件，进一步保障了数据共享的安全性，而且计算量小，存储占用空间小。

本发明的技术方案还提供了一种基于云环境的数据安全共享装置，适用于私有云服务器，包括：查找检索单元，用于当接收到用户云端文件访问请求时，根据用户身份标识，查找检索系统用户信息表，用户云端文件访问请求包括用户身份标识、待查询关键词、用户使用数字签名方案私钥对用户身份标识以及待查询关键词的签名；发送单元，用于当查找检索到系统用户信息表中的相应表项，且签名验证成功时，将查找检索结果翻译为陷门形式，并将用户身份标识和待查询关键词发送至公有云服务器，以供公有云服务器进行密文信息检索。

本方案中，通过当接收到用户云端文件访问请求时，根据用户身份标识，查找检索系统用户信息表，用户云端文件访问请求包括用户身份标识、待查询关键词、用户使用数字签名方案私钥对用户身份标识以及待查询关键词的签名，之后当查找检索到系统用户信息表中的相应表项，且签名验证成功时，将查找检索结果翻译为陷门形式，并将用户身份标识和待查询关键词发送至公有云服务器，以供公有云服务器进行密文信息检索，充分利用了私有云服务器和公有云服务器的相互配合，进一步提升了数据共享的安全性，利用公有云服务器的灵活性和自助性，私有云服务器的安全性，实现了安全和效率的平衡，不依赖于同一私钥的共享，同时具备灵活的访问控制和基于关键词的密文检索功能，在解放本地存储的同时，也保障了私有云服务器存储的安全性，以及数据共享过程的安全性。

本发明的技术方案还提供了一种基于云环境的数据安全共享装置，适用于用户终端，包括：接收单元，用于接收公有云服务器确定的用户私钥，用户私钥包括用户身份标识、基于身份的广播加密私钥、数字签名方案私钥；接收单元还用于：接收公有云服务器检索判定后的返回文件集合；执行单元，用于执行基于身份的广播解密算法，恢复与数据主终端的会话密钥；生成单元，用于根据会话密钥解密返回文件集合中的每一密文文件，生成对应的明文文件。

本方案中，通过接收公有云服务器确定的用户私钥，用户私钥包括用户身份标识、基于身份的广播加密私钥、数字签名方案私钥，有利于在接收到请求的密文文件时快速解密为明文文件，通过接收公有云服务器检索判定后的返回文件集合，之后执行基于身份的广播解密算法，恢复与数据主终端的会话密钥，之后根据会话密钥解密返回文件集合中的每一密文文件，生成对应的明文文件，只有满足条件的用户才能获得对应于密文文件的明文文件，不依赖于同一私钥的共享，进一步提升了数据共享的便利性和安全性。

通过以上技术方案，利用混合云环境，既具备了公有云服务器的灵活性和自助性，又通过私有云服务器的安全性使得数据主终端上传的密文文件可以安全存储，不依赖于同一私钥的共享，具备灵活的访问控制和基于关键词的密文检索功能，实现了可控共享和检索的目的，同时降低了本地计算量以及本地存储量。

本发明的附加方面和优点将在下面的描述部分中给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：

图1为一实施例中基于云环境的数据安全共享方法的示意流程图；

图2为一实施例中基于云环境的数据安全共享方法的示意流程图；

图3为一实施例中基于云环境的数据安全共享方法的示意流程图；

图4为一实施例中基于云环境的数据安全共享方法的示意流程图；

图5为一实施例中基于云环境的数据安全共享装置的示意框图；

图6为一实施例中基于云环境的数据安全共享装置的示意框图；

图7为一实施例中基于云环境的数据安全共享装置的示意框图；

图8为一实施例中基于云环境的数据安全共享装置的示意框图。

具体实施方式

为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在不冲突的情况下，本申请的实施例及实施例中的特征可以相互组合。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他不同于在此描述的其他方式来实施，因此，本发明的保护范围并不受下面公开的具体实施例的限制。

如图1所示，该实施例中的基于云环境的数据安全共享方法，适用于公有云服务器，包括以下步骤：

s102，执行预设密码学组件中的初始化算法，确定相应的公私钥，公私钥包括系统主公钥、系统主私钥、接收者公钥、接收者私钥；

s104，初始化系统用户信息表，并经安全信道发送系统用户信息表和接收者私钥至私有云服务器存储；

s106，公布系统主公钥和接收者公钥；

s108，接收私有云服务器根据用户云端文件访问请求查询确认的用户身份标识和待查询关键词，并进行密文信息检索；

s110，传输检索判定后的返回文件集合至用户云端文件访问请求对应的用户终端。

本实施例中，执行预设密码学组件中的初始化算法，确定相应的公私钥，公私钥包括系统主公钥、系统主私钥、接收者公钥、接收者私钥，之后初始化系统用户信息表，并经安全信道发送系统用户信息表和接收者私钥至私有云服务器存储，之后公布系统主公钥和接收者公钥，实现了密钥的配置，有利于实现可控共享和检索的目的，同时降低了本地计算量，通过接收私有云服务器根据用户云端文件访问请求查询确认的用户身份标识和待查询关键词，并进行密文信息检索，传输检索判定后的返回文件集合至用户云端文件访问请求对应的用户终端，实现了文件的共享，利用公有云服务器的灵活性和自助性，私有云服务器的安全性，实现了安全和效率的平衡。

需要说明的是，预设密码学组件为基于身份的广播加密ibbe，以及公钥可搜索加密peks，基于身份的广播加密的初始化算法为stetup(λ，n)，具体为该算法输入安全参数λ和一次广播加密中允许的接收者的最大数目n，输出系统主公钥和系统主私钥，公钥可搜索加密的初始化算法为stetup(λ)，具体为该算法输入安全参数λ，输出接收者公钥和接收者私钥。

另外，还可以通过如下方案，确定相应的公私钥，具体为：输入参数λ初始化素数p阶以g为生成元的双线群g，并定义其上的双线性映射ê：g×g→gt，以及二进制字符串集合上的哈希函数h：{0,1}*→zp，这里{0,1}*表示由任意长度的二进制字符串构成的集合；随机选取g2，g3，{hi}^mi=1∈r^g和x∈r^zp，并输出系统主公钥，pk=（g，g1，g2，g3，{hi}^mi=1），这里g1=g^x；计算msk=g2^x作为系统主私钥；初始化用户信息表t和权限集合ρ={p1，p2，…}，这里，并在为每个pi∈ρ随机选取一对称接收者私钥，与初始化用户信息表t和权限集合ρ一同发送至私有云服务器存储和管理。

优选地，还包括：当接收到新用户申请加入请求时，根据新用户申请加入请求中的用户身份标识和系统主私钥，生成对应的用户的基于身份的广播加密私钥；执行预设数字签名算法的初始化函数，随机产生数字签名方案的一对公私钥；确定用户身份标识、基于身份的广播加密私钥、数字签名方案私钥为用户私钥，并经安全信道返还给相应的新用户申请加入请求对应的用户终端；发送新用户注册信息至私有云服务器，并更新系统用户信息表，新用户注册信息包括用户身份标识、数字签名方案公钥；当确定撤销用户的基于关键词的检索权限时，发送对应的用户身份标识至私有云服务器，以供私有云服务器根据用户身份标识搜索并删除对应于系统用户信息表中的表项。

本实施例中，通过当接收到新用户申请加入请求时，根据新用户申请加入请求中的用户身份标识和系统主私钥，生成对应的用户的基于身份的广播加密私钥，有利于实现新用户的申请加入，通过执行预设数字签名算法的初始化函数，随机产生数字签名方案的一对公私钥，之后确定用户身份标识、基于身份的广播加密私钥、数字签名方案私钥为用户私钥，并经安全信道返还给相应的新用户申请加入请求对应的用户终端，有利于用户获得共享权限，在接收到密文文件时，可以解密为明文文件，进行读取和使用，通过发送新用户注册信息至私有云服务器，并更新系统用户信息表，新用户注册信息包括用户身份标识、数字签名方案公钥，减小了密钥潜在的泄漏和滥用风险，而且用户密钥数量较小，有利于进行保存，减少存储占用空间，而且计算量较小，通过当确定撤销用户的基于关键词的检索权限时，发送对应的用户身份标识至私有云服务器，以供私有云服务器根据用户身份标识搜索并删除对应于系统用户信息表中的表项，实现了用户访问权限的更加快捷的撤销，而且无需为其他相关且未撤销的用户重新发布更新密钥，减少了计算量，在提升数据共享安全性的同时，提升了数据共享的效率。

如图2所示，该实施例中的基于云环境的数据安全共享方法，适用于数据主终端，具体包括以下步骤：

s202，执行基于身份的广播加密算法，根据用户身份标识的集合，生成会话密钥和对应的广播信息头；

s204，根据会话密钥对称加密共享文件，生成密文文件；

s206，执行公钥可搜索加密算法，对与共享文件相关的关键词进行加密，生成密文关键词；

s208，发送密文信息至公有云服务器，密文信息包括用户身份标识的集合、密文文件、密文关键词、广播信息头。

本实施例中，通过执行基于身份的广播加密算法，根据用户身份标识的集合，生成会话密钥和对应的广播信息头，有利于实现密文文件的生成，数据主终端拥有的数据的上传，通过根据会话密钥对称加密共享文件，生成密文文件，有利于保障共享文件的安全性，通过执行公钥可搜索加密算法，对与共享文件相关的关键词进行加密，生成密文关键词，有利于实现密文文件的检索，通过发送密文信息至公有云服务器，密文信息包括用户身份标识的集合、密文文件、密文关键词、广播信息头，有利于公有云服务器根据用户对共享文件的请求，进行密文信息的检索，从而实现数据的安全共享，密文信息包括用户身份标识的集合、密文文件、密文关键词、广播信息头，只有满足条件的用户才能获得对应于密文文件的明文文件，进一步保障了数据共享的安全性，而且计算量小，存储占用空间小。

如图3所示，该实施例中的基于云环境的数据安全共享方法，适用于私有云服务器，具体包括以下步骤：

s302，当接收到用户云端文件访问请求时，根据用户身份标识，查找检索系统用户信息表，用户云端文件访问请求包括用户身份标识、待查询关键词、用户使用数字签名方案私钥对用户身份标识以及待查询关键词的签名；

s304，当查找检索到系统用户信息表中的相应表项，且签名验证成功时，将查找检索结果翻译为陷门形式，并将用户身份标识和待查询关键词发送至公有云服务器，以供公有云服务器进行密文信息检索。

本实施例中，通过当接收到用户云端文件访问请求时，根据用户身份标识，查找检索系统用户信息表，用户云端文件访问请求包括用户身份标识、待查询关键词、用户使用数字签名方案私钥对用户身份标识以及待查询关键词的签名，之后当查找检索到系统用户信息表中的相应表项，且签名验证成功时，将查找检索结果翻译为陷门形式，并将用户身份标识和待查询关键词发送至公有云服务器，以供公有云服务器进行密文信息检索，充分利用了私有云服务器和公有云服务器的相互配合，进一步提升了数据共享的安全性，利用公有云服务器的灵活性和自助性，私有云服务器的安全性，实现了安全和效率的平衡，不依赖于同一私钥的共享，同时具备灵活的访问控制和基于关键词的密文检索功能，在解放本地存储的同时，也保障了私有云服务器存储的安全性，以及数据共享过程的安全性。

如图4所示，该实施例中的基于云环境的数据安全共享方法，适用于用户终端，具体包括以下步骤：

s402，接收公有云服务器确定的用户私钥，用户私钥包括用户身份标识、基于身份的广播加密私钥、数字签名方案私钥；

s404，接收公有云服务器检索判定后的返回文件集合；

s406，执行基于身份的广播解密算法，恢复与数据主终端的会话密钥；

s408，根据会话密钥解密返回文件集合中的每一密文文件，生成对应的明文文件。

本实施例中，通过接收公有云服务器确定的用户私钥，用户私钥包括用户身份标识、基于身份的广播加密私钥、数字签名方案私钥，有利于在接收到请求的密文文件时快速解密为明文文件，通过接收公有云服务器检索判定后的返回文件集合，之后执行基于身份的广播解密算法，恢复与数据主终端的会话密钥，之后根据会话密钥解密返回文件集合中的每一密文文件，生成对应的明文文件，只有满足条件的用户才能获得对应于密文文件的明文文件，不依赖于同一私钥的共享，进一步提升了数据共享的便利性和安全性。

如图5所示，该实施例中的基于云环境的数据安全共享装置500，适用于公有云服务器，包括：执行单元502，用于执行预设密码学组件中的初始化算法，确定相应的公私钥，公私钥包括但不限于系统主公钥、系统主私钥、接收者公钥、接收者私钥；发送单元504，用于初始化系统用户信息表，并经安全信道发送系统用户信息表和接收者私钥至私有云服务器存储；公布单元506，用于公布系统主公钥和接收者公钥；接收单元508，用于接收私有云服务器根据用户云端文件访问请求查询确认的用户身份标识和待查询关键词，并进行密文信息检索；传输单元510，用于传输检索判定后的返回文件集合至用户云端文件访问请求对应的用户终端。

本实施例中，执行预设密码学组件中的初始化算法，确定相应的公私钥，公私钥包括系统主公钥、系统主私钥、接收者公钥、接收者私钥，之后初始化系统用户信息表，并经安全信道发送系统用户信息表和接收者私钥至私有云服务器存储，之后公布系统主公钥和接收者公钥，实现了密钥的配置，有利于实现可控共享和检索的目的，同时降低了本地计算量，通过接收私有云服务器根据用户云端文件访问请求查询确认的用户身份标识和待查询关键词，并进行密文信息检索，传输检索判定后的返回文件集合至用户云端文件访问请求对应的用户终端，实现了文件的共享，利用公有云服务器的灵活性和自助性，私有云服务器的安全性，实现了安全和效率的平衡。

需要说明的是，预设密码学组件为基于身份的广播加密ibbe，以及公钥可搜索加密peks，基于身份的广播加密的初始化算法为stetup(λ，n)，具体为该算法输入安全参数λ和一次广播加密中允许的接收者的最大数目n，输出系统主公钥和系统主私钥，公钥可搜索加密的初始化算法为stetup(λ)，具体为该算法输入安全参数λ，输出接收者公钥和接收者私钥。

另外，还可以通过如下方案，确定相应的公私钥，具体为：输入参数λ初始化素数p阶以g为生成元的双线群g，并定义其上的双线性映射ê：g×g→gt，以及二进制字符串集合上的哈希函数h：{0,1}*→zp，这里{0,1}*表示由任意长度的二进制字符串构成的集合；随机选取g2，g3，{hi}^mi=1∈r^g和x∈r^zp，并输出系统主公钥，pk=（g，g1，g2，g3，{hi}^mi=1），这里g1=g^x；计算msk=g2^x作为系统主私钥；初始化用户信息表t和权限集合ρ={p1，p2，…}，这里，并在为每个pi∈ρ随机选取一对称接收者私钥，与初始化用户信息表t和权限集合ρ一同发送至私有云服务器存储和管理。

优选地，基于云环境的数据安全共享装置500还包括：生成单元512，用于当接收到新用户申请加入请求时，根据新用户申请加入请求中的用户身份标识和系统主私钥，生成对应的用户的基于身份的广播加密私钥；执行单元502还用于：执行预设数字签名算法的初始化函数，随机产生数字签名方案的一对公私钥；确定单元514，用于确定用户身份标识、基于身份的广播加密私钥、数字签名方案私钥为用户私钥，并经安全信道返还给相应的新用户申请加入请求对应的用户终端；发送单元504还用于：发送新用户注册信息至私有云服务器，并更新系统用户信息表，新用户注册信息包括用户身份标识、数字签名方案公钥；发送单元504还用于：当确定撤销用户的基于关键词的检索权限时，发送对应的用户身份标识至私有云服务器，以供私有云服务器根据用户身份标识搜索并删除对应于系统用户信息表中的表项。

本实施例中，通过当接收到新用户申请加入请求时，根据新用户申请加入请求中的用户身份标识和系统主私钥，生成对应的用户的基于身份的广播加密私钥，有利于实现新用户的申请加入，通过执行预设数字签名算法的初始化函数，随机产生数字签名方案的一对公私钥，之后确定用户身份标识、基于身份的广播加密私钥、数字签名方案私钥为用户私钥，并经安全信道返还给相应的新用户申请加入请求对应的用户终端，有利于用户获得共享权限，在接收到密文文件时，可以解密为明文文件，进行读取和使用，通过发送新用户注册信息至私有云服务器，并更新系统用户信息表，新用户注册信息包括用户身份标识、数字签名方案公钥，减小了密钥潜在的泄漏和滥用风险，而且用户密钥数量较小，有利于进行保存，减少存储占用空间，而且计算量较小，通过当确定撤销用户的基于关键词的检索权限时，发送对应的用户身份标识至私有云服务器，以供私有云服务器根据用户身份标识搜索并删除对应于系统用户信息表中的表项，实现了用户访问权限的更加快捷的撤销，而且无需为其他相关且未撤销的用户重新发布更新密钥，减少了计算量，在提升数据共享安全性的同时，提升了数据共享的效率。

如图6所示，该实施例中的基于云环境的数据安全共享装置600，适用于数据主终端，包括：执行单元602，用于执行基于身份的广播加密算法，根据用户身份标识的集合，生成会话密钥和对应的广播信息头；生成单元604，用于根据会话密钥对称加密共享文件，生成密文文件；执行单元604还用于：执行公钥可搜索加密算法，对与共享文件相关的关键词进行加密，生成密文关键词；发送单元606，用于发送密文信息至公有云服务器，密文信息包括用户身份标识的集合、密文文件、密文关键词、广播信息头。

本实施例中，通过执行基于身份的广播加密算法，根据用户身份标识的集合，生成会话密钥和对应的广播信息头，有利于实现密文文件的生成，数据主终端拥有的数据的上传，通过根据会话密钥对称加密共享文件，生成密文文件，有利于保障共享文件的安全性，通过执行公钥可搜索加密算法，对与共享文件相关的关键词进行加密，生成密文关键词，有利于实现密文文件的检索，通过发送密文信息至公有云服务器，密文信息包括用户身份标识的集合、密文文件、密文关键词、广播信息头，有利于公有云服务器根据用户对共享文件的请求，进行密文信息的检索，从而实现数据的安全共享，密文信息包括用户身份标识的集合、密文文件、密文关键词、广播信息头，只有满足条件的用户才能获得对应于密文文件的明文文件，进一步保障了数据共享的安全性，而且计算量小，存储占用空间小。

如图7所示，该实施例中的基于云环境的数据安全共享装置700，适用于私有云服务器，包括：查找检索单元702，用于当接收到用户云端文件访问请求时，根据用户身份标识，查找检索系统用户信息表，用户云端文件访问请求包括用户身份标识、待查询关键词、用户使用数字签名方案私钥对用户身份标识以及待查询关键词的签名；发送单元704，用于当查找检索到系统用户信息表中的相应表项，且签名验证成功时，将查找检索结果翻译为陷门形式，并将用户身份标识和待查询关键词发送至公有云服务器，以供公有云服务器进行密文信息检索。

本实施例中，通过当接收到用户云端文件访问请求时，根据用户身份标识，查找检索系统用户信息表，用户云端文件访问请求包括用户身份标识、待查询关键词、用户使用数字签名方案私钥对用户身份标识以及待查询关键词的签名，之后当查找检索到系统用户信息表中的相应表项，且签名验证成功时，将查找检索结果翻译为陷门形式，并将用户身份标识和待查询关键词发送至公有云服务器，以供公有云服务器进行密文信息检索，充分利用了私有云服务器和公有云服务器的相互配合，进一步提升了数据共享的安全性，利用公有云服务器的灵活性和自助性，私有云服务器的安全性，实现了安全和效率的平衡，不依赖于同一私钥的共享，同时具备灵活的访问控制和基于关键词的密文检索功能，在解放本地存储的同时，也保障了私有云服务器存储的安全性，以及数据共享过程的安全性。

如图8所示，该实施例中的基于云环境的数据安全共享装置800，适用于用户终端，包括：接收单元802，用于接收公有云服务器确定的用户私钥，用户私钥包括用户身份标识、基于身份的广播加密私钥、数字签名方案私钥；接收单元802还用于：接收公有云服务器检索判定后的返回文件集合；执行单元804，用于执行基于身份的广播解密算法，恢复与数据主终端的会话密钥；生成单元806，用于根据会话密钥解密返回文件集合中的每一密文文件，生成对应的明文文件。

本实施例中，通过接收公有云服务器确定的用户私钥，用户私钥包括用户身份标识、基于身份的广播加密私钥、数字签名方案私钥，有利于在接收到请求的密文文件时快速解密为明文文件，通过接收公有云服务器检索判定后的返回文件集合，之后执行基于身份的广播解密算法，恢复与数据主终端的会话密钥，之后根据会话密钥解密返回文件集合中的每一密文文件，生成对应的明文文件，只有满足条件的用户才能获得对应于密文文件的明文文件，不依赖于同一私钥的共享，进一步提升了数据共享的便利性和安全性。

以上结合附图详细说明了本发明的技术方案，本发明提出了一种基于云环境的数据安全共享方法和一种基于云环境的数据安全共享装置，利用混合云环境，既具备了公有云服务器的灵活性和自助性，又通过私有云服务器的安全性使得数据主终端上传的密文文件可以安全存储，不依赖于同一私钥的共享，具备灵活的访问控制和基于关键词的密文检索功能，实现了可控共享和检索的目的，同时降低了本地计算量以及本地存储量。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明的构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。