一种密文搜索系统中安全的密文文件分享方法与流程

本发明涉及信息安全技术领域，尤其涉及一种密文搜索系统中安全的密文文件分享方法。

背景技术：

现有密文搜索系统存在如下问题：

(1)文件分享安全性低。可搜索加密技术在分享密文文件时，将文件密钥和搜索密钥通过“安全信道”方式直接交给被分享用户，被分享用户即使安全获得了搜索密钥和解密密钥，也难以防止密钥在后续不断分享中被泄露，降低了存储的密文文件安全性。

(2)用户体验差。用户在分享密文文件时，尚无明确的“安全信道”传递方法用于工程实现，通过线下人工传送密钥方法过于繁琐，阻碍了可搜索加密技术的应用。

(3)文件分享安全责任边界不清。密文文件在分享的同时也存在着安全责任，简单的密钥共享、单向责任、简单的审计导致必然导致安全责任“连坐”，既不利于密文文件分享过程中的责任溯源，也挫伤各用户分享密文文件的积极性，不利于密文搜索技术的普及。

由于密文搜索技术具有密文文件和密文索引互相分离的特点，密文文件大小通常远大于密文文件索引大小，借助可信第三方密管管理和更新用户所持有的不同类型密钥，为不同用户签发不同密钥，去除密钥传输风险的同时实现轻量的密文文件安全共享，有助于解决密文文件分享中的安全性低，责权划分模糊、用户体验差等问题，提高存储数据安全性。

技术实现要素：

针对密文搜索系统中，不同用户间的密文文件共享需求，本发明提出一种密文搜索系统中安全的密文文件分享方法，该方法无需共享分享者的搜索密钥，也无需增加密文文件的存储空间，只需被分享者用自己的密钥更新索引列表，通过密钥管理服务器分配文件密钥，即可实现轻量、安全、可监管的密文文件共享。该方法不增加被分享者的密文文件存储开销，不共享用户的搜索密钥，防止搜索密钥泄露导致密文文件泄露的风险，有效监管密文文件分享行为。

一种密文搜索系统中安全的密文文件分享方法，包括以下步骤：

s11.数据拥有者将自己的文件数据加密并生成密文索引，并将密文文件和密文索引上传到大数据存储平台，此时数据拥有者和被分享用户具备了对密文文件的密文搜索能力；

s12.数据拥有者将搜索密钥和文件密钥通过安全信道共享给被分享用户；

s13.被分享用户使用接收到的搜索密钥和文件密钥搜索并解密密文文件。

进一步的，数据拥有者能够通过密态数据搜索客户端向所述大数据存储平台存储和读取密文文件，并从密态数据搜索服务子系统查询密文索引，所述密态数据搜索客户端和所述密态数据搜索服务子系统由密态数据密钥管理子系统签发相关密钥。

进一步的，所述密态数据搜索客户端能够提供用户文件、文件索引、搜索请求的加解密功能，把密文文件发送到所述大数据存储平台存储，并把加密搜索请求发送到所述密态数据搜索服务子系统。

进一步的，所述大数据存储平台包括分布式文件系统，所述分布式文件系统用于提供密态搜索服务。

进一步的，所述密态数据搜索客户端直接向所述分布式文件系统存储密文文件，并基于所述密态数据搜索服务子系统的关键字索引列表定位存储在所述分布式文件系统的密文文件。

进一步的，所述密态数据搜索服务子系统部署于单独服务器，且能够建立密文文件的关键字索引列表，用于定位密文文件存储在所述分布式文件系统的位置；所述密态数据搜索服务子系统能够响应所述密态数据搜索客户端的搜索请求，搜索密文文件位置并返回所述密态数据搜索客户端。

进一步的，所述密态数据密钥管理子系统能够为所述密态数据搜索客户端提供搜索密钥和文件加密密钥，为所述密态数据搜索服务子系统提供搜索密钥。

进一步的，密文文件分享方法具体包括以下步骤：

s21.当数据拥有者选择了要分享的文件、文件关键字和被分享用户后，通过所述密态数据搜索客户端向所述密态数据密钥管理子系统发起共享请求，请求内容包含被分享用户id和要分享的文件id及其关键字信息；

s22.所述密态数据密钥管理子系统根据用户提交的请求信息计算文件加密密钥；

s23.所述密态数据密钥管理子系统通知被分享用户更新索引列表，并通过安全信道向其签发文件密钥；

s24.被分享用户通过所述密态数据搜索客户端接收分享内容后，所述密态数据搜索客户端使用被分享用户的搜索密钥和分享过来的文件的关键字更新自己的密文索引，并发布到所述分布式文件系统；

s25.所述分布式文件系统通知被分享用户索引更新成功；

s26.所述密态数据密钥管理子系统通知数据拥有者文件分享成功。

本发明的有益效果在于：本发明基于密码管理，为用户提供安全的密文文件分享服务，用户只需登录自己的客户端，选择需要分享的用户、文件和文件关键字，即可实现文件分享，分享过程无需传递搜索密钥。被分享用户只需更新自己密文索引，从密管获得文件密钥即可获取分享文件，实现责权划分，提高文件分享过程的安全性，具体包括以下优点：

(1)低成本：用户在分享自己的文件给其他用户时，无需将密文文件发送给被分享用户后在上传到存储服务端，节约了网络带宽。被分享用户只需更新自己的存储在密文数据搜索服务子系统的密文索引列表，存储服务端hdfs无需增加新的存储开销，节约了存储成本。

(2)可监管性。用户在分享文件时，由可信第三方的密钥管理服务器通知被分享用户更新索引列表，信任传递责任交接清晰明确，安全监管敏感文件的分享路径。

(3)便捷性与安全性。用户在分享文件时，无需共享自己的搜索密钥也无需发送密文文件给被分享用户后再上传服务端存储，降低了客户端通信开销，让分享过程更加简洁。由可信第三方的密钥管理服务器通过安全信道签发文件密钥被被分享用户。被分享用户使用自己的搜索密钥更新索引，在分享过程中，用户通过私钥完全控制自己数据的主动权，存储端无法获知、窃取或泄露用户明文数据。也无法对用户的搜索行为进行关联分析，提高了安全性。

(4)密文文件分享中，用户无需共享自己的搜索密钥即可实现文件分享，保证了密钥安全性。

(5)用户只需在客户端选择要分享的用户、文件并设置关键字，即可实现方便快捷、轻量的文件分享。

(6)清晰划分文件分享中的责任边界，为安全文件分享和监管分享行为提供技术支撑。

附图说明

图1可搜索加密模型；

图2密文文件分享模型；

图3文件安全共享流程。

具体实施方式

为了对本发明的技术特征、目的和效果有更加清楚的理解，现说明本发明的具体实施方式。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明，即所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

本实施例提供了一种密文搜索系统中安全的密文文件分享方法，如图1所示，包括以下步骤：

s11.数据拥有者将自己的文件数据加密并生成密文索引，并将密文文件和密文索引上传到大数据存储平台，此时数据拥有者和被分享用户具备了对密文文件的密文搜索能力；

s12.数据拥有者将搜索密钥和文件密钥通过安全信道共享给被分享用户；

s13.被分享用户使用接收到的搜索密钥和文件密钥搜索并解密密文文件。

在本发明的一个优选实施例中，如图2所示，数据拥有者能够通过密态数据搜索客户端向大数据存储平台存储和读取密文文件，并从密态数据搜索服务子系统查询密文索引，密态数据搜索客户端和密态数据搜索服务子系统由密态数据密钥管理子系统签发相关密钥。

在本发明的一个优选实施例中，密态数据搜索客户端能够提供用户文件、文件索引、搜索请求的加解密功能，把密文文件发送到大数据存储平台存储，并把加密搜索请求发送到密态数据搜索服务子系统。

在本发明的一个优选实施例中，大数据存储平台包括分布式文件系统(hdfs，hadoopdistributedfilesystem)，分布式文件系统用于提供密态搜索服务。

在本发明的一个优选实施例中，密态数据搜索客户端直接向分布式文件系统存储密文文件，并基于密态数据搜索服务子系统的关键字索引列表定位存储在分布式文件系统的密文文件。

在本发明的一个优选实施例中，密态数据搜索服务子系统部署于单独服务器，且能够建立密文文件的关键字索引列表，用于定位密文文件存储在分布式文件系统的位置；密态数据搜索服务子系统能够响应密态数据搜索客户端的搜索请求，搜索密文文件位置并返回密态数据搜索客户端。

在本发明的一个优选实施例中，密态数据密钥管理子系统能够为密态数据搜索客户端提供搜索密钥和文件加密密钥，为密态数据搜索服务子系统提供搜索密钥。

在本发明的一个优选实施例中，如图3所示，密文文件分享方法具体包括以下步骤：

s21.当数据拥有者选择了要分享的文件、文件关键字和被分享用户后，通过密态数据搜索客户端向密态数据密钥管理子系统发起共享请求，请求内容包含被分享用户id和要分享的文件id及其关键字信息；

s22.密态数据密钥管理子系统根据用户提交的请求信息计算文件加密密钥；

s23.密态数据密钥管理子系统通知被分享用户更新索引列表，并通过安全信道向其签发文件密钥；

s24.被分享用户通过密态数据搜索客户端接收分享内容后，密态数据搜索客户端使用被分享用户的搜索密钥和分享过来的文件的关键字更新自己的密文索引，并发布到分布式文件系统；

s25.分布式文件系统通知被分享用户索引更新成功；

s26.密态数据密钥管理子系统通知数据拥有者文件分享成功。

综上所述，本发明提出的一种密文搜索系统中安全的密文文件分享方法，无需共享分享者的搜索密钥，也无需增加密文文件的存储空间，只需被分享者用自己的密钥更新索引列表，通过密钥管理服务器分配文件密钥，即可实现轻量、安全、可监管的密文文件共享。该方法不增加被分享者的密文文件存储开销，不共享用户的搜索密钥，防止搜索密钥泄露导致密文文件泄露的风险，有效监管密文文件分享行为。

以上所述仅是本发明的优选实施方式，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。